汉坤网络安全和数据合规系列之五：个人信息保护，刑法的归刑法

2017 年 5 月 9 日，最高人民法院、最高人民检察院发布《最高人民法院、最高人民检察院关于

办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（" 《解释》"），并于 2017 年 6 月 1 日起施行。

此前，为保护公民个人信息，2009 年颁布的《刑法修正案（七）》增设了"出售、非法提供公民个人信息罪"和"非法获取公民个人信息罪"，2015 年颁布的《刑法修正案（九）》将上述两罪整合为"侵犯公民个人信息罪"。该《解释》的适时出台无疑为司法实践中"侵犯公民个人信息罪"的定罪量刑提供了更具操作性的依据，是《刑法》保护公民个人信息安全的里程碑事件。

一、 几个核心概念

《解释》对《刑法》第二百五十三条之一"侵犯公民个人信息罪"中的几个核心概念做了更明确

的界定：

1. 公民个人信息：《解释》第一条将公民个人信息扩大到身份识别信息和活动情况信息，既包

括了如姓名、身份证件号码、通信通讯联系方式、住址等公民身份识别信息，也包括与特定自然人活动相关的活动情况信息，如账号密码、财产状况和行踪轨迹等。

2. 提供行为：《解释》第三条明确了"提供公民个人信息"的方式，不仅包括向特定人提供公民个人信息，还包括通过信息网络或者其他途径发布公民个人信息。合法收集公民个人信息后，未经被收集者同意向他人提供的，也属于"提供公民个人信息"，但是经过处理无法识别特定个人且不能复原的除外。
3. 非法获取：《解释》第四条明确了《刑法》第二百五十三条之一规定的"非法获取公民个人信息"的认定标准，主要包括两种情形：一是违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息；二是违反国家有关规定，在履行职务、提供服务过程中收集公民个

人信息。

二、 何谓"情节严重"？

根据《刑法》第二百五十三条之一规定，构成"侵犯公民个人信息罪"需以"情节严重"为前提。

《解释》区分不同行为方式明确了"情节严重"的相应认定标准。《解释》第五条对非法获取、出售、

提供公民个人信息的"情节严重"列出了明确的认定标准；第六条则对"为合法经营活动而非法购买、收受公民个人信息"中"情节严重"的标准进行了明确。《解释》分别从信息类型、信息数量、信息用途、主体身份、主观恶性等不同方面详细规定了"情节严重"的认定标准：

4. 信息类型和数量：公民个人信息类型繁多，《解释》根据不同类型公民个人信息的重要程度分别设置了不同的认定标准，详见下表：

5. 违法所得数额：出售或者非法提供公民个人信息常常是为了牟利，基于此，《解释》将违法所得五千元以上的规定为"情节严重"。

3. 信息用途：被非法获取、出售或者提供的公民个人信息，用途不同，对权利人的侵害程度也就不同。基于此，《解释》将以下两种情形规定为"情节严重"：一是出售或者提供行踪轨迹信息，被他人用于犯罪；二是知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供。
4. 主体身份：相当一部分公民个人信息泄露案件系内部人员作案，为加强打击这类犯罪，《解释》对行业内部人员泄露信息降低了入罪门槛，即"将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人"的，认定"情节严重"的数量、数额标准减半计算。
5. 前科情况：曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的，《解释》也将其规定为"情节严重"。
6. 特殊规定：实践中，非法购买、收受公民个人信息从事广告推销等活动的情形较为普遍。《解释》第六条专门针对此种情形设置了入罪标准，规定为合法经营活动而非法购买、收受敏感信息（即《解释》第五条第一款第三项、第四项规定的信息）以外的公民个人信息，具有下列情形之一的，应当认定为"情节严重"：（1）利用非法购买、收受的公民个人信息获利五万元以上的；（2）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的；（3）其他情节严重的情形。

三、 何谓"情节特别严重"？

在"情节严重"基础上，《解释》也从定量和定性两个角度明确了侵犯公民个人信息罪的"情节特别严重"的认定标准，主要包括以下两个方面：

1. 数量数额标准：《解释》根据不同类型公民个人信息的重要程度分别设置了不同的"情节特别严重"的认定标准，详见下表：

2. 严重后果：《解释》将"造成被害人死亡、重伤、精神失常或者被绑架等严重后果"、"造

成重大经济损失或者恶劣社会影响"规定为"情节特别严重"。 四、 信息数量如何计算？

实践中案件涉及的公民个人信息往往是各种类型混杂的，可能同时包含数种类型。针对这种情况，《解释》明确规定信息数量可以按相应比例折算合计。

以上文中"情节严重"条件下的信息类型和数量为例，如果每一个类型相对应的公民个人信息都没有达到表中所示的 50 条、500 条、5000 条标准的，就需要进行比例折算，按照 1、10、100 的倍比关系，合计达到上述标准之一的，就应当追究刑事责任。例如，在查办案件过程中，查获表中类型一信息 20 条，查获类型二信息 350 条，这两类信息都未达到 50 条和 500 条的标准，就应根据《解

释》的规定，按照 1 和 10 倍比关系进行折算，350 条类型二信息折算成 35 条类型一信息，这样两项

合计 55 条，也就达到了 50 条的入罪标准。当然，也可以将 20 条类型一信息折算为 200 条类型二信

息，这样两项合计 550 条，同样达到了 500 条的入罪标准。

《解释》第十一条还专门规定：非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算。向不同单位或者个人分别出售、提供同一公民个人信息的，公民个人信息的条数累计计算。对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。

五、 企业应该重视什么？

总体来说，《解释》明确了侵犯公民个人信息罪的定罪量刑标准，实际上在一定程度上降低了入罪门槛，可以说是打击侵犯公民个人信息犯罪的一记重拳。我们提请企业重视如下几个方面的问题：

1.个人信息保护法律法规的拓展

《解释》第二条规定，违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为《刑法》第二百五十三条之一规定的"违反国家有关规定"。这里值得关注的一个重点，就是被援引的合规性依据，从以往立法实践中的"法律和行政法规"扩大到了"部门规章"，这样覆盖面就有了极大的扩展。在实践中，国务院各部委及其授权机构都会出台有关个人信息的部门规章，比较重要的有卫计委、人社部、工信部、科技部、一行三会、工商总局、食药监总局和网信办等等。

2.企业管理人员刑事责任风险

《解释》第七条规定，单位犯《刑法》第二百五十三条之一规定之罪的，依照本解释规定的相应自然人犯罪的定罪量刑标准，对直接负责的主管人员和其他直接责任人员定罪处罚，并对单位判处罚金。正如上面所述，本次《解释》明确定罪量刑的标准，在很大程度上是降低了入罪门槛。此外，结

合眼下部分国务院部委在制定部门规章时，有一个值得注意的趋势是"违法行为都必须处罚到自然

人"。因此，可以毫不夸张的说，涉及个人信息或大数据业务的企业管理层人员的刑事责任风险比之前有了明显的增加。

1.合法经营的抗辩理由

《解释》明确规定，为合法经营活动而非法购买、收受敏感信息以外的公民个人信息，且利用这些信息获利五万元以上的，构成"情节严重"，可能受到刑罚处罚。因此，作为从事涉及个人信息相关业务的企业来说，"合法经营活动"显然不能成为一个免于或减轻处罚的抗辩理由。企业应建立或完善关于个人信息收集的流程和内控制度，对与用户之间的服务协议中与信息相关的条款进行合规性审查，依法合规地收集和使用业务所需的个人信息。

2.个人信息的脱敏处理

与《网络安全法》的规定相呼应，《解释》针对"未经被收集者同意向他人提供合法收集的公民个人信息"的违法行为，也规定了"经过处理无法识别特定个人且不能复原"的除外情形。但在实践中，很多经过脱敏处理的信息和数据通过技术手段在一定程度上都可复原。因此，如何做到真正的脱敏，以达到无法识别个人且不能复原的程度，也从技术上对相关企业提出了很现实的命题。而且这个技术脱敏处理是否到位，不再像之前一样仅仅是数据保护不周全的民事侵权责任或行政处罚责任问题了。

3.行业内部人员泄露信息

"内鬼"泄露信息是很多涉及个人信息和大数据保护的行业的顽疾。对此，重典治乱，《解释》降低了入罪门槛，即"将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人"的，认定"情节严重"的数量、数额标准减半计算。因此，我们建议相关企业加强员工管理，针对员 工在履行职责或者提供服务过程中如何依法获取、使用、保护公民个人信息制定具体可行的操作指引 与内控制度，并加强员工的相关培训和教育，避免因员工泄露信息给企业带来不利影响。

汉坤网络安全和数据合规系列：

之二： 《网络安全法》简评

之三：数据出境不再任性

之四：网安审查，大幕开

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.