2017年5月9日下午，最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》正式颁发。这确是一部具有里程碑式意义的法律，也是互联网公司关于个人信息、网络安全及数据的合规大法。一定要重视，否则会出事。

内容实在太多，个人认为量刑虽然是最大亮点，但其中最为核心的和细思极恐的，还是在于入罪的门槛——关于个人信息的界定。所以吹毛求疵写上一段。

「两高新解」增加了「活动情况」这一内涵，即类如自然人的「行踪轨迹」也界定为一种个人信息，而不仅仅只是个人隐私，这就把问题搞大而且搞复杂了。

个人对此是持有保留意见的，毕竟个人信息的认定标准且唯一标准应当是「能单独或结合后识别特定人」，但例如GPS跟踪轨迹，它到底如何能指向一个特定人呢？因为，侵犯个人信息的行为逻辑必须是「通过GPS的集合，能让大家知道这个GPS勾勒的是其实是某一个特定人，例如大家通过GPS一眼就知道这是祁同伟走出来的轨迹」，而决不能是「某个特定人例如候亮平，走啊走走啊走，然后他的GPS行迹被人记录下来，并被售卖了」。后者所体现的行踪轨迹虽然符合两高新解的列举内容，但却不符合网络安全法等关于个人信息的定义。

为什么这么较真？假设祁同伟通过手中的权力，把50位领导「或该市大街上随意50个人」某天的行动轨迹（文字表述的轨迹，或电子地图式轨迹）都出售给了小赵，但只说是人的行动轨迹，却没说是「谁」的轨迹，这算是侵犯个人信息罪么？因为这些行动轨迹单独都无法指向某个「特定人」。

但是根据两高新解中「非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的」这样的条款描述，并结合自己对公安部门办事的普遍性思路，个人对实际执法是其实是持悲观态度的，希望这样的强制入罪以后不会发生，否则就会偏离个人信息保护的本义。

除个GPS技术外，网络cookie或网络信标臭虫技术，其实也是能给用户画像，并反映出个人的「行踪轨迹」的，它能把个人网页浏览记录保存下来，并和个人网络账号「例如某特定浏览器等」一一结合，从而识别特定「虚拟人」的特定活动。这类情况下的「行踪轨迹」似科更接近「个人信息」的定义。

之所以要挑起这个话题，还得从中国隐私权纠纷第一案说起。该案中，一二审法院作出了截然相反的判决。南京中院二审的终审判决，对「利用cookie技术收集的用户上网活动轨迹信息是不是个人信息」作出了明确的回答——上网轨迹不属于个人信息。

理由如下：1.百度网讯公司在提供个性化推荐服务中运用网络技术收集、利用的是未能与网络用户个人身份对应识别的数据信息，该数据信息的匿名化特征不符合“个人信息”的可识别性要求。2.网络用户通过使用搜索引擎形成的检索关键词记录，虽然反映了网络用户的网络活动轨迹及上网偏好，具有隐私属性，但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离，便无法确定具体的信息归属主体，不再属于个人信息范畴。3.百度网讯公司个性化推荐服务收集和推送信息的终端是浏览器，没有定向识别使用该浏览器的网络用户身份。虽然朱烨因长期固定使用同一浏览器，感觉自己的网络活动轨迹和上网偏好被百度网讯公司收集利用，但事实上百度网讯公司在提供个性化推荐服务中没有且无必要将搜索关键词记录和朱烨的个人身份信息联系起来。

这里就涉及到网络「虚拟人」的问题，法院判决书中第3点理由的意思指，运用cookie技术在推荐广告时，它推送的对象其实不是某个账号所对应的真实自然人，而仅仅是某个软件或设备，例如当祁同伟使用其在家里的台式电脑，并使用该电脑上的火狐浏览器浏览袜子时，cookie技术下次就会向这台电脑的这个浏览器「即虚拟人」再行推送类似商品，而不会向祁同伟这个人的其它设备推送。因为cookie技术仍是一种本地化技术实现。

但若cookie技术通过祁同伟登陆的火狐浏览器帐户同一性认定，跨终端平台推送广告，似乎就需要和个人身份「账号密码」相联系了，这点又有不同，这种功能在两高新解下就可能变成灰色地带了。

所以，如果两高新解一定要把行踪轨迹「如cookie技术」认定为就是一种个人信息，一不符合立法，二也和司法实践是相矛盾的。

2016年6月底，谷歌把2007年曾向用户承诺的隐私条款不动声色地拿掉了：“除非用户同意，谷歌不会将下属广告公司DoubleClick收集的 cookie信息，和谷歌收集的其它个人身份信息结合起来使用”。说明这种cookie技术的效果还将继续，而且也会发挥越来越大的作用。

这里一定要搞清楚的是「个人信息」和「个人隐私」是有区别的，不能完全等同。个人信息包括部分个人隐私，但个人隐私不一定就是个人信息；个人隐私除了用户个人信息外还包含私人活动、私有领域例。个人隐私和个人信息的边界需要进一步界定。

根据王利明教授的观点，个人隐私和个人信息的区别还是非常大的。主要是三点，大意如下：

第一，隐私权是一种精神性人格权，财产价值不突出。而个人信息性质上属于一种集人格利益与财产利益于一体的综合性权利，对于一些名人的个人信息而言，甚至主要体现为财产价值。第二，隐私权是一种消极的、防御性的权利，只能在遭受侵害的情况下请求他人排除妨害、赔偿损失等。而个人信息，权利人除了被动防御第三人的侵害之外，还可以对其进行积极利用，如出售。第三，隐私不限于信息的形态，它还可以以个人活动、个人私生活等方式体现，且并不需要记载下来。而个人信息必须以固定化的信息方式表现出来，因此，个人信息通常需要记载下来，或者以数字化的形式表现出来。也就是说，个人信息概念侧重于“识别”，即通过个人信息将个人“识别出来”。

以往，侵犯个人隐私一般很难上升到刑事犯罪，主要由侵权责任法进行私力求济。而侵犯个人信息却不同，不论是治安管理，还是现在的刑事犯罪都可以寻求帮助，在民法总则出来后，个人更是可以通过私力救济来保护个人信息了。这也足说明在保护法益上，个人信息的要显得更加重要一些。也正是因为此，我们更要注意区别两者，既不能把侵犯个人隐私的事，用刑法加以打击，也不能把侵犯个人信息的犯罪，不予受理而推诿扯皮。

在刑事辩护中，公安机关所认定的每一条所谓「个人信息」或数据，都值得掰开了揉碎了好好匹配研究，每一条信息都必须是能「指向一个特定人」才视为有效信息，这是定罪的前提，否则就变成纯粹的迎合民愤的眉毛胡子一把抓了。这也诚如两高新解中所述的：「经过处理无法识别特定个人且不能复原的除外」。

对于互联网企业来说，随着网络安全法和两高新解等出台，个人信息保护要求更高了，若网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。

所以不要光拿信息，而忽视了配套网络安全技术保护，否则只能是一开始就是在通往监狱的路上溜达。