（一）“公民个人信息”的认定

认定本罪的首要问题就是涉案信息是否属于“公民个人信息”。2017年两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条（刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。）是对此问题的直接回答，可是仍然很不清晰。

在此讨论三个不清晰之处：

1. “与其他信息结合识别……”所指的“其他信息”是否有范围限制？

典型案例是四川梓潼何某某侵犯公民个人信息罪案。何某某涉嫌非法获取、提供的是单纯的手机号码。法院裁判的理由是：当前手机号码已经全面实施实名制，手机号码与办理号码的实名登记信息相结合能够识别特定自然人，属于公民个人信息。

这样的认定相当值得商榷。为准确定位其不当之处，让我们参看国家标准GB/T 37964-2019《信息安全技术 个人信息去标识化指南》中对“个人信息”、“去标识化”、“微数据”、“直接标识符”和“准标识符”的定义。该标准载：“个人信息”是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”这与司法解释完全一致。随后，标准继续写道：“去标识化”是指“通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程”；“微数据”是指“一个结构化的数据集，其中每条记录对应一个个人信息主体，记录中的每个字段对应一个属性”；“直接标识符”是指“微数据中的属性，在特定环境下可以单独识别个人信息主体”；“准标识符”是指“微数据中的属性，结合其他属性可唯一识别个人信息主体”。

有此更细致的定义和解释，上述案件中核心争议的判断就变得较为容易：何某某持有一数据集，该数据集仅有一个字段，即手机号码。而该数据集的使用无特定的环境条件，手机号码在一般环境下不能直接识别出特定自然人，因此该属性不是直接标识符。该数据集内无其他字段可结合，更谈不上结合后可识别特定自然人，因此该属性也不是准标识符。

而法院认为的“实名登记信息”，一则不在何某掌握的数据集内，二则何某无法通过一般方法获得（他人向运营商查询开卡实名信息须要持有开卡人本人身份证件和亲笔委托或具有法定的调查权）。何某作为手机号码信息的控制者，不具有结合手机号码和实名登记信息的能力，即不具有根据手机号码识别特定自然人的能力。由此观之，将单纯的手机号码认定为公民个人信息，一是忽略了“特定环境”的要求，二是没有将“可结合的其他属性”限制在信息控制者所掌握或通过一般方法可掌握的数据集范围内，是不妥当的。

对于上述分析，一种可能的质疑是：何某虽然不掌握其它信息，不能识别特定自然人，但如果接收何某所提供的手机号码的人（让我们称其为张三）有其他信息，结合手机号码后识别出了特定自然人，不是一样具有危害法益的可能性吗？对此的回答是：那么张三所掌握的“手机号码+某些其他信息”的数据集应认定为“公民个人信息”，张三所进行的“重标识”过程可能属于“以其他非法方法获取公民个人信息”，警察应该抓的是张三，而非何某某。

由此，本文的观点是：司法解释中的“其他信息”应有范围限制——限制于信息控制者已掌握或通过一般方法可掌握范围内，较为合理。

2. “识别特定自然人身份或者反映特定自然人活动情况”仅包括个别自然人还是也包括“特定自然人群体”？

这是民事上的数据权利保护与刑事上的个人信息保护有所不同而产生的问题。如果从（民事上）数据权利的角度观察，经先筛选、分类，能够识别特定自然人群体的数据，其价值当然高于未经处理的数据，应当受到法律更高程度的保护——这与以字母顺序或数字大小顺序编制的通讯黄页不具著作权，但根据特别的编排、筛选方法编制的通讯录则具有著作权类似。

但从刑事角度上看，刑法第二百五十三条之一是刑法第四章侵犯公民人身权利的犯罪。本章所保护的法益具有专属性而且是人身依附的。“群体”并不能产生出人身权利。因此，即使能够识别特定群体的信息的不当获取和提供可能具有社会危害性——例如：装修公司打电话骚扰新购房业主；婴儿用品企业向孕妇群体推销等甚至非法行医的犯罪分子对检测过某种特殊病症的患者进行销售或诈骗等；这些行为并不针对某个特定业主、孕妇或患者，而是滋扰了该群体中不特定个体的生活安宁甚至威胁其生命健康。但仅仅具有社会危害性，并不足以成为刑事认定的理由，在法条及司法解释明确用词“特定自然人”的情况下，不应扩张到“特定自然人群体”的范畴。相应的法益风险可以以民事、行政手段加以规制。当然，为其他犯罪提供帮助的，视情况可以以其他犯罪的共犯处罚。

3. “账号密码”是“账号或密码”还是“账号和密码的组合”？

本文观点是“账号密码”应当理解为“正确的账号和密码的组合”。主要理由有两点。一是从文义解释上看，司法解释明确将“账号密码”放置在两个顿号之间，与“姓名”、“身份证件号码”其它各项形成并列关系，即“账号密码”一体才能够与其它各项并列。如果允许将“账号密码”解释为“账号或密码”，则所列各项不平等，将产生立法技术失误。二是从“账号密码”的实际应用上看，计算机系统中只有相互匹配的“账号密码组合”才能认定使用者身份，激活相关权限、功能，而仅提供账号或密码，或者提供不匹配的账号和密码组合，根本不能通过认证环节，不对应任何主体，不激活任何功能，不赋予任何权限。故此，“账号密码”应解释为“正确的账号密码组合”才能既符合条文文法规则，又符合实质应用情况。

顺带一提，验证码是否属于“账号密码”？自“接码平台”被刑事司法所关注，对验证码性质的认定成为了一个疑难问题。那么验证码是否属于“账号密码”中的“密码”（毕竟有的账号系统是允许以“账号和随机验证码组合”来登录的）？笔者的意见是：不属于。主要的理由一是验证码由系统按需按次生成，并不隶属于某个特定自然人，也不专属于某个账号，没有也不能形成“特定的账号密码组合”；二是验证码随机生成仅可一次性使用，验证后即不存在价值。在其效用失去后，对其获取、提供均不会产生任何侵害公民人身权利的风险。没有以本罪保护的必要，不应认定为本罪解释中的“密码”。

（二）公民个人信息的否定

1. 《解释》第三条第二款 未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。这里的疑问是“经过处理无法识别特定个人且不能复原的”含义为何？

一种解释是计算机技术从业者可能更加偏爱的解释，即将“能否复原”视为一个密码学问题或者说一个数学问题。例如：在保持某些统计结果不变的情况下对原数据集插入噪声加扰而形成的新的数据集，经常就能达到这种意义下的“不能复原”。这是一种技术上的，数学意义上的“不能复原”。但司法机关的执法人员却未必接受这种定义。如将之解释为“在任何情况下均不可复原”即“即使引入其它数据后仍不能复原”也并没有超出司法解释用词的文义所允许的范围。例如在上述例子中，如果被提供数据的一方还获取了加入噪声的规则，再通过反向工程破解，仍可能获得原本的数据集。

但是，参考本节第一个问题的分析思路：如果引入的其他数据的来源是完全独立于提供方的，且是通过一般方法不能获得的（例如上述例子中加扰的规则，通常而言就是无法以日常方法获得的，须要采用内部员工泄露、黑客攻击、破解等非法方法），那么采取后一种解释并不合理。

2. 《个人信息保护法》第十三条第（六）项 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息的（个人信息处理者可处理个人信息）。

而根据该法第四条 个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

由此，第十三条第（六）项可作为侵犯公民个人信息罪的出罪事由，即符合第（六）项规定的处理不应认定为非法获取和非法提供公民个人信息。

但问题是如何才能符合该项规定呢？

按图索骥，我们先在“本法”里找，结果只有第二十七条　个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。——这对解答问题没有太大作用，只提出了两种排除情况。

我们再将目光扩大到最高人民检察院《检察机关办理侵犯公民个人信息案件指引》（高检发侦监字〔2018〕13号）二、（一）项 对于企业工商登记等信息中所包含的手机、电话号码等信息，应当明确该号码的用途。对由公司购买、使用的手机、电话号码等信息，不属于个人信息的范畴，从而严格区分“手机、电话号码等由公司购买，归公司使用”与“公司经办人在工商登记等活动中登记个人电话、手机号码”两种不同情形。

《上海市数据条例（草案）》第十七条第二款 ……处理涉及自然人公开的个人信息数据的，应当符合该数据被公开时的用途，超出与该用途相关的合理范围的，应当取得自然人同意。但法律、行政法规另有规定的除外。

由此，我们便可体味到：判断是否符合《个人信息保护法》第十三条第（六）项，其核心要旨可能是审查被公开的个人信息原本的使用方法及公开的目的，考察它们是否能够令收集该信息的处理者的处理“合理化”。在这样的法律支撑和理解视角下观察，湖北程某某、郭某某等六人从网页爬取公开的涉公民个人的信息并提供“空号筛选”、“手机号码归属地查询”等软件应用，最终被判侵犯公民个人信息罪一案，应该说如今有了比当年裁判时更充分的裁判依据。

当然，对此问题更明确、更有权威的解答，可能需要等待国务院《个人信息保护法实施条例》的出台。

作者：上海靖予霖律师事务所、辩护技能研究部副主任 辩论队教练 刘笛