二、“公民个人信息”的内涵

目前，我国关于个人信息的界定，最为权威的当属《网络安全法》的规定。《网络安全法》第七十六条规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”对侵犯公民个人信息罪的对象“公民个人信息”的界定，无疑应当以《网络安全法》的规定为基础，但宜否直接适用这一规定，则存在不同认识。经研究，《解释》第一条在《网络安全法》第七十六条规定的基础上，进一步明确“公民个人信息”包括身份识别信息和活动情况信息。主要考虑如下：

其一，对《网络安全法》关于“个人信息”的界定宜采取广义的理解。《网络安全法》将“个人信息”界定为“能够识别自然人个人身份的各种信息”。本书认为，此处显然使用的是广义的“身份识别信息”的概念，既包括狭义的身份识别信息（能够识别出特定自然人身份的信息），也包括反映特定自然人活动情况的信息。从实践来看，行踪轨迹信息系事关人身安全的高度敏感信息，无疑应纳入法律保护范围，且应当重点保护。但是，行踪轨迹信息显然难以纳入狭义的“身份识别信息”的范畴。如果认为《网络安全法》将此类信息排除在“个人信息”的范围外，恐难以为一般人所认同。合理的解释是，《网络安全法》将反映特定自然人活动情况的信息涵括在“身份识别信息”的范畴内。

其二，《网络安全法》对个人信息的界定目的不完全同于刑法第二百五十三条之一的规制目的。《网络安全法》第一条规定：“为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。”据此，《网络安全法》主要是从网络信息安全的角度对个人信息作出规定，而刑法第二百五十三条之一的主要目的在于保护公民个人信息安全和相关合法权益，二者的目的不完全一致。因此，从更为有效保障公民个人信息权益的角度，对“公民个人信息”不应人为限缩范围，宜将反映特定自然人活动情况的信息明确纳入“公民个人信息”的范畴。

其三，刑法关于侵犯公民个人信息犯罪的规定早于《网络安全法》的相关规定。基于此，对侵犯公民个人信息罪所涉及的“公民个人信息”的解释不必完全受制于在此之后施行的《网络安全法》的规定。[3]而且，此前《关于加强网络信息保护的决定》第一条第一款明确规定：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”上述规定虽然不是直接针对刑法第二百五十三条之一规定的“公民个人信息”，但为准确把握“公民个人信息”提供了可资借鉴的基础。《惩处侵害公民个人信息犯罪通知》也明确公民个人信息包括“能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。而从司法实践来看，相关典型案例也明确被告人通过非法跟踪他人行踪所获取的公民的日常活动信息属于“公民个人信息”的范畴。[4]

基于以上考虑，《解释》第一条规定：“刑法第二百五十三条之一规定的‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”