行业内鬼提供25条“敏感信息”即可入罪

“公民个人信息”范围如何界定？侵犯公民个人信息的入罪标准怎么确定？5月9日，两高发布侵犯个人信息刑事案件司法解释，明确“财产状况”、“行踪轨迹”等属于公民个人信息，规定内部人员泄露个人信息入罪标准降低一半。除此之外，对网络服务提供者不履行信息安全保护义务导致公民信息泄露后果严重，规定可按不履行信息网络安全管理义务罪定罪处罚。

焦点

A

如何界定“公民个人信息”？

包括姓名、身份证件号码、财产状况、行踪轨迹等全面信息

此前由于立法上没有明确，关于“个人信息”的内涵存在颇多争议。记者从发布会上了解到，此次发布的司法解释明确了“公民个人信息”的范围，规定为“公民个人信息”包括身份识别信息和活动情况信息。

最高法院研究室主任颜茂昆介绍，“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信联系方式、住址、账号密码、财产状况、行踪轨迹等。

“实践中很多信息虽然不一定是识别个人身份的信息，也会对公民人身和财产造成损害。”中国社科院法学所研究员周汉华举例说，比如有人利用掌握的軌迹信息，对他人活动信息进行数据挖掘，同样也能对个人人身、财产安全造成很大损害。

“公民个人信息”范围界定存在争议，周汉华认为，此前制定的“网络安全法”，将公民个人信息界定为“能够识别特定个人身份的信息”，范围是比较窄的。

周汉华指出，司法解释在身份信息之外，把活动信息也纳入到了个人信息范围，更有利于保护人身财产安全，从而打击犯罪。个人信息范围不拘泥于身份信息，也是国际趋势的体现。

中国信息安全研究院副院长左晓栋认为，进一步明确“公民个人信息”的范围是个进步，例如增加了“行踪轨迹”。客观上，有些信息目前可能无法识别到个人，但随着技术的发展，今后仍有可能通过这些信息识别到个人。因此，个人信息的具体范围与技术发展有关，这次明确的范围与当前的技术发展是相适应的。

B

提供“敏感信息”如何量刑？

通信内容、行踪轨迹等信息50条即可入罪，最高可判3年

2015年发布的《刑法修正案（九）》将违反国家有关规定，向他人出售或者提供公民个人信息，情节严重，作为侵犯公民个人信息罪的入罪条件，但并未对“情节严重”作出细化规定。

记者从发布会了解到，此次发布的司法解释针对侵犯公民个人信息罪中“情节严重”的认定标准问题，从信息类型和数量、违法所得数额、信息用途、主体身份、前科情况五个方面考量予以明确。

颜茂昆介绍，基于不同类型公民个人信息的重要程度，解释分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准。其中非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息四类信息五十条以上可认定为“情节严重”。

除此之外，颜茂昆还指出，考虑到出售或者非法提供公民个人信息往往是为了牟利，解释将违法所得五千元以上的规定为“情节严重”。

根据刑法相关规定，“情节严重”的可被判处三年以下有期徒刑或者拘役，并处或者单处罚金。

周汉华认为，《刑法修正案（九）》对侵犯公民个人信息罪留下了裁量空间，实践当中，“情节严重”以及“情节特别严重”一直没有适用标准，此次两高司法解释明确入罪标准，是根据对信息主体人身、财产安全所造成的损害大小进行分类，细化了刑法修正案第253条规定。

C

用户信息泄露

网络运营者如何处罚？

造成严重后果的，以拒不履行信息网络安全管理义务罪定罪处罚

“不少网络运营者因为履行职责或者提供服务的需要，掌握着海量公民个人信息，这些信息一旦泄露将造成恶劣社会影响和严重危害后果。”颜茂昆介绍，此次发布的司法解释，对网络服务经营者不履行信息安全保护义务的后果作出明确规定。

颜茂昆介绍，为进一步促使网络服务提供者切实履行个人信息安全保护义务，解释规定为：“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，以拒不履行信息网络安全管理义务罪定罪处罚。”

除此之外，颜茂昆在发布会上介绍，“人肉搜索”应认定为“非法提供个人信息”的行为。颜茂昆指出，在“人肉搜索”案件中，行为人未经权利人同意即将其身份、照片、姓名、生活细节等个人信息公布于众，影响其正常的工作、生活秩序，危害严重，应为“非法提供个人信息”的行为。

左晓栋认为，有的“人肉搜索”是基于已经在互联网上公开的个人信息，但这也算是“非法提供”。因为即使是这种情况，仍然改变了信息受众范围，原来发布信息用途也被改变了。

D

中介商家买个人信息如何惩处？

获利5万元即可入罪

刚买完房，中介就打电话询问是否出租；孩子刚出生，推销幼儿产品的电话就找上门了……种种怪象令人生疑：这些商家为了推销产品，就可以堂而皇之获取个人信息加以利用？

颜茂昆说，从实践来看，非法购买、收受公民个人信息，从事广告推销等活动的情形较为普遍。为贯彻体现宽严相济刑事政策，本次出台的司法解释对这种情形设置了入罪标准。

根据司法解释规定，为合法经营活动而非法购买、收受敏感信息以外的公民个人信息，具有利用非法购买、收受的公民个人信息获利五万元以上等情形的，应当认定为“情节严重”，构成犯罪。

E

如何严打“内鬼”？

降低其入罪门槛

“目前，对于公民个人信息泄露造成最大危害的，主要是银行、教育、工商、电信、快递、证券、电商等行业的内部人员泄露数据。”公安部网络技术研发中心主任许剑卓在发布会上说。

记者注意到，司法解释对内部人员侵犯个人信息犯罪做了特殊规定：在履行职责或者提供服务过程中将获得的公民个人信息出售或者提供给他人，数量或者数额达到司法解释规定的相关标准一半以上的，即可认定为刑法规定的“情节严重”，构成犯罪。

颜茂昆在发布会上介绍，《刑法修正案（九）》扩大了侵犯个人信息犯罪主体范围，规定任何单位和个人都可以构成犯罪主体，同时把特殊主体犯此罪作为从重处罚的情节。这次司法解释把内部人員定罪量刑标准比一般人更低，比如一般主体提供50条“敏感信息”可入罪，但如果是医疗、金融、电信等部门行业的工作人员提供25条“敏感信息”就可入罪。

周汉华对记者表示，实践中大量泄露个人信息行为都是“内鬼”所为。《刑法修正案（九）》规定了对利用职务之便的特殊主体犯罪从重处罚，从重处罚既包括刑期从重，也包括量刑条件的从重，此次规定入刑条件降低一半就是量刑条件的从重。

“现在发生的很多信息泄露都是内部人员泄露，这是个人信息泄露的重要源头。”左晓栋举了个例子，比如说亲属在医院生了孩子，之后卖奶粉的、卖婴幼儿用品的或者给小孩拍满月照的一堆电话马上打来了。左晓栋认为，这种情况一般都是内部人员泄露的个人信息。所以这次的司法解释对内部人员泄露个人信息加大了打击力度。

侵犯公民个人信息罪定罪量刑标准

1.情节严重

●认定标准

包括非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的。

非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的。

非法获取、出售或者提供前两项规定以外的公民个人信息五千条以上的。

违法所得五千元以上的等。

非法获取、出售或者提供行踪轨迹信息，被他人用于犯罪；知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供。

注：

在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的，认定“情节严重”的数量、数额标准减半计算。

对于为合法经营活动而非法购买、收受公民个人信息的定罪量刑标准，司法解释规定，具有利用非法购买、收受的公民个人信息获利五万元以上等情形的，应当认定为“情节严重”。

●量刑

处三年以下有期徒刑或者拘役，并处或者单处罚金。

2.情节特别严重

●认定标准

非法获取、出售或者提供相关类别公民个人信息“五百条以上”“五千条以上”“五万条以上”，或者违法所得五万元以上的。

具有“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”“造成重大经济损失或者恶劣社会影响”等情形的。

●量刑

处三年以上七年以下有期徒刑，并处罚金。

本刊整理自《南方都市报》