侵犯公民个人信息罪司法解释中信息敏感层级划分的调整

摘      要：2021年颁布的《中华人民共和国个人信息保护法》对其适用提出了新的要求。而2017年兩高出台的侵犯公民个人信息罪司法解释所确定的公民个人信息敏感层级的划分虽具有相对合理性，但随着信息技术的不断发展，该司法解释的局限性逐渐凸显。因此，应根据个人信息“可识别性”的远近以及与公民人身、财产安全关联程度的高低，对司法解释中公民个人信息敏感层级的划分作出调整——增设生物识别信息、医疗健康信息和不满十四周岁未成年人的个人信息为高度敏感个人信息;列举身份证件号码、家庭住址和犯罪记录为一般敏感个人信息。

关  键  词：侵犯公民个人信息罪;敏感层级划分;可识别性

中图分类号：D922.16        文献标识码：A        文章编号：1007-8207（2022）06-0090-09

收稿日期：2021-11-19

作者简介：张贵湘，中国政法大学刑事司法学院博士研究生，研究方向为刑法学。

一、问题的提出

2017年施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）第五条将公民个人信息分为高度敏感个人信息、一般敏感个人信息和普通个人信息，分别设置50条以上、500条以上和5000条以上的入罪标准，对其进行分级保护。[1] 然而，部分公民个人信息敏感层级的划分在司法实践中尚存争议。以家庭住址和身份证件号码两类个人信息为例：在咸某某等人通过推广贷款网站非法获取、出售个人信息一案[浙江省东阳市人民法院（2019）浙0783刑初937号刑事判决书]中，法院认为涉案家庭地址、身份证件号码、手机号码等属于其他可能影响人身、财产安全的信息，构成情节严重的标准是500条以上、5000条以上则属于情节特别严重，因本案所涉信息数量远超5000条，最终法院认定构成情节特别严重。本案中，法院明确将家庭住址和身份证件号码视为一般敏感个人信息，但在“杜某侵犯公民个人信息案[山东省临沂市罗庄区人民法院（2017）鲁1311刑初332号刑事判决书]”“王某琼等侵犯公民个人信息案[辽宁省沈阳经济技术开发区人民法院（2018）辽0191刑初418号刑事判决书]”“吴某侵犯公民个人信息案[重庆市第二中级人民法院（2018）渝02刑终33号刑事判决书]”和“彭某侵犯公民个人信息案[浙江省温州市中级人民法院（2019）浙03刑终634号刑事判决书]”中，法院都是将家庭住址和身份证件号码视为普通个人信息。司法裁判不一的原因在于《解释》中关于公民个人信息敏感层级的划分存在局限，难以被统一遵循。事实上，不同公民个人信息所承载的法益价值并不相同，侵害不同种类的个人信息将会带来不同程度的法益损害结果。随着个人信息利用的不断推进，部分普通个人信息经筛选、聚合后的靶向非法利用给公民人身、财产安全带来了愈加严峻的危害后果，急需对相关法律规范作出调整。

2021年8月20日，十三届全国人大常委会第三十次会议审议通过的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）对公民个人信息的刑法保护提出了新的要求。《个人信息保护法》第二章第二节专门规定了“敏感个人信息的处理规则”，以突出对敏感个人信息的保护。《个人信息保护法》第二十八条第一款采取“概括+列举”模式规定敏感个人信息，明确敏感个人信息包括“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息以及不满十四周岁未成年人的个人信息”。关于敏感个人信息的规定，《解释》与《个人信息保护法》并不一致，应对其关于公民个人信息敏感层级的划分予以调整。

二、对《解释》中公民个人信息敏感层级划分的解读与分析

（一）解读

根据《解释》第五条第一款中第⑶项、第⑷项和第⑸项的规定，划分公民个人信息敏感程度高低的标准在于对公民个人人身、财产安全的影响大小。第⑷项针对一般敏感个人信息采用了“可能影响人身、财产安全的公民个人信息”这一表述，设置了500条以上的入罪标准。按照“举轻以明重”的原则，将更具敏感性且入罪标准降低到50条以上的高度敏感个人信息定性为“直接影响人身、财产安全的公民个人信息”属应然之意。也就是说，对公民个人人身财产安全影响大的或者直接影响的，视为高度敏感个人信息;相对应地，对公民个人人身财产安全影响小的或者可能影响的，则视为一般敏感个人信息。对于高度敏感个人信息而言，因入罪门槛低、可罚性强，《解释》将其明确限定为行踪轨迹信息、通信内容、征信信息和财产信息四种个人信息类型，且没有作出兜底性表述。对于一般敏感个人信息而言，《解释》并未明确限定所涉信息种类，从而为司法实务作等外解释预留了一定空间。当然，被解释进来的个人信息需要与本项规定在前的住宿信息、通信记录、健康生理信息、交易信息等在重要程度上具有相当性。[2]同时，《解释》对于高度敏感个人信息和一般敏感个人信息的认定都以“非法获取、出售或者提供”来限制构成犯罪的前提行为类型，对于信息的正当流通需求没有过多约束，不会阻碍信息的合法利用与流通，仅是惩治脱离合法运用场景的获取、出售或者提供公民个人信息的行为。

《解释》对于公民个人信息进行分级分类保护且根据公民个人信息重要程度的不同进行分级分类处理。不同类别的个人信息对于公民人身财产安全的影响大小存在差异，司法机关的惩治力度也有所区别。一般的、与公民人身财产安全相距较远的普通个人信息，更多地注重挖掘此类信息的利用价值;而特殊的、与公民人身财产安全关联紧密的敏感个人信息，则严格限制流转，更多地注重此类信息的保护价值。

（二）分析

随着信息技术的不断发展，部分普通个人信息如家庭住址、身份证件号码、犯罪记录、生物识别信息、医疗健康信息等有转变为一般或者高度敏感个人信息的可能。也就是说，部分原本需要结合其他相关信息才能够识别特定个体的间接信息逐渐演变为直接根据相关信息就能够实现精准识别的直接信息，其重要程度和可识别性也显著提升。可见，《解释》中原有关于敏感个人信息的认定已不能适应现实的新变化。

以尹某故意杀人案为例：尹某发现妻子出轨刘某并因此离婚，通过前妻获悉刘某的姓名和电话号码，尹某在网上花费千余元非法購买到刘某的具体身份、照片、家庭地址和车辆等个人信息，从上海自驾前往江苏省苏州太仓，精准找到刘某住所，将其杀害。[3]本案中，尹某非法购买了与被害人的人身、财产安全关联密切的私密个人信息，并据此将素未谋面的被害人杀害。根据《解释》的规定，家庭地址属于普通个人信息层级，然而本案中家庭地址信息为尹某杀人行为的实施提供了较大便利，这表明不同种类个人信息的可识别性和重要程度并不是一成不变的，其可识别性和重要程度容易受到多种因素的综合影响而发生变化。再以马某等人非法窃取他人银行账户资金案[四川省成都市中级人民法院（2014）成刑初字第279号刑事判决书]为例：马某和王某非法购买到被害人段某和胡某的身份证件号码、手机号码等个人信息，并利用信息网络技术非法窃取两位被害人的银行账户资金20余万元。此后，马某和王某又非法购买他人身份证件号码等个人信息200余万条，再次凭借前述非法获取的个人信息，利用信息网络技术非法窃取117名被害人的银行账户资金1000余万元①。

由以上两个案例可以看出，数据在成为重要生产资料的同时，其背后承载的个人信息却异化为威胁公民人身与财产安全的犯罪工具。[4]在网络时代，个人信息的可识别性和重要程度显著提升。同一类型的个人信息在不同时期对于公民人身、财产安全的影响并不是恒定的，而是受刑事政策、犯罪态势、科技发展等各种因素的综合影响而发生变化。例如：行踪轨迹信息在《信息安全技术公共及商用服务信息系统个人信息保护指南》（2013，以下简称《指南》）、《关于依法惩处侵害公民个人信息犯罪活动的通知》（2013）和《中华人民共和国网络安全法》（2017，以下简称《网络安全法》）等规范文本中没有被明确提出，但是随着其与公民人身财产安全关联性的显著提升、被非法利用的频率大幅度提高，引起了社会和立法部门的关注，最终由《解释》首次纳入到公民个人信息的定义之中，并将其提升到高度敏感个人信息层级予以特殊保护。为了适应个人信息保护的现实需求，法律规范应当根据现实情况的变化适时作出相应调整。

三、《解释》中公民个人信息敏感层级划分调整的基本原则

（一）与其他法律法规中公民个人信息敏感层级的规定相协调

目前，《中华人民共和国民法典》（以下简称《民法典》）、《个人信息保护法》《网络安全法》等法律规范中关于个人信息保护的条文都以“可识别性”为标准来判断个人信息与非个人信息。对于能够单独识别特定个体或与其他信息相结合后能够识别特定个体的信息即可认定为个人信息，否则就不属于个人信息。由于受保护的个人信息可以识别出特定个人，因而个人信息的收集、存储、使用、加工、传输等活动不可避免地会对特定个人产生影响。若法律不及时加以规范，容易造成非法利用个人信息侵害他人人身财产安全的不利后果，如利用个人信息实施诈骗、敲诈勒索等恶性犯罪①。根据个人信息可识别性强弱的不同，利用其实施犯罪行为的危害后果也有显著区别。可识别性强的个人信息往往与人身财产安全的关联密切，一旦被非法利用可能造成的危害后果较为严重，如生物识别信息、医疗健康信息、行踪轨迹信息等。相反，越是可识别性弱的个人信息可能造成的危害后果则相对有限，如年龄、性别、职业、爱好等。随着信息技术的不断发展，个人信息可识别性的强弱也会随之发生变化，部分原先可识别性较弱的个人信息，其可识别性可能会因为多种因素的影响而显著提高进而变成敏感个人信息。

从其他有关公民个人信息保护的规范文本来看，无论公民个人信息的界定还是不同场景下的保护要求也都趋向于层级化的保护方式。在公民个人信息保护方面，《个人信息保护法》在一般个人信息之外专门单设一节规定“敏感个人信息的处理规则”，不仅明确定义了敏感个人信息的概念，还要求对敏感个人信息的处理应当取得个人的单独同意。《指南》同样将公民个人信息划分为个人一般信息和个人敏感信息，分别设置了不同的信息收集规则，要求收集个人一般信息适用默示同意，收集个人敏感信息则需适用更高标准的明示同意。《信息安全技术个人信息安全规范》（以下简称《规范》）也明确要求敏感个人信息的收集应当取得信息权利主体的明示同意。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（以下简称《规定》）第十二条明确列举了个人隐私相关信息的内容，赋予被侵权人主张侵权责任的权利且要求法院应予支持。在个人信息场景应用方面，《中华人民共和国反恐怖主义法》《中华人民共和国居民身份证法》（以下简称《居民身份证法》）、《征信业管理条例》等法律规范对生物识别信息的管理和利用作出了特别规定。此外，在我国公民个人信息刑法保护规范中，“信用卡信息”——“个人信息”——“身份信息”——“身份认证信息”——“推定身份信息”——“公民个人信息”的立法传导路径也间接表明了公民个人信息层级化保护路径的可行性。[5]

从刑法条文来看，侵犯公民个人信息罪是典型的法定犯，结合《解释》第二条的规定，构成本罪需以违反法律、行政法规或是部门规章等前置性法律规范中有关公民个人信息保护的规定为必要前提。目前，我国关于个人信息保护的规定散见于《民法典》《个人信息保护法》《网络安全法》《居民身份证法》《中华人民共和国消费者权益保护法》等法律规范中。其中，《民法典》第一千零三十四条首次对个人信息作出定义加列举式的规定，明确提出以“可识别性”作为界定个人信息的标准，包括直接可识别和间接可识别，并示例身份证件号码、生物识别信息、住址、行踪信息等属于个人信息范畴，虽然没有对敏感个人信息直接作出规定，但是列举的个人信息种类都较为重要;《个人信息保护法》同样根据“可识别性”这一标准对个人信息作出规定，并就敏感个人信息作出明确定义和列举，提出了认定敏感个人信息的两个标准：一是容易导致个人人格尊严受到侵害，二是人身、财产安全受到危害，这是法律规范首次对于敏感个人信息进行直接确认。上述个人信息保护前置性法律规范的调整既适应了现实需求，也为刑事法领域的调整作了示范和表率，客观上要求《解释》的修正需要与上述前置性法律规范相协调，以维护法秩序的统一。

（二）与公民个人信息的重要程度相协调

《个人信息保护法》第二十八条“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”的规定强调了敏感个人信息的核心在于若被非法使用将会侵害个人的人格尊严或是人身财产安全，《解释》同样以对个人人身财产安全影响的大小来认定敏感个人信息的范围。人身权包含人格权和身份权，其中人格权制度的基本价值在于维护个人的人格尊严，个人所享有的生命、健康、名誉等人格利益都是对人格尊严的彰显。[6]敏感个人信息与个人一般信息的区别在于损害风险的高低，[7]因此，个人人身财产安全损害风险较高的应当界定为高度敏感个人信息，而损害风险相对较低的则视为一般敏感个人信息。如个人的身高体重、饮食习惯、兴趣爱好和购物记录等个人信息虽然与个人的人身财产安全并非毫无关联，但对其造成损害风险的可能性相对偏低。而个人的行踪轨迹、金融账户、医疗健康等个人信息以及不满十四周岁未成年人的个人信息与个人的人身财产安全则关联紧密，一旦被泄露或非法利用将会带来较大的损害风险。可见，公民个人信息的重要性程度与损害风险高低之间成正相关關系。如以“济南20万名孩童信息被打包出售”一案为例，2016年济南20多万名1-5岁的婴幼儿信息被非法泄露，顾客只需花32000元即可打包购买，甚至可以选择购买具体区域的婴幼儿信息。打包的信息除了婴幼儿姓名、出生年月、家长电话，还能精确到每个家庭的门牌号。经记者测试，准确率达到60%以上，不少家长多次接到与打疫苗相关的诈骗电话或是培训机构的推销电话。[8]据悉，犯罪嫌疑人通过购买计算机侵入软件及系统管理破解密码等方式获取了儿童个人信息在网上非法贩卖营利。[9]该案表明，不满十四周岁未成年人的个人信息被非法利用的可能性较高，可能会给公民的人身、财产安全带来较大损害风险。再如2017年浙江宁波市公安局鄞州分局某派出所民警詹某擅自利用公安信息系统帮人查询住址等个人信息，导致女子赵某被前男友况某找上门并杀死在暂住地内;[10]2018年浙江台州黄岩区民警池某对局负责人定位跟踪、安装GPS非法获取行踪轨迹。[11]这些热点案件一定程度上证实了敏感个人信息的重要性和危害性不容小觑。

划分公民个人信息敏感层级最朴素的理由是敏感个人信息比普通个人信息更为重要，[12]个人信息权是一种综合性权利，其所具有的复杂属性决定了内容的多元化，涵括“基于人身属性的可识别性身份信息、基于财产属性的财产类和账号类信息、相关法益具有关联性的其他信息”。[13]不同类别的个人信息所承载的人格利益和经济价值是不同的，一般认为个人信息保护的法律基础源自《世界人权宣言》第十二条“任何人的私生活、家庭、住宅和通信不得任意干涉，他的荣誉和名誉不得加以攻击。人人有权享受法律保护，以免受这种干涉或攻击”。“可识别性”作为认定个人信息的基础理论，旨在凭借可识别的信息识别出特定个体，将之从一般个体中抽离。保护个人信息，事实上就是保护信息指向的主体利益，保护主体享有自由意志、不受侵犯并被平等对待的权利。可见，越是具备单独可识别性、与个体的身份高度绑定的个人信息，越是需要刑法予以高度重视与保护;越是难以单独识别、需要信息技术加以辅助挖掘的个人信息，反而可以使之具备一定合理利用的法律空间，在实现利益平衡的基础上建立适度保护规则。因此，对于公民个人信息，应当予以区别对待，不能为了信息利用而置信息保护于不顾。个人信息保护实际上就是如何权衡个人权益维护与信息利用两大法律价值目标的问题。[14]敏感个人信息与公民个人人身财产安全联系紧密，关涉人的核心利益，是人权理论在信息时代的具体表征，不宜过于强调其物权属性和经济功能，应当秉持消极保护的理念，将个人信息尊严与安全置于首要保护位阶;就普通个人信息而言，则应当在坚持权利主体自决原则的基础上，适当考虑个人信息的物权属性和经济价值，兼顾个人信息尊严与自由，平衡信息保护与利用。[15]

四、《解释》中公民个人信息敏感层级划分的具体调整

（一）增设生物识别信息、医疗健康信息和不满十四周岁未成年人的个人信息为《解释》中的高度敏感个人信息

生物识别信息是指面部特征、指纹、声纹、掌纹、虹膜、耳廓、个人基因等可识别自然人生理特性与行为特征的信息。[16]遗传性、唯一性、不变性与可自动识别等都是生物识别信息所独有的特性，表征了明显的人身法益属性，与个人财产安全也联系密切。现实生活中，指纹的运用较为广泛，指纹解锁、指纹付款、指纹签到等方便了人们的生活，但是不法分子通过制作指纹套就能轻松应对指纹识别系统;人脸识别也已普及，“刷脸”开机、开门、付款、打卡、上车、签证等随处可见，人脸看似独一无二，然而不法分子通过制作3D画像就可以简单破解。显然，生物识别信息与个人法益之间关联紧密，一旦被窃取、篡改或是非法利用，可能导致的法益损害后果是难以预料的。

医疗健康信息包括与健康有关的一切数据信息，“其来自于信息主体的身体部位以及身体物质的测试或检查，披露了个人生理与心理的健康状况，具有极强的指向性与可识别性”。[17]医疗健康信息往往涉及个人身体状况、精神状态等方面，与个人隐私联系极为密切。医疗健康信息的修改、滥用、丢失或是未经授权的收集，不仅可能对信息主体包括隐私利益在内的个人信息权益造成损害，还可能侵害其人格尊严，甚至会给信息主体的社会评价、经济利益等带来不利后果。医疗健康信息可能来自疾控中心、体检中心、医院，也可能来自保险公司、消费网站或药店等。[18]信息时代任何零星琐碎的、原本不具备单独可识别性的信息片段，通过与其他信息的结合就可能实现对于个人的“形塑”。因此，个人的医疗信息和健康记录片段应纳入医疗健康信息范畴。医疗健康信息的采集和利用与个体人格尊严和自由密不可分，承载着明显的人格利益。同时，医疗健康信息所承载的经济价值向经济利益的转变也存在较大的期待可能性，因为个人信息所具有的财产属性来自其对个体特征的识别性，其经济价值就是源自其商品化的人格特征。可见，个人信息本质上仍属于人格权的客体。随着信息技术的迅猛发展，医疗健康信息的载体日趋电子化，我国逐步对个人接受医疗服务、参与健康活动进行电子化记录，电子化存储日益成为医疗健康信息的主流信息载体。目前，我国法律规范并未就医疗健康信息形成统一法律术语，急需对其制定特别的保护规则。

不满十四周岁未成年人的个人信息是《个人信息保护法》明确列举的公民个人信息之一，《规范》和《儿童个人信息网络保护规定》中也有明文规定。《2019年全国未成年人互联网使用情况研究报告》数据显示，2019年我国未成年网民规模为1.75亿，未成年人互联网普及率高达93.1%，学龄前未成年人触网比例达到32.9%，这对未成年人网络个人信息保护提出了更高要求。虽然《民法典》《个人信息保护法》《规范》《指南》等法律规范中规定了处理未成年人个人信息须征得其监护人同意的保护规则，但都是原则性规定，缺少相应的实施细则，可操作性不强。未满十四周岁的儿童尚处于被监护和接受义务教育的阶段，属于弱势群体。因此，未成年人网络行为中的信息泄露风险和危害后果的严重程度都远远高于成年人。同时，基于未成年人与家庭之间的附随性，个体信息的泄露通常会带来家庭权益受损的连带效应，因而有必要对其设定更为严格的信息保护义务。

（二）列举身份证件号码、家庭住址和犯罪记录为《解释》中的一般敏感个人信息

《解释》和《个人信息保护法》没有將身份证件号码、家庭住址和犯罪记录规定为敏感个人信息，但上述三类信息与公民个人的人身财产安全关联密切，具有较高的可识别性，有必要纳入敏感个人信息位阶予以特别保护。这三类信息的泄露或是滥用较之于高度敏感个人信息而言，给公民人身财产安全带来的损害风险和信息本身的直接可识别性相对较弱，因此，在一般敏感个人信息中作出列举即可，理由如下：

其一，身份证件号码是国家法定的、唯一的、终身不变的证明公民个人身份的重要标识，日常活动中都需要出示身份证件号码以核实个人身份。公民的身份证件号码蕴含了大量个人信息，包含公民的常住户口所在区县、出生年月日、性别等。银行、电信、不动产权等个人核心财产登记都与身份证件号码绑定，政府签发的社保号、个人纳税号、机动车驾驶证号等也是直接采用身份证件号码，一旦掌握了某一公民的身份证件号码，就容易查询其财产状况、学历学籍等私密信息，还可能引发经济纠纷、散布违法信息，甚至实施犯罪活动。

其二，家庭住址是个人最为私密的基本信息之一，具有隐秘性和一一对应性，与私人生活安宁、人身和财产安全密切相关。人们的日常生活起居基本上都在这一特定区域内进行。家庭住址一旦遭到不法泄露和利用，很可能引发盗窃、抢劫、绑架等恶性案件。事实上，随着网购、网约车、外卖、快递等行业的快速发展，多数服务行业都不可避免地需要获取个人准确的家庭住址以便于提供服务，这使得家庭住址成为最容易泄露的信息之一。正是由于家庭住址兼具高法益性和易获取性，故需要提高保护标准，将其列入敏感个人信息序列。

其三，犯罪记录通常是指有过刑事犯罪前科的档案记录，记录对象是被法院判处过刑罚的犯罪分子的相关信息，设立初衷在于为司法机关对刑满释放人员的监督、管理与查询工作提供便利。《中华人民共和国刑事诉讼法》考虑到未成年人这一群体的特殊性，为确保其能够顺利回归社会和预防再犯罪，增设了未成年人犯罪记录封存制度，其第二百八十六条规定，被判处五年以下有期徒刑未成年人的犯罪记录，应当予以封存，但在实施过程中存有分歧，具体如何封存亦缺乏明确的细则。事实上，无论未成年人还是成年人，犯罪记录之于二者都是个人的私密信息，应当赋予更高程度的保护。新闻中不乏当事人因犯罪记录被非法泄露而遭受孤立和歧视，继而失学或失业，甚至走上再犯罪道路的报道。因此，笔者建议将犯罪记录列入一般敏感个人信息，加强保护力度。

①目前，身份证件号码还被广泛运用到诈骗罪、洗钱罪、信用卡诈骗罪等犯罪中。通过身份证件号码，不仅可以识别特定个体，还可以借此将个人的教育、存款、医疗、出行、住宿、房产等普通和敏感个人信息链接起来，全方面展示个体生活。身份证件号码一旦被非法利用，容易侵犯个人隐私和安全，甚至为实施一些违法犯罪行为提供便利。参见程啸：《侵权责任法》，法律出版社2015年版。

①2016年章某某等人在非法获取学生信息后，冒充学校及教育局工作人员，通过各种手段骗财骗钱，不仅侵犯了学生及其家长的个人信息和财产安全，也破坏了教育系统声誉和学校正常教学秩序，危害后果十分严重。详见最高人民检察院于2017年5月16日发布的6起侵犯公民个人信息犯罪典型案例之章某某等诈骗、侵犯公民个人信息案。

【参考文献】

[1]张勇.公民个人信息刑法保护的碎片化与体系解释[J].社会科学辑刊，2018，（2）：90.

[2]周加海，邹涛，喻海松.关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释的理解与适用[J].人民司法，2017，（19）：34.

[3]男子买到“第三者”个人信息找上门，血案牵出特大倒卖公民信息交易网[EB/OL].扬子晚报网，https：//www.yangtse.com/zncontent/771860.html.

[4]高楚南.刑法视野下公民个人信息法益重析及范围扩充[J].中国刑事法杂志，2019，（2）：87.

[5]李怀胜.公民个人信息保护的刑法扩展路径及策略转变[J].江淮论坛，2020，（3）：120.

[6]王利明.人格权关乎每个人的人格尊严[N].北京日报，2020-04-20（16）.

[7]谢琳，王漩.我国个人敏感信息的内涵与外延[J].电子知识产权，2020，（9）：7.

[8]济南20万婴幼儿信息遭泄露卖家称来自“疫苗方面”[EB/OL].观察者网，https：//www.guancha.cn/society/2016_05_22_356237_1.shtml.

[9]黑客窃取济南20万孩童信息[EB/OL].凤凰财经，https：//finance.ifeng.com/a/20160504/14361205_0.shtml.

[10]“民警幫人查住址酿悲剧”敲响的警钟[EB/OL].人民网，http：//opinion.people.com.cn/n1/2018/0509/c1003-29973369.html.

[11]台州“偷拍上司通奸”民警犯侵犯个人信息罪，一审被判两年[EB/OL].环球网，https：//society.huanqiu.com/article/9CaKrnKgpha.

[12]田野，张晨辉.论敏感个人信息的法律保护[J].河南社会科学，2019，（7）：43.

[13]于冲.侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界[J].政治与法律，2018，（4）：21.

[14]蔡一博.《民法典》实施下个人信息的条款理解与司法应对[J].法律适用，2021，（3）：91.

[15]钱继磊.个人信息权作为新兴权利之法理反思与证成[J].北京行政学院学报，2020，（4）：116.

[16]Nguyen F Q.The Standard for Biometric Data Protection[J].Journal of Law&Cyber Warfare，2018，7（1）：63.

[17]聂紫薇.大数据时代劳动者医疗健康信息的定性与法律保护[J].长江论坛，2020，（2）：66.

[18]童峰，张小红，刘金华.大数据时代个人健康医疗信息的立法保护[J].情报资料工作，2020，（3）：108.

Adjustment of Information Sensitive Level Division in Judicial Interpretation of Crime of Infringement of Citizens' Personal Information

Zhang Guixiang

Abstract：The division of the sensitive level of citizens'personal information determined by the judicial interpretation of the crime of infringing citizens'personal information is relatively reasonable，but with the continuous development of information technology，the limitations of judicial interpretation are gradually highlighted.The newly enacted Personal Information Protection Law of the People's Republic of China also puts forward new requirements for its application.Therefore，according to the distance between personal information and“identifiability”and the degree of association with citizens'personal and property safety，the following adjustments can be made to the classification of citizens'personal information sensitive levels in judicial interpretations：adding biometric information，medical health information and personal information of minors under the age of 14 are highly sensitive personal information.Identify identity document numbers，family addresses and criminal records as general sensitive personal information.

Key words：the crime of infringing citizens'personal information;sensitive level division;identifiability