福州刑事辩护律师——如何认定侵犯公民个人信息罪中的“公民个人信息”？

《解释》第1条规定：“‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”

根据上述概念，这里有必要厘清几类信息的基本属性：

1、外国人、无国籍人信息属于本罪中的“公民”信息。虽然《解释》中未明确“公民”的具体范围，但这里的“公民”，应采取相对宽泛的理解，现实中侵犯公民个人信息的行为人提供或获取外国人、无国籍人的个人信息，与提供或获取中国公民的个人信息的社会危害性相比，没有任何差别。因此不能将外国人、无国籍人的个人信息排除在本罪保护的范围之外。

2、死者信息不属于本罪中的“公民”信息。刑法保护的法益应具有现实紧迫性，而死者的权利能力已经随他的死亡消灭，此时已经不具备受到刑法保护的能力，保护生者的个人信息显然更符合立法宗旨。

3、单位信息不属于本罪的“公民”个人信息。既然是“侵犯公民个人信息罪”，那么无论怎么解释，都不可能将“单位”扩大到“个人”的范围之内。另外，单位不具有个人人格权，因而单位也就不可能具有这些只有个人才有的信息权。

4、自愿或主动公开的信息不属于本罪中的“公民”信息。侵犯公民个人信息罪所侵害的法益是公民个人的信息自由和隐私权。而行为人将公民自愿公开的信息获取后出售或者提供的行为，通常不会对权利人的隐私和生活安宁造成侵犯，不宜适用本罪。

根据《解释》第1条的规定，公民个人信息的“可识别”包括单独可识别和需与其他信息相结合的部分可识别两种。即“单独具有识别特定自然人身份或者反映特定自然人活动情况的信息”和“与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的信息”两种刑法保护的信息类型。那么，如果行为人获得了没有刑法保护价值的单独或结合类的公民信息，是否属于《解释》中的个人信息？

《解释》中规定的结合信息分为两种，一种情形是一对一结合，例如姓名和出生日期。如果行为人分别获取了公民的姓名和出生日期，然后将二者结合，这种行为是否适用刑法处罚？笔者的观点是这种情况不宜对行为人处以刑罚。因为可识别特定自然人身份或者反映特定自然人活动情况，这是公民个人信息所具有的关键属性。故此，经过处理无法识别特定个人的信息，虽然也可能反映自然人的活动情况，但与特定自然人无直接关联，不属于公民个人信息的范畴。而对于公民个人信息而言，除了身份证号以外的信息，很难单独识别特定公民身份（包括未知机主姓名的电话号码）。另外一种情形是一对多结合，如果行为人获取了公民姓名、通讯方式、住址信息，这种信息显然能够识别特定的自然人身份，应当属于《解释》中的公民个人信息。

当然，与其他信息结合可以识别特定自然人的部分关联信息，无疑不能全部纳入“公民个人信息”的范畴。因为在大数据时代，任何信息与其他足够多的信息相结合都可以识别特定自然人身份或者反映特定自然人的活动情况。所以，判断信息是否属于可识别信息，应当衡量这类信息需要结合其他信息的程度，需要结合其他信息的程度越低，那么就说明涉案信息本身与自然人的关联性越强，其也就越应当被认定为公民个人信息。

笔者以侵犯公民个人信息罪为案由，检索到了2018年江苏省448份刑事判决书，通过对这些判决书的查阅和分析，对侵犯公民个人信息罪司法实践的认定情况从行为对象进行了分类和统计，结果如下：