2017年7月19日，最高人民检察院公诉厅组织全国检察机关公诉业务网络培训，最高检研究室缐杰副主任作专题讲座。微信公众号“国家公诉”予以了整理推送，现转载如下（附小虎哥的虎言乱语）：

办理侵犯公民个人信息刑事案件司法解释的解读

最高检法律政策研究室副主任 缐杰

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》），分别经2017年3月20日最高人民法院审判委员会第1712次会议、2017年4月26日最高人民检察院第十二届检察委员会第六十三次会议通过，于2017年5月9日对外公布，自2017年6月1日起施行。

一、司法解释的背景情况(略）

二、解释的主要内容

（一）公民个人信息的范围

《解释》第一条以《中华人民共和国网络安全法》第七十六条规定为基础，明确刑法第二百五十三条之一规定的“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

之所以将行踪轨迹等反映特定自然人活动情况的信息明确涵括在“公民个人信息”的范围之内，主要考虑是，行踪轨迹等反映特定自然人活动情况的信息属于关系公民人身、财产安全的高度敏感信息。此外，我国个人信息安全的法律保护将会进一步完善，相关信息安全和个人信息保护规范将会逐步出台，这样规定将使《解释》与今后相关法律法规和技术规范保持协调。

注意点：1.公民个人信息最根本的特征在于能够识别个人身份或者体现个人活动，实践中公民个人信息不限于本条列明的几类信息；2.与特定自然人关联的“账号密码”属于“公民个人信息”；3.“公民个人信息”既包括中国公民的个人信息，也包括外国公民和其他无国籍人的个人信息。

（二）违反国家有关规定的认定

《刑法修正案（九）》将侵犯公民个人信息罪的前提要件由“违反国家规定”修改为“违反国家有关规定”。 “违反国家有关规定”不同于“违反国家规定”，前者的范围更为宽泛。据此，《解释》第二条将“国家有关规定”解释为法律、行政法规、部门规章有关公民个人信息保护的规定，特指国家层面的涉及公民个人信息管理方面的规定，不包括地方性法规等非国家层面的规定。

（三）非法“提供公民个人信息”的认定

《解释》第三条第一款规定，向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。理由是：向特定人提供公民个人信息的，属于一对一的“提供”；通过信息网络或者其他途径发布公民个人信息的，实际是向社会不特定多数人提供公民个人信息，属于一对“多”的“提供”。

《解释》第三条第二款明确，未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。主要理由是，根据《中华人民共和国网络安全法》第四十二条、第四十四条的规定，法律层面是允许合法的个人信息交易和流动的，对于未违反国家有关规定，经得被收集者同意，将合法收集的公民个人信息提供给他人的，不能纳入刑事打击范围。经过处理无法识别特定个人且不能复原的信息，由于已经不具备“公民个人信息”与特定人的关联性和识别性的属性，提供这类信息的，也不能作为犯罪处理。

对于 “人肉搜索”案件，行为人未经他人同意，将其姓名、身份信息、住址等个人信息公布于众，影响其正常的工作、生活秩序的，如果达到“情节严重”的标准，可以按照本条的规定定罪处罚。

（四）“非法获取公民个人信息”的认定

刑法第二百五十三条之一的定，窃取或者以其他方法非法获取公民个人信息的，是侵犯公民个人信息罪的客观行为表现方式之一。《解释》第四条规定，违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于 “以其他方法非法获取公民个人信息”。具体包括：1.购买、收受、交换等方式。2.在履行职责或者提供服务过程中，违反国家有关规定收集公民个人信息的方式。理由是《中华人民共和国网络安全法》第四十一条规定，“网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息”。

对于获取公民个人信息是否“非法”，应当结合刑法第二百五十三条之一的整体条文考虑，以是否违反国家有关规定作为判断标准。

（五）侵犯公民个人信息罪的定罪量刑标准

规定入罪标准的几点考虑

《解释》主要考虑六方面的因素，即侵犯个人信息的数量、信息类型、

信息的用途、违法所得数额、主体身份和行为人的主观恶性。

2.“情节严重”的具体认定标准

第五条第一款列举了非法获取、出售或者提供公民个人信息“情节严重”的十项情形。其中：

（1）第一项“出售或者提供行踪轨迹信息，被他人用于犯罪的”。办案时，只需证明这类信息被他人用于犯罪，不必再具体判断行为人主观上是否知道或者应当知道涉案信息用于犯罪。同时出售或者提供这类信息，不论数量多少，即使只有一条行踪轨迹信息，也应当追究刑事责任。

（2）第二项“知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的”。可能被他人利用实施犯罪的公民个人信息，虽然未被用于犯罪，但公民的人身和财产安全面临即被侵害的现实威胁。出售或者提供这类信息的，不需要有信息数量的限制。但应当注意有证据证明行为人主观上知道或者应当知道他人利用这类信息实施犯罪。

（3）第三项“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的”。办案时只要查实涉案五十条的，即应当立案追诉。“五十条”标准仅限于上述四种信息，不允许实践中再通过“等”外解释予以扩大适用。

（4）第四项“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的”。 “五百条”标准主要适用于上述类别的可能影响公民人身财产安全的信息，办案时可以根据案件具体情况，对该项没有列举但可能影响人身、财产安全的信息，适用此标准。涉案信息应与上述列举的四种信息在重要程度上具有相当性。

（5）第五项“非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的”。除公民个人敏感信息和影响人身、财产安全的公民个人信息外，涉案信息还包括姓名等一般性信息，对此类信息适用“五千条”标准。

（6）第六项“数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的”。对于涉案信息各类型混杂的，如果每一相应类型的公民个人信息数量均没有达到第三项、第四项、第五项规定的“五十条”“五百条”“五千条”入罪标准的，需要进行比例折算，按照一、十、一百的倍比关系，合计达到上述标准之一的，即应当追究刑事责任。

（7）第七项“违法所得五千元以上的”。办案时，在对信息类型和用途难以界定的情况下，可以根据违法所得数额认定“情节严重”。

（8）第八项“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的”。此处履行职责或者提供服务的人员，不限于国家工作人员，还包括金融、电信、交通、教育、医疗等单位的工作人员；按此标准定罪处罚的，不应再根据刑法第二百五十三条之一第二款的规定从重处罚。

3.“情节特别严重”的认定标准

根据刑法第二百五十三条之一的规定，非法获取、出售或者提供公民个人信息，情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。《解释》第五条第二款明确了“情节特别严重”的具体情形。第一项“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”；第二项“造成重大经济损失或者恶劣社会影响的”从侵犯公民个人信息犯罪造成的严重后果方面作出规定。第三项“数量或者数额达到前款第三项至第八项规定标准十倍以上的”从侵犯公民个人信息犯罪涉及的数量和数额方面作出规定。司法实践中侵犯公民个人信息犯罪涉案的公民个人信息数量相差悬殊，从几千条到几十万条（甚至更大数量）不等的情况，故将“情节特别严重”和“情节严重”之间的数量数额标准设置为十倍的倍数关系。

4.为合法经营活动购买、收受公民个人信息定罪量刑的特殊标准

第六条第一款列举了为合法经营活动而非法购买、收受第五条第一款第三项、第四项规定以外的公民个人信息“情节严重”的三项情形。相比较第五条第一款的规定，第六条第一款属于非法获取公民个人信息“情节严重”的特别规定。

（1）第一项“利用非法购买、收受的公民个人信息获利五万元以上的”，与第五条第一款第七项规定的“违法所得五千元以上的”有所区别，主要考虑购买、收受公民个人信息是非法的，但经营活动是合法的，对经营所得不能认定为违法所得，宜以获利数额计算，参考非法经营罪的入罪数额标准，规定为五万元。

（2）第二项“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又购买、收受公民个人信息的”，与第五条第一款第九项有所区别，仅规制非法购买、收受公民个人信息行为。

（3）第三项“其他情节严重的情形”是兜底条款，实践中应该严格适用。

在适用《解释》第六条时应当把握：

（1）第六条针对的是为合法经营活动而非法购买、收受公民个人信息的行为，此类行为主观目的是为了合法经营活动，社会危害性不大，即使构成犯罪，通常也不需要升档处理，所以《解释》仅规定了“情节严重”的具体情形。

（2）关于 “为合法经营活动”的认定，主要由被告方提供相关证据，结合案件具体情况作出综合审查判断。

（3）此类涉案信息仅限于一般信息，不包括可能影响公民人身财产安全的信息。

（4）此类行为的客观表现方式仅限于购买、收受，如果将购买、收受的公民个人信息非法出售或者提供的，根据第六条第二款的规定，定罪量刑标准适用第五条的规定。

（5）第六条没有明确“交换”这一非法获取公民个人信息的行为表现方式。主要考虑是，交换信息相比较购买、收受信息，是双方对向提供、收受信息行为，性质比“购买、收受”更为恶劣，对为合法经营活动而非法交换信息的，应当按照第五条的定罪量刑标准定罪处罚。

5.单位犯罪的定罪量刑标准

为加大对单位侵犯公民个人信息犯罪的惩治力度，《解释》第七条明确，单位犯刑法第二百五十三条之一规定之罪的，依照解释规定的相应自然人犯罪的定罪量刑标准，对直接负责的主管人员和其他直接责任人员定罪处罚，并对单位判处罚金。

（六）认罪认罚从宽处理

2016年9月，全国人大常委会授权“两高”在部分地区开展刑事案件认罪认罚从宽制度试点工作。为贯彻落实认罪认罚从宽精神，《解释》第十条对侵犯公民个人信息犯罪的从宽处罚作出规定，实施侵犯公民个人信息犯罪，不属于‘情节特别严重’，行为人系初犯，全部退赃，并确有悔罪表现的，可以认定为情节轻微，不起诉或者免予刑事处罚；确有必要判处刑罚的，应当从宽处罚。需要注意的是，本条只适用于侵犯公民个人信息犯罪“情节特别严重”标准以下的情形，对于达到“情节特别严重”标准的，不能适用本条规定予以从宽处罚。

（七）设立网站、通讯群组行为的认定

实践中，一些行为人通过建立网站、通讯群组供他人进行公民个人信息交换、流转、销售，以赚取服务费用。普通网民能够在网站查询他人账号和密码，甚至公开兜售公民个人信息。此类网站存储、流转公民个人信息量巨大，但网站建立者、直接负责的管理者未直接接触公民个人信息，不少情形下难以按照侵犯公民个人信息罪定罪处罚。但根据刑法第二百八十七条之一的规定，设立用于实施违法犯罪活动的网站、通讯群组，情节严重的，构成非法利用信息网络罪。对于供他人实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组实际上属于“用于实施违法犯罪活动的网站、通讯群组”。因此，《解释》第八条规定，设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组，情节严重的，应当依照刑法第二百八十七条之一的规定，以非法利用信息网络罪定罪处罚；同时构成侵犯公民个人信息罪的，依照侵犯公民个人信息罪定罪处罚。

（八）拒不履行公民个人信息安全管理义务行为的处理

实践中，一些单位或个人因为履行职责或者提供服务的需要，掌握大量公民个人信息，这些信息一旦泄露将造成恶劣社会影响和严重危害后果。为了促进网络运营者采取切实有效的措施加强对公民个人信息的保护，《网络安全法》确立了“谁收集，谁负责”的原则，第四十条明确规定：“网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。”因此，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，致使用户的公民个人信息泄露的，虽难以按照侵犯公民个人信息罪定罪处罚，但根据《刑法修正案（九）》增加规定的第二百八十六条之一的规定，可能构成拒不履行信息网络安全管理义务罪。因此，《解释》第九条规定，网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。

（九）涉案公民个人信息的数量计算规则

公民个人信息数量是侵犯公民个人信息犯罪案件定罪量刑标准的主要依据。《解释》第十一条明确，非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算。向不同单位或者个人分别出售、提供同一公民个人信息的，公民个人信息的条数累计计算。对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。

对于同一条信息中涉及多个公民个人信息的，如家庭住址、银行卡信息、电话号码等，可以认定为一条公民个人信息。由于这一问题实践中认识较为统一，《解释》没有再次着重强调。

非法获取公民个人信息后又出售或者提供给同一对象的，不宜先计算非法获取的信息数量，再计算出售或者提供的信息数量，此种情形下数量不重复计算。比如，非法获取了他人拨打电话的记录五十条，将其出售给同一人或者单位的，应当认定为侵犯公民个人信息五十条。

公民个人信息向不同对象分别出售、提供的，属于重复出售或者提供个人信息，社会危害性较一次性出售或提供危害性更大，数量应累计计算。比如，非法获取了他人拨打电话的记录五十条，将其出售给两个人或者单位的，应当认定为侵犯公民个人信息一百条。

涉案的公民个人信息上万条甚至更多的，可能存在信息重复的情况，比如，针对同一对象可能并存“姓名 住址”“姓名 电话号码”“姓名 身份证号”等数条信息，但要求做到完全去重较为困难。为便于办案部门实际操作，突出对侵犯公民个人信息犯罪的从严惩治，《解释》明确对批量公民个人信息的数量根据查获的数量直接认定，但允许根据在案证据排除不真实或者重复的信息。

（十）罚金刑适用规则

对于侵犯公民个人信息犯罪，应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等，依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。

【虎言乱语】：

侵犯公民个人信息刑事案件司法解释已施行一个多月了，当前在司法实践中遇到的难点是解释第六条的理解问题。在此，学习完以上权威解读后，小虎哥也斗胆谈谈自己对解释第六条的粗浅理解。

解释第六条规定：为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：（一）利用非法购买、收受的公民个人信息获利五万元以上的；（二）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的；（三）其他情节严重的情形。

刑罚具有报应性和预防性本质，因此，根据刑罚报应与预防的并合主义原则，刑罚的根源主要来自于主观恶性、人身危险性即再犯可能性、社会危害性。从解释的第六条可以看出，为合法经营活动是考察主观恶性的规定。获利5万是考察社会危害性的规定，同类行为前科情况是考察人身危险性的规定。

一、“为合法经营活动”的理解。“为合法经营活动”是考察主观目的，也就是考察主观恶性的规定，因此，本条的合法经营活动应该是指经营活动行为本身性质是否违法，比如用于诈骗、非法集资等违法犯罪行为，这些活动本身就违法，为了违法行为而获取信息，如此才能反映其主观恶性。不能将法律允许但工商登记不到位的经营活动排除在合法经营活动外，比如为了用于销售自己亲手制作的工艺品但未领取工商执照的（如微信销售），与为了用于销售自己制作的工艺品且已领取工商执照的（如实体店销售），目的上都是用于销售自己制作的工艺品，销售自己制作的工艺品行为本身并不是法律禁止行为，两者对于侵犯公民个人信息行为的用途的主观恶性相差并不大，不能因为未领取工商执照就机械地认为是为了用于非法经营活动，否则，就有违解释精神。此外，当前处于国家加快民营经济发展，提倡大众创业，万众创新的历史时期，国家更是鼓励先行先试，工商登记管理更加开放，在市场准入方面，提倡“非禁即入”及“非禁即准”的原则，对符合经济发展规律，投资主体迫切需要，法律、行政法规又未明确禁止的行业和经营项目，国家支持先行先试。2015年《企业经营范围登记管理规定》第3条也作出相应的规定：“对《国民经济行业分类》中没有规范的新兴行业或者具体经营项目，可以参照政策文件、行业习惯或者专业文献等提出申请”，因此，放开市场准入，不认定未经登记经营行为的违法性，符合市场经济的新要求。否则，有违国家政策本意。

即便未经工商登记的经营活动是否属于解释第六条规定的合法经营活动存在争议，暂且不论，那么对超范围经营，在司法实践中也应予以区别对待，应该属于合法经营活动，具体分析如下：

2004年之前，我国规定公司必须在经营范围内经营，但如此规定，却束缚了公司的手脚，不敢跨雷池半步，使公司的灵活性受到极大的制约。随着改革开放的深入，我国立法机关和司法机关渐渐认识到了法律上没有必要这样严格地要求和约束公司的自主经营权，从而在法律上放开了企业经营范围的强制性限制，逐渐承认超范围经营的合法性和正当性。首先，最高人民法院《关于适用合同法若干问题的解释（一）》第10条规定：“当事人超越经营范围订立合同，人民法院不因此认定合同无效”。其次，2005年《公司法》修正，也同样删除了2004年《公司法》第11条“公司应当在经营范围内经营”的规定。最后， 2005、2014、2016年三次修正的《公司登记管理条例》均删除1994《公司登记管理条例》第71条规定的公司超出核准登记的经营范围从事经营活动的处罚规定。因此，国家已经不再强制要求公司必须在经营范围内经营。因此，对于一般经营项目的经营范围登记仅是一种企业主体的登记管理，并不涉及到企业经营活动本身的合法性和正当性。经营范围的性质只是企业的主营业务或者说专长业务范围，而不是国家对营业范围的限制。

二、对其他情节严重情形的把握理解

如上所述，解释第六条第（一）项是考察社会危害性的规定，第（二）项考察人身危险性的规定。对于第（三）项其他情节严重情形是一种兜底条款，在上文中最高检研究室缐杰副主任已明确解读为要严格适用，何为严格适用？应该引起注意，严格适用就是指一般情况下兜底条款不能适用。

即使在极少数的特殊情况下适用，也不能任意套用，理应从同一条款行为危害相当性原则出发，第（三）项规定应该是与第（一）、第（二）项具有相当的社会危害性或人身危险性的情形才可以认定为其他情节严重情形。需要提请小伙伴们注意的是，对照解释第六条第（一）项规定，获利五万元以上的才可定罪处罚。获利的前提当然是信息已被实际使用，否则不可能获利，因此，第（一）项规定表明，解释第六条规定的社会危害性主要在于实际使用，未实际使用的，其社会危害性就达不到法定的入罪标准，理应排除解释第六条第（三）项其他情节严重情形的认定。因此，对于解释第六条第（三）项在特殊情况下适用的前提应该是已实际投入经营活动中使用，并且实际投入经营活动中使用的数量达到与获利五万元相当危害程度才可作为其他情节严重情形来认定，如此才能符合解释精神，才能真正体现宽严相济刑事政策。