侵犯公民個人信息如何定罪量刑？兩高出臺司法解釋

中新網北京5月10日電(湯琪) 何為“公民個人信息”？怎樣算非法“提供公民個人信息”？侵犯公民個人信息如何定罪量刑？

9日上午，最高人民法院、最高人民檢察院在北京聯合發布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，對上述問題給出答案。

何為“公民個人信息”？

根據刑法第二百五十三條之一規定，違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。

那么，哪些信息屬于“公民個人信息”？

在發布會上，最高法研究室主任顏茂昆表示，“公民個人信息”，包括身份識別信息和活動情況信息。

具體來說，這份《解釋》第一條就明確了，刑法第二百五十三條之一規定的“公民個人信息”，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。

何為非法“提供公民個人信息”？

針對司法實踐的情況，《解釋》第三條對非法“提供公民個人信息”的認定作了進一步明確。

——關于“提供”的認定

發布會上，顏茂昆表示，在“人肉搜索”案件中，行為人未經權利人同意即將其身份、照片、姓名、生活細節等個人信息公布于眾，影響其正常的工作、生活秩序，危害嚴重。更有甚者，一些行為人惡意利用泄露的個人信息進行各類違法犯罪活動。

顏茂昆稱，通過信息網絡或者其他途徑予以發布，實際是向不特定多數人提供公民個人信息，向特定人提供公民個人信息的行為屬于“提供”，基于“舉輕明重”的法理，前者更應當認定為“提供”。

基于此，《解釋》第三條規定，向特定人提供公民個人信息，以及通過信息網絡或者其他途徑發布公民個人信息的，應當認定為刑法第二百五十三條之一規定的“提供公民個人信息”。

——關于合法收集公民個人信息后非法提供的認定

根據《網絡安全法》的規定，經得被收集者同意，以及做匿名化處理(剔除個人關聯)，是合法提供公民個人信息的兩種情形。

基于此，《解釋》第三條規定，未經被收集者同意，將合法收集的公民個人信息向他人提供的，屬于刑法第二百五十三條之一規定的“提供公民個人信息”，但是經過處理無法識別特定個人且不能復原的除外。

侵犯公民個人信息，如何定罪量刑？

針對上述刑法第二百五十三條之一的規定，《解釋》對“情節嚴重”和“情節特別嚴重”作出了說明。

——非法出售公民個人信息獲利5000元以上即可入罪

《解釋》第五條明確，非法獲取、出售或者提供公民個人信息，具有下列情形的，應當認定為刑法第二百五十三條之一規定的“情節嚴重”。

這些情形包括，非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的；非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的；違法所得五千元以上的，等等。

——侵犯公民個人信息 這些情形最高可判7年

《解釋》還對侵犯公民個人信息罪的“情節特別嚴重”的認定標準，也即“處三年以上七年以下有期徒刑”量刑檔次的適用標準作了明確。

主要涉及如下兩個方面：一是數量數額標準。根據信息類型不同，非法獲取、出售或者提供公民個人信息“五百條以上”“五千條以上”“五萬條以上”，或者違法所得五萬元以上的，即屬“情節特別嚴重”。二是嚴重后果。《解釋》將“造成被害人死亡、重傷、精神失常或者被綁架等嚴重后果”“造成重大經濟損失或者惡劣社會影響”規定為“情節特別嚴重”。

——非法購買公民個人信息從事廣告推銷如何判？

從實踐來看，非法購買、收受公民個人信息從事廣告推銷等活動的情形較為普遍。為貫徹體現寬嚴相濟刑事政策，《解釋》第六條專門針對此種情形設置了入罪標準。

根據司法解釋，為合法經營活動而非法購買、收受敏感信息以外的公民個人信息，具有下列情形之一的，應當認定為“情節嚴重”：(1)利用非法購買、收受的公民個人信息獲利五萬元以上的；(2)曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰，又非法購買、收受公民個人信息的；(3)其他情節嚴重的情形。

——什么情況可以從寬處罰？

此外，顏茂昆表示，《解釋》還明確了侵犯公民個人信息犯罪認罪認罰從寬處理規則，為充分發揮刑法的威懾和教育功能，促使侵犯公民個人信息犯罪行為人積極認罪悔罪。

《解釋》第十條明確，實施侵犯公民個人信息犯罪，不屬于“情節特別嚴重”，行為人系初犯，全部退贓，并確有悔罪表現的，可以認定為情節輕微，不起訴或者免予刑事處罰；確有必要判處刑罰的，應當從寬處罰。

網絡運營者泄露個人信息，如何定罪？

顏茂昆介紹，當前，不少網絡運營者因為履行職責或者提供服務的需要，掌握著海量公民個人信息，這些信息一旦泄露將造成惡劣社會影響和嚴重危害后果。

對此，《網絡安全法》明確了網絡信息安全的責任主體，確立了“誰收集，誰負責”的基本原則。其中，第四十條明確規定，網絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。

為進一步促使網絡服務提供者切實履行個人信息安全保護義務，《解釋》第九條規定，網絡服務提供者拒不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，致使用戶的公民個人信息泄露，造成嚴重后果的，應當依照刑法第二百八十六條之一的規定，以拒不履行信息網絡安全管理義務罪定罪處罰。

據悉，該司法解釋自2017年6月1日起施行。