刑法修正案（九）修正了刑法二百五十三条之一的规定，弥补了侵犯个人信息罪的立法漏洞，符合科学立法原则。但在司法实践中依然反映出一些问题，例如对于侵犯个人信息犯罪一般根据侵犯个人信息的种类和数量来认定情节严重，对于个人信息的真实性问题则缺乏关注。这在司法实践中可能更具操作性，因为本罪所侵犯的是不特定多数人的个人信息并且数量巨大，如果逐一认定个人信息是否真实则会消耗过多的司法资源。基于此种考虑，司法机关对个人信息真实性不予直接举证证实。笔者从体系解释、认识错误、法益等角度出发，认为本罪的犯罪对象应当是真实的个人信息；从实体法与程序法的关系出发，认为公诉机关应当举证证明个人信息是真实的个人信息。

　　从体系解释上看，司法实践中对于其他侵犯个人信息的犯罪均会认定信息的真实性。以窃取、收买、非法提供信用卡信息罪为例，司法机关需证明所窃取、收买、提供的信用卡信息足以使他人以信用卡持卡人名义进行交易。因此，司法机关一般会联系银行的信用卡中心、VISA办事处出具《证明》或者联系司法鉴定中心出具《鉴定意见》，以证明涉案信用卡信息是真实有效的。同理，侵犯个人信息罪也应当认定个人信息的真实性。

　　从刑法与其他部门法的关系上看，个人信息可以参照其他部门法进行认定。根据网络安全法规定，公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。据此，个人信息为“能够识别自然人个人身份”的信息，而虚假的个人信息不可能识别自然人身份，因此个人信息必须是真实的信息。

　　从认识错误上看，我国刑法强调主客观相统一原则，行为必须具备犯罪构成所要求的全部构成要件要素。对于侵犯个人信息罪而言，行为人必须具备侵犯个人信息的故意并且实施了侵犯个人信息的行为。当犯罪对象为虚假的个人信息，即使行为人具有侵犯个人信息的故意，但并没有侵犯个人信息的行为，因为虚假的个人信息仅仅是一个“符号”，并不具备个人信息应当具有的可识别性特征。

　　从法益角度上看，犯罪是严重侵犯法益的行为，侵犯个人信息罪规定在刑法第四章“侵犯公民人身权利、民主权利罪”之中，而我国刑法章节根据犯罪客体（法益）分门别类，犯罪客体为复杂客体时，按照主要客体进行分类。因此可知，本罪主要客体为侵犯公民人身权利。如果出售、提供或者获取的公民个人信息为虚假的个人信息，则不侵犯本罪所保护的法益，不能认定构成本罪。

　　从此罪与彼罪的界限上看，侵犯个人信息罪与诈骗罪的界限是信息是否真实。如果行为人出售、提供或者获取的个人信息是真实的个人信息，则构成侵犯个人信息罪；如果出售、提供或者获取的个人信息为虚假的，则符合诈骗罪“编造事实，隐瞒真相”的行为要件，可以按诈骗罪定罪处罚。

　　侵犯个人信息数量巨大不能成为不予认定真实性的理由。第一，刑事诉讼法要求定罪量刑的证据达到确实充分的程度，不能因为取证困难而降低证明的标准。第二，其他有关侵犯个人信息的犯罪虽然数量巨大，但依然要予以证明。例如上海市徐汇区人民法院(2011)徐刑初字第977号刑事判决书中，被告人窃取了9200条信用卡信息但鉴定只有“79条信用卡磁条信息系有效的VISA信用卡信息”，因此仅认定79条。第三，根据罪刑法定原则，定罪必须具备刑法条文规定的全部构成要件要素，而这些构成要件要素均需通过证据证实，不能通过程序上“不利于被告的推定”来折损实体法的价值。

　　（作者单位：武汉大学法学院）