目前个人信息保护体系的立法现状凸显出刑先民（行）后的尴尬局面，也存在着民刑规定不一的解释困境。在“公民个人信息”的认定上应当将刑法规范与司法规则规定的范围与前置法保持一致。在“公民个人信息”可识别性的规定上，只规定了识别对象和识别方式，而没有明确识别主体与识别标准，进一步导致如何认定“公民个人信息”存在方法论上的供给不足。在“可识别性”理解上，识别方式包含直接识别与间接识别；识别对象应当为“特定自然人”；识别主体应当采取一般人标准；在识别标准上应当依照法益保护原则、利益衡量原则以及动态保护原则，结合信息本身的重要程度、需要与其他信息的结合程度以及行为人的主观目的进行认定。

公民个人信息可识别性法秩序统一识别标准

犯罪的认定需要经过构成要件符合性、违法性与有责性三个阶层的检验，行为对象是构成要件符合性判断中的重要一环。在侵犯公民个人信息罪的认定中亦是如此，如何把握“公民个人信息”的内涵与外延，对于正确厘定罪与非罪、此罪与彼罪的界限至关重要。

从目前的立法现状考察，一方面，公民个人信息的保护存在着“刑先民后”的立法背景，导致作为保障法的刑法置身于舞台中央，起着划定公民个人信息范围的作用，尤其是《民法典》和《个人信息保护法》的出台，将“刑先民后”的问题进一步凸显；另一方面，目前前置法与刑法及司法解释对个人信息的规定不一，存在着个人信息范围、特征和识别对象上的不一致，这进一步导致对公民个人信息的内涵和外延存在不同的理解。因此，如何消弭民刑规定的冲突，实现在法秩序统一背景下“公民个人信息”的合理解释值得研究。

在司法层面，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）第1条仅规定了可识别性的识别对象与识别方式，但是欠缺对识别主体和识别标准的规定，导致在“可识别性”的判断标准上存在着模糊性，这进一步导致“公民个人信息”认定上的混乱。因此本文拟从教义学层面为公民个人信息的判断寻找一条合适的出路，进而为司法实务中公民个人信息的认定确立一条可行的标准。

在刑事法律规范层面，最早规定“公民个人信息”的是2009年《刑法修正案（七）》，其中增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪；在此后2011年颁布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中增设了非法获取计算机信息系统数据罪，在特定领域与行业为公民个人信息的保护提供了刑事法律补给；2015年《刑法修正案（九）》的出台标志着侵犯公民个人信息罪正式面世，为公民个人信息的刑法保护增添了有力的屏障。2017年《解释》的问世为侵犯公民个人信息罪的定罪量刑提供了更加明确且富有操作性的标准。

在行政法、民法领域，第一次比较完整地在前置法层面划定了公民个人信息的范围的法律规范需要追溯到2012年颁布的《关于加强网络信息保护的决定》（以下简称《决定》），其中第一条就明确指出“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”据此，公民个人信息的概念开始被勾勒出来，公民个人信息具备“可识别性”特征，并将公民个人信息分为两类：一类是能够识别公民个人身份的信息；另一类是涉及公民个人隐私的信息。¹2016年颁布的《网络安全法》扭转了将公民个人隐私单独规定为公民个人信息的局面，开始重视公民个人信息的可识别性特征。将“可识别性”作为判断是否属于公民个人信息的唯一法律标准。²此后颁布的《民法典》与《个人信息保护法》也维持了《网络安全法》的立法例，将“可识别性”作为唯一的判断标准。³随着《个人信息保护法》的出台，对公民个人信息保护的法律规范趋于完备，形成了多层次的个人信息保护体系。

通过上述法律文件的梳理，可以发现，对公民个人信息的规定最早来源于刑法的规定，而后通过行政法、民法规范进行相应的填充补足。总体来看，对公民个人信息的规定主要有以下几个特点：一是从区分个人身份信息和个人隐私信息到整合二者形成个人信息的概念并侧重于可识别性；二是对公民个人信息的规定主要采取定义加列举法；三是行业专门规定到统一规定，形成个人信息自决权，公民个人信息的概念愈发丰满。

随着“公民个人信息”的概念不断被立法与司法赋予更丰富的内涵和更大的外延，反而“公民个人信息”的概念变得更加模糊与不确定。从规制公民个人信息法律规范的历程看，目前的法律规范存在着以下两点问题：一是存在着刑先民（行）后的尴尬局面；二是存在着民刑规定不一的解释困境。

从对上述法律规范的梳理可以发现，最早规定公民个人信息的法律为2009年《刑法修正案（七）》，而在此之前并没有相应的民事法律规范或者行政法律规范为公民个人信息保护确立规则。我国刑法理论一般认为刑法是前置法的保障法，刑法具有谦抑性。具体而言，只有当一般部门法不能充分保护某种法益时，才由刑法保护；只有当一般部门法不足以抑止某种危害行为时，才由刑法禁止。此外，前置法正常适用也依赖于刑法的保障。⁴

侵犯公民个人信息罪是行政犯，犯罪的成立以“违反国家有关规定”为前提。⁵但个人信息保护范畴刑法先行的状况导致在《网络安全法》《民法典》《个人信息保护法》未出台前，侵犯公民个人信息罪的认定缺乏前置法依据，这也进一步导致在司法实践中判断某一信息是否属于“公民个人信息”缺乏判断依据和标准，为司法实务增添了不少麻烦。

在《民法典》和《个人信息保护法》出台后，极大地拓展了个人信息的内涵，填充了前置法的内容。那是否意味着在“公民个人信息”的认定上就可以完全依照前置法的规定进行判断？答案是否定的。如果仔细对比《个人信息保护法》与《解释》的规定，可以发现两个法律规范对公民个人信息的规定存在着细微的差异。《解释》第1条明确规定了个人信息的概念——公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。而《个人信息保护法》第4条将个人信息定义为：以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

刘宪权教授指出《解释》与《个人信息保护法》对个人信息的定义存在着三点不同：一是范围上，《解释》除了规定识别特定自然人身份外，还将“能够反映特定自然人活动情况的各种信息”纳入个人信息的范围；二是在特征上，《解释》与《个人信息保护法》在“识别性”的表述上不同；三是在识别对象上，《解释》侧重的是识别自然人身份或者自然人的活动情况，而《个人信息保护法》侧重的是通过个人信息能够识别自然人。⁶

刑先民后的尴尬局面是客观存在且无法改变的现实，应当进一步思考的是在目前刑民规定不一的情形下，在方法论层面究竟是采取立法论的立场主张对《解释》关于个人信息的定义进行调整还是采取教义学的立场对具体条文进行再解释以缓和民刑规定不一的矛盾。

刘宪权教授主张重构侵犯公民个人信息罪适用的规则，包括刑法规范和司法规则，对《解释》中个人信息的定义进行适当调整，以与《个人信息保护法》的定义保持一致。⁷喻海松博士则认为在《个人信息保护法》施行后，侵犯公民个人信息罪的刑法规范和司法规则宜继续沿用。⁸

笔者认为在民刑规定不一的调和上，不应当采取批判立法的态度，而应当基于解释学的立场对法律条文作出合理的解释，无需大动干戈对立法与司法规则进行相应的调整。在此问题上，原则上应当保持《解释》与《个人信息保护法》对个人信息定义范围的一致性而不应当存在着明显的差异。

第一，在可识别性与关联性的关系上，笔者认为二者并不矛盾，关联性本身也强调可识别性，单纯反映自然人活动的信息，如反映某一群体的运动习惯的信息本身并不能够被称为公民个人信息，关联性本身还强调“反映特定自然人”，而“反映特定自然人”的应有之义是通过上述信息能够识别到具体的个人。只是反映自然人活动情况的信息相较于一般的公民个人信息更加重要，所以在《解释》中提醒办案人员重点关注。

第二，《解释》与《个人信息保护法》对个人信息特征的表述在本质上并无任何不同，均强调公民个人信息“可识别性”的特征。“单独识别”与“已识别”相对应，强调的是足以识别；“结合其他信息识别”和“可识别”相对应，强调的是单纯依靠信息本身不足以识别，但是信息在结合其他信息时具有可识别性。

第三，在“识别自然人身份”与“识别自然人”的表述上在本质上其实也并无不同。这里的身份并不是指公民个人的职业、社会身份，而是强调公民个人信息的人身专属性，在本质上还是在说明信息与自然人之间的可识别性。在对法条的理解上不可太机械死板，而应当结合立法目的进行合理解释。

综上，笔者认为《解释》与《个人信息保护法》关于公民个人信息的定义范围上具有一致性，均是强调通过信息能够识别到特定的自然人，关联性也是为可识别性服务的。这一点刘宪权教授在其后续发表的论文中也是赞成的。⁹正如周光权教授所指出的，在个人信息的外延上，刑法上的规定确实与前置法存在一定的细微差别，但这是非常正常的现象，这并不意味着刑法在个人信息的认定上可以抛开前置法进行判断。¹⁰

在周某某侵犯公民个人信息案中，其辩护人主张：“被告人周某某没有直接实施非法买卖的行为，加拿大航空大部分信息是国外公民信息，对于这部分信息应当予以剔除。”¹¹因此，值得讨论的是公民个人信息是否包含外国公民的个人信息？这一点在最高人民法院研究室《关于侵犯公民个人信息罪有关法律适用问题征求意见的复函》（法研〔2018〕11号）已经给出了明确的答案，认为公民个人信息既包括中国公民的个人信息，也包括外国公民和其他无国籍人的个人信息。理由在于：刑法用语并未限制只包含中国公民信息，外国公民、无国籍人的信息同样具有要保护性，如果个人信息的范围不包含外国公民信息，会有放纵犯罪之嫌。

作为侵犯公民个人信息罪的行为对象，还要求所侵犯的信息是“个人”信息——即与特定自然人有关联、具有可识别性的信息。那么反映公民群体活动的信息能否被认定为个人信息就具有讨论的意义。一般而言，如果信息仅能反映的是某一共性群体的偏好、倾向，而无法识别或者指向特定、具体的公民主体，就无法认定为公民个人信息。但也有观点认为具有识别性并不要求能够通过信息实际达到精确至个人的程度。只基于一定目的和标准，达到识别该公民区别于其他一般人的身份或者从事的特定活动即可。例如仅有手机号码并不能识别特定公民的身份和活动，也不直接与公民个人权利相关，但如果结合其他信息可以明确系特定小范围群体的电话号码（如某学校某班级家长电话号码），对基于推销与教育相关的商品、服务或者类似特殊目的之使用者而言，非法获取使用这些号码，足以侵犯到手机号码持有人的隐私权、安宁权。此时这些电话号码就具有了可识别性，应当被认为属于公民个人信息。¹²

笔者认为上述观点存在不妥，公民个人信息必须具备可识别性，必须能够通过信息识别到特定、具体的个人，被标签化的特定群体信息本身并不足以识别特定的自然人，即使信息主体的隐私权与安宁权受到一定的侵扰，也不能据此认为上述信息就属于公民个人信息。

公民个人信息还要求侵犯的对象为个人信息，值得关注的是个人信息与个人隐私的界限问题，以及个人隐私是否属于侵犯公民个人信息罪的保护范围。一般而言，在民法与刑法学界均认为个人信息与个人隐私存在一定范围的交叉。第一，民法典第1034条第3款规定：个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。这意味着个人信息权益与隐私权之间存在密切的关系，隐私权和个人信息保护规则的适用上会发生交叉；¹³第二，《网络安全法》出台后对个人信息的规定已经摈弃了《关于依法惩处侵害公民个人信息犯罪活动的通知》的规定模式，不再区分个人信息与个人隐私。个人隐私包括个人隐私信息、个人隐私活动等，个人隐私信息如果具有可识别性，也可以认定为公民个人信息。¹⁴

根据《解释》《民法典》《网络安全法》关于个人信息的规定，可以得出公民个人信息应当具备“可识别性”，这一点在理论界和实务界已经争议不大。但是可识别性的具体标准应当如何，并不明确。

《解释》第1条规定了“公民个人信息”可识别性的识别方式和识别对象，但是并未明确在识别时应当采取何种具体的标准。¹⁵识别作为一种评价活动，评价的主体、对象、条件、方式以及结论是评价活动的组成部分。但是在目前的立法模式下，并没有明确在可识别性判断中需要结合何种条件以及由谁进行评价。

在识别方式上，有观点认为直接识别信息只是一种理论构想，在实践中难以存在，直接识别的可能性是存疑的。例如DNA信息、指纹等信息虽然具有唯一性，但是这种识别只能指向抽象的个人，无法知悉其他情况，也实现不了自然人特定化的目的。¹⁶在间接识别方式上，面临最大批判是只要具有识别可能性的信息，与其他信息结合必然能够识别出公民个人身份，这造成可识别信息的范围极易扩张。¹⁷甚至在极端的情况下，将一个与自然人无关的信息与指纹信息等相结合也能够识别出具体的自然人，此时无关信息还要被认定为个人信息，难言妥当。在识别对象上，《解释》认为包括特定自然人的身份与活动情况。然而，有学者指出，《解释》的规定，将不具有身份识别性的活动识别信息认为为公民个人信息，体现出认定的扩张化趋势。¹⁸

现行的立法模式没有为司法者确立一个明确的标准，赋予了司法工作人员自由裁量权，但是这极容易导致司法的恣意。刑事追诉与行政制裁不同，其具有更强的严厉性，罪刑法定原则也要求明确性。如果不为个人信息的认定确立具体的标准，司法工作人员就会凭借感觉、经验，为了达到特定的目的对可识别性进行解释。此外，信息是否具有可识别性是一个相对的概念，在认定时还需要确定到底是以一般人标准还是具体人（犯罪人）标准亦或者司法人员的标准进行判断。例如与信息主体关系密切的人对信息的可识别性就远远大于一般主体。还例如，在特定平台可以将加密信息解密并联系到具体个人并不意味着该条信息对于一般人就具有可识别性。

直接识别与间接识别的区分应当保留。笔者认为，指纹信息、DNA序列等信息虽然确实只能指向抽象的个人，但并非意味着指纹信息与DNA序列信息就不能称为个人信息。一方面，通过指纹、DNA序列等信息确定能够定位到具体的个人；另一方面，上述信息会影响到公民的人身与财产安全，理应被认定为个人信息。

间接识别的信息范围应当作一定的限缩。比如某人的中指长度信息也能够结合这个人的相貌等信息实现身份识别，但是应当认为，单纯的中指长度信息并不能够认定为个人信息，否则在大数据时代下，由于信息数据的互联互通，本不应该属于个人信息范围的也会因跟其他信息的关联性而被赋予可识别性。这甚至会导致某些匿名化或者进行加密处理的信息也最终会被认定为个人信息，这导致信息处理企业的合规成本大大增加，也会架空《解释》第3条第2款的规定。¹⁹

反映特定自然人活动情况与可识别性并不冲突。《解释》第1条确立识别对象为“特定自然人的身份”与“特定自然人的活动情况”。笔者认为，可识别性的识别对象应当为“自然人”而不应当限制为身份识别。

第一，应当提取识别对象的公因式，即自然人。无论是识别特定自然人身份还是反映特定自然人活动情况，最终通过信息所需要实现的目的是能够识别到“特定自然人”，自然人活动情况能够认定为个人信息的前提则需要能够反映“特定”自然人，这必须依赖可识别性完成。

第二，《解释》的识别对象应当与前置法保持一致。无论是《民法典》还是《个人信息保护法》在个人信息的规定上所采取的都是“识别特定自然人的各种信息”，而没有强调识别特定自然人身份。

第三，从文义解释的角度，《解释》定义的概念是“公民个人信息”而非“公民个人身份信息”，因此，无需将“特定自然人的活动情况”与可识别性对立起来。

需要注意的是，这里所讨论的识别主体并非所指的是谁来进行识别，毫无疑问应当由司法工作人员进行具体的识别，在这里所讨论的识别主体指的是在具体识别过程中，依赖的是何者的认识能力与水平进行可识别性的判断。目前，学界主要存在着一般人标准与具体人标准的对立。

具体人标准也称犯罪人标准，是指以涉案主体（犯罪人）的实际识别能力作为判断标准进行可识别性的判断；一般人标准是指按照社会一般人或者社会大众的认识能力与识别能力作为判断标准。

在识别主体的确定上，应当采取社会一般人标准。理由在于：第一，采用具体人标准会导致判断标准的任意性、偶然性与不确定性。具体而言，可识别性结论的得出依赖于涉案主体的识别能力，对于同一信息，可能会因为不同涉案主体的识别能力不同得出相反的结论；第二，在共同犯罪中，如果其中一主体具有识别能力而某一主体不具有识别能力也会造成对同一信息的不同认定；第三，采用具体人标准难以为司法人员确立裁判标准，也难以为普通民众确立统一的行为指引。此外，一般人标准也有着一定的优势。一方面，一般人标准可以为司法人员和普通民众树立一个普遍适用的、客观的、稳定的标准，避免因个人识别能力的不同造成结论的不统一；另一方面，依据一般人标准得出的结论更能被民众信服。

在个人信息的认定上，通过直接识别认定的信息不存在多大的问题，往往是关联信息的可识别性判断不存在着明确的标准。对此，喻海松提出在司法适用中具体判断部分关联信息是否可以认定为“公民个人信息”时，可以从信息本身的重要程度、需要结合的其他信息的程度、行为人的主观目的等三个方面进行判断。即如果涉案信息比较重要，与公民的人身、安全密切相关，则在认定时可以采用相对宽松的标准；如果涉案信息只需结合较少的其他信息就能够识别，那么该信息就有较大可能属于个人信息；如果行为人主观目的并非为了识别特定自然人身份或了解自然人的活动情况，则该信息就不宜认定为个人信息。²⁰

上述三个方面为司法实务中公民个人信息的判断确立了比较可行的标准。笔者认为在公民个人信息认定上，在可识别性的判断上还需要考虑以下三个原则。

第一，法益保护原则。刑法的目的在于保护法益，相应地，在个人信息的认定上可以从法益保护的角度对其进行限缩，理由在于信息侵犯行为具有法益侵害性时，该信息才是值得保护的。故而在可识别性判断时，需要去观察信息侵犯行为有无法益侵害性或者侵害可能性。

第二，利益衡量原则。在大数据背景下的信息爆炸时代，可识别性的判断需要兼顾公民个人信息保护与信息的自由流通，为信息的合理利用留一点发展的余地。因此，在可识别性的判断中，即使某信息具有一定的可识别性，但是基于利益衡量原则，信息流动与利用具有更高的价值时，可以适当地缩小个人信息的认定范围。

第三，动态保护原则。信息是否具有可识别性是因时而异、因人而异的，对可识别性的判断需要根据客观条件的变化而作出相应的调整。具体而言，政府机关、信息网络企业以及互联网公司等主体，其信息搜集能力、处理能力相较于一般主体更强，且随着互联网技术的发展可能原本不具有可识别性的信息在后续发展过程中就会发生变化。因此，应当以发展的眼光、动态的视角去考察可识别性。

在此部分，笔者将结合自身办理的某通讯运营商员工涉嫌侵犯公民个人信息罪为例，将所确立的可识别性标准进行检验。

该案的基本案情为A公司与入网用户签订《用户隐私政策》，A公司与用户明确约定会收集用户登记的个人身份信息、使用服务过程中产生的信息等等；还明确提示A公司可以通过技术手段对用户的个人信息数据进行匿名化处理，匿名化处理的信息将无法识别个人主体。在此情况下A公司有权使用已经匿名化的信息，并在符合相关法律法规及监管政策的前提下，A公司有权对包括用户的个人信息在内的用户数据库进行整体化分析和利用。此外，在《用户隐私政策》中还提到A公司会与授权合作伙伴共享上述信息，其中授权合作伙伴就包括“广告、分析服务类的授权合作伙伴”。

A公司会在后台搜集用户的访问数据，对用户进行画像，并进行标签化处理。如张三最近在某装修APP网站留下浏览痕迹，A公司就会将张三定义为装修人群。并将张三的信息进行加密化处理，上传至B平台。在B平台张三的信息显示为一串由大小写英文字母与数字组成的乱码、性别与归属地。C装修公司购买B平台的会员后，A公司会将有装修标签的用户上传至B平台，由C公司在B平台进行话务触达营销。李四为A公司负责运营B平台的工作人员，后因涉嫌侵犯购买个人信息罪到案接受公安机关处理。该案的关键问题就在于，在B平台上加密后的信息能否被认定为公民个人信息？

笔者认为，上述信息不能够认定为公民个人信息。理由在于：

第一，在B平台显示的信息不具有可识别性。C公司获取用户信息后只能够通过B平台的拨号程序进行话务触达，仅通过加密后的密文手机号、性别与归属地无法识别到具体的个人。在识别主体上，应当采用多数一般人标准，一般公众通过上述信息必然无法识别到具体的个人。即使是购买上述信息的企业，其通过拨通电话也无法识别特定自然人，而只能识别到有装修需求的一类人。

第二，从法益保护原则考察，信息的收集与使用均获得了用户的知情同意，用户签署《用户隐私政策》时明知自己的信息会被脱敏化、匿名处理，并将用户的信息形成用户画像与提供广告、分析服务的合作伙伴共享，以提升广告及服务信息的有效触达率。因此，对该类信息并不具有法益侵害性，也就不具有要保护性，更谈不上可识别性的问题。

第三，从主观目的来看，无论是从信息的购买者还是从信息的提供者，获取信息的目的均不是为了识别特定自然人，而是为了提高广告触达有效率实现营销的目的，至于用户是甲还是乙，在所不问。

第四，上述信息符合《解释》第3条第2款的规定，属于经处理后无法识别特定个人且无法复原的信息。A公司通过技术手段，将用户的手机号进行加密，并进行匿名化处理，且通过技术化实现信息的封锁，获取密文手机号的公司也无法进行破解。

第五，从利益衡量的原则考察，在个人信息保护与信息的流通使用之间，应当在法律层面为个人信息交易和流动留有一定空间，经被收集者同意以及匿名化处理（剔除个人关联）后的信息流动不应当受到刑法的规制。

在加强个人信息保护的大背景下，对于信息侵犯行为须严格打击。但个人信息保护与信息的自由流通之间犹如天平的两端，过分侧重个人信息的保护则必然会限缩信息自由流通的空间。特别是一些互联网企业或者数据企业对一些信息加密、匿名处理后，这些信息由于可识别性判断标准的模糊性导致最终认定为个人信息。这扩大了个人信息的认定范围，也会为信息处理企业增添不必要的合规压力。因此，在司法认定中，需要明确个人信息的范围和可识别性具体的判断标准，在打击侵犯个人信息行为的同时也要为我国信息行业的发展留足足够的空间。