侵犯公民个人信息罪的入罪、出罪与量刑

侵犯公民个人信息罪，以前叫出售、非法提供公民个人信息罪和非法获取公民个人信息罪，是2009年被规定在刑法之中，并于2015年被修改为现在的这一罪名。

通过检索，发现2017年我国侵犯公民个人信息罪案例为1100多份，2018年为1900多份，2019年为2200多份。这一方面说明，公民个人信息被侵犯的案件仍然处于高发态势，另一方面也反映出，我国对侵犯公民个人信息行为的打击力度越来越大，对公民个人信息的保护也越来越重视。

2021年8月20日，全国人大常委会审议通过了《中华人民共和国个人信息保护法》，将于2021年11月1日起施行。这是国家进一步通过立法的形式，对公民个人信息的强有力保护。

因此，在侵犯公民个人信息犯罪如此高发，国家对公民个人信息保护力度如此之大的情况下，有效厘清侵犯公民个人信息犯罪的入罪、出罪情形，不论是对于司法机关精准打击犯罪来说，还是对普通公民规范自身行为，防范犯罪风险来说，也变得至关重要。

一、关于此罪的刑法规定

《中华人民共和国刑法》第二百五十三条之一：

【侵犯公民个人信息罪】违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他 *** 非法获取公民个人信息的，依照之一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

二、关于此罪的入罪情形

从侵犯公民个人信息罪的法律规定可以看出，关于何种行为被侵犯公民个人信息罪所禁止，可以从行为是否违反国家有关规定，是否存在侵犯公民个人信息的行为，是否以公民个人信息为侵犯对象，以及是否达到情节严重的后果，这几个方面来进行判断。而要构成此罪，则可以考虑以下因素：

（一）行为违反了国家有关规定

关于何为“违反国家规定”，《刑法》第九十六条规定到，是指违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令。

从这条规定以及体系性解释原则可知，刑法中的违法国家规定，原本应当指的是违反国家行政法规及以上级别的法律，违反部门规章，或者违反地方性法规的行为，不能认定为违反国家规定。

但是，2017年6月1日生效的两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释（下称“公民个人信息解释”）》第二条规定，违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。

自此，明确了违反部门规章也可以认定为本罪的违反国家有关规定。

而出现司法解释规定与刑法规定不一致的原因，也可能与国家当时缺乏专门保护个人信息的法律以及基于打击公民个人信息犯罪的迫切需要有关。

《个人信息保护法》的出台，也使得本罪有了直接相关性的法律规定可予以援引。该法第七十四条规定，违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

（二）实施了侵犯公民个人信息的行为

侵犯公民个人信息的行为，导致公民对自身信息的决定权、处理权受到了损害，所以一切违反公民对自身信息决定权的行为，都可能会被认定为侵犯公民个人信息的行为。

在法律层面，侵犯公民个人信息的行为包括：

向特定人提供公民个人信息； 通过信息 *** 或者其他途径发布公民个人信息； 未经被收集者同意，将合法收集的公民个人信息向他人提供； 通过购买、收受、交换等方式获取公民个人信息； 在履行职责、提供服务过程中收集公民个人信息。

（三）行为所侵犯的对象为公民个人信息

既然是侵犯公民个人信息犯罪，那么行为所侵犯的对象则必须具有公民个人信息属性。

《公民个人信息解释》之一条规定，刑法第二百五十三条之一规定的“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

《中华人民共和国 *** 安全法》规定，个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、 *** 号码等。

《中华人民共和国个人信息保护法》第四条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

而所谓匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。

由此可知，公民个人信息与公民的个人隐私不同，个人隐私属于个人未对外公开的、私密性的信息，而只要是能识别自然人个人身份的各种信息，都可以都被认定为公民个人信息。例如，自然人的人脸信息、指纹信息、定位信息、银行账号密码、各类 *** 通讯工具的账号密码等。而新出台的《个人信息保护法》，还专门规定了公民个人的敏感信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。

并且，此罪所保护的公民个人信息，并不限于中国公民的个人信息，若在中国领域内实施的，侵犯外国公民个人信息的行为，也会被追究刑事责任。

（四）行为造成了情节严重的后果

刑法虽然对侵犯公民个人信息的行为进行了规制，但并不是只要行为人实施了公民个人信息的行为，都会被当作犯罪来处理，还得看该行为是否具有“严重性”，具体可以从以下方面来判断行为是否达到构成犯罪的“严重性”要求，即：

1、出售或者提供行踪轨迹信息，被他人用于犯罪的；

2、知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；

3、非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；

4、非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；

5、非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；

6、数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；

7、违法所得五千元以上的；

8、将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；

9、曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；

10、其他情节严重的情形。

由此可知，在判断侵犯公民个人信息的行为是否严重，主要考虑的是该个人信息的重要程度、数量，行为人的违法所得的数额以及主观恶性大小。

（五）行为人主观上具有侵犯公民个人信息的犯罪故意

在有些情况下，行为人虽然客观上造成了侵犯公民个人信息的行为，但是若是由于其过失行为，非本意的将他人的个人信息发布出去，或者泄露给他人，那么也不能以侵犯公民个人信息罪来进行定罪。

因此，构成本罪，行为人主观上必须认识到公民个人信息的存在，且仍然意图向他人提供、购买公民个人信息。

（六）单位也可以成为本罪的犯罪主体

根据刑法的规定，单位若实施了侵犯公民个人信息的行为，也会被追究刑事责任。

那么，对于电子商务公司，诸多APP软件的开发公司，未采取合法手段收集公民个人信息，或者采取合法手段收集了公民个人信息，而后又将该信息非法出售给他人，那么就有可能被追究侵犯公民个人信息罪的刑事责任。

三、关于此罪的出罪及罪轻事由

当自然人或者单位，因为涉嫌侵犯公民个人信息罪被司法机关刑事追诉，又可以有哪些理由，为自身争取无罪或者更轻的刑罚呢？

（一）非法获取、出售、提供的公民个人信息数量未达到刑事定案标准

在侵犯公民个人信息犯罪的认定上，所侵犯的公民个人信息的数量，是认定行为人是否构成犯罪的重要依据。例如，对于一般性的公民个人信息，需要非法获取、提供五千条以上才能构成犯罪。

在具体的案件中，行为人所侵犯的公民个人信息，有可能存在重复的情况，而重复的这部分，是不能用来作为定案根据的。所以，可以通过审查指控的公民信息数量是否进行过司法鉴定，或者通过提供证明案件中确实存在重复性计算公民个人信息数量的证据，以动摇法官的内心确信。

（二）所获取的公民个人信息，得到了个人信息所有者的同意

侵犯公民个人信息罪，实际上是对公民自主处理个人信息权利的侵犯，若行为人所获取的公民个人信息，得到了权利人的许可，且行为人也是在许可的范围内使用公民个人信息，那么便不能作为犯罪来对待。

在此种情况下，行为人需要提供合同、电子数据证据等证明已经获得授权的证据。

（三）行为人在出售或者提供公民个人信息时，主观上并不知道，他人会利用公民个人信息实施犯罪，或者行为人所出售或者提供的行踪轨迹信息，并没有被他人用于犯罪之中。这一辩护要点要结合在案的嫌疑人供述、个人信息购买者证言等证据予以判断。

（四）被告人只是单纯的使用该公民个人信息，并不知道该公民个人信息是他人非法获取的，更没有与他人达成非法获取公民个人信息的犯罪合意。这一辩护要点可用于涉及多名嫌疑人之中，具体还应结合行为人在其中所从事的具体工作内容等方面来进行判断。

（五）当行为人被指控的是非法获取行踪轨迹信息、通信内容、征信信息、财产信息等信息时，由于获取这类信息构成犯罪时要求的信息数量较低，应当根据在案证据，以及个人信息的属性，对具体个案中，相关信息是否行踪轨迹信息、通信内容、征信信息、财产信息类信息，进行严格审查，以与一般性的公民个人信息进行区分。

（六）涉案的公民个人信息是否真实，也是一个辩护要点，如果行为人获取的本来就是虚假的公民个人信息，自然也不能被认定为犯罪。

（七）行为人虽然实施了非法获取公民个人信息的行为，但是基于合法经营活动而购买的，通过该信息获利不足五万元，也未造成严重后果。这是针对单纯的购买行为，没有向他人非法提供公民个人信息案件时可采用的辩护要点。此时，需要根据行为人获取公民个人信息后的实际用途等方面的事实来予以佐证。

（八）行为人所获取或者提供的是已被匿名化处理的个人信息，该信息不具有识别特定自然人的属性，不能被当作公民个人信息来对待。

（九）司法解释规定可以不追究刑事责任或者从宽处罚的情形

实施侵犯公民个人信息犯罪，不属于“情节特别严重”，行为人系初犯，全部退赃，并确有悔罪表现的，可以认定为情节轻微，不起诉或者免予刑事处罚；确有必要判处刑罚的，应当从宽处罚。

也就是说，在行为人之前没有违法犯罪记录，案发后又全部上缴违法所得，且具备其他带有悔罪性质的表现，比如积极配合公安机关抓获其他犯罪嫌疑人，那么就有可能不会被判处刑罚。

四、关于此罪的刑罚

泄露个人隐私怎么定罪(泄露个人信息罪量刑标准)

知晓天下法律，做到遵纪守法。个人自由的充分行使，市场经济的稳定运行，需要各主体具有风险防控意识，有效防范涉罪风险，尤其是掌握了大量公民个人信息的互联网企业。