《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的理解与适用

（一）“公民个人信息”的范围

目前，我国关于个人信息的界定，最为权威的当属《网络安全法》的规定。《网络安全法》第七十六条规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。” 经研究认为，《网络安全法》将“个人信息”界定为“能够识别自然人个人身份的各种信息”，显然使用的是广义的“身份识别信息”的概念，即既包括狭义的身份识别信息（能够识别出特定自然人身份的信息），也包括体现特定自然人活动情况的信息。例如，从实践来看，行踪轨迹信息系事关人身安全的高度敏感信息，无疑应纳入法律保护范围，且应当重点保护。但是，行踪轨迹信息明显难以纳入狭义的“身份识别信息”的范畴。如果认为《网络安全法》将此类信息排除在“个人信息”的范围外，恐难以为一般人所认同，也不符合保护公民个人信息的立法精神。合理的解释应当是，《网络安全法》是广义上使用“身份识别信息”这一概念，亦即也包括个人活动情况信息在内。基于此，《解释》第一条在上述规定的基础上，进一步明确“公民个人信息”包括身份识别信息和活动情况信息，规定：“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”

此外，根据《解释》第一条的规定，关于“公民个人信息”的外延，有以下几个具体问题值得注意：（1）“公民个人信息”，既包括中国公民的个人信息，也包括外国公民和其他无国籍人的个人信息。（2）公民个人信息须与特定自然人关联。这是公民个人信息所具有的关键属性。因此，经过处理无法识别特定个人且不能复原的信息，虽然也可能反映自然人活动情况，但与特定自然人无直接关联，不能成为公民个人信息的范畴。对于与特定自然人关联，可以是识别特定自然人身份，也可以是反映特定自然人活动情况。需要注意的是，无论是识别特定自然人身份，还是反映特定自然人活动情况，都应当是能够单独或者与其他信息结合所具有的功能。例如，身份证号与公民个人身份一一对应，可以单独识别公民个人身份；而工作单位、家庭住址等无法单独识别公民个人身份，需要同其他信息结合才能识别公民个人身份。但是，上述两类信息无疑都属于公民个人信息的范畴。（3）与特定自然人关联的账号密码属于“公民个人信息”。对于“账号密码”能否纳入“公民个人信息”的范围，存在不同认识。经研究认为，当前账号密码往往绑定身份证号、手机号码等特定信息，即使未绑定，非法获取账号密码后往往也会引发侵犯财产甚至人身的违法犯罪。因此，《解释》第一条明确将“账号密码”列为“公民个人信息”的范围。

（二）“违反国家有关规定”的认定

《刑法修正案（九）》将侵犯公民个人信息罪的前提要件由“违反国家规定”修改为“违反国家有关规定”。根据修法精神，《解释》第二条规定：“违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第二百五十三条之一规定的‘违反国家有关规定’。”具体而言，该条将 “国家有关规定”明确限于法律、行政法规、部门规章等国家层面的规定，不包括地方性法规等非国家层面的规定。

（三）非法“提供公民个人信息”的认定

根据刑法第二百五十三条之一第一款、第二款的规定，违反国家有关规定，向他人非法出售或者提供公民个人信息，是侵犯公民个人信息罪的客观行为方式之一。从司法适用的角度，以下两个问题值得关注：

1.“提供”的认定。向特定人提供公民个人信息，属于“提供”公民个人信息，对此不存在疑义。但是，对于通过信息网络或者其他途径发布公民个人信息，是否属于“提供公民个人信息”，存在不同认识。经研究认为，通过信息网络或者其他途径发布公民个人信息，实际是向不特定多数人提供公民个人信息，向特定人提供公民个人信息的行为属于“提供”，基于“举轻明重”的法理，前者更应当认定为“提供”。基于此，《解释》第三条第一款规定：“向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的‘提供公民个人信息’。”

2.合法收集公民个人信息后非法提供的认定。基于大数据发展的现实需要，《网络安全法》在法律层面为个人信息交易和流动留有一定空间，第四十四条规定任何个人和组织“不得非法出售或者非法向他人提供个人信息”，即不仅允许合法提供公民个人信息，而且为合法出售公民个人信息留有空间。而且，《网络安全法》第四十二条第一款进一步明确了合法提供公民个人信息的情形，规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。”据此，经得被收集者同意，以及匿名化处理（剔除个人关联），是合法提供公民个人信息的两种情形，不能纳入刑事规制范围。基于此，《解释》第三条第二款规定：“未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的‘提供公民个人信息’，但是经过处理无法识别特定个人且不能复原的除外。”当然，这里只是明确此种情形属于“提供公民个人信息”，是否构成侵犯公民个人信息罪，还需要根据“违反国家有关规定”等要件作进一步判断。

（四）“非法获取公民个人信息”的认定

根据刑法第二百五十三条之一第三款的规定，窃取或者以其他方法非法获取公民个人信息是侵犯公民个人信息罪的客观行为方式之一。具体而言，以下几个问题值得关注：

1.购买公民个人信息的处理。从实践来看，非法获取公民个人信息的方式主要表现为购买、收受、交换和侵入计算机信息系统或者采用其他技术手段。对于“购买公民个人信息”是否属于“以其他方法非法获取公民个人信息”，存在不同认识。有意见认为，“其他方法”应当限于与“窃取”危害性相当的方式（如抢夺），不宜将“购买”包括在内。经研究认为，其一，刑法第二百五十三条之一第三款并未明确排除“购买”方法，且非法购买公民个人信息当然属于非法获取公民个人信息的情形。其二，从实践来看，当前非法获取公民个人信息的方式主要表现为非法购买，如排除此种方式，则会大幅限缩侵犯公民个人信息罪的适用范围。其三，不少侵犯公民个人信息犯罪案件，购买往往是后续出售、提供的前端环节，没有购买就没有后续的出售、提供。基于上述考虑，《解释》第四条明确规定：“违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的‘以其他方法非法获取公民个人信息’。”

2.获取公民个人信息行为“非法”的判断。对于获取公民个人信息，刑法第二百五十三条之一第三款将罪状直接表述为“非法获取”。基于体系解释的原理，对此处的“非法”，应当以是否违反国家有关规定作为判断标准。

3.非法收集公民个人信息的处理。《网络安全法》第四十一条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”“网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”违反上述规定，未经他人同意收集公民个人信息，或者收集与提供的服务无关的公民个人信息的，应当认定为“非法获取公民个人信息”。以此为基础，《解释》第四条专门明确，违反国家有关规定，在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

（版权声明）：本文图文转载于网络，版权归作者所有，仅供学习参考之用，禁止用于商业用途，如有异议，请联系。

如有侵权，请联系删除。