个人信息刑法保护研究论文

针对个人信息保护，刑法方面很严格，民法方面走得太慢

刑法修正案(七)增加了刑法第二百五十三条之一，并规定了两个罪名，即出售、非法提供公民个人信息罪和非法获取公民个人信息罪。刑法修正案（九）第十七条对刑法第二百五十三条之一再次进行了修改，取消了原来的两个罪名，确定了本罪名：侵犯公民个人信息罪。内容如下： 一、概念侵犯公民个人信息罪，是指违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，或违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，或采取窃取或者以其他方法非法获取公民个人信息的行为。（一）主体本罪的犯罪主体是一般主体，达到刑事责任年龄且具备刑事责任能力的自然人以及单位均可构成本罪。（二）主观方面本罪在主观方面只能由故意构成，过失不构成本罪。（三）客体本罪侵犯的客体是公民的个人信息权。所谓个人信息权，是指公民个人对其个人信息资料所享有的权利，包括个人隐私不得侵犯以及由此带来的财产权利、限制他人非法收集、转让和出售的权利。（四）客观方面本罪在客观方面表现为三个方面: 一是违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的行为；二是违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的行为；三是采取窃取或者以其他方法非法获取公民个人信息的行为。本罪的犯罪对象是公民个人信息。所谓公民个人信息，是指能够识别公民个人身份的信息，主要包括：姓名、年龄、性别、身份证号码、职业、职务、学历、民族情况、婚姻状况、专业资格及特长、工作经历、家庭背景及住址、电话号码、信用卡号码，教育、医疗、经济活动等的记录，指纹、网上登录账号和密码等；所谓窃取，就是指偷取或以不正当手段取得公民个人信息；所谓其他方法，就是指通过采取类似于偷窃等秘密的不正当的手段，非法获取公民个人信息。本罪第一款是结果犯，规定了“情节严重”和“情节特别严重”两个量刑情节，至于何为“情节严重”或“情节特别严重”，目前没有明确的规定，有待于相关法律和司法解释作出具体的界定。实践中一般应从出售或者非法提供的数量、次数、获利、社会影响、给公民个人生活或生命财产造成损害的程度以及出售、非法提供信息被他人用于违法犯罪活动等。本罪第二、三款是行为犯，不需要以结果论罪。即国家机关或者金融、电信、交通、教育、医疗等单位的工作人员违犯国家规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，以及窃取或者以其他方法非法获取公民个人信息的，不需要达到情节严重的程度即可构成本罪。二、处罚第二百五十三条之一【侵犯公民个人信息罪】： 违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。三、相关司法解释a.中华人民共和国刑法修正案（九）第十七条（20151101）b. 最高人民法院 最高人民检察院 关于执行《中华人民共和国刑法》确定罪名的补充规定（六）c. 最高人民法院关于《中华人民共和国刑法修正案（九）》时间效力问题的解释

他们提供的文章都挺好，如您需要更加详细全面的法学毕业论文博望可以点击我

1.主体 本罪的犯罪主体是一般主体,达到刑事责任年龄且具备刑事责任能力的自然人以及单位均可构成本罪。2.主观方面 本罪在主观方面只能由故意构成,过失不构成本罪。3.客体 本罪侵犯的客体是公民的个人信息权。所谓个人信息权,是指公民个人对其个人信息资料所享有的权利,包括个人隐私不得侵犯以及由此...

这篇论文的任务书怎么写啊

个人信息的法律保护问题是近半个世纪以来随着信息社会的发展而日益凸显的问题。由于社会观念、信息产业、科学技术以及立法规划等方面的原因，我国很长一段时间以来没有认识到保护个人信息的重要性，因此直到现在为止，我国还没有制定专门的个人信息保护方面的法律。当然，这并不意味着我国对个人信息不进行保护。现阶段，我国对个人信息的保护，主要体现在两大方面：一是在与个人信息保护有关的法律法规中设置个人信息保护条款对个人信息加以法律保护。个人信息的法律保护又可以表现为法律的直接保护和间接保护，所谓法律的直接保护即法律法规明确提出对“个人信息”进行保护；间接保护即法律法规通过提出对“人格尊严”、“个人隐私”、“个人秘密”等与个人信息相关的范畴进行保护进而引申出对个人信息的保护。二是通过信息控制人的单方承诺或特定行业的自律规范的承诺对个人信息加以自律性质的保护。个人信息在自律保护也表现为两方面，即企业通过单方承诺这种市场运作方式对个人信息加以保护，以及特定行业组织通过行业自律规范对个人信息确立行业保护标准进而进行保护。一、我国法律对个人信息的直接保护通过全国人大网站中全国法律法规数据库搜索引擎的搜索，我们发现，我国直接对“个人信息”加以保护的法律、法规、规章及司法解释的数量相当有限，其中全国性的法律中仅有《中华人民共和国护照法》、《中华人民共和国身份证法》直接规定了“个人信息”的保护问题。《中华人民共和国护照法》（2006年4月29日通过，2007年1月1日实施）第十二条第三款规定：“护照签发机关及其工作人员对因制作、签发护照而知悉的公民个人信息，应当予以保密。”第二十条规定：“护照签发机关工作人员在办理护照过程中有下列行为之一的，依法给予行政处分；构成犯罪的，依法追究刑事责任：……（五）泄露因制作、签发护照而知悉的公民个人信息，侵害公民合法权益的……”《中华人民共和国身份证法》（2003年6月28日通过，2004年1月1日实施）第六条第三款规定：“公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息，应当予以保密。”第十九条规定：“人民警察有下列行为之一的，根据情节轻重，依法给予行政处分；构成犯罪的，依法追究刑事责任：……（五）泄露因制作、发放、查验、扣押居民身份证而知悉的公民个人信息，侵害公民合法权益的。”在全国范围内具有规范效力的行政法规、部门规章和司法解释直接提及“个人信息”保护问题的主要也仅有如下几项：（1）《2006---2020年国家信息化发展战略》。该《发展战略》第六条第五项提出了“推进信息化法制建设”的要求，并提出：“加快推进信息化法制建设，妥善处理相关法律法规制定、修改、废止之间的关系，制定和完善信息基础设施、电子商务、电子政务、信息安全、政府信息公开、个人信息保护等方面的法律法规，创造信息化发展的良好法制环境。根据信息技术应用的需要，适时修订和完善知识产权、未成年人保护、电子证据等方面的法律法规。加强信息化法制建设中的国际交流与合作，积极参与相关国际规则的研究和制定。；（2）《互联网电子公告服务管理规定》（2000年10月8日通过，同日起施行）。该《管理规定》第十二条规定：“电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意不得向他人泄露，但法律另有规定的除外。 （3）《最高人民法院、最高人民检察院关于切实保障司法人员依法履行职务的紧急通知》（法[2005] 173号）（2005年8月25日颁布，同日起施行）。该《通知》第六条“加强司法警察队伍建设和保密工作，做好宣传教育工作”指出：“……强化案件保密工作，严禁违反规定泄露案情以及办案人员的通讯方式、住址等个人信息，对于泄密行为，应当依照《人民法院审判纪律处分办法》、《检察人员纪律处分条例》的有关规定严肃惩处……”另外，少数地方性法规中，也偶有涉及个人信息保护的直接规定，例如：2003年修正的《北京市未成年人保护条例》第四十九条规定：“……任何组织和个人未经未成年人的监护人同意，不得在互联网上收集、使用、公布未成年人的个人信息。”2003年12月23日上海市通过了个人信用信息方面的地方性法规—《上海市个人信用征信管理试行办法》，对个人信用信息的采集、处理、提供等作了较为详细的规定。需要特别指出的是，中国人民银行2005年通过了有关个人信用信息管理及保护的专门性部门规章—《个人信用信息基础数据库管理暂行办法》（2005年6月16日通过，2005年10月1日起实施）。该办法包括总则、报送和整理、查询、异议处理、安全管理、罚则、附则七章，共45条，对个人信用信息的收集、处理、利用、流通等作了较为详细的规定。从内容方面观察，该办法在很大程度上遵循了个人信息保护的收集限制原则、信息质量原则、目的特定原则、使用限制原则、安全保障原则、公开原则、个人参与原则及责任原则。虽然该办法在内容上还存在一些缺陷和漏洞，例如缺乏争议信息的封存制度、错误信息导致个人损害的民事赔偿制度等，但无论如何，我们可以将该办法视为我国个人信息保护立法史上的一座里程碑，它开创了我国特殊领域的个人信息保护立法。二、我国法律对个人信息的间接保护在我国，除了上述直接明确提出对个人信息加以保护的法律法规之外，还存在一些通过规定保护人格尊严、个人隐私、个人秘密等与个人信息相关的范畴进而保护个人信息的法律。在根本大法方面，我国《宪法》（1982年）的“公民的人格尊严不受侵犯”、“公民住宅不受侵犯’，、“公民享有通信自由和通信秘密的权利”、“国家尊重和保障人权”等相关条款均可解释为个人信息应当受到法律保护的宪法依据。在国家的基本部门法中，也或多或少、或明或暗地存在一些与个人信息保护有关的法律条款，例如：《民法通则》（1986年）关于人身权的相关规定中规定了“公民的人格尊严受法律保护”；《刑法》（1997年）在“侵犯公民人身权利、民主权利”的专章中，明确将“非法搜查他人身体、住宅，或者非法侵入他人住宅”、“侵犯公民通信自由”等行为列为犯罪行为；《民事诉讼法》（1991年）规定“对涉及个人隐私的案件应当不公开审理”；《刑事诉讼法》规定“涉及个人隐私的案件不公开审理”、“十四岁以上不满十六岁未成年人犯罪案件，一律不公开审理。十六岁以上不满十八岁未成年人犯罪的案件，一般也不公开审理”。关于个人信息的间接保护，在渊源上除了上述国家根本大法和基本部门法之外，还有许多容易被忽视的部门法或行政法规、规章、司法解释等。在妇女儿童个人信息的特殊保护方面：《妇女权益保护法》（1992年）规定：“妇女的人格尊严受法律保护”；《未成年人保护法》（1991年）规定：“尊重未成年人的人格尊严”、“任何组织和个人不得披露未成年人的个人隐私”；《母婴保护法》（1994年）规定：“从事母婴保健工作的人员应当严格遵守职业道德，为当事人保守秘密”。在个人医疗信息方面：《执业医师法》（1999年）规定“医生不得披露治疗中获得的健康信息”；《医疗机构病历管理规定》（2002年）要求“除对患者实施医疗活动的医务人员及医疗服务质量监控人员外，其他任何机构和个人不得擅自查阅患者的病历”；《医疗事故处理条例》（2002年）进一步要求“医疗机构在复制或复印病历资料时应当有患者在场”；《传染病防治法》（2004年）禁止“故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料”；《关于对艾滋病病毒感染者和艾滋病病人的管理意见》（1995年）规定：“从事艾滋病病毒感染者和艾滋病病人诊断、治疗及管理工作的人员，不得向无关人员泄露有关信息。任何单位和个人不得将艾滋病病毒感染者和艾滋病病人的姓名、住址等个人情况公布或传播”。在个人通讯信息方面：《邮政法》（1986年）规定：“除法律另有规定外，邮政企业和邮政工作人员不得向任何组织或者个人提供用户使用邮政业务的情况”；《全国人民代表大会常务委员会关于维护互联网安全的决定》（2000年）禁止“非法截获、篡改、删除他人电子邮件或者其他数据资料”；《互联网安全保护技术措施规定》（2005年）规定：“互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息，但法律、法规另有规定的除外。”在个人金融信息方面：《商业银行法》规定：“商业银行应当遵循为存款人保密的原则”、“对个人储蓄存款，商业银行有权拒绝任何单位或者个人查询、冻结、扣划，但法律另有规定的除外”；《个人存款账户实名制规定》规定：“除法律法规另有规定以外，金融机构不得向任何单位或者个人提供有关个人存款账户的情况”。在律师执业方面：《律师法》（2001年）规定：“律师应当保守在职业活动中知悉的当事人的隐私”；《律师执业行为规范》（2004年）规定：“律师必须保守委托人的个人隐私”。在档案信息方面，《档案法》规定：“一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保护档案的义务。”三、个人信息保护的信息控制人自律机制由于现阶段我国缺乏对个人信息保护的专门性、统一性的立法，一些信息控制人为了增强行为相对人的信心，进而促进相关行业通过收集、处理、利用、传递个人信息而获得更大的发展，单方面作出了保护个人信息的承诺或制定了保护个人信息的内部行为规范。这是信息控制人采取的一种典型的保护个人信息的自律措施。我国采取此类自律措施保护个人信息的信息控制人主要集中在非公共部门，特别是一些大型的商业网站，当然也有其他行业如银行业的经营者。以下就列举几个典型的非公共部门信息控制人对个人信息保护采取的自律措施。知名的综合性网站“新浪网”在其首页即载明了该网站的“隐私保护”政策。该隐私保护政策比较典型地体现了当前网站经营者所采取的自律措施，因此本文对此作一简要介绍。在其隐私保护政策中，新浪网首先表明：“隐私权是您的重要权利。向我们提供您的个人信息是基于对我们的信任，相信我们会负责的态度对待您的个人信息。我们认为您提供的信息只能用于帮助我们为您提供更好的服务。因此，我们制定了新浪网上个人信息保密制度以保护您的个人信息。”新浪网有关个人信息保护的自律措施大致包括以下内容：第一，该网站所收集的个人信息的种类。“通常，您能在匿名的状态下访问我们的网站并获取信息。在我们请求您提供有关信息之前，我们会解释这些信息的用途。我们有些站点需要注册才能加入，在通常情况下，这类注册只要求您提供一个电子邮件地址和一些诸如您的工作，职务一类的基本信息。有时我们也会请您提供更多的信息。我们这样做是为了使我们更好的理解您的需求，以便向您提供有效的服务。我们站点收集的信息包括姓名，地址和电话号码。您有权随时决定不接受来自我们的任何资料。”第二，关于敏感个人信息保护及个人信息的使用。“我们将采取适当的步骤保护您的隐私。每当您提供给我们敏感信息时，我们将采取合理的步骤保护您的敏感信息，我们也将采取合理的安全手段保护已存储的个人信息。除非根据法律或政府的强制性规定，在未得到您的许可之前，我们不会把您的任何个人信息提供给无关的第三方（包括公司或个人）。但是，如果您要求我们提供特定客户支援服务或把一些物品送交给您，我们则需要把您的姓名和地址提供给第三者如运输公司。我们的网站将会提供第三者网站的链接。由于我们不能控制这些网站，所以我们建议您细阅这些第三者网站的个人信息保密制度。”第三，该网站隐私保护的原则。（1）每当新浪网需要识别您的身份或与您联络时，会明确的询问所需的资料，即个人资料。一般而言，当您在网站上注册，要求提供特别服务，或是如参加奖金竞赛，便会被询问到这项资料。可能的话，新浪网会利用一些方法，确认您的个人资料的正确性与时效性。（2）新浪网站及其必要的服务伙伴使用您的个人资料来运作网站和服务，并且会通知您各项新的功能与服务，以及新浪网和其附属公司的各类产品。新浪网也会谨慎地挑选来自其他公司的产品或服务资料传送给您，通常是有关于站点本身的服务，但这并非必要（仅是次要用途）。（3）如果新浪网想要将个人资料用在次要用途上，新浪会提供您如何拒绝这项服务的说明。您可以依照新浪网寄给您的资料或促销信件上的说明，终止这些信件的发送。（4）新浪网也许会因法律要求公开个人资料，或者因善意确信这样的作法对于下列各项有其必要性：符合法律公告或遵守适用于新浪站点的合法程序；保护新浪网的用户之权利或财产；在紧急的情况下，为了保护新浪及其用户之个人或公众安全。（5）任何时候如果您认为新浪没有遵守这些原则时，请利用电子邮件privacy@staff 通知我们，我们会尽一切努力，请合理适当的范围内立即改善这个问题。”第四，Cookies的用途。“新浪网站有时会使用cookies以便我们知道哪些网站受欢迎，使您在访问我们的网站时得到更好的服务。cookies不会跟踪个人信息。当您注册我们的网站程式时，新浪亦会使用cookies。在这种情况下，会存储有用信息，使我们的网站在您再次访问我们的网站时可辨认您的身份。来自新浪网站的cookies只能被新浪网站读取。如果您的浏览器被设置为拒绝cookies您仍然能够访问我们的大多数网站。”第五，关于个人信息的更新及隐私保护政策的更新。“如果您的地址，职务（职称），电话或e-mail地址发生变化，您可以按新浪网站中公布的联系方式通知新浪，以帮助我们保持您的资料的准确性。你也可以通过登陆新浪网用户注册页面的更新会员资料栏的方式自行更新您的个人信息。新浪欢迎您对这项保密制度给予评论并提出质疑。我们将致力于保护您的个人信息，尽全力保证这些信息的安全。由于网上技术的发展突飞猛进，我们会随时更新我们的信息保密制度。”在银行业方面，一些银行通过制定相关内部规定对客户个人信息进行保护。1999年，中国工商银行发布了《中国工商银行员工行为守则》，规定工商银行员工应当“严守客户秘密。对于客户提供的信息资料，员工有保密的义务，以维护客户的合法权益。除依法可以提供或客户同意提供的信息外，员工无权擅自披露客户信息。非工作需要，不得与同事随意谈论客户情况。以电话、电子手段交流或传递业务信息时，要注意保护客户信息安全。答复有关信用情况咨询，应对咨询者和咨询对象双方负责。提供对方的数据不得超出银行允许的范围。无关人员不能随意接触客户信息，更不得为个人目的利用客户信息。向公安局、检察院、法院等司法机关提供客户信息，须有公安、司法等部门出具的完备手续，并严格按规定程序进行。严禁向亲属、朋友透露或提供客户信息。”2002年，中国建设银行发布了《中国建设银行个人VIP客户服务管理办法（试行）》，该办法规定：“各级行必须为每个VIP客户建立档案，记录客户个人资料和服务信息，不得遗漏。”“各级行必须妥善保管客户档案资料，非依法律规定或客户允许，任何单位和个人不得对外公开或泄露客户的个人资产和账户交易等客户资料。”四、个人信息保护的行业自律机制在我国，作为信息产业重要组成部分的互联网行业对个人信息所遭受的日益严峻的威胁有较为密切的关注。我国对个人信息保护采取行业自律机制措施的行业也主要表现为互联网行业。中国互联网协会于2002年公布了《中国互联网行业自律公约》，倡议互联网全行业从业者加入本公约，并要求成员“自觉维护消费者的合法权益，保守用户信息秘密；不利用用户提供的信息从事任何与向用户作出的承诺无关的活动，不利用技术或其他优势侵犯消费者或用户的合法权益”。同时约定，由中国互联网协会负责组织实施该公约，负责向公约成员单位传递互联网行业管理的法律、政策及行业自律性信息，及时向政府主管部门反映成员单位的意愿和要求，维护成员单位的正当利益，组织实施互联网行业自律，并对成员单位遵守本公约的情况进行监督。行业自律标识作为个人信息保护行业自律机制的重要实施手段，在我国也己出现。我国互联网行业的迅猛发展，但是，行业快速增长的背后也隐藏着一系列不和谐的音符：垃圾邮件泛滥、病毒、恶意软件滋生、网络语言暴力、网络色情等等现象让网民己经无法自由享受互联网生活，网民的基本权益受到严重的侵害。2006年11月1日，中国互联网协会、违法和不良信息举报中心、反垃圾邮件中心、晚报协会、奇虎公司共同正式宣布，首个互联网公益品牌“净蓝丝带”正式启动。净蓝丝带作为杜绝互联网恶意行为的一个标识，用于宣传“净化互联网空间人人有责，打击互联网犯罪人人出力”的信息，并呼吁“拯救网络弱势群体，杜绝网络恶意行为”。蓝丝带象征纽带，将政府有关机构、互联网企业、网民紧紧联系在一起，共同抵抗网络恶意，象征着国家对互联网行业健康发展的关心和支持，象征着网民对互联网热爱和对纯净互联网空间的渴望，象征着互联网企业关注网民感受，洛守自律的承诺。五、小结基于上文的论述，我们可以判断，我国个人信息保护之现状具有如下特征：第一，在个人信息的法律保护方面：（1）就法律的适用范围而言，保护个人信息的法律条款数量较为有限、适用范围相对狭窄，没有专门的针对所有信息控制人均适用的统一的个人信息保护法；（2）就个人信息的法律保护手段而言，重“刑事处罚”和“行政管理”，轻“民事确权”与“民事归责”，导致个人信息遭受侵害后，即使侵权行为人最终遭致刑事处罚或行政处罚，但信息主体的财产及非财产损失却得不到任何实质性的补偿；（3）就法律的可操作性而言，大部分规定缺乏可操作性，许多条款仅仅规定了对个人信息的保密义务，而没有规定违背该义务的后果；（4）就法律的体系性而言，现有规定之间缺乏体系上的呼应，给人一种“杂乱无章”、“群龙无首”的感觉，不符合我国已经继受的大陆法系的法律思维，同时也不利于法律的适用；（5）就法律条款的具体内容而言，大部分条款通常仅对个人信息保护问题轻描淡写、一带而过，往往未能揭示个人信息保护的立法理由、个人信息保护的基本原则、信息主体的权利、个人信息收集、处理、利用及传递的规则、个人信息保护的执行机制及监督机制等个人信息保护法应当具备的重要内容。（6）就保护个人信息的观念而言，我国法律对个人信息的直接保护是近几年来的新近发展趋势，在较长时间内由于对个人信息保护的重要意义缺乏正确认识而仅对个人信息采取了有限的间接保护措施。第二，在个人信息的自律保护方面：（1）非公共部门，特别是一些商业网站，己经逐步认识到了个人信息的巨大价值以及个人信息对信息主体的重大意义，为了增强消费者使用网络的信息，提供了相对较为详细的隐私保护政策。但也应注意到，我国国内各商业网站的个人信息保护水平差异很大，大型的商业网站大多有比较完备的个人信息保护政策；但一些小型网站在个人信息保护方面是令人担忧的，它们不仅没有公开相应的个人信息保护政策，甚至不惜商业信誉，只要能给网站的经营者带来利益，就会不适当地收集、利用乃至出售访问者的个人信息。另外，非公共部门中，除了商业网站及为数不多的其他主体之外，大多数非公共部门并没有单方面向相对人提供个人信息保护政策。与上述单个信息控制人在个人信息保护方面的自律措施相对应的是，除了互联网行业，其他的非公共部门行业也鲜有保护个人信息的行业自律公约。（2）就公共部门而言，出于长期以来形成的“官本位”的思维定势，对个人信息的关注基本上是出于其管理的需要，强调得更多的是个人提供信息的义务，而个人就其自身信息所享有的权利基本被漠视。举例而言，如今浏览我国的各级政府网站，几乎无法看到与一些大型商业网站所具备的“隐私政策”，哪怕是中央人民政府的网站一一“中国政府网”对个人上网信息的保护问题也没有提供相应的政策，这不能不说是我国电子政务发展至今的一大遗憾。就这一现象，有学者认为，“这可能由于我国政府网站还处于发展的开始阶段，主要功能还只是对政府政策、办事流程的公示，起到的只是一个电子公告版的作用。政府网站之提供给网络用户阅读信息、资料，而不收集网络用户的个人信息。”但是，这些学者同时也认为，“政府网站发展成为和大多数商业网站那样具有交互式的平台是必然的趋势。为了更好的为纳税人服务，政府网站将来肯定会朝着功能多样化的方向发展。为了方便用户和网站的运作，提供更加个性化的服务，将来的政府网页完全可能发展到给不同的用户发送不同的、适合用户胃口的个性化网页。这样，政府网站也就不可能不收集网络用户的个人信息而永远停留在电子黑板报的层次。另外，不同的政府部门通过网上政务处理，掌握大量关于市民通过网络提交的方方面面的信息，如果缺乏个人信息保护政策，就很肯能侵犯个人信息。”对于这一论述，笔者深表赞同。正因为个人信息保护机制的这种现状，导致了我国社会生活中个人信息频频遭受各种威胁。面临这样的状况，除了由每一个人自己加强自我保护、倡导个人信息保护自律机制的建构之外，越来越多的人们希望我国能够在个人信息保护领域制定一部专门的法律。事实上，如果从建设法治社会的大背景出发，无论是加强信息主体的自我保护、倡导建构个人信息保护的自律机制，还是制定个人信息保护法，均应当着重从民法保护个人信息的角度进行观察与理解。刑法和行政法对个人信息的保护固然能够起到重要的不可或缺的作用，在一定程度上也能够起到预防侵害个人信息行为的发生，但刑法重在惩罚、行政法重在行政管理，其对信息主体的权利确认及事后的全面救济的作用是有限的。首先，信息主体保护自身个人信息的力量可以通过民法上的自力救济制度得以强化。在法治社会，虽然原则上不允许自力救济，但在来不及采取公力救济措施并且权利有被侵害的现实危险时，法律允许有限地采用自力救济，信息主体可以在法律允许的限度内通过实施自卫行为或自助行为保护自身的个人信息。其次，就自律机制而言，若信息控制人主动单方面地作出信息保护的承诺，则可以将控制人的这一行为判定为民法上附生效条件的法律行为，一旦条件成就，即信息主体的信息被承诺人所控制，则信息控制人的承诺行为即发生法律效力，信息控制人此时即应当承担其承诺的信息保护义务；若行业自律组织对个人信息保护作出了承诺，则可以视为加入该自律组织的信息控制人均作出了信息保护的承诺，如此一来，同样可以采用附生效条件的法律行为的相关理论进行解释与处理。另外，如果从民法生长的社会基础—市民社会的理论出发，行业组织是现代市民社会的重要构成环节。是国家权力与市民权利的缓冲地带，行业组织对个人信息保护的重要作用是不可小觑的。最后，个人信息保护法的制定，其内容虽然离不开个人信息的行政保护及刑事保护，但对信息主体而言，对其最有力也是最为实质的保护是通过个人信息保护法赋予其相应权利，使信息主体能够通过自身权利对抗公权力对其个人信息的不当干预、并平衡与其他私权利主体之间的权利冲突。与此同时，当不当侵害他人个人信息时，通过法律对侵权行为人苛以民事责任，则能使被侵害的信息主体得到全面的救济与补偿。

这篇文章还可以，对你应该有帮助，拿走不谢。 一、引言 大数据技术的发展给科技进步、信息共享、商业发展带来了巨大的变革，社会活动网络化的发展趋势更给予了个人信息丰富的社会价值和经济价值，使它成为对于国家、社会、组织乃至个人都具有重要意义的战略资源。与此同时，与个人信息相关的犯罪活动也呈现出高发态势。2009年《刑法修正案（七）》增设“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。2015年《刑法修正案（九）》将两个罪名整合为“侵犯公民个人信息罪”，并扩大了主体范围，加大了处罚力度。2017年3月20日最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《2017年解释》）对侵犯公民个人信息罪的司法适用做出了具体规定。笔者在中国裁判文书网，对判决结果包含“公民个人信息”的刑事一审判决逐年进行检索，2009-2019年间各年份相关判决数如图表 1所示。我国侵犯公民个人信息犯罪的发展可为四个阶段：2009～2012年，此类判决数为零，与个人信息相关的犯罪案件在实践中鲜有发生；2012～2016年，判决数量开始缓速增长，总量尚较少；2016～2017 年判决数量激增 ，呈现出高发态势；2016～2019年，犯罪数量增速放缓。 图表 1作为侵犯公民个人信息犯罪的行为对象，公民个人信息的内涵、范围、判断标准对立法和司法适用具有重要意义。《2017年解释》第1条对其概念做了明确的规定，但实践中对公民个人信息的界定仍存在一些模糊的地方。如，如何把握行踪轨迹信息的范围、如何把握财产信息的范围和如何认定公民个人信息的可识别性等。由此观之，要实现对侵犯公民个人信息罪的准确认定，我们应该对其行为对象的内涵、外延进行深入研究。本文拟对《刑法》二百五十三条“公民个人信息”的界定进行深入分析，希望能对司法实践中该罪的认定提供有益参考。 二、刑法上公民个人信息合理保护限度的设定原则 信息网络时代，我们要在推动信息科技的发展应用和保护公民个人信息安全之间寻求适度的平衡。刑法对公民个人信息的保护力度过小或者过大，都不利于社会的正常发展。笔者认为，应当基于以下三项原则设定公民个人信息刑法保护的合理限度。（一）刑法的谦抑性原则刑法的谦抑性,是指刑法应合理设置处罚的范围与程度,当适用其他法律足以打击某种违法行为、保护相应合法权益时,就不应把该行为规定为犯罪;当适用较轻的制裁方式足以打击某种犯罪、保护相应合法权益时,就不应规定更重的制裁方式。此原则同样是刑法在对侵犯公民个人信息犯罪进行规制时应遵循的首要原则。在我国个人信息保护法律体系尚未健全、前置法缺失的当下，刑法作为最后保障法首先介入个人信息保护领域对侵犯公民个人信息行为进行规制时，要格外注意秉持刑法的谦抑性原则，严格控制打击范围和力度。对于公民个人信息的认定，范围过窄，会导致公民的合法权益得不到应有的保护，不能对侵犯公民个人信息的行为进行有效的打击；范围过宽，则会使刑法打击面过大，导致国家刑罚资源的浪费、刑罚在实践中可操作性的降低，阻碍信息正常的自由流通有违刑法的谦抑性原则。在实践中，较常见的是认定范围过宽的问题，如公民的姓名、性别等基础性个人信息，虽能够在一定程度上识别个人身份，但大多数人并不介意此类个人信息被公开，且即便造成了一定的危害结果，也不必动用刑罚手段，完全可以利用民法、行政法等前置法予以救济。（二）权利保护与信息流通相平衡原则大数据时代，随着信息价值的凸显，个人信息保护与信息流通之间的价值冲突也逐渐凸显。一方面，信息的自由流通给国家、社会、个人都带来了多方面的便利，另一方面，也不可避免地对个人生命和财产安全、社会正常秩序甚至国家安全带来了一定的威胁。科技的进步和社会的需要使得数据的自由流通成为不可逆转的趋势，如何平衡好其与个人权益保护的关系，是运用刑法对侵犯公民个人信息行为进行规制时必须要考虑的问题。个人信息保护不足，则会导致信息流通的过度自由，使公民的人身、财产安全处于危险境地、社会的正常经济秩序遭到破坏；保护过度，则又走入了另一个极端，妨碍了信息正常的自由流通，使社会成员成为一座座“信息孤岛”，全社会也将成为一盘散沙，也将信息化可以带来的巨大经济效益拒之门外。刑法要保护的应当仅仅是具有刑法保护的价值和必要，并且信息主体主动要求保护的个人信息。法的功能之一便是协调各种相互矛盾的利益关系，通过立法和司法，平衡好个人信息权利保护与信息自由流通，才可以实现双赢。应努力构建完备的个人信息保护体系，既做到保障公民人身、财产权利不受侵犯，又可促进信息应有的自由流动，进而推动整个社会的发展与进步。（三）个人利益与公共利益相协调原则个人利益对公共利益做出适当让渡是合理的且必须，因为公共利益往往涉及公共安全与社会秩序，同时也是实现个人利益的保障。但是这种让渡的前提是所换取的公共利益是合法、正当的，并且不会对个人隐私和安全造成不应有的侵害。公共安全是限制公民个人信息的典型事由。政府和司法部门因为社会管理的需要往往会进行一定程度的信息公开，信息网络的发展也使得大数据技术在社会安全管理活动中发挥着越来越重要的作用，但同时也不可避免地涉及到对于公民个人利益边界的触碰，由此产生公共管理需要与个人权益维护之间的冲突。相对于有国家机器做后盾的公权力，公民个人信息安全处于弱势地位，让个人信息的保护跟得上信息化的发展，是我们应该努力的方向。公众人物的个人信息保护是此原则的另一重要体现，王利明教授将公众人物划分为政治性公众人物和社会性公众人物两类。对于前者，可将其个人信息分为两类：一类是与公民监督权或公共利益相关的个人信息，此类个人信息对公共利益做出适当的让步是必须的；另一类是与工作无关的纯个人隐私类信息，由于这部分个人信息与其政治性职务完全无关，所以应受与普通人一样的完全的保护。对于社会性公众人物，其部分个人信息是自己主动或是希望曝光的，其因此可获得相应的交换利益，对于这部分信息，刑法不需要进行保护；也有部分信息，如身高、生日、喜好等虽然被公开，但符合人们对其职业的合理期待，且不会有损信息主体的利益，对于此类信息，也不在刑法保护范围内；但对于这类信息主体的住址、行踪轨迹等个人信息，因实践中有很多狂热的粉丝通过人肉搜索获得明星的住址、行程信息，对明星的个人隐私进行偷窥、偷拍，此类严重影响个人生活安宁和基本权益的行为应当受到刑法的规制。 三、刑法上公民个人信息的概念、特征及相关范畴 （一）公民个人信息的概念“概念是解决法律问题必不可少的工具”。1.“公民”的含义中华人民共和国公民，是指具有我国国籍的人。侵犯公民个人信息犯罪的罪名和罪状中都使用了“公民”一词，对于其含义的一些争议问题，笔者持以下观点：（1）应包括外国籍人和无国籍人从字面上和常理来看，中国刑法中的“公民”似乎应专门指代“中国的公民”。但笔者认为，任何人的个人信息都可以成为该罪的犯罪对象，而不应当把我国刑法对公民个人信息的保护局限于中国公民。第一，刑法一百五十三条采用的并非“中华人民共和国公民个人信息”的表述，而是了“公民个人信息”，对于刑法规范用语的理解和适用，我们不应人为地对其范围进行不必要的限缩，在没有明确指明是中华人民共和国公民的情况下，不应将“公民”限定为中国公民。第二，全球互联互通的信息化时代，将大量外国人、无国籍人的个人信息保护排除在我国刑法之外，会放纵犯罪，造成对外国籍人、无国籍人刑法保护的缺失，这既不合理，也使得实践中同时涉及侵犯中国人和非中国人的个人信息的案件的处理难以操作。第三，刑法分则第三章“侵犯公民人身权利、民主权利罪”并不限于仅对“中国公民”的保护，也同等地对外国籍人和无国籍人的此类权利进行保护。因此，处于我国刑法第三章的侵犯公民个人信息犯罪的保护对象，也包括外国籍人和无国籍人的个人信息，“我国对中国公民、处在中国境内的外国人和无国 籍人以及遭受中国领域内危害行为侵犯的外国人和无国籍人，一视同仁地提供刑法的保护，不主张有例外。”（2）不应包括死者和法人对于死者，由于其不再具有人格权，所以不能成为刑法上的主体。刑法领域上，正如对尸体的破坏不能构成故意杀人罪一样，对于死者个人信息的侵犯，不应成立侵犯个人信息罪。对死者的个人信息可能涉及的名誉权、财产权，可以由死者的近亲属主张民法上的精神损害赔偿或继承财产来进行保护。对于法人，同样不能成为刑法上公民个人信息的信息主体。一方面，自然人具有人格权，而法人不具有人格权，其只是法律拟制概念，不会受到精神上的损害。另一方面，法人的信息虽然可能具有很大的商业价值和经济效益，但是已有商业秘密等商法领域的规定对其进行保护。因此，法人的信息不适用公民个人信息的保护。2.“个人信息”的含义法学理论上对于公民个人信息的界定主要识别说、关联说和隐私说。识别说，是指将可以识别特定自然人身份或者反映特定自然人活动情况作为公民个人信息的关键属性。可识别性根据识别的程度又可以分为两种方式，即通过单个信息就能够直接确认某人身份的直接识别，和通过与其他信息相结合或者通过信息对比分析来识别特定个人的间接识别。学界支持识别说观点的学者大多指的是广义的识别性，既包括直接识别，又包括间接识别。关联说认为所有与特定自然人有关的信息都属于个人信息，包括“个人身份信息、个人财产情况、家庭基本情况、动态行为和个人观点及他人对信息主体的相关评价”。根据关联说的理论，信息只要与主体存在一定的关联性，就属于刑法意义上的公民个人信息。隐私说认为，只有体现个人隐私的才属于法律保障的个人信息内容。隐私说主要由美国学者提倡，主张个人信息是不愿向他人公开，并对他人的知晓有排斥心理的信息。笔者认为，通过识别说对刑法意义上的公民个人信息进行界定最为可取。关联说导致了刑法保护个人信息的范围过分扩大，而隐私说则只将个人信息局限在个人隐私信息的范围内，忽略了不属于个人隐私但同样具有刑法保护价值的个人信息，同时由于对隐私的定义受个人主观影响，所以在实践中难以形成明确的界定标准。相比之下，识别说更为可取，不仅能反应需刑法保护的公民个人信息的根本属性，又具有延展性，能更好的适应随着信息技术的发展而导致的公民个人信息类型的不断增多。且通过梳理我国关于个人信息的立法、司法，识别说的观点贯穿其中。名称 生效年份 对“个人信息”核心属性的界定《全国人大常委会关于加强网络信息保护的决定》 2012年 可识别性、隐私性《关于依惩处侵害公民个人信息犯罪活动的通知》 2013年 可识别性、隐私性《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》 2014年 隐私性《网络安全法》 2016年 可识别性《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》 2017年 可识别性、可反映活动情况图表 2《网络安全法》和《2017年解释》中关于公民个人信息的界定无疑最具权威性。《网络安全法》采用了识别说的观点，将可识别性规定为公民个人信息的核心属性。而后者采用了广义的“可识别性”的概念,既包括狭义可识别性 (识别出特定自然人身份) , 也包括体现特定自然人活动情况。两者之所以采用了不同的表述，是因为《网络安全法》对公民个人信息做了整体而基础性的保护，而《2017年解释》考虑到，作为高度敏感信息的活动情况信息，随着定位技术的不断进步逐渐成为本罪保护的一个重点，因此在采用了狭义的身份识别信息概念的基础之上，增加了对活动情况信息的强调性规定，但其本质仍是应涵括在身份识别信息之内的。所以，应以可识别性作为判断标准对公民个人信息进行界定。（二）公民个人信息的特征刑法意义上的“公民个人信息”体现了其区别于广义上的“公民个人信息”的刑法保护价值。明确刑法领域个人信息的特征，有助于在司法中更好的对个人信息进行认定。1.可识别性这是公民个人信息的本质属性。可识别是指可以通过信息确定特定的自然人的身份，具体包括直接识别和间接识别。直接识别，是指通过单一的信息即可直接指向特定的自然人，如身份证号、指纹、DNA等信息均可与特定自然人一一对应。间接识别，是指需要将某信息与其他信息相结合或者进行对比分析才能确定特定自然人，比如学习经历、工作经历、兴趣爱好等信息均需要与其他信息相结合才能识别出特定的信息主体。2.客观真实性客观真实性是指公民个人信息必须是对信息主体的客观真实的反映，。一方面，主观上的个人信息对特定个人的识别难度极大；另一方面，现行刑法关于侮辱罪或诽谤罪的相关规定足以对此类主观信息进行规制。司法实践中，如何判断信息的客观真实性也是一个重要的问题，如何实现科学、高效鉴别个人信息客观真实性，是司法机关应努力的方向。现有的随机抽样的方法有一定可取性，但不够严谨。笔者认为，可以考虑采取举证责任倒置的方式，若嫌疑人能证明其所侵犯的个人信息不具有客观真实性，则不构成本罪。3.价值性刑法的两大机能是保护法益和保障人权。从保护法益的机能出发，对于侵犯公民个人信息罪这一自然犯，只有侵犯到公民法益的行为，才能纳入刑法规制的范围。而判断是否侵犯公民法益的关键就在于该信息是否具有价值。价值性不仅包括公民个人信息能够产生的经济利益，还包括公民的人身权利。从个人信息的人格权属性角度分析，个人隐私类信息的公开，会侵犯公民的隐私权、名誉权，行踪轨迹类信息的公开，会对公民人身安全带来威胁。从个人信息的财产权属性角度分析，信息化时代，信息就是社会的主要财产形式,能够给人们带来越来越大的经济利益。“信息价值仅在当行为人主张其个人价值时才被考虑”，只有具有刑法保护价值的信息，才值得国家动用刑事司法资源对其进行保护。（三）个人信息与相关概念的区分很多国家和地区制定了专门的法律保护个人信息，但部分国家和地区没有采用“个人信息”的概念，美国多采用“个人隐私”的概念，欧洲多采用“个人数据”的概念，而“个人信息”的表述则在亚洲较为常见。对于这三个概念是可以等同，存在观点分歧。有观点认为，个人信息与个人隐私有重合，但不能完全混同，也有观点认为个人信息包含个人隐私，以个人数据为载体。笔者认为，有必要对三个概念进行明确区分。1.个人信息与个人隐私关于这两个概念的关系，有学者主张前者包含后者，有学者主张后者包含前者，还有学者认为两者并不是简单的包含关系。笔者认为，个人信息与个人隐私相互交叉，个人信息包括一般信息和隐私信息，个人隐私包括隐私信息、私人活动和私人空间，所以两者的交叉在于隐私信息。两者制建有很大的区别，不能混淆。首先，私密程度不同，个人信息中除隐私信息以外的一般信息在一定程度上是需要信息主体进行公开的，如姓名、手机号、邮箱地址等，而个人隐私则具有高度的私密性，个人不愿将其公开；其次，判断标准不同，个人信息的判断标准是完全客观的，根据其是否具有识别性、真实性、价值性来进行判断即可，而个人隐私在判断上具有更多的主观色彩，不同主体对个人隐私的界定是不同的；最后，个人信息既具有消极防御侵犯的一面，也具有主动对外展示的一面，信息主体通过主动公开其部分个人信息，可能会获得一定的利益，而个人隐私则侧重消极防御，主体的隐私信息和隐私活动不希望被公开，隐私空间不希望被侵犯。2.个人信息与个人数据笔者认为，个人信息（personal information）和个人数据（personal Data）的区别在于，个人数据是以电子信息系统为载体的对信息主体的客观、未经过处理的原始记录，如个人在医院体检后从自助机取出的血液化验报告单；后者是指，数据中可对接收者产生一定影响、指导其决策的内容，或是数据经过处理和分析后可得到的上述内容，如血液化验报告数据经系统或医生的分析，形成的具有健康指导作用的结果报告，换言之，个人信息＝个人数据＋分析处理。 四、刑法上公民个人信息的司法认定 在司法实践中，对于概念和原则的把握必然有一定的差异性，需要具体情况具体讨论。在本部分，笔者对一般个人信息的认定进行总结归纳，并对一些存在争议的情况进行分析。 （一）公民个人信息可识别性的认定“可识别性是指个人信息能够直接或者间接地指向确定的主体。”经过上文中的讨论，根据《网络安全法》和《2017年解释》对公民个人信息的定义，我们能够得出，“识别性”是公民个人信息的核心属性，解释第3条第2款印证了这一观点。对于能够单独识别特定自然人的个人信息，往往比较容易判断，而对于需要与其他信息结合来间接识别特定自然人身份或反映特定自然人活动情况的信息，往往是个案中控辩双方争议的焦点，也是本罪的认定中最为复杂的问题。面对实践中的具体案情，对于部分关联信息是否可以认定为“公民个人信息”时，可从行为人主观目、信息对特定自然人的人身和财产安全的重要程度和信息需要结合的其他信息的程度三个方面综合分析加以判断。以此案为例：某地一医药代表为了对医生给予用药回扣，非法获取了某医院某科室有关病床的病床号、病情和药品使用情况。此案中所涉及的非法获取的信息不宜纳入刑法中“公民个人信息”的范畴。首先，从行为人主观目的上看，并没有识别到特定自然人的目的，而仅仅是为了获取用药情况；其次，从以上信息对病人的人身安全、财产安全以及生活安宁的重要性上来看，行为人获取以上信息并不会对病人权益造成侵犯；最后，从这些信息需要与其他信息结合的程度来看，病床号、用药情况等信息并不能直接识别到个人，需要结合病人的身份证号等才能起到直接识别的作用。所以，此案中的涉案信息不属于刑法所保护的“公民个人信息”。（二）敏感个人信息的认定《2017年解释》第五条根据信息的重要程度、敏感程度，即信息对公民人身、财产安全的影响程度，将“公民个人信息”分为三类，并设置了不同的定罪量刑标准。类别列举 “情节严重”标准（非法获取、出售或提供） “情节特别严重“标准（非法获取、出售或提供）特别敏感信息 踪轨迹信息、通信内容、征信信息、财产信息五十条以上五百条以上敏感信息 住宿记录、通信记录、健康生理信息、交易信息五百条以上五千条以上其他信息五千条以上 五万条以上图表 3但是在司法实践中，仍存在对标准适用的争议，主要表现在对敏感个人信息的认定。1.如何把握“行踪轨迹信息”的范围行踪轨迹信息敏感程度极高，一旦信息主体的行踪轨迹信息被非法利用，可能会对权利人的人身安全造成紧迫的威胁。《2017年解释》中对于行踪轨迹信息入罪标准的规定是最低的：“非法获取、出售或者提供行踪轨迹信息50以上”的，即构成犯罪。由于《2017年解释》中对行踪轨迹信息规定了极低的入罪标准，所以司法认定时应对其范围做严格把控，应将其范围限制在能直接定位特定自然人具体位置的信息，如车辆轨迹信息和GPS定位信息等。实践中，信息的交易价格也可以作为判定其是否属于“行踪轨迹信息”的参考，因为行踪轨迹信息的价格通常最为昂贵。对于行为人获取他人车票信息后判断出他人的行踪的情况，载于车票的信息不宜被认定为《2017年解释》所规定的“行踪轨迹信息”，因为该信息只能让行为人知道信息主体大概的活动轨迹，并不能对其进行准确定位。2.如何把握“财产信息”的范围财产信息是指房产、存款等能够反映公民个人财产状况的信息。对于财产信息的判断，可以从两方面进行把握：一是要综合考量主客观因素，因为犯罪应是主客观相统一的结果；而是考虑到敏感个人信息的入罪门槛已经极低，实践中应严格把握其范围。以此案为例：行为人为了推销车辆保险，从车辆管理机构非法获取了车主姓名、电话、车型等信息。此案中的信息不宜认定为“财产信息”。因为行为人的主观目的不是侵犯信息主体的人身、财产安全，最多只会对行为人的生活安宁带来一定的影响，因而应适用非敏感公民个人信息的入罪标准。（三）不宜纳入本罪保护对象的公开的个人信息的认定 信息主体已经公开的个人信息是否属于 “公民个人信息”的范畴，理论界存在观点分歧。笔者认为，“公民个人信息”不以隐私性为必要特征，因为《2017年解释》第1条并为采用“涉及个人隐私信息”的表述，而是以识别性作为判断标准。因此，信息的公开与否并不影响其是否可以被认定为“公民个人信息”。对于权利人主动公开的个人信息，行为人获取相关信息的行为显然合法，且其后出售、提供的行为，当前也不宜认定为犯罪。理由如下：第一，在我国的立法和司法中，曾以“隐私性”作为界定公民个人信息的核心属性，可见公民个人信息在一定程度上是从隐私权中分离出来的权利，所以侵犯公民个人信息罪侧重于对公民隐私和生活安宁的保护。权利人之所以自愿甚至主动公开其个人信息，说明这部分信息即便被获取、出售，也通常不会对其个人隐私和生活安宁造成侵犯，因此不应纳入刑法保护范围内；第二，根据刑法第253条之一的规定，向他人出售或提供公民个人信息，只有在违反国家有关规定的前提下才构成犯罪。对于已经公开的公民个人信息，行为人获取后向他人出售或提供的行为在我国缺乏相关法律规定的情况下，应推定为存在权利人的概括同意，不需要二次授权，也就是说不应认定行为人对获取的已经由权利人公开的个人信息的出售和提供行为系“违法国家有关规定”。第三，在我国个人信息保护机制尚未健全、侵犯公民个人信息犯罪高发的背景下，应将实践中较为多发的侵犯权利人未公开的个人信息的案件作为打击的重点。对于权利人被动公开的个人信息，行为人获取相关信息的行为可以认定为合法，但如果后续的出售或提供行为违背了权利人意愿，侵犯到了其个人隐私和生活安宁，或是对权利人人身安全、财产安全造成了威胁，则应根据实际情况以侵犯公民个人信息罪论处。对于权利人被动公开的个人信息，行为人对相关信息的获取一般来说是合法的，但是获取信息之后的出售、提供行为如果对信息主体的人身安全、财产安全或是私生活安宁造成了侵犯，且信息主体对其相关个人信息有强烈保护意愿，则应据其情节认定为侵犯公民个人信息犯罪。 五、结语 大数据时代，个人信息对个人、组织、社会乃至国家均具有重要价值，由此也滋生了越来越多的侵犯个人信息犯罪。“公民个人信息”作为侵犯公民个人信息罪的犯罪对象，其概念界定、特征分析、与相关概念的区分以及司法认定对于打击相关犯罪、保护公民个人信息具有重要意义。通过本文的研究，形成以下结论性的认识：第一，界定公民个人信息的原则。一是应遵循刑法的谦抑性原则，保证打击范围既不过宽而导致国家刑罚资源的浪费和可操作性的降低，也不过窄而使公民个人信息权益得不到应有的保障。二是应遵循权利保护与信息流通相平衡原则，在保障公民人身、财产权利不受侵犯的同时不妨碍信息正常的流通。三是应遵个人利益与公众利益相协调原则，允许个人利益对公共利益做出适当让步，但杜绝对个人利益的侵害和过度限制。第二，公民个人信息之“公民”应包括外国籍人和无国籍人，不应包括死者和法人。公民个人信息之“个人信息”应采取“识别说”进行界定，可以识别特定自然人是刑法上公民个人信息的根本属性。除了可识别性，刑法意义上的公民个人信息还应具有客观真实性、价值性等特征可作为辅助判断标准。还应注意个人信息与个人隐私、个人数据等相关概念的区分，避免在司法实践中出现混淆。第三，一般个人信息的认定。“可识别性”是其判断的难点，可以从行为人主观目的、信息对其主体人身和财产安全的重要程度和信息需与其他信息的结合程度这三个方面综合分析判断；对于行踪轨迹信息、财产信息等敏感个人信息，由于其入罪门槛低、处罚力度大，应严格把控其范围并结合行为人主观心理态度进行考量；对于信息主体已经公开的个人信息，应分情况讨论，对于信息主体主动公开的个人信息，行为人对其获取、出售和提供，不应认定为侵犯公民个人信息罪，对于信息主体被动公开的个人信息，行为人对信息的获取是合法的，但其后出售、提供的行为，可以依实际情况以侵犯公民个人信息犯罪论处。希望本文的论述能够对我国个人信息保护体系的完善贡献微小的力量。