本次论坛设置的几个议题，都是实践中关注度非常高的问题，很感谢主办单位和承办单位提供的学习和交流机会。本单元讨论的是“刑法中公民个人信息的概念与范围”。我主要从三个方面来谈一些自己的粗浅认识，请大家指正。

从立法发展谈我国公民个人信息的概念和范围，可以从两个维度进行。

第一个维度，是从我国有关公民个人信息定义的立法沿革来看。我国关于公民个人信息定义的立法先后有三部，分别是2016年的《网络安全法》、2020年的《民法典》以及2021年的《个人信息保护法》。其中《网络安全法》中将公民个人信息定义为“识别特定自然人个人身份的各种信息”，《民法典》中的定义为“识别特定自然人的各种信息”，《个人信息保护法》中则定义为“与已识别或者可识别的自然人有关的各种信息”。从上述立法沿革可以看出，我国对公民个人信息概念和范围的认识是一个逐步深化的过程，对公民个人信息的保护逐渐深入、全面。

第二个维度，是从我国刑法中关于该罪名规定的变化来看。我国有关公民个人信息犯罪的立法最早出现在《刑法修正案七》中，当时的立法将本罪中的公民个人信息范围限定为“国家机关或者特定单位在履职或者提供服务的过程中获得的公民个人信息”。在《刑法修正案九》中，上述关于公民个人信息范围的限制被取消，其后“两高”出台的司法解释中更进一步将公民个人信息界定为“识别特定自然人身份或者反映特定自然人活动情况的各种信息”。

综上，结合我国关于公民个人信息的立法发展态势，同时为维护《个人信息保护法》作为个人信息保护的基本法地位，实现法秩序的统一性，在确定侵犯公民个人信息犯罪中“公民个人信息”的定义和范围时，个人的观点是，可以借鉴《个人信息保护法》中的定义，即个人信息是“与已识别或者可识别的自然人有关的各种信息”，它不仅仅包括个人身份信息、私密信息，也包括特定的行踪轨迹信息、交易信息、财产信息、金融账号信息，甚至互联网账号信息等。总之，“公民个人信息”的范围应当具有包容性。

实证研究一再表明，我国的刑事立法和司法解释在最开始实行的一段时间内，相关刑事案件的数量会有较大幅度的增长，关于公民个人信息犯罪的立法和司法解释亦是如此。可以想见的是，采用《个人信息保护法》中的“公民个人信息”定义后，一定时期内可能出现侵犯公民个人信息犯罪案件数量增长的情形。因此，应从两个方面认识和把握。

其一，科学认识案件数量增长的原因。主要原因在于：一方面，人们对公民个人信息内涵、外延以及保护公民个人信息的重要性的认识更加深入、全面。另一方面，公安司法机关应对这类犯罪的经验逐渐丰富、能力提升，因而案件数量的增长是一个正常现象。

其二，厘清“公民个人信息”与“侵犯公民个人信息罪”的关系。需要特别注意的是，认定某一个信息属于公民个人信息和认定某一处理个人信息行为构成侵犯公民个人信息罪，是两个不同维度的问题。认定某一信息属于公民个人信息属于事实判断，从国家保护公民个人权益的立场来看，对个人信息的认定不宜作太多限制；而认定某一行为是否构成侵犯公民个人犯罪属于法律判断，从恪守刑法谦抑性原则、平衡个人信息保护与推动信息技术创新、数字经济发展关系的基本立场来看，在认定某一行为是否构成侵犯公民个人信息犯罪时应严格遵守刑法的有关规定，全面审查该行为是否符合犯罪构成要件、行为损害法益程度，坚持主客观相结合等。

在本单元讨论的三个案例中，案例一的争议点是“非实名账号”能否认定为公民个人信息，案例二的争议点是“用户的手机号及短信验证码”是否属于公民个人信息，案例三的争议点则是“带有特征标签的手机号码”能否认定为公民个人信息。对此，个人认为，在判断上述是否属于公民个人信息时，应坚持一个基本原则，即上述信息是否足以关联到特定的自然人，也就是能否单独或者与其他信息结合识别出特定的自然人。如果这些信息单独或者在与其他信息结合后，足以关联到或者能够识别出特定的自然人，那么它就属于公民个人信息。如果不能，那当然不属于公民个人信息。具体而言，从材料中提供的信息看，案例二、三中的“用户的手机号及短信验证码”和“带有特征标签的手机号码”均关联到特定自然人，即足以识别出特定的自然人，因而应认定为“公民个人信息”；案例一中的非实名账号则需要进一步识别，如果这些非实名账号与其他信息结合，能够关联到或识别出特定自然人，那么也应认定为“公民个人信息”。

欢迎来稿

请发邮件至zgxfxyjh_tg@126.com

（邮件主题名请注明“投稿”字样）