“公民個人信息”的刑法認定疑難問題研究

摘要：“公民個人信息”概念缺乏相關規范指引和理論闡釋，致使其刑法認定出現諸多疑難問題。辦理侵犯公民個人信息類案件時，應立足于《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，將公民個人信息區分為“能夠識別特定自然人身份”和“關聯公民人身財產安全”類個人信息。在認定前者時，識別主體應當采取主觀說，識別方式應當采取直接識別與間接識別相結合的方式；在認定后者時，應判斷信息是否與被識別主體有直接聯系，結合具體場景進行認定。

關鍵詞：公民個人信息；司法解釋；可識別性；關聯公民人身財產安全

中圖分類號：D924.3文獻標識碼：A文章編號：2095-6916（2025）06-0105-05

On Difficult Problems in the Criminal Law Recognition of “Citizens’ Personal Information”

Xu Ziqing

（School of Law， People’s Public Security University of China， Beijing 100038）

Abstract： The absence of normative guidance and theoretical interpretation of the concept of “citizens’ personal information” leads to many difficult problems in its criminal law identification. When we are handling cases involving the infringement of citizens’ personal information， it is necessary to base the actions on the “Interpretation of the Supreme People’s Court and the Supreme People’s Procuratorate on Several Issues Concerning the Application of Law in the Handling of Criminal Cases of Infringing on Citizens’ Personal Information”. And the citizens’ personal information should be categorized into two types： information that “can identify the identity of a specific natural person” and information that “is related to the personal and property safety of citizens”. When determining the former， the identifying entity should adopt the subjective theory， and the identification method should combine direct and indirect recognition; when determining the latter， they should judge whether the information has a direct connection with the identified entity， and the determination should be made in combination with the specific context.

Keywords： citizens’ personal information; judicial interpretation; identifiability; related to the personal and property safety of citizens

隨著大數據時代的到來，公民個人信息泄露成井噴之勢，在辦理侵犯公民個人信息罪時，“公民個人信息”的刑法認定是一長期存在的疑難問題，相關信息是否構成公民個人信息，是認定罪與非罪、此罪與彼罪的關鍵之處。厘清公民個人信息的具體范疇有助于司法機關辦理侵犯公民個人信息罪提供有效參考。

一、“公民個人信息”概念的司法視野變遷

2009年，《中華人民共和國刑法修正案（七）》第七條增設“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”，首次實現了對侵犯公民個人信息行為的刑法治理，但該條并未對公民個人信息概念進行解讀和界定，導致公民個人信息的認定始終存在一定爭議。直至2012年，《關于加強網絡信息保護的決定》（以下簡稱《決定》）頒布，將“公民個人信息”概念的要素確定為“可識別性”或“隱私性”，并將信息的載體限定為電子信息，然而該概念未將記錄于紙張等載體的個人信息囊括在內［1］，范圍明顯較窄。其后，2013年發布的《關于依法懲處侵害公民個人信息犯罪活動的通知》（以下簡稱《通知》）則不再將公民個人信息局限于電子信息，但其仍僅著眼“可識別性”和“隱私性”，此時“可識別性”判斷僅注重單獨識別，“隱私性”則僅保護公民的私密生活空間，在一定程度上限制了公民個人信息的范疇［2］。

2015年，《中華人民共和國刑法修正案（九）》將“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”兩罪合并為“侵犯公民個人信息罪”，為公民個人信息的刑法保護增添了有力屏障，但“公民個人信息”的界定并未更新。直至2016年，《中華人民共和國網絡安全法》進一步擴張了“公民個人信息”的范疇，該法對公民個人信息的定義相較于《決定》和《通知》有所不同：一方面，其擴大了可識別性的范圍，第一次提出了“與其他信息結合識別”的識別方式，將“單獨識別”改變為“單獨或結合識別”，極大程度上彌補了單獨識別的局限性；另一方面，該法在定義“公民個人信息”時不再提及隱私性，這是由于“隱私”是具有主觀性的概念，對“隱私”界定的不同將會使對“公民個人信息”的界定也隨之主觀化，不利于對侵犯公民個人信息行為規范化打擊［3］，但該法對公民個人信息的判定僅注重可識別性，并不能完全適應日益復雜的侵犯公民個人信息違法犯罪情勢。

2017年，《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）重新定義了“公民個人信息”概念的范圍。筆者認為，《解釋》系將“公民個人信息”分類為“能夠識別特定自然人身份”類個人信息和“關聯公民人身財產安全”類個人信息。之所以提出“關聯公民人身財產安全”類個人信息這一概念，是由于在該《解釋》列舉的公民個人信息中，“姓名”“身份證件號碼”等具有一定可識別性，可歸類為“能夠識別特定自然人身份”類個人信息，“行蹤軌跡”則為《解釋》中規定的“反映特定自然人活動情況的各種信息”，但“賬號密碼”和“財產狀況”實質上無法識別特定自然人，并非“反映自然人活動情況的信息”。《解釋》對公民個人信息范圍的界定之所以突破了可識別性標準，將“財產狀況”“賬號密碼”這類不具有可識別性的信息納入公民個人信息范疇之中，本質上是為了對后續可能出現的財產犯罪予以預防，而規定“活動情況”和“行蹤軌跡”則是為了周密保護公民的人身安全［4］，更為注重對公民作為“人”的權利保護，而非僅著眼于對公民“身份”的識別。因此，筆者認為可以將“賬號密碼”“財產狀況”“行蹤軌跡”等總結為“關聯公民人身財產安全”類個人信息。在一信息不具有可識別性時，則進入其是否屬于“關聯公民人身財產安全”類個人信息的判定。

此后，2021年頒布的《中華人民共和國個人信息保護法》（以下簡稱《個保法》）中對個人信息的界定實質上也沿用了《解釋》對于公民權利保護的理念，該法中使用了“與已識別的自然人有關的信息”的表述，指與已知身份的自然人具備關聯性的各種信息，同樣沒有將可識別性作為判斷公民個人信息的唯一標準，意在保護公民“身份”背后的人身財產安全。

二、公民個人信息的刑法認定困境

公民個人信息的認定是辦理侵犯公民個人信息罪的關鍵一步，也是常引起爭議的熱點問題。在認定“能夠識別特定自然人身份”類個人信息時，存在識別主體不明、識別方式模糊的困境；在認定“關聯公民人身財產安全”類個人信息時，則存在司法裁判僅將“可識別性”作為唯一認定標準的問題。

（一）“能夠識別特定自然人身份”類個人信息識別主體不明

識別主體之爭的原因在于立法規定的缺失，《解釋》第一條未詳細規定識別活動的主體為何，因而針對該問題，目前學界存在“客觀說”和“主觀說”兩種觀點。

“客觀說”認為公民個人信息的可識別性需要社會一般人能夠根據該信息識別特定自然人［5］。比如，在共同犯罪中，部分犯罪人能夠根據該信息識別特定人，而部分人不能，根據客觀說則僅需判斷一般人是否可識別，如一般人可根據該信息識別特定自然人，則該信息屬于公民個人信息，該說能夠避免因犯罪主體的特殊判斷能力而導致同案不同判的情況。但是該說難以解決實踐中出現的部分特殊問題。再比如，犯罪人買賣在特定平臺可加密解密的公民信息，犯罪人可通過解密該類信息識別特定自然人，但社會一般人對于該類信息并沒有識別能力，此時根據客觀說，該類信息無法被認定為公民個人信息。

“主觀說”則認為如果侵犯公民個人信息的犯罪主體能夠根據該信息識別出特定自然人，即使社會一般人并不能憑借該信息定位到特定人，該信息也應被認定為公民個人信息。主觀說涵蓋了犯罪人買賣特定平臺加密解密信息的問題，也能夠解決關系密切人有針對性購買信息的問題。如犯罪人信息指向對象的關系密切人，采用客觀說可能導致關系密切人逃脫法律的制裁，而采用主觀說則可以根據實際判斷。但該學說賦予了司法人員過高的自由裁量權，并且沒有客觀的、明確的標準，依據該學說進行司法認定有一定困難［6］。

（二）“能夠識別特定自然人身份”類個人信息識別方式模糊

依照《解釋》第一條之規定，識別方式包括直接識別與間接識別。直接識別指僅憑單獨信息即可識別特定自然人的識別方式，間接識別則指與其他信息結合進行識別的識別方式。目前對兩種識別方式的爭議在于，直接識別方式適用過于困難，間接識別則使公民個人信息范圍有過度擴張的趨勢。

直接識別存在與否一直飽受質疑。通常來講，可采用直接識別方式的信息，需同時具備唯一性和全面性，使識別時該信息無需與其他信息結合即可定位唯一自然人。有學者主張姓名、樣貌屬于可直接識別的信息，但由于同名、同貌的存在，單獨姓名或樣貌常常并不能指向具體的人。憑借單獨信息識別自然人過于困難，尤其是在現今實務中，可采用直接識別方式的信息幾乎不存在，而間接識別方式則得到了廣泛適用，因此有學者提出，直接識別似乎并無存在必要［7］。

間接識別的問題則在于該方式使“可識別性”這一概念可能喪失其應有的篩選功能。例如，按照正常觀念，一臺計算機的位置并不屬于公民個人信息，但若該位置信息與IP地址、上網時長、服務器信息等結合，則可識別出特定自然人的身份信息及其上網活動情況，該信息單獨存在時便因其能夠“與其他信息結合識別特定自然人身份”而被認定為“公民個人信息”，這顯然是有違立法本意的。因此，若對間接識別方式不加以規制，將使原本不具有可識別性的信息因與其他信息廣泛結合而被認定為具有可識別性［8］。

（三）“關聯公民人身財產安全”類個人信息形同虛設

通過檢索裁判文書，筆者發現對于單獨出賣公民電話號碼或賬號密碼等行為，為數不少的法院認為單獨電話號碼或賬號密碼不具有可識別性，不應認定為公民個人信息［9］，更有甚者直接表述為“公民個人信息數量應扣除無姓名單純是電話號碼的信息”［10］，或將“只有手機號碼的信息予以剔除”［11］，而無任何釋法說理。這實質上是完全忽視了《解釋》中闡釋的“關聯公民人身財產安全”類個人信息。

事實上，非法處理電話號碼或賬號密碼等行為不僅侵犯了公民的個人信息自決權，且在《解釋》中明確作為公民個人信息列舉，但該類信息雖難以具有可識別性，但應屬于“關聯公民人身財產安全”類個人信息。犯罪分子非法獲取公民電話號碼后，常撥打推銷推廣電話破壞公民生活安寧，甚至發展成電信詐騙使公民遭受財產損失；賬號密碼則與具有使用價值和交換價值的數字財產相關聯，理應作為“關聯公民人身財產安全”類個人信息納入保護。

造成部分司法實踐中僅將“可識別性”作為唯一標準的原因，一方面在于“公民個人信息應具有可識別性”這一認定觀點在《解釋》發布前一直作為主流觀點，部分司法人員未及時理解司法解釋，因而做出錯誤判斷；另一方面在于“關聯公民人身財產安全”類個人信息雖已在《解釋》中得到肯定，但并未在指導案例、指導意見中明確闡釋，導致實務中適用困難。

三、公民個人信息的刑法認定探析

事實與規范的交織互動是司法實踐的重要形式，為使紛雜多樣的侵犯個人信息實踐樣態與法律規范的具體保護規定相互契合，應厘清“能夠識別特定自然人身份”類個人信息的識別主體、識別方式，并正確認定“關聯公民人身財產安全”類個人信息，增強釋法說理，平衡事實與規范。

（一）識別主體應采取“主觀說”

筆者認為，客觀說和主觀說兩種觀點各有千秋，但針對目前侵犯公民個人信息罪的多樣態勢，采取主觀說更為可取。

大數據時代，經濟和科技的發展使信息處理技術急速更新換代，使得信息處理者的識別能力也有所不同，相比客觀說，主觀說更能夠兼顧不同主體在識別個人信息能力上的差距。部分主體具有較高的數據分析技術，識別能力較強，系具備特殊識別能力主體，若采用客觀說，以社會一般人的識別能力來評價該類特殊主體，那么會導致該類主體明明已根據信息識別出特定自然人，但仍然能逃脫法律制裁。同樣，若主體系具備通常識別能力主體，即其識別能力與社會一般人類相似，那么采用主觀說仍能根據其實際識別能力對其進行規制。由此可見，客觀說僅能規制具備通常識別能力的主體，而主觀說則能夠覆蓋到具備通常識別能力的主體和具備特殊識別能力的主體，有利于對個人信息與非個人信息進行正確劃分，從而合理規制侵犯公民個人信息行為。

進行公民個人信息的刑法認定時，若犯罪主體本身并無根據該信息識別特定自然人的能力，且該信息同樣不屬于“關聯公民人身財產安全”類個人信息，那么則不應認定其構成侵犯公民個人信息罪。但在共同犯罪中，對識別能力的判定關注共同犯罪的整體性，如部分共犯具有識別能力，且其他共犯也明知其具有識別能力，則應認定所有犯罪人均具有識別能力［12］。

（二）直接識別與間接識別相輔相成

筆者認為，直接識別與間接識別的區分是有必要保留的，但需在承認直接識別價值的基礎上，對間接識別的范疇予以一定限縮。

直接識別不論是在現在還是未來都有其存在價值。一方面，科技的進步帶來了識別技術的迭代升級，曾經不具有一般可識別性的DNA、指紋等，現在已可以通過技術手段較為容易地識別特定自然人，而未來將必然出現更多的識別手段，僅憑單獨信息即可識別特定人的情況也并非遙不可及［13］；另一方面，若接收信息主體系被識別自然人的關系密切人或其本身對于被識別自然人早已有一定了解，那么并不能被社會一般人單獨識別特定自然人的信息，被該類接收主體接收后，則可單獨識別特定自然人，也即完成了直接識別。

而對于間接識別方式，應將其具體范疇予以適當限縮。若某信息系與自然人關聯度極低的信息，如前文提及的“計算機位置”等，一方面其在單獨存在時對識別特定人并無實際作用，另一方面相關自然人因此類信息缺失“個人性”而對其也不享有控制和處分的權利，那么對此類信息的處理實質上并不具有法益侵害性，這類信息不應納入公民個人信息的范疇［14］。在認定與其他信息結合才具有可識別性的信息時，應重點衡量在進行間接識別的整體過程中，該信息是對識別特定自然人是否實際加功或具有實際加功的切實可能，以此判明其是否對識別活動具備實質意義，若并無實質意義，則不應認定其為個人信息。

（三）正確認定“關聯公民人身財產安全”類個人信息

在辦理侵犯公民個人信息罪認定公民個人信息時，“可識別性”的判定具有優先性，如該信息具有可識別性，自然可認定其為公民個人信息，如其無法識別特定自然人，那么則需判斷該信息是否屬于“關聯公民人身財產安全”類個人信息。

司法實踐中，在進行“關聯公民人身財產安全”類個人信息的判定時，應結合具體場景合理認定，被處理信息對公民個人是否具有“直接聯系性”是判斷其是否關聯公民人身財產安全的重要標準。“直接聯系性”信息是指非法獲取、利用該類信息可直接對公民人身財產產生威脅，如獲悉“電話號碼”可直接聯系、騷擾自然人，獲悉“賬號密碼”將直接威脅公民數字財產安全，這類信息的泄露極易損害公民的人身財產權利，甚至滋生下游犯罪造成更嚴重的后果，因此，應認定該類信息為“關聯公民人身財產安全”類個人信息；而對于不具有“直接聯系性”的信息，如單獨獲悉公民姓名，無法直接聯系到該自然人，也很難直接對該自然人產生影響，則需要結合該信息本身的重要程度、與特定自然人的關聯程度、行為人的主觀目的等具體情況進行判斷［15］，在實現對公民個人信息全面保護的同時，也需預防個人信息范圍的不當擴張。

四、結束語

隨著大數據、人工智能等技術的持續發展，公民個人信息的保護將面臨更多新的挑戰和機遇，對識別標準的重新定義勢在必行。我們期待通過持續的法律研究與實踐探索，不斷完善公民個人信息的刑法保護機制，為構建安全、有序、和諧的社會環境貢獻力量。同時，也呼吁社會各界共同參與個人信息保護工作，形成政府主導、企業自律、社會監督、公眾參與的多元共治格局，共同守護好每一位公民的“數字安全”。

參考文獻：

［1］李懷勝.侵犯公民個人信息罪的刑法調適思路：以《公民個人信息保護法》為背景［J］.中國政法大學學報，2022（1）：138-148.

［2］黃陳辰.侵犯公民個人信息罪中“公民個人信息”可識別性的意蘊重釋［J］.中國政法大學學報，2023（4）：111-127.

［3］于沖.侵犯公民個人信息罪中“公民個人信息”的法益屬性與入罪邊界［J］.政治與法律，2018（4）：15-25.

［4］于志剛.“公民個人信息”的權利屬性與刑法保護思路［J］.浙江社會科學，2017（10）：4-14，155.

［5］韓旭至.個人信息概念的法教義學分析：以《網絡安全法》第76條第5款為中心［J］.重慶大學學報（社會科學版），2018（2）：154-165.

［6］金泓序，何畏.大數據時代個人信息保護的挑戰與對策研究［J］.情報科學，2022（6）：132-140.

［7］劉宗勝，張毅.論個人信息中可識別要素的判斷標準［J］.湖南科技大學學報（社會科學版），2023（1）：100-108.

［8］楊楠.個人信息“可識別性”擴張之反思與限縮［J］.大連理工大學學報（社會科學版），2021（2）：98-107.

［9］王某某、宋某某侵犯公民個人信息一審刑事判決書［EB/OL］.安徽省亳州市譙城區人民法院.（2018-12-03）［2024-09-12］.https：//wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=rT0YKZx+DhSF06m33f68FBmxb3VzexwvI5T4Ay6ZFj8L0NO44y7BMpO3qNaLMqsJRKxzyK6BTQPVk4AFdDg+lbviL2r66COglRvabvnchELf7qIcowjwhTG/BQRtuxkc.

［10］覃源光、陳民鈿侵犯公民個人信息罪一審刑事判決書［EB/OL］.福建省龍巖市新羅區人民法院.（2019-12-04）［2024-09-12］.https：//wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=edG9PvBd9FDsG1jRuH4tWYhbYsyzZ9hnNOig/gmjHUOOv2hkflc9FpO3qNaLMqsJRKxzyK6BTQPVk4AFdDg+lbviL2r66COglRvabvnchEJ7YD39vSM8095Y1hcWM3C2.

［11］劉雪鵬、舒晨凱、祝越等侵犯公民個人信息罪一審刑事判決書［EB/OL］.金華市婺城區人民法院.（2019-11-12）［2024-09-12］.https：//wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=sTXvGXjL3UaHs0j3LO/iQWwx44zKOGLeZvLQ+45ZRUyzH2LmxE3qipO3qNaLMqsJRKxzyK6BTQPVk4AFdDg+lbviL2r66COglRvabvnchELf7qIcowjwhV5JDeepo7Ge.

［12］陳夢尋.“公民個人信息”判斷的合理性標準建構：基于流動的公民個人信息邊界［J］.北京郵電大學學報（社會科學版），2019（1）：9-18.

［13］羅翔.論人臉識別刑法規制的限度與適用：以侵犯公民個人信息罪指導案例為切入［J］.比較法研究，2023（2）：17-30.

［14］周光權.侵犯公民個人信息罪的行為對象［J］.清華法學，2021（3）：25-40.

［15］鄭澤星.論侵犯公民個人信息罪的保護法益：場景化法益觀的理論構造與實踐立場［J］.清華法學，2023（3）：90-105.

作者簡介：徐梓青（1999—），女，漢族，江蘇徐州人，單位為中國人民公安大學法學院，研究方向為刑法。

（責任編輯：張震）