随着数字化社会的进一步演进，数据加工利用的方式层出不穷，其中涉及使用个人信息获益的行为或者说“商业模式”越来越多。当前，个人信息相关的定义仍边界模糊，专门性法律法规还有大量原则和宣示性条款，有关的民商事纠纷往往引起极大争议，在此情况下刑事方面的立法和指导性案例在帮助各方主体树立个人信息保护意识，建立涉个人信息的商业模式的法律风险评价标准方面显得尤为重要。

相比于民事侵权纠纷和行政执法活动，刑事立法和案件判决中对某种行为或商业模式的违法性评价将建立不折不扣的红线标准，成为对公民或企业参与涉个人信息活动的底线要求。也正因如此，在涉个人信息的刑事案件中，应当严格遵循谦抑性原则，仅当裁判的事实准确性以及说理周延度均达到完备标准时，方可确认其指导意义。

本文从最高人民法院于2022年12月26日发布的193号和194号指导性案例着手，就其事实认定和判决思路展开分析和探讨，并提出一些商榷意见。

193号指导性案例：闻巍等侵犯公民个人信息案

本案事实为：被告闻巍、朱旭东为完成公司运营工作，通过微信等方式购买公民个人信息（居民身份证正反面照片），通过网盘等方式获取、存储案涉个人信息，并提供给合作方中银通公司的工作人员，用于批量注册激活该公司“爱球钱包”APP应用的“中银通·魔方元”联名预付费卡。

为便于分析，笔者根据判决事实查明部分，以个人信息在本案中的传递链路为视角，将案件事实全貌绘制如下：

该案的裁判要点，法院总结为：

居民身份证信息包含自然人姓名、人脸识别信息、身份号码、户籍地址等多种个人信息，属于《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款第四项规定的“其他可能影响人身、财产安全的公民个人信息”。非法获取、出售或者提供居民身份证信息，情节严重的，依照刑法第二百五十三条之一第一款规定，构成侵犯公民个人信息罪。

首先，本案在裁判要点中认定“居民身份证信息包括……人脸识别信息”，这个判断混淆了人脸照片和人脸识别信息的概念。

人脸识别信息在类型分类上，属于个人生物识别信息，在法律分类上，属于敏感个人信息。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）中没有专门指出对个人生物识别信息或人脸识别信息的定义或认定标准。

而《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称《人脸识别信息司法解释》）第一条中明确规定，其所规范的行为是“使用人脸识别技术处理人脸信息”和“处理基于人脸识别技术生成的人脸信息”。对于何为“使用人脸识别技术处理人脸信息”，《人脸识别信息司法解释》在第二条第一项中给出了一个具体场景可作为示例，即“在……经营场所、公共场所……使用人脸识别技术进行人脸验证、辨识或者分析”。

由此可见，只有使用人脸识别技术处理或生成的人脸信息才能称之为“人脸识别信息”，才符合个人生物识别信息的客观特征，具有技术上的唯一性和不可篡改性，从而在法律上有必要认定为敏感个人信息并依据更为严格的标准给予保护。但本案中涉及的身份证信息中含有的人脸照片，不是经人脸识别技术进行二次加工后产生的生物识别信息，应当不属于《人脸识别信息司法解释》中认定的“人脸识别信息”，因此本案中被告购买、使用的身份证照片中的人脸照片不是法律概念上的“人脸识别信息”。

根据本案中的事实认定，二被告也没有采用“人脸识别技术” 验证、辨识或者分析身份证照片中的人脸照片，仅是通过网盘等形式将购买的身份证照片提供给其他涉案方，因此本案被告的行为也不是法律意义上的“处理人脸识别信息”。本案中未查明中银通是通过何种方式处理身份证照片并完成新卡注册激活，中银通是采用人脸识别技术对居民身份证上的人脸照片进行了加工尚不可知。即便有此种加工行为，那涉嫌“非法处理人脸识别信息”的主体应当是中银通，而非本案被告。如果本案中认为刑事案件中的“人脸识别信息”需要采取更为宽泛的认定标准，不需要与“人脸识别技术”具有强关联，那么应当对此作出明确说明，厘清在刑事审判角度的“人脸照片”与“人脸识别信息”之间的界限。否则可能导致任何随手拍摄的含有人脸的照片都被认定为“人脸识别信息”，进而被认定为属于敏感个人信息，这是违反一般认知的，也将导致这一罪名被不合理地扩大适用。

其次，本案一审采用“举轻以明重”的方式，确定“身份证上的地址信息”应当等同于《解释》中已有的“住宿信息”，并应受到同等力度的法律保护。笔者对这种精细化审理的分析思路非常赞许。但从论述的结果而言，笔者认为一审判决对“身份证上的地址信息”与“住宿信息”的轻重之别的判断是值得商榷的。

通常来说，公民的住宿信息是指非住所地的某个临时留宿地址，是公民本人在一个较短的时间段内停留、居住、生活的地址，通常是指宾馆、酒店等临时居所的地址和入住信息。可以作为佐证的是，在《最高人民法院、公安部关于建立快速查询信息共享及网络执行查控协作工作机制的意见》中明确指出“被执行人旅店住宿信息”包括：入住时间、退房时间、住宿旅馆名称、住宿旅馆地址、登记联系电话。可见无论法院或公安机关在实际的执法活动中，也是将入住旅馆这种临时留宿的情况所产生的信息定义为“住宿信息”。

同时，笔者不赞同本案一审对“住宿信息”是“过去性住所”的判断，因为在实践中无法排除住宿信息被实时泄露的可能性。而且在临时留宿期间，公民个人有可能缺乏防范意识和防范能力（住宿通常包括晚间休息），因此实时的住宿信息泄露极有可能直接危害公民人身和财产安全。另外，由于住宿信息可能具有私密性，一旦泄露还可能侵犯公民不欲为人所知的其他隐私。

因此，笔者认为具有同等的时效性、私密性和信息泄露的现实风险的“地址”才属于《解释》中的“住宿信息”，或者可认定是与第五条第一款第四项列举的其他个人信息，即通信记录、健康生理信息、交易信息具有同等程度的敏感性。而按照我国户籍政策和人口大范围流动的社会背景，居民身份证上的住址通常仅是户籍所在地，而不一定是居民本人的实际居住地点。即便是实际居住地点也通常不会具有前述由临时留宿带来的隐私问题，仅仅是一个住所地的概念。相比“住宿地址”，居民在其“住所地址”中对于个人人身和财产安全的保护能力相对更强，因此通常来说住所地址泄露也不会导致高于前述临时留宿带来的安全风险。

综上，笔者认为“身份证上的地址信息”的敏感性不一定高于“住宿信息”，其泄露后果也不一定会严重于“住宿信息”。从一般人观感而言，住宿信息因其隐私性，敏感程度反而要高于身份证地址信息。因此在这个比对中，是很难得出身份证地址信息的“重要性也应高于作为公民临时性、过去性住所的住宿信息”这个一审结论的。

本案二审可能是意识到了上述两个问题，对身份证照片中的各项信息的性质作了总括式的论述，即把居民身份证信息上的诸多内容视为整体，强调在公民生产生活中的重要作用，认为“身份证信息整体均系敏感信息”，可诱发公民其他个人信息的进一步泄露，并据此认定“应将居民身份证信息整体认定为涉公民人身、财产安全的信息”。虽然这种认定回避了一审对案涉个人信息敏感性轻重判断的问题，但未能纠正对人脸照片和人脸识别信息的概念混淆。其判决说理和论述也较为单薄，仅仅复述了案涉个人信息性质后，就简单论述为“在公民生产、生活中具备重要地位和作用”，并进而适用《解释》第五条第一款第四项。但在《解释》中该条款原文是“住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息”，身份证上的各项信息是否都等同于这一档次或是否可分别归类入其中，案例中并未能给出具有说服力的论述。

考虑到《解释》颁布时间较早，并未采用后续个人信息保护专门法律法规中常用的敏感个人信息、一般个人信息等分类，因此法院在审理过程中，对于未列入《解释》的个人信息通常需要从信息的本身性质来解读和适用。从这个角度而言，笔者认为一审判决的思路反而是更科学的。

在本案中，身份证上所载明的信息的重要性毋庸置疑，一方面身份证信息属于常用的个人识别信息中最具有官方属性的，另一方面身份证信息也在一定程度上具备唯一性，如户籍信息不变，则身份证信息无从更换。在识别个人信息主体时，身份证号相较于其他个人识别信息（尤其是IMEI号、MAC地址、IP地址、手机号以及互联网注册的账号等）在可识别性上显示出更为核心的价值。身份证号码具有高度的人身属性，是社会生活中最基础的个人身份标识，且其中包含大量的其他身份信息（户籍地、生日、性别等）。身份证号码还可以用于关联获取多种个人信息，或用于其他个人信息的生成（如银行卡开户、手机号开立、各类网络账号认证）。在这个意义下，身份证号码的私密性和重要性才不亚于住宿信息、通信记录、健康生理信息、交易信息，也仅在此情况下才能得出含有身份证号码的公民身份证信息“在公民生产、生活中具备重要地位和作用”。

事实上，基于上述分析，笔者甚至认为，从身份证信息的性质来看，其重要性只是略低于司法解释第五条第一款第三项，即基于隐私性略低于“行踪轨迹信息、通信内容、征信信息、财产信息”，但基于可识别性和唯一性是高于第四项的“住宿信息、通信记录、健康生理信息、交易信息”的。结合本案，笔者建议在后续司法解释修订过程中，增加“用于识别个人且不可篡改的个人信息，包括个人基因、人脸识别信息、指纹、声纹、虹膜、掌纹等”这一个单独类型，以便相关司法机关准确把握个人信息中的“生物识别信息”的定义和重要性，并设定与之相符合的刑事违法责任。

194号指导性案例：熊昌恒等侵犯公民个人信息案

该案判决书的事实查明部分有三个案件事实，但各事实部分并无因果连接词，笔者结合上下文判断案涉行为实际有三：2020年6月起，被告直接贩卖“成品微信号”；2020年9月起，被告嫌利润低，就共同出资购买群控软件，为“空白微信号”添加好友，加工成“成品微信号”用于出售获利，之后还为此设立公司；2021年1月起，被告通过网上购买的方式，非法获取他人求职信息（含姓名、性别、电话号码）后，交给公司工作人员添加手机号对应的微信用户，并以刷单兼职为理由让用户添加“导师”微信，招揽用户入群。

笔者尽力根据判决事实查明部分，以个人信息在本案中的传递链路为视角，将判决查明部分全貌图绘制如下：

该案的裁判要点，法院总结为：

1.违反国家有关规定，购买已注册但未使用的微信账号等社交媒体账号，通过具有智能群发、添加好友、建立讨论群组等功能的营销软件，非法制作带有公民个人信息可用于社交活动的微信账号等社交媒体账号出售、提供给他人，情节严重的，属于刑法第二百五十三条之一第一款规定的“违反国家有关规定，向他人出售或者提供公民个人信息”行为，构成侵犯公民个人信息罪。

2.未经公民本人同意，或未具备具有法律授权等个人信息保护法规定的理由，通过购买、收受、交换等方式获取在一定范围内已公开的公民个人信息进行非法利用，改变了公民公开个人信息的范围、目的和用途，不属于法律规定的合理处理，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”行为，情节严重的，构成侵犯公民个人信息罪。

笔者认为，本案中的案件事实认定方面的信息较少，且其在说理方面的周延性也存在一定问题。例如在案例原文中，关于犯罪构成的论述仅有一句，即“本院认为，被告人……违反国家规定，结伙向他人出售或者将非法获取公民个人信息提供给他人，并从中获利，情节特别严重，应当以侵犯公民个人信息罪追究其刑事责任。”但被告违反的到底是何种国家规定、获取并出售了何种个人信息都没有做任何论述，甚至出售的到底是谁的个人信息都没有查清。从逻辑上相当于做了一个循环论证的说理，即“因为出售个人信息违反国家规定，所以违反国家规定从而符合刑法第二百五十三条之一的规定，构成侵犯公民个人信息罪”，显然没能明确指出本案的多个犯罪事实之间的逻辑关系和对多个行为的违法性的判断意见。此种论述要指导全国涉及个人信息的刑事审判实践，似乎较有难度。

回到案件本身事实上，如果笔者未归纳错误，那案涉行为实际上应该分三个部分。笔者从判决中认定的关键事实入手，提出一些存疑的问题和商榷意见。

第一，被告购买并出售“成品微信号”的行为是否构成非法购买、出售个人信息。

笔者从判决内容来看，被告人在这个行为上，实际上是先“购买成品微信号”然后再“售卖成品微信号”。这个行为的合法性不能一概而论，需要根据上游卖家的身份确定，如果被告购买的微信号是由账号所有者自己出售的，那么需要先认定账号所有者出售微信号的行为构成“出售个人信息”，才能认定被告购买微信号的行为构成“购买个人信息”。

众所周知，微信号中承载的“个人信息”实际上是账号所有者使用该账号添加其他用户所形成的“好友关系”（以下称“关系链”），而关系链中的“好友”的个人信息如昵称、头像等账号信息实际上是标注“关系”的识别信息。关系链及识别信息的来源，是这些“好友”通过授权同意的方式提供给账号所有者的，具有合法性。

如果认可账号的价值归属于其所有者，那么账号所有者在民事角度理所当然有权转让该账号从而变现自己的“网络虚拟财产”。退一步说，即便该账号不允许转让，也是用户与平台之间的合同关系，仍然没有脱离民事法律关系范畴。如果上游的账号来源具有合法性，那么被告出售“成品微信号”的行为也不应当直接落入刑事违法的评价中。退一步说，即便因为违反公序良俗或平台合同约定，导致出售含有个人信息的网络账号的行为在民事上不被认可，但该行为是否会直接构成“侵犯公民个人信息罪”这个最为严厉的刑事罪名？

设想更极端的情况，如出售个人所有的但承载了照片、通讯录等他人信息的手机、电脑，是否也会构成“侵犯公民个人信息罪”？如果按照这个逻辑，那所有的物理属性上的个人信息的传输、共享、提供等行为，只要违反《个人信息保护法》就可能构成“侵犯公民个人信息罪”，这显然不符合刑法第二百五十三条之一的立法原意。

从笔者的理解而言，如果仅就出售含有关系链的网络账号来说，罪与非罪的认定需要做更为细致的事实查明和违法性判断，断然不能做出如此武断的判断，更遑论作为司法指导性案例而存在。而被告作为账号卖家时的违法性判断，也应遵循如上逻辑，本文不再赘述。

第二，被告使用群控软件，将“空白微信号”加工成“成品微信号”的行为是否构成犯罪。

判决在这个行为的认定上，依然没有做好准确的区分处理。首先，使用群控软件本身不一定违法，更谈不上本案中所谓的“非法”添加微信好友。诸多与群控软件相关的生效判决中（其中亦不乏典型案例）已有认定，群控软件实现的功能无非是原生软件基于自己的生态选择而不向用户提供的功能。原生软件是否为用户提供“多开、多号智能群发、加人、拉群、退群、清粉”的功能，都只是这些原生软件公司的商业安排，而不是基于国家法律法规要求。如果群控软件对这些原生软件采取了破坏性的措施以实现相关功能，那应该在计算机信息系统犯罪相关罪名下评价这一行为，而非适用个人信息相关罪名。如果群控软件并非用于违法犯罪活动，则开发、使用群控软件的行为应当更多采用不正当竞争相关的民事或行政法律规范作出判罚。

其次，无论群控软件如何设计，其使用者都需要通过搜索并添加其他用户，也就是说，群控软件的使用者如需批量加好友、群发消息、拉群等，其前提条件是需要先获得个人信息，与对应用户建立“关系链”。如果个人信息或“关系链”的来源合法，那么利用群控软件将“白板微信号”加工成“成品微信号”这个过程本身在刑事角度并无可直接归责性。很可惜，本案判决并未就此事实进行进一步查明。实际的业务场景中，如果群控软件被公司用于员工管理，员工自愿确认与公司的账号建立“关系链”，那其实就是一个再合法不过的个人信息处理行为。

第三，被告购买他人非法获取的求职信息并让工作人员添加为好友的行为，是否属于个人信息犯罪。

如前所述，本案中涉及个人信息的最关键的构成情节是：被告购买个人信息用于加工“成品微信号”被认定为构成“非法获取公民个人信息”，而本案判决实际上并未充分论述被告购买个人信息的非法性。从立法目的而言，获取公民个人信息的合法性判断本质上与是否付费无关，而是应对照《个人信息保护法》第十二条的规定确认所获取的个人信息是否有合法性来源。如果所购买的个人信息没有合法性来源，无论买方付费与否，买卖双方的行为都属于非法行为，这也是刑法第二百五十三条之一中“违反国家有关规定”的构成要件。在本案中，被告是从网上购买他人求职信息获取（非常遗憾判决书中没有明确是从哪里获取）。如果确属个人信息主体的求职信息，由于被告显然不是个人信息主体的求职对象，那被告进一步使用求职信息是没有合法性的。本案中被告通过这些信息加个人信息主体微信的处理行为确实“违反国家有关规定”。

但笔者存疑的是，本案中的认定是“结伙向他人出售或者将非法获取公民个人信息提供给他人”，而根据案情介绍，被告是将购买的求职信息提供给自己公司的工作人员来完成整个犯罪链条。工作人员是按照被告的指示处理所获得的个人信息，其处理行为在一定程度上可以说是属于“职务行为”，这种身份关系显然不属于“向他人提供个人信息”。个人信息的提供行为中，处理者应当有自己独立的处理目的，而不应该将“提供”理解为数据的自然传递，否则企业所有员工都可能因为执行工作安排而成为共犯，哪怕他们并不明知也不应知这个数据是企业从何处取得。对于“提供个人信息”的扩大认定会导致任何物理上的个人信息转移都被认定为“提供”，而在实际的生产经营活动中有很多具有合法性的场景，例如从事数据加工服务的算法企业，根据其客户要求在客户的系统里建模并进行数据分析，不做任何自己目的的使用，就不应当被认定为“提供”。

回到本案的判决，这个案件的行为性质不应当如法院按照检察院指控意见认定的那样属于“提供”，而应当是“非法获取”，如果构成犯罪则应当适用二百五十三之一的第三款。虽然判决中没有明确指明援引的是第一款还是第三款，但从说理部分能看出来是错误引用了第一款。

另外，笔者认为这个判决最大的问题不是援引法律上的瑕疵，而是遗漏了关键待查明事实。根据《解释》第五条，如果要认定“情节严重”的构成要件，必须具体区分获取的个人信息类型以及条数。但纵观本案判决，除了查明了获取的个人信息类型之外，并无其他数量描述。如果案涉个人信息只包括“姓名、性别、手机号”的话，要么适用第五条第一款第五项达到五千条的数量标准，或者适用第七项达到违法所得五千元以上。在本案中，判决认定的是情节特别严重，也就是说需要十倍于前述标准，即五万条或五万元以上。

从本案判决来看，法院未查明案涉个人信息条数，套用的是非法所得这个单一维度。本案中，判决对非法所得方面的认定是：

经营期间，被告人熊昌恒、熊昌林、熊恭浪、熊昌强、范佳聪与秦英斌在支付工资及相关开支后，其获得的分红款共计人民币20余万元，按各自所占股份份额予以分配。其中，被告人熊昌恒5.8万余元，被告人熊昌林2.9万余元、被告人熊恭浪2.9万余元、被告人熊昌强2.9万余元、被告人范佳聪1.45万余元。

但问题是，前述金额是被告全部经营所得，而这个经营所得的来源中可能包括按照笔者前述分析认为不属于违法所得的收入，其中尤其存疑的是被告出售“通过非法获取的个人信息加上了好友关系链”的“成品微信号”所获收益的违法性。根据判决书载明的内容，被告出售的实际上已经不是其所非法获取的“姓名、性别、手机号”，而是通过获取的“姓名、性别、手机号”，在“空白微信号”中添加好友，成的含有关系链的“成品微信号”。虽然“成品微信号”里依然承载着用户的相关个人信息如昵称、头像等账号信息，但诚如前文分析的那样，其他用户的昵称、头像等账号信息实际上是标识“成品微信号”的关系链的符号而已，并不是“成品微信号”的交易对象。被告售卖的不是其他用户的昵称、头像、微信号，而是这些“成品微信号”以及其中的“关系链”。而“关系链”在诸多民商事典型案例中，已经明确属于账号拥有人的个人信息。

即便刑事司法领域并不认可这种民商事的权利归属判断，那也应该进一步展开澄清，在欺骗或违反公序良俗的场景下，这种交易行为在何种场景下构成刑事犯罪，而不仅仅是民事虚拟财产的交易行为。如果简单将一个账号的控制权转移视同于出售账号中承载的全部个人信息，那任何账号的转移甚至是他人使用都将构成刑事犯罪，这显然违反《解释》的立法原意，也违反一般人的正常认知。

就本案而言，被告到底构成何罪，或者罪与非罪，罪重与罪轻，应当在进一步查明案件事实的情况下进行更为详尽的分析。但无论何种结论，如果判决论述的颗粒度仅仅止于“非法获取了个人信息又出售了个人信息”，不去区分获取的和出售的个人信息的内容和范围，不去评估中间是否存在被害人主动授权（民事欺诈不一定构成刑事诈骗）的合法性事由，那么不仅这份判决的指导效果甚微，甚至可能给其他的审判实践带来误导。

综合以上分析，对于本次发布的两个指导性案例，一方面笔者充分理解由于《解释》的发布时间较早，从刑事角度对个人信息相关的概念界定和行为定性等方面，与当前的个人信息保护专门法律法规有一定差异，而面对越来越多样化的个人信息处理行为和涉个人信息的“商业模式”，法院在刑事审判实践中需要通过扩大解释的方式适用相关条款，因此难以避免在裁判说理的周延性上的瑕疵。

但另一方面，如笔者在本文开始时所述，在公民日常生活和生产经营活动中，刑事违法是不可触碰的红线，在个人信息相关的法律概念尚未完全厘清，社会中关于数据资产使用和个人信息保护的关系仍有争议时，刑事指导性案例中展示的裁判方法和认定标准不仅是为全国的司法活动给出的范例，也将产生极为广泛的社会影响，因此需要裁判者给出更为翔实的事实认定和谨慎的裁判说理，以真正发挥相关案例对司法实践和公民行为的引导作用。