5月9日上午10時，最高人民法院召開關于《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》的新聞發布會。最高人民法院新聞發言人林文學主持新聞發布會，最高人民法院研究室主任顏茂昆通報了相關情況，最高人民法院研究室主任顏茂昆、最高人民檢察院法律政策研究室副主任缐杰、公安部網絡技術研發中心主任許劍卓回答了記者提問。

　　一、《解釋》的制定背景

　　隨著信息化建設的推進，信息資源成為重要的生產要素和社會財富。與此同時，個人信息泄露問題嚴重，個人信息安全成為一個全社會高度關注的問題。為保護公民個人信息，2009年2月28日起施行的《刑法修正案（七）》增設了刑法第二百五十三條之一，規定了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪。《刑法修正案（七）》施行后，從2009年2月至2015年10月，全國法院共審結出售、非法提供公民個人信息、非法獲取公民個人信息刑事案件969起，生效判決人數1415人。

　　近年來，侵犯公民個人信息犯罪仍處于高發態勢，而且與電信網絡詐騙、敲詐勒索、綁架等犯罪呈合流態勢，社會危害更加嚴重。為加大對公民個人信息的保護力度，2015年11月1日起施行的《刑法修正案（九）》對刑法第二百五十三條之一作出修改完善：一是擴大犯罪主體的范圍，規定任何單位和個人違反國家有關規定，獲取、出售或者提供公民個人信息，情節嚴重的，都構成犯罪；二是明確規定將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，從重處罰；三是加重法定刑，增加規定“情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金”。修改后，“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”被整合為“侵犯公民個人信息罪”。《刑法修正案（九）》施行以來，各級公檢法機關依據修改后的刑法規定，嚴肅懲處侵犯公民個人信息犯罪，案件數量顯著增長。2015年11月至2016年12月，全國法院新收侵犯公民個人信息刑事案件495件，審結464件，生效判決人數697人。

　　在查辦案件過程中，有意見反映，侵犯公民個人信息罪的定罪量刑標準較為原則，不易把握；另有一些法律適用問題存在認識分歧，影響了案件辦理。鑒此，為保障法律正確、統一適用，依法嚴厲懲治、有效防范侵犯公民個人信息犯罪，最高人民法院會同最高人民檢察院，在公安部等有關部門的大力支持下，經深入調查研究、廣泛征求意見、反復論證完善，制定了本《解釋》。

　　《解釋》根據法律規定和立法精神，對侵犯公民個人信息犯罪的定罪量刑標準和有關法律適用問題作了全面、系統的規定。制定本《解釋》，是人民法院、人民檢察院充分發揮刑事司法職能，積極回應人民群眾關切，加大對涉民生犯罪懲治力度的一項重要舉措。《解釋》的公布施行，對于強化公民個人信息的保護，維護人民群眾個人信息安全以及財產、人身權益，必將發揮重要作用。

　　二、《解釋》的主要內容

　　《解釋》共十三條，主要包括以下十個方面的內容：

　　一、明確了“公民個人信息”的范圍

　　基于全面保護公民個人信息的現實需要，《解釋》第一條規定“公民個人信息”包括身份識別信息和活動情況信息，即“刑法第二百五十三條之一規定的‘公民個人信息’,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。”

　　二、明確了非法“提供公民個人信息”的認定標準

　　根據刑法第二百五十三條之一的規定，違反國家有關規定，向他人出售或者提供公民個人信息，是侵犯公民個人信息罪的客觀行為方式之一。針對司法實踐的情況，《解釋》第三條對非法“提供公民個人信息”的認定作了進一步明確。具體而言：一是“提供”的認定。在“人肉搜索”案件中，行為人未經權利人同意即將其身份、照片、姓名、生活細節等個人信息公布于眾，影響其正常的工作、生活秩序，危害嚴重。更有甚者，一些行為人惡意利用泄露的個人信息進行各類違法犯罪活動。經研究認為，通過信息網絡或者其他途徑予以發布，實際是向不特定多數人提供公民個人信息，向特定人提供公民個人信息的行為屬于“提供”，基于“舉輕明重”的法理，前者更應當認定為“提供”。基于此，《解釋》規定：“向特定人提供公民個人信息，以及通過信息網絡或者其他途徑發布公民個人信息的，應當認定為刑法第二百五十三條之一規定的‘提供公民個人信息’。”二是合法收集公民個人信息后非法提供的認定。根據《網絡安全法》的規定，經得被收集者同意，以及做匿名化處理（剔除個人關聯），是合法提供公民個人信息的兩種情形。基于此，《解釋》規定：“未經被收集者同意，將合法收集的公民個人信息向他人提供的，屬于刑法第二百五十三條之一規定的‘提供公民個人信息’，但是經過處理無法識別特定個人且不能復原的除外。”

　　三、明確了“非法獲取公民個人信息”的認定標準

　　根據刑法第二百五十三條之一的規定，竊取或者以其他方法非法獲取公民個人信息，是侵犯公民個人信息罪的客觀行為方式之一。根據司法實踐的情況，《解釋》第四條對“非法獲取公民個人信息”的認定作了進一步明確。一是規定“違反國家有關規定，通過購買、收受、交換等方式獲取公民個人信息”的，屬于“非法獲取公民個人信息”。二是根據《網絡安全法》規定的收集、使用個人信息的規則，明確違反國家有關規定，“在履行職責、提供服務過程中收集公民個人信息”的，屬于“非法獲取公民個人信息”。

　　四、明確了侵犯公民個人信息罪的定罪量刑標準

　　侵犯公民個人信息罪的入罪要件為“情節嚴重”。根據法律精神，結合司法實踐，《解釋》第五條第一款設十項對“情節嚴重”的認定標準作了明確規定，大致涉及如下五個方面：一是信息類型和數量。公民個人信息的類型繁多，行蹤軌跡信息、通信內容、征信信息、財產信息、住宿信息、交易信息等公民個人敏感信息涉及人身安全和財產安全，被非法獲取、出售或者提供后極易引發綁架、詐騙、敲詐勒索等關聯犯罪，具有更大的社會危害性。基于不同類型公民個人信息的重要程度，《解釋》分別設置了“五十條以上”“五百條以上”“五千條以上”的入罪標準，以體現罪責刑相適應。二是違法所得數額。出售或者非法提供公民個人信息往往是為了牟利，基于此，《解釋》將違法所得五千元以上的規定為“情節嚴重”。三是信息用途。被非法獲取、出售或者提供的公民個人信息，用途存在不同，對權利人的侵害程度也會存在差異。基于此，《解釋》將“非法獲取、出售或者提供行蹤軌跡信息，被他人用于犯罪”“知道或者應當知道他人利用公民個人信息實施犯罪，向其出售或者提供”規定為“情節嚴重”。四是主體身份。公民個人信息泄露案件不少系內部人員作案，諸多公民個人信息買賣案件也可以見到“內鬼”參與的“影子”。為切實加大對此類行為的懲治力度，《解釋》明確，“將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人”的，認定“情節嚴重”的數量、數額標準減半計算。五是前科情況。曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰，又非法獲取、出售或者提供公民個人信息的，行為人屢教不改、主觀惡性大，《解釋》將其也規定為“情節嚴重”。

　　在此基礎上，《解釋》第五條第二款對侵犯公民個人信息罪的“情節特別嚴重”的認定標準，也即“處三年以上七年以下有期徒刑”量刑檔次的適用標準作了明確，主要涉及如下兩個方面：一是數量數額標準。根據信息類型不同，非法獲取、出售或者提供公民個人信息“五百條以上”“五千條以上”“五萬條以上”，或者違法所得五萬元以上的，即屬“情節特別嚴重”。二是嚴重后果。《解釋》將“造成被害人死亡、重傷、精神失常或者被綁架等嚴重后果”“造成重大經濟損失或者惡劣社會影響”規定為“情節特別嚴重”。

　　五、明確了為合法經營活動而非法購買、收受公民個人信息的定罪量刑標準

　　從實踐來看，非法購買、收受公民個人信息從事廣告推銷等活動的情形較為普遍。為貫徹體現寬嚴相濟刑事政策，《解釋》第六條專門針對此種情形設置了入罪標準，規定為合法經營活動而非法購買、收受敏感信息以外的公民個人信息，具有下列情形之一的，應當認定為“情節嚴重”：（1）利用非法購買、收受的公民個人信息獲利五萬元以上的；（2）曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰，又非法購買、收受公民個人信息的；（3）其他情節嚴重的情形。

　　六、明確了設立網站、通訊群組侵犯公民個人信息行為的定性

　　實踐中，一些行為人建立網站、通訊群組供他人進行公民個人信息交換、流轉、銷售，以非法牟利。根據刑法第二百八十七條之一的規定，設立用于實施違法犯罪活動的網站、通訊群組，情節嚴重的，構成非法利用信息網絡罪。經研究認為，供他人實施非法獲取、出售或者提供公民個人信息違法犯罪活動的網站、通訊群組實際上屬于“用于實施違法犯罪活動的網站、通訊群組”。因此，《解釋》第八條規定：“設立用于實施非法獲取、出售或者提供公民個人信息違法犯罪活動的網站、通訊群組，情節嚴重的，應當依照刑法第二百八十七條之一的規定，以非法利用信息網絡罪定罪處罰；同時構成侵犯公民個人信息罪的，依照侵犯公民個人信息罪定罪處罰。”

　　七、明確了拒不履行公民個人信息安全管理義務行為的處理

　　當前，不少網絡運營者因為履行職責或者提供服務的需要，掌握著海量公民個人信息，這些信息一旦泄露將造成惡劣社會影響和嚴重危害后果。對此，《網絡安全法》明確了網絡信息安全的責任主體，確立了“誰收集，誰負責”的基本原則。其中，第四十條明確規定：“網絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。”為進一步促使網絡服務提供者切實履行個人信息安全保護義務，《解釋》第九條規定：“網絡服務提供者拒不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，致使用戶的公民個人信息泄露，造成嚴重后果的，應當依照刑法第二百八十六條之一的規定，以拒不履行信息網絡安全管理義務罪定罪處罰。”

　　八、明確了侵犯公民個人信息犯罪認罪認罰從寬處理規則

　　為充分發揮刑法的威懾和教育功能，促使侵犯公民個人信息犯罪行為人積極認罪悔罪，《解釋》第十條專門規定：“實施侵犯公民個人信息犯罪，不屬于‘情節特別嚴重’，行為人系初犯，全部退贓，并確有悔罪表現的，可以認定為情節輕微，不起訴或者免予刑事處罰；確有必要判處刑罰的，應當從寬處罰。”

　　九、明確了涉案公民個人信息的數量計算規則

　　針對公民個人信息數量“計算難”的實際問題，《解釋》第十一條專門規定了數量計算規則。具體而言：一是公民個人信息的條數計算。《解釋》規定：“非法獲取公民個人信息后又出售或者提供的，公民個人信息的條數不重復計算。”“向不同單位或者個人分別出售、提供同一公民個人信息的，公民個人信息的條數累計計算。”二是批量公民個人信息的數量認定規則。為方便司法實務操作，《解釋》規定：“對批量公民個人信息的條數，根據查獲的數量直接認定，但是有證據證明信息不真實或者重復的除外。”

　　十、明確了侵犯公民個人信息犯罪的罰金刑適用規則

　　侵犯公民個人信息犯罪具有明顯的牟利性，行為人實施該類犯罪主要是為了牟取非法利益。因此，有必要加大財產刑的適用力度，讓行為人在經濟上得不償失，進而剝奪其再次實施此類犯罪的經濟能力。基于此，《解釋》第十二條規定：“對于侵犯公民個人信息犯罪，應當綜合考慮犯罪的危害程度、犯罪的違法所得數額以及被告人的前科情況、認罪悔罪態度等，依法判處罰金。罰金數額一般在違法所得的一倍以上五倍以下。”