（一）“个人信息”与相关概念之辨析

界定“公民个人信息”，首先应厘清其与个人隐私、个人数据之间的关系。从域外的立法来看，与个人信息有关的法律名称主要有三个：①个人信息；②个人数据；③个人隐私。通常来说，大陆法系一般引用“个人数据”，如德国的《数据保护法》，就普通法法系而言，一般采用“隐私”的表达方式，最为典型的就是美国的隐私权法，其“隐私”的概念与个人信息的概念基本类似。但是在亚洲，例如日本和韩国大都采用“个人信息”这一概念。以上是各国法律中最常见的与个人信息有关的立法名称，除了上述的三种表述外，还有采用“个人资料”的。由于每个地区的历史传统、法律制度等不同，所以各国的法律中的名称也不相同，但是无论是域外法中的“个人隐私”还是“个人数据”，其表达的核心内涵与我国法律中的“个人信息”的概念是相同的。

我国立法之所以选用“个人信息”，是基于以下几点的考量：第一，“数据”主要是针对技术领域而言，它是进行统计、计算所参照的数值，并不适合法律领域的研究。而法学是实践性较强的学科，对于法律用语的选用一定要是大众所能了解的，所以与个人数据相比个人信息的普适性更强。第二，“隐私”这一概念范围较小，如果刑法采用“隐私”这一概念会大大缩小个人信息的保护范围，若对“隐私”进行扩大解释也无疑会导致理解上的混乱。所以我国立法者选用了“个人信息”这一法律名称。2009年刑法修正案（七）增设侵犯公民个人信息罪，使“个人信息”一词在我国得到广泛普及和适用。

上述关于“个人信息”的法律名称是从比较法的角度来考察的，具体到本罪中“个人信息”的司法认定时，应从国内法的角度加以考察。美国法律中的隐私权与美国的政治思想、文化紧密联系，范围非常广，而我国对于隐私的保护起步较晚，直到2010年才在侵权责任法中明确了隐私权。在我国，个人信息的范围大于隐私，隐私的范围较小，不能涵盖个人信息的范围。如果在我国法律中仅采用个人隐私的表达方式，无疑缩小了侵犯公民个人信息罪的保护范围，不利于打击犯罪，所以国内法上的个人信息和个人隐私不能等同使用。

（二）公民个人信息界定标准之争议

《解释》出台之前，国内刑法学界关于侵犯公民个人信息罪中的“公民个人信息”的界定，存在较大争议，概括起来主要有三种学说。

（1）关联说。该说认为，刑法既然没有对‘个人信息’加以明确界定，即意味着所有与个人相关的信息都属于个人信息范畴。”^[28]关联说强调“个人”与“信息”之间的关联性，这种关联性是全方位、多角度的，也可以说是最大程度地涵盖了个人信息的范围。

（2）隐私说。该说主张，“只有涉及个人隐私的信息才能成为本罪的犯罪对象”。^[29](www.daowen.com)

（3）识别说。该观点认为，“凡是能够单独或者与其他信息相结合识别出特定自然人信息的，都可以认定为个人信息”。^[30]

具体来说，三者之间的关系可以用下图表示：

图1-4　三种学说的范围关系

从图1-4中可以看出，关联说涵盖的公民个人信息范围最广，隐私说的范围最窄。针对上述三种学说，笔者认为识别说更具合理性。首先，关联说囊括了一切与公民个人相关联的信息，运用到具体的司法实践中会增加法官的自由裁量权，从而使本罪打击范围扩大化。刑法作为二次规范，充当的是补充性的作用，将一切信息纳入刑法规制的范围，不满足刑法谦抑性的要求。其次，隐私权说将个人信息仅限定为个人隐私，缩小了本罪的保护范围，在现实生活中很多个人信息都是公开的，对这类公开的信息仍然需要刑法的保护。个人信息和个人隐私的重要区别就在于信息是否公开，隐私权只是本罪保护法益的一个部分，若仅仅是侵犯个人隐私的犯罪行为才能受到刑法保护与现代信息社会有不相兼容之处。另外，域外国家的立法也在较多的采用了识别说的观点，例如，美国虽然以“个人隐私”来保护个人信息，但也把“个人可识别信息”作为衡量法律是否需要介入的标尺。^[31]施瓦茨和沙勒夫认为，无论是“个人信息”还是“个人隐私”都应当通过识别性标准来限定法律保护的边界。^[32]综上，笔者更倾向于识别说，识别说的观点即避免了刑法打击范围的扩大化，也避免了过分地缩小了本罪的保护范围，不论本罪的行为方式怎么改变，识别说都能准确把握个人信息的本质，顺应社会新形势的发展。目前，“识别说”也是理论界较为主流的义类型，《解释》也采纳了这一学说。

（三）《解释》规定之内涵界定

有学者将个人信息的定义模式划分为两种：①概括定义型；②概括列举型。第一种定义模式一般采用抽象的概念对个人信息加以认定，第二种定义模式属于混合型的定义模式，首先用抽象的概念对个人信息加以定义，再采用具体列举的方式定义个人信息。2017年5月，“两高”颁布的《解释》第1条专门对“公民个人信息”的概念做出了明确界定，该条在形式上采用了概括式加列举式的定义模式，在内容上较多地采纳了识别说的观点。从形式上来说，《解释》第1条首先进行了概括式定义，该条认定的“公民个人信息”包括两大类：第一，身份识别信息；第二，特定自然人活动情况的信息。在概括式定义后还列举了个人信息的具体种类，最后以“等”字兜底，对个人信息进行了同类解释。

《解释》第1条参照了网络安全法第76条对“个人信息”的定义，2016年11月份颁布的网络安全法第76条认定的“个人信息”仅包括身份识别信息，《解释》在该法基础上对“个人信息”做出了进一步的划分，即包括身份识别信息和活动情况信息，最典型的就是行踪轨迹信息，这一点网络安全法并未作规定，从范围来说《解释》无疑更为全面。根据《解释》第1条之规定，可以看出刑法保护的个人信息具有以下三个要素：①可识别性。根据该条的规定，可将公民个人信息划分为静态的识别信息和动态的识别信息，其中反映特定自然人活动情况的信息就属于动态的识别信息，就拿行踪轨迹信息来说，若脱离了识别性，单纯保护行踪轨迹信息就没有实际意义。《解释》第3条第2款也能从侧面印证这一点，该条规定“经过处理无法识别特定个人且不能复原的除外”，因此可以看出，“可识别性”是核心认定方式。②隐私性。虽然《解释》第1条中未采出现“隐私”二字的表述，但从其列举的部分信息来看，具有隐私性的信息属于本罪保护的范畴，如“行踪轨迹”。③财产性。《解释》第1条明确列举了“账号密码”和“财产状况”等信息，《解释》明确列举上述两种信息目的是为了保护个人信息背后的财产权。