公民个人信息是电信网络犯罪中的关键要素。所有的电信网络诈骗，归根结底都需要针对人来进行，如果不存在公民个人信息的泄露，电信网络诈骗就成了无源之水、无本之木。数据显示，有四分之一的网络诈骗是在获取公民个人信息后“精准出手”，有针对性实施犯罪。因此，侵犯公民个人信息已成为网络犯罪黑灰产业的关键环节，随着近年来电信网络诈骗犯罪的猖獗，侵犯公民个人信息犯罪案件也急剧增长。据最高人民法院统计的数据，2009年至2017年12月八年期间，全国法院审理侵犯公民个人信息罪刑事案件2826起，判决4942人。而最高人民检察院2022年3月2日发布的全链条整治电信网络诈骗犯罪数据显示，2020年检察机关依法起诉侵犯公民个人信息犯罪6033人，2021年全国起诉公民个人信息犯罪9800余人，同比上升了64%。但我们也必须看到，尽管2017年两高就发布了侵犯公民个人信息罪的司法解释，但随着《网络安全法》、《个人信息保护法》、《民法典》等多个法律的出台，司法实践中对侵犯公民个人信息犯罪中公民个人信息的范畴、行为特征和处罚边界还存在争议，侵犯公民个人信息与上下游行为此罪与彼罪的关系还需要进一步厘清。

一、个人信息的概念与特征

      《民法典》第1034条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”

      《网络安全法》第76条规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”

       《个人信息保护法》第4条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”

      《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《侵犯公民个人信息刑事案件司法解释》）第1条规定：“刑法第253条之一规定的公民个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息相结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”

      虽然不同的法律规定对个人信息的定义各有不同，如2017年两高的司法解释并未将生物识别信息纳入个人信息范围，但由于2021年发布的《个人信息保护法》对生物识别信息已有明确的规定，根据法秩序统一性原则，即便司法解释没有对生物识别信息作出明确规定，也不影响刑法惩治非法获取、非法提供个人生物识别信息的行为。综合上述法律规定对个人信息的定义，公民个人信息应具备如下两个特征：

       一是与特定自然人的关联性。必须与特定自然人关联，这是公民个人信息所具有的关键属性。公民个人信息必须能够单独或结合起来识别特定自然人的身份，或者反映特定自然人的活动情况，比如财产状况、行踪轨迹等等。如果不能与特定自然人相关联，就不能认定为个人信息。如单位和死者的信息，就不能认定为个人信息；对于企业工商登记等信息中所包含的手机、电话号码等信息，应当明确该号码的用途。对由公司购买、使用的手机、电话号码等信息，不属于个人信息的范畴，从而严格区分“手机、电话号码等由公司购买，归公司使用”与“公司经办人在工商登记等活动中登记个人电话、手机号码”两种不同情形。

       二是可识别性。个人信息必须具有可识别性，对于经过处理无法识别特定自然人且不能复原的信息，虽然也可能反映自然人活动情况，但与特定自然人无直接关联，不构成本罪的个人信息。《个人信息保护法》第51条规定，“个人信息处理者应当。。。采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：（三）采取相应的加密、去标识化等安全技术措施；”对于去标识化、匿名化无法识别特定自然人且无法复原的个人信息，不能认定为刑法侵犯公民个人信息罪的“个人信息”。

        需要注意的是，个人信息要求必须能够单独或与其他信息结合起来识别特定自然人的身份或反映其活动情况，除了身份证号码等极个别个人信息外，其他单独的个人信息都难以与公民个人身份或活动情况相对应，需要结合其他信息来识别。因此，并不是任何一项信息就足以单独构成本罪的个人信息。比如说行为人公布某高校教师名单，不可能成立本罪；单独的一个电话号码也很难识别出自然人。而“姓名+电话号码”这种组合信息，就可以充分识别出特定自然人的身份情况。

      《个人信息保护法》第3条明确规定：“在中华人民共和国境内处理自然人个人信息的活动，适用本法。”因此，对本罪规定的公民个人信息，主体范围要采取相对宽泛的理解，既包括中国公民的个人信息，也包括外国公民和其他无国籍人的个人信息。

二、公民个人信息的分类

       根据《侵犯公民个人信息刑事案件司法解释》的规定，公民个人信息一般可以分为三类：第一类是“行踪轨迹信息、通信内容、征信信息、财产信息”等信息；第二类包括“住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息”；第三类是上述两类信息之外的其他个人信息。

       而《个人信息保护法》则将公民个人信息分为敏感信息和一般信息两大类。敏感信息是一旦泄漏或非法使用容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的信息。敏感信息范畴之外的则认定为一般信息。

        一般来说，《个人信息保护法》规定的敏感信息包括司法解释中的第一类和第二类信息，但还是有所区别，一是敏感信息中的特定身份没有明确的标准来认定，二是生物识别信息不能明确属于司法解释中的第一类还是第二类信息。人脸识别、指纹识别技术已经在日常生活中普及化，过度收集、随意共享公民生物识别信息和数据的情形也广泛存在，但由于司法解释规定的第一类信息立案标准是五十条，第二类信息立案标准为五百条，两者之间相差了十倍，这就需要两高对侵犯公民生物识别信息的行为认定标准予以进一步规范。

        此外，由于科技的进步，大数据时代个人信息的融合度越来越高，一条信息中包含的内容可能是多条信息的整合。比如防控新冠疫情使用的“健康码”，不仅包含了使用者的个人身份信息，还囊括了人脸识别或指纹识别的生物识别信息、核酸检测和疫苗接种的健康生理信息、扫描健康码而生成的行踪轨迹信息等等，对这种高度融合多种信息的个人信息，就无法按照司法解释的规定进行简单分类，容易在司法实践中出现分歧。

三、侵犯公民个人信息犯罪的实行行为

        根据刑法对本罪的规定，侵犯公民个人信息的实行行为主要包括：向他人出售或者提供公民个人信息；将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的；窃取或者以其他方法非法获取公民个人信息的行为。简单归纳，侵犯公民个人信息罪的实行行为主要包括：非法获取；非法获取+非法提供；合法获取+非法提供，非法获取+合法利用等情形。

     （一）非法获取公民个人信息的行为

       根据《刑法》第253条之一第3款的规定，窃取或者以其他方法非法获取公民个人信息是侵犯公民个人信息罪的行为方式之一。《侵犯公民个人信息刑事案件司法解释》第4条规定：“违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之第三款规定的以其他方法非法获取公民个人信息”。

       司法解释中的“违反国家规定”，主要是指《网络安全法》、 《个人信息保护法》、《民法典》等法律法规以及其他关于公民个人信息管理规定。从司法实践来看，非法获取公民个人信息的行为主要表现为购买、收受、交换、侵入计算机信息系统或以其他技术手段获取公民个人信息。

        需要注意的是，房产中介、物业管理公司、保险公司的业务员与同行互相交换各自掌握的客户信息的行为，也属于非法获取行为；行为人在履行职责提供服务过程中，违反国家规定，未经他人同意收集公民个人信息，或者收集与提供的服务无关的个人信息的，也属于非法获取公民个人信息。特别是在套路贷案件中，小贷公司基本上都会要求贷款人开放手机通信录权限，从而收集贷款人手机通信录信息，尽管此种行为有贷款人的授权，但收集的信息并不限定了贷款人本身的通信信息，还包括贷款人手机通信录里的他人手机号码和通信信息，也属于非法获取公民个人信息的行为。

     （二）非法获取+非法提供公民个人信息的行为

向他人出售或提供公民个人信息亦是刑法关于侵犯公民个人信息罪规定的实行行为，《侵犯公民个人信息刑事案件司法解释》第3条第1款规定：“向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的提供公民个人信息”。因此，非法提供公民个人信息就存在三种情形：一是向他人出售；二是向特定人提供；三是通过信息网络或其他途径发布。

      （三）合法获取+非法提供公民个人信息的行为

      《侵犯公民个人信息刑事案件司法解释》第3条第2款规定：“未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的提供公民个人信息，但是经过处理无法识别特定个人且不能复原的除外。”《网络安全法》第42条规定：“网络运营商不得泄漏、篡改、毁损其收集的个人信息，未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。”《个人信息保护法》第23条规定：“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。”第25条规定：“个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。”第26条规定：“在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。”

       根据上述规定，网络运营商、公共场所信息采集单位及其他个人信息处理者，违反上述个人信息管理规定，将合法收集的个人信息非法提供给他人的，达到本案立案追诉标准的，应以侵犯公民个人信息犯罪追究刑事责任。

       值得注意的是，对于处理个人已经公开的信息，只要处理方式在合理的范围内，一般阻却犯罪的成立。《个人信息保护法》第27条规定：“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息，个人明确拒绝的除外。个人信息处理者处理已经公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。”《民法典》第1036条规定：“处理个人信息，有下列情形之一的，行为人不承担民事责任：（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。”可见，对于个人已经公开的个人信息，只要在合理范围内，未偏离该信息公开的目的，没有改变其用途的行为，没有侵害法益主体的法益处分自由的，不属于刑法所保护的行为对象。

      （四）非法获取+合法利用公民个人信息的行为

      《侵犯公民个人信息刑事案件司法解释》第6条规定：“为合法经营而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息，”情节严重的，应认定为侵犯公民个人信息。

       司法解释第五条第三项规定的公民个人信息包括“行踪轨迹信息、通信内容、征信信息、财产信息”，第四项规定的公民个人信息包括“住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息”。

       可见，对于非法获取但合理利用公民个人信息的行为，司法解释对入罪标准作出了一定的限制：一是目的合法，是为了合法经营活动；二是范围限定，即仅限于普通公民个人信息，不能包括可能影响人身、财产安全的敏感信息；三是行为限定，即行为方式仅限于购买收受，信息不能再流出扩散；四是情节严重，根据司法解释的规定，情节严重的标准为“（一）利用非法购买、收受的公民个人信息获利五万元以上的；（二）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的；（三）其他情节严重的情形。”对此种情形，司法解释规定一般在三年以下有期徒刑或者拘役，并处或者单处罚金范围内量刑。

       但对为了合法经营活动而非法购买、收受公民个人信息后，再次将公民个人信息非法出售或提供的情形，应按照司法解释第五条规定的定罪量刑标准认定，符合刑法规定的“情节特别严重”标准的，可以处三年以上七年以下有期徒刑，并处罚金。

四、侵犯公民个人信息犯罪与关联犯罪的认定

     （一）设立网站、通讯群组侵犯公民个人信息的认定

      《侵犯公民个人信息刑事案件司法解释》第8条规定：“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组，情节严重的，应当依照刑法第二百八十七条之一的规定，以非法利用信息网络罪定罪处罚；同时构成侵犯公民个人信息罪的，依照侵犯公民个人信息罪定罪处罚。”实践中，行为人通过建立网站供他人进行公民个人信息的交换、买卖，但由于网站建立者管理者不直接接触个人信息，因此无法以侵犯公民个人信息罪定罪处罚，只能依据刑法第287条之一规定的非法利用信息网络罪定罪处罚。

     （二）拒不履行公民个人信息安全管理义务的认定

      《侵犯公民个人信息刑事案件司法解释》第9条规定：“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。”互联网时代，许多网络科技公司因为提供服务或履行职责的需要，掌握了海量的公民个人信息，比如阿里、腾讯、百度、苹果提供的云盘服务，支付宝和财付通通过第三方支付掌握的大量财产信息，这些信息如果泄露，不仅会危及公民个人信息安全，更有可能造成国家利益严重受损。因此，《网络安全法》明确了网络信息安全的责任主体，确立了“谁收集、谁负责”的原则，将收集和使用个人信息的网络运营者设立为个人信息保护的责任主体。《网络安全法》第20条规定：“网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。”第25条规定：“网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。”第42条规定：“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄漏、损毁、丢失。”一旦网络运营者违反了《网络安全法》规定的监管义务，造成严重后果的，就有可能承担拒不履行信息网络安全管理义务罪的刑事责任。

      （三）利用网络技术侵入计算机信息系统获取个人信息的认定

       《网络安全法》第二十七条规定：“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。”《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第11条第1款规定：“计算机信息系统”和“计算机系统”，是指具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。

       行为人超出授权范围使用账号、密码登录计算机信息系统，或者通过植入木马程序的方式，非法获取网站服务器的控制权限，进而通过修改、增加计算机信息系统数据，对该计算机信息系统实施非法控制，但未造成系统功能实质性破坏或者不能正常运行的，应当认定为非法控制计算机信息系统的行为；侵入计算机信息系统后下载其储存的公民个人信息数据，可以认定为非法获取计算机信息系统数据。行为同时触犯“非法控制计算机信息系统罪”、“非法获取计算机信息系统数据罪”、“侵犯公民个人信息罪”的，应依照处罚较重的规定处罚。

       行为人违反国家规定，为非法获取公民个人信息，采取技术手段侵入计算机信息系统，并对计算机信息系统功能进行删除、修改、增加、干扰，导致计算机信息系统不能正常运行，或者对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，应以破坏计算机信息系统罪定罪量刑。行为人在破坏计算机信息系统的同时还非法收集计算机信息系统内的公民个人信息的，应以破坏计算机信息系统罪和侵犯公民个人信息罪数罪并罚。

      （四）非法利用个人信息非法入侵计算机信息系统的认定

        关于非法利用个人信息非法入侵计算机信息系统的问题，周光权教授在其文章《涉人脸识别犯罪的关键问题》里提到了两个案例。一个是重庆市渝中区人民检察院渝中检刑诉（2020）1171号起诉书指控：“2019年12月以来，被告人祁某利用FD软件，通过对计算机信息系统中传输的人脸比对数据进行替换的方式，帮助单某等人（另案处理）在重庆市政府APP渝快办平台及重庆税务微信公众号上以他人的身份信息进行公司注册登记和电子税务注册，以此方式违规办理了165家公司的营业执照和18家公司的电子税务账号，从中非法获利人民币2.8万余元。”检察机关认为，被告人祁某违反国家规定，对计算机信息系统中传输的数据进行修改的操作，构成破坏计算机信息系统罪。还有一个是上海市虹口区人民检察院沪虹检刑诉（2020）32号起诉书指控：被告人吴某自2020年4月起，利用非法获取的身份证照片等公民个人信息，采用不法技术手段，帮助朱某某、梁某某（均另案处理）等人破解上海“一窗通”、“电子营业执照”、“登记注册身份验证”、“上海电子税务局”、“交管12123”等计算机信息系统的人脸识别认证程序，帮助他人利用公民个人信息实施非法侵入计算机信息系统、虚开发票等违法犯罪行为，从中获取违法所得人民币6万余元。检察机关认为，被告人吴某违反国家有关规定，利用非法获取的公民个人信息从事违法犯罪活动并从中牟利，情节特别严重，应以侵犯公民个人信息罪追究其刑事责任。

       从上述两个案例可以看出来，司法机关对于此种利用公民个人信息实施入侵计算机信息系统犯罪的定性，还是存在认知差距的。这里笔者不探究入侵计算机信息系统案件到底构成非法控制计算机信息系统罪还是非法获取计算机信息系统数据罪，但就利用公民个人信息，破解计算机信息系统准入系统实施其他犯罪，既构成侵犯公民个人信息罪，又构成其他犯罪的，应依照处罚较重的罪名定罪量刑。

五、侵犯公民个人信息罪处罚的辩护要点

     （一）司法解释明文规定可以不诉的情形

       《侵犯公民个人信息刑事案件司法解释》第10条规定：“实施侵犯公民个人信息犯罪，不属于“情节特别严重”，行为人系初犯，全部退赃，并确有悔罪表现的，可以认定为情节轻微，不起诉或者免予刑事处罚；确有必要判处刑罚的，应当从宽处罚。”

       根据该规定，侵犯公民个人信息犯中“不属于‘情节特别严重’+ 初犯 + 全部退赃 + 确有悔罪表现”的，可以认定为“犯罪情节轻微”，检察机关可以不起诉，法院可以判决免予刑事处罚。

     （二）自然人自行公开或者其他已经合法公开的信息不能认定为本罪保护的公民个人信息

对于可以公开查阅的个人信息，要结合个人信息是否系自然人自行公开或者其他合法公开的信息来综合判断是否属于公民个人信息。对于经过合法公开途径，可以查到包含公民个人信息的企业经营信息或者企业法人高管手机姓名等资料的，不宜认定为公民个人信息。

     （三）涉案公民个人信息数量的认定

       根据《侵犯公民个人信息刑事案件司法解释》第11条的规定，非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算；向不同单位或者个人分别出售、提供同一公民个人信息的，公民个人信息的条数累计计算；对批量出售、提供公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。在实践中，如犯罪嫌疑人多次获取同一条公民个人信息，一般认定为一条，不重复累计；但获取的该公民个人信息内容发生了变化的除外。