文进宝，肖冬梅

0 引言

随着位置服务(Location-Based Service)[1]的兴起和发展，个人行踪轨迹信息的利用日益广泛。移动设备通过收集、分析个人行踪轨迹信息，对用户进行画像，实现千人千面的推送。疫情期间，追溯确诊者、疑似者、密切接触者等重点人群的行踪轨迹是疫情防控的重要环节。随着行踪轨迹信息的广泛利用，个人信息泄露和滥用问题亦日益凸显。究其原因，主要是因为法律未对行踪轨迹信息的范围作出明确界定。2021年11月1日实施的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)将 “行踪轨迹信息” 纳入敏感个人信息①，但未对其内涵和外延进行界定。有关标准和规范虽有提及行踪轨迹信息的类似概念②，但正式采用 “行踪轨迹信息” 这一表达是在《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)。《个人信息保护法》实施前，仅有《汽车采集数据处理安全指南》对行踪轨迹的下位概念 “位置轨迹” 进行界定。这不仅会使司法机关在进行行踪轨迹信息认定时缺乏明确的法律依据，也会使图书馆等义务主体面临合规困境。

值得注意的是，我国司法实践对行踪轨迹信息的认定不一。譬如朱荣伟、张顺侵犯公民个人信息罪一案③中，法院认为 “滴滴出行记录” 不能单独识别个人位置，不能认定为行踪轨迹信息；而在曾奕等侵犯公民个人信息一案④中，法院认为 “滴滴出行记录” 可认定为 “行踪轨迹信息” 。学界对行踪轨迹信息的界定也未达成共识。在《解释》出台前，一些学者对行踪轨迹信息的类似概念 “地理位置信息” 有界定[2-4]。由于《解释》使用 “行踪轨迹信息” 称谓，此后的相关研究聚焦于 “行踪轨迹信息” 的界定[5-7]，但争议颇大。可见，对这一概念，我国法律未作界定，司法认定标准不一，学界争议尚存。本文旨在通过解构我国现有相关规定，考察域外立法例，结合司法实践及学界观点，对行踪轨迹信息进行明确界定，以期为相关法律完善和司法解释出台提供参考。

1 我国行踪轨迹信息保护范围及其认定困境

1.1 行踪轨迹信息界定现状

我国法律及司法解释均未界定行踪轨迹信息。法律层面，《中华人民共和国民法典》(以下简称《民法典》)第1034条⑤将 “行踪信息” 纳入个人信息范围，但未界定行踪信息。《个人信息保护法》第28条将 “行踪轨迹信息” 纳入敏感个人信息，但也未对之作界定。司法解释层面，2017年《解释》⑥第5条规定非法获取、出售或者提供踪轨迹信息50条以上的应当认定为刑法第253条之一规定的 “情节严重” ，但《解释》也未对行踪轨迹信息作出规定。

“实时地理位置” “位置轨迹数据” “个人位置信息” 等类似概念的界定散见于相关标准和规范性文件(见表1)。

表1 行踪轨迹信息相关标准和规范

《网络安全标准实践指南——网络数据分类分级指引》(以下简称《指引》)规定行踪轨迹是基于实时地理位置形成的个人行踪和行程信息。《指引》采用 “实时地理位置” 这一表达意在强调行踪轨迹信息的 “实时” 要素，但列举类型中提到的 “车辆轨迹信息” “出入境记录” 不仅包括当下的实时坐标信息，还包括过去时间已经完成的车辆轨迹信息或出入境记录信息。对过去时间的历史轨迹信息是否属于行踪轨迹，《指引》未作说明。

《汽车采集数据处理安全指南》(以下简称《指南》)对行踪轨迹的下位概念 “位置轨迹数据” 有界定。根据《指南》第4条， “位置轨迹数据” 是基于卫星定位、通信网络等各种方式获取的汽车定位和途径路径相关的数据。但《指南》主要适用于汽车行业数据采集。《信息安全技术 个人信息安全规范》(以下简称《规范》)对 “个人位置信息” 有界定，附录指出个人位置信息包括行踪轨迹、精准定位信息、住宿信息、经纬度等，但未对 “行踪轨迹” 概念作单独界定。

1.2 司法适用和义务主体合规困境

由于我国法律及司法解释均未界定行踪轨迹信息，相关标准和规范性文件虽然对行踪轨迹及其下位概念 “位置轨迹” 进行了界定，但因适用范围和对象受限，使得司法机关的法律适用以及义务主体合规面临困境。

首先，行踪轨迹信息无明确界定，易扩大法官自由裁量权，导致同案不同判现象。我国司法实践中，不同案例对行踪轨迹信息曾出现截然不同的认定，譬如在朱荣伟、张顺侵犯公民个人信息罪一案中，法院认为滴滴出行记录虽涉及公民个人的轨迹，但上述单个信息反映的内容需结合其他信息及查询者的目的使用，滴滴出行记录本身不能单独识别个人位置，故不能认定为行踪轨迹信息；而在曾奕等侵犯公民个人信息一案中，法院认为被告通过非法获取滴滴出行记录谋取了经济利益，滴滴出行记录可认定为行踪轨迹信息。在何光虹、戴亚东侵犯公民个人信息罪一案⑦和高书强、罗浩波侵犯公民个人信息罪一案⑧中，法院未对行踪轨迹信息的范围作论证，而直接以行踪轨迹表述。行踪轨迹认定乱象的产生主要是由于我国法律未对行踪轨迹信息范围作明确界定。过多的自由裁量将会影响法律的稳定性，因此应当合理约束法官的自由裁量权，避免规则的滥用[8]。保持法律的稳定性和连续性对民事主体的权利保护至关重要。我国《民法典》《个人信息保护法》虽对行踪轨迹信息有提及，但均未对范围作出界定，使得法官认定行踪轨迹信息时自由裁判空间过大，同案不同判现象屡有发生，这显然不利于权利主体的权利保护。

其次，明确行踪轨迹信息内涵和外延亦是义务主体合规之前提。《中华人民共和国网络安全法》《中华人民共和国数据安全法》《个人信息保护法》不仅建立了个人信息和数据保护的基本框架，且均明确要求义务主体建立个人信息或数据的合规制度，《个人信息保护法》更要求大型互联网平台、业务类型复杂的企业等义务主体应当按照国家规定建立健全个人信息合规制度体系。可见，个人信息合规体系的建立和完善已成为义务主体一项重要法律义务[9]。《个人信息保护法》将 “行踪轨迹信息” 纳入敏感个人信息，并规定了敏感个人信息的处理要求。在《个人信息保护法》规定的合规义务中， “告知-同意” 义务是十分重要的一项。处理敏感个人信息应当取得个人的单独同意，并向个人明示处理的目的、方式和范围。在涉及个人信息会被用于用户画像或个性化展示的情况下，则应在隐私政策中征得用户的同意，充分保障用户知情权。而 “告知-同意” 义务的履行就依赖于信息范围和种类的明确性。 “行踪轨迹信息” 界定的缺失，使得义务主体在履行 “告知-同意” 义务时缺乏明确指引。据《中国消费者协会2018年App个人信息泄露情况调查报告》显示，App过度索权、超范围收集个人信息等现象明显，其中读取位置信息和访问联系人权限是用户安装和使用手机App时最为常见的情况[10]。2018年谷歌被曝非法追踪用户位置信息[11]，近来滴滴打车也因涉嫌违规收集包括用户行踪轨迹信息在内的个人信息被强制下架。

科学合理界定行踪轨迹信息的内涵和外延，对明确司法机关认定标准、指引图书馆等义务主体合规义务的履行具有重要意义。

2 域外行踪轨迹信息的立法例考察

2.1 行踪轨迹信息的抽象概念考察

考察欧盟、英国、美国以及韩国立法例，法律规定中未使用 “行踪轨迹信息” 这一表达，但有类似概念。

欧盟《隐私与电子通信指令》第2条规定， “位置数据” (Location Data)指通过电子通信网络或电子通信服务处理得到的可表明用户终端设备所在地理位置的数据[12]。英国和欧盟的规定总体一致，且对位置数据种类有具体规定。根据英国《隐私与电子通信条例》， “位置数据” 包括终端设备的纬度经度或高度、用户的旅行方向或位置信息的记录时间有关的数据[13]。

美国对行踪轨迹信息类似概念的界定散见于各州和联邦的法案。州层面，《加州消费者隐私法案》(CCPA)是美国第一个全面的隐私法案，该法将 “精准地理位置” (The Precise Geolocation)数据纳入敏感个人信息，并规定精准地理位置是指用于定位消费者在1，850英尺半径范围内地理位置的数据[14]。《加州隐私权法案》(CPRA)[15]、《华盛顿隐私法案》(WPA)以及弗吉尼亚州《消费者数据保护法案》(CDPA)的规定与CCPA总体保持一致，仅在半径范围上存在差异，CDPA规定 “精准地理位置数据” (The Precise Geolocation Data)是指通过技术手段获得的(包括但不限于全球定位系统水平的经纬度坐标或其他机制)，能够直接识别自然人在1，750英尺半径范围的具体位置的信息，但不包括通信内容或供公用事业使用的数据[16]。联邦层面，《消费者数据隐私安全法案》(Consumer DataPrivacyand SecurityActof2020)将 “精准地理位置” 规定为通过技术手段产生的，能够比邮政编码、街道、城镇或城市水平更精确地确定个人过去或当前实际物理位置的信息[17]；《消费者在线隐私权利法案》(COPRA)、《美国消费者数据隐私法案》和《数据保护法案》亦强调位置数据包括可以定位到个人过去或当前所在位置的数据。

韩国重视位置信息保护并对此单独立法，2016年制定《位置信息保护与使用法》对位置信息(Location Information)和个人位置信息(Personal Location Information)作了区分界定。根据该法第2条，位置信息指通过电信通讯设备和电信线路设备收集的关于移动物体或个人在特定时间所在位置的信息。个人位置信息则特指涉及特定个人位置的信息，包括容易与其他信息结合追踪某一特定个人位置的信息(即使该信息单独并不足以识别个人位置)[18]。从规定可知，韩国所规定的个人位置信息不仅包括可以直接定位到特定个人位置的信息，还包括与其他信息结合可以间接识别到个人位置的信息，《位置信息保护与使用法》中的 “结合” 二字，事实上扩大了个人位置信息的保护范围。

2.2 行踪轨迹信息的界定方式考察

考察欧盟、英国、美国和韩国立法例，定义式，即仅给出行踪轨迹类个人信息的概念，是对行踪轨迹信息类似概念采取的主流界定方式(见表2)。除定义式外，还存在定义+列举、定义+排除两种界定方式。定义+列举，即在给出行踪轨迹类个人信息概念的基础上，进一步对其种类进行列举。英国《隐私与电子通信条例》就采用该种方式对 “位置数据” 进行界定。定义+排除，即在给出行踪轨迹类个人信息概念的基础上，又给出其排除范围，以明确行踪轨迹类个人信息的界限。如美国弗吉尼亚州《消费者数据保护法案》规定 “精准地理位置数据” 不包括通信内容或供公用事业使用的数据，《华盛顿隐私法案》规定 “特定地理位置数据” 不包括通信内容[19]。

表2 域外国家和地区行踪轨迹信息界定方式

2.3 域外立法例的可鉴之处

欧盟、英国、美国和韩国对行踪轨迹信息类似概念的规定，主要涵盖 “技术手段” “物理位置” “直接识别” “时间” 四要素。

欧盟、英国、美国和韩国对行踪轨迹信息类似概念的界定均体现 “技术手段” 这一要素。其中欧盟和英国规定， “位置数据” 是通过电子通信网络或由电子通信服务处理获得。美国弗吉尼亚州《消费者数据保护法案》规定 “精准地理位置数据” 是通过技术手段获得，包括但不限于全球定位系统水平的经纬度坐标或其他机制。韩国规定 “位置信息” 是通过电信通讯设备和电信线路设备收集得到的数据。美国联邦层面对 “精准地理位置” 的界定还强调 “物理位置” 要素。《消费者数据隐私安全法案》将 “精准地理位置” 规定为通过技术手段产生的，能够比邮政编码、街道、城镇或城市水平更精确地确定个人过去或当前实际物理位置的信息。

在四要素中，识别性要素和时间要素在域外立法例中规定不一。就信息的识别性，美国州层面强调 “精准地理位置数据” 的 “直接识别” 要素。例如，弗吉尼亚州《消费者数据保护法案》规定 “精准地理位置数据” 是能够直接识别自然人具体位置的信息。这意味着需结合其他个人信息才能识别到个人位置的信息不属于 “精准地理位置数据” 。韩国《位置信息保护与使用法》规定 “个人位置信息” 还包括结合其他个人信息可识别到个人位置的信息，这意味着能够间接识别个人位置的信息也属于个人位置信息。该规定事实上扩大了位置信息的保护范围，削弱了法律的明确性。相比之下，美国立法中对 “直接识别” 这一要素的规定更值得我国借鉴。就 “时间” 这一要素，美国与英国和韩国的规定亦有不同。美国《消费者数据隐私安全法案》《消费者在线隐私权利法案》《数据保护法案》《美国消费者数据隐私法案》均强调位置数据包括可以定位到个人过去或当前所在位置的数据。而英国和韩国法律规定虽对 “时间” 这一要素有规定，但未说明是否包括过去时间的位置信息。

从时间维度看，行踪轨迹信息不仅包括当下的精准坐标信息[20]，亦包括过去一段时间所对应的历史活动轨迹⑨。我国《个人信息保护法》一审稿和二审稿(见表3)均采用 “个人行踪” 这一表述，相比之下，《个人信息保护法》使用 “行踪轨迹” 这一表达反映出立法者对 “轨迹” 一词的考量。根据文义解释， “行踪” 多指目前停留的地方， “轨迹” 强调一个点在空间移动的全部路径[7]。这意味着无论是当下的坐标信息还是已经完成的历史轨迹都属于行踪轨迹信息。为保持我国法律体系的一致性，行踪轨迹信息的界定可参考美国的规定，把过去时间的历史轨迹也纳入行踪轨迹信息的范围。

表3 《个人信息保护法》一审稿二审稿和《个人信息保护法》对比

从界定方式来看，定义式是域外国家和地区对行踪轨迹信息类似概念采取的主流界定方式。但该界定方式缺乏可操作性，不利于提升司法效率。相比之下， “定义+列举+排除” 的界定方式具有较强的可操作性，值得我国借鉴。我国界定行踪轨迹信息范围时，可借鉴域外国家和地区的有关规定，以 “时间” “物理位置” “直接识别” “技术手段” 四要素为核心界定行踪轨迹信息，以技术手段为分类依据进行列举，再排除需结合其他信息才能识别个人位置的信息。

3 出路——科学合理界定行踪轨迹信息

3.1 界定方式

3.1.1 非穷尽列举

欧盟采用定义式对 “位置数据” 进行界定，而美国州法大都在定义中规定了 “精准地理位置数据” 的半径范围。定义式可为司法实践提供明确的概念指引，但由于缺乏具体种类列举，法官判案过程仍需依赖对定义的主观解释，可操作性不强。英国采用定义+穷尽列举式的界定方式明确 “位置数据” 的种类和范围，相比定义式具有更高的可操作性，可合理约束法官的自由裁量权，提升司法效率。但伴随信息定位技术的出现，行踪轨迹信息的种类在不断增加，穷尽列举作为一种先验主义方法，存在滞后性问题，无法适应技术的发展。相比之下，定义+非穷尽列举式不仅能明确行踪轨迹信息的具体种类，为司法适用和义务主体合规提供明确指引，还能克服穷尽列举式的滞后性弊端，为科技发展留下灵活适用空间，值得我国借鉴。

我国行踪轨迹信息有关刑事案件中，法院多对行踪轨迹信息作限缩解释。譬如在朱荣伟、张顺侵犯公民个人信息罪，叶莞龙、梁道盟、何高山等侵犯公民个人信息罪⑨以及羊汉统诈骗罪⑩等案件中，法院认为行踪轨迹信息应理解为GPS定位、车辆轨迹信息等。但该解释不能直接适用于民事领域。刑法以惩罚犯罪为切入点，保护的是个人行踪轨迹信息承载的个人生命权、身体权、健康权等人格利益[21]，故刑事领域行踪轨迹信息的范围应作限缩解释。而个人信息民事保护的意旨则与此不同，其是对由人权发展而来的人格尊严和人身自由等相关人格利益进行保护。在规制个人信息流转的整个过程中，需要平衡个人信息权利和整个社会信息有序使用之间的关系[22]。民事领域行踪轨迹信息的范围应大于刑事领域，不能仅将GPS信息和车辆轨迹认定为行踪轨迹信息。此外，随着新的定位手段出现，行踪轨迹信息的种类在增加。行踪轨迹信息的界定，需为技术发展留有一定空间。

3.1.2 列举类型：以技术手段为分类依据

位置服务的实现依赖行踪轨迹信息的获取，GPS全球定位系统生成的经纬度标签是获取行踪轨迹信息的公认标准[3]。行踪轨迹信息获取技术除GPS全球定位系统，还包括WiFi定位、基站定位及我国自主研发的北斗卫星定位等，这在产业及学界的有关研究中已基本达成一致[3，21，23]。GPS定位精准度高，WiFi定位主要应用于室内精准定位[24]，每种定位方式精准度不同，适用不同场合[25]。行踪轨迹信息的表现形式多样，包括经纬度、出行记录、车辆轨迹等。随着位置服务技术的发展，行踪轨迹信息的载体和表现形式还在不断发生变化，要对其具体种类进行列举显然存在困难。位置服务功能的实现依赖行踪轨迹信息的获取，可以技术手段为分类依据划分行踪轨迹信息的种类。技术手段包括但不限于GPS定位、北斗卫星定位、WiFi定位、基站定位等。

3.1.3 排除不能直接识别个人位置的信息

除可直接识别个人位置的信息，还存在结合其他个人信息可以识别到个人位置的信息。对于需结合其他个人信息才能识别到个人位置的信息是否可纳入行踪轨迹类个人信息，域外立法例规定不一。韩国将与其他信息结合可识别个人位置的信息纳入位置信息具有局限性。随着云计算和大数据技术的发展，特定身份、医疗健康、金融账户等其他敏感个人信息相互组合分析后，都可能识别到特定个人位置。若将本身并不能识别到特定个人位置的信息也纳入到行踪轨迹信息，行踪轨迹信息保护范围将无明确边界。与韩国的规定不同，美国弗吉尼亚州CDPA强调 “精准地理位置数据” 指能够直接(Directly)识别自然人在1，750英尺半径范围的具体位置的信息。 “直接识别” 排除了结合其他信息可以识别到个人位置的信息，给行踪轨迹信息的保护范围划定了明确边界，提升了法律规定的明确性。

从我国司法实践来看，法院多数观点也认为行踪轨迹信息应指可以直接识别到个人特定位置的信息。譬如在羊汉统诈骗罪一案中，法院认为航班信息虽记载了被害人姓名、航班、航班日期、出发地、到达地等较具体的出行信息要素，但仅凭上述信息内容尚无法直接定位特定自然人的具体实时地理坐标，难以对特定公民的人身安全造成现实威胁。在朱荣伟、张顺侵犯公民个人信息罪一案中，法院认为民航订票、民航离港、铁路售票、出入境、车辆卡口、滴滴打车等信息虽涉及公民个人的轨迹，但上述单个信息反映的内容需结合其他信息及查询者的目的使用，故不宜将上述民航订票、民航离港、铁路售票、出入境、车辆卡口、滴滴打车等信息作为单个的行踪轨迹信息计算。

综上所述， “行踪轨迹” 的形成需基于真实的地理位置，通过间接推断得出的粗略地理位置信息不宜构成行踪轨迹信息的一部分[23]。行踪轨迹信息应指可以直接识别到个人位置的信息，需与其他信息相结合才能识别到个人位置的信息不能 “升级” 认定为行踪轨迹信息，以避免行踪轨迹信息保护范围无限扩张。

3.2 抽象概念：明确特征要素以区别于其他个人信息

3.2.1 行踪轨迹信息的时间要素

时间要素指行踪轨迹信息通常伴随时间变化产生个人或设备位置的变化。换言之，个人在不同的位置，会对应产生不同的行踪轨迹信息。伴随手机等移动设备的广泛使用，行踪轨迹信息的时间要素日益凸显。移动设备通过随即收集行踪轨迹信息可为用户提供即时信息指导。位置数据行业能够根据设备所收集的行踪轨迹信息了解用户在现实世界中的位置变化，从而为用户提供相应位置服务[26]。行踪轨迹信息不仅对应个人的活动，同时也对应个人在不同时间的位置变化。对于个人的单个活动，如果仅记录精准位置信息，未记录对应时间、起止地点，则无法构成 “行踪轨迹”[23]。

从时间维度看，行踪轨迹信息可以是当下的精准坐标信息，例如健身追踪器可实时监测个人位置，以反馈个人运动状况[20]，也可以是个人过去一段时间所对应的历史活动轨迹，如车辆的运行轨迹信息⑨。行踪轨迹信息的时间要素在域外立法中得到体现。韩国《位置信息保护与使用法》对位置信息的定义强调 “特定时间” 。美国《消费者数据隐私安全法案》规定 “精准地理位置” 包括个人过去或当前的实际位置信息。美国学界也认为手机用户的位置信息分为两种：实时(Real-time)位置信息和历史(Historical)位置信息。对实时信息的获取，属于美国相关法律规定的信息拦截行为，因此美国警察一般要先获得搜查令，后者则是存储在手机网络服务商处的手机用户过去的位置信息[4]。

我国有学者认为过去时间对应的历史轨迹不属于行踪轨迹信息，因其即使被犯罪分子获取也无法实时定位到个人，难以造成人身和财产方面的损害[27]。该观点对行踪轨迹信息所保护的法益认知存在片面性。根据《个人信息保护法》，敏感个人信息是一旦泄露或非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。行踪轨迹信息作为敏感个人信息的一类，其保护的法益除个人人身或财产利益之外还有人格尊严。如果个人经常参观某宗教寺庙或同性酒吧，其轨迹虽然已经完成，但是通过该历史轨迹信息，依旧可推测个人宗教信仰或性取向，易对个人隐私或人格尊严造成损害。因此，从法益角度来看，过去时间对应的历史轨迹也应当属于行踪轨迹信息。《个人信息保护法》将 “个人行踪” 修改为 “行踪轨迹” 也表明行踪轨迹信息不仅包括当下的坐标信息，还包括过去时间所对应的历史轨迹信息。

3.2.2 行踪轨迹信息的物理位置要素

在信息网络时代，个人信息具备线下和线上的高度映射性[22]。有学者认为行踪轨迹既存在于现实空间也存在于网络空间[28]，网络用户使用服务的时间地点等信息就是 “上网轨迹” 信息的一种[29]。该观点事实上混淆了网络踪迹信息和行踪轨迹信息。个人网络踪迹信息指个人在网站上的数字浏览足迹[30]，包括用户查询记录、网址浏览记录和Cookie记录等，具有网络空间特征。行踪轨迹信息则指个人所在的实际地理位置信息，对应的是个人在现实生活中的实际物理位置。行踪轨迹信息的物理位置要素在域外立法中有所体现。例如，美国《消费者数据隐私安全法案》对 “精准地理位置” 的界定强调物理位置要素。欧盟GDPR对网络踪迹信息通过Cookie有关规定进行保护，未纳入位置数据的范围。可见，位置数据应当不包括网络行为信息。

在行踪轨迹信息的界定中，颇具争议的是设备IP地址信息。IP地址(Internet Protocol Address)是指互联网协议地址，又译为网际协议地址。IP地址是IP协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异[31]。例如，图书馆用户使用移动设备访问图书馆数据库时不仅会留下网络访问记录，每个设备还有对应的IP地址信息。图书馆用户的网络访问记录系网络行踪信息，因其不能直接对应个人实际物理位置而不属于行踪轨迹信息。至于设备IP地址是否属于行踪轨迹信息关键是看其是否可以直接识别到个人特定物理位置。一般民用IP基本是使用动态IP，即同一IP并不必然与一台设备绑定。有时，互联网服务提供商会将同一个IP地址分配给大量计算机，因而可能出现多台计算机使用相同IP地址的情况。IP地址虽是用户实现上网所必须的字段，网络服务商可以基于IP地址定位到用户的大概位置，但该定位模糊、不精确，最多到城市、区/县级别，无法识别到特定个人的具体位置。从IP地址构成来看，其中亦不包含指向物理性 “地理位置” 的字符[32]。因此，IP地址本身无法识别到特定个人的具体物理位置，不属于行踪轨迹信息。

综上所述，我国对行踪轨迹信息的界定应当严格把握物理位置要素。行踪轨迹一定是与现实地理位置相联系或相对应的轨迹，而不包括用户在网络中的行为轨迹。个人网络行踪轨迹(包括IP地址信息)虽可能包含有位置信息，但仍然停留在网络世界，不能直接对应到现实物理世界中的地理位置[5]，因而不属于行踪轨迹信息。

3.2.3 行踪轨迹信息的技术要素

大数据时代的行踪轨迹信息应具有技术要素，即行踪轨迹信息是通过个人移动设备结合特等定位技术所产生的位置信息。譬如移动设备结合GPS定位技术，可以快速便捷地获取设备所在的位置信息[33]，并识别到个人位置。而传统书面记录的信息、人力跟踪获得的信息通常不属于行踪轨迹信息的范围[7]。行踪轨迹信息的技术要素在域外立法中得到体现，欧盟和英国的法律规定强调 “位置数据” 是通过电子通信网络或由电子通信服务处理得到；美国弗吉尼亚州CDPA强调 “精准地理位置数据” 是指通过 “技术手段” 获得的数据。随着位置服务(Location-Based Service)的兴起和发展，智能手机和智能手表等移动设备几乎都具备跟踪个人移动的地理定位集成技术。通过网联设备获取的位置数据来识别个人特定地理位置已经成为现代获取行踪轨迹信息的基本手段[20]。科技进步给行踪轨迹信息的获取带来便利，同时也给个人隐私安全造成威胁。信息或数据保护立法的主要目的便是通过法律手段应对技术发展所带来的风险。

在综合考虑行踪轨迹信息的界定方式和 “时间” “物理位置” “技术手段” “直接识别” 四要素后，可对行踪轨迹信息作如下界定： “行踪轨迹信息指通过GPS全球定位系统、北斗卫星定位系统、WiFi定位、基站定位等定位技术获取的，可直接识别用户过去或当前时间所在物理位置的信息。包括个人的出行记录、车辆轨迹等信息；不包括需结合其他信息才可识别个人位置的信息。”

4 结语

我国法律对行踪轨迹信息这一法律概念未作界定。司法实践虽对行踪轨迹信息的界定有初步尝试，但存在认定标准不一的问题。为此，应将现有司法裁判观点进行总结和完善，参考域外立法例，尽快出台有关行踪轨迹信息的司法解释。司法解释的制定应把握四个部分：第一，行踪轨迹信息需与特定时间相对应，从时间维度来看，既包括当前时间的位置信息，也包括过去时间所对应的历史轨迹信息。第二，行踪轨迹信息应是可以识别到个人实际物理位置的信息，网络踪迹信息仍然停留在网络空间，无法直接对应个人实际物理位置，不属于行踪轨迹信息。第三，行踪轨迹信息是通过定位技术获取的信息，技术手段包括但不限于GPS、北斗卫星定位、WiFi定位、基站定位及其他新型定位技术。行踪轨迹信息的界定要明确，也须为技术进步留有一定空间；可以技术手段为分类依据，通过非穷尽式列举方式规定行踪轨迹信息的范围。第四，行踪轨迹信息应当是可以直接识别到个人特定位置的信息，须排除结合其他信息才可识别到个人位置的信息，以避免行踪轨迹信息保护范围无限扩张。

注释

①《个人信息保护法》第28条：敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满14周岁未成年人的个人信息。

② 在本文中，行踪轨迹信息的类似概念指与行踪轨迹信息相关的概念，包括但不限于位置信息、精准地理位置数据、行踪信息、位置轨迹数据、地点信息等。

③ 江苏省苏州工业园区人民法院 （2017） 苏0591刑初814号刑事判决书。

④ 北京市第二中级人民法院（2019）京02刑终59号二审刑事裁定书。

⑤《民法典》第一千零三十四条：自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

⑥《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条：刑法第253条之一规定的 “公民个人信息” ，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

⑦温州市龙湾区人民法院（2018）浙0303刑初1248号刑事判决书。

⑧江苏省邳州市人民法院（2019）苏0382刑初48号刑事判决书。

⑨浙江省苍南县人民法院（2019）浙0327刑初655号刑事判决书。

⑩海南省第二中级人民法院（2019）琼97刑终222号刑事判决书。