关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释

最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释2017年3月20日，首席大法官、最高人民法院院长周强主持召开最高人民法院审判委员会全体会议，审议并原则通过《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释《解释》背景近年来，侵犯公民个人信息犯罪处于高发态势，既严重侵犯了公民个人信息安全，又往往与电信诈骗等其他犯罪存在密切关联，社会危害日益突出，必须依法予以惩治。2015年11月1日，《刑法修正案（九）》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”，扩大了犯罪主体和侵犯个人信息行为的范围。司法实践中，侵犯公民个人信息罪的具体定罪量刑尚不明确，一些法律适用问题存在争议，亟需通过司法解释予以明确。[1] 为依法惩治侵犯公民个人信息犯罪活动，保护公民个人信息安全和合法权益，2016年最高人民法院研究室启动侵犯公民个人信息罪司法解释的起草工作，委托辽宁省高级人民法院等进行前期调研，广泛征求最高人民检察院、公安部、院内各相关审判庭、各高级人民法院及有关互联网企业的意见，并召开专家论证会研讨论证，修改形成送审稿，提交本次会议审议。[1] 《解释》（送审稿）共十条，主要规定了以下三方面的内容：（1）公民个人信息的范围；（2）侵犯公民个人信息罪的定罪量刑标准；（3）侵犯公民个人信息犯罪所涉及的宽严相济、犯罪竞合、单位犯罪、数量计算等问题。[1] 会议经讨论，原则通过该《解释》。会议决定，根据会议讨论意见对《解释》送审稿进行修改后，与最高人民检察院会签适时发布。[1] 《解释》正文最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》已于2017年3月20日由最高人民法院审判委员会第1712次会议、2017年4月26日由最高人民检察院第十二届检察委员会第63次会议通过，现予公布，自2017年6月1日起施行。最高人民法院最高人民检察院2017年5月8日最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释为依法惩治侵犯公民个人信息犯罪活动，保护公民个人信息安全和合法权益，根据《中华人民共和国刑法》《中华人民共和国刑事诉讼法》的有关规定，现就办理此类刑事案件适用法律的若干问题解释如下[2]  ：第一条刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。第二条违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。第三条向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。第四条违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。第五条非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：（一）出售或者提供行踪轨迹信息，被他人用于犯罪的；（二）知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；（四）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；（五）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；（六）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；（七）违法所得五千元以上的；（八）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；（九）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；（十）其他情节严重的情形。实施前款规定的行为，具有下列情形之一的，应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”：（一）造成被害人死亡、重伤、精神失常或者被绑架等严重后果的；（二）造成重大经济损失或者恶劣社会影响的；（三）数量或者数额达到前款第三项至第八项规定标准十倍以上的；（四）其他情节特别严重的情形。第六条为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：（一）利用非法购买、收受的公民个人信息获利五万元以上的；（二）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的；（三）其他情节严重的情形。实施前款规定的行为，将购买、收受的公民个人信息非法出售或者提供的，定罪量刑标准适用本解释第五条的规定。第七条单位犯刑法第二百五十三条之一规定之罪的，依照本解释规定的相应自然人犯罪的定罪量刑标准，对直接负责的主管人员和其他直接责任人员定罪处罚，并对单位判处罚金。第八条设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组，情节严重的，应当依照刑法第二百八十七条之一的规定，以非法利用信息网络罪定罪处罚；同时构成侵犯公民个人信息罪的，依照侵犯公民个人信息罪定罪处罚。第九条网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。第十条实施侵犯公民个人信息犯罪，不属于“情节特别严重”，行为人系初犯，全部退赃，并确有悔罪表现的，可以认定为情节轻微，不起诉或者免予刑事处罚；确有必要判处刑罚的，应当从宽处罚。第十一条非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算。向不同单位或者个人分别出售、提供同一公民个人信息的，公民个人信息的条数累计计算。对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。第十二条对于侵犯公民个人信息犯罪，应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等，依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。第十三条本解释自2017年6月1日起施行。两高发布办理侵犯公民个人信息刑事案件司解　　时  间：2017年5月9日上午10：00　　地 点：最高人民法院新闻发布厅　　主持人：最高人民法院新闻发言人林文学　　出席嘉宾：最高人民法院研究室主任颜茂昆　　                最高人民检察院法律政策研究室副主任缐杰　　               公安部网络技术研发中心主任许剑卓　　发布内容：发布《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》及相关典型案例,并回答记者提问。发布会现场　　5月9日上午，最高人民法院与最高人民检察院联合召开新闻发布会，发布《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》及相关典型案例。最高人民法院新闻发言人林文学主持发布会，最高人民法院研究室主任颜茂昆、最高人民检察院法律政策研究室副主任缐杰、公安部网络技术研发中心主任许剑卓出席发布会并介绍相关情况。　　一、《解释》的制定背景　　随着信息化建设的推进，信息资源成为重要的生产要素和社会财富。与此同时，个人信息泄露问题严重，个人信息安全成为一个全社会高度关注的问题。为保护公民个人信息，2009年2月28日起施行的《刑法修正案（七）》增设了刑法第二百五十三条之一，规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。《刑法修正案（七）》施行后，从2009年2月至2015年10月，全国法院共审结出售、非法提供公民个人信息、非法获取公民个人信息刑事案件969起，生效判决人数1415人。　　近年来，侵犯公民个人信息犯罪仍处于高发态势，而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势，社会危害更加严重。为加大对公民个人信息的保护力度，2015年11月1日起施行的《刑法修正案（九）》对刑法第二百五十三条之一作出修改完善：一是扩大犯罪主体的范围，规定任何单位和个人违反国家有关规定，获取、出售或者提供公民个人信息，情节严重的，都构成犯罪；二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，从重处罚；三是加重法定刑，增加规定“情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”。修改后，“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。《刑法修正案（九）》施行以来，各级公检法机关依据修改后的刑法规定，严肃惩处侵犯公民个人信息犯罪，案件数量显著增长。2015年11月至2016年12月，全国法院新收侵犯公民个人信息刑事案件495件，审结464件，生效判决人数697人。　　在查办案件过程中，有意见反映，侵犯公民个人信息罪的定罪量刑标准较为原则，不易把握；另有一些法律适用问题存在认识分歧，影响了案件办理。鉴此，为保障法律正确、统一适用，依法严厉惩治、有效防范侵犯公民个人信息犯罪，最高人民法院会同最高人民检察院，在公安部等有关部门的大力支持下，经深入调查研究、广泛征求意见、反复论证完善，制定了本《解释》。　　《解释》根据法律规定和立法精神，对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。制定本《解释》，是人民法院、人民检察院充分发挥刑事司法职能，积极回应人民群众关切，加大对涉民生犯罪惩治力度的一项重要举措。《解释》的公布施行，对于强化公民个人信息的保护，维护人民群众个人信息安全以及财产、人身权益，必将发挥重要作用。　　二、《解释》的主要内容　　《解释》共十三条，主要包括以下十个方面的内容：　　（一）明确了“公民个人信息”的范围。基于全面保护公民个人信息的现实需要，《解释》第一条规定“公民个人信息”包括身份识别信息和活动情况信息，即“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”　　（二）明确了非法“提供公民个人信息”的认定标准。根据刑法第二百五十三条之一的规定，违反国家有关规定，向他人出售或者提供公民个人信息，是侵犯公民个人信息罪的客观行为方式之一。针对司法实践的情况，《解释》第三条对非法“提供公民个人信息”的认定作了进一步明确。具体而言：一是“提供”的认定。在“人肉搜索”案件中，行为人未经权利人同意即将其身份、照片、姓名、生活细节等个人信息公布于众，影响其正常的工作、生活秩序，危害严重。更有甚者，一些行为人恶意利用泄露的个人信息进行各类违法犯罪活动。经研究认为，通过信息网络或者其他途径予以发布，实际是向不特定多数人提供公民个人信息，向特定人提供公民个人信息的行为属于“提供”，基于“举轻明重”的法理，前者更应当认定为“提供”。基于此，《解释》规定：“向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的‘提供公民个人信息’。”二是合法收集公民个人信息后非法提供的认定。根据《网络安全法》的规定，经得被收集者同意，以及做匿名化处理（剔除个人关联），是合法提供公民个人信息的两种情形。基于此，《解释》规定：“未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的‘提供公民个人信息’，但是经过处理无法识别特定个人且不能复原的除外。”　　（三）明确了“非法获取公民个人信息”的认定标准。根据刑法第二百五十三条之一的规定，窃取或者以其他方法非法获取公民个人信息，是侵犯公民个人信息罪的客观行为方式之一。根据司法实践的情况，《解释》第四条对“非法获取公民个人信息”的认定作了进一步明确。一是规定“违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息”的，属于“非法获取公民个人信息”。二是根据《网络安全法》规定的收集、使用个人信息的，明确违反国家有关规定，“在履行职责、提供服务过程中收集公民个人信息”的，属于“非法获取公民个人信息”。　　（四）明确了侵犯公民个人信息罪的定罪量刑标准。侵犯公民个人信息罪的入罪要件为“情节严重”。根据法律精神，结合司法实践，《解释》第五条第一款设十项对“情节严重”的认定标准作了明确规定，大致涉及如下五个方面：一是信息类型和数量。公民个人信息的类型繁多，行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、交易信息等公民个人敏感信息涉及人身安全和财产安全，被非法获取、出售或者提供后极易引发绑架、诈骗、敲诈勒索等关联犯罪，具有更大的社会危害性。基于不同类型公民个人信息的重要程度，《解释》分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准，以体现罪责刑相适应。二是违法所得数额。出售或者非法提供公民个人信息往往是为了牟利，基于此，《解释》将违法所得五千元以上的规定为“情节严重”。三是信息用途。被非法获取、出售或者提供的公民个人信息，用途存在不同，对权利人的侵害程度也会存在差异。基于此，《解释》将“非法获取、出售或者提供行踪轨迹信息，被他人用于犯罪”“知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供”规定为“情节严重”。四是主体身份。公民个人信息泄露案件不少系内部人员作案，诸多公民个人信息买卖案件也可以见到“内鬼”参与的“影子”。为切实加大对此类行为的惩治力度，《解释》明确，“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人”的，认定“情节严重”的数量、数额标准减半计算。五是前科情况。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的，行为人屡教不改、主观恶性大，《解释》将其也规定为“情节严重”。　　在此基础上，《解释》第五条第二款对侵犯公民个人信息罪的“情节特别严重”的认定标准，也即“处三年以上七年以下有期徒刑”量刑档次的适用标准作了明确，主要涉及如下两个方面：一是数量数额标准。根据信息类型不同，非法获取、出售或者提供公民个人信息“五百条以上”“五千条以上”“五万条以上”，或者违法所得五万元以上的，即属“情节特别严重”。二是严重后果。《解释》将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”“造成重大经济损失或者恶劣社会影响”规定为“情节特别严重”。　　（五）明确了为合法经营活动而非法购买、收受公民个人信息的定罪量刑标准。从实践来看，非法购买、收受公民个人信息从事广告推销等活动的情形较为普遍。为贯彻体现宽严相济刑事政策，《解释》第六条专门针对此种情形设置了入罪标准，规定为合法经营活动而非法购买、收受敏感信息以外的公民个人信息，具有下列情形之一的，应当认定为“情节严重”：（1）利用非法购买、收受的公民个人信息获利五万元以上的；（2）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的；（3）其他情节严重的情形。　　（六）明确了设立网站、通讯群组侵犯公民个人信息行为的定性。实践中，一些行为人建立网站、通讯群组供他人进行公民个人信息交换、流转、销售，以非法牟利。根据刑法第二百八十七条之一的规定，设立用于实施违法犯罪活动的网站、通讯群组，情节严重的，构成非法利用信息网络罪。经研究认为，供他人实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组实际上属于“用于实施违法犯罪活动的网站、通讯群组”。因此，《解释》第八条规定：“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组，情节严重的，应当依照刑法第二百八十七条之一的规定，以非法利用信息网络罪定罪处罚；同时构成侵犯公民个人信息罪的，依照侵犯公民个人信息罪定罪处罚。”　　（七）明确了拒不履行公民个人信息安全管理义务行为的处理。当前，不少网络运营者因为履行职责或者提供服务的需要，掌握着海量公民个人信息，这些信息一旦泄露将造成恶劣社会影响和严重危害后果。对此，《网络安全法》明确了网络信息安全的责任主体，确立了“谁收集，谁负责”的基本原则。其中，第四十条明确规定：“网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护。”为进一步促使网络服务提供者切实履行个人信息安全保护义务，《解释》第九条规定：“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。”　　（八）明确了侵犯公民个人信息犯罪认罪认罚从宽处理规则。为充分发挥刑法的威慑和教育功能，促使侵犯公民个人信息犯罪行为人积极认罪悔罪，《解释》第十条专门规定：“实施侵犯公民个人信息犯罪，不属于‘情节特别严重’，行为人系初犯，全部退赃，并确有悔罪表现的，可以认定为情节轻微，不起诉或者免予刑事处罚；确有必要判处刑罚的，应当从宽处罚。”　　（九）明确了涉案公民个人信息的数量计算规则。针对公民个人信息数量“计算难”的实际问题，《解释》第十一条专门规定了数量计算规则。具体而言：一是公民个人信息的条数计算。《解释》规定：“非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算。”“向不同单位或者个人分别出售、提供同一公民个人信息的，公民个人信息的条数累计计算。”二是批量公民个人信息的数量认定规则。为方便司法实务操作，《解释》规定：“对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。”　　（十）明确了侵犯公民个人信息犯罪的罚金刑适用规则。侵犯公民个人信息犯罪具有明显的牟利性，行为人实施该类犯罪主要是为了牟取非法利益。因此，有必要加大财产刑的适用力度，让行为人在经济上得不偿失，进而剥夺其再次实施此类犯罪的经济能力。基于此，《解释》第十二条规定：“对于侵犯公民个人信息犯罪，应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等，依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。”　　附件：　　刑法相关规定　　第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。　　违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。　　窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。　　单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。　　第二百八十六条之一【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：　　（一）致使违法信息大量传播的；　　（二）致使用户信息泄露，造成严重后果的；　　（三）致使刑事案件证据灭失，情节严重的；　　（四）有其他严重情节的。　　单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。　　有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。　　第二百八十七条之一【非法利用信息网络罪】利用信息网络实施下列行为之一，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金：　　（一）设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的；　　（二）发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的；　　（三）为实施诈骗等违法犯罪活动发布信息的。　　单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。　　有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。[林文学]：各位记者，大家上午好！今天发布会的主题是向大家通报《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，并通报七起侵犯公民个人信息犯罪典型案例。为保护公民个人信息，进一步明确侵犯公民信息罪的定罪量刑标准和有关法律适用问题，最高人民法院会同最高人民检察院，在公安部等有关部门的大力支持下，在总结司法实践经验的基础上，经深入调查研究，制定出台了本《解释》，今天向社会公布。[10:00:49][林文学]：为了让大家更好的了解《解释》出台的背景和主要内容，今天我们特地邀请了最高人民法院研究室主任颜茂昆，最高人民检察院法律政策研究室副主任缐杰，公安部网络技术研发中心主任许剑卓出席今天的发布会，为大家解读《解释》，并回答大家的问题。首先，请颜茂昆主任介绍有关情况，并通报相关案例。[10:04:57][颜茂昆]：各位记者，大家上午好！现在我向各位通报《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）的有关情况。[10:07:00][颜茂昆]：一、《解释》的制定背景[10:07:24][颜茂昆]：随着信息化建设的推进，信息资源成为重要的生产要素和社会财富。与此同时，个人信息泄露问题严重，个人信息安全成为一个全社会高度关注的问题。为保护公民个人信息，2009年2月28日起施行的《刑法修正案（七）》增设了刑法第二百五十三条之一，规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。《刑法修正案（七）》施行后，从2009年2月至2015年10月，全国法院共审结出售、非法提供公民个人信息、非法获取公民个人信息刑事案件969起，生效判决人数1415人。[10:07:40][颜茂昆]：近年来，侵犯公民个人信息犯罪仍处于高发态势，而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势，社会危害更加严重。为加大对公民个人信息的保护力度，2015年11月1日起施行的《刑法修正案（九）》对刑法第二百五十三条之一作出修改完善：一是扩大犯罪主体的范围，规定任何单位和个人违反国家有关规定，获取、出售或者提供公民个人信息，情节严重的，都构成犯罪；二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，从重处罚；三是加重法定刑，增加规定“情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”。修改后，“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。《刑法修正案（九）》施行以来，各级公检法机关依据修改后的刑法规定，严肃惩处侵犯公民个人信息犯罪，案件数量显著增长。2015年11月至2016年12月，全国法院新收侵犯公民个人信息刑事案件495件，审结464件，生效判决人数697人。[10:08:08][颜茂昆]：在查办案件过程中，有意见反映，侵犯公民个人信息罪的定罪量刑标准较为原则，不易把握；另有一些法律适用问题存在认识分歧，影响了案件办理。鉴此，为保障法律正确、统一适用，依法严厉惩治、有效防范侵犯公民个人信息犯罪，最高人民法院会同最高人民检察院，在公安部等有关部门的大力支持下，经深入调查研究、广泛征求意见、反复论证完善，制定了本《解释》。[10:09:17][颜茂昆]：《解释》根据法律规定和立法精神，对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。制定本《解释》，是人民法院、人民检察院充分发挥刑事司法职能，积极回应人民群众关切，加大对涉民生犯罪惩治力度的一项重要举措。《解释》的公布施行，对于强化公民个人信息的保护，维护人民群众个人信息安全以及财产、人身权益，必将发挥重要作用。[10:09:45][颜茂昆]：二、《解释》的主要内容[10:10:05][颜茂昆]：《解释》共十三条，主要包括以下十个方面的内容：[10:10:17][颜茂昆]：（一）明确了“公民个人信息”的范围。基于全面保护公民个人信息的现实需要，《解释》第一条规定“公民个人信息”包括身份识别信息和活动情况信息，即“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”[10:10:39][颜茂昆]：（二）明确了非法“提供公民个人信息”的认定标准。根据刑法第二百五十三条之一的规定，违反国家有关规定，向他人出售或者提供公民个人信息，是侵犯公民个人信息罪的客观行为方式之一。针对司法实践的情况，《解释》第三条对非法“提供公民个人信息”的认定作了进一步明确。具体而言：一是“提供”的认定。在“人肉搜索”案件中，行为人未经权利人同意即将其身份、照片、姓名、生活细节等个人信息公布于众，影响其正常的工作、生活秩序，危害严重。更有甚者，一些行为人恶意利用泄露的个人信息进行各类违法犯罪活动。经研究认为，通过信息网络或者其他途径予以发布，实际是向不特定多数人提供公民个人信息，向特定人提供公民个人信息的行为属于“提供”，基于“举轻明重”的法理，前者更应当认定为“提供”。基于此，《解释》规定：“向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的‘提供公民个人信息’。”二是合法收集公民个人信息后非法提供的认定。根据《网络安全法》的规定，经得被收集者同意，以及做匿名化处理（剔除个人关联），是合法提供公民个人信息的两种情形。基于此，《解释》规定：“未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的‘提供公民个人信息’，但是经过处理无法识别特定个人且不能复原的除外。”[10:12:16][颜茂昆]：（三）明确了“非法获取公民个人信息”的认定标准。根据刑法第二百五十三条之一的规定，窃取或者以其他方法非法获取公民个人信息，是侵犯公民个人信息罪的客观行为方式之一。根据司法实践的情况，《解释》第四条对“非法获取公民个人信息”的认定作了进一步明确。一是规定“违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息”的，属于“非法获取公民个人信息”。二是根据《网络安全法》规定的收集、使用个人信息的规则，明确违反国家有关规定，“在履行职责、提供服务过程中收集公民个人信息”的，属于“非法获取公民个人信息”。[10:13:01][颜茂昆]：（四）明确了侵犯公民个人信息罪的定罪量刑标准。侵犯公民个人信息罪的入罪要件为“情节严重”。根据法律精神，结合司法实践，《解释》第五条第一款设十项对“情节严重”的认定标准作了明确规定，大致涉及如下五个方面：一是信息类型和数量。公民个人信息的类型繁多，行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、交易信息等公民个人敏感信息涉及人身安全和财产安全，被非法获取、出售或者提供后极易引发绑架、诈骗、敲诈勒索等关联犯罪，具有更大的社会危害性。基于不同类型公民个人信息的重要程度，《解释》分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准，以体现罪责刑相适应。二是违法所得数额。出售或者非法提供公民个人信息往往是为了牟利，基于此，《解释》将违法所得五千元以上的规定为“情节严重”。三是信息用途。被非法获取、出售或者提供的公民个人信息，用途存在不同，对权利人的侵害程度也会存在差异。基于此，《解释》将“非法获取、出售或者提供行踪轨迹信息，被他人用于犯罪”“知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供”规定为“情节严重”。四是主体身份。公民个人信息泄露案件不少系内部人员作案，诸多公民个人信息买卖案件也可以见到“内鬼”参与的“影子”。为切实加大对此类行为的惩治力度，《解释》明确，“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人”的，认定“情节严重”的数量、数额标准减半计算。五是前科情况。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的，行为人屡教不改、主观恶性大，《解释》将其也规定为“情节严重”。在此基础上，《解释》第五条第二款对侵犯公民个人信息罪的“情节特别严重”的认定标准，也即“处三年以上七年以下有期徒刑”量刑档次的适用标准作了明确，主要涉及如下两个方面：一是数量数额标准。根据信息类型不同，非法获取、出售或者提供公民个人信息“五百条以上”“五千条以上”“五万条以上”，或者违法所得五万元以上的，即属“情节特别严重”。二是严重后果。《解释》将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”“造成重大经济损失或者恶劣社会影响”规定为“情节特别严重”。[10:16:41][颜茂昆]：（五）明确了为合法经营活动而非法购买、收受公民个人信息的定罪量刑标准。从实践来看，非法购买、收受公民个人信息从事广告推销等活动的情形较为普遍。为贯彻体现宽严相济刑事政策，《解释》第六条专门针对此种情形设置了入罪标准，规定为合法经营活动而非法购买、收受敏感信息以外的公民个人信息，具有下列情形之一的，应当认定为“情节严重”：（1）利用非法购买、收受的公民个人信息获利五万元以上的；（2）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的；（3）其他情节严重的情形。[10:18:14][颜茂昆]：（六）明确了设立网站、通讯群组侵犯公民个人信息行为的定性。实践中，一些行为人建立网站、通讯群组供他人进行公民个人信息交换、流转、销售，以非法牟利。根据刑法第二百八十七条之一的规定，设立用于实施违法犯罪活动的网站、通讯群组，情节严重的，构成非法利用信息网络罪。经研究认为，供他人实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组实际上属于“用于实施违法犯罪活动的网站、通讯群组”。因此，《解释》第八条规定：“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组，情节严重的，应当依照刑法第二百八十七条之一的规定，以非法利用信息网络罪定罪处罚；同时构成侵犯公民个人信息罪的，依照侵犯公民个人信息罪定罪处罚。”[10:18:59][颜茂昆]：（七）明确了拒不履行公民个人信息安全管理义务行为的处理。当前，不少网络运营者因为履行职责或者提供服务的需要，掌握着海量公民个人信息，这些信息一旦泄露将造成恶劣社会影响和严重危害后果。对此，《网络安全法》明确了网络信息安全的责任主体，确立了“谁收集，谁负责”的基本原则。其中，第四十条明确规定：“网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。”为进一步促使网络服务提供者切实履行个人信息安全保护义务，《解释》第九条规定：“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。”[10:20:34][颜茂昆]：（八）明确了侵犯公民个人信息犯罪认罪认罚从宽处理规则。为充分发挥刑法的威慑和教育功能，促使侵犯公民个人信息犯罪行为人积极认罪悔罪，《解释》第十条专门规定：“实施侵犯公民个人信息犯罪，不属于‘情节特别严重’，行为人系初犯，全部退赃，并确有悔罪表现的，可以认定为情节轻微，不起诉或者免予刑事处罚；确有必要判处刑罚的，应当从宽处罚。”[10:21:08][颜茂昆]：（九）明确了涉案公民个人信息的数量计算规则。针对公民个人信息数量“计算难”的实际问题，《解释》第十一条专门规定了数量计算规则。具体而言：一是公民个人信息的条数计算。《解释》规定：“非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算。”“向不同单位或者个人分别出售、提供同一公民个人信息的，公民个人信息的条数累计计算。”二是批量公民个人信息的数量认定规则。为方便司法实务操作，《解释》规定：“对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。”[10:22:34][颜茂昆]：（十）明确了侵犯公民个人信息犯罪的罚金刑适用规则。侵犯公民个人信息犯罪具有明显的牟利性，行为人实施该类犯罪主要是为了牟取非法利益。因此，有必要加大财产刑的适用力度，让行为人在经济上得不偿失，进而剥夺其再次实施此类犯罪的经济能力。基于此，《解释》第十二条规定：“对于侵犯公民个人信息犯罪，应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等，依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。”[10:22:51][颜茂昆]：我要向大家通报的情况就这些。谢谢大家。[10:23:01][颜茂昆]：下面发布侵犯公民个人信息犯罪典型案例。[10:24:50][颜茂昆]：一、邵保明等侵犯公民个人信息案非法出售户籍信息、手机定位、住宿记录等个人信息，构成侵犯公民个人信息罪（一）基本案情2016年初，被告人邵保明、康旭、王杰、陆洪阳分别以“大叔调查公司”的名义向他人出售公民个人信息，被告人倪江鸿不久后参与。五被告人通过在微信朋友圈发布出售个人户籍、车辆档案、手机定位、个人征信、旅馆住宿等各类公民个人信息的广告的方式寻找客户，接单后通过微信向上家购买信息或让其他被告人帮忙向上家购买信息后加价出售，每单收取10元至1000余元不等的费用。经查，被告人邵保明获利人民币26000元，被告人康旭获利人民币8000元，被告人倪江鸿、王杰、陆洪阳各获利人民币5000元。（二）裁判结果浙江省东阳市人民法院判决认为：被告人邵保明、康旭、倪江鸿、王杰、陆洪阳单独或伙同他人，违反国家有关规定，向他人出售公民个人信息，情节严重，其行为均已构成侵犯公民个人信息罪。综合考虑被告人的坦白、退赃等情节，以侵犯公民个人信息罪判处被告人邵保明有期徒刑一年三个月，并处罚金人民币八千元；被告人康旭有期徒刑一年，并处罚金人民币四千元；被告人倪江鸿、王杰、陆洪阳各有期徒刑十个月，并处罚金人民币二千元。该判决已发生法律效力。[10:25:28][颜茂昆]：二、韩世杰、旷源鸿、韩文华等侵犯公民个人信息案非法查询征信信息牟利，构成侵犯公民个人信息罪（一）基本案情2015年9月3日至4日，被告人韩世杰、旷源鸿、韩文华利用连光辉（湖北省巴东县农村商业银行沿渡河支行征信查询员）的征信查询ID号、密码及被告人李冲、耿健美（洛阳银行郑州东风路支行客户经理）提供的洛阳银行郑州东风路支行的银行专用网络，在该行附近使用电脑非法查询公民个人银行征信信息3万余条。2015年9月5日至6日，被告人韩世杰、旷源鸿、韩文华利用连光辉的征信查询ID号、密码及被告人李楠、卢惠生（德州银行滨州金廷支行行长）提供的德州银行滨州分行的银行专用网络，在该行南面的停车场内，使用电脑分两次非法查询公民个人银行征信信息2万余条。2015年9月8日，被告人韩世杰、旷源鸿、韩文华利用李涛（江苏省淮安市农村商业银行徐溜支行职工）的银行征信查询ID号及密码及被告人李楠、卢惠生提供的德州银行滨州分行专用网络，在该行南面的停车场内，使用电脑非法查询公民个人银行征信信息近3万条。被告人韩亮、邓佳勇获得征信查询ID号、密码并非法提供给被告人韩世杰等人使用，双方通过被告人陈莎莎中转租金、传递密码。被告人韩世杰、旷源鸿、韩文华将查询获得的上述公民个人银行征信信息出售给他人，向被告人韩亮、李冲、李楠支付了相关费用。（二）裁判结果湖北省巴东县人民法院判决认为：被告人韩世杰、旷源鸿、韩文华、韩亮、邓佳勇、李楠、陈莎莎、卢惠生、李冲、耿健美违反国家有关规定，非法获取公民个人信息出售牟利，情节严重，其行为已构成侵犯公民个人信息罪。综合考虑被告人自首、坦白、积极退赃等情节，以侵犯公民个人信息罪判处被告人韩世杰有期徒刑一年六个月，并处罚金人民币二万元；被告人旷源鸿有期徒刑一年三个月，并处罚金人民币二万元；被告人韩文华处有期徒刑一年二个月，并处罚金人民币一万元；被告人韩亮有期徒刑一年，并处罚金人民币一万元；以及其他各被告人相应有期徒刑、拘役和罚金。该判决已发生法律效力。[10:25:59][颜茂昆]：三、周滨城等侵犯公民个人信息案非法购买学生信息出售牟利，构成侵犯公民个人信息罪（一）基本案情2016年4月，被告人周滨城向他人购买浙江省学生信息193万余条。后被告人周滨城将其中100万余条嘉兴、绍兴地区的学生信息以6万余元的价格出售给被告人陈利青，将45655条嘉兴地区的学生信息以3500元的价格出售给被告人刘亚、陈俊、周红云，将7214条平湖地区的学生信息以1400元的价格出售，将2320条平湖地区的学生信息以500元的价格出售，共计非法获利65400元。此外，2016年4月，被告人刘亚、陈俊、周红云以3000元的价格向他人购买嘉兴地区学生信息25068条。（二）裁判结果浙江省平湖市人民法院判决认为：被告人周滨城、陈利青、刘亚、陈俊、周红云违反国家有关规定，向他人出售或者以购买的方法非法获取公民个人信息，数量分别为193万余条、100万余条、7万余条、7万余条、7万余条，其行为均已构成侵犯公民个人信息罪。综合考虑被告人自首、坦白等情节，以侵犯公民个人信息罪判处被告人周滨城有期徒刑一年十一个月，并处罚金人民币四万元；被告人陈利青有期徒刑十一个月，并处罚金人民币十万元；被告人刘亚、陈俊、周红云有期徒刑九个月至七个月不等、缓刑一年，并处罚金人民币五千元至四千元不等。该判决已发生法律效力。[10:26:24][颜茂昆]：四、夏拂晓侵犯公民个人信息案非法买卖网购订单信息，构成侵犯公民个人信息罪（一）基本案情2015年10月至2016年7月，被告人夏拂晓买卖大量含有公民姓名、收货地址、手机号码等内容的网购订单信息，非法获利约5万元。被告人夏拂晓在归案后如实供述自己的罪行。（二）裁判结果浙江省绍兴市柯桥区人民法院判决认为：被告人夏拂晓违反国家有关规定，非法获取公民个人信息并向他人出售，情节严重，其行为已构成侵犯公民个人信息罪。综合考虑全案情节，以侵犯公民个人信息罪判处被告人夏拂晓有期徒刑二年，并处罚金人民币二千元。该判决已发生法律效力。[10:26:47][颜茂昆]：五、肖凡、周浩等侵犯公民个人信息案利用黑客手段窃取公民个人信息出售牟利，构成侵犯公民个人信息罪（一）基本案情被告人肖凡、周浩预谋窃取邮局内部的公民个人信息进行出售牟利，共同出资购买了黑客软件。2016年5月至2016年6月，二人通过黑客软件侵入邮局内网，在邮局内网窃取邮局内部的公民个人信息103257条，并将窃取的公民个人信息全部出售给被告人李晓波。后李晓波将购买的公民个人信息出售给被告人王丽元40000条，王丽元又将购买到的公民个人信息出售给被告人宋晓波30000条。（二）裁判结果内蒙古自治区赤峰市红山区人民法院判决认为：被告人肖凡、周浩通过黑客手段窃取公民个人信息并非法出售，李晓波、王丽元、宋晓波通过购买方式非法获取公民个人信息，其行为均已构成侵犯公民个人信息罪。据此，以侵犯公民个人信息罪判处被告人肖凡、周浩、李晓波各有期徒刑二年，并处罚金人民币五万元；被告人王丽元有期徒刑一年，并处罚金人民币三万元；被告人宋晓波有期徒刑六个月，并处罚金人民币三万元。该判决已发生法律效力。[10:27:09][颜茂昆]：六、杜明兴、杜明龙侵犯公民个人信息案通过互联网非法购买、交换、出售公民个人信息，构成侵犯公民个人信息罪（一）基本案情被告人杜明兴、杜明龙加入涉及个人信息交换买卖的QQ群，通过购买、交换等方式获取大量公民个人信息，再在群里发布广告招揽买家。2015年11月至2016年3月，杜明兴向他人购买或者交换车主信息等公民个人信息28万余条，向他人出售关于期货、基金、车主、信用卡等公民个人信息42万余条；杜明龙向他人购买杭州地区新生儿及其父母信息等公民个人信息3万余条，向他人出售车主信息、小区业主信息等公民个人信息近40万条。（二）裁判结果江苏省南京市鼓楼区人民法院判决认为：被告人杜明兴、杜明龙违反国家有关规定，向他人出售或者以非法方法获取公民个人信息，情节严重，其行为已构成侵犯公民个人信息罪。综合考虑被告人坦白、退赃等情节，以侵犯公民个人信息罪判处被告人杜明兴、杜明龙各有期徒刑一年四个月，罚金人民币一万元；被告人有期徒刑一年二个月，罚金人民币一万元。该判决已发生法律效力。[10:27:32][颜茂昆]：七、丁亚光侵犯公民个人信息案非法提供近二千万条住宿记录供他人查询牟利，构成侵犯公民个人信息罪“情节特别严重”（一）基本案情2013年底，一家为全国4500多家酒店提供网络服务的公司因系统存在安全漏洞，致使全国高达2000万条宾馆住宿记录泄露。2015年初至2016年6月，被告人丁亚光通过在不法网站下载的方式，非法获取宾馆住宿记录等公民个人信息，并上传至自己开办的“嗅密码”网站。该网站除了能够查询住宿记录外，还提供用户QQ、部分论坛账号及密码找回功能。其中住宿记录共有将近二千万条，用户经注册成为会员后，可以在网页“开房查询”栏目项下，以输入关键字姓名或身份证号的方式查询网站数据库中宾馆住宿记录（显示姓名、身份证号、手机号码、地址、住宿时间等信息）。丁亚光自2015年5月份左右开始对该网站采取注册会员方式收取费用60元/人，到2016年1月份上调到120元/人。2015年11月1日至2016年6月23日，“嗅密码”网站共有查询记录49698条，收取会员费191440.92元。（二）裁判结果浙江省乐清市人民法院判决认为：被告人丁亚光非法获取住宿记录等公民个人信息后通过网站提供查询服务牟利，供查询的公民个人信息近二千万条，其行为已经构成侵犯公民个人信息罪，且属于“情节特别严重”。综合考虑退赃等情节，以侵犯公民个人信息罪判处被告人丁亚光有期徒刑三年，并处罚金人民币二万元。该判决已发生法律效力。[10:28:03][颜茂昆]：我要向大家通报的情况就是这些，谢谢大家。[10:29:25][林文学]：刚才颜茂昆主任向大家介绍了《解释》出台的有关背景和主要内容，通报了侵犯公民个人信息犯罪典型案例，各位有什么感兴趣的话题我们可以做一个交流。[10:30:17][法制日报记者]：我想问一下公安部许主任，当前侵犯公民个人信息犯罪有哪些特点？谢谢。[11:02:00][许剑卓]：侵犯公民个人信息的犯罪这些年比较严重，主要有几个犯罪特点，第一是危害角度讲，侵犯公民个人信息的犯罪已经成为其他各类犯罪的上游犯罪，大家注意到，不管是敲诈勒索、电信诈骗等等各类犯罪，多数是以非法获取个人信息为前提的，从公安机关角度讲，打击侵犯公民个人信息犯罪是治理网络犯罪一个最重要的措施之一。第二，行业内部人员已经成为实施侵犯公民个人信息犯罪的重要主体。大家都了解非法获取公民个人信