【解释条文】

《高人民法院、高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

【一条】  刑法二百五十三条之一规定的“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

【本条主旨】

如何妥当把握“公民个人信息”的范围，直接影响到侵犯公民个人信息罪的正确适用。然而，由于刑法二百五十三条之一未对“公民个人信息”作出明确界定，司法实践对此问题存在较大的认识分歧。为统一司法适用，《解释》一条在相关规定的基础上，进一步明确“公民个人信息”包括身份识别信息和活动情况信息。

【条文释义】

一、“公民个人信息”的主体

在《刑法修正案（七）》施行后，关于非法获取公民个人信息罪的“公民”范围如何把握，即存在着不同认识。在《刑法修正案（九）》施行后，对于侵犯公民个人信息罪的对象主体，仍然存在争议。

例如，行为人将其从他人手中获取的国外邮箱账号及密码，在互联网上通过微信群对外出售，违法所得达到数万元。经验证，可以正确登录的邮箱账号密码达到数万组。该案例的主要争议问题在于，对于刑法二百五十三条之一的“公民个人信息”的主体如何把握，是限于中国公民，还是包括外国公民在内。本书认为，对“公民个人信息”的主体范围应采取相对宽泛的理解，既包括中国公民的个人信息，也包括外国公民和其他无国籍人的个人信息。主要考虑如下：

一，刑法的相关用语，如果对主体有限制的，通常会有明确规定。例如，侮辱国旗、国徽罪对象限制为中国的国旗、国徽，而不包括外国的国旗、国徽，故刑法二百九十九条将对象明确规定为“中华人民共和国国旗、国徽”。可以对比的是，刑法二百三十二条规定故意杀人罪的对象为“人”，无疑不能将此处规定的“人”理解为中国人，否则对于在中国境内杀害外国人的案件无法适用该条规定。因此，从刑法规范用语的角度看，刑法二百五十三条之一的用语是“公民个人信息”，并未限定为“中华人民共和国公民的个人信息”，故不应将此处的“公民个人信息”限制为中国公民的个人信息。

二，外国人、无国籍人的信息应当同中国公民的信息一样受到刑法的平等保护，否则，会出现对外籍人、无国籍人个人信息保护的缺失，这显然不符合立法精神和主旨。从个人信息的刑法保护角度而言，“我国对中国公民、处在中国境内的外国人和无国籍人以及遭受中国领域内危害行为侵犯的外国人和无国籍人，一视同仁地提供刑法的保护，不主张有例外。”基于平等适用刑法原则，无论是侵犯我国境内的外国人、无国籍人个人信息的刑事案件，还是我国境内危害行为侵犯境外的外国人、无国籍人个人信息的刑事案件，我国均享有当然的刑事管辖权，对于这类刑事案件没有理由不适用我国刑法的规定追究刑事责任。

三，从司法实践的具体情况看，将大量外籍人、无国籍人个人信息排除在刑法保护之外，无疑放纵了犯罪。特别是，对于一起侵犯公民个人信息犯罪案件所涉及的个人信息既有我国公民的个人信息，也有外国公民、无国籍人的个人信息的，只处罚涉及我国公民个人信息的部分，既不合理，也难操作。

二、“公民个人信息”的内涵

目前，我国关于个人信息的界定，为权威的当属《网络安全法》的规定。《网络安全法》七十六条规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”对侵犯公民个人信息罪的对象“公民个人信息”的界定，无疑应当以《网络安全法》的规定为基础，但宜否直接适用这一规定，则存在不同认识。经研究，《解释》一条在《网络安全法》七十六条规定的基础上，进一步明确“公民个人信息”包括身份识别信息和活动情况信息。主要考虑如下：

其一，对《网络安全法》关于“个人信息”的界定宜采取广义的理解。《网络安全法》将“个人信息”界定为“能够识别自然人个人身份的各种信息”。本书认为，此处显然使用的是广义的“身份识别信息”的概念，既包括狭义的身份识别信息（能够识别出特定自然人身份的信息），也包括反映特定自然人活动情况的信息。从实践来看，行踪轨迹信息系事关人身安全的高度敏感信息，无疑应纳入法律保护范围，且应当重点保护。但是，行踪轨迹信息显然难以纳入狭义的“身份识别信息”的范畴。如果认为《网络安全法》将此类信息排除在“个人信息”的范围外，恐难以为一般人所认同。合理的解释是，《网络安全法》将反映特定自然人活动情况的信息涵括在“身份识别信息”的范畴内。

其二，《网络安全法》对个人信息的界定目的不完全同于刑法二百五十三条之一的规制目的。《网络安全法》一条规定：“为了保障网络安全，维护网络空间主权和安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。”据此，《网络安全法》主要是从网络信息安全的角度对个人信息作出规定，而刑法二百五十三条之一的主要目的在于保护公民个人信息安全和相关合法权益，二者的目的不完全一致。因此，从更为有效保障公民个人信息权益的角度，对“公民个人信息”不应人为限缩范围，宜将反映特定自然人活动情况的信息明确纳入“公民个人信息”的范畴。

其三，刑法关于侵犯公民个人信息犯罪的规定早于《网络安全法》的相关规定。基于此，对侵犯公民个人信息罪所涉及的“公民个人信息”的解释不必完全受制于在此之后施行的《网络安全法》的规定。而且，此前《关于加强网络信息保护的决定》一条一款明确规定：“保护能够识别公民个人身份和涉及公民个人隐私的电子信息。” 上述规定虽然不是直接针对刑法二百五十三条之一规定的“公民个人信息”，但为准确把握“公民个人信息”提供了可资借鉴的基础。《惩处侵害公民个人信息犯罪通知》也明确公民个人信息包括“能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。而从司法实践来看，相关典型案例也明确被告人通过非法跟踪他人行踪所获取的公民的日常活动信息属于“公民个人信息”的范畴。

基于以上考虑，《解释》一条规定：“刑法二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”

三、“公民个人信息”的外延

（一）公民个人公开信息的处理

概览域外数据信息法律保护模式，美国主要采取隐私权保护模式，以隐私权为基础，通过大量判例逐步构建起了一套保护制度。而欧盟关于数据信息的保护，则是从法律上将数据信息视为人格权的延伸。但是，“国际社会对个人信息的保护目的远超隐私利益，是在全面的个人基本权利意义上设计个人数据保护规则的”。对于“个人隐私”的范围本身存在不同认识，但通常认为，个人信息与个人隐私之间虽有交叉但亦有区别。

《解释》一条没有采用“涉及个人隐私信息”的表述，而是表述为“反映特定自然人活动情况的各种信息”。因此，公民个人信息不要求具有个人隐私的特征。即便相关信息已经公开，不属于个人隐私的范畴，但仍有可能成为“公民个人信息”。然而，相关公民个人信息既然已经公开，获取行为无疑是合法的，但后续出售、提供的行为是否合法，是否构成侵犯公民个人信息罪，则在司法实践中存在争议。

例如，行为人从商贸网站和政府部门公开的企业信息网上搜集企业公开发布的信息，包括公司的名称、产品、经营行业、注册信息和公司法定代表人、联系人的姓名、职务、联系方式等。行为人将上述信息存入数据库，供他人付费查询使用。该案例的主要争议就在于公民个人公开信息是否属于刑法二百五十三条之一规定的“公民个人信息”的范畴，非法获取、出售、提供此类公民个人信息的，是否构成侵犯公民个人信息罪？

本书主张不应一概而论，宜区分情况作出处理：

其一，对于权利人自愿公开、甚至主动公开的公民个人信息，行为人获取相关信息后出售、提供的行为，目前不宜以侵犯公民个人信息罪论处。主要考虑如下：

（1）关于公民个人信息的权利属性，存在不同看法。但一般认为，公民个人信息一定程度上是从隐私权中分离出来的权利。特别是在我国，以往对公民个人信息的界定直接采用了“涉及个人隐私”的表述。因此，侵犯公民个人信息罪所保护法益的重要方面应当为隐私和生活安宁。由于行为人自愿公开、甚至主动公开相关个人信息，将其获取后并出售或者提供的行为，通常不会对权利人的隐私和生活安宁造成侵犯，不宜适用侵犯公民个人信息罪。特别是，有些情形下行为人希望相关信息传播，如涉及公民个人信息的广告信息和商贸信息，将其认定为犯罪明显违背一般人的认知。

（2）根据刑法二百五十三条之一的规定，向他人出售或者提供公民个人信息构成侵犯公民个人信息罪，须以“违反有关规定”为前提。为稳妥起见，对于相关情形追究刑事责任，应当进一步审查出售、提供行为是否违反法律、行政法规、部门规章的禁止性规定。对于权利人自愿公开、甚至主动公开的公民个人信息，经整理后（未形成新的信息内容）向他人提供的行为，是否可以推定被收集者存在概括同意，从而无须就出售或者提供行为再次获得被收集者同意，实践中存在不同认识。本书认为，关于公开公民个人信息获取后出售或者提供的行为，是否需要权利人“二次授权”，目前我国相应的法律法规和部门规章缺乏明确规定。在此背景下，除相关权利人要求“二次授权”的外，宜推定存在概括同意，不宜对收集后出售或者提供的行为要求“二次授权”，也就不应认为行为人出售或者提供公民个人信息的行为系“违反有关规定”。

（3）当前，我国侵犯公民个人信息违法犯罪泛滥，公民个人信息保护水平整体不高。在此背景下，对侵犯公民个人信息罪的适用应当主要以涉侵犯未公开的公民个人信息案件为重点，切实加大对公民个人信息的刑事保护水平。否则，由于涉出售、提供公开公民个人信息的案件侦办难度相对较小，公安机关可能以此类案件为打击重点，反而会造成对未公开的公民个人信息刑事保护的不力，长此以往，可能会偏离侵犯公民个人信息罪的立法旨趣和修法精神。

其二，对于行为人非自愿公开或者非主动公开的公民个人信息，行为人获取相关信息后出售、提供的行为，可以根据情况以侵犯公民个人信息罪论处。实践中，有些公开信息并非权利人自愿公开，如个人信息被他人通过信息网络或者其他途径发布；有些信息并非权利人主动公开，如有关部门为救济、救助或者奖励而公示的公民个人信息；有些信息的扩散并非权利的人的意愿，如权利人发现个人信息被收集后主动要求行为人删除。上述情形中，获取相关信息的行为可以认定为合法，但后续的出售或者提供行为明显违背了权利人意愿，对其个人隐私和生活安宁造成侵犯，对其中情节严重的行为完全可以适用侵犯公民个人信息罪予以惩治。

（二）公民个人部分关联信息的认定

公民个人信息须与特定自然人关联，这是公民个人信息所具有的关键属性。因此，经过处理无法识别特定个人且不能复原的信息，虽然也可能反映自然人活动情况，但与特定自然人无直接关联，不能成为公民个人信息的范畴。对于与特定自然人的关联，可以是识别特定自然人身份，也可以是反映特定自然人活动情况。需要注意的是，无论是识别特定自然人身份，还是反映特定自然人活动情况，都应当是能够单独或者与其他信息结合所具有的功能。例如，身份证号与公民个人身份一一对应，可以单独识别公民个人身份；而工作单位、家庭住址等无法单独识别公民个人身份，需要同其他信息结合才能识别公民个人身份。但是，上述两类信息无疑都属于公民个人信息的范畴。

对于不能单独识别特定自然人身份或者反映特定自然人的活动情况的部分关联信息中的哪些信息可以纳入“公民个人信息”的范畴，即公民个人信息所要求的可识别程度，实践中又存在不同认识。

例如，行为人系医药代表，基于对医生给予回扣的目的，从医院计算机主管处非法获取了有关病床使用其负责销售的药品情况。相关信息只涉及病床号（相应病床由特定医生负责）和使用特定药品情况，无病人姓名、身份证号等其他个人信息。该案例的主要争议问题在于如何认定公民个人信息的可识别性。

本书主张，在司法适用中具体判断部分关联信息是否可以认定为“公民个人信息”时，可以从信息本身的重要程度、需要结合的其他信息的程度、行为人的主观目的等三个方面加以判断。具体而言：

（1）信息本身的重要程度。如果涉案的信息与人身安全、财产安全密切相关，敏感程度较高，则对于此类信息在认定是否属于“公民个人信息”时，可以采取相对从宽的标准。

（2）需要结合的其他信息的程度。如果涉案信息本身与特定自然人的身份、活动情况关联程度高，需要结合的其他信息相对较少，则认定为“公民个人信息”的可能性较大；反之，如果需要结合的其他信息过多，则认定为“公民个人信息”的可能性较小。

（3）行为人的主观目的。如果行为人主观上获取涉案信息就不需要识别特定自然人身份或者反映特定自然人活动情况，则此类部分关联信息一般不宜认定为“公民个人信息”。

按照以上原则，上述案件所涉信息不宜纳入“公民个人信息”的范畴。主要考虑如下：该案涉及的病床号、用药情况等信息本身与权利人的人身安全、财产安全关联不大，敏感性程度较低，将其认定为公民个人信息宜从严把握；该案涉及的病床号、用药情况等信息无法直接识别特定自然人，需要结合姓名等其他重要个人信息或者较多其他个人信息才能识别特定自然人；从行为人的主观目的来看，其就是想获取特定病床号的用药情况，至于该病床所关联的具体自然人并非其主观所追求的。

（三）公民个人账号密码的属性

对于“账号密码”能否纳入“公民个人信息”的范围，存在不同认识。经研究认为，实际上，当前账号密码往往绑定身份证号、手机号码等特定信息，即使未绑定特定信息，非法获取账号密码后也可以实施进一步的侵犯财产、甚至人身的行为。故而，将“账号密码”列明，有利于保护公民个人信息安全和合法权益。基于此，《解释》一条明确将“账号密码”列为“公民个人信息”的范围。

顺带提及的是，对于IP地址、设备ID等信息和cookie信息是否属于公民个人信息，存在较大的争议。以cookie信息为例，用户的cookie信息反映了网络用户的网络活动轨迹及上网偏好，具有隐私属性，但是否属于公民个人信息存在不同认识：

一种观点认为，这些信息无法确定具体的信息归属主体，其终端是浏览器，没有定向识别使用该浏览器的网络用户身份。而且，如果将这些信息纳入公民个人信息的范畴，将使得精准广告业务被完全禁止，不符合产业发展趋势。

另一种观点认为，浏览器背后是特定用户，且多数浏览器终端是特定用户长期使用，故这些信息实际上具有识别用户身份的特征，而且精准广告投放的目标也是针对浏览器背后的用户，故这些信息应当被纳入公民个人信息的范畴。

对于上述问题，本书主张不作一概而论，应当根据案件具体情况作出判断。申言之，应当根据公民个人信息所有具有的“识别特定自然人身份或者反映特定自然人活动情况”这一关键属性，对上述信息是否属于公民个人信息作出判断。