侵犯公民个人信息罪的行为对象.docx

圜。公民个人信息O的行艰在现代信息社会，个人信息一旦被非法获取就可能在网络中迅速扩散，有些敏感个人信息一旦脱离了合法的处理范围被泄露和使用，会给被害人造成巨大精神伤害，衍生出包括恶意人身骚扰、盗用他人名义注册、精准实施电信网络诈骗犯罪、绑架犯罪等各种复杂问题，网络“黑产”参与非法获取、提供个人信息还可能引发社会管理秩序的混乱。因此，对侵犯公民个人信息罪依法进行惩处极为必要。本文结合正在讨论中的个人信息保护法草案（二审稿）对侵犯公民个人信息罪的行为对象尤其是个人信息的范围、分类、公开性等三个问题进行探讨，厘清其与民法上相关概念的关联性与细微差异，以期消除刑事司法实务上的相关分歧。一、刑法中个人信息的概念及种类根据刑法第253条之一的规定，违反国家有关规定，向他人出售或者提供公民个人信息情节严重的，以及窃取或者以其他方法非法获取公民个人信息的，构成侵犯公民个人信息罪。据此，目前我国法律并不禁止企业或个人从事个人信息相关业务，更不会禁止对信息的合理使用，刑法要反时的是违反国家规定，向他人出售、提供或非法获取公民个人信息的行为，并非只要从事与个人信息相关的非法业务均成立犯罪，因此，本罪的处罚范围是有限的。除了行为手段的限制之外，本罪在行为对象上也有严格限制。本罪并不笼统处罚所有非法获取、提供信息、数据的行为，仅将与个人有关的信息作为保护对象。这L规定与网络安全法的相关规定相L致。该法第42条规定，网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。其第44条规定，任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。关于刑法上个人信息的概念及其外延是否必须和民法典、网络安全法以及个人信息保护法草案（二审槁）的规定保持L致，个人信息的可识别性是否需要坚持，在刑法学上存在争议，很值得探讨。（一）刑法上个人信息概念的演进我国个人信息保护的实践早期主要在刑事领域展开，而且从现有的治理侵犯公民个人信息的措施看，刑罚仍然承担着主要角色，且持一种严罚的态度。（1）参见汪明亮：治理侵犯公民个人信息犯罪之刑罚替代措施，载G东方法学2019年第2期，第16页。最高人民法院、散高人民检察院、公安部关于依法惩处侵害公民个人信息犯翠活动的通知3（2013年4月23日）规定，公民个人信息，包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。这是刑事司法解释中最早出现个人信息的就念，其在广义上把握个人信息，将识别个人身份或者涉及公民个人隐私的信息都包括在内。这种刑事司法取向，即使是在2016年网络安全法颁布之后，也没有大的调整。根据网络安全法笫76条第5项的规定，个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。网络安全法基本属于在狭义上理解个人信息，将其界定为能够识别个人身份的信息，没有明确提到个人信息包括1涉及公民个人隐私的信息，此后，最高人民法院、最高人民检察院发布了关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释（2017年5月8日发布，以下简称“2017年刑事司法解簪）其也并未按照网络安全法的逻辑界定个人信息，而是对其有较大拓展，该解释第1条规定，刑法第253条之一规定的公民个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号卷码、财产状况、行踪轨迹等。这样一来，在个人身份信息之外能够"反映特定自然人活动情况的各种信息”，也属于个人信息。时于这一解看，可以认为其比之前实施的网络安全法以及关于依法惩处侵害公民个人信息犯罪活动的遹知中关于个人信息的界定还要宽泛，因为在2013年的通知中，个人身份之外的“公民个人隐私"可以成为个人信息。但是，在2017年的司法解释中，只要是“反映特定自然人活动情况的各种信息，即便其不属于民法典第1032条与第1034条第3款规定的个人隙私，不涉及私人生活安宁，或者与私密空间、私密活动、私密信息无关，也是个人信息。例如，乙每天固定坐班车前往单位的行踪轨迹，也可能成为本罪的行为对象，行为人甲对被害人乙的日常生活轨迹进行技术追踪定位，然后将该信息非法提供给被害人的仇人丙，丙掌握领导乙的生活规律后，对离开班车后步行回家途中的乙实麴绑架行为的，可以认定甲构成侵犯公民个人信息罪。在2017年刑事司法解释实施之后，立法上进一步对个人信息概念进行了明确。根据民法典第1034条第2款的规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期,身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息保护法草案（二审稿）第4条第1款规定，个人信息是以电子或者其他方式记录的与巳识别或可识别的自然人有关的各种信息，不包括匿名化处理后的信息。通过上述校理可以看出：前述司法解绛以及立法都试图厘清个人信息概念，在相关规定中，都重视信息在识别特定个人方面的功能发挥，采用列举与祝括相结合的规范方式，其中关于等信息”的规定，能够将需要保护的个人信息“兜得住”，不会形成利益保护方面的漏洞。单纯从文字表述上看，刑法中个人信息的外延与民法典以及个人信息保护法草案（二审稿）有所差异。但是，这样的差异基本上是无关紧要的。在刑事司法实践中，行为人所侵犯的个人信息，基本都是民事上常见的信息类型，且大多表现为多种信息的组合。例如，行为人一次性非法出售含有身份证号码、住所地址、手机号码、车牌号码、车辆品牌、机动车所有人、车辆识别代码等多种信息的案件在实践中屡见不鲜。（2）参见江苏省南通市中级人民法院（2018）苏06刑终字第342号刑事裁定书。民法典或个人信息保护法草案（二审稿）中有明确规定，但刑事司法解释上未明确列举的信息类型，不等于刑法上不处罚。例如，民法典第1034条第2款将健康信息明确规定为个人信息。2017年刑事司法解释上并无类似规定。但是，实务上对于非法获取、提供慢性病监测系统病人信息的案件，仍然以本罪论处。（3）参见重庆市忠县人民法院（2017）渝0233刑初字第198号刑事判决书。此外，在民法典以及网络安全法中,都将生物识别信息明确规定为个人信息，在个人信息保护法草案（二审稿）第29条第2款中，将个人生物特征"明确规定为个人敏感信息。但是，在2017年刑事司法解释中并无相关规定。不过，这丝亳不影响司法机关未来对非法获取、提供个人生物信息的行为认定为犯罪。例如，行为人如果使用"人脸识别软件1识别他人的人脸信息，或对人脸识别数据进行加工，然后提供给第三方的，完全可以构成本罪。刑法上早期重视隐私，将其与个人身份信息并列，但是，近年来巳经不再强调信息的隐私性质。但是，实务上，对于客观上与特定自然人相关联的隐私信息的保护非常重视，侵犯的个人信息涉及个人隐私的更容易成为定罪理由。例如，2016年12月至2017年4月，被告人朱仕展利用在青岛市公安局城阳分局指挥中心工作便利，私自利用民警边某的数字证书查询他人的"开房信息”700余条，贩卖给被告人兰倩倩，后者向被告人朱仕展支付人民币7万余元，法院以本罪判处被告人朱仕展有期徒刑3年2个月。（4）参见山东省青岛市城阳区人民法院（2017）鲁0214刑初字第635号刑事判决书。刑法和民法对个人信息保护的侧重点有所不同。在2017年刑事司法解稀中特别将账号密码、财产状况明确列举出来，实务中对于财产信息的保护也特别看重。例如，被告人王敏利用其在宁波市不动产登记中心的工作便利，以每条70至Ioo元的价格，向被告人陈建波出售公民个人房产信息190余条，法院认定被告人构成本罪。（5）参见浙江省宁波市中级人民法院（2018）浙02刑终字第893号刑事裁定书。但是，在民法典第1034条第2款中并未明确列举账号密码、财产状况。而在个人信息保护法草案（二审稿）第29条第2款中，金融账户不仅是个人信息，而且是敏感个人信息。不过，由于财产所有者的财产状况、账户密码等信息总是和个人相关联，能够对应个人其他信息，因此，民法典与其他部门法或者2017年刑事司法解释之间的规范表述差异，并不意味着民法典的规定有缺漏。例如，行为人通过不法手段获取其他公民在网络上所注册使用的账号密码（如微信号、邮箱账户密码、支付宝账号等）的，这些账号的账户本身外在表现为数字符号，但账户内往往记载或者能反映出注册人的姓名、手机号、身份证号等个人信息，张号最终都指向具体个人。尤其是在2016年7月1日非银行支付机构网络支付业务管理办法实施之后，凡是具有支付功能的第三方支付账号都将要求实名认证后才可以使用。这些经过实名认证的账号具有极强的身份属性，可以理解为2017年刑事司法解释中的账号密码，也可以将其理解为包含了民法典第1034条第2款规定的自然人的姓名.身份证件号码等信息。此外，个人财产状况等信息也总是和个人相关联的，行为人非法购买公民户籍信息、机动车档案信息等公民个人信息，小区业主信息等，既涉及个人财产信息，也涉及个人身份信息。例如，被告人李某将自己在名为“成都楼盘信息”的通讯群中非法获取的数万条含有楼盘名称及楼栋号、业主姓名、业主电话的公民个人信息非法出售、提供的，法院认定被告人构成本罪，（6）参见成都市锦江区人民法院（2019）川0104刑初字第31号刑事判决书。在这里，个人财产信息和身份信息密不可分，不能认为该行为仅违反2017年刑事司法解释的规定，而不违反民法典第1034条笫2款的规定。上述分析说明，关于个人信息的外延，刑法上的认识确实和其他部门法之间存在细微差别，不同部门法的规范目的不同，在溉念使用上有所不同，这是非常正常的现象。（7）刑法上关于信用卡的理解和金融管理法规的观点不同，就属于这种情形。但是，这丝毫不意味着刑法上的判断可以抛开民法典、网络安全法乃至个人信息保护法草案（二审稿另搞一套”：也并不是像有的学者所认为的那样，刑法中的个人信息可以不要求可识别性。（8）持这种观点的学者为数极少。相关论述请参见晋涛：刑法中个人信息“识别性”的取舍，栽中国刑事法杂志2019年第5期，第70页。一方面，由于本罪的成立以违反国家有关规定为前提，那么.民法典、网络安全法以及个人信息保护法草案（二审稿）等前置法关于个人信息外需的规定对于定罪就会产生影响，这是法秩序统一性原理的内在要求。要遵循法秩序的统一性，就要防止将前置法上不具有违法性的行为在刑法上认定为犯罪。法秩序统一性要求在处理某一个行为时，所有的规范秩序不能相互矛盾，如果某种利益在民法上不受保护，刑法上却将针对该利益所实施的行为认定为犯罪，公众的自由行动就会不当受限。唯有民法、行政法等前置法所要反对的行为，才有可能成为犯罪行为。在刑法与民法规范的保护目的相一致的场合，刑法应当从属于民法，这是法秩序统一性的当然要求。（9）参见周光权：处理刑民交叉案件需要关注前置法，载法治日报2021年4月7日，笫9版。对于本罪的成立而言，民法典、网路安全法乃至个人信息保护法草案（二审稿）对于个人信息外延的框定，为定罪提供支撑，同时成为刑法保护个人信息的最大边界。当然，由于刑法的构成要件设计上存在缩小处罚范围的政策考虑,也由于刑法主要在与公民人身、财产权利相关联的意义上把握个人信息，因此，前置法上的违法行为中只有极小部分最终被作为本罪结理，刑法上必须做相对独立的违法性判断。“其他法域认为违法而刑法上亦应认定为违法这一推论，既非推论上的必然，亦非刑事政策与刑罚目的的彰显，因而刑法不可能为了追求'逻辑的统一性而将所有民事违法行为、行政违法行为均认定为具有刑事违法性，只能将那些违法性达到值得科处刑罚程度的行为认定为具有刑事违法性，这就需要在一定程度上承认违法判断的相对性”（10）王昭武：法秩序统一性视野下违法判断的相对性，载中外法学2015年第1期，第179页。在这个意义上可以认为,刑法实务上对于个人信息的把握，在很大程度上要小于民法典等前置法所划定的范围。另一方面，个人信息和隐私这两个概念有所区别，但是二者之间存在交叉，不是对立的概念。民法典第1032条第2款规定，隐私是自然人的私生活安宁和不愿为人所知晓的私密空间、私密活动、私密信息。这里的私密信息与个人信息有区别也有联系：区别在于个人信息既包括私密信息，也包括非私密信息，其范围广于私窗信息；联系是私密信息对个人有很强的识别性，其也属于个人信息的范畴。由此可见，有的数据信息既属于个人信息，又属于个人私密信息（隐私），例如，行踪轨迹、健康信息、手机定位等信息，可以认为其属于隐私，当其与个人的姓名、手机号码有关联时，其又属于个人信息。因此，认为“被害人的日常活动并不具有合理的识别性"（11）参见叶良芳、应家赞：非法获取公民信息罪之"公民个人信息”的教义学阐簪，载浙江社会科学2016年第4期，第75页以下。的观点，未必站得住脚。更何况，从实践来看成为问题的那些行踪信息的获取都L定和特定的人直接关联，至少属于"姓名+行踪信息"的组合，将其作为可以识别个人的信息看待完全是没有问题的。对此，从民法典第1034条第2款规定"个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的行琮信息等”的表述中可以印证，即行踪信息仍然具有识别特定自然人的特征。换言之，刑法上的个人信息，既包括可以识别身份的个人信息，也包括极少数能够识别个人的陛私信息，只不过这种能够识别个人的隐私信息在2017年刑事司法解释中被表述为“反映特定自然人活动情况的各种信息-而已。如此一来，呼吁刑法学要在民法典等前置法之外另行提出个人信息概念的观点，（12）同前注（8）,晋涛文，笫71页。既与学理不符，也与民法典第1034条第2款的规定相抵触。（二）刑法中个人信息的具体把握1 .具有可识别性个人信息必须与自然人相关联，而且与特定自然人相关联，同时具有识别性，即通过该信息已识别或者可识别特定自然人。（1）个人信息必须与特定化的自然人关联，这是公民个人信息所具有的关键属性。个人信息要能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况，因此，经过匿名化处理后无法识别特定个人且不能夏原的信息，虽然也可能反映自然人的活动情况，但与特定的自然人无直接关联，不属于公民个人信息的范畴。在有的案件中，行为人与他人交换信息，但其中企业注册登记信息的数量特别大，其中姓名采用代称（比如，记录为周经理、李总、等称呼或仅有王、吗等姓氏）的，无法识别到特定自然人，这些信息都属于经过匿名化处理的信息，在计算犯罪的个人信息数量时，应当予以剔除。此外，行为人在交换信息之前将信息打乱导致信息不真实（比如将不同名单的姓名和手机号码进行了对调）的，个人姓名虽然还存在，但该信息事实上经过了行为人的匿名化处理,无法对应特定自然人，不属于本罪的个人信息。（13）此时，通过交换获取非法利益的行为人不构成本罪，具有骗取对方财产性利益的性质，对于这种与不法原因给付有关的问黑，按照实践及理论上多数说的观点，有成立诈骗罪的余地。（2）个人信息经过处理后能否识别特定个人是一个相对的就念，对其的判断需要考虑国民的认同。随着大数据技术等信息技术的飞速发展，对信息进行处理的技术日益完善，很多单独看难以识别信息主体的信息（如购物喜好、饮食偏好、兴趣爱好、出行方式、交往圈子等），都可能通过足够的大数据画像等技术手段蚊终处理成能够识别具体个人的信息，尤其是有的网络公司在穷尽L切手段，收集到足够多的针对特定对象的海量数据之后，一定能够遹过对信息的系统化处理能力的运用，在经过复杂的关联性分析后，能够对特定自然人进行辨识。那么，对于海量的信息必须结合在一起进行分析，且需要耗费大量人力物力，经过无数次技术处理或转化后才能指向特定自然人的，不应当视为这里的,可识别特定自然人”，否则对数据和信息的合理利用就会受到限制，互联网公司的利益和个人权利之间的平衡就会被打破。2 .属于有效的信息信息必须有效，这是定罪时不能忽略的硬性要求。对于信息没有进行匿名化处理，但行为人为获取高额经济利益，提供受要信息以增加信息数量的，或者信息经多次流转，行为人获得的信息重更量大的，或信息明显虚假、无效（例如，手机号仅有10个数字，仅有座机号）的，这些信息由于其不能对应到具体公民，不属于本罪的个人信息。在实务中，绝大部分案件在被告方提出信息无效、不真实的辩解之后，判决大多认为：被告人一方仅提出可能存在信息重复或不真实的辩解，但无确切依据，或未提供相关证据证实，公诉机关对涉案信息数量的认定方式符合法律规定，相关辩解与事实和法律不符，不予采纳。但是，在有的案件中，法官也未必对于指控的信息数量“照单全收工对于无效或可疑信息，从目前判决看，大致有三种处理方式：由于在案信息可能存在重复，他人非法使用这些信息的成功率也不高，因此，在量刑时酌情考虑从宽处罚。在公诉机关指控信息和数据数量的基础上，从有利于被告人的角度将部分存疑的信息或数据予以剔除，就低认定涉案的信息和数据数量。同案犯及被告人均供述非法获取的眠号、密码大量存在错误，仅有一定比例能正常使用，最终按照供述的比例计算有效信息数量，或者按照辩护人随机选取数据所做实验记录的重复率在总数中予以扣除。（14）参见江苏省常熟市人民法院（2019）苏0581刑初字第931号刑事判决书；浙江省嘉善县人民法院（2018）淅0421刑初字笫371号刑事判决书；福建省龙岩市中级人民法院（2018）闽08刑终字第213号刑事判决书；辽宁省沈阳经济技术开发区人民法院（2018）辽0191刑初字第418号刑事判决书。上述三种处理方式均难言完美，但考虑到类似案件精准计算信息数量的困难程度，可以认为这些审判结果相对具有合理性。3 .对某些信息突显与个人行动自由的关联性，弱化可识别性根据2017年刑事司法解释第5条第3项的规定，非法获取、出售或者提供行踪轨4信息、通信内容、征信信息、财产信息50条以上的，属于情节严重，构成本罪。由于侵犯行踪轨迹信息的入器标准非常低，实践中应严格把握其范围，只宜理解为与个人行动自由（乃至人身安危）有关联的GPS定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息。据此，被认定为行踪轨迹信息的个人信息应当具备三个条件：内容上应包含特定自然人的坐标信息；精度上应达到GPS定位信息、车辆轨迹信息同等标准：该信息应当系直接反映特定自然人坐标信息。例如，为索取债务，被告人许春耕、胡征宇先后购买7个GPS定位设备，由被告人施双金等人安装在郦某2可能驾驶的郦某2姐姐郦某1及其公司使用的五辆轿车上,被告人林毅平、胡征字、许春耕通过在手机上查看车辆轨迹，与施双金四人相互配合、信息共享，共同查找郦某2的行踪，法院认定各被告人成立本罪共犯。（15）参见浙江省永康市人民法院（2019）浙0784刑初字第461号刑事判决书。这是将能够对被害人进行精准定位获取行踪轨迹的行为认定为犯案，判决具有合理性。这说明，虽然按照法秩序统一性原理，刑法和民法等前置法保护个人信息的规范目的并无根本差别，对于民法学者所提倡的个人信息权是一种新型的具体人格权，是一项新兴的民事权利"的主张，（16）参见王利明：论个人信息权在人格权法中的地位，载苏州大学学报（哲学社会科学版）2012年第6期，第68页。在刑法学上也应该予以认可。不过，刑法上的个人信息概念与民法典等前置法相比可能更为限缩，这是由本罪的保护法益所决定的。对此，需要结合本罪在刑法分则中所处的位置进行体系解卷。体系解移是要将个别的法律观念放到整个法律秩序中去考察规范的内在关联。体系解释包括无矛盾的要求、不赞言的要求、完整性的要求、以及体系秩序的要求等四方面的要求，其中，体系秩序的要求表明法律条文的编排梆是有意义的。（17）参见德英格博格普珀：法学思维小课堂,蔡圣伟译，北京大学出版社2011年版，第57页。本等规定在侵犯人身权利等中，因此，个人对自身卷定的可识别信息的自主权就成为本罪的保护法益，这是对个人意思自治、自我决定权的尊重。要构成本罪，就必须对这种自我决定权存在实际侵害或者现实危险。在这个意义上，也可以认为本罪是将特定情形下的故意杀人、抢劫、绑架、非法拘禁等罪的预备行为正犯化，行踪、定位等信息在与特定个人的行动自由、生命身体安全有紧密关联的意义上，具备广义的可识别性特征。那么，对于定位信息模糊或者存在重大偏离的情形，对于公民个人行动自由的危险较小，对于个人信息自主权的侵害不值得动用刑法保护，在民事领域按照侵权行为处理即为已足。二、刑法中的个人信息分类对于本罪的定罪，司法上坚持“定性+定量”的逻辑。个人信息越重要，定罪数量要求越低。为此，区分信息的重要程度就在刑法上成为无法绕开的问题。但是，刑事司法解奔对于信息的分类与个人信息保护法草案（二审稿）等前置法并不相同，对此应当如何认识，也值得研究。（一）刑法上个人信息的分类标准刑法上的信息分类采用三分法：敏感信息、重要信息、一般信息。对此，在2017年刑事司法解释第5条中有明确规定，其中行踪轨迹信息、通信内容、征信信息、财产信息属于敏感信息；住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息属于重要信息：除此之外的其他信息则属于一般信息。对于不同的信息等级类型，定罪起点并不相同：非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上，非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上，非法获取、出售或者提供前述信息以外的公民个人信息5000条以上的，属于情节严重，可以构成本罪。刑法基于法益保护的考虑，对个人信息类型做出的分类基本是合适的。通过对刑事司法实务的观察可见，侵犯公民个人信息罪大量表现为对公民普通身份信息（姓名、身份证号码、住址、电话号码等）的非法获取、提供。例如，被告人陈某为某街道社区卫生服务中心工作人员，其将获得的部分新生儿父母姓名、联系方式、家庭住址等内容的公民个人信息提供给他人，法院认定其构成本罪。（18）参见山东省日照市岚山区人民法院（2016）售1103刑初字第3号刑事判决书。又如，被告人刘宏受黑社会犯罪集团首要分子刘某请托，利用工作及职务便利条件，在公安部门的内网中帮助黑社会犯罪集团查询他人的户籍、住址等信息，法院以本罪判处其有期徒刑4年6个月。（19）参见贵州省贵阳市中级人民法院（2020）黔01刑终字第147号刑事判决书。对于非法获取、出售或者提供一般个人信息的认定，在实务中争议问题较少。一般而言，信息内容越详细，包含内容越多，越可能构成重要信息、敏感信息。例如，公诉机关指控被告人王某于2017年11月至2018年6月期间，以营利为目的，通过微信购买的方式从他人处非法获取行踪轨迹,住宿信息、车辆信息、户籍信息等各类公民个人信息后出售获利11万余元。（20）参见江苏省江阴市人民检察院澄检诉刑诉（2018）2717号起诉书。由于本案被告人非法获取、提供的信息种类多，包含敏感信息和一般信息，对其定器量刑不会出现分歧。但是，在某些争议案件中，敏感信息、重要信息的区分如何准确理解和把握是一个难题。（二）刑法上个人信息分类所带来的复杂问题1 .关于财产信息和交易信息按照2017年刑事司法解释的规定，财产信息属于刑法上的敏感信息，非法装取、出售或者提供50条以上就构成犯罪；交易信息则属于重要信息，非法获取、出售或者提供500蚤以上的，才构成犯罪。财产信息和交易信息在实践中有时候能够大致分清楚。例如，被告人张仪应他人要求，通过银行职员陈某、董某志、周某的职务便利查询大量储户信息，然后将其有偿查询到的储户姓名、身份证号码、银行卡号、账户余额、预留电话号码等信息出卖给他人，从中获利194553元，（21）参见湖北省安陆市人民法院（2017）鄂0982刑初字第20号刑事判决书。该储户信息可以认为是财产信息而非交易信息，即使储户可能用该账户从事股票交易，也应该认为其具有财产的静态性质。再如，被告人谢伟良违反国家有关规定，非法获取公民银行卡信息等资料，属于窃取他人敏感信息。（22）参见福建省龙岩市新罗区人民法院（2017）闽0802刑初字笫407号刑事判决书。但是，有的情形下交易信息和财产信息的界限并不那么清晰。比如，行为人在某公司担任负责人期间，违反国家有关规定，通过电子邮件从他人处非法接收若干包含公民个人姓名、电话号码、房屋地址、房屋面积、交易金额或签约时间等信息的文档，内含共计400余条公民个人信息的，这种记载公民姓名、房屋地址、面枳、交易金额的文档系交易信息还是财产信息？对于信息分类不同，有时候决定了罪与非罪。对此通常应当认为，交易信息是能够揭示交易过程的信息，他人之前的房屋交易信息指向的是静态的房产，公民目前拥有房产但今后能否用千变现、能否实际成交还是一个疑问，因此，将房产信息一般作为交易信息而非财产信息看待，以区别于与人身、财产安全直接相关的敏感信息相对更为合适，非法获取、出售或者摄供记载公民房产的信息500条以上的，才能构成本罪。与房产信息紧密关联的是业主信息。实践中，非法猊取、提供小区业主信息的案件很多。其中,有少数判决认为，业主资料中因为包含了房号、业主姓名、联系方式等内容，能够反映特定自然人的财产状况，属于财产信息、敏感信息。但是，也有一些法院便向于认为，业主信息的财产属性很弱，侵犯这些信息的危害性、隐秘性有限，其至多属于重要信息。实务中，将业主信息认定为L般信息的判决占据绝大多数。与此相关的还有车辆信息（包括车辆品牌、型号、号牌号码初次登记日期、机动车所有人及其登记住所、联系电话、抵押标记等内容的车档信息）问题，在信息种类上也可能存在交叉，这增加了认定的难度。当然，房产信息.车辆档案信息是否绝对不能作为财产信息看待，也是值得讨论的。在极少数案件中，有的房产信息不仅涉及房产所有人的姓名、电话、身份证号、家庭成员、是否长期居住，还包括房屋详细位置、面积、交易价格、交易时间、装修程度、抵押或贷款等各种详细情况，其中的某些信息可能影响公民人身、财产安全，获取类似公民房屋信息的行为，实际上是掌握了公民的财产状况，根据案件的实际情况，将上述信息认定为敏感信息似乎也是有道理的，非法获取、出售或者提供50条以上的即可入罪。当然，在区分财产信息和交易信息确实比较困难的场合，应当按照有利于被告人的原则确定信息种类。例如，有为数不少的判决认为，车辆档案信息、业主信息.房产信息等是否涉及个人财产安全，或能否对交易产生实际影响难以判断，因而直接将其认定为普通信息。笔者认为，这种做法也具有其合理性。2 .关于住址信息与住宿信息按照2017年刑事司法解释的规定，住宿信息是可能影响人身、财产安全的个人重要信息，非法获取、提供500条以上的，即属于情节严重；住址信息则属于一般个人信息，非法获取、提供5000条以上的，才属于情节严重。但是，这一解释将住宿信息一概作为重要信息看待未必合适。其实，对于住宿信息的归类似乎不能一概而论，如果该信息是大批量的，且仅涉及某个或某些酒店大量住宿者的姓名、身份证号、电话号码，只能视作普通信息；但这些信息中，如果包括个人具体房号、开房及退房时间等内容，则属于住宿信息，是重要信息。如果行为人获取的是特定个人长时间内出入住该酒店的情况、规律等，则还可能属于行踪轨迹信息，系敏感信息。住址信息和住宿信息存在一定差异：家庭住址是固定的；住宿可能体现短期内个人的行踪轨迹，即便住宿时间较长，个人对于在宾馆住宿和在家里居住的感受显然也是有差异的。一般而言，基于对个人私生活通常处于平稳状态的评价，不宜将住址信息认定为可能影响人身、财产安全的住宿信息。因此，大多数判决还是将住址信息认定为普通信息。当然，如果行为人为他人提供被害人住址的导航定位信息，导致被害人在其家里被侵害的，该住址信息仅在与行踪轨迹有关的意义上成为敏感信息。但是，此时不考虑住址的信息归类，而考虑行为人是否非法提供行踪轨迹或定位信息，也能够对其犯罪性进行准确评价，因此，将住址信息与住宿信息同等看待甚至将其视作钺感信息的主张，并无存在必要性。3 .关于行踪轨迹信息和手机位置信息行踪轨迹能够清晰反映个人的活动情况。从实践看，行踪轨迹信息系事关人身安全的高度敏感信息，无疑应纳入法律保护范围，且应当重点保护。（23）参见喻海松：侵犯公民个人信息罪司法解释理解与适用，中国法制出版社2018年版，第15页。因此，行踪轨迹信息是敏感信息。值得进一步研究的问题是手机位置信息的归类问题。如果将手机位置信息作为通讯记录，其仅属于重要信息，如果认为其能够对个人定位，则属于敏感信息。对二者的定罪数量要求不同。对此应该认为，如果行为人通过一定程序能够获取未经个人授权的手机号码位置信息的，该信息既属于行踪轨迹信息，也属于通讯记录，应当将其作为敏感信息予以保护。例如，2017年7月，被告人韩军经营的被告单位神州伟智（天津）科技有限公司入驻“京东万象平台"，通过该平台对外出售未经信息主体授权的手机号码位置信息数据产品。2017年10月至2018年4月，被告人孔德玉通过“京东万象平台”花费28600元先后购买被告单位神州伟智（天津）科技有限公司出售的未经信息主体授权的手机号码位置信息数据产品，包括：位置反欺诈联通经纬度校验,位置反欺诈电信经纬度校验、位置反欺诈联通实时城市编码校验、位置反欺诈电信实时城市编码校验。被告单位神州伟智（天津）科技有限公司迨法所得28600元归该公司所有。2017年10月，被告人孔德玉雇佣他人将其从京东万象平台"购买的位置反欺诈联通经纬度校验、位置反欺诈电信经纬度校验、位置反欺诈联通实时城市编码校验、位置反欺诈电信实时城市编码校验、身份证实名认证返照片等数据用于制作“永途反欺诈"手机应用程序，并吸收注册会员使用。注册会员充值交费后，使用该应用程序可获取未经信息主体本人授权的电信、联通手机号码位置信息、居民身份证照片等公民个人信息。截止2018年4月，被告人孔德玉共收取注册会员充值16578.29元。法院认为，被告单位神州伟智（天津）科技有限公司违反法律规定，向被告人孔德玉出售手机号码位置等公民个人信息，情节严重，被告单位神州伟智（天津）科技有限公司及直接负贲的主管人员被告人韩军构成侵犯公民个人信息罪；被告人孔德玉违反国家规定，向他人出售公民个人信息，情节严重，其行为构成侵犯公民个人信息罪。（24）参见山东省桓台县人民法院（2019）鲁0321刑初字第41号刑事判决书。在本案判决中，法院并未明确交代手机位置信息属于敏感信息还是重要信息，但从学理上看，符其评价为敏感类信息的行踪轨迹是合适的。（三）刑法上对个人信息的分类有必要进行调整个人信息保护法草案（二审稿）将信息分为敏感信息和非敏感信息两类，其笫29条规定，敏感个人信息是一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。虽然不同部门法的规范目的并不相同,刑法对个人信息等级类型的确定有特定的规范目的考虑，据此做出不同于个人信息保护法草案（二审稿）的分类似乎也无可厚非。但是，2017年刑事司法解释将个人信息等级分得太细，其弊端也是很明显的：一方面，势必导致敏感信息和重要信息之间、重要信息和一般信息之间甚至敏感信息和一般信息之间均存在交叉、重合的问题，前述关于财产信息和交易信息难以辨明，关于住址信息与住宿信息纠缠不清，关于行踪轨迹信息和手机位置信息高度重合的分析都说明，将个人信息分为三级的做法是值得商榷的，由此导致不同法院对于信息的等级认定有别，在有的案件中器与非罪的确定不统一，在有的案件中量刑差异很大，从而造成罪刑失衡。另一方面，在很多时候，信息的重要程度与其外在表现之间的关系较弱，而与信息的用途或者行为获取、提供信息的目的有关，例如，车辆信息抽象地看事关被害人的财产，但是，获取该信息的目的是为了确定个人行踪轨迹的，以及是为了向其推销保险或者促成二手车交易的情形，明显存在差别，因此，硬性地、笼统地将车辆信息确定为敏感信息、重要信息或一般信息，原本就比较困难。因此，未来应该考虑在刑法上抛弃对于个人信息种类进行细分的思路，直接采用个人信息保护法的方案将个人信息区分为敏感信息和一般信息两种。对于一旦泄露或者非法使用，可能导致个人受到岐视或者人身、财产安全受到严重危害的种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息进行严格保护，规定相对较低的定罪数量标准。（25）附带指出，在现代信息社会，海量的个人信息可以被处理在一个文档中，一次获取或提供少量个人信息的情形极为鲜见，因此，2017年刑事司法解券将非法获取、提供敏感信息50条以上的行为即作为犯器处理，存在打击面过大的疑虑。其实，即便针对敏感信息的侵害行为适度提高定罪数量规定并不会削弱法律惩处力度，因为针对侵犯公民个人信息的行为被害人可以提出侵权损害赔偿，检察机关等单位还可以提起公益诉讼，在刑法之外尚有其他法律救济途径的情形下，刑法必须为前置法的实施留有空间，与前置法合理衔接，以尽可能回归民事保护优先的权利救济思路。与此相同的观点，请参见喻海松：（民法典视域下侵犯公民个人信息罪的司法适用，载北京航空航天大学学报（社会科学版）2020年第6期，第3页。对于除此之外的一般信息规定相对较高的定罪数量标准，同时在行为人於理一般信息实施违法犯罪行为的对其数罪并罚，以防止轻姒犯罪人。三、已公开的个人信息成为本罪对象的限定（一）刑法上对处理已公开的个人信息的定性争议对于未经被收集者同意，获取部分巳在公众屈络上公开的企业登记信息、征信信息并出售或提供给他人的情形是否定罪，实务上历来有争议。1 .有罪说这是实务上一直以来的多数说（2017年刑事司法解春第5条第3项也将征信信息作为敏感信息进行保护，其中可能包含巳公开的个人信息）。此说的基本主张是：个人信息与个人隐私不同。个人巳公开的信息不再具有隐私特性，但仍不失其识别个人的功能，获取或者利用这样的信息仍然可能侵害个人私生活的安宁，危及公民人身或者财产权利，因此，从市场主体信息中剥离出来的个人姓名及身份证件号码、家庭住址、通讯方式等信息，仍然具有个人信息的本质属性。（26）参见蔡云：公民个人信息的司法内涵，载人民司法2020年第2期，第25页。行为人未经个人同意从企业信息中将个人信息剥离出来进行处理的，可以成立本罪。例如，被告人田某使用QQ邮箱从他人处非法获取载有公民个人征信信息的文件，内有公民个人征信信息去重后计166条，法院认定被告人田某违反国家有关规定，非法获取公民个人信息，情节椅别严重，其行为巳构成侵犯公民个人信息罪。（27）参见徐州市铜山区人民法院（2018）苏0312刑初字笫85号刑事判决书。被告人黄某某为了推销贷款中介业务，以300元的价格，通过电子邮箱接收的方式，从其同事罗某处购买公民个人信息合计284条，其中个人征信报告224条，检察机关指控被告人构成本罪。（28）参见江苏省徐州市铜山区人民检察院铜检诉刑诉（2018）425号起诉书；类似案件，请参见江苏省丰县人民法院（2017）苏0321刑初字第678号刑事判决书。2 .无罪说实务中，少数判决认同无罪说。例如，法院认为，公诉机关指控被告人从他人处“获取的16165条信息中的6260条信息,司法审计书反映为法人信息，不属于公民个人信息，依法应予排除工（29）参见重庆市渝中区人民法院（2017）渝0103刑初字第1563号刑事