《解释》对“公民个人信息”进行了概括式加列举式定义，弥补了立法规制的不足，具有进步意义。但从司法实践来看，在具体案例中仍存在对“公民个人信息”的范围难以把握的问题。

（一）公民个人信息的主体界定

1.外国人、无国籍人纳入公民范围

对于本罪中的“公民”是否包括外国人、无国籍人，一直存在两种争议。有的学者主张，“公民”一词是我国宪法明确规定的，按照文义解释本罪中的“公民”应仅包含我国公民，若对此处的“公民”做扩大解释明显超出了语义范围，违背了罪刑法定原则。^[33]还有学者认为：“刑法之所以使用‘公民’一词而非采用“个人信息”的表述，意在表明公民个人信息具有超个人法益的属性。^[34]所以该学者主张本罪中的“公民”当然包括外国人和无国籍人。

对此，笔者认为，对“公民”应采取广义的理解，本罪中的“公民”应包括外国人和无国籍人。首先，只要是发生在中国领域内犯罪，中国就可以依据属地原则进行管辖，所以无论是中国公民还是外国公民的信息受到侵犯，只要其发生地在中国领域内并且构成犯罪，中国就可以依据属地原则进行管辖。其次，从刑法目的来看，惩治犯罪和保障人权是刑法的必然要求，若刑法在此排除对外国人、无国籍人的信息保护，有放纵犯罪之嫌，为行为人实施犯罪留下了法外空间。最后，从司法实践角度出发，在处理涉及与外国人、无国籍人个人信息相关的案件时，只处理我国公民个人信息的部分，从司法实务中来说较难操作并且也不具有合理性。所以我国刑法对外国人和无国籍人的信息加以保护，不仅是现实需要，也是符合国际法要求的。

进一步说，将外国人、无国籍人纳入“公民”的范围后，本罪中的“公民”一词的适用就明显欠妥，那么如何解决这一争议？理论界有两种主张：一是建议直接删去“公民”一词^[35]；二是通过司法解释对本罪中的“公民”做扩张解释。笔者认为，第一种做法通过立法的方式来实现这一目的，从时间上来看短期内难以实现而且方法太过激进，必然会经历一番曲折的过程。所以本书赞同后者，对“公民”一词进行扩张解释，在我国的民法通则中很早就采用了“自然人”的表述方式，将“公民”和“自然人”等同视之，运用到刑法领域，将“公民”解释为“自然人”也不会超出大众的预期。

2.单位、企业信息

案例3：2010年，被告人刘某某在南京市税务局任职期间，利用职务的便利，超越职权下载部分企业的税务登记信息，信息的内容主要涉及企业名称、企业营业执照、企业地址、企业经营范围、企业性质、企业法定代表人姓名、身份证号码、手机号码等，并将上述信息出售或提供给严某、郭某使用。在本案中，刘某某的辩护人提出，企业税务登记信息不是特定自然人信息，不属于“公民个人信息”范畴。^[36]

案例3中涉及的信息内容较为复杂，有企业信息，如企业的经营地址、营业执照等；有个人信息，如法定代表人身份证号、电话号码等。案例3的争议焦点在于企业税务登记信息是否属于“公民个人信息”？司法实务中像这样的案例还有很多，大部分案例的争论分歧在于：①“公民”是否包括单位和企业？②单位和企业信息是否属于本罪的保护范围？

首先，笔者认为不能将本罪中的“公民”扩大解释为单位和企业。理由如下：首先，法人与自然人是相对的概念，法人的特征是一种社会组织，其享有独立的财产权但无法成为法律人格化的资本。法人只是法律拟制的人，法律之所以创设法人是为了经济发展服务的，保护法人信息就等于保护法人背后的财产权。单位、企业作为机关法人和企业法人不能像自然人一样拥有人格权，而本罪保护的主体仅限于自然人，无论怎么扩大解释，都不能将“单位、企业信息”纳入“公民”的范围。第二，从立法角度来说，立法者对单位和企业信息是给予了相关保护的，若企业商业秘密受到侵犯，可以直接以侵犯商业秘密罪定罪处罚，无须通过侵犯公民个人信息罪来追究其刑事责任，所以不会出现立法漏洞的情况。综上，单位和企业与本罪的“公民”是两个截然不同的概念，不能混淆。

但是在司法实务中对单位、企业信息的认定，不能一概而论，应具体情况具体分析。例如，案例3中被告人刘某某获得的企业税务登记信息不仅包含了企业住址、名称、经营范围等企业信息，还涉及企业法定代表人信息，如姓名、电话号码、身份证号等。其中有关法定代表人的信息能与特定的自然人相关联，符合本罪构成要件的应当认定成立本罪。再比如，企业的交易信息中往往会涉及双方主体，即企业和个人，企业在交易过程中获得的消费者信息，具有可识别性，应当纳入“公民个人信息”保护范畴。概言之，在认定某项信息是否属于本罪的保护范畴，不能单纯看形式上的信息主体是单位还是个人，而是要看信息的具体内容，抓住“可识别性”这一本质特征，具体情况具体分析。(www.daowen.com)

（二）公开的公民个人信息的界定

案例4：2016年3月至2016年11月，被告人周芬亮利用网络加入“信息交流资源”QQ群，发送和接受关于企业法人资料，共计71292条，其中被告人向他人发送信息32616条，接受他人发送信息38676条。被告人发送的32616条信息是通过互联网检索得到。公诉机关认为，通过互联网公开的信息应当予以排除，一审法院经审理认定，被告人向他人发送的32616条的信息不予以排除。案件二审期间，法院进行了改判，认定原法院认定事实错误，将上述公开信息予以排除。^[37]

案例5：2015年至2016年，被告人郭某某为推销业务，以15000元的价格向南京某网络科技公司购买企业工商登记信息，信息的内容不仅涉及企业信息还包括部分公民个人信息，获取上述信息后并提供给被告人刘某某。其辩护人认为，工商登记信息中部分信息是可公开、可查询的信息，非刑法意义上的个人信息，严某的行为不构成犯罪。该法院审理认为，公民个人信息包括公开的个人信息，识别性是其根本属性，并不要求具有个人隐私的特征。^[38]

案件4和案例5的争议焦点在于：公开的个人信息是否属于本罪中的“公民个人信息”。案例4中，一审法院在认定个人信息时未将“公开的个人信息”作排除处理，可见开放状态下的公民个人信息仍在本罪的保护范围之内；从二审法院的审理结果来看，排除了互联网查询的信息的适用，可见公开的个人信息不属于本罪保护的对象。案例5中法官直接认定只要公开的信息具有可识别性即可，并不要求具有个人隐私的特征。从案例4和案例5的判决结果可以得知，对“公开的个人信息”的认定尚未形成统一的标准，由于《解释》并未对此问题给予规定，这一问题仍困扰着法律适用主体。事实上，针对这个问题也有很多学者专门撰文探讨过，但未形成一致主张。目前主要有两种观点：①肯定说认为，“个人信息不同于个人隐私，两者是交叉重合关系，即使个人信息已经被公开，仍有可能成为本罪保护范围”。^[39]②否定说则主张，“本罪中的个人信息通常指公民因涉及自身隐私而不愿发布的信息”。^[40]

笔者认为，“公开的个人信息”是否属于本罪保护范畴，不能单纯用肯定模式或者否定模式加以笼统概括，需要结合本罪的行为方式来加以讨论。根据刑法第253条之一的规定，本罪的行为方式包括泄露型和非法获取型两大类，因此，笔者共罗列了四种情形。

（1）出售、提供依法公开的个人信息。笔者认为这种情形应构成本罪，理由有两点：①根据上文的讨论，公民个人信息最核心的特征是可识别性，虽然《解释》中列举的部分信息具有隐私性，但隐私性并不是必备要素。依法公开的信息只要具备可识别性，就应当认定为公民个人信息，不论其形式上是否公开。②符合刑事立法目的。尽管个人信息处于开放可查询状态，但行为人将依法公开的信息出售、提供给他人，使得这些公开信息变得特定化，就会让有犯罪意图的人利用该信息实施犯罪。近些年来，利用个人信息实施电信网络诈骗罪的情况层出不穷，《解释》对公民个人信息的扩张性解释正是基于保护公民个人信息的需要，对公开的个人信息给予同等保护符合本罪的立法目的。

（2）出售、提供非法公开的个人信息。现实生活中，有的信息是权利主体非自愿公开或者是被公开，这种情况下，行为人已经明显违背了信息主体的主观意愿，举轻以明重，出售、提供依法公开的信息构成本罪，对于出售、提供非法公开的信息肯定是属于本罪保护范围的。

（3）获取依法公开的个人信息。由于信息是符合法律规定加以公开的，对这一类信息，任何人和组织都有可能并有权获得，显然是合法的。此时的获取行为并未违法国家有关规定，就不存在“窃取和以其他非法方法获取”的情况，当然不构成本罪。

（4）获取非法公开的个人信息。虽然获取的信息是非法公开的，但从行为人的角度出发，在互联网或者是其他公众平台上获取被非法公开的个人信息时，行为人本身并不能识别自己获得的信息究竟是依法公开还是非法公开的，便不存在窃取或以其他非法方法获取之说。笔者认为在此种情况下应当惩罚非法公开的行为主体，对通过合法手段获取公民信息的行为人不能动用刑法加以规制，若行为人在获取非法公开的信息后没有继续实施出售、提供等行为，笔者认为，对获取非法公开的公民信息是可以认定为合法的。