刑法上公民個人信息的司法認定

在司法實踐中，對于概念和原則的把握必然有一定的差異性，需要具體情況具體討論。在本部分，筆者對一般個人信息的認定進行總結歸納，并對一些存在爭議的情況進行分析。

（一）公民個人信息可識別性的認定
“可識別性是指個人信息能夠直接或者間接地指向確定的主體。”經過上文中的討論，根據《網絡安全法》和《2017年解釋》對公民個人信息的定義，我們能夠得出，“識別性”是公民個人信息的核心屬性，解釋第3條第2款印證了這一觀點。對于能夠單獨識別特定自然人的個人信息，往往比較容易判斷，而對于需要與其他信息結合來間接識別特定自然人身份或反映特定自然人活動情況的信息，往往是個案中控辯雙方爭議的焦點，也是本罪的認定中最為復雜的問題。面對實踐中的具體案情，對于部分關聯信息是否可以認定為“公民個人信息”時，可從行為人主觀目、信息對特定自然人的人身和財產安全的重要程度和信息需要結合的其他信息的程度三個方面綜合分析加以判斷。
以此案為例：某地一醫藥代表為了對醫生給予用藥回扣，非法獲取了某醫院某科室有關病床的病床號、病情和藥品使用情況。此案中所涉及的非法獲取的信息不宜納入刑法中“公民個人信息”的范疇。首先，從行為人主觀目的上看，并沒有識別到特定自然人的目的，而僅僅是為了獲取用藥情況；其次，從以上信息對病人的人身安全、財產安全以及生活安寧的重要性上來看，行為人獲取以上信息并不會對病人權益造成侵犯；最后，從這些信息需要與其他信息結合的程度來看，病床號、用藥情況等信息并不能直接識別到個人，需要結合病人的身份證號等才能起到直接識別的作用。所以，此案中的涉案信息不屬于刑法所保護的“公民個人信息”。
（二）敏感個人信息的認定
《2017年解釋》第五條根據信息的重要程度、敏感程度，即信息對公民人身、財產安全的影響程度，將“公民個人信息”分為三類，并設置了不同的定罪量刑標準。
類別
列舉

“情節嚴重”標準
（非法獲取、出售或提供）

“情節特別嚴重“標準（非法獲取、出售或提供）
特別敏感信息

蹤軌跡信息、通信內容、征信信息、財產信息
五十條以上
五百條以上
敏感信息

住宿記錄、通信記錄、健康生理信息、交易信息
五百條以上
五千條以上
其他信息
五千條以上

五萬條以上
圖表 3
但是在司法實踐中，仍存在對標準適用的爭議，主要表現在對敏感個人信息的認定。
1.如何把握“行蹤軌跡信息”的范圍
行蹤軌跡信息敏感程度極高，一旦信息主體的行蹤軌跡信息被非法利用，可能會對權利人的人身安全造成緊迫的威脅。《2017年解釋》中對于行蹤軌跡信息入罪標準的規定是最低的：“非法獲取、出售或者提供行蹤軌跡信息50以上”的，即構成犯罪。由于《2017年解釋》中對行蹤軌跡信息規定了極低的入罪標準，所以司法認定時應對其范圍做嚴格把控，應將其范圍限制在能直接定位特定自然人具體位置的信息，如車輛軌跡信息和GPS定位信息等。實踐中，信息的交易價格也可以作為判定其是否屬于“行蹤軌跡信息”的參考，因為行蹤軌跡信息的價格通常最為昂貴。
對于行為人獲取他人車票信息后判斷出他人的行蹤的情況，載于車票的信息不宜被認定為《2017年解釋》所規定的“行蹤軌跡信息”，因為該信息只能讓行為人知道信息主體大概的活動軌跡，并不能對其進行準確定位。
2.如何把握“財產信息”的范圍
財產信息是指房產、存款等能夠反映公民個人財產狀況的信息。對于財產信息的判斷，可以從兩方面進行把握：一是要綜合考量主客觀因素，因為犯罪應是主客觀相統一的結果；而是考慮到敏感個人信息的入罪門檻已經極低，實踐中應嚴格把握其范圍。
以此案為例：行為人為了推銷車輛保險，從車輛管理機構非法獲取了車主姓名、電話、車型等信息。此案中的信息不宜認定為“財產信息”。因為行為人的主觀目的不是侵犯信息主體的人身、財產安全，最多只會對行為人的生活安寧帶來一定的影響，因而應適用非敏感公民個人信息的入罪標準。
（三）不宜納入本罪保護對象的公開的個人信息的認定
信息主體已經公開的個人信息是否屬于 “公民個人信息”的范疇，理論界存在觀點分歧。筆者認為，“公民個人信息”不以隱私性為必要特征，因為《2017年解釋》第1條并為采用“涉及個人隱私信息”的表述，而是以識別性作為判斷標準。因此，信息的公開與否并不影響其是否可以被認定為“公民個人信息”。
對于權利人主動公開的個人信息，行為人獲取相關信息的行為顯然合法，且其后出售、提供的行為，當前也不宜認定為犯罪。理由如下：第一，在我國的立法和司法中，曾以“隱私性”作為界定公民個人信息的核心屬性，可見公民個人信息在一定程度上是從隱私權中分離出來的權利，所以侵犯公民個人信息罪側重于對公民隱私和生活安寧的保護。權利人之所以自愿甚至主動公開其個人信息，說明這部分信息即便被獲取、出售，也通常不會對其個人隱私和生活安寧造成侵犯，因此不應納入刑法保護范圍內；第二，根據刑法第253條之一的規定，向他人出售或提供公民個人信息，只有在違反國家有關規定的前提下才構成犯罪。對于已經公開的公民個人信息，行為人獲取后向他人出售或提供的行為在我國缺乏相關法律規定的情況下，應推定為存在權利人的概括同意，不需要二次授權，也就是說不應認定行為人對獲取的已經由權利人公開的個人信息的出售和提供行為系“違法國家有關規定”。第三，在我國個人信息保護機制尚未健全、侵犯公民個人信息犯罪高發的背景下，應將實踐中較為多發的侵犯權利人未公開的個人信息的案件作為打擊的重點。
對于權利人被動公開的個人信息，行為人獲取相關信息的行為可以認定為合法，但如果后續的出售或提供行為違背了權利人意愿，侵犯到了其個人隱私和生活安寧，或是對權利人人身安全、財產安全造成了威脅，則應根據實際情況以侵犯公民個人信息罪論處。
對于權利人被動公開的個人信息，行為人對相關信息的獲取一般來說是合法的，但是獲取信息之后的出售、提供行為如果對信息主體的人身安全、財產安全或是私生活安寧造成了侵犯，且信息主體對其相關個人信息有強烈保護意愿，則應據其情節認定為侵犯公民個人信息犯罪。

看具體情況，所謂數據泄露根據具體情節，涉嫌為境外竊取、刺探、收買、非法提供國家秘密、情報罪、侵犯商業秘密罪、非法獲取國家秘密罪、非法侵入計算機信息系統罪；非法獲取計算機信息系統數據、非法控制計算機信息系統罪、拒不履行信息網絡安全管理義務罪、泄露不應公開的案件信息罪；故意泄露國家秘密罪；披露、報道不應公開的案件信息罪、過失泄露國家秘密罪、非法獲取軍事秘密罪；為境外竊取、刺探、收買、非法提供軍事秘密罪、故意泄露軍事秘密罪；過失泄露軍事秘密罪、竊取、收買、非法提供信用卡信息罪、內幕交易、泄露內幕信息罪；利用未公開信息交易罪、侵犯公民個人信息罪等等，不同的罪名，量刑標準不一樣的