论文提要：

2009年出台的《中华人民共和国刑法修正案（七）》增设了非法获取公民个人信息罪，首次将公民个人信息纳入刑法保护范畴。这三年来，全国部分法院已陆续受理了多起非法获取公民个人信息的案件，虽然总体数量并不多，但公安部门近期集中进行了针对侵犯公民个人信息犯罪的专项打击，此类案件已开始大量涌入法院。如何既有效打击犯罪，又防止扩大打击而侵犯公民个人权利，法院面临着极大的压力。从已审结的部分案件情况来看，由于刑法对非法获取公民个人信息罪尤其是犯罪对象的规定并不明确，而犯罪对象直接影响个人信息数量的认定，恰恰是本罪认定的核心与关键，这种不明确直接导致了司法适用的混乱，使法院对此类案件的审理难上加难。

如何明确界定出非法获取公民个人信息罪的犯罪对象，并提出可供操作的认定标准？笔者从司法实务入手，以部分基层法院审结的68起非法获取公民个人信息案件为样本，着重研究法院对本罪犯罪对象的界定及司法适用情况。首先通过调查，从公民个人信息界定和判决书中“经审理查明”表述两个角度，揭示出本罪犯罪对象司法适用的混乱现状；其次通过对立法的解读，明确本罪犯罪对象为公民个人信息，并以理论分析为视角明确公民个人信息的本质属性为可识别性；最后从认定基础、认定思路、具体路径、最终导向四个方面，提出解决司法操作难题的方案，即先对公民个人信息进行分类，然后进行信息的有效组合，只要能够达到可识别性的标准，就能够认定为非法获取公民个人信息罪的犯罪对象。

以下正文：

引言

我国目前尚未出台保护公民个人信息的专门法律，与公民个人信息相关的保护条款多散见于宪法、民法通则、行政法规及其他法律文件（1）中。纵观宪法、各基本法律，对公民个人信息一词的使用仅出现在2009年2月《中华人民共和国刑法修正案（七）》（以下简称《刑法修正案（七）》中），而在其他部门法中则使用个人隐私一词。2009年10月13日国务院法制办公室发布的《在话更新管理条例（征求意见稿）》提及了个人信息一词（2）。从时间顺序来看，《刑法修正案（七）》对公民个人信息一词的使用是开创性的。但是，其他部门法对公民个人信息保护的滞后给对侵犯公民个人行为的刑法规制带来了严峻挑战。

笔者通过百度搜索引擎随意检索了关于非法获取公民个人信息案件的判决情况，共找到约上百万个结果，其中不但包含了全国部分省市关于辖区基层法院首例非法获取公民个人信息案件的审判情况、受媒体广泛关注的典型案件情况及与本罪相关的学术研究情况，甚至还包含了群众对公民个人信息买卖问题的一些看法。显然，公民个人信息的保护已经成为人民群众关注的热点问题。“对侵犯公民个人信息罪的立法化，顺应了信息时代对公民个人信息的保护的需要，体现了刑法关注民生和反映社会实际需要的导向”（3）。但如何界定公民个人信息、如何把握公民个人的刑法保护尺度等问题一直困扰着司法实践。

本文以非法获取公民个人信息罪的审判实践为基础，对关乎本罪定性的公民个人信息进行梳理，从理论上明确犯罪对象，从实务上提出认定方法，以统一司法操作尺度。

一、问题的提出：本罪犯罪对象司法认定的混乱

（一）公民个人信息的界定与理解不一

笔者对全国部分基层法院审理的68起非法获取公民个人信息案件（4）进行了统计，发现司法部门对本罪犯罪对象的认定及对公民个人信息的理解不一，情况如表1所示：

从表1反映的情况来看，法院认定的公民信息可谓五花八门。从信息的类型来看，被侵犯的信息主要有通讯信息、户籍信息、机动车车主信息、银行账户信息、通话详细信息、购物信息、房产信息、股民信息等几项，甚至包含了企业信息；从信息内容的排列组合来看，简单点的有姓名与电话，姓名、电话和家庭住址的组合，复杂点的则包含了姓名、联系方式、家庭住址、职业情况、购车信息、企业信息等。可是，上述法院所认定的这些纷繁复杂的信息是否就是本罪的犯罪对象，到底是什么样的信息才是公民个人信息？这一问题，在立法中找不到明确答案，当事人、辩护人、公诉机关也没有细究，甚至法院也没有统一的尺度。在没有明确本罪的犯罪对象，没有准确界定公民个人信息，显然已经走在了违反罪刑法定原则的高压线上。

 从各类判决的具体表述及图一所示比例来看，A类判决在审理查明的事实中直接使用了公民个人信息一词，此类判决系主流判决，聪明地回避了对公民个人信息的概念界定。

B类判决所占比例较小。该类判决在审理查明的事实中直接列明信息类别，如机动车车主信息等，进一步明确了公民个人信息。

C类判决是个别情况。在审理查明的事实中使用了“公民个人信息”及“有效的公民个人信息”。这类判决最易让人产生疑惑，何为有效的公民个人信息？重复的公民个人信息，或者不属于公民个人信息范畴的信息是不是无效的公民个人信息？判决中使用“有效的公民个人信息”是否在暗示被告人获取的其他信息并非公民个人信息？

上述三类判决广泛存在于各不同法院，有的甚至出自同一法院。在查明事实部分对公民个人信息的表述即使尚未达到矛盾的程度，至少也是混乱的。那么，本罪的犯罪对象应该是什么，到底何为公民个人信息？我们最先把目光投向法律文本。

二、立法解读：本罪犯罪对象的确定

（一）基于法条本身之文义解释

 解释文本无疑应当先从文义解释开始。《刑法修正案（七）》第七条第一款规定：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”第二款规定：“窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。”

按照法律条文用语及通常使用方法，可以明确两点：一是本罪的犯罪对象应为公民个人的信息，排除单位信息。二是由于第一款的规定对侵犯主体作了一定的限制，从而也在一定程度上限制了信息的范围，一般来讲，银行账户信息、通讯信息、车主信息、考生信息、医疗信息等均属于公民个人信息范畴，信息来源受到明确限制。从语言规则来看，第二款规定的“上述信息”的外延与第一款规定的公民个人信息外延应当是一致的，这两个罪的犯罪对象是同一的，但这种解释并没有解决到底侵犯哪些信息便受到刑法规制这一难题，反而第二款中规定“上述信息”增加了司法理解的模糊性。显然，单纯的文义解释无法得出明确的结论，要找到可供司法操作的明确对象，我们还需要运用其他的解释方法。

（二）基于立法原意之历史解释

历史解释也称法意解释、主观解释，系指“探求立法者或者准立法者于制定法律时所作的价值判断及其所欲实现的目的，以推知立法者的意思。”（6）作为立法参与者之一，全国人大常委会法工委刑法室副主任黄太云指出，“出售或者非法提供公民个人信息的活动之所以猖獗，原因在于有庞大的市场需求。一些单位、个人为谋利或者达到其他非法目的，以窃取、收买等方式大肆收集公民个人信息，对公民个人信息的泄露起到了推波助澜的作用。”（7）公民个人信息的泄露，影响公民个人隐私及正常生活，威胁人身及财产安全，这也是刑法增设本罪的立法初衷。从犯罪方法、社会危害性的角度来解读，并不区分是何种主体、通过何种途径泄露了个人信息。其次，立法者还用列举的方式指出，“公民个人信息包括：姓名、职业、职务、年龄、婚姻状况、学历、专业资格、工作经历、家庭住址、电话号码、信用卡号码、指纹、网上登录账号和密码等能够识别公民个人身份的信息。”（8）很明显，这里所用的个人信息已经超出了第七条第一款规定的六类主体所侵犯的对象，相应的第二款规定的“上述信息”也随之得以扩张。遗憾的是立法者并没有进一步明确“上述信息”，我们所看到的反而在正规的条文表述中加入“上述信息”的限制，在相应的文献解读中却又突破了这一范畴，态度有些“暧昧”。但是有两点值得借鉴：一是通过列举的方式为我们大致勾勒出了公民个人信息的范畴，虽然没有形成体系，但是对我们理解公民个人信息提供了直观的帮助；二是提出了公民个人信息的最重要的特征，即可识别性，这对于我们研究个人信息具有重大的意义。

（三）基于司法目的之必要扩张

 目的解释是根据法律规范的目的来阐释法律疑义的一种解释方法，只有了解法律究竟欲实现何种目的，才能得到法律的真谛。（9）从法律文本来看，对公民个人信息是非法获取公民个人信息罪的犯罪对象无太大异议，但是否有必要对公民个人信息的来源进行限制，从而人为地缩小打击范围？在立法者态度并不明朗的情况下，我们需要目的解释来进一步明确。从笔者对68起案件的统计分析来看，只有个别案件可以查找到最初信息源（10），大多数案件达不到这一要求。通过窃取行为实施本罪最容易查出来源，除此之外的如通过网上购买、交换等方式非法获取的第二手、第三手（甚至多手）公民个人信息资料是无法查明信息源的，那么这类案件应如何处理？条文本身的局限性显而易见。在非“面对面”的网络交易模式下，如果要求司法机关在查明信息来源之后才能认定犯罪，不仅不切实际，也不符合社会发展的需要。再者，即使最初信息源符合本条第一款之规定，若行为主体仅泄露了部分信息，或者泄露了全部信息，但是由于流转过程的丢失导致最后获取者只得到了部分信息，这部分信息是否可以认定为公民个人信息？这些实际问题都要求对条文规定的“上述信息”进行扩大解释。

 综合上文的分析，本罪的犯罪对象应为公民个人信息，且不应有来源的限制。对第七条第二款规定的“上述信息”应做必要的扩张，这种扩张并未超出文义的范围，符合解释学的“黄金规则”（11），也是对司法需求的积极回应。实践中无法查明信息源的，只要获取的信息是公民个人信息，且符合其他构成要件，就应当定罪处罚。当然，仅从解释学的角度明确犯罪对象还是远远不够的，要明确公民个人信息还要抓住住公民个人信息的本质。

 
三、理论澄清：公民个人信息的本质属性

理论界对公民个人信息的概念界定争议颇大，主要集中在隐私说、识别说和关联说三种学说（12）的争论上。其中关联说对公民个人信息的界定过于宽泛，与刑法调整的范畴相差甚远，已经逐渐淡出了理论界的视野，而源自美国的隐私说与欧盟的识别说仍争议不断。实际上无论何种学说、如何演变，都应符合我国国情，落脚点都在于服务我国司法实践，从这一目的出发，笔者分别检视了学界和实务界的不同观点。

（一）学理派的主张

学理派的观点主要有三种：一是识别说。通过借鉴国外相关立法及理论，以个人数据为参照标准来界定个人信息。他们认为，“个人数据是已经识别或者可以识别的与个人相关的所有资料”，而“个人信息则是具有属性特征的个人数据和经过加工的个人数据的集合”；（13）二是隐私说。将个人信息与个人隐私的概念等同，认为只要是公民不愿公开、与公共利益无关、与个人相关的都属于公民个人信息；（14）三是折中说。将前两种观点结合，对公民个人信息进行罗列，试图穷尽所有信息内容，这些个人信息包括了自然人的姓名、性别、出生日期、家庭住址、身份证号码、联系方式、婚姻、职业、学历、指纹、医疗记录、资产状况等单独或者与其他资料相结合能够将本人识别出来的，本人不愿为不特定人所获知的个人资料。（15）

上述争议的焦点首先涉及对公民个人信息的界定方式。较为普遍的做法是先提取公民个人信息的本质属性，然后列举信息种类。但罗列式的界定方法很难穷尽所有个人信息的内容，尤其面对日新月异的互联网技术显得尤其力不从心，可是如果概念太过抽象又很难指导司法实践。基于这些理由，我们倾向于采取一种折中的界定方式，既能以一定的概括性缓和概念界定与信息社会的紧张关系，又能最大程度地发挥规则对实务的指导意义。

由界定方式的不同带来对本质属性的不同认定便成为争议的另一焦点。在上述三种观点中，第一种认为公民个人信息重在可识别性特征，第二种侧重于隐私，最后一种则认为可识别性与隐私性共存。哪一种观点更为准确？参照《中华人民共和国个人信息保护法（专家建议稿）》，“个人信息是指个人姓名、住址、出生日期、身份证号、医疗记录、人事记录、照片等单独或与其他信息对照可以识别特定的个人的信息。”（16）该种界定方式明确指出可识别性是公民个人信息的本质特性，而是否为隐私与个人信息并无必然的逻辑关系。笔者赞同这种从公民个人信息的特性出发，通过罗列方式对公民个人信息进行界定，最后用归纳的方式总结出公民个人信息本质特征的方法。

（二）实务派的主张

笔者也总结了一些从事司法实务的工作人员的观点，具有代表性的如某地区检察官认为公民个人信息是指与公民个人身份相关，能够据此认定特定个人，且公民不愿为社会所知、具有保护价值的各种信息。（17）某法院法官认为，公民个人信息指反映公民个人生理及身份特征、社会生活经历及家庭、财务状况，也包括公民在社会生活过程中取得、采用的个人识别代码。既要与个人直接相关，又要具有法律保护价值。（18）笔者所在法院的刑事法官认为公民个人信息必须要具有识别个人的特性，不具有此特性，便不能认定为公民个人信息。

可以看出，实践派一般不进行罗列式的界定，而是通过公民个人信息的一种或多种属性来说明问题，普遍承认公民个人信息的可识别性。但与理论派相比，实践派增加了具有法律保护价值的属性，这种属性是否是公民个人信息所具有的本质属性，可否作为界定公民个人信息的一个视角？笔者不敢苟同。因为实践派之所以增加价值属性，更多地是从法益保护的角度讨论如何更好地去保护它，而不是针对公民个人信息本身去探讨它的属性，实属两个领域的问题，具有法律保护价值不应成为公民个人信息的本质属性。

（三）对上述观点的评述

综合以上两种观点，公民个人信息的特征主要有三个：可识别性、隐私性与具有法律保护价值性。前文已经论述过具有法律保护性不能成为公民个人信息的属性，这一点比较容易接受，对可识别性作为个人信息的特征并没有争议，值得讨论的是隐私性能否成为另一个特征。

首先从本质来看，坚持隐私性特征观点的人事实上是混淆了个人信息与个人隐私。民法上的隐私有三种形式，“一是私人信息，无形的隐私；二是个人私事，为动态的隐私；三是个人领域，为有形的隐私。”（19）个人隐私是一个较为宽泛、抽象的概念， 民法主要将个人隐私归为名誉权的保护之列。如果将民法中的个人隐私与刑法中的公民个人信息等同，便会出现未对个人名誉造成侵犯但刑法便进行处罚的情况，导致刑法规制程序前置于民法规制，这完全违背刑法的谦抑性。再者，个人隐私最大的特点在于主体是否愿意将其公之于众，主动公开的个人信息不能构成个人隐私，但是主体是否愿意公开并不影响对公民个人信息的认定。隐私与主体的主观意愿联系紧密，但个人信息并不具有这种紧密联系性。最后对于公民个人信息，最主要的关切点在于行为方式是否违法，这与个人隐私注意保护内容的倾向也有较大差异。

因此，公民个人信息的唯一本质属性就是可识别性。不能将公民个人信息与个人隐私等同，隐私性不能成为公民个人信息的特征。我们从可识别性角度出发可以给公民个人信息一个简单的定义，即与自然人相关，单独或与其他信息组合可以识别特定个人身份的信息。（20）当然，给出定义是比较简单的，如何在司法实务中来准确认定公民个人信息才是我们最终的目标。

四、司法操作：公民个人信息的科学认定

从司法实践来看，涉案个人信息的数量相当庞大，甚至能达到上千万条，但种类却是有限的，一般都是在十种以内。也就是说，作为本罪认定的核心，公民个人信息是完全可以甄别判断的。甄别信息必须以可识别性为判断标准，而哪些信息可以达到可识别性从而成为适格的犯罪对象？笔者试图从以下四个方面进行操作。

（一）认定基础：分析单个信息

笔者通过对68起非法获取公民个人信息案件中单个信息内容被侵犯的数据统计入手，分析信息本身的特点，寻求达到可识别性的路径。

从图2看非法获取公民个人信息的内容情况，排在前三位的是信息为姓名、电话和家庭住址，这些信息均与公民个人密切相关，具有唯一性与极强的个人专有属性，笔者暂且将其定义为公民个人专有信息。而年龄、性别、职业等信息内容所占比例较小，为众多个体所共有，并不为公民个人所专有，笔者暂且将其定义为非个人专有信息。可以看出，公民个人专有信息所占比例明显大于非个人专有信息，结合前文表1来看，公民个人专有信息之间的组合非常容易达到可识别性的标准。

（二）认定思路：划分信息类别

从图2和表1反映的数据来看，不同的公民个人信息本身具有一定的共同属性。笔者从信息的这些共性入手，按照其内在规律划分出几种类型，再以类型为依据去探寻信息的本质，以找到可以达到可识别性的标准。

以延展性（21）为依据，可以将信息分为以下两类：

第一类信息：具有完全延展性的信息。即从单个信息本身便能得到足够多的信息，根据这一单独信息即可以将某一个体从群体中甄别出来，达到可识别性（22）。如身份证号、社保号等国家有权机关颁发的个人特有身份标志信息，还包含DNA样本、指纹等具有唯一识别性的生理特征信息。

第二类信息：具有一定延展性的信息。从此类信息本身可以得到一定的信息，但单独存在尚不能完全识别个人，需要与其他信息组合才能达到可识别性的标准。如户籍信息，可以从户籍信息得到一定的其他信息，但是尚不能据此就锁定某个人。

 第三类信息：不具有延展性的信息。除了这类信息本身，无法据此得出其他任何信息。如性别信息。

以是否为个人专有为标准，又可将信息分为以下两类：

一是个人专有信息：这些信息与个人密切相关，是某个人所专有的信息，如姓名、电话号码、家庭住址、消费记录、通话详单、车辆信息情况、资产状况等。

  二是非个人专有信息：这类信息与个人相关，但不是个人专有，其他社会大众也可能具有这些信息，信息本身并没有太大的价值，一般仅作为附属信息存在。如年龄、性别、血型、职业、学历、身高、婚姻状况、毕业院校等。

综合上述两种分类标准，可以将信息归纳为：

1、为个人所专有、具有完全延展性的信息。如身份证号、

指纹信息等。这些信息不但为个人专有，且具有完全的延展性，只要单独存在就可以达到可识别性的标准，成为公民个人信息。

2、为个人所专有、具有一定延展性的信息。如姓名、电话、消费纪录、通讯纪录等。这些信息虽然为个人所专有，但是单独存在并不能达到可识别的标准，需要与其他信息组合。

 3、为个人所专有、不具有延展性的信息并不存在。

4、非个人所专有、具有完全延展性的信息不存在。

5、非个人所专有、具有一定延展性的信息。如特定职业、户籍所在地等。此类信息大量存在，需要与其他信息组合来认定其可识别性。

6、非个人所专有、不具有延展性的信息。如性别信息。这类信息无论如何组合也达不到可识别性的标准，不是我们研究的对象。用逻辑结构图来表示：

从上述分类来看（23），1类信息可以直接达到识别性的标准；2、5类信息无法直接达到可识别性，必须进行有效组合才可以认定为是公民个人信息；3、4类信息并不存在；6类信息没有研究的必要。因此，研究的重点就在于2、5类信息。

（三）具体路径：有效组合信息

从表1反映的情况来看，68起案件中有4起系第二类信息中两项公民个人专有信息的组合，即姓名和电话号码的组合。其余的组合均包含了两项以上公民专有信息内容。姓名与电话的组合为司法实践中接触得最少的组合，也是最底线的组合，如果该种组合可以达到可识别性，那么在姓名与电话这种两个个人专有信息之上的组合就必然能达到可识别性。基于此，笔者以信息内容最少的组合为例，对能否达到可识别性进行分析。

 目前，司法实践对姓名与电话的组合能否达到可识别性的问题存在争议。支持者认为姓名与电话均属于个人专有信息，二者组合足以识别到某个人。而反对者认为，通过网络等媒体可以轻易获得姓名与电话，如果将其认定为公民个人信息便会人为地扩大刑法打击面，故该种组合不属于有效组合。笔者赞同前一种观点。首先，反对者基于可以通过网络媒体获取姓名与电话来否定该组合的有效性的观点不能成立。笔者在前文中曾予以明确，通过何种方式获取系行为方式的考察，而非对组合是否具有可识别性的考察。其次，反对者基于刑法打击面的考虑的观点亦不成立。对刑法打击面的限制，应从行为手段、信息数量、行为后果等方面因素综合考虑，公民个人信息的本质属性系可识别性，不可为了限制刑法打击面而否定该组合的属性。因此，姓名与电话的组合为信息有效组合，可以认定为公民个人信息。

笔者基于数据统计与最少组合的分析得出以下结论：第二类信息中，含两项以上的公民个人专有信息的组合可以为有效组合，可以达到可识别性，即认定为公民个人信息。如姓名与家庭住址的组合，通话详单与家庭住址的组合，家庭住址与资产状况、消费记录的组合等。而第二类中的非个人专有信息本身组合一般不能认定为有效组合，必须与个人专有信息或者第一类信息组合才可以认定为公民个人信息。单个公民专有信息与非个人专有信息进行组合，一般需要大量的非专有信息才可以达到可识别性，在司法实践中可以单独考虑。由此，笔者用下图表示具体路径：

（四）最终导向：拟制司法解释

笔者从立法解读与理论分析两个层面明确了本罪的犯罪对象及公民个人信息的含义，得出初步结论：日后的立法规定或者司法解释应明确本罪的犯罪对象为公民个人信息，且对公民个人信息的界定应从本质属性出发进行界定。单纯地罗列公民个人信息内容并不能真正诠释公民个人信息的内涵。基于此，笔者将关于非法获取公民个人信息案件的法律适用相关问题的司法解释拟制如下：“刑法第二百五十三条之一规定的非法获取公民个人信息罪中的‘上述信息’，是指公民个人信息，即与自然人相关，单独或与其他信息组合可以识别特定个人身份的信息。”

而在司法操作层面，能达到可识别程度的公民个人信息主要有以下三种情形：一是只要信息中包含身份证号等第一类信息中任一项内容的；二是包含个人专有信息两项信息内容以上的；三是单个个人专有信息与大量非个人专有信息组合的。总之，要想准确认定公民个人信息，就应当按照前文所述的认定思路先划分信息类型、然后对信息进行有效组合，一旦信息的组合能够达到可识别性的标准，就能认定该组信息为适格的公民个人信息，成为非法获取公民个人信息罪的犯罪对象。

结 语
《刑法修正案（七）》已实施三年之久，在公民个人信息保护尚未形成体系的今天，刑法对非法获取公民个人信息罪的罪状表述略显模糊与简略。如何明确界定公民个人信息的概念，准确认定犯罪，从而帮助司法适用走出困境，提高司法公信力，成为立法、司法迫切解决的问题。认定个人信息必须从司法实务入手，通过对数据的分析及对个人信息进行科学的分类，笔者得出公民个人信息的本质属性就是可识别性，并将其规定在拟制的司法解释中。当然，公民个人信息的刑法保护是一个长期、复杂、系统的过程。本文以笔者自身参与、了解的司法实践为基础，对非法获取公民个人信息罪的犯罪对象进行了探讨，难免有所局限，但求抛砖引玉，共同为明确非法获取公民个人信息犯罪的对象，统一打击尺度及法律适用提供参考。

（1）笔者对我国法律体系中有关公民个人信息相关权益的保护情况进行了梳理，主要有：一、宪法：《中华人民共和国宪法》第三十九条、四十条关于公民的住宅不受侵犯及公民的通信自由和通信秘密受法律的保护。二、民法：《中华人民共和国民法通则》第一百二十条关于公民的姓名权、肖像权、名誉权、荣誉权；《关于贯彻执行<中华人民共和国民法通则>若干问题的意见(试行)》第一百四十条关于公民个人隐私的保护；《中华人民共和国侵权责任法》第二条。三、行政法：《中华人民共和国治安管理处罚法》第四十二条、第八十条关于国家秘密、商业秘密、个人隐私的保护。四、刑法：《中华人民共和国刑法》第二百五十二条、第二百五十三条关于侵犯通信自由罪私自开拆、隐匿、毁弃邮件、电报罪的规定，以及《中华人民共和国刑法修正案（七）》第七条关于出售、非法提供公民个人信息罪，非法获取公民个人信息罪的规定。五、其他法律：主要有《中华人民共和国收养法》，《中华人民共和国未成年人保护法》关于未成年人的个人隐私保护的规定，《中华人民共和国妇女权益保障法》关于妇女名誉、人格保护的规定等。

（2）2009年10月13日《征信管理条例（征求意见稿）》第二十条规定：“征信机构、金融机构基于模型开发、系统测试等目的使用或对外提供个人、法人及其他组织信息的，可以不经信息主体的同意，但所使用或提供的信息不得包含个人姓名、公民身份证号码、手机号码、住宅电话、企业名称、住址及其他可以识别信息主体身份的信息。”此外，2011年07月22日《征信管理条例（第二次征求意见稿）》明确规定：“从事个人征信业务的征信机构必须经国务院征信业监督管理部门批准。征信机构采集个人信息应当经信息主体本人同意。未经信息主体本人同意采集的个人信息，征信机构不得采集，他人也不得向征信机构提供；但依照法律、行政法规公开的信息除外。”

（3）赵秉志：《刑法修正案最新理解适用》，中国法制出版社2009年版，第115页。

（4）截止目前，我国大部分省市区都受理了非法获取公民个人信息案，尤以北京居多。笔者重点选取了北京6个基层法院审理的52起案件为参照，同时根据地方法院官方网站及中国法院网、新华网、人民法院报等官方媒体对非法获取公民个人信息案件的庭审直播、公开报道等，搜集了其他省市16起典型案件，详细分布为：北京52起，上海、浙江各3起，广东2起，山东、江西、四川、重庆、黑龙江、河南、河北、新疆各1起，共计68起。

（5）这些裁判文本的出处详见前文脚注4。

（6）梁慧星：《民法解释学》，中国政法大学出版社2003年版，第219页。

（7）黄太云：《刑法修正案（七）解读》，载《人民检察》2009年第6期，第5页。

（8）黄太云：《<刑法修正案（七）>内容解读（三）》，载《人民法院报》2009年4月22日第6版。

  
（9）龙世发：《适用与限制：法律解释中的目的解释方法》，载《政法学刊》，2009年第2期，第14页。

（10）通过买卖双方串联查获信息提供者，信息提供者构成出售、非法提供公民个人罪，信息源便为最初信息源，此类案件仅有2件。

（11）“字面含义或明白含义规则”存在一些固有的缺陷，比如要说明一个法律用词的含义是不是“明白”常常并非易事，它难以适应现代社会中立法的整体构架性和政策性，不能为一些边缘案件指导，还可能妨碍通过解释使制定法适应已经变化了的社会需要，于是，在法律实践中产生了对该规则的一些谨慎的背离，表现为所谓“黄金规则”。参见张志铭：《法律解释操作分析》，中国政法大学出版社1998年版，第180页。     

（12）由于篇幅所限，笔者在此不具体展开论述三种学说。隐私说详见蒋坡主编：《个人数据信息的法律保护》，中国政法大学出版社2008年版，第2页；关联说详见孙平、刘靖晟：《刑法修正案（七）关于侵犯个人信息犯罪的理解与适用问题探讨》，载《新中国刑法60年巡礼（下卷）》，中国人民公安大学出版社2009年版，第1235-1236页；识别说详见周汉华：《中华人民共和国个人信息保护法（专家建议稿）及立法研究报告》，法律出版社2006年版，第3页。

 
（13）郎庆斌、孙毅、杨莉：《个人信息保护概论》，人民出版社2008年版，第12页。

（14）该种观点系杨兴培教授观点，转引自凌鸿：《非法获取公民个人信息的认定》，载《人民法院报》2010年6月17日第7版。

 
（15）井慧宝、常秀娇：《个人信息概念的厘定》，载《法律适用》2011年第3期，第93页。

（16）周汉华：《中华人民共和国个人信息保护法（专家建议稿）及立法研究报告》，法律出版社2006年版，第3页。

（17）凌鸿：《非法获取公民个人信息的认定》，载《人民法院报》2010年6月17日第7版。

（18）凌鸿：《非法获取公民个人信息的认定》，载《人民法院报》2010年6月17日第7版。

（19）杨立新：《中国人格权法立法报告》，知识产权出版社2005年版，第419页。

（20）如前文所述。

（21）信息内容是用于识别个人的重要要素，信息内容具有延展性说明从信息内容本身可以追踪、得到其他信息内容。延展性越大，可追踪到的其他信息就越多。

（22）周海洋：《出售、非法提供公民个人信息罪和非法获取公民个人信息罪的理解与适用》，载《中国审判》2010年1月5日第47期，第80-81页。

（23）对于承载个人信息内容的图片、视频、录音等动态信息应属于上述哪种类型，需要根据其表现出的具体信息内容来进行归类。

                                                                                   作者：国锦律师

                                                                                   责任编辑：王姗姗