随着技术进步和网络空间的运用，公民个人信息的价值，不仅仅表现为具有独特的人身属性，还逐渐呈现具有财产属性，且财产的价值属性日益凸显。也正是在此种“利益”的驱使之下，侵犯公民个人信息成为我国司法实践中常见的多发犯罪。同时，从利用公民个人信息犯罪的方式上讲，侵犯公民个人信息的犯罪大多又呈非独立成案的特点，即往往和一般诈骗、电信诈骗、敲诈勒索等犯罪相交叉。故然，公民个人信息犯罪的惩治呈现愈来愈“趋严”的态势。

然而，司法实践中，对公民个人信息的定义界定、不同种类信息的归类及转化、以及如何理解并准确认定合法经营，诸如此类的争议一直不断，直接存在有罪和无罪、罪重和罪轻的截然差别。

在现有的侵犯公民个人信息犯罪案例中，若侵犯的信息对象是公开信息，因此引发构不构成侵犯公民个人信息罪的争议由来已久：

1、周芬亮侵犯公民个人信息罪中（案号：（2017）渝05刑终1090号）：

一审判决认定：周芬亮在2016年3月至2016年11月期间通过QQ，利用网络，加入多个以“交流信息资源”为目的的QQ群，从中交换涉及公民个人信息的企业法人等资料（包括公司名称、住所地、法定代表人姓名及手机号码等信息）。周芬亮通过QQ在线传输向他人发送及接收128个文件，涉及企业法人信息共计71292条，其中周芬亮向他人发送信息32616条，接收他人发送的信息38676条。一审法院判决认定：被告人周芬亮违反国家规定，非法获取、提供公民个人信息共计71292条，情节特别严重，其行为已构成侵犯公民个人信息罪。可见，一审法院并未将公开的企业法人信息排除，而是统一作为侵犯公民个人信息的范畴予以定罪量刑。

二审法院判决认定：周芬亮向他人发送的32616条信息中部分属于法定代表人信息，可以通过互联网检索查询，亦应当予以排除。原审法院认定事实错误。可见，二审法院认为公开的企业法人信息不应计入侵犯公民个人信息罪中的“信息”范畴。

2、 朱大伟侵犯公民个人信息罪中（案号：（2018）沪01刑终1184号）：

上诉人朱大伟及其辩护人提出，上诉人朱大伟获取的公民个人信息来源于QQ群文件，可以认为是公开信息，不构成非法获取，其没有出售公民个人信息，使用下载的公开信息用于“饿了么”刷单，不构成刑法意义上的情节严重，其行为不构成侵犯公民个人信息罪。上海市第一中级人民法院审理认为：公民的个人信息受法律保护，互联网上出现的公民个人信息，无论是被动公开，还是主动公开，同样受到法律保护，不得随意获取、出售或者提供，通过信息网络发布公民个人信息的，应当认定为《刑法》第二百五十三条之一规定的“提供公民个人信息”;

3、朱木兰侵犯公民个人信息罪中（案号：（2020）粤0309刑初727号）：

辩护人认为企查查企业信息属于公开信息，不属于刑法上所规定的具有保密性质的公民个人信息。广东省深圳市龙华区人民法院最终认定，被告人朱木兰非法获取公民个人信息，情节严重，其行为已构成侵犯公民个人信息罪。关于被告人侵犯公民个人信息犯罪数量认定问题。本案中，纯公民个人信息为7110条，其余均为公开的企业信息，不应认定为刑法意义上的侵犯隐私权的公民个人信息。

从司法裁判的案例可见，公开的公民个人信息是否作为侵犯公民个人信息罪的保护对象，争议颇大。学界已有探讨且形成两种观点：“隐私说”和“识别说”。支持“隐私说”的代表观点认为，个人信息应当是与公民个人密切相关的、其不愿被其他人群以外的其他人群所知悉的信息，受保护的个人信息特征应具有隐私性的特征。故，对公开个人信息，不属于侵犯公民个人信息罪中的“信息”范畴，根本没有保护的必要。如果一概保护公开的个人信息，造成司法“诉累”。持“识别说”的代表认为，个人信息是指可以直接或间接识别个人的信息，侵犯的信息只要能够识别个人即可能构罪。

目前，无论是理论还是实践，占主流的是“识别说”。笔者也认为，以信息的识别性作为定罪标准较为客观，主要观点如下：

首先，立法取向：《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称：《解释》）第一条明确了公民个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者特定自然人活动情况的各种信息，包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。显而易见，从立法关于公民个人信息的内容规定来看，姓名、身份证号、通讯方式更多体现的是个人信息的可识别性，能够精准确定公民个人，这也是作为构成公民个人信息的最主要的价值，以及作为可能威胁到公民个人人身和财产安全判断的主要标准。

其次，多层级的犯罪手段：认为公开的公民个人信息不应作为保护的对象，主要原因是只看“公开”的特性。但是亦如笔者开篇所言，侵犯公民个人信息犯罪大多又呈非独立成案的特点，而是往往和一般诈骗、电信诈骗、敲诈勒索等犯罪相交叉。所以，无论是立法考量，还是网络犯罪的特点，均彰显出侵犯公民个人信息的犯罪，不在于“信息本身”，更多在于信息被“利用”，无限制、无休止的被运用到其他犯罪中的可能性，故，侵犯公民个人信息可能只是电信诈骗、敲诈勒索等犯罪的“被害人信息之源”。如此说来，侵犯公民个人信息犯罪的规制，从根本上更侧重的是信息的利用方式，而并非信息本身公开与否。由现下侵犯公民个人信息犯罪逐步网络化、交叉性的特点，只有坚持识别一说作为侵犯公民个人信息罪的定罪标准，从“信息本身”到“信息利用”的认识深入，才可能实现应运形势，精准打击侵犯公民个人信息犯罪的目的。

再者：隐私权保护更侧重个人同意与否的意愿因素；司法裁判案例对于已发生的侵犯公民个人信息犯罪的信息数量，少则上万条，多则几十万、几百万条。在认定犯罪时，以其意愿与否作为定罪依据，而司法实践不可能与信息权利人逐一核对。但是以公民个人信息的可识别性为准，则通过结合购买、收受、交换等获取公民个人信息的方式来作为定罪依据，则可操作性更强。

最后，网络发达，信息的公开程度和传播方式逐渐多元化。如果将公民个人信息界定在“隐私”的范畴，既不符合现今网络世界信息逐渐公开化的发展现实，同时，究竟何为“隐私”，在界定上也容易产生分歧。

立法通过《解释》第五条第三、第四、第五项，对不同种类的信息类型确立了不同的刑事追诉标准。例如，（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的（以下简称：敏感信息）；(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的（以下简称：较敏感信息）；(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的（以下简称：一般信息）。

实务中，在办理侵犯公民个人信息案件时，对如何准确将涉案信息与《解释》第五条第三、第四、第五项规定的信息类型进行对照匹配、精确归类，普遍存在较大争议。最后，不同裁判机关对案件的判决结果也截然不同，大致争议情形如下：

信息类型的多样性：例如，涉及从房屋中介通过购买或者交换方式取得，此类侵犯公民个人信息犯罪中，信息内容包括公民个人姓名、电话及所购房产的价值、具体坐落位置等信息。有观点认为所得信息包含业主个人信息以及精确反映了业主个人的财产状况和行踪轨迹，应当划归为第三项敏感信息，按照五十条作为入罪的标准；有观点认为所得信息虽包含业主个人信息及房产价值，但是仅为一处房产，并不能全部如实、精准反映业主的财产状况，应当视为第四项兜底条款规定中等其他可能影响人身、财产安全的较敏感信息，按照五百条作为入罪标准；更有观点认为，如果信息非法获取人仅是为了获取业主的联系方式，而并不关乎房产，则应当归类于第五项非法获取、出售或者提供第三项、第四项规定以外的一般信息，按照五千条作为入罪的标准。

信息类型的可转化性：例如，《解释》规定住宿信息属于较敏感信息的范畴，但是如果个人在一阶段时间，被他人逐一收集这一阶段的住宿信息，则能否就此推定，住宿信息可能构成敏感信息中的行踪轨迹信息？

信息类型比拟性：笔者辩护的案件中，涉案信息为身份证信息。但是，除却身份证号、姓名，如果涉案的身份证信息包含户籍住址信息，则被认定为较敏感的信息，原因在于可以比拟住宿信息。住宿信息归为较敏感信息的范畴，那么带有户籍地址的身份证信息则更具有居住的“长期性”、“稳定”性的特征，则更应该属于较敏感信息，而非一般信息的范畴，此般推定又能否能够成立？

以上可以看出，相同信息可能依据侧重内容的不同（获取的信息包含多种信息）而存在归类的争议；不同信息基于不同的利用方式而可能实现类型的转化（收集的住宿信息转为行踪轨迹）；更有实践中，基于信息的不同属性类比（住宿信息和身份证住址信息），也会产生定位上的差异。那么，如何实现如何准确将涉案信息立法所规定的信息类型进行对照匹配、精确归类呢？笔者认为应当从以下三个方面考虑：

首先，遵循立法原意：《解释》第五条第三、第四、第五项所规定的三类信息，是从信息本身与公民人身、财产安全的密切程度，例如，第三项所列的行踪踪迹信息、通知内容、征信信息，财产信息等，该条所列举的信息均是与权利人自身及其“隐秘”，只有权利人才能充分知晓，一旦被他人获取，对权利人的人身和财产具有现实且紧迫的危险性，第四项、第五项逐渐次之。如果获取的信息类型产生争议，但是对信息权利人而言，并没有可能或者现实急迫的人身和财产安全威胁，就不能一概统归为敏感信息范畴。

其次，结合涉案事实：上述可知，信息本身的性质和内容决定其对权利人的人身和财产安全，可能或者现实急迫的威胁。不同的信息类型确立了不同追诉门槛以及量刑升档幅度。为惩罚侵犯公民个人信息犯罪，能够实现罪刑相适应的需要，往往还要结合涉案的事实。主要体现在犯罪嫌疑人对信息的获取用意、获取方式等综合决定，而不单单考虑信息本身。例如对上述从房屋中介获得的房屋信息，到底属于哪类信息的争议，完全有可能是房屋中介同行想获取业主联系方式，从而争抢“房源”；也有可能是被保险公司了解房产后实现精准推销“高净值保险”（笔者强调的是，仅仅一套房产信息，是否能够全面反映业主的财产信息？房产权利人范围如何，笔者认为如果将一处房产就定义成业主的财产信息并不准确。）；甚至是可能被诈骗等犯罪分子盯上，进而实施诈骗犯罪等等。所以，结合涉案事实，结合获取人获取信息的用意方式等综合判断，不仅能够准确定性，也是实现罪刑相适应的必要。

最后，充分联系实践：笔者在办理侵犯公民个人信息罪的案件中，嫌疑人非法获取的是身份证信息。公诉机关认为身份证上包含的户籍地址信息能够实现精准定位，其性质和重要性等同于《解释》中第五条第四项所规定的住宿信息。故，将涉案的身份证信息归类于较敏感信息而非一般信息，导致全案的量刑直接升档。

该案辩护中，笔者提出：《解释》中所规定的住宿信息，显然是指短暂时间内，公民现有的活动状态，能够实现精准定位，具有实时性。而身份证所记载的是住址信息，表现的是居民身份户籍登记信息的稳定性，而并不能确定公民实时所在方位的确定。且，现实中，随着市场经济的发展，城乡务工流动，有一定且不容忽视数量的身份证住址信息和公民个人所在位置是有错位的。故，身份证住址信息无法比拟住宿信息实现精准定位，且更可能出现不对称的情形。此为其一；与文章上述所述，还要结合信息获取人的利用用意：一般涉及利用住宿信息犯罪，是为了实施有针对性的侵害行为甚至犯罪行为。而此案显然也与之不符，此为其二。故，考虑公民个人信息实践中的存在样态，符合常情常理的大众朴素认知，也是在办理此类案件应当考量的因素之一。

《解释》第六条规定为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”……实施前款规定的行为，将购买、收受的公民个人信息非法出售或者提供的，定罪量刑标准适用本解释第五条的规定。在常规的侵犯公民个人信息犯罪的个罪常态辩护中，辩护人往往依据《解释》第六条作“合法经营”辩护，主要原因是，对于以“合法经营”方式的侵犯公民个人信息犯罪类型，既没有信息条数的限制，也只规定了最高3年这一档刑期。尤其是涉及数量极大的，如几十万条，上百万条的类型，如果一旦被认定为合法经营的情形，则刑期最高也是3年“封顶”。

然而，如何判断是否属于“合法经营”，司法裁判实践中的分歧很大。最为常见的争议类型是无营业执照或者超出营业执照经营范围，利用信息经营能否属于“合法经营”？运用信息主体为多方主体，信息的“内部流转”是否属于合法经营？等等。

笔者认为，“合法经营”最为关键的核心要素之一是非法获取的公民个人信息后，是否被用于其他犯罪目的或出售牟利，或者其他不是基于自身经营需要的目的，即《解释》中所称“为合法经营”，首先实质上是一种目的性表述，这是最为直观区分的标准；

其次，对合法经营的理解不局限于没有经营资质或者超出经营范围等一般的“违法”概念，这里的合法经营更侧重于经营内容是否明显属于“非法”的内容，而不仅仅局限于违反一般行政违法行为的范畴。

最后，《解释》第六条规定将购买、收受的公民个人信息非法出售或者提供的，定罪量刑标准适用本解释第五条的规定。该条款适用的范围包括购买、收受。购买与收受后的出售或者提供的情形被排除在外。但是，针对同一经营内容涉及多个主体，由主体之间的信息流转是否符合合法经营？例如，民间公司与银行合作开发联名卡的业务，公民通过办理此卡可以在相关平台购物获得较大的实惠和便利。如中银京东联名卡，农业银行金穗QQ联名卡等。但是一些民间公司为扩大办卡量，通过非法购买公民个人信息的方式进行批量开卡，将收取的公民个人信息进而又提供给银行。笔者此种情形仍然构成合法经营。因为讨论合法经营，不能撇开业务本身，而单单仅对“提供”这一行为作出评价，而是应当结合双方合作发行联名卡业务这一整体本身，由于经营业务本身是一个整体，提供行为本身，实质是合法经营的一部分，属于内部信息流转，不存在向第三方提供。所以，也理应适用《解释》第六条为合法经营活动的情形。

总而言之，立足于侵犯公民个人信息罪的立法和司法实践适用两个层面，突出打击惩罚犯罪，同时兼顾罪刑适当、刑法谦抑性的需要，是正确理解和适用该罪名的必要。