個人信息是數字時代與互聯網環(huán)境的重要概念之一?，F行個人信息認定的通用指引來自個人信息相關國家標準，根據《信息安全技術 個人信息安全規(guī)范》（GB/T 35273—2020）資料性附錄A，“判定某項信息是否屬于個人信息，應考慮以下兩條路徑：一是識別，即從信息到個人，由信息本身的特殊性識別出特定自然人，個人信息應有助于識別出特定個人。二是關聯，即從個人到信息，如已知特定自然人，由該特定自然人在其活動中產生的信息（如個人位置信息、個人通話記錄、個人瀏覽記錄等）即為個人信息。符合上述兩種情形之一的信息，均應判定為個人信息。"

?

在刑法領域，《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（下稱“《侵公案件司法解釋》"）第一條規(guī)定，“刑法第二百五十三條之一規(guī)定的‘公民個人信息’，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬戶密碼、財產狀況、行蹤軌跡等。"[1]

?

針對個人信息的分類，根據《刑法》、《侵公案件司法解釋》及《檢察機關辦理侵犯公民個人信息案件指引》（下稱“《侵公案件檢察指引》"）的規(guī)定，刑法保護的個人信息可按信息敏感程度被分為三類：其一是行蹤軌跡信息、通信內容、征信信息、財產信息四類與公民人身、財產安全直接相關的個人信息（明確僅有四類）；其二是住宿信息、通信記錄、健康生理信息、交易信息等可能影響人身、財產安全，但重要程度要弱于第一類信息的個人信息；其三是其余的一般個人信息。

?

從上述規(guī)范出發(fā)，本系列文章旨在結合司法判例，分析刑事司法中處理個人信息的兩類主要實務疑難問題：第一，個人信息的認定問題，即特定信息（例如單獨手機號碼、互聯網賬號等）能否被認定為個人信息；第二，個人信息的分類認定問題，即特定信息能否在個人信息的范疇中，被進一步認定為特殊的個人信息（例如高度敏感的行蹤軌跡信息）。

單獨手機號碼是指不與姓名、住址等其他信息對應、自身單獨出現的自然人手機號碼信息。在“侵公"犯罪的刑事司法認定中，單獨手機號碼能否被認定為個人信息存在較大爭議。我們認為，一般情況下單獨手機號碼應被認定為個人信息，同時亦存在應予排除的特定情形。

?

《侵公案件司法解釋》和《信息安全技術 個人信息安全規(guī)范》國家標準及相關法律、法規(guī)在列舉個人信息時均包含“通信通訊聯系方式"，手機號碼被認定為個人信息的一種類型無需爭議。但是僅有手機號碼無其他信息時是否能構成“識別特定自然人身份的信息"在司法實務中仍有爭議：有觀點認為公民使用的電話號碼已實名登記、單獨電話號碼可認定為個人信息；也有觀點認為單獨手機號碼不能夠單獨識別特定自然人身份或者反映特定自然人活動情況，不足以認定為個人信息。[2]

?

綜合法律法規(guī)、司法判例和現階段打擊電信網絡犯罪、保護個人信息權益的現實需求，我們傾向于認為，單獨手機號碼應被認定為個人信息：

?

（一）實名制背景下，單獨手機號碼可以識別特定的自然人。根據《電話用戶真實身份信息登記規(guī)定》，當前我國實行手機號碼實名登記制度，手機號碼與自然人一一對應，能單獨識別特定自然人身份，意味著單獨出現的手機號碼亦可與特定自然人形成直接關聯；同時，手機號碼大多與個人微信、支付寶等相關聯，能在一定程度上反映特定自然人活動情況。實務中，司法機關一般基于實名制的因素，認定單獨手機號碼屬于個人信息。[3]

?

（二）存在部分沒有手機實名的“黑號"不能否認單獨手機號碼的個人信息屬性。我國雖已實行手機實名登記制度多年，但現實中確實也存在一些未經實名制登記的“黑號"，但值得注意的是，一是此類號碼相對于龐大的實名制手機號碼，數量少、占比極低，二是這些號碼通常被網絡“黑灰產"用作特定領域，而非由普通自然人用于日常工作、生活。同時，對于行為人提出“非實名"的辯解，辦案機關也會通過偵查實驗等方式，驗證號碼的真實性和與有關人員的對應性，經查證確實屬于未經實名的“黑號"，亦會予以剔除。實務中通常將這類“黑號"視為不真實信息，在批量個人信息中作排除認定，與單獨手機號碼的認定形成原則與例外的關系。例如在王某文出售、非法提供公民個人信息案中，[4]行為人獲取的部分電話號碼即通過非正當途徑、未經實名登記產生，法院排除了此些號碼，但同時認為這類“黑號"屬個別現象，并不能因此否認單獨手機號碼具有的身份識別性。

?

（三）若不將單獨手機號碼認定為個人信息，則一定程度上會放縱犯罪，具有較大社會危害性。手機號碼泄露后，輕則被濫用于廣告推銷、拉新促活，重則被用于實施電信網絡詐騙及其他惡性、暴力犯罪，嚴重影響個人生活安寧和生命、財產安全，社會危害性嚴重。例如，2016年，最高人民法院發(fā)布了六起懲治電信詐騙犯罪典型案例，在楊某等人侵犯公民個人信息案中，[5]行為人通過購買的方式非法獲取包括單獨手機號碼在內的個人信息2萬余條，通過撥打手機號碼并謊稱可以向對方發(fā)放殘疾人補貼、教育補貼等方式，共騙取7萬元，對受害者的財產安全造成損害。個人信息泄漏是不少網絡犯罪的源頭和犯罪鏈條的關鍵環(huán)節(jié)，個人信息權利保護則是信息化社會中個人權利保護的重點之一，因此，我們認為，要從源頭整治各類網絡下游犯罪，信息安全、信息保護是關鍵，若輕易將單獨手機號碼排除認定為個人信息，則在一定程度上可能會影響網絡安全發(fā)展。

實踐中，行為人獲取、出售、使用手機號碼均基于特定目的或伴隨特定手段，若行為人在主觀上即具備識別特定自然人身份或反映特定自然人活動情況的目的，[6]或行為人使用特定手段獲取、驗證特定自然人手機號碼，我們認為，在此類情形下可更充分地認定單獨電話號碼的個人信息屬性。

?

第一，存在特定人群標簽的情形。當行為人將單獨手機號碼根據不同特定人群予以標簽化處理時——表現為行為人雖僅有手機號碼，但是同一批手機號具有很強的身份指向性，通常可以反映行為人存在后續(xù)使用單獨手機號碼進行針對性營銷推廣甚至詐騙等目的，此時單獨手機號碼具備更強、危害性更大的身份識別屬性，可以增強對單獨手機號碼進行個人信息的認定。

?

例如，郭某華侵犯公民個人信息案中，[7]行為人通過網絡非法獲取單獨手機號碼等個人信息出售獲利，從其筆記本電腦、百度網盤中提取的大量內含個人信息的文件均標注“寶媽"、“女車主"等特定群體名稱，法院據此認為，當特定群體類型與單獨手機號碼結合時能夠反映出自然人過往的活動情況及未來的活動意向，具有較強的身份指向性和行為目的性。

?

第二，通過特定途徑獲取或進行特定驗證的情形。當行為人采用“拖庫"“撞庫"手段獲取、驗證個人信息；或者通過各種手段測試、驗證手機號碼是否為空號、是否關聯支付寶、微信賬戶、是否為活躍號碼等各種屬性，以滿足下游不同的需求時，單獨的手機號碼即具備較強的含義指向屬性。因此，當行為人采取了特定途徑獲取手機號碼或對手機號碼進行特定驗證，通?？梢苑从承袨槿司邆浜罄m(xù)伴生的行為目的，上述情形下單獨手機號碼可識別特定自然人身份或者活動情況的性質得到更充分的體現。

?

實務中已形成了一批支持該立場的判例，例如在張某軍等人出售、非法提供公民個人信息案中，行為人利用軟件在互聯網上獲得大量的支付寶用戶個人信息（包括單獨手機號碼）并予以出售，法院通過行為人明知涉案單獨手機號碼系通過腳本進行支付寶驗證獲得、并非隨機獲取的事實，認定涉案單獨手機號碼能反映特定自然人活動情況故系個人信息。[8]

單獨手機號碼通常被認定為個人信息的同時，我們亦不贊同簡單將單獨手機號碼一概納入刑事規(guī)制范疇。我們認為，特定場景下，單獨手機號碼宜予以排除認定。

?

第一，號段填充生成的連號手機號碼。根據《電信網碼號資源管理辦法》及其附件《電信網碼號資源分類管理目錄》，我國電話號碼為11位，其中各段有特定的編碼方式，基于電話號碼編制規(guī)則，可以進行電話號段填充獲取手機號碼。如已知運營商移動接入碼（Mobile Access Code, MAC）為134，四位歸屬位置寄存器（Home Location Register，HLR）識別碼（即H0H1H2H3號段）為2327，即可自動序列生成13423270000、13423270001至134232799999，共10000個手機號碼，號段填充的重要特征為生成的是連號手機號碼（不排除后續(xù)人為加工為不連號）。[9]我們認為，在手機號碼由號段填充生成的情況下，單獨手機號碼僅為某個區(qū)間內的連續(xù)數字，與特定自然人之間存在顯著距離，不再具備可識別性與關聯性的要素，實務中傾向于不將此類單獨電話號碼簡單認定為個人信息。

?

如在嚴某侵犯公民個人信息案中，行為人將自己非法獲取的個人信息中的電話號碼通過電腦導入撥號系統，供業(yè)務員拔打電話鎖定客戶，法院指出行為人保存的部分文件中，記載的均為連號的單一的電話號碼信息，該部分信息并不能單獨識別特定自然人身份或反映特定自然人活動情況，不應認定為個人信息。[10]

?

第二，軟件隨機生成的手機號碼。在張某等人侵犯公民個人信息案中，行為人向他人出售及非法提供公民個人信息，內容包含使用軟件隨機生成的不指向特定自然人的純電話號碼等，法院注意到這一情節(jié)，盡管由于行為人及辯護人不能指出具體多少數量的個人信息系偽造或重復，亦不能提供相應的證據證實，最終仍將涉案的純電話號碼認定為個人信息。[11]但是不難發(fā)現，此時已存在對這類單獨手機號碼作出排除認定的空間。

?

我們認為，若行為人通過多種類型的軟件（例如互聯網上常見的“號碼生成器"），批量生成隨機手機號碼，此類號碼多為未經實名認證的電話號碼，并不關聯特定自然人，亦不能反映特定自然人活動情況，故行為人若能夠證明此類手機號碼的數量及隨機生成的事實，則不宜繼續(xù)將其認定為個人信息。

?

第三，已公開的手機號碼。就公開的個人信息而言，現行規(guī)定、標準并未予以和一般個人信息相同的保護。根據《信息安全技術個人信息安全規(guī)范》（GB/T35273—2020）第9.5條的規(guī)定，共享、轉讓、公開披露個人信息時事先征得授權同意的例外情形，包括從合法公開披露的信息中收集個人信息，如合法的新聞報道、政府信息公開等渠道，該情形中個人信息控制者共享、轉讓、公開披露個人信息不必事先征得個人信息主體的授權同意。又根據《征信業(yè)管理條例》第十三條的規(guī)定，“采集個人信息應當經信息主體本人同意，未經本人同意不得采集。但是，依照法律、行政法規(guī)規(guī)定公開的信息除外。企業(yè)的董事、監(jiān)事、高級管理人員與其履行職務相關的信息，不作為個人信息。"

?

我們觀察，實務中一般是：對于主動公開的信息，除相關權利人要求“二次授權"的外，宜推定存在概括同意，不傾向于對收集后出售或者提供的行為要求“二次授權"，也就不傾向于認為行為人出售或者提供“違反國家有關規(guī)定"[12]。我們認為，判斷已公開個人信息行為是否具有刑事可罰性的關鍵是，該行為是否仍然侵犯了公民的個人信息權。在個人信息公開的多數情形中，個人信息或依照相關法律法規(guī)強制公開，或按照個人意愿自愿公開，即權利人對個人信息權已經有了一定程度的讓渡，此時，若權利人沒有明確禁止“二次授權"則原則上認為權利人已“概括同意"，對公開信息的處理、使用不宜被認定為犯罪行為。

?

實務中也存在持這一立場的判例。以王某侵犯公民個人信息案為例，2015年8月至12月，行為人先后8次使用QQ將包含電話號碼的涉案信息出售和提供給他人，法院在該案判決中明確指出：部分涉案信息提取自公開的商業(yè)網站中企業(yè)介紹自己生產、經營、銷售產品狀況的廣告信息，其中包含的法定代表人或聯系人手機號碼應當是相關當事人自愿公開的，相關人員在將此類信息公開時，必然會預見有被他人使用甚至不當使用的可能性?；诖?，法院并不認可“只要權利人不同意，不管信息已公開與否，不論是否合法途徑獲取，都不能被使用"的理解，當相關信息已經合法對外公開后，行為人的收集、整理、交換等行為便不宜繼續(xù)被要求獲得“被收集者同意"。[13]

?

在王某侵犯公民個人信息案中，部分涉案手機號碼由公司、企業(yè)在工商登記、商業(yè)宣傳等活動中自行公開，系典型的已公開手機號碼?！肚止讣z察指引》第二部分第（一）節(jié)規(guī)定，“對于企業(yè)工商登記等信息中所包含的手機、電話號碼等信息，應當明確該號碼的用途。對由公司購買、使用的手機、電話號碼等信息，不屬于個人信息的范疇，從而嚴格區(qū)分‘手機、電話號碼等由公司購買，歸公司使用’與‘公司經辦人在工商登記等活動中登記個人電話、手機號碼’兩種不同情形。"本文與該指引反應的認定思路一致，即公開的單獨手機號碼在司法認定時，始終需充分考慮其對于個人的歸屬性和對于個人信息權的侵害性。

簡單將單獨手機號碼全部認定或全部不認定為個人信息并非妥善思路。個人信息的認定，始終需要把握個人信息的本質屬性——對特定自然人的可識別性與關聯性，作出司法認定時，也需要與刑事規(guī)制侵害個人信息行為的立法原意保持一致。我們認為，在認定個人信息時應遵循“自身屬性"與“關聯因素"的二重思維模式，既考察信息本身是否具備可識別性與關聯性的必要特征，又對信息的獲取途徑、使用場景等多個關聯因素予以考慮，綜合作出認定結論。