本罪侵犯的客体是公民个人信息的安全和自由。关于 “公民”,其范围包括中国公民的个人信息,也包括外国公民和其他无国籍人的个人信息。关于 “公民个人信息”,根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第 1 条,是指以电子或者其他方式记录的、能够单独或者与其他信息结合识别特定自然人身份,或者识别特定自然人活动情况的各种信息,具体包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
司法实践中需要注意以下几个问题:
- 个人信息包括公开信息:即便相关信息已经公开,不属于个人隐私的范畴,但仍有可能成为 “公民个人信息”,例如有关国家机关或者部门为救济、救助或者奖励而公示的公民个人信息。不过,将合法收集的公民个人信息向他人提供,虽属于 “提供公民个人信息” 的行为,但此种情形是否构成侵犯公民个人信息罪,须以 “违反国家有关规定” 为前提。
- 公民个人信息须与特定自然人关联:经过处理后无法识别特定自然人,且不能复原的信息,虽然也可能反映自然人活动情况,但因与特定自然人无直接关联,不属于公民个人信息的范畴。
- 互联网账号密码、个人生物识别信息属于公民个人信息:在传统个人信息种类的基础上,2021 年 “两高一部”(最高人民法院、最高人民检察院、公安部)《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》,将 “具有信息发布、即时通讯、支付结算等功能的互联网账号密码、个人生物识别信息” 明确认定为公民个人信息。该认定主要基于以下两点:
- 其一,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第 1 条已将传统的 “账号密码” 列为公民个人信息。但随着网络经济的发展,电信网络诈骗案件中,被告人主要利用具有信息发布、即时通讯和支付结算功能的软件工具实施犯罪;对这些互联网账号密码进行批量注册、贩卖,已成为支撑电信网络诈骗犯罪的黑灰产业链条上的重要一环。为此,《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》将非法获取、出售、提供具有上述功能的互联网账号密码的行为,明确列入侵犯公民个人信息的违法犯罪范围。
- 其二,随着信息技术的深入运用,人脸、虹膜、声纹等生物识别信息日益用于网络软件的注册、登录、支付,发挥着与传统账号密码相同的功能。2017 年施行的《网络安全法》以及 2020 年颁布的《民法典》,均将个人生物识别信息列入个人信息范围。考虑到司法实践发展和实际需要,《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》明确规定:对于非法获取、出售、提供上述生物识别信息,符合《刑法》第 253 条之一规定的,以侵犯公民个人信息罪追究刑事责任。
