> 民事法律> 婚姻家庭>侵犯公民信息罪的立案追诉标准及其司法解释
提问问题
ASK1600752441eam
[辽宁-沈阳]
悬赏分:5

侵犯公民信息罪的立案追诉标准及其司法解释

侵犯公民信息罪的立案追诉标准及其司法解释

发布时间:2020-09-22 13:27 
律师解答区

一、《刑法》
第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
三个行为:非法搞到,卖给别人,免费给别人。
二、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
2017年3月20日最高人民法院审判委员会第1712次会议、2017年4月26日最高人民检察院第十二届检察委员会第63次会议通过,自2017年6月1日起施行。法释〔2017〕10号
  为依法惩治侵犯公民个人信息犯罪活动,保护公民个人信息安全和合法权益,根据《中华人民共和国刑法》《中华人民共和国刑事诉讼法》的有关规定,现就办理此类刑事案件适用法律的若干问题解释如下:
第一条 【公民个人信息定义】刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
个人信息的本质属性:可以识别特定个人。
第二条 【国家有关规定至规章一级】违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。
第三条 【提供行为】向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。
  未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
第四条 【非法获取行为】违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
第五条 【立案标准】非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
  (一)【行踪轨迹,用于犯罪】出售或者提供行踪轨迹信息,被他人用于犯罪的;
  (二)【为犯罪提供】知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
  (三)【四类关键信息五十条】非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
  (四)【安全隐患信息五百条】非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
  (五)【一般信息五千条】非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
  (六)【比例合计】数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
  (七)【违法所得五千】违法所得五千元以上的;
  (八)【履职获得,标准减半】将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
  (九)【有同类前科,刑事或两年内行政】曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
  (十)其他情节严重的情形。
【升格刑标准】实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
  (一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
  (二)造成重大经济损失或者恶劣社会影响的;
  (三)【十倍标准】数量或者数额达到前款第三项至第八项规定标准十倍以上的;
  (四)其他情节特别严重的情形。
第六条 【经营,获取一般信息行为】为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
  (一)利用非法购买、收受的公民个人信息获利五万元以上的;
  (二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;
  (三)其他情节严重的情形。
  实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。
第七条 单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。
第八条 【非法利用信息网络罪】设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。
第九条 【拒不履行信息网络安全管理义务罪】网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。
第十条 【出罪情节】实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。
第十一条 【条数计算】非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。
  向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。
  【推定真实】对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
第十二条 对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。
第十三条 本解释自2017年6月1日起施行。
最高人民法院办公厅秘书一处
2017年5月8日印发




关于《解释》的新闻发布稿
三、《侵犯公民个人信息解释》的理解与适用

日前,最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号,以下简称《解释》),自2017年6月1日起施行。《解释》的公布施行,对于强化公民个人信息的刑事保护,维护个人信息安全和其他合法权益,必将发挥重要作用。为便于司法实践中正确理解和适用,现就《解释》的制定背景、起草中的主要考虑和主要内容介绍如下。
一、《解释》的制定背景与经过
随着信息化建设的推进,信息资源成为重要的生产要素和社会财富。而在各类信息中,个人信息的价值日益凸显,成为数字经济最重要的元素之一。与之同时,个人信息泄露问题严重,个人信息安全成为一个全社会高度关注的问题。为保护公民个人信息,2009年2月28日起施行的《刑法修正案(七)》增设了刑法第二百五十三条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。《刑法修正案(七)》施行以来,各级公检法机关正确适用法律,准确认定事实,坚决依法惩处侵犯公民个人信息犯罪活动。2009年2月至2015年10月,全国法院新收出售、非法提供公民个人信息、非法获取公民个人信息刑事案件988起,审结969起,生效判决人数1415人。其中,新收出售、非法提供公民个人信息刑事案件101件,审结98件,生效判决人数142人;新收非法获取公民个人信息刑事案件887件,审结871件,生效判决人数1273人。
近年来,侵犯公民个人信息犯罪仍处于高发态势,不仅严重危害公民个人信息安全,而且与电信网络诈骗等犯罪存在密切关联,甚至与绑架、敲诈勒索等犯罪活动相结合,社会危害日益突出。为切实加大对公民个人信息的刑法保护力度,《刑法修正案(九)》对刑法第二百五十三条之一作出修改完善:一是扩大犯罪主体的范围,规定任何单位和个人违反国家有关规定,获取、出售或者提供公民个人信息,情节严重的,都构成犯罪;二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚;三是提升法定刑配置水平,增加规定“处三年以上七年以下有期徒刑,并处罚金”。修改后,“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。《刑法修正案(九)》施行以来,各级公检法机关依据修改后刑法的规定,继续保持对侵犯公民个人信息犯罪的高压态势,实现案件量显著增长。2015年11月至2016年12月,全国法院新收侵犯公民个人信息刑事案件(含出售、非法提供公民个人信息、非法获取公民个人信息刑事案件)495件,审结464件,生效判决人数697人。
与此同时,司法实践反映,侵犯公民个人信息罪的具体定罪量刑标准尚不明确,一些法律适用问题存在争议,需要通过司法解释作出规定。为确保法律准确、统一适用,依法严厉惩治、有效防范侵犯公民个人信息犯罪,最高人民法院会同最高人民检察院,在公安部等有关部门的大力支持下,经深入调查研究、广泛征求意见,起草了《解释》。2017年3月20日最高人民法院审判委员会第1712次会议、2017年4月26日最高人民检察院第十二届检察委员会第63次会议审议通过了《解释》。
二、《解释》起草中的主要考虑
为确保《解释》的内容科学合理,能够适应形势发展、满足实践需要,在起草过程中,着重注意把握了以下几点:
第一,贯彻刑法修改精神,强化对公民个人信息的刑法保护。当前,侵犯公民个人信息犯罪呈高发多发态势,涉及的个人信息数量越来越大、类型越来越多。特别是,不少涉案公民个人信息事关他人财产乃至人身安全,如行踪轨迹、财产信息等敏感信息。基于当前侵犯公民个人信息犯罪的态势,根据修法精神,《解释》相关条文彰显了对侵犯公民个人信息犯罪的严惩立场,以加强对公民个人信息的刑法保护,有效维护公民的人身、财产安全和生活安宁。
第二,坚持问题导向,有效解决司法实务问题。从调研情况来看,对侵犯公民个人信息犯罪尚存在不少争议问题,亟需通过司法解释加以明确。例如,“公民个人信息”的内涵与外延,“出售或者提供公民个人信息”“非法获取公民个人信息”的理解,“情节严重”“情节特别严重”的把握,等等。基于此,《解释》相关条文以办理侵犯公民个人信息刑事案件存在的问题为基础,结合司法实际,作了明确规定。 
第三,坚持安全与发展并重,兼顾个人信息保护与大数据发展的需要。在全球信息化快速发展的大背景下,大数据已成为国家重要的基础性战略资源,正引领新一轮科技创新。在大数据和云计算时代,包括个人信息在内的数据,只有充分地流动、共享、交易,才能实现集聚与规模效应,最大程度地发挥价值。但是,在数据流动、交易过程中如何保护公民个人信息的安全,避免个人信息扩散失控,也是必须面对的问题。实际上,公民个人信息的保护与大数据发展和信息社会的建设并不矛盾,二者之间的平衡点就在现行法律框架。质言之,大数据的发展应依法进行,信息社会须建立在依法保护个人信息的基础上,只有包括个人信息在内的数据在法律保护下安全迅速地收集和流通,才能真正推动我国信息产业的发展。因此,《解释》在刑法和《网络安全法》确立的框架范围内,兼顾公民个人信息保护与大数据产业发展的关系,确保在公民个人信息安全的前提下为大数据发展和信息化建设提供有力刑事司法保护。
三、《解释》的主要内容
《解释》结合当前侵犯公民个人信息犯罪的特点和司法实践反映的问题,依照刑法、刑事诉讼法的规定,对侵犯公民个人信息罪的定罪量刑标准和相关法律适用问题作了全面、系统的规定。《解释》共十三个条文,大致可以归纳为如下十个方面的问题:
(一)“公民个人信息”的范围
目前,我国关于个人信息的界定,最为权威的当属《网络安全法》的规定。《网络安全法》第七十六条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。” 经研究认为,《网络安全法》将“个人信息”界定为“能够识别自然人个人身份的各种信息”,显然使用的是广义的“身份识别信息”的概念,即既包括狭义的身份识别信息(能够识别出特定自然人身份的信息),也包括体现特定自然人活动情况的信息。例如,从实践来看,行踪轨迹信息系事关人身安全的高度敏感信息,无疑应纳入法律保护范围,且应当重点保护。但是,行踪轨迹信息明显难以纳入狭义的“身份识别信息”的范畴。如果认为《网络安全法》将此类信息排除在“个人信息”的范围外,恐难以为一般人所认同,也不符合保护公民个人信息的立法精神。合理的解释应当是,《网络安全法》是广义上使用“身份识别信息”这一概念,亦即也包括个人活动情况信息在内。基于此,《解释》第一条在上述规定的基础上,进一步明确“公民个人信息”包括身份识别信息和活动情况信息,规定:“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
此外,根据《解释》第一条的规定,关于“公民个人信息”的外延,有以下几个具体问题值得注意:(1)“公民个人信息”,既包括中国公民的个人信息,也包括外国公民和其他无国籍人的个人信息。(2)公民个人信息须与特定自然人关联。这是公民个人信息所具有的关键属性。因此,经过处理无法识别特定个人且不能复原的信息,虽然也可能反映自然人活动情况,但与特定自然人无直接关联,不能成为公民个人信息的范畴。对于与特定自然人关联,可以是识别特定自然人身份,也可以是反映特定自然人活动情况。需要注意的是,无论是识别特定自然人身份,还是反映特定自然人活动情况,都应当是能够单独或者与其他信息结合所具有的功能。例如,身份证号与公民个人身份一一对应,可以单独识别公民个人身份;而工作单位、家庭住址等无法单独识别公民个人身份,需要同其他信息结合才能识别公民个人身份。但是,上述两类信息无疑都属于公民个人信息的范畴。(3)与特定自然人关联的账号密码属于“公民个人信息”。对于“账号密码”能否纳入“公民个人信息”的范围,存在不同认识。经研究认为,当前账号密码往往绑定身份证号、手机号码等特定信息,即使未绑定,非法获取账号密码后往往也会引发侵犯财产甚至人身的违法犯罪。因此,《解释》第一条明确将“账号密码”列为“公民个人信息”的范围。
(二)“违反国家有关规定”的认定  
《刑法修正案(九)》将侵犯公民个人信息罪的前提要件由“违反国家规定”修改为“违反国家有关规定”。根据修法精神,《解释》第二条规定:“违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的‘违反国家有关规定’。”具体而言,该条将 “国家有关规定”明确限于法律、行政法规、部门规章等国家层面的规定,不包括地方性法规等非国家层面的规定。
(三)非法“提供公民个人信息”的认定  
根据刑法第二百五十三条之一第一款、第二款的规定,违反国家有关规定,向他人非法出售或者提供公民个人信息,是侵犯公民个人信息罪的客观行为方式之一。从司法适用的角度,以下两个问题值得关注:
1.“提供”的认定。向特定人提供公民个人信息,属于“提供”公民个人信息,对此不存在疑义。但是,对于通过信息网络或者其他途径发布公民个人信息,是否属于“提供公民个人信息”,存在不同认识。经研究认为,通过信息网络或者其他途径发布公民个人信息,实际是向不特定多数人提供公民个人信息,向特定人提供公民个人信息的行为属于“提供”,基于“举轻明重”的法理,前者更应当认定为“提供”。基于此,《解释》第三条第一款规定:“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的‘提供公民个人信息’。”
2.合法收集公民个人信息后非法提供的认定。基于大数据发展的现实需要,《网络安全法》在法律层面为个人信息交易和流动留有一定空间,第四十四条规定任何个人和组织“不得非法出售或者非法向他人提供个人信息”,即不仅允许合法提供公民个人信息,而且为合法出售公民个人信息留有空间。而且,《网络安全法》第四十二条第一款进一步明确了合法提供公民个人信息的情形,规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”据此,经得被收集者同意,以及匿名化处理(剔除个人关联),是合法提供公民个人信息的两种情形,不能纳入刑事规制范围。基于此,《解释》第三条第二款规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”当然,这里只是明确此种情形属于“提供公民个人信息”,是否构成侵犯公民个人信息罪,还需要根据“违反国家有关规定”等要件作进一步判断。

(四)“非法获取公民个人信息”的认定  
根据刑法第二百五十三条之一第三款的规定,窃取或者以其他方法非法获取公民个人信息是侵犯公民个人信息罪的客观行为方式之一。具体而言,以下几个问题值得关注:
1.购买公民个人信息的处理。从实践来看,非法获取公民个人信息的方式主要表现为购买、收受、交换和侵入计算机信息系统或者采用其他技术手段。对于“购买公民个人信息”是否属于“以其他方法非法获取公民个人信息”,存在不同认识。有意见认为,“其他方法”应当限于与“窃取”危害性相当的方式(如抢夺),不宜将“购买”包括在内。经研究认为,其一,刑法第二百五十三条之一第三款并未明确排除“购买”方法,且非法购买公民个人信息当然属于非法获取公民个人信息的情形。其二,从实践来看,当前非法获取公民个人信息的方式主要表现为非法购买,如排除此种方式,则会大幅限缩侵犯公民个人信息罪的适用范围。其三,不少侵犯公民个人信息犯罪案件,购买往往是后续出售、提供的前端环节,没有购买就没有后续的出售、提供。基于上述考虑,《解释》第四条明确规定:“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的‘以其他方法非法获取公民个人信息’。”

2.获取公民个人信息行为“非法”的判断。对于获取公民个人信息,刑法第二百五十三条之一第三款将罪状直接表述为“非法获取”。基于体系解释的原理,对此处的“非法”,应当以是否违反国家有关规定作为判断标准。

3.非法收集公民个人信息的处理。《网络安全法》第四十一条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”违反上述规定,未经他人同意收集公民个人信息,或者收集与提供的服务无关的公民个人信息的,应当认定为“非法获取公民个人信息”。以此为基础,《解释》第四条专门明确,违反国家有关规定,在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

(五)侵犯公民个人信息罪的定罪量刑标准
根据刑法第二百五十三条之一的规定,非法获取、出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。可见,侵犯公民个人信息罪系情节犯,定罪量刑标准为“情节严重”“情节特别严重”。对于这一概括性的定罪量刑情节,宜根据司法实践的情况从犯罪的客体、客观方面、主体、主观方面等多个角度加以考察。经充分调研,《解释》第五条规定了“情节严重”“情节特别严重”的认定标准。
1.“情节严重”的认定标准。《解释》第五条第一款从以下几个方面对侵犯公民个人信息罪的入罪标准“情节严重”作了明确:

一是信息类型和数量。公民个人信息的类型繁多,行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、交易信息等公民个人敏感信息涉及人身安全和财产安全,被非法获取、出售或者提供后极易引发绑架、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。因此,基于不同类型公民个人信息的重要程度,《解释》分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准,以实现罪责刑相适应。具体而言:

(1)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的。行踪轨迹信息、通信内容、征信信息、财产信息与人身安全、财产安全直接相关,系高度敏感信息,《解释》第五条第一款第三项将入罪标准设置为“五十条以上”。需要注意的是,鉴于本项规定的入罪标准门槛较低,故此处严格限缩所涉公民个人信息的类型,仅限于行踪轨迹信息、通信内容、征信信息、财产信息四类信息,不允许司法适用中再通过等外解释予以扩大。对于行踪轨迹信息、通信内容、征信信息,司法实践中在认定上不存在争议。对于财产信息,可以根据案件具体情况把握:既包括银行账户、第三方支付结算帐户、证券期货等金融服务账户的身份认证信息(一组确认用户操作权限的数据,包括账号、口令、密码、数字证书等),也包括存款、房产等财产状况信息。

(2)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的。上述公民个人信息虽然在重要程度上弱于行踪轨迹信息、通信内容、征信信息、财产信息,但也与人身安全、财产安全直接相关,往往被用于“精准”诈骗等违法犯罪活动。基于此,《解释》第五条第一款第四项将入罪标准设置为“五百条以上”。需要注意的是,本项规定有“等其他可能影响人身、财产安全的公民个人信息”的表述,司法实践中可以根据具体情况作等外解释,但应当确保所适用的公民个人信息涉及人身、财产安全,且与“住宿信息、通信记录、健康生理信息、交易信息”在重要程度上具有相当性。

(3)非法获取、出售或者提供一般公民个人信息五千条以上的。从实践来看,除前述公民个人敏感信息外,出售、提供公民个人信息往往数量较大,动辄数万条甚至数十万条,在不少案件中甚至将公民个人信息编辑为电子文档后按兆出售。因此,不少地方对出售、提供公民个人信息的入罪掌握在数量五千条以上,基本上可以满足严厉打击此类犯罪的需要,且给行政处罚留有一定空间。基于此,《解释》第五条第一款第五项设置较低的入罪标准,将非法获取、出售或者提供公民个人信息五千条以上的规定为“情节严重”。

此外,鉴于实践中存在混杂公民个人信息的情形,《解释》第五条第一款第六项将“数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的”情形规定为“情节严重”。

二是违法所得数额。出售或者非法提供公民个人信息往往是为了牟利,故应当以违法所得作为认定“情节严重”的情形之一。从司法实践来看,一般公民个人信息的价格相对较低,甚至不会按条计价;而公民个人敏感信息价格通常较高,通常按条计价,特别是行踪轨迹信息可以谓之为最为昂贵的信息类型。考虑到各项规定之间的均衡,《解释》第五条第一款第七项将违法所得五千元以上的规定为“情节严重”。

三是信息用途。通常而言,非法获取公民个人信息,绝不仅是为了占有,而是有特定用途、甚至用于违法犯罪。可以说,非法获取、出售或者提供公民个人信息,不仅严重危害公民的信息安全,而且可能引发进一步犯罪。因此,此类行为引发的后果的严重程度,是认定“情节严重”与否的重要标准。被非法获取、出售或者提供的公民个人信息,用途存在不同,对权利人的侵害程度也会存在差异。如果涉案的公民个人信息被用于实施其他犯罪活动,使权利人的人身、财产安全陷入高风险状态或者造成实质危害的,对此应当直接认定为“情节严重”或者“情节特别严重”,以刑事手段加以规制;而如果涉案公民个人信息未被用于犯罪活动,则社会危害性相对较小,不宜直接以此作为刑事规制的依据。基于此,《解释》第五条第一款第二项将“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的”规定为“情节严重”。从司法实践来看,行踪轨迹信息是最为敏感的公民个人信息。非法获取、出售或者提供该类信息,行为人主观上对可能被用于犯罪存在概括认识,《解释》第五条第一款第一项直接将“非法获取、出售或者提供行踪轨迹信息,被他人用于犯罪的”规定为“情节严重”,无须再具体判断主观上是否知道或者应当知道涉案信息被用于犯罪。

四是主体身份。公民个人信息泄露案件不少系内部人员作案,诸多公民个人信息买卖案件也可以见到“内鬼”参与的“影子”。这是侵犯公民个人信息违法犯罪泛滥的重要原因所在。由于上述情形往往发生在公民个人信息交易的最初阶段,涉案信息的数量往往较少、价格相对低廉。此种情形下,如果不设置特殊标准,往往难以对此类源头行为予以刑事惩治。基于此,为贯彻落实刑法第二百五十三条之一第二款“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚”的规定,《解释》第五条第一款第八项对将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的情形认定为“情节严重”设置了特殊标准,规定此种情形下出售或者提供公民个人信息,认定“情节严重”的数量、数额标准减半计算。当然,对于此种情形,不宜再根据刑法第二百五十三条之一第二款的规定从重处罚,以免重复评价。

五是主观恶性。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的,行为人屡罚屡犯,主观恶性大。故而,《解释》第五条第一款第九项将此种情形规定为“情节严重”。

2.“情节特别严重”的认定标准。《解释》第五条第二款主要从两个层面规定了“情节特别严重”的情形:一是数量数额标准。基于司法实践中侵犯公民个人信息犯罪涉案的公民个人信息数量相差悬殊,跨度从几千条到几十万条(甚至更大数量)不等,将“情节特别严重”和“情节严重”之间的数量数额标准设置为十倍而非五倍的倍数关系。二是严重后果。从实践来看,非法获取、出售或者提供公民个人信息,对于个人而言,可能造成人身伤亡、经济损失等后果;对于社会而言,可能引发社会恐慌,造成恶劣社会影响。基于此,将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”“造成重大经济损失或者恶劣社会影响的”规定为“情节特别严重”。

3.为合法经营活动购买、收受公民个人信息定罪量刑的特殊标准。从实践来看,购买、收受公民个人信息从事广告推销等活动的情形较为普遍。为了秉持刑法的谦抑性,体现宽严相济,《解释》第六条第一款规定:“为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的’情节严重’:(一)利用非法购买、收受的公民个人信息获利五万元以上的;(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;(三)其他情节严重的情形。”这是《解释》针对为合法经营活动而购买、收受公民个人信息的行为设置的专门的定罪量刑标准。而且,考虑到此类行为社会危害性不大,即使构成犯罪,通常也不需要升档量刑,故只规定了“情节严重”的具体情形。

需要注意的是,适用该定罪量刑标准须满足三个条件:一是为了合法经营活动,对此可以综合全案证据认定,但主要应当由被告方提供相关证据;二是限于普通公民个人信息,即不包括可能影响人身、财产安全的敏感信息;三是信息没有再流出扩散,即行为方式限于购买、收受。根据《解释》第六条第二款的规定,如果将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准应当适用《解释》第五条的规定。对此应当注意的是,为了合法经营活动交换公民个人信息的,由于在获取信息的同时造成了信息扩散,不符合前述三个要件,定罪量刑标准亦应适用《解释》第五条的规定。

4.侵犯公民个人信息单位犯罪的定罪量刑标准。根据刑法第二百五十三条之一第四款的规定,单位可以成为侵犯公民个人信息罪的主体。为切实加大对单位侵犯公民个人信息犯罪的惩治力度,《解释》第七条明确了单位实施侵犯公民个人信息犯罪的,适用自然人犯罪的定罪量刑标准,规定:“单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。”
(六)侵犯公民个人信息罪的认罪认罚从宽处理

为贯彻落实“认罪认罚从宽制度”,充分发挥刑法的教育和威慑功能,《解释》第十条专门规定:“实施侵犯公民个人信息犯罪,不属于‘情节特别严重’,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。”可见,该条只适用于侵犯公民个人信息犯罪的基本情节,对于符合“情节特别严重”构成的,不能再适用本条规定从宽处罚。

(七)设立网站、通讯群组侵犯公民个人信息行为的定性

实践中,一些行为人通过建立网站供他人进行公民个人信息交换、买卖等活动,以非法牟利。此类网站存储、流转公民个人信息量巨大,但网站建立者、直接负责的管理者未直接接触公民个人信息,不少情形下难以按照侵犯公民个人信息罪定罪处罚。根据刑法第二百八十七条之一的规定,设立用于实施违法犯罪活动的网站、通讯群组,情节严重的,构成非法利用信息网络罪。经研究认为,供他人实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组实际上属于“用于实施违法犯罪活动的网站、通讯群组”。因此,《解释》第八条规定:“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。”

(八)拒不履行公民个人信息安全管理义务行为的处理

当前,一些单位因为履行职责或者提供服务的需要,掌握着海量公民个人信息,这些信息一旦泄露将造成恶劣社会影响和严重危害后果。实际上,侵犯公民个人信息违法犯罪的猖獗,与有关单位保护公民个人信息工作存在疏漏有一定关联,相关管理机制有进一步完善的空间。这一问题在互联网时代更为突出。为了促进网络运营者采取切实有效的措施加强对公民个人信息的保护,《网络安全法》明确了网络信息安全的责任主体,确立了“谁收集,谁负责”的原则,将收集和使用个人信息的网络运营者,设定为个人信息保护的责任主体。其中,第四十条明确规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”与之相衔接,《刑法修正案(九)》设立了拒不履行信息网络安全管理义务罪,规定网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户信息泄露,造成严重后果的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。因此,对于网络服务提供者未切实落实个人信息保护措施,符合刑法第二百八十六条之一规定的,可能构成拒不履行信息网络安全管理义务罪。据此,《解释》第九条规定:“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。”

(九)涉案公民个人信息的数量计算规则

针对公民个人信息数量“计算难”的实际问题,《解释》第十一条专门规定了数量计算规则。具体而言:
1.公民个人信息的条数计算。关于公民个人信息的条数计算,如同一条信息中涉及多个个人信息的,如家庭住址、银行卡信息、电话号码,实践中往往认定为一条公民个人信息。对此问题,实践中并无太大争议,故未作专门规定。对于实践中存在的针对同一对象非法获取公民信息后又出售或者提供的情形,则明显不宜先计算非法获取的公民个人信息数量、再计算出售或者提供的公民个人信息数量,故《解释》第十一条第一款规定:“非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。”此外,考虑到公民个人信息可能被重复出售或者提供,其社会危害性明显不同于向他人出售或者提供一次的情形,故而,《解释》第十一条第二款规定:“向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。”

2.批量公民个人信息的数量认定规则。从实践来看,除公民个人敏感信息外,涉案的公民个人信息动辄上万条甚至数十万条。此类案件中,不排除少数情况下存在信息重复,如针对同一对象并存“姓名+住址”“姓名+电话号码”“姓名+身份证号”等数条信息,但要求做到完全去重较为困难。此外,对于信息的真实性也难以一一核实。个别案件中,要求办案机关电话联系权利人核实公民个人信息的做法,明显不合适。基于此,《解释》第十一条第三款规定:“对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。”

(十)侵犯公民个人信息犯罪的罚金刑适用规则

侵犯公民个人信息犯罪具有明显的牟利性,行为人实施该类犯罪主要是为了牟取非法利益。因此,有必要加大财产刑的适用力度,让行为人在经济上得不偿失,进而剥夺其再次实施此类犯罪的经济能力。基于此,《解释》第十二条规定:“对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。”
作者:周加海 邹涛 喻海松(最高人民法院)


四、最高人民法院研究室主任答记者问颜茂昆(2017年5月9日)
各位记者:
  大家上午好!现在我向各位通报《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)的有关情况。
一、《解释》的制定背景
  随着信息化建设的推进,信息资源成为重要的生产要素和社会财富。与此同时,个人信息泄露问题严重,个人信息安全成为一个全社会高度关注的问题。为保护公民个人信息,2009年2月28日起施行的《刑法修正案(七)》增设了刑法第二百五十三条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。《刑法修正案(七)》施行后,从2009年2月至2015年10月,全国法院共审结出售、非法提供公民个人信息、非法获取公民个人信息刑事案件969起,生效判决人数1415人。
  近年来,侵犯公民个人信息犯罪仍处于高发态势,而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势,社会危害更加严重。为加大对公民个人信息的保护力度,2015年11月1日起施行的《刑法修正案(九)》对刑法第二百五十三条之一作出修改完善:一是扩大犯罪主体的范围,规定任何单位和个人违反国家有关规定,获取、出售或者提供公民个人信息,情节严重的,都构成犯罪;二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚;三是加重法定刑,增加规定“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。修改后,“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。《刑法修正案(九)》施行以来,各级公检法机关依据修改后的刑法规定,严肃惩处侵犯公民个人信息犯罪,案件数量显著增长。2015年11月至2016年12月,全国法院新收侵犯公民个人信息刑事案件495件,审结464件,生效判决人数697人。
  在查办案件过程中,有意见反映,侵犯公民个人信息罪的定罪量刑标准较为原则,不易把握;另有一些法律适用问题存在认识分歧,影响了案件办理。鉴此,为保障法律正确、统一适用,依法严厉惩治、有效防范侵犯公民个人信息犯罪,最高人民法院会同最高人民检察院,在公安部等有关部门的大力支持下,经深入调查研究、广泛征求意见、反复论证完善,制定了本《解释》。
  《解释》根据法律规定和立法精神,对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。制定本《解释》,是人民法院、人民检察院充分发挥刑事司法职能,积极回应人民群众关切,加大对涉民生犯罪惩治力度的一项重要举措。《解释》的公布施行,对于强化公民个人信息的保护,维护人民群众个人信息安全以及财产、人身权益,必将发挥重要作用。
二、《解释》的主要内容
  《解释》共十三条,主要包括以下十个方面的内容:
(一)明确了“公民个人信息”的范围。基于全面保护公民个人信息的现实需要,《解释》第一条规定“公民个人信息”包括身份识别信息和活动情况信息,即“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
(二)明确了非法“提供公民个人信息”的认定标准。根据刑法第二百五十三条之一的规定,违反国家有关规定,向他人出售或者提供公民个人信息,是侵犯公民个人信息罪的客观行为方式之一。针对司法实践的情况,《解释》第三条对非法“提供公民个人信息”的认定作了进一步明确。具体而言:一是“提供”的认定。在“人肉搜索”案件中,行为人未经权利人同意即将其身份、照片、姓名、生活细节等个人信息公布于众,影响其正常的工作、生活秩序,危害严重。更有甚者,一些行为人恶意利用泄露的个人信息进行各类违法犯罪活动。经研究认为,通过信息网络或者其他途径予以发布,实际是向不特定多数人提供公民个人信息,向特定人提供公民个人信息的行为属于“提供”,基于“举轻明重”的法理,前者更应当认定为“提供”。基于此,《解释》规定:“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的‘提供公民个人信息’。”二是合法收集公民个人信息后非法提供的认定。根据《网络安全法》的规定,经得被收集者同意,以及做匿名化处理(剔除个人关联),是合法提供公民个人信息的两种情形。基于此,《解释》规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”
(三)明确了“非法获取公民个人信息”的认定标准。根据刑法第二百五十三条之一的规定,窃取或者以其他方法非法获取公民个人信息,是侵犯公民个人信息罪的客观行为方式之一。根据司法实践的情况,《解释》第四条对“非法获取公民个人信息”的认定作了进一步明确。一是规定“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息”的,属于“非法获取公民个人信息”。二是根据《网络安全法》规定的收集、使用个人信息的规则,明确违反国家有关规定,“在履行职责、提供服务过程中收集公民个人信息”的,属于“非法获取公民个人信息”。
(四)明确了侵犯公民个人信息罪的定罪量刑标准。侵犯公民个人信息罪的入罪要件为“情节严重”。根据法律精神,结合司法实践,《解释》第五条第一款设十项对“情节严重”的认定标准作了明确规定,大致涉及如下五个方面:一是信息类型和数量。公民个人信息的类型繁多,行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、交易信息等公民个人敏感信息涉及人身安全和财产安全,被非法获取、出售或者提供后极易引发绑架、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。基于不同类型公民个人信息的重要程度,《解释》分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准,以体现罪责刑相适应。二是违法所得数额。出售或者非法提供公民个人信息往往是为了牟利,基于此,《解释》将违法所得五千元以上的规定为“情节严重”。三是信息用途。被非法获取、出售或者提供的公民个人信息,用途存在不同,对权利人的侵害程度也会存在差异。基于此,《解释》将“非法获取、出售或者提供行踪轨迹信息,被他人用于犯罪”“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供”规定为“情节严重”。四是主体身份。公民个人信息泄露案件不少系内部人员作案,诸多公民个人信息买卖案件也可以见到“内鬼”参与的“影子”。为切实加大对此类行为的惩治力度,《解释》明确,“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人”的,认定“情节严重”的数量、数额标准减半计算。五是前科情况。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的,行为人屡教不改、主观恶性大,《解释》将其也规定为“情节严重”。
  在此基础上,《解释》第五条第二款对侵犯公民个人信息罪的“情节特别严重”的认定标准,也即“处三年以上七年以下有期徒刑”量刑档次的适用标准作了明确,主要涉及如下两个方面:一是数量数额标准。根据信息类型不同,非法获取、出售或者提供公民个人信息“五百条以上”“五千条以上”“五万条以上”,或者违法所得五万元以上的,即属“情节特别严重”。二是严重后果。《解释》将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”“造成重大经济损失或者恶劣社会影响”规定为“情节特别严重”。
(五)明确了为合法经营活动而非法购买、收受公民个人信息的定罪量刑标准。从实践来看,非法购买、收受公民个人信息从事广告推销等活动的情形较为普遍。为贯彻体现宽严相济刑事政策,《解释》第六条专门针对此种情形设置了入罪标准,规定为合法经营活动而非法购买、收受敏感信息以外的公民个人信息,具有下列情形之一的,应当认定为“情节严重”:(1)利用非法购买、收受的公民个人信息获利五万元以上的;(2)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;(3)其他情节严重的情形。
(六)明确了设立网站、通讯群组侵犯公民个人信息行为的定性。实践中,一些行为人建立网站、通讯群组供他人进行公民个人信息交换、流转、销售,以非法牟利。根据刑法第二百八十七条之一的规定,设立用于实施违法犯罪活动的网站、通讯群组,情节严重的,构成非法利用信息网络罪。经研究认为,供他人实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组实际上属于“用于实施违法犯罪活动的网站、通讯群组”。因此,《解释》第八条规定:“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。”
(七)明确了拒不履行公民个人信息安全管理义务行为的处理。当前,不少网络运营者因为履行职责或者提供服务的需要,掌握着海量公民个人信息,这些信息一旦泄露将造成恶劣社会影响和严重危害后果。对此,《网络安全法》明确了网络信息安全的责任主体,确立了“谁收集,谁负责”的基本原则。其中,第四十条明确规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”为进一步促使网络服务提供者切实履行个人信息安全保护义务,《解释》第九条规定:“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。”
 (八)明确了侵犯公民个人信息犯罪认罪认罚从宽处理规则。为充分发挥刑法的威慑和教育功能,促使侵犯公民个人信息犯罪行为人积极认罪悔罪,《解释》第十条专门规定:“实施侵犯公民个人信息犯罪,不属于‘情节特别严重’,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。”
(九)明确了涉案公民个人信息的数量计算规则。针对公民个人信息数量“计算难”的实际问题,《解释》第十一条专门规定了数量计算规则。具体而言:一是公民个人信息的条数计算。《解释》规定:“非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。”“向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。”二是批量公民个人信息的数量认定规则。为方便司法实务操作,《解释》规定:“对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。”
(十)明确了侵犯公民个人信息犯罪的罚金刑适用规则。侵犯公民个人信息犯罪具有明显的牟利性,行为人实施该类犯罪主要是为了牟取非法利益。因此,有必要加大财产刑的适用力度,让行为人在经济上得不偿失,进而剥夺其再次实施此类犯罪的经济能力。基于此,《解释》第十二条规定:“对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。”
  我要向大家通报的情况就这些。谢谢大家。
五、不构成犯罪的,行政处罚的规定
(一)《中华人民共和国居民身份证法》
第十九条的规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,尚不构成犯罪的,由公安机关处十日以上十五日以下拘留,并处五千元罚款,有违法所得的,没收违法所得。单位有前款行为,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关对其直接负责的主管人员和其他直接责任人员,处十日以上十五日以下拘留,并处十万元以上五十万元以下罚款,有违法所得的,没收违法所得。有前两款行为,对他人造成损害的,依法承担民事责任。”

(二)《网络安全法》
第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
1.第二十二条 第三款:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
2.第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
3.第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
(三)《中华人民共和国护照法》
第二十条第五项规定“ 护照签发机关工作人员在办理护照过程中有下列行为之一的,依法给予行政处分;……(五)泄露因制作、签发护照而知悉的公民个人信息,侵害公民合法权益的”。

(四)《公安信息网安全管理规定(试行)》
第三十三条“公安民警违反本规定,造成严重后果的,对责任人员和主管领导按照《公安机关人民警察纪律条令》等有关规定予以处分;造成泄密或者存在严重保密违法违规行为的,依纪依法予以处分。对非公安民警违反本规定的,参照公安民警管理及相关法律法规予以处理,并依法依规追究责任民警及主管领导的责任。”

六、只有电话号码,是否属于侵犯公民个人信息?
(一)售卖不含机主姓名的手机号码也是侵犯公民个人信息——浙江检方携手警方深挖出一条卖了2亿人信息的黑色产业链
2013年开始,陈某甲通过在网上售卖个人信息“赚钱”。胡某某曾向陈某甲购买过30余万条台州金融类人群的手机号码,都无机主姓名。案发后,陈某甲和胡某某等相关人员陆续归案,胡某某等人侵犯公民个人信息案件先开庭审理。
审理时,胡某某及其辩护人辩称,手机号码不是公民个人信息。法院判决认为,胡某某从陈某甲处购买的不含机主姓名的手机号码,不能识别特定的身份,没有认定这部分指控。为此,胡某某案的判决结果,对陈某甲侵犯公民个人信息案的处理造成了一定困扰。
手机号码是否属于刑法保护的公民个人信息?陈某甲的行为是否构成侵犯公民个人信息罪?为慎重处理全案、指导后续类案,2018年1月,这些疑问被提交到了省检察院。
案件承办人、浙江省检察院公诉二处员额检察官王亮介绍,他跟检察官助理赵戬认为,售卖不含机主名字的手机号,同样属于侵犯公民个人信息。
“两高司法解释以定义加列举的方式,将手机号码等通讯联系方式明确认定为公民个人信息。我国已全面实行手机实名制,手机号码具有专属性和隐私性。且涉案手机号码针对台州地区有贷款意向的金融类人群,被用于精准营销,更属于公民个人信息无疑。”王亮说。
经省检察院检委会讨论,一致同意承办人意见:陈某甲的行为构成侵犯公民个人信息罪,且情节特别严重,依法应予严惩,且还有大量犯罪事实尚待查清。
(二)杨灿侵犯公民个人信息二审刑事裁定书
审理法院:湖北省武汉市中级人民法院 合议庭:陈丽敏    张勇 刘永祥 刘梦秋 王娅迪 案号:(2018)鄂01刑终500号 案件类型:刑事 裁定 审判日期:2018-06-01
基本案情:2016年底以来,被告人杨灿以营利为目的,在武汉市硚口区华生汉口城市广场22栋2单元803室其住处,在网络上以互换的形式并通过QQ接收数据的方式向张某、“君”、“庖丁解牛”等人非法获取股民信息等公民个人信息共计1亿余条,同时杨灿通过微信转账收款和QQ传递数据的方式将上述非法获取的公民个人信息向张某、“君”、“庖丁解牛”等人进行出售,共计获利人民币1.5万元。
上诉人杨灿的上诉理由:11位数字组成或即使是电话号码,不能单独被认定为“公民个人信息”,其只使用了1个U盘,一审判决认定其非法获取公民个人信息123136885条明显事实不清,证据不足,量刑畸重。
法院认为:《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定:刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。根据上述司法解释的规定,电话号码确属公民个人信息。”
(三)石某侵犯公民个人信息一审刑事判决书
审理法院:沂南县人民法院 合议庭:尹传伟    聂洪献 夏季雷 案号:(2018)鲁1321刑初89号 案件类型:刑事 判决 审判日期:2018-8-10
经审理查明,2012年至2016年9月份,被告人石某从陈某1(另案处理)处购买各地区公民移动通讯联系方式400****条,人员类型涉及车险、寿险、教育、金融等,后每条加价0.01-0.02元出售获利,非法获利40070元。其中自2015年11月1日至2016年9月,累计向他人出售信息数量26××0条,获利人民币3120元。
辩护人对指控事实和罪名有异议,提出以下辩护意见:1、2015年11月1日之前公民个人信息罪主体要件是特殊主体,石某出售公民个人信息的行为不成立犯罪。2、涉案“个人信息”只有电话号码,无法识别特定自然人身份或与特定自然人活动关联,不具备司法解释中“公民个人信息”的基本特征。3、陈某1和朱某2飞的证言相互印证,证明涉案电话号码部分不真实,打不通。4、指控的出售信息数量和违法所得数额没有扣除2015年11月1日之前和不真实的部分。5、如实供述罪行,认罪悔罪,存在坦白情节,且是初犯,建议适用缓刑。
对辩护人提出的涉案电话号码不具有司法解释规定的“公民个人信息”基本特征的辩护意见,经审理认为,公民个人信息最初在《网络安全法》中被规定为“能够识别自然人个人身份的各种信息”,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条在上述规定的基础上,进一步明确公民个人信息包括身份识别信息和活动情况信息,可见伴随着信息时代、大数据时代的逐步发展,立法对“公民个人信息”的概念赋予更丰富的内涵和外延。该条规定,“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”据此,无论是识别特定自然人身份,还是反映特定自然人活动情况,都应当是能够单独或者与其他信息结合所具有的功能,不应要求是相应个人信息单独所具有的功能。涉案电话号码虽然无法单独识别公民个人身份,但本身能够与特定自然人直接关联,且结合其他信息能够识别公民个人身份,属于公民个人信息的范畴。故该辩护意见不能成立,本院不予采纳。

七、侵犯公民个人信息犯罪典型案例

1.邵保明等侵犯公民个人信息案
  非法出售户籍信息、手机定位、住宿记录等个人信息,构成侵犯公民个人信息罪。
  (一)基本案情
  2016年初,被告人邵保明、康旭、王杰、陆洪阳分别以“大叔调查公司”的名义向他人出售公民个人信息,被告人倪江鸿不久后参与。五被告人通过在微信朋友圈发布出售个人户籍、车辆档案、手机定位、个人征信、旅馆住宿等各类公民个人信息的广告的方式寻找客户,接单后通过微信向上家购买信息或让其他被告人帮忙向上家购买信息后加价出售,每单收取10元至1000余元不等的费用。经查,被告人邵保明获利人民币26000元,被告人康旭获利人民币8000元,被告人倪江鸿、王杰、陆洪阳各获利人民币5000元。
  (二)裁判结果
  浙江省东阳市人民法院判决认为:被告人邵保明、康旭、倪江鸿、王杰、陆洪阳单独或伙同他人,违反国家有关规定,向他人出售公民个人信息,情节严重,其行为均已构成侵犯公民个人信息罪。综合考虑被告人的坦白、退赃等情节,以侵犯公民个人信息罪判处被告人邵保明有期徒刑一年三个月,并处罚金人民币八千元;被告人康旭有期徒刑一年,并处罚金人民币四千元;被告人倪江鸿、王杰、陆洪阳各有期徒刑十个月,并处罚金人民币二千元。该判决已发生法律效力。
2
韩世杰、旷源鸿、韩文华等
侵犯公民个人信息案
  非法查询征信信息牟利,构成侵犯公民个人信息罪。
(一)基本案情
  2015年9月3日至4日,被告人韩世杰、旷源鸿、韩文华利用连光辉(湖北省巴东县农村商业银行沿渡河支行征信查询员)的征信查询ID号、密码及被告人李冲、耿健美(洛阳银行郑州东风路支行客户经理)提供的洛阳银行郑州东风路支行的银行专用网络,在该行附近使用电脑非法查询公民个人银行征信信息3万余条。
  2015年9月5日至6日,被告人韩世杰、旷源鸿、韩文华利用连光辉的征信查询ID号、密码及被告人李楠、卢惠生(德州银行滨州金廷支行行长)提供的德州银行滨州分行的银行专用网络,在该行南面的停车场内,使用电脑分两次非法查询公民个人银行征信信息2万余条。
  2015年9月8日,被告人韩世杰、旷源鸿、韩文华利用李涛(江苏省淮安市农村商业银行徐溜支行职工)的银行征信查询ID号及密码及被告人李楠、卢惠生提供的德州银行滨州分行专用网络,在该行南面的停车场内,使用电脑非法查询公民个人银行征信信息近3万条。
  被告人韩亮、邓佳勇获得征信查询ID号、密码并非法提供给被告人韩世杰等人使用,双方通过被告人陈莎莎中转租金、传递密码。被告人韩世杰、旷源鸿、韩文华将查询获得的上述公民个人银行征信信息出售给他人,向被告人韩亮、李冲、李楠支付了相关费用。
  (二)裁判结果
  湖北省巴东县人民法院判决认为:被告人韩世杰、旷源鸿、韩文华、韩亮、邓佳勇、李楠、陈莎莎、卢惠生、李冲、耿健美违反国家有关规定,非法获取公民个人信息出售牟利,情节严重,其行为已构成侵犯公民个人信息罪。综合考虑被告人自首、坦白、积极退赃等情节,以侵犯公民个人信息罪判处被告人韩世杰有期徒刑一年六个月,并处罚金人民币二万元;被告人旷源鸿有期徒刑一年三个月,并处罚金人民币二万元;被告人韩文华处有期徒刑一年二个月,并处罚金人民币一万元;被告人韩亮有期徒刑一年,并处罚金人民币一万元;以及其他各被告人相应有期徒刑、拘役和罚金。该判决已发生法律效力。
3
周滨城等侵犯公民个人信息案
  非法购买学生信息出售牟利,构成侵犯公民个人信息罪。
(一)基本案情
  2016年4月,被告人周滨城向他人购买浙江省学生信息193万余条。后被告人周滨城将其中100万余条嘉兴、绍兴地区的学生信息以6万余元的价格出售给被告人陈利青,将45655条嘉兴地区的学生信息以3500元的价格出售给被告人刘亚、陈俊、周红云,将7214条平湖地区的学生信息以1400元的价格出售,将2320条平湖地区的学生信息以500元的价格出售,共计非法获利65400元。此外,2016年4月,被告人刘亚、陈俊、周红云以3000元的价格向他人购买嘉兴地区学生信息25068条。
(二)裁判结果
  浙江省平湖市人民法院判决认为:被告人周滨城、陈利青、刘亚、陈俊、周红云违反国家有关规定,向他人出售或者以购买的方法非法获取公民个人信息,数量分别为193万余条、100万余条、7万余条、7万余条、7万余条,其行为均已构成侵犯公民个人信息罪。综合考虑被告人自首、坦白等情节,以侵犯公民个人信息罪判处被告人周滨城有期徒刑一年十一个月,并处罚金人民币四万元;被告人陈利青有期徒刑十一个月,并处罚金人民币十万元;被告人刘亚、陈俊、周红云有期徒刑九个月至七个月不等、缓刑一年,并处罚金人民币五千元至四千元不等。该判决已发生法律效力。
4
夏拂晓侵犯公民个人信息案
  非法买卖网购订单信息,构成侵犯公民个人信息罪。
(一)基本案情
  2015年10月至2016年7月,被告人夏拂晓买卖大量含有公民姓名、收货地址、手机号码等内容的网购订单信息,非法获利约5万元。被告人夏拂晓在归案后如实供述自己的罪行。
(二)裁判结果
  浙江省绍兴市柯桥区人民法院判决认为:被告人夏拂晓违反国家有关规定,非法获取公民个人信息并向他人出售,情节严重,其行为已构成侵犯公民个人信息罪。综合考虑全案情节,以侵犯公民个人信息罪判处被告人夏拂晓有期徒刑二年,并处罚金人民币二千元。该判决已发生法律效力。
5
肖凡、周浩等侵犯公民个人信息案
  利用黑客手段窃取公民个人信息出售牟利,构成侵犯公民个人信息罪。
(一)基本案情
  被告人肖凡、周浩预谋窃取邮局内部的公民个人信息进行出售牟利,共同出资购买了黑客软件。2016年5月至2016年6月,二人通过黑客软件侵入邮局内网,在邮局内网窃取邮局内部的公民个人信息103257条,并将窃取的公民个人信息全部出售给被告人李晓波。后李晓波将购买的公民个人信息出售给被告人王丽元 40000条,王丽元又将购买到的公民个人信息出售给被告人宋晓波30000条。
 (二)裁判结果
  内蒙古自治区赤峰市红山区人民法院判决认为:被告人肖凡、周浩通过黑客手段窃取公民个人信息并非法出售,李晓波、王丽元、宋晓波通过购买方式非法获取公民个人信息,其行为均已构成侵犯公民个人信息罪。据此,以侵犯公民个人信息罪判处被告人肖凡、周浩、李晓波各有期徒刑二年,并处罚金人民币五万元;被告人王丽元有期徒刑一年,并处罚金人民币三万元;被告人宋晓波有期徒刑六个月,并处罚金人民币三万元。该判决已发生法律效力。
6
杜明兴、杜明龙侵犯公民个人信息案
  通过互联网非法购买、交换、出售公民个人信息,构成侵犯公民个人信息罪。
(一)基本案情
  被告人杜明兴、杜明龙加入涉及个人信息交换买卖的QQ群,通过购买、交换等方式获取大量公民个人信息,再在群里发布广告招揽买家。2015年11月至2016年3月,杜明兴向他人购买或者交换车主信息等公民个人信息28万余条,向他人出售关于期货、基金、车主、信用卡等公民个人信息42万余条;杜明龙向他人购买杭州地区新生儿及其父母信息等公民个人信息3万余条,向他人出售车主信息、小区业主信息等公民个人信息近40万条。
(二)裁判结果
  江苏省南京市鼓楼区人民法院判决认为:被告人杜明兴、杜明龙违反国家有关规定,向他人出售或者以非法方法获取公民个人信息,情节严重,其行为已构成侵犯公民个人信息罪。综合考虑被告人坦白、退赃等情节,以侵犯公民个人信息罪判处被告人杜明兴、杜明龙各有期徒刑一年四个月,罚金人民币一万元;被告人有期徒刑一年二个月,罚金人民币一万元。该判决已发生法律效力。
7
丁亚光侵犯公民个人信息案
  非法提供近二千万条住宿记录供他人查询牟利,构成侵犯公民个人信息罪“情节特别严重”
(一)基本案情
  2013年底,一家为全国4500多家酒店提供网络服务的公司因系统存在安全漏洞,致使全国高达2000万条宾馆住宿记录泄露。2015年初至2016年6月,被告人丁亚光通过在不法网站下载的方式,非法获取宾馆住宿记录等公民个人信息,并上传至自己开办的“嗅密码”网站。该网站除了能够查询住宿记录外,还提供用户QQ、部分论坛账号及密码找回功能。其中住宿记录共有将近二千万条,用户经注册成为会员后,可以在网页“开房查询”栏目项下,以输入关键字姓名或身份证号的方式查询网站数据库中宾馆住宿记录(显示姓名、身份证号、手机号码、地址、住宿时间等信息)。丁亚光自2015年5月份左右开始对该网站采取注册会员方式收取费用60元/人,到2016年1月份上调到120元/人。2015年11月1日至2016年6月23日,“嗅密码”网站共有查询记录49698条,收取会员费191440.92元。
(二)裁判结果
  浙江省乐清市人民法院判决认为:被告人丁亚光非法获取住宿记录等公民个人信息后通过网站提供查询服务牟利,供查询的公民个人信息近二千万条,其行为已经构成侵犯公民个人信息罪,且属于“情节特别严重”。综合考虑退赃等情节,以侵犯公民个人信息罪判处被告人丁亚光有期徒刑三年,并处罚金人民币二万元。该判决已发生法律效力。

支持(0) 解答者:法源刑事辩护团队律师 积分:130 活跃等级: 同步微博: 如对解答有疑问,可电话联系我。
为您推荐 [婚姻家庭律师], 建议电话咨询律师以便更好的解决问题。
我来回答(您的热心回复将给予法律需求者非常有用的指导)
(Ctrl+Enter快速提交)
相关知识
  • 法律咨询
  • 法律知识

5分钟内,专业律师为您解答!

还可以输入
50

问题补充(选填)

还可以输入
1000
获得法律解答耗时 3分钟 拥有认证注册律师 694374人 法帮网已经帮助过 529437人 有法律问题?法帮网万名律师为您解答…… 推荐律师 问题动态 1位律师回答了这个问题
法源刑事辩护团队律师
答案提交成功
您的答案已成功提交