侵犯公民个人信息犯罪典型案例

韩某等侵犯公民个人信息案

国家工作人员利用职务便利非法获取公民个人信息并出售，构成侵犯公民个人信息罪的，应当从重处罚

2014年初至2016年7月期间，上海市疾病预防控制中心工作人员韩某利用其工作便利，进入他人账户窃取上海市疾病预防控制中心每月更新的全市新生婴儿信息（每月约1万余条），并出售给黄浦区疾病预防控制中心工作人员张某某，再由张某某转卖给被告人范某某。直至案发，韩某、张某某、范某某非法获取新生婴儿信息共计30万余条。

2015年初至2016年7月期间，范某某通过李某向王某某、黄某出售上海新生婴儿信息共计25万余条。2015年6月至7月，吴某某从王某某经营管理的大犀鸟公司内秘密窃取7万余条上海新生婴儿信息。2015年5月至2016年7月期间，龚某某通过微信、QQ等联系方式，向吴某某出售新生婴儿信息8000余条，另分别向孙某某、夏某某二人出售新生儿信息共计7000余条。

上海市浦东新区检察院于2016年8月18日以韩某等8人涉嫌侵犯公民个人信息罪将其批准逮捕，同年11月25日提起公诉。2017年2月8日，上海市浦东新区法院以侵犯公民个人信息罪分别判处韩某等8人有期徒刑二年零三个月至七个月不等。

随着信息化社会的到来，个人信息的重要性日益凸显，侵犯公民个人信息获取经济利益的现象逐渐增多，相关灰色产业链已初现雏形，其中国家工作人员利用职务便利非法获取公民个人信息社会影响尤其恶劣。本案涉及国家工作人员与销售商勾结，买卖婴儿信息数量达几十万条，给家庭生活造成困扰，案件引发社会关注。

检察机关认真办理该案，取得了较好的法律效果和社会效果。一是有力监督，有效追诉。浦东新区检察院在办理案件过程中，派员提前介入，会同公安机关从获取公民个人信息的数量、方式、来源、动机及后果等方面进行全面考量。在审查逮捕过程中，发现孙某某、夏某某等人的行为已涉嫌侵犯公民个人信息罪，遂向公安机关发出直接移送审查起诉建议书。二是制发检察建议，延伸办案效果。针对国家工作人员利用职务便利窃取公民个人信息的情况，浦东新区检察院向上海市疾病预防控制中心发出检察建议，要求其从系统账号密码专人专用、使用留痕，签订岗位保密协议，建立事后备查制度等方面进行整改完善，上海市疾病预防控制中心收函后立即采取相应措施进行整改，并将相关整改落实情况由专人至区检察院进行通报，以防止类似事件再次发生。

张某某、姚某某侵犯公民个人信息案

利用恶意程序批量非法获取网站用户个人信息的，构成侵犯公民个人信息罪

2015年6月，被告人张某某在登录浏览“魅力惠”购物网站时发现，通过修改该网站网购订单号可以查看到包含用户姓名、手机号、住址等内容的订单信息。为谋取利益，张某某委托他人针对上述网站漏洞编制批量扒取数据的恶意程序，在未经网站授权的情况下，进入该网站后台管理系统，从中非法获取客户订单信息12503条，通过QQ等联络方法将上述客户信息分数次卖给被告人姚某某，获利人民币5359元。被告人姚某某购得上述订单信息后，又在网络上分别加价倒卖从中牟利。

上海市黄浦区检察院于2015年9月30日以涉嫌非法获取公民个人信息罪对张某某批准逮捕，于同年10月20日以证据不足对姚某某不批准逮捕，并要求公安机关补充侦查。此案提起公诉后，2016年3月29日，黄浦区法院以侵犯公民个人信息罪，判处张某某有期徒刑一年零九个月，并处罚金人民币5万元，判处姚某某有期徒刑一年零六个月，并处罚金人民币2万元。

本案是通过网络实施的侵犯公民个人信息犯罪，在远程、非接触的状态下跨省区、多地域完成，作案手段技术含量高，涉案人员关系松散，特别是犯罪活动涉及的电子证据源中电脑、QQ、移动存储介质、手机、银行卡等证据的数据提取、固定、转化和验证等给案件取证工作带来一定困难，增加了检察机关在案件审查逮捕中的工作难度。

检察机关从多个方面加强案件指导和审查，确保案件质量和监督效果。一是注重引导案件侦查，确保取证工作扎实到位。鉴于案件系当地首例以黑客手段窃取公民个人信息的案件，公安机关立案后即商请检察机关提前介入，检察机关高度重视，会同公安机关刑侦、网安等部门商讨案情、引导侦查。检察机关就捕前侦查取证方向、证据标准规定、所涉罪名法律适用等问题与公安机关进行详细分析沟通，有效提升案件侦办的效率和质量。如针对犯罪嫌疑人主要犯罪手法系利用恶意程序批量扒取网站用户信息的手段，检察机关对所涉现场勘验检查、远程勘验记录、电子证据检查、作案工具扣押等环节的取证要点与规范要求予以明确，确保证据收集工作的合法性和有效性。二是严格案件证据审查，确保核心证据固定。本案证据体系中，认定犯罪事实的核心证据之一系犯罪嫌疑人非法获取公民身份信息的电子数据。如果该核心证据缺失，即使犯罪嫌疑人作有罪供述亦难以定罪处罚。犯罪嫌疑人姚某某移送审查逮捕过程中，检察机关对电子数据仔细比对后发现，有关姚某某非法获取公民数据信息情况的鉴定意见存在重大瑕疵，难以作为定案依据，需重新鉴定，故综合案件证据情况，对姚某某作存疑不捕决定，同时向公安机关说明不捕理由并提出五条补侦建议。公安机关根据上述要求逐一进行补侦，待证据达到要求后移送起诉，后法院对姚某某作出有罪判决。三是重视后续跟踪指导，确保案件质量过硬。加强不捕案件补侦工作的指导监督。姚某某案中鉴定意见存在重大瑕疵，检察机关在该案补充侦查过程中多次与鉴定人员联系沟通，重新梳理证据情况，明确相关鉴定要求，及时修正证据瑕疵问题。加强捕诉联动交流。检察机关侦查监督部门与公诉部门围绕案件定性、证据认定、涉案情节等疑难问题进行充分沟通，形成统一意见。庭审中，公诉人运用充分证据指控犯罪，张某某、姚某某均供认指控事实，庭审效果良好。郜云律师，毕业于云南大学法学院，持有法律职业资格A证。曾就职于法院，现为云南滇西北律师事务所高级合伙人。郜云律师待人热情真诚，善于沟通交流，做事认真负责，法学理论功底扎实，办案经验丰富。擅长刑事辩护、合同纠纷、损害赔偿、法律文书写作等业务。尤其对刑事辩护领域深有研究，多次成功地让无罪的人不受冤枉，让罪轻的人不被重判。从业多年来，素以勤勉尽责、专业高效著称，通过精准地把握案件争议所在，为当事人提供切实可行的解决方案，给予当事人正确的法律引导，降低当事人的法律风险，维护当事人的合法权益。

章某某等诈骗、侵犯公民个人信息案

非法获取公民个人信息后，实施电信网络诈骗等犯罪构成数罪的，依法予以并罚

2016年初，被告人章某某到广东省河源市租住源城区建设大道德欣豪庭C2栋1201室，准备手机等作案工具并通过互联网非法购买公民个人信息12555条。2016年3月至4月间，被告人章某某先后雇用被告人汪某某等三人在该出租房内，通过拨打章某某事先从网上购买的学生个人信息上的家长联系电话，冒充“学校教务处”“教育局”工作人员，以获取国家教育补贴款为由，诱骗学生家长持银行卡到ATM机上转账至章某某掌控的银行账户，从中获取钱财。至被查获时，共拨打诈骗电话4392人次，骗取11.62万元。2016年4月期间，被告人章某某还伙同他人利用同样的手段实施诈骗行为，至被查获时，共拨打诈骗电话807人次，骗取他人钱财近3000元。

福建省安溪县检察院于2016年6月3日以涉嫌诈骗罪、侵犯公民个人信息罪对章某某、汪某某等人批准逮捕。此案提起公诉后，2016年12月14日，安溪县法院作出一审判决，以诈骗罪、侵犯公民个人信息罪判处被告人章某某有期徒刑五年，并处罚金人民币3.8万元；其他3名被告人以诈骗罪分别被判处二年零九个月至一年不等有期徒刑，并处罚金。

随着现代通讯技术和互联网技术的快速发展，公民个人信息极易泄露。公民个人信息通过信息网络传播、交易，往往被不法分子大量窃取、利用，催生电信网络诈骗等关联犯罪，严重威胁公民人身安全、财产安全和社会管理秩序。打击利用互联网出售、提供、非法获取公民个人信息等侵犯公民个人信息犯罪，切断其与电信网络诈骗等犯罪的犯罪链条，从源头上预防和减少犯罪发生，具有重要意义。本案中章某某等人通过百度及QQ向他人购买学生个人信息，拨打学生家长电话，先后冒充学校及教育局工作人员，以领取学生助学补助金为幌子，骗取钱财，不仅侵犯了学生及学生家长的个人信息和财产安全，还破坏了学校的正常教学秩序和教育系统声誉，社会危害极大。本案的查处震慑了利用互联网侵犯公民个人信息犯罪，也有力地打击了电信网络诈骗犯罪，取得了良好的法律效果和社会效果。

郭某某侵犯公民个人信息案

将在提供服务过程中获得的公民个人信息出售、提供给他人的，构成侵犯公民个人信息罪

2015年3月至2016年9月1日间，被告人郭某某利用其原在某信息技术服务公司工作的便利和通过QQ群交换等途径，非法获取楼盘业主、公司企业法定代表人及股民等的姓名、电话、住址及工作单位等各类公民个人信息共计185203条，上传存储于“腾讯微云”个人账户内。后通过QQ群发布信息，将上述非法获取的公民个人信息出售给他人，从中非法获利人民币4000元。

厦门市思明区检察院于2016年9月30日以涉嫌侵犯公民个人信息罪对郭某某批准逮捕。同年12月30日，该院以侵犯公民个人信息罪向厦门市思明区法院提起公诉。2017年1月11日，厦门市思明区法院以侵犯公民个人信息罪判处被告人郭某某有期徒刑七个月，并处罚金2000元。

当前，除行政管理机关和金融、电信、交通等单位接触大量的公民个人信息外，宾馆、快递等服务行业在提供服务的过程中，也会获取大量的公民个人信息。单位、公司的个别员工为了获取非法利益，违反职业道德和保密义务，将在工作中获得的公民个人信息资料出售或提供给他人，对公民的人身、财产安全及正常工作生活造成了严重威胁，应依法严惩。本案被告人郭某某原在某信息技术服务有限公司工作，该公司的业务主要是推广400电话服务。郭在工作中接触和获取大量包含公民姓名、所在公司、联系电话等信息，辞职后将工作中获取的公民个人信息上传至个人网络储存空间，利用QQ等社交软件与他人交换这些公民个人信息，并出售牟利。被告人郭某某出售、提供履职、服务过程中获得的公民个人信息，具有更大的社会危害性，应当从严惩处。本案的处理有力地打击了将在履行职责、提供服务过程中获得的公民个人信息出售、提供给他人的犯罪行为。

鲁某等侵犯公民个人信息案

单位实施侵犯公民个人信息犯罪的，依法追究单位和相关责任人员的刑事责任

自2014年以来，犯罪嫌疑人鲁某利用网络QQ群寻找出售公民个人信息的网友，向王甲等人大量购买公民个人信息，通过QQ传输信息、支付宝转账、银行转账等方式进行交易。鲁某将获取的公民信息，按照类别通过QQ卖给一些电话促销人员，其中卖给王乙8万余条，非法获利6万余元。犯罪嫌疑人王甲通过QQ向他人购买“快递提取”软件程序，批量下载公民的快递订单信息10万余条。2016年5月8日，王甲将“快递提取”软件提供给鲁某，两人意图合作实现公民信息的资源共享。2016年5月11日，鲁某、王甲被山东省新泰市公安局民警抓获归案，查获两人存储的公民个人信息1000万余条。

山东省新泰市检察院于2016年6月16日以涉嫌侵犯公民个人信息罪对鲁某、王甲作出批准逮捕决定，同时向侦查机关发出《要求说明不立案理由通知书》，监督公安机关对另两名涉案犯罪嫌疑人新泰市某快递公司负责人和鲁某的下线王乙立案侦查。同年6月24日，新泰市公安局对该快递公司负责人和王乙以涉嫌侵犯公民个人信息罪立案侦查。目前，案件已提起公诉。

检察机关注重发挥法律监督职能，加强刑事立案监督，确保案件监督效果。一是提前介入，适时引导侦查。鉴于本案案情复杂，检察机关提前介入，对已经形成的犯罪嫌疑人供述和证人证言进行审阅，同时查看了侦查机关扣押的犯罪嫌疑人电脑中所存储的公民个人信息，就取证方向和证据的收集、固定向侦查机关提出了固定公民个人信息数据、资金往来账单、“快递提取”软件，制作电子物证检查笔录等建议，提高了案件的办案质量和诉讼效率。二是有效沟通，统一司法认识。针对公民个人信息和定罪量刑标准的把握，检察机关与公安、法院及时沟通，统一了司法思想和司法尺度。三是深挖线索，加强立案监督。检察机关审查案件后发现涉案的新泰市某快递公司负责人将K8软件和工号出卖给鲁某，用于查看和复制该快递公司的订单信息。王乙向鲁某购买公民个人信息约8万余条，交易金额达6万余元，王乙将购买的公民个人信息用于电话促销保健品。该快递公司和王乙均涉嫌侵犯公民个人信息罪。检察机关启动了立案监督程序，新泰市公安局对该快递公司和王乙以涉嫌侵犯公民个人信息罪立案侦查。

籍某某、李某某侵犯公民个人信息案

特殊主体将在履行职责过程中获得的公民个人信息出售，数量达到一般主体立案追诉标准一半以上的，依法追究刑事责任

2015年9月至2016年4月，被告人籍某某身为河北省高邑县王同庄派出所民警，利用其在高邑县王同庄派出所工作的职务之便，使用已调离的前所长段某某的数字证书查询公安系统内公民个人信息3670余条，并通过微信向被告人李某某出售公民个人信息，非法获利共计19840元；被告人李某某将从籍某某处购买的公民个人信息出售给他人，非法获利42185元。

河北省赵县检察院于2016年5月21日以涉嫌侵犯公民个人信息罪对籍某某、李某某批准逮捕。2016年12月14日，以侵犯公民个人信息罪向赵县法院提起公诉。2017年3月9日，赵县法院以侵犯公民个人信息罪分别判处被告人籍某某、李某某有期徒刑一年，各并处罚金5000元。

检察机关认为被告人籍某某利用公安民警的特殊身份，在掌握全国人口信息的平台上任意查询，并非法出售3670余条，比一般人员非法收集信息具有更大的社会危害性，应当认定其属于刑法第253条之一第一款规定的情节严重的情形，依法予以惩处。本案的处理有力地打击了将在履行职责过程中获得的公民个人信息出售、提供给他人的犯罪行为。

刑法修正案（九）将刑法第253条之一修改为：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”从以上条文内容可以看出，刑法修正案（九）在刑法修正案（七）的基础上再次将侵犯公民个人信息犯罪纳入修改的范围，且修改幅度较大，在司法实践中亟须正确理解和适用。

“公民个人信息”的内涵

由于我国目前尚未制定出台个人信息保护法,因而如何确定个人信息的概念和范围，是一个重要问题。公民个人信息，是指公民个人不愿为一般普通社会公众所知，并对公民个人有保护价值的信息。在刑法语境里，非法获取公民个人信息意指侵犯了公民的隐私权，即自然人享有的私人生活安宁与私人信息不被他人非法知悉、搜集、利用和公开的一项人格权。该条文规定的公民个人信息即为任何单位或个人在履行职责或者提供服务过程中获得的公民个人信息。从信息的内容看，其涉及公民的个人隐私权。刑法修正案（九）将犯罪主体扩大到一般主体，而不仅局限于刑法规定的国家机关、金融、电信、交通、医疗等单位的工作人员。

笔者认为，公民个人信息应当是“与公民个人密切相关的、其不愿被特定人群以外的其他人群所知悉的信息”。

“出售、提供、获取”是否为非法的适用理解

刑法修正案（九）将刑法修正案（七）所规定的“出售、非法提供公民个人信息”中的“非法”予以删除。笔者认为，此举既是一种立法应然的理性价值取向，同时也是一种立法应然的规范取向。事实上，“出售、提供、获取”行为本身即侵犯了公民的个人隐私权，这种行为无论从何种角度来说，都是违背公民之主观愿望而“非法”的。由此，笔者认为，“出售、提供、获取”之“非法”并非指出售、提供、获取手段或者方法行为的性质，而是指行为人的出售、提供、获取行为在本质上就是非法的。不能单纯以获取、出售、提供行为违背法律禁止性规定予以认定，即行为人只要没有出售、提供、获取公民个人信息的法律依据或者资格，也没有得到公民个人的许可，就可能构成犯罪。

对于“出售、提供、获取”的方式，目前理论界和实务界关注不多，笔者认为，无论以何种方式出售、提供、获取公民个人信息，只要其超越了公民个人相应授权和许可，即没有出售、提供、获取资格或者根据的人，以窃取或者其他方法出售、提供公共服务提供者在服务过程中收集或者发布公民个人信息的，即可认定为“非法”。易言之，刑法既要制裁公共服务提供者将自己保有的公民个人信息非法出售、提供给他人的行为，又要处罚他人侵犯公共服务提供者对公民个人信息之保有状态的行为。从这个层面上看，出售、提供、获取等方式均为侵犯公民个人信息之行为。公民在接受公共服务时,相关单位也应对其所保存的个人信息予以保密，如擅自获取并出售、提供给他人或单位，只要造成相应的严重后果，也应追究其刑事责任，而能获取公民个人信息之主体，无论其出于何种目的或主观愿望，皆不能擅自通过任何手段、方式获取公民个人信息。

“出售”与“提供”之间有何区别与联系

刑法修正案（九）第17条第1款、第2款将出售与提供行为并列表述。有观点认为，所谓的出售，是指以获得对价为目的的提供行为；提供，是指不以获得对价为目的的提供行为，出售与提供两者是并列关系。该观点值得肯定的地方在于其认为出售亦是一种提供行为，但对于提供须具有不以获得对价的目的的看法。笔者认为，该观点值得商榷。

从语义上分析，“出售”是指将自己掌握的公民信息卖给他人，自己从中牟利的行为；“提供”是指不应将自己掌握的公民信息提供给他人（包括单位和个人）而予以提供的行为。易言之，提供并非指不以获得对价为目的的提供行为，立法上对其主观目的并无限制；而出售是指以谋取对价后将某物提供给他人，其亦属提供行为的一种。如果认为出售行为比单纯的提供行为具有更为严重的主观恶性及客观危害，则在罪状的表述上应能体现出来。但遗憾的是，不管是刑法修正案（七）抑或刑法修正案（九），从罪状的表述上看，出售与提供行为均为并列关系，两者在达到情节严重后，均可入罪惩治，并无量刑上的差异。如若认为出售与提供行为危害性方面无异，那么出售也是一种提供行为，直接规定提供行为即可。可见，刑法修正案（九）将出售与提供行为进行并列表述的方式有待商榷。

关于“情节严重”的理解及适用

对于侵犯公民个人信息罪中“情节严重”的认定，目前尚无司法解释作出规定。笔者认为可依次考虑三个因素：一是只要该信息被用于实施犯罪活动，均可认定为情节严重；二是看是否严重危及公民个人的正常生活，或者给公民个人带来较大经济损失或导致其他后果；三是在无法认定前两者的情况下，根据出售、提供或者获取信息的数量、次数加以确定，其中，在出售的情况下还包括获利金额，在提供、获取的情况下还要考虑手段的恶劣程度或者支付的对价金额，等等。即情节是否严重，可以从出售、提供、获取的公民个人信息的数量、次数、获利金额、手段、持续时间、动机目的、危害后果等多个方面进行综合判定。具体而言，具有以下情形之一的，可以判定为情节严重：

1.利用出售、提供、获取的公民个人信息进行违法犯罪活动的。实践中，有些行为人出售、提供、获取公民个人信息是为了拓展公司业务或是个人人脉，有些行为人则是为了进行违法犯罪活动，其主观恶性差异较大。对于为了实施违法犯罪目的而获取、使用公民个人信息的，应当属于情节严重。

2.出售、提供、获取公民个人信息对公民合法权益造成严重损害的，其中包括造成公民严重精神损害或者重大经济损失。严重扰乱公民正常的生活、工作和学习的，应当认定为侵犯公民个人信息的行为造成了严重后果，应确定为情节严重。当然，并非只有犯罪后果实际发生才构成情节严重，可以结合犯罪结果的发生与否，或是特定公民的人身权利、财产权利所面临的风险大小来确定是否属于情节严重。一般而言，产生实际损害的情节重于面临极大风险的情节。

3.出售、提供、获取公民个人信息手段恶劣的。有的行为人为了达到出售或获取公民个人信息的目的，往往会额外实施一些辅助行为；有些行为人则是组织化、规模化或者用恶劣手段获取公民个人信息。因而，就行为方式而言，行为人以暴力、胁迫、欺诈等方式，或纠集、雇用多人出售、提供、获取公民个人信息的，可视为情节严重。

4.利用所掌握的公民个人信息从中获利数额较大的。即行为人出售公民个人信息违法所得数额较大的。数额较大的标准，可以根据经济社会发展情况及相关犯罪立案标准综合确定，笔者认为，出售公民个人信息获利数额达5000元以上的，可确定为情节严重。

5.其他应当认定为出售、提供、获取公民个人信息情节严重的行为。虽未达到以上标准，但综合考量案件的全部情况，有两个以上情节接近以上标准，或者有一个情节接近以上标准，同时具有其他从重情节的，也应当认定为非法获取公民个人信息情节严重。

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》已于2017年3月20日由最高人民法院审判委员会第1712次会议、2017年4月26日由最高人民检察院第十二届检察委员会第63次会议通过，现予公布，自2017年6月1日起施行。

最高人民法院 最高人民检察院

最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释

（2017年3月20日最高人民法院审判委员会第1712次会议、2017年4月26日最高人民检察院第十二届检察委员会第63次会议通过，自2017年6月1日起施行）

为依法惩治侵犯公民个人信息犯罪活动，保护公民个人信息安全和合法权益，根据《中华人民共和国刑法》《中华人民共和国刑事诉讼法》的有关规定，现就办理此类刑事案件适用法律的若干问题解释如下：

第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

第二条 违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。

第三条 向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。

未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。

第四条 违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

第五条 非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：

（一）出售或者提供行踪轨迹信息，被他人用于犯罪的；

（二）知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；

（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；

（四）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；

（五）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；

（六）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；

（七）违法所得五千元以上的；

（八）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；

（九）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；

（十）其他情节严重的情形。

实施前款规定的行为，具有下列情形之一的，应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”：

（一）造成被害人死亡、重伤、精神失常或者被绑架等严重后果的；

（二）造成重大经济损失或者恶劣社会影响的；

（三）数量或者数额达到前款第三项至第八项规定标准十倍以上的；

（四）其他情节特别严重的情形。

第六条 为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：

（一）利用非法购买、收受的公民个人信息获利五万元以上的；

（二）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的；

（三）其他情节严重的情形。

实施前款规定的行为，将购买、收受的公民个人信息非法出售或者提供的，定罪量刑标准适用本解释第五条的规定。

第七条 单位犯刑法第二百五十三条之一规定之罪的，依照本解释规定的相应自然人犯罪的定罪量刑标准，对直接负责的主管人员和其他直接责任人员定罪处罚，并对单位判处罚金。

第八条 设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组，情节严重的，应当依照刑法第二百八十七条之一的规定，以非法利用信息网络罪定罪处罚；同时构成侵犯公民个人信息罪的，依照侵犯公民个人信息罪定罪处罚。

第九条 网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。

第十条 实施侵犯公民个人信息犯罪，不属于“情节特别严重”，行为人系初犯，全部退赃，并确有悔罪表现的，可以认定为情节轻微，不起诉或者免予刑事处罚；确有必要判处刑罚的，应当从宽处罚。

第十一条 非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算。

向不同单位或者个人分别出售、提供同一公民个人信息的，公民个人信息的条数累计计算。

对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。

第十二条 对于侵犯公民个人信息犯罪，应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等，依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。

第十三条 本解释自2017年6月1日起施行。

日前，最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号，以下简称《解释》），自2017年6月1日起施行。《解释》的公布施行，对于强化公民个人信息的刑事保护，维护个人信息安全和其他合法权益，必将发挥重要作用。为便于司法实践中正确理解和适用，现就《解释》的制定背景、起草中的主要考虑和主要内容介绍如下。

一、《解释》的制定背景与经过

随着信息化建设的推进，信息资源成为重要的生产要素和社会财富。而在各类信息中，个人信息的价值日益凸显，成为数字经济最重要的元素之一。与之同时，个人信息泄露问题严重，个人信息安全成为一个全社会高度关注的问题。为保护公民个人信息，2009年2月28日起施行的《刑法修正案（七）》增设了刑法第二百五十三条之一，规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。《刑法修正案（七）》施行以来，各级公检法机关正确适用法律，准确认定事实，坚决依法惩处侵犯公民个人信息犯罪活动。2009年2月至2015年10月，全国法院新收出售、非法提供公民个人信息、非法获取公民个人信息刑事案件988起，审结969起，生效判决人数1415人。其中，新收出售、非法提供公民个人信息刑事案件101件，审结98件，生效判决人数142人；新收非法获取公民个人信息刑事案件887件，审结871件，生效判决人数1273人。

近年来，侵犯公民个人信息犯罪仍处于高发态势，不仅严重危害公民个人信息安全，而且与电信网络诈骗等犯罪存在密切关联，甚至与绑架、敲诈勒索等犯罪活动相结合，社会危害日益突出。为切实加大对公民个人信息的刑法保护力度，《刑法修正案（九）》对刑法第二百五十三条之一作出修改完善：一是扩大犯罪主体的范围，规定任何单位和个人违反国家有关规定，获取、出售或者提供公民个人信息，情节严重的，都构成犯罪；二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，从重处罚；三是提升法定刑配置水平，增加规定“处三年以上七年以下有期徒刑，并处罚金”。修改后，“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。《刑法修正案（九）》施行以来，各级公检法机关依据修改后刑法的规定，继续保持对侵犯公民个人信息犯罪的高压态势，实现案件量显著增长。2015年11月至2016年12月，全国法院新收侵犯公民个人信息刑事案件（含出售、非法提供公民个人信息、非法获取公民个人信息刑事案件）495件，审结464件，生效判决人数697人。

与此同时，司法实践反映，侵犯公民个人信息罪的具体定罪量刑标准尚不明确，一些法律适用问题存在争议，需要通过司法解释作出规定。为确保法律准确、统一适用，依法严厉惩治、有效防范侵犯公民个人信息犯罪，最高人民法院会同最高人民检察院，在公安部等有关部门的大力支持下，经深入调查研究、广泛征求意见，起草了《解释》。2017年3月20日最高人民法院审判委员会第1712次会议、2017年4月26日最高人民检察院第十二届检察委员会第63次会议审议通过了《解释》。

二、《解释》起草中的主要考虑

为确保《解释》的内容科学合理，能够适应形势发展、满足实践需要，在起草过程中，着重注意把握了以下几点：

第一，贯彻刑法修改精神，强化对公民个人信息的刑法保护。当前，侵犯公民个人信息犯罪呈高发多发态势，涉及的个人信息数量越来越大、类型越来越多。特别是，不少涉案公民个人信息事关他人财产乃至人身安全，如行踪轨迹、财产信息等敏感信息。基于当前侵犯公民个人信息犯罪的态势，根据修法精神，《解释》相关条文彰显了对侵犯公民个人信息犯罪的严惩立场，以加强对公民个人信息的刑法保护，有效维护公民的人身、财产安全和生活安宁。

第二，坚持问题导向，有效解决司法实务问题。从调研情况来看，对侵犯公民个人信息犯罪尚存在不少争议问题，亟需通过司法解释加以明确。例如，“公民个人信息”的内涵与外延，“出售或者提供公民个人信息”“非法获取公民个人信息”的理解，“情节严重”“情节特别严重”的把握，等等。基于此，《解释》相关条文以办理侵犯公民个人信息刑事案件存在的问题为基础，结合司法实际，作了明确规定。

第三，坚持安全与发展并重，兼顾个人信息保护与大数据发展的需要。在全球信息化快速发展的大背景下，大数据已成为国家重要的基础性战略资源，正引领新一轮科技创新。在大数据和云计算时代，包括个人信息在内的数据，只有充分地流动、共享、交易，才能实现集聚与规模效应，最大程度地发挥价值。但是，在数据流动、交易过程中如何保护公民个人信息的安全，避免个人信息扩散失控，也是必须面对的问题。实际上，公民个人信息的保护与大数据发展和信息社会的建设并不矛盾，二者之间的平衡点就在现行法律框架。质言之，大数据的发展应依法进行，信息社会须建立在依法保护个人信息的基础上，只有包括个人信息在内的数据在法律保护下安全迅速地收集和流通，才能真正推动我国信息产业的发展。因此，《解释》在刑法和《网络安全法》确立的框架范围内，兼顾公民个人信息保护与大数据产业发展的关系，确保在公民个人信息安全的前提下为大数据发展和信息化建设提供有力刑事司法保护。

三、《解释》的主要内容

《解释》结合当前侵犯公民个人信息犯罪的特点和司法实践反映的问题，依照刑法、刑事诉讼法的规定，对侵犯公民个人信息罪的定罪量刑标准和相关法律适用问题作了全面、系统的规定。《解释》共十三个条文，大致可以归纳为如下十个方面的问题：

（一）“公民个人信息”的范围

目前，我国关于个人信息的界定，最为权威的当属《网络安全法》的规定。《网络安全法》第七十六条规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。” 经研究认为，《网络安全法》将“个人信息”界定为“能够识别自然人个人身份的各种信息”，显然使用的是广义的“身份识别信息”的概念，即既包括狭义的身份识别信息（能够识别出特定自然人身份的信息），也包括体现特定自然人活动情况的信息。例如，从实践来看，行踪轨迹信息系事关人身安全的高度敏感信息，无疑应纳入法律保护范围，且应当重点保护。但是，行踪轨迹信息明显难以纳入狭义的“身份识别信息”的范畴。如果认为《网络安全法》将此类信息排除在“个人信息”的范围外，恐难以为一般人所认同，也不符合保护公民个人信息的立法精神。合理的解释应当是，《网络安全法》是广义上使用“身份识别信息”这一概念，亦即也包括个人活动情况信息在内。基于此，《解释》第一条在上述规定的基础上，进一步明确“公民个人信息”包括身份识别信息和活动情况信息，规定：“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”

此外，根据《解释》第一条的规定，关于“公民个人信息”的外延，有以下几个具体问题值得注意：（1）“公民个人信息”，既包括中国公民的个人信息，也包括外国公民和其他无国籍人的个人信息。（2）公民个人信息须与特定自然人关联。这是公民个人信息所具有的关键属性。因此，经过处理无法识别特定个人且不能复原的信息，虽然也可能反映自然人活动情况，但与特定自然人无直接关联，不能成为公民个人信息的范畴。对于与特定自然人关联，可以是识别特定自然人身份，也可以是反映特定自然人活动情况。需要注意的是，无论是识别特定自然人身份，还是反映特定自然人活动情况，都应当是能够单独或者与其他信息结合所具有的功能。例如，身份证号与公民个人身份一一对应，可以单独识别公民个人身份；而工作单位、家庭住址等无法单独识别公民个人身份，需要同其他信息结合才能识别公民个人身份。但是，上述两类信息无疑都属于公民个人信息的范畴。（3）与特定自然人关联的账号密码属于“公民个人信息”。对于“账号密码”能否纳入“公民个人信息”的范围，存在不同认识。经研究认为，当前账号密码往往绑定身份证号、手机号码等特定信息，即使未绑定，非法获取账号密码后往往也会引发侵犯财产甚至人身的违法犯罪。因此，《解释》第一条明确将“账号密码”列为“公民个人信息”的范围。

（二）“违反国家有关规定”的认定

《刑法修正案（九）》将侵犯公民个人信息罪的前提要件由“违反国家规定”修改为“违反国家有关规定”。根据修法精神，《解释》第二条规定：“违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第二百五十三条之一规定的‘违反国家有关规定’。”具体而言，该条将 “国家有关规定”明确限于法律、行政法规、部门规章等国家层面的规定，不包括地方性法规等非国家层面的规定。

（三）非法“提供公民个人信息”的认定

根据刑法第二百五十三条之一第一款、第二款的规定，违反国家有关规定，向他人非法出售或者提供公民个人信息，是侵犯公民个人信息罪的客观行为方式之一。从司法适用的角度，以下两个问题值得关注：

1.“提供”的认定。向特定人提供公民个人信息，属于“提供”公民个人信息，对此不存在疑义。但是，对于通过信息网络或者其他途径发布公民个人信息，是否属于“提供公民个人信息”，存在不同认识。经研究认为，通过信息网络或者其他途径发布公民个人信息，实际是向不特定多数人提供公民个人信息，向特定人提供公民个人信息的行为属于“提供”，基于“举轻明重”的法理，前者更应当认定为“提供”。基于此，《解释》第三条第一款规定：“向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的‘提供公民个人信息’。”

2.合法收集公民个人信息后非法提供的认定。基于大数据发展的现实需要，《网络安全法》在法律层面为个人信息交易和流动留有一定空间，第四十四条规定任何个人和组织“不得非法出售或者非法向他人提供个人信息”，即不仅允许合法提供公民个人信息，而且为合法出售公民个人信息留有空间。而且，《网络安全法》第四十二条第一款进一步明确了合法提供公民个人信息的情形，规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。”据此，经得被收集者同意，以及匿名化处理（剔除个人关联），是合法提供公民个人信息的两种情形，不能纳入刑事规制范围。基于此，《解释》第三条第二款规定：“未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的‘提供公民个人信息’，但是经过处理无法识别特定个人且不能复原的除外。”当然，这里只是明确此种情形属于“提供公民个人信息”，是否构成侵犯公民个人信息罪，还需要根据“违反国家有关规定”等要件作进一步判断。

郜云律师，毕业于云南大学法学院，持有法律职业资格A证。曾就职于法院，现为云南滇西北律师事务所高级合伙人。郜云律师待人热情真诚，善于沟通交流，做事认真负责，法学理论功底扎实，办案经验丰富。擅长刑事辩护、合同纠纷、损害赔偿、法律文书写作等业务。尤其对刑事辩护领域深有研究，多次成功地让无罪的人不受冤枉，让罪轻的人不被重判。从业多年来，素以勤勉尽责、专业高效著称，通过精准地把握案件争议所在，为当事人提供切实可行的解决方案，给予当事人正确的法律引导，降低当事人的法律风险，维护当事人的合法权益。

（四）“非法获取公民个人信息”的认定

根据刑法第二百五十三条之一第三款的规定，窃取或者以其他方法非法获取公民个人信息是侵犯公民个人信息罪的客观行为方式之一。具体而言，以下几个问题值得关注：

1.购买公民个人信息的处理。从实践来看，非法获取公民个人信息的方式主要表现为购买、收受、交换和侵入计算机信息系统或者采用其他技术手段。对于“购买公民个人信息”是否属于“以其他方法非法获取公民个人信息”，存在不同认识。有意见认为，“其他方法”应当限于与“窃取”危害性相当的方式（如抢夺），不宜将“购买”包括在内。经研究认为，其一，刑法第二百五十三条之一第三款并未明确排除“购买”方法，且非法购买公民个人信息当然属于非法获取公民个人信息的情形。其二，从实践来看，当前非法获取公民个人信息的方式主要表现为非法购买，如排除此种方式，则会大幅限缩侵犯公民个人信息罪的适用范围。其三，不少侵犯公民个人信息犯罪案件，购买往往是后续出售、提供的前端环节，没有购买就没有后续的出售、提供。基于上述考虑，《解释》第四条明确规定：“违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的‘以其他方法非法获取公民个人信息’。”

2.获取公民个人信息行为“非法”的判断。对于获取公民个人信息，刑法第二百五十三条之一第三款将罪状直接表述为“非法获取”。基于体系解释的原理，对此处的“非法”，应当以是否违反国家有关规定作为判断标准。

3.非法收集公民个人信息的处理。《网络安全法》第四十一条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”“网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”违反上述规定，未经他人同意收集公民个人信息，或者收集与提供的服务无关的公民个人信息的，应当认定为“非法获取公民个人信息”。以此为基础，《解释》第四条专门明确，违反国家有关规定，在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

（五）侵犯公民个人信息罪的

根据刑法第二百五十三条之一的规定，非法获取、出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。可见，侵犯公民个人信息罪系情节犯，定罪量刑标准为“情节严重”“情节特别严重”。对于这一概括性的定罪量刑情节，宜根据司法实践的情况从犯罪的客体、客观方面、主体、主观方面等多个角度加以考察。经充分调研，《解释》第五条规定了“情节严重”“情节特别严重”的认定标准。

1.“情节严重”的认定标准。《解释》第五条第一款从以下几个方面对侵犯公民个人信息罪的入罪标准“情节严重”作了明确：

一是信息类型和数量。公民个人信息的类型繁多，行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、交易信息等公民个人敏感信息涉及人身安全和财产安全，被非法获取、出售或者提供后极易引发绑架、诈骗、敲诈勒索等关联犯罪，具有更大的社会危害性。因此，基于不同类型公民个人信息的重要程度，《解释》分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准，以实现罪责刑相适应。具体而言：

（1）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的。行踪轨迹信息、通信内容、征信信息、财产信息与人身安全、财产安全直接相关，系高度敏感信息，《解释》第五条第一款第三项将入罪标准设置为“五十条以上”。需要注意的是，鉴于本项规定的入罪标准门槛较低，故此处严格限缩所涉公民个人信息的类型，仅限于行踪轨迹信息、通信内容、征信信息、财产信息四类信息，不允许司法适用中再通过等外解释予以扩大。对于行踪轨迹信息、通信内容、征信信息，司法实践中在认定上不存在争议。对于财产信息，可以根据案件具体情况把握：既包括银行账户、第三方支付结算帐户、证券期货等金融服务账户的身份认证信息（一组确认用户操作权限的数据，包括账号、口令、密码、数字证书等），也包括存款、房产等财产状况信息。

（2）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的。上述公民个人信息虽然在重要程度上弱于行踪轨迹信息、通信内容、征信信息、财产信息，但也与人身安全、财产安全直接相关，往往被用于“精准”诈骗等违法犯罪活动。基于此，《解释》第五条第一款第四项将入罪标准设置为“五百条以上”。需要注意的是，本项规定有“等其他可能影响人身、财产安全的公民个人信息”的表述，司法实践中可以根据具体情况作等外解释，但应当确保所适用的公民个人信息涉及人身、财产安全，且与“住宿信息、通信记录、健康生理信息、交易信息”在重要程度上具有相当性。

（3）非法获取、出售或者提供一般公民个人信息五千条以上的。从实践来看，除前述公民个人敏感信息外，出售、提供公民个人信息往往数量较大，动辄数万条甚至数十万条，在不少案件中甚至将公民个人信息编辑为电子文档后按兆出售。因此，不少地方对出售、提供公民个人信息的入罪掌握在数量五千条以上，基本上可以满足严厉打击此类犯罪的需要，且给行政处罚留有一定空间。基于此，《解释》第五条第一款第五项设置较低的入罪标准，将非法获取、出售或者提供公民个人信息五千条以上的规定为“情节严重”。

此外，鉴于实践中存在混杂公民个人信息的情形，《解释》第五条第一款第六项将“数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的”情形规定为“情节严重”。

二是违法所得数额。出售或者非法提供公民个人信息往往是为了牟利，故应当以违法所得作为认定“情节严重”的情形之一。从司法实践来看，一般公民个人信息的价格相对较低，甚至不会按条计价；而公民个人敏感信息价格通常较高，通常按条计价，特别是行踪轨迹信息可以谓之为最为昂贵的信息类型。考虑到各项规定之间的均衡，《解释》第五条第一款第七项将违法所得五千元以上的规定为“情节严重”。

三是信息用途。通常而言，非法获取公民个人信息，绝不仅是为了占有，而是有特定用途、甚至用于违法犯罪。可以说，非法获取、出售或者提供公民个人信息，不仅严重危害公民的信息安全，而且可能引发进一步犯罪。因此，此类行为引发的后果的严重程度，是认定“情节严重”与否的重要标准。被非法获取、出售或者提供的公民个人信息，用途存在不同，对权利人的侵害程度也会存在差异。如果涉案的公民个人信息被用于实施其他犯罪活动，使权利人的人身、财产安全陷入高风险状态或者造成实质危害的，对此应当直接认定为“情节严重”或者“情节特别严重”，以刑事手段加以规制；而如果涉案公民个人信息未被用于犯罪活动，则社会危害性相对较小，不宜直接以此作为刑事规制的依据。基于此，《解释》第五条第一款第二项将“知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的”规定为“情节严重”。从司法实践来看，行踪轨迹信息是最为敏感的公民个人信息。非法获取、出售或者提供该类信息，行为人主观上对可能被用于犯罪存在概括认识，《解释》第五条第一款第一项直接将“非法获取、出售或者提供行踪轨迹信息，被他人用于犯罪的”规定为“情节严重”，无须再具体判断主观上是否知道或者应当知道涉案信息被用于犯罪。

四是主体身份。公民个人信息泄露案件不少系内部人员作案，诸多公民个人信息买卖案件也可以见到“内鬼”参与的“影子”。这是侵犯公民个人信息违法犯罪泛滥的重要原因所在。由于上述情形往往发生在公民个人信息交易的最初阶段，涉案信息的数量往往较少、价格相对低廉。此种情形下，如果不设置特殊标准，往往难以对此类源头行为予以刑事惩治。基于此，为贯彻落实刑法第二百五十三条之一第二款“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚”的规定，《解释》第五条第一款第八项对将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的情形认定为“情节严重”设置了特殊标准，规定此种情形下出售或者提供公民个人信息，认定“情节严重”的数量、数额标准减半计算。当然，对于此种情形，不宜再根据刑法第二百五十三条之一第二款的规定从重处罚，以免重复评价。

五是主观恶性。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的，行为人屡罚屡犯，主观恶性大。故而，《解释》第五条第一款第九项将此种情形规定为“情节严重”。

2.“情节特别严重”的认定标准。《解释》第五条第二款主要从两个层面规定了“情节特别严重”的情形：一是数量数额标准。基于司法实践中侵犯公民个人信息犯罪涉案的公民个人信息数量相差悬殊，跨度从几千条到几十万条（甚至更大数量）不等，将“情节特别严重”和“情节严重”之间的数量数额标准设置为十倍而非五倍的倍数关系。二是严重后果。从实践来看，非法获取、出售或者提供公民个人信息，对于个人而言，可能造成人身伤亡、经济损失等后果；对于社会而言，可能引发社会恐慌，造成恶劣社会影响。基于此，将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”“造成重大经济损失或者恶劣社会影响的”规定为“情节特别严重”。

3.为合法经营活动购买、收受公民个人信息定罪量刑的特殊标准。从实践来看，购买、收受公民个人信息从事广告推销等活动的情形较为普遍。为了秉持刑法的谦抑性，体现宽严相济，《解释》第六条第一款规定：“为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的’情节严重’：（一）利用非法购买、收受的公民个人信息获利五万元以上的；（二）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的；（三）其他情节严重的情形。”这是《解释》针对为合法经营活动而购买、收受公民个人信息的行为设置的专门的定罪量刑标准。而且，考虑到此类行为社会危害性不大，即使构成犯罪，通常也不需要升档量刑，故只规定了“情节严重”的具体情形。

需要注意的是，适用该定罪量刑标准须满足三个条件：一是为了合法经营活动，对此可以综合全案证据认定，但主要应当由被告方提供相关证据；二是限于普通公民个人信息，即不包括可能影响人身、财产安全的敏感信息；三是信息没有再流出扩散，即行为方式限于购买、收受。根据《解释》第六条第二款的规定，如果将购买、收受的公民个人信息非法出售或者提供的，定罪量刑标准应当适用《解释》第五条的规定。对此应当注意的是，为了合法经营活动交换公民个人信息的，由于在获取信息的同时造成了信息扩散，不符合前述三个要件，定罪量刑标准亦应适用《解释》第五条的规定。

4.侵犯公民个人信息单位犯罪的定罪量刑标准。根据刑法第二百五十三条之一第四款的规定，单位可以成为侵犯公民个人信息罪的主体。为切实加大对单位侵犯公民个人信息犯罪的惩治力度，《解释》第七条明确了单位实施侵犯公民个人信息犯罪的，适用自然人犯罪的定罪量刑标准，规定：“单位犯刑法第二百五十三条之一规定之罪的，依照本解释规定的相应自然人犯罪的定罪量刑标准，对直接负责的主管人员和其他直接责任人员定罪处罚，并对单位判处罚金。”

(六)侵犯公民个人信息罪的

为贯彻落实“认罪认罚从宽制度”，充分发挥刑法的教育和威慑功能，《解释》第十条专门规定：“实施侵犯公民个人信息犯罪，不属于‘情节特别严重’，行为人系初犯，全部退赃，并确有悔罪表现的，可以认定为情节轻微，不起诉或者免予刑事处罚；确有必要判处刑罚的，应当从宽处罚。”可见，该条只适用于侵犯公民个人信息犯罪的基本情节，对于符合“情节特别严重”构成的，不能再适用本条规定从宽处罚。

（七）设立网站、通讯群组

侵犯公民个人信息行为的定性

实践中，一些行为人通过建立网站供他人进行公民个人信息交换、买卖等活动，以非法牟利。此类网站存储、流转公民个人信息量巨大，但网站建立者、直接负责的管理者未直接接触公民个人信息，不少情形下难以按照侵犯公民个人信息罪定罪处罚。根据刑法第二百八十七条之一的规定，设立用于实施违法犯罪活动的网站、通讯群组，情节严重的，构成非法利用信息网络罪。经研究认为，供他人实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组实际上属于“用于实施违法犯罪活动的网站、通讯群组”。因此，《解释》第八条规定：“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组，情节严重的，应当依照刑法第二百八十七条之一的规定，以非法利用信息网络罪定罪处罚；同时构成侵犯公民个人信息罪的，依照侵犯公民个人信息罪定罪处罚。”

（八）拒不履行公民个人信息

安全管理义务行为的处理

当前，一些单位因为履行职责或者提供服务的需要，掌握着海量公民个人信息，这些信息一旦泄露将造成恶劣社会影响和严重危害后果。实际上，侵犯公民个人信息违法犯罪的猖獗，与有关单位保护公民个人信息工作存在疏漏有一定关联，相关管理机制有进一步完善的空间。这一问题在互联网时代更为突出。为了促进网络运营者采取切实有效的措施加强对公民个人信息的保护，《网络安全法》明确了网络信息安全的责任主体，确立了“谁收集，谁负责”的原则，将收集和使用个人信息的网络运营者，设定为个人信息保护的责任主体。其中，第四十条明确规定：“网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。”与之相衔接，《刑法修正案（九）》设立了拒不履行信息网络安全管理义务罪，规定网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户信息泄露，造成严重后果的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。因此，对于网络服务提供者未切实落实个人信息保护措施，符合刑法第二百八十六条之一规定的，可能构成拒不履行信息网络安全管理义务罪。据此，《解释》第九条规定：“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。”

（九）涉案公民个人信息的数量计算规则

针对公民个人信息数量“计算难”的实际问题，《解释》第十一条专门规定了数量计算规则。具体而言：

1.公民个人信息的条数计算。关于公民个人信息的条数计算，如同一条信息中涉及多个个人信息的，如家庭住址、银行卡信息、电话号码，实践中往往认定为一条公民个人信息。对此问题，实践中并无太大争议,故未作专门规定。对于实践中存在的针对同一对象非法获取公民信息后又出售或者提供的情形，则明显不宜先计算非法获取的公民个人信息数量、再计算出售或者提供的公民个人信息数量，故《解释》第十一条第一款规定：“非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算。”此外，考虑到公民个人信息可能被重复出售或者提供，其社会危害性明显不同于向他人出售或者提供一次的情形，故而，《解释》第十一条第二款规定：“向不同单位或者个人分别出售、提供同一公民个人信息的，公民个人信息的条数累计计算。”

2.批量公民个人信息的数量认定规则。从实践来看，除公民个人敏感信息外，涉案的公民个人信息动辄上万条甚至数十万条。此类案件中，不排除少数情况下存在信息重复，如针对同一对象并存“姓名+住址”“姓名+电话号码”“姓名+身份证号”等数条信息，但要求做到完全去重较为困难。此外，对于信息的真实性也难以一一核实。个别案件中，要求办案机关电话联系权利人核实公民个人信息的做法，明显不合适。基于此，《解释》第十一条第三款规定：“对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。”

（十）侵犯公民个人信息犯罪的

侵犯公民个人信息犯罪具有明显的牟利性，行为人实施该类犯罪主要是为了牟取非法利益。因此，有必要加大财产刑的适用力度，让行为人在经济上得不偿失，进而剥夺其再次实施此类犯罪的经济能力。基于此，《解释》第十二条规定：“对于侵犯公民个人信息犯罪，应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等，依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。”

1.侵犯公民个人信息罪的两种行为方式的认定

本罪在客观方面表现为两种行为方式：

一是违反国家有关规定，向他人出售或者提供公民个人信息的行为。需要注意的是，“违反国家有关规定”不同于“违反国家规定”，前者的范围更为宽泛。如前所述，我国尚未制定专门的公民个人信息保护法，但一些专门的法律、法规对特定领域公民个人信息的保护有专门规定。此外，违反部门规章等关于公民个人信息保护的规定的，也可以认定为“违反国家有关规定”。根据信息来源的不同，此种行为又可以区分为向他人出售或者提供公民个人信息的情形和将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的情形。需要注意的是，实践中需要依据有关规定，准确判断提供公民个人信息的行为是否“违反国家有关规定”，而不能仅以是否经权利人同意作为判断标准。例如，为了侦查、起诉、审判工作的需要，依据有关法律向司法机关提供有关犯罪嫌疑人、被告人的个人信息的，虽未经该犯罪嫌疑人、被告人许可，但属于合法提供。

二是窃取或者以其他方法非法获取公民个人信息的行为。对此，需要着重把握“其他方法”的范围问题。“窃取”是指采用秘密的或者不为人知的方法取得他人个人信息的行为。“其他方法”，是指“窃取”以外的其他方法，如通过收买、欺骗等方法非法获取公民个人信息。实际上，窃取也是非法获取的方式之一。关于“其他方法”是否必须自身具有非法的性质，即其他方法是否只包括诈骗、胁迫等自身具有非法性质的方法，而不包括购买、接受赠与等自身不具有非法性质的方法，存在不同认识。我们赞同从行为人获取行为的本质属性角度加以判断，而不论获取行为是否违反法律的禁止性规定，即只要行为人没有获取公民个人信息的法律依据或者资格而获取相关个人信息的，即可以认定系“非法获取”。（注：参见赵秉志：《公民个人信息刑法保护问题研究》，载《华东政法大学学报》2014年第1期）司法适用中应当注意的是，具有特定职责的办案人员可以为履行职责进入公安信息网络等特定网络查阅公民信息，但是也出现了一些人利用职务便利，出于履职以外的目的，私自进入系统获取公民信息的现象。此种情形也应当认定为“以其他方法非法获取公民个人信息”。

（摘编自《<刑法修正案（九）>条文及配套司法解释理解与适用》，沈德咏主编，最高人民法院研究室、最高人民法院刑法修改工作小组办公室编著，人民法院出版社，2015年版）

2.侵犯公民个人信息罪入罪要件之“情节严重”的认定

根据修正后刑法第二百五十三条之一的规定，出售、非法提供公民个人信息，窃取或者非法获取公民个人信息，均以“情节严重”为入罪要件。如果未达到情节严重的程度，如系初犯，涉案公民个人信息数量较小、获利较少等，则不构成犯罪，可以根据具体情况予以行政处罚。

关于“情节严重”的具体认定标准，刑法第二百五十三条之一未作规定，（注：在《刑法修正案（九）（草案）》研拟过程中，有意见认为提供他人个人信息的行为有时情况很复杂，是否构成犯罪需要慎重考虑。如果规定为犯罪，可考虑规定“受过行政处罚”或者“提供多人、多次提供”等条件限制。实际上，刑法将入罪限制在“情节严重”的情形，完全可以达到限制犯罪圈的目的，实践中不会导致入罪随意和打击面过大。）目前也未见相关司法解释对此予以明确。综合司法实践的具体情况，我们认为，可以从以下几个方面认定“情节严重”：（1）出售、非法提供、非法获取公民个人信息的数量。如果出售、非法提供、非法获取公民个人信息的数量较大的，应当认定为“情节严重”。（2）违法所得的数额。从实践来看，不少出售、非法提供、非法获取公民个人信息案件，特别是出售和非法提供公民个人信息案件，其目的主要在于牟取经济利益。因此，应当以违法所得的数额作为衡量“情节严重”的标准之一。（3）引发的后果的严重程度。对于违反规定，将所获取的公民个人信息出售或者提供给他人，被他人用以实施犯罪，造成受害人人身伤害甚至死亡，或者造成重大经济损失、恶劣社会影响的，可以认定为“情节严重”。对于窃取或者以其他方法非法获取公民个人信息，造成其他严重后果的，也可以认定为“情节严重”。

（摘自《<刑法修正案（九）>条文及配套司法解释理解与适用》，沈德咏主编，最高人民法院研究室、最高人民法院刑法修改工作小组办公室编著，人民法院出版社，2015年版）

3.对非法使用公民个人信息的行为不能单独定罪，但对其关联行为可予以刑事惩治

对于非法使用公民个人信息的行为是否入罪，存在不同认识。从境外的情况来看，有些国家和地区将非法使用个人信息的行为规定为犯罪。当前，非法使用公民个人信息的行为日益严重，诸如通信公司和其他单位利用所掌握的用户手机号码群发垃圾短信、拨打骚扰电话等现象较为普遍，严重干扰了人民群众的正常工作和生活。《刑法修正案（九）（草案）》研拟和审议过程中，有关部门和专家学者即建议借鉴国外立法例，将非法使用公民个人信息的行为入罪打击。然而，上述建议最终未被《刑法修正案（九）》采纳。因此，对于将自己掌握的公民个人信息（包括合法获取或者非法获取的公民个人信息）非法使用的行为，不能直接依据修正后刑法第二百五十三条之一的规定入罪。

如2008年底被曝光的“西电卡门事件”，西安电子科技大学财务处在未经学生同意的情况下，利用掌握的学生身份证号码、家庭详细住址等个人资料，为一万多名学生集体办理了“中国工商银行牡丹圆梦学生卡”。然而，这一万余名学生对自己拥有该信用卡却一无所知。由于此事影响颇广，最终以学校公开致歉并注销信用卡结束。（注：参见王作富主编：《刑法分则实务研究（中）》，中国方正出版社2013年版，第857页。）在这一事件中，西安电子科技大学并非窃取或者以其他非法方法获取学生的个人信息，亦未将所掌握的学生个人信息出售或者非法提供给他人，而是违反国家规定和权利人意愿非法使用所掌握的公民个人信息，但该行为尚不构成刑法规定的犯罪。

需要注意的是，非法使用公民个人信息的行为未单独入罪，只是意味着不能单独对非法使用公民个人信息的行为定罪处罚，但是，司法实践中完全可以依据非法使用公民个人信息的关联行为予以刑事惩治：如果行为人所掌握的公民个人信息系窃取或者以其他方法非法获取的，可以适用侵犯公民个人信息罪；如果非法使用所掌握的公民个人信息，实施诈骗、敲诈勒索等其他犯罪行为的，也可以以其他犯罪论处。

（摘自《<刑法修正案（九）>条文及配套司法解释理解与适用》，沈德咏主编，最高人民法院研究室、最高人民法院刑法修改工作小组办公室编著，人民法院出版社，2015年版）

4.非法获取公民个人电子信息可能构成侵犯公民个人信息罪与非法获取计算机信息系统数据罪的想象竞合犯

《关于加强网络信息保护的决定》对公民个人电子信息的保护作了规定，违反相应规定非法获取公民个人电子信息的行为，无疑属于修正后刑法第二百五十三条之一规定的非法获取公民个人信息的行为。但是，公民个人电子信息往往表现为计算机信息系统数据，故非法获取公民个人电子信息的行为有时会同时触犯侵犯公民个人信息罪与非法获取计算机信息系统数据罪。如违反国家规定，侵入计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的涉及能够识别公民个人身份和涉及公民个人隐私的电子信息，同时，符合侵犯公民个人信息罪与非法获取计算机信息系统数据罪两个犯罪的构成要件，但由于只有一个犯罪行为，属于想象竞合犯，应当从一重罪处断。

（摘自《<刑法修正案（九）>条文及配套司法解释理解与适用》，沈德咏主编，最高人民法院研究室、最高人民法院刑法修改工作小组办公室编著，人民法院出版社，2015年版）

5.对“人肉搜索”行为不能直接认定为侵犯公民个人信息罪

在《刑法修正案（七）》制定前，关于“人肉搜索”行为入罪的呼声就较高。然而，此种行为由于行为主体的主观意图和对信息的使用方法在危害性上有不同的表现，不宜直接以刑罚手段处理。（参见赵秉志主编：《刑法修正案（七）专题研究》，北京师范大学出版社2011年版，第169页。）实际上，《刑法修正案（九）（草案）》审议过程中，也有意见提出，建议将“人肉搜索”行为入罪。然而，无论是《刑法修正案（七）》，还是《刑法修正案（九）》，均未将“人肉搜索”行为直接规定为犯罪。因此，对于“人肉搜索”行为，不能直接适用修正后刑法第二百五十三条第三款的规定。当然，如果构成其他犯罪的，可以按照其他犯罪处理。例如，将“人肉搜索”获取的信息非法出售的，当然属于违反国家有关规定，向他人出售公民个人信息的情形，情节严重的，可以按照侵犯公民个人信息罪处理。

（摘自《<刑法修正案（九）>条文及配套司法解释理解与适用》，沈德咏主编，最高人民法院研究室、最高人民法院刑法修改工作小组办公室编著，人民法院出版社，2015年版）

1.私自安装软件秘密获取他人大量个人信息的，属于非法获取公民个人信息——朱浩然非法获取公民个人信息案

本案要旨：非法获取公民个人信息，行为的非法性包括：一是获取公民个人信息的手段、方式违反了法律法规的禁止性规定，二是获取信息未经公民本人知晓并授权。被告人通过擅自秘密安装GPS定位器、放置录音笔及在电脑中私自安装截屏软件等方法，获取其前妻大量个人信息的，应视为非法获取，情节严重的，构成非法获取公民个人信息罪。

案号：（2014）沪二中刑终字第582号

审理法院：上海市第二中级人民法院

来源：《人民司法·案例》2014年第20期

2.银行工作人员对外出售客户个人信息可构成出售公民个人信息罪，以买卖等方法非法获取前述信息可构成非法获取公民个人信息罪——朱凯华等信用卡诈骗、妨害信用卡管理、出售、非法获取公民个人信息案

本案要旨：银行工作人员违反相关规定，利用职务便利，通过银行内部网络系统获取银行客户的账户资料、个人征信报告，对外出售，情节严重的，构成出售公民个人信息罪。行为人从银行工作人员处以买卖等方法获取客户个人信息，达到情节严重标准的，构成非法获取公民个人信息罪。

审理法院：上海市闸北区人民法院

来源：《中国审判案例要览》（2013年刑事审判案例卷）

3.有一定私密性并具法律保护价值的公民专属、关联信息应认定为公民个人信息——郭勇非法获取公民个人信息案

本案要旨：公民机动车信息、护照信息、银行信用报告信息、人口信息及旅馆入住信息等，均属公民的专属或关联信息，具有一定的私密性、非公开性及法律保护价值，属于公民个人信息，应受法律保护。被告人利用QQ聊天平台，非法获取他人上述信息，并予以出售，属于侵犯了公民个人信息安全与自由的行为，情节严重的，应依法予以惩处。

案号：（2013）固刑初字第430号

审理法院：河南省固始县人民法院

1.《中华人民共和国刑法》(1997修订)

第二百八十五条　违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

2.《中华人民共和国刑法修正案（七）》

七、在刑法第二百五十三条后增加一条，作为第二百五十三条之一：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

“窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。

“单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

九、在刑法第二百八十五条中增加两款作为第二款、第三款：“违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

“提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。”

3.《中华人民共和国刑法修正案（九）》

十七、将刑法第二百五十三条之一修改为：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

“窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

“单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

4.《全国人大常委会关于加强网络信息保护的决定》

一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。

任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。

十一、对有违反本决定行为的，依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚，记入社会信用档案并予以公布；构成违反治安管理行为的，依法给予治安管理处罚。构成犯罪的，依法追究刑事责任。侵害他人民事权益的，依法承担民事责任。