侵犯公民個人信息罪的處罰

近年來，電信網絡詐騙犯罪高發頻發，已成為嚴重侵害人民群眾切身利益的社會公害，廣大群眾對此類犯罪活動深惡痛絕。作為電信網絡詐騙犯罪的上游犯罪的其中之一，網絡侵犯公民個人信息犯罪起到了重要的推波助瀾作用，為詐騙分子實施詐騙提供了更加便利的條件。2017年5月，最高法、最高檢聯合發布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）。

公民個人信息泄漏的主要途徑

隨著網絡的普及，基于公民個人的專屬服務日趨增多，人們對網絡的依賴遠遠超出之前任何時代，由此泄漏個人信息的事件屢屢發生，給犯罪分子可乘之機，本文將目前泄漏個人信息較多的情況總結如下：一是線下泄漏。在日常生活中各種實名制購買行為的發生以及實名認證成為信息泄漏的第一來源。如快遞單、郵政單據、物業賬單、電信賬單、水電費賬單等以及個人信息證券市場、4S店、房地產商、學校等場所機構；二是線上泄漏。在網絡交友和網絡訪問成為個人信息泄漏另一大源頭。如各種網絡社交工具、釣魚網站、非法鏈接以及駭客發起的網絡攻擊等；三是其他方式泄露個人信息。如在打印店復印資料或身份證件時，一些缺乏職業道德的打字店、復印店利用便利，將客戶信息資料存檔留底，然后轉手賣掉等，這些都泄露了個人信息。

偵查打擊侵犯公民個人信息類案件的難點

點多線長面廣，取證工作困難重重。首先，數量龐大，尋找受害人難。侵害公民個人信息案件普遍存在人員以買、賣關系、買賣個人信息數量大、并具有熟練使用計算機、網絡等特點。其次地域跨度大，偵查布控難。網絡犯罪覆蓋面大，關系錯綜復雜，犯罪行為發生地、犯罪結果發生地、犯罪分子所在地等往往不在一地。給偵查、布控增加難度。最后，犯罪手段智能化程度高，取證難。侵害公民個人信息案件的犯罪為大多依托互聯網、移動電子設備，通過即時通訊工具、電子郵件等多種方式實施，調查取證難度很大，對案件的偵破造成較大難度。

相關法條的界限不清、法律適用難執行。首先情節嚴重界限難以把握。雖然《刑法修正案（七）》新增侵犯公民個人信息犯罪，《刑法修正案（九）》，對刑法第二百五十三條作了修改，對侵害公民個人信息的行為進行進一步細化，為懲治此類犯罪提供了明確的法律依據。但對情節嚴重的界定標準定義廣而空，也沒有出臺相應的法律解釋，致使廣大執法辦案部門不敢作為的情況。其次公民個人信息買方是否同罪的法律缺失。從目前法律法規來看，對公民個人信息的提供，銷售都提供了明確的懲戒條文，但是對買方卻沒有相應的處罰條文。致使公民個人信息買賣利益鏈條依舊存在，不法份子鋌而走險的可能依舊存在。

利益鏈隱蔽和監管缺位，司法監督難執行。在虛擬網絡中犯罪分子脫去道德外衣，追逐利益最大化，侵害公民個人信息案件時有發生。首先網絡利益鏈條長時間存在。在網絡中龐大的個人信息潛藏著巨大的經濟利益，驅使部分不法分子，買賣個人信息，已經形成一條巨大利益鏈。其次專門監管機構缺失和監督標準的不一致。目前各政府職能部門、企事業單位在收集公民個人信息時，往往各行其是，整個過程也是自行監督，致使目前尚無專門的機構進行收集公民個人信息收集行為進行監督。不管政府機構和企事業單位在信息安全保護方面缺乏統一的行為標準，給違法犯罪份子有可乘之機。

法律規定

侵犯公民個人信息罪，源于《刑法修正案（七）》《刑法修正案（九）》的兩次修改。

出售、非法提供公民個人信息罪和非法獲取公民個人信息罪

《刑法修正案（七）》第七條規定，在刑法第二百五十三條后增加一條，作為第二百五十三條之一：“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。

“竊取或者以其他方法非法獲取上述信息，情節嚴重的，依照前款的規定處罰。

“單位犯前兩款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰。”

侵犯公民個人信息罪

《刑法修正案（九）》第17條規定，將刑法第二百五十三條之一修改為：“違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。

“違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。

“竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰。

“單位犯前三款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰。

通過《刑法修正案（九）》的修改，出售、非法提供公民個人信息罪和非法獲取公民個人信息罪被整合為侵犯公民個人信息罪，從而強化公民個人信息的保護力度。

《解釋》對侵犯公民個人信息罪的法律適用問題和定罪量刑標準做了明確的規定。

侵犯公民個人信息罪的行為方式

刑法規定侵犯公民個人信息罪的行為方式，包括兩種，一是出售或者非法提供公民個人信息；二是非法獲取公民個人信息，具體而言：

違反國家有關規定向他人出售或者非法提供公民個人信息

《解釋》第二條規定，違反法律、行政法規、部門規章有關公民個人信息保護的規定的，應當認定為刑法第二百五十三條之一規定的“違反國家有關規定”。由此，這里的國家規定，僅限于法律、行政法規、部門規章等國家層面的規定，而不包括地方層面的地方性法規等文件。

《解釋》第三條規定，向特定人提供公民個人信息，以及通過信息網絡或者其他途徑發布公民個人信息的，應當認定為刑法第二百五十三條之一規定的“提供公民個人信息”。

未經被收集者同意，將合法收集的公民個人信息向他人提供的，屬于刑法第二百五十三條之一規定的“提供公民個人信息”，但是經過處理無法識別特定個人且不能復原的除外。

根據該條規定，本罪旨在限制非法提供公民個人信息，也即獲取信息之后，向他人提供的行為。這種提供行為又分為兩種情況，一是向特定人提供信息，比如公安機關、金融、住宿等單位的工作人員將其合法獲取的信息提供給他人；二是通過網絡向不特定人發布信息，比如人肉搜索，利用網絡肆意散發他人信息。

《解釋》第三條第三款之規定，實為一種法律注意規定，擬在提示司法工作人員，即便合法收集公民個人信息，但未經過可識別處理的，便提供給他人仍屬于非法提供公民個人信息。比如APP打車軟件，在獲取司機、用戶的訂單、行程、軌跡之后，運營公司不經過處理，便打包向其他公司提供這些信息，便存在適用本條的可能性。

竊取或者以其他方法非法獲取公民個人信息

《解釋》第四條規定，違反國家有關規定，通過購買、收受、交換等方式獲取公民個人信息，或者在履行職責、提供服務過程中收集公民個人信息的，屬于刑法第二百五十三條之一第三款規定的“以其他方法非法獲取公民個人信息”。

這種行為方式的問題主要在于厘清其他方法，《解釋》第四條進行了明確，一是，違反國家有關規定，購買、收受、交換等方式獲取信息；二是，違反國家有關規定，在履行職責、提供服務過程中收集公民個人信息。

理論上對于“其他”的理解，要求其應與刑法條款列舉的方式具有相同的社會危害性，具體到本罪中，其他方法是否需要具備盜竊行為自身具有的非法性，各方認識上并不一致。《解釋》一錘定音，消弭了分歧，將購買、收受、交換等方式解釋為與盜竊等同的其他方法。從該規定來看，其他方式不需要自身行為的非法性，也即購買、交換這種行為，即便自身不具有非法性質，只要行為人沒有獲取公民個人信息的法律依據或者資格而獲取相關個人信息同樣屬于非法獲取。

此外，該條將非法收集也規定為其他方法，主要是為了遏制違反個人意愿，收集他人信息的行為。比如網絡運營者違反規定、約定，收集公民個人信息的行為。《網絡安全法》第四十一條對此作了規定，“網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。”

情節嚴重的認定

《解釋》對于刑法規定的情節嚴重，作了細化規定，具體列舉了10種侵犯公民個人信息的情形：

（1）出售或者提供行蹤軌跡信息，被他人用于犯罪的；

（2）知道或者應當知道他人利用公民個人信息實施犯罪，向其出售或者提供的；

（3）非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的；

（4）非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的；

（5）非法獲取、出售或者提供第三項、第四項規定以外的公民個人信息五千條以上的；

（6）數量未達到第三項至第五項規定標準，但是按相應比例合計達到有關數量標準的；

（7）違法所得五千元以上的；

（8）將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人，數量或者數額達到第三項至第七項規定標準一半以上的；

（9）曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰，又非法獲取、出售或者提供公民個人信息的；

（10）其它情節嚴重的情形。

從上述規定來看，“情節嚴重”的認定主要是五個方面，一是信息用途，情形一、提供他人的信息被用于犯罪，情形二、明知他人利用信息實施犯罪，仍予以提供信息的；二是信息類型和數量，針對不同信息，設置了五十條、五百條、五千條的標準；三是違法所得數額，獲取信息通常是為了牟利，五千元以上的；四是主體身份，履行職責或者提供服務過程中獲得的公民個人信息的人員，在信息數量和所得數額上減半認定；五是前科情況；六是其他情況，作為兜底條款，從而將那些在主觀惡性、社會危害性與前五種情形等同的行為認定為情節嚴重。