侵犯公民个人信息罪，倒卖客户个人信息的房屋中介、从网上购买潜在客户联系方式的各行业销售人员，甚至于掌握客户财产信息的银行工作人员、可以查询到公民个人信息的公安机关民警等等，都可能成为这个罪名的犯罪主体。

一、实务中如何认定“公民个人信息”

两高于17年5月的司法解释中，对公民个人信息的定义进行了明确。简单来说，公民个人信息就是可以用来识别特定自然人身份或者活动情况的各种信息。司法解释列举了姓名、身份证号码、联系方式、住址、账号密码、财产情况、行踪轨迹等。

从两高发布的一些典型案例以及实务中的案件来看，涉及到的公民个人信息主要有：母婴、快递行业的客户个人信息、网络的订单信息、公安机关内网的公民个人信息、银行客户的个人信息、酒店行业的住宿信息。

应当说，公民个人信息的保护范围还是比较大的，但是必须满足可识别性、隐私性这两个条件。可识别性是指，该信息可以用来识别特定的某个人。隐私性是指，该信息是信息主体不愿意公开，不愿意提供给他人的。

二、常见的行为方式

刑法法条中的侵犯公民个人信息的行为方式包括非法获取、违反国家有关规定出售、提供等等。此处的“国家有关规定”，司法解释明确仅限于法律、行政法规、部门规章等国家层面的规定，因此地方性法规应当排除在外。

最高人民法院、最高人民检察院于2017年发布的典型案例来看，其中涉及到的行为方式主要有：

1、以“调查公司”的名义向他人出售公民个人信息，包括个人户籍、车辆档案、手机定位、个人征信、旅馆住宿等各类公民个人信息。

2、利用银行工作人员的权限在银行专用网络内，非法查询公民个人银行征信信息用于出售。

3、购买学生信息用于出售

4、买卖大量含有公民姓名、收货地址、手机号码等内容的网购订单信息

5、通过黑客软件侵入邮局内网，在邮局内网窃取邮局内部的公民个人信息用于出售

6、加入涉及个人信息交换买卖的QQ群，通过购买、交换等方式获取大量公民个人信息，再在群里发布广告招揽买家

7、一家为全国4500多家酒店提供网络服务的公司因系统存在安全漏洞，致使全国高达2000万条宾馆住宿记录泄露。犯罪嫌疑人非法下载上述住宿信息后用于出售。

8、民警利用其在派出所工作的职务之便，使用已调离的前所长的数字证书查询公安系统内公民个人信息用于出售。

三、如何确定信息的条数

17年的司法解释中确定了对于不同的个人信息种类，采用不同的条数限制。其中行踪轨迹信息、通信内容、征信信息、财产信息50条以上构罪，住宿信息、通信记录、健康生理信息、交易信息等可能影响人身财产安全的信息需要500条，其他种类的信息5000条以上。

在实务中，查获的信息数据一般以电子证据形式居多，公安机关一般会交鉴定机构予以鉴定。但在案件审查中，还是应当对鉴定意见的鉴定过程进行严格审查。尤其是审查逮捕阶段的办案人员，应当对涉案信息进行大致的清点，确定信息条数在立案标准以上，才予以认定。