侵犯公民个人信息罪量刑标准

　　根据刑法第二百五十三条之一的规定，非法获取、出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。可见，侵犯公民个人信息罪系情节犯，定罪量刑标准为“情节严重”“情节特别严重”。对于这一概括性的定罪量刑情节，宜根据司法实践的情况从犯罪的客体、客观方面、主体、主观方面等多个角度加以考察。经充分调研，《解释》第五条规定了“情节严重”“情节特别严重”的认定标准。

　　1.“情节严重”的认定标准。《解释》第五条第一款从以下几个方面对侵犯公民个人信息罪的入罪标准“情节严重”作了明确：

　　一是信息类型和数量。公民个人信息的类型繁多，行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、交易信息等公民个人敏感信息涉及人身安全和财产安全，被非法获取、出售或者提供后极易引发绑架、诈骗、敲诈勒索等关联犯罪，具有更大的社会危害性。因此，基于不同类型公民个人信息的重要程度，《解释》分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准，以实现罪责刑相适应。具体而言：

　　(1)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的。行踪轨迹信息、通信内容、征信信息、财产信息与人身安全、财产安全直接相关，系高度敏感信息，《解释》第五条第一款第三项将入罪标准设置为“五十条以上”。需要注意的是，鉴于本项规定的入罪标准门槛较低，故此处严格限缩所涉公民个人信息的类型，仅限于行踪轨迹信息、通信内容、征信信息、财产信息四类信息，不允许司法适用中再通过等外解释予以扩大。对于行踪轨迹信息、通信内容、征信信息，司法实践中在认定上不存在争议。对于财产信息，可以根据案件具体情况把握：既包括银行账户、第三方支付结算帐户、证券期货等金融服务账户的身份认证信息(一组确认用户操作权限的数据，包括账号、口令、密码、数字证书等)，也包括存款、房产等财产状况信息。

　　(2)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的。上述公民个人信息虽然在重要程度上弱于行踪轨迹信息、通信内容、征信信息、财产信息，但也与人身安全、财产安全直接相关，往往被用于“精准”诈骗等违法犯罪活动。基于此，《解释》第五条第一款第四项将入罪标准设置为“五百条以上”。需要注意的是，本项规定有“等其他可能影响人身、财产安全的公民个人信息”的表述，司法实践中可以根据具体情况作等外解释，但应当确保所适用的公民个人信息涉及人身、财产安全，且与“住宿信息、通信记录、健康生理信息、交易信息”在重要程度上具有相当性。

　　(3)非法获取、出售或者提供一般公民个人信息五千条以上的。从实践来看，除前述公民个人敏感信息外，出售、提供公民个人信息往往数量较大，动辄数万条甚至数十万条，在不少案件中甚至将公民个人信息编辑为电子文档后按兆出售。因此，不少地方对出售、提供公民个人信息的入罪掌握在数量五千条以上，基本上可以满足严厉打击此类犯罪的需要，且给行政处罚留有一定空间。基于此，《解释》第五条第一款第五项设置较低的入罪标准，将非法获取、出售或者提供公民个人信息五千条以上的规定为“情节严重”。

　　此外，鉴于实践中存在混杂公民个人信息的情形，《解释》第五条第一款第六项将“数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的”情形规定为“情节严重”。

　　二是违法所得数额。出售或者非法提供公民个人信息往往是为了牟利，故应当以违法所得作为认定“情节严重”的情形之一。从司法实践来看，一般公民个人信息的价格相对较低，甚至不会按条计价;而公民个人敏感信息价格通常较高，通常按条计价，特别是行踪轨迹信息可以谓之为最为昂贵的信息类型。考虑到各项规定之间的均衡，《解释》第五条第一款第七项将违法所得五千元以上的规定为“情节严重”。

　　三是信息用途。通常而言，非法获取公民个人信息，绝不仅是为了占有，而是有特定用途、甚至用于违法犯罪。可以说，非法获取、出售或者提供公民个人信息，不仅严重危害公民的信息安全，而且可能引发进一步犯罪。因此，此类行为引发的后果的严重程度，是认定“情节严重”与否的重要标准。被非法获取、出售或者提供的公民个人信息，用途存在不同，对权利人的侵害程度也会存在差异。如果涉案的公民个人信息被用于实施其他犯罪活动，使权利人的人身、财产安全陷入高风险状态或者造成实质危害的，对此应当直接认定为“情节严重”或者“情节特别严重”，以刑事手段加以规制;而如果涉案公民个人信息未被用于犯罪活动，则社会危害性相对较小，不宜直接以此作为刑事规制的依据。基于此，《解释》第五条第一款第二项将“知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的”规定为“情节严重”。从司法实践来看，行踪轨迹信息是最为敏感的公民个人信息。非法获取、出售或者提供该类信息，行为人主观上对可能被用于犯罪存在概括认识，《解释》第五条第一款第一项直接将“非法获取、出售或者提供行踪轨迹信息，被他人用于犯罪的”规定为“情节严重”，无须再具体判断主观上是否知道或者应当知道涉案信息被用于犯罪。

　　四是主体身份。公民个人信息泄露案件不少系内部人员作案，诸多公民个人信息买卖案件也可以见到“内鬼”参与的“影子”。这是侵犯公民个人信息违法犯罪泛滥的重要原因所在。由于上述情形往往发生在公民个人信息交易的最初阶段，涉案信息的数量往往较少、价格相对低廉。此种情形下，如果不设置特殊标准，往往难以对此类源头行为予以刑事惩治。基于此，为贯彻落实刑法第二百五十三条之一第二款“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚”的规定，《解释》第五条第一款第八项对将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的情形认定为“情节严重”设置了特殊标准，规定此种情形下出售或者提供公民个人信息，认定“情节严重”的数量、数额标准减半计算。当然，对于此种情形，不宜再根据刑法第二百五十三条之一第二款的规定从重处罚，以免重复评价。

　　五是主观恶性。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的，行为人屡罚屡犯，主观恶性大。故而，《解释》第五条第一款第九项将此种情形规定为“情节严重”。

　　2.“情节特别严重”的认定标准。《解释》第五条第二款主要从两个层面规定了“情节特别严重”的情形：一是数量数额标准。基于司法实践中侵犯公民个人信息犯罪涉案的公民个人信息数量相差悬殊，跨度从几千条到几十万条(甚至更大数量)不等，将“情节特别严重”和“情节严重”之间的数量数额标准设置为十倍而非五倍的倍数关系。二是严重后果。从实践来看，非法获取、出售或者提供公民个人信息，对于个人而言，可能造成人身伤亡、经济损失等后果;对于社会而言，可能引发社会恐慌，造成恶劣社会影响。基于此，将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”“造成重大经济损失或者恶劣社会影响的”规定为“情节特别严重”。

　　3.为合法经营活动购买、收受公民个人信息定罪量刑的特殊标准。从实践来看，购买、收受公民个人信息从事广告推销等活动的情形较为普遍。为了秉持刑法的谦抑性，体现宽严相济，《解释》第六条第一款规定：“为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的’情节严重’：(一)利用非法购买、收受的公民个人信息获利五万元以上的;(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的;(三)其他情节严重的情形。”这是《解释》针对为合法经营活动而购买、收受公民个人信息的行为设置的专门的定罪量刑标准。而且，考虑到此类行为社会危害性不大，即使构成犯罪，通常也不需要升档量刑，故只规定了“情节严重”的具体情形。

　　需要注意的是，适用该定罪量刑标准须满足三个条件：一是为了合法经营活动，对此可以综合全案证据认定，但主要应当由被告方提供相关证据;二是限于普通公民个人信息，即不包括可能影响人身、财产安全的敏感信息;三是信息没有再流出扩散，即行为方式限于购买、收受。根据《解释》第六条第二款的规定，如果将购买、收受的公民个人信息非法出售或者提供的，定罪量刑标准应当适用《解释》第五条的规定。对此应当注意的是，为了合法经营活动交换公民个人信息的，由于在获取信息的同时造成了信息扩散，不符合前述三个要件，定罪量刑标准亦应适用《解释》第五条的规定。

　　4.侵犯公民个人信息单位犯罪的定罪量刑标准。根据刑法第二百五十三条之一第四款的规定，单位可以成为侵犯公民个人信息罪的主体。为切实加大对单位侵犯公民个人信息犯罪的惩治力度，《解释》第七条明确了单位实施侵犯公民个人信息犯罪的，适用自然人犯罪的定罪量刑标准，规定：“单位犯刑法第二百五十三条之一规定之罪的，依照本解释规定的相应自然人犯罪的定罪量刑标准，对直接负责的主管人员和其他直接责任人员定罪处罚，并对单位判处罚金。”

　　(六)侵犯公民个人信息罪的

　　认罪认罚从宽处理

　　为贯彻落实“认罪认罚从宽制度”，充分发挥刑法的教育和威慑功能，《解释》第十条专门规定：“实施侵犯公民个人信息犯罪，不属于‘情节特别严重’，行为人系初犯，全部退赃，并确有悔罪表现的，可以认定为情节轻微，不起诉或者免予刑事处罚;确有必要判处刑罚的，应当从宽处罚。”可见，该条只适用于侵犯公民个人信息犯罪的基本情节，对于符合“情节特别严重”构成的，不能再适用本条规定从宽处罚。

　　(七)设立网站、通讯群组

　　侵犯公民个人信息行为的定性

　　实践中，一些行为人通过建立网站供他人进行公民个人信息交换、买卖等活动，以非法牟利。此类网站存储、流转公民个人信息量巨大，但网站建立者、直接负责的管理者未直接接触公民个人信息，不少情形下难以按照侵犯公民个人信息罪定罪处罚。根据刑法第二百八十七条之一的规定，设立用于实施违法犯罪活动的网站、通讯群组，情节严重的，构成非法利用信息网络罪。经研究认为，供他人实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组实际上属于“用于实施违法犯罪活动的网站、通讯群组”。因此，《解释》第八条规定：“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组，情节严重的，应当依照刑法第二百八十七条之一的规定，以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的，依照侵犯公民个人信息罪定罪处罚。”

　　(八)拒不履行公民个人信息

　　安全管理义务行为的处理

　　当前，一些单位因为履行职责或者提供服务的需要，掌握着海量公民个人信息，这些信息一旦泄露将造成恶劣社会影响和严重危害后果。实际上，侵犯公民个人信息违法犯罪的猖獗，与有关单位保护公民个人信息工作存在疏漏有一定关联，相关管理机制有进一步完善的空间。这一问题在互联网时代更为突出。为了促进网络运营者采取切实有效的措施加强对公民个人信息的保护，《网络安全法》明确了网络信息安全的责任主体，确立了“谁收集，谁负责”的原则，将收集和使用个人信息的网络运营者，设定为个人信息保护的责任主体。其中，第四十条明确规定：“网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。”与之相衔接，《刑法修正案(九)》设立了拒不履行信息网络安全管理义务罪，规定网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户信息泄露，造成严重后果的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。因此，对于网络服务提供者未切实落实个人信息保护措施，符合刑法第二百八十六条之一规定的，可能构成拒不履行信息网络安全管理义务罪。据此，《解释》第九条规定：“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。”

　　(九)涉案公民个人信息的数量计算规则

　　针对公民个人信息数量“计算难”的实际问题，《解释》第十一条专门规定了数量计算规则。具体而言：

　　1.公民个人信息的条数计算。关于公民个人信息的条数计算，如同一条信息中涉及多个个人信息的，如家庭住址、银行卡信息、电话号码，实践中往往认定为一条公民个人信息。对此问题，实践中并无太大争议,故未作专门规定。对于实践中存在的针对同一对象非法获取公民信息后又出售或者提供的情形，则明显不宜先计算非法获取的公民个人信息数量、再计算出售或者提供的公民个人信息数量，故《解释》第十一条第一款规定：“非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算。”此外，考虑到公民个人信息可能被重复出售或者提供，其社会危害性明显不同于向他人出售或者提供一次的情形，故而，《解释》第十一条第二款规定：“向不同单位或者个人分别出售、提供同一公民个人信息的，公民个人信息的条数累计计算。”

　　2.批量公民个人信息的数量认定规则。从实践来看，除公民个人敏感信息外，涉案的公民个人信息动辄上万条甚至数十万条。此类案件中，不排除少数情况下存在信息重复，如针对同一对象并存“姓名+住址”“姓名+电话号码”“姓名+身份证号”等数条信息，但要求做到完全去重较为困难。此外，对于信息的真实性也难以一一核实。个别案件中，要求办案机关电话联系权利人核实公民个人信息的做法，明显不合适。基于此，《解释》第十一条第三款规定：“对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。”

　　(十)侵犯公民个人信息犯罪的

　　罚金刑适用规则

　　侵犯公民个人信息犯罪具有明显的牟利性，行为人实施该类犯罪主要是为了牟取非法利益。因此，有必要加大财产刑的适用力度，让行为人在经济上得不偿失，进而剥夺其再次实施此类犯罪的经济能力。基于此，《解释》第十二条规定：“对于侵犯公民个人信息犯罪，应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等，依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。”

　　1.侵犯公民个人信息罪的两种行为方式的认定

　　本罪在客观方面表现为两种行为方式：

　　一是违反国家有关规定，向他人出售或者提供公民个人信息的行为。需要注意的是，“违反国家有关规定”不同于“违反国家规定”，前者的范围更为宽泛。如前所述，我国尚未制定专门的公民个人信息保护法，但一些专门的法律、法规对特定领域公民个人信息的保护有专门规定。此外，违反部门规章等关于公民个人信息保护的规定的，也可以认定为“违反国家有关规定”。根据信息来源的不同，此种行为又可以区分为向他人出售或者提供公民个人信息的情形和将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的情形。需要注意的是，实践中需要依据有关规定，准确判断提供公民个人信息的行为是否“违反国家有关规定”，而不能仅以是否经权利人同意作为判断标准。例如，为了侦查、起诉、审判工作的需要，依据有关法律向司法机关提供有关犯罪嫌疑人、被告人的个人信息的，虽未经该犯罪嫌疑人、被告人许可，但属于合法提供。

　　二是窃取或者以其他方法非法获取公民个人信息的行为。对此，需要着重把握“其他方法”的范围问题。“窃取”是指采用秘密的或者不为人知的方法取得他人个人信息的行为。“其他方法”，是指“窃取”以外的其他方法，如通过收买、欺骗等方法非法获取公民个人信息。实际上，窃取也是非法获取的方式之一。关于“其他方法”是否必须自身具有非法的性质，即其他方法是否只包括诈骗、胁迫等自身具有非法性质的方法，而不包括购买、接受赠与等自身不具有非法性质的方法，存在不同认识。我们赞同从行为人获取行为的本质属性角度加以判断，而不论获取行为是否违反法律的禁止性规定，即只要行为人没有获取公民个人信息的法律依据或者资格而获取相关个人信息的，即可以认定系“非法获取”。(注：参见赵秉志：《公民个人信息刑法保护问题研究》，载《华东政法大学学报》2014年第1期)司法适用中应当注意的是，具有特定职责的办案人员可以为履行职责进入公安信息网络等特定网络查阅公民信息，但是也出现了一些人利用职务便利，出于履职以外的目的，私自进入系统获取公民信息的现象。此种情形也应当认定为“以其他方法非法获取公民个人信息”。

　　(摘编自《<刑法修正案(九)>条文及配套司法解释理解与适用》，沈德咏主编，最高人民法院研究室、最高人民法院刑法修改工作小组办公室编著，人民法院出版社，2015年版)

　　2.侵犯公民个人信息罪入罪要件之“情节严重”的认定

　　根据修正后刑法第二百五十三条之一的规定，出售、非法提供公民个人信息，窃取或者非法获取公民个人信息，均以“情节严重”为入罪要件。如果未达到情节严重的程度，如系初犯，涉案公民个人信息数量较小、获利较少等，则不构成犯罪，可以根据具体情况予以行政处罚。

　　关于“情节严重”的具体认定标准，刑法第二百五十三条之一未作规定，(注：在《刑法修正案(九)(草案)》研拟过程中，有意见认为提供他人个人信息的行为有时情况很复杂，是否构成犯罪需要慎重考虑。如果规定为犯罪，可考虑规定“受过行政处罚”或者“提供多人、多次提供”等条件限制。实际上，刑法将入罪限制在“情节严重”的情形，完全可以达到限制犯罪圈的目的，实践中不会导致入罪随意和打击面过大。)目前也未见相关司法解释对此予以明确。综合司法实践的具体情况，我们认为，可以从以下几个方面认定“情节严重”：(1)出售、非法提供、非法获取公民个人信息的数量。如果出售、非法提供、非法获取公民个人信息的数量较大的，应当认定为“情节严重”。(2)违法所得的数额。从实践来看，不少出售、非法提供、非法获取公民个人信息案件，特别是出售和非法提供公民个人信息案件，其目的主要在于牟取经济利益。因此，应当以违法所得的数额作为衡量“情节严重”的标准之一。(3)引发的后果的严重程度。对于违反规定，将所获取的公民个人信息出售或者提供给他人，被他人用以实施犯罪，造成受害人人身伤害甚至死亡，或者造成重大经济损失、恶劣社会影响的，可以认定为“情节严重”。对于窃取或者以其他方法非法获取公民个人信息，造成其他严重后果的，也可以认定为“情节严重”。

　　(摘自《<刑法修正案(九)>条文及配套司法解释理解与适用》，沈德咏主编，最高人民法院研究室、最高人民法院刑法修改工作小组办公室编著，人民法院出版社，2015年版)

　　3.对非法使用公民个人信息的行为不能单独定罪，但对其关联行为可予以刑事惩治

　　对于非法使用公民个人信息的行为是否入罪，存在不同认识。从境外的情况来看，有些国家和地区将非法使用个人信息的行为规定为犯罪。当前，非法使用公民个人信息的行为日益严重，诸如通信公司和其他单位利用所掌握的用户手机号码群发垃圾短信、拨打骚扰电话等现象较为普遍，严重干扰了人民群众的正常工作和生活。《刑法修正案(九)(草案)》研拟和审议过程中，有关部门和专家学者即建议借鉴国外立法例，将非法使用公民个人信息的行为入罪打击。然而，上述建议最终未被《刑法修正案(九)》采纳。因此，对于将自己掌握的公民个人信息(包括合法获取或者非法获取的公民个人信息)非法使用的行为，不能直接依据修正后刑法第二百五十三条之一的规定入罪。

　　如2008年底被曝光的“西电卡门事件”，西安电子科技大学财务处在未经学生同意的情况下，利用掌握的学生身份证号码、家庭详细住址等个人资料，为一万多名学生集体办理了“中国工商银行牡丹圆梦学生卡”。然而，这一万余名学生对自己拥有该信用卡却一无所知。由于此事影响颇广，最终以学校公开致歉并注销信用卡结束。(注：参见王作富主编：《刑法分则实务研究(中)》，中国方正出版社2013年版，第857页。)在这一事件中，西安电子科技大学并非窃取或者以其他非法方法获取学生的个人信息，亦未将所掌握的学生个人信息出售或者非法提供给他人，而是违反国家规定和权利人意愿非法使用所掌握的公民个人信息，但该行为尚不构成刑法规定的犯罪。

　　需要注意的是，非法使用公民个人信息的行为未单独入罪，只是意味着不能单独对非法使用公民个人信息的行为定罪处罚，但是，司法实践中完全可以依据非法使用公民个人信息的关联行为予以刑事惩治：如果行为人所掌握的公民个人信息系窃取或者以其他方法非法获取的，可以适用侵犯公民个人信息罪;如果非法使用所掌握的公民个人信息，实施诈骗、敲诈勒索等其他犯罪行为的，也可以以其他犯罪论处。

　　(摘自《<刑法修正案(九)>条文及配套司法解释理解与适用》，沈德咏主编，最高人民法院研究室、最高人民法院刑法修改工作小组办公室编著，人民法院出版社，2015年版)

　　4.非法获取公民个人电子信息可能构成侵犯公民个人信息罪与非法获取计算机信息系统数据罪的想象竞合犯

　　《关于加强网络信息保护的决定》对公民个人电子信息的保护作了规定，违反相应规定非法获取公民个人电子信息的行为，无疑属于修正后刑法第二百五十三条之一规定的非法获取公民个人信息的行为。但是，公民个人电子信息往往表现为计算机信息系统数据，故非法获取公民个人电子信息的行为有时会同时触犯侵犯公民个人信息罪与非法获取计算机信息系统数据罪。如违反国家规定，侵入计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的涉及能够识别公民个人身份和涉及公民个人隐私的电子信息，同时，符合侵犯公民个人信息罪与非法获取计算机信息系统数据罪两个犯罪的构成要件，但由于只有一个犯罪行为，属于想象竞合犯，应当从一重罪处断。

　　(摘自《<刑法修正案(九)>条文及配套司法解释理解与适用》，沈德咏主编，最高人民法院研究室、最高人民法院刑法修改工作小组办公室编著，人民法院出版社，2015年版)

　　5.对“人肉搜索”行为不能直接认定为侵犯公民个人信息罪

　　在《刑法修正案(七)》制定前，关于“人肉搜索”行为入罪的呼声就较高。然而，此种行为由于行为主体的主观意图和对信息的使用方法在危害性上有不同的表现，不宜直接以刑罚手段处理。(参见赵秉志主编：《刑法修正案(七)专题研究》，北京师范大学出版社2011年版，第169页。)实际上，《刑法修正案(九)(草案)》审议过程中，也有意见提出，建议将“人肉搜索”行为入罪。然而，无论是《刑法修正案(七)》，还是《刑法修正案(九)》，均未将“人肉搜索”行为直接规定为犯罪。因此，对于“人肉搜索”行为，不能直接适用修正后刑法第二百五十三条第三款的规定。当然，如果构成其他犯罪的，可以按照其他犯罪处理。例如，将“人肉搜索”获取的信息非法出售的，当然属于违反国家有关规定，向他人出售公民个人信息的情形，情节严重的，可以按照侵犯公民个人信息罪处理。

　　(摘自《<刑法修正案(九)>条文及配套司法解释理解与适用》，沈德咏主编，最高人民法院研究室、最高人民法院刑法修改工作小组办公室编著，人民法院出版社，2015年版)