项 谷，张 菁，薛阿敏

（上海市人民检察院第一分院，上海 200052）

2009年2月28日起施行的《刑法修正案（七）》增设了《刑法》第253条之一的出售、非法提供公民个人信息罪和非法获取公民个人信息罪，2015年11月1日起施行的《刑法修正案（九）》对该罪名进行修订，将出售、非法提供公民个人信息罪和非法获取公民个人信息罪整合为“侵犯公民个人信息罪”，并对罪状进行了修改完善。近年来，随着社会经济的快速发展和信息网络的广泛普及，侵犯公民个人信息犯罪呈高发多发态势，并由此滋生大量的电信诈骗、网络诈骗、敲诈勒索、绑架等犯罪，社会危害性大，严重影响人民群众的安全感和社会的和谐稳定发展。2016年公安部开展了打击整治侵犯公民个人信息犯罪专项行动，取得了明显成效。但是，在查办案件过程中，因刑法定罪量刑标准较为原则所带来的查证认定难、法律适用难等问题，一定程度上影响了案件的办理。为保障刑法的准确、统一适用，最高人民法院、最高人民检察院于2017年5月8日出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》），全面、系统地规定了侵犯公民个人信息犯罪的定罪量刑和有关法律适用标准，对司法实践中的困惑和难题予以积极回应。本文结合上海司法实践，就适用《解释》的重点和难点作一分析和探讨，以期为司法办案提供参考。

一、如何理解“公民个人信息”的分类和定罪量刑标准

（一）“公民个人信息”的分类

为了全面保护公民个人信息，《解释》第一条明确了“公民个人信息”的范围包括身份识别信息和活动情况信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者特定自然人活动情况的各种信息，包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。同时《解释》第五条根据信息的重要程度、敏感程度，即信息对公民人身、财产安全的影响程度，将“公民个人信息”分为三类：第一类是特别敏感信息，包括行踪轨迹信息、通信内容、征信信息、财产信息；第二类是相对敏感信息，包括住宿记录、通信记录、健康生理信息、交易信息；第三类是其他公民个人信息，即除了第一、二类信息以外的其他公民个人信息。

公民个人信息的类型繁多，作分类是为了准确适用定罪量刑标准，以更好地体现罪责刑相适应原则。但实践中有些信息可能存在类型竞合的情况，如股票交易信息，作为交易信息，一般归类为相对敏感信息，但也可能反映公民的个人财产状况，则符合特别敏感信息的特征。对于这类信息如何正确分类，我们认为，应当结合信息用途、对信息主体人身及财产安全的影响程度等因素综合判断。仍以股票交易信息为例，如该信息仅是某一只特定股票成交情况的部分记录，不能全面反映公民个人财产状况的，一般应认定为相对敏感信息。如信息能完整反映公民私人账户绝大多数股票交易的流水记录，并依据交易信息能大致判断公民个人财产状况的，则应当认定为特别敏感信息。如该股票交易信息仅仅是作为分析投资趋势的工具，则不应纳入保护公民个人信息的范畴讨论。

（二）侵犯公民个人信息罪的定罪量刑标准

刑法将“情节严重”规定为侵犯公民个人信息罪的入罪要件，将“情节特别严重”规定为法定加重情节。为更加精准打击侵犯公民个人信息犯罪，《解释》在细化标准方面做足了功夫，除了最为常见的“信息类型和数量”外，还将“违法所得数额”“信息用途”“主体身份”“前科情况”列入“情节严重”的认定标准，每一类中又规定了具体的标准。①张智全：《用精细标准精准打击信息犯罪》，载《法制日报》2017年5月17日。对法定刑升格也规定了“数量数额”和“严重后果”两个具体标准。

1.“情节严重”的“信息类型和数量”标准。分类信息入罪所采用的数量标准，在司法实践中最为常用，需要我们予以重点关注。《解释》第五条第一款针对不同类型的信息分别设置了相应的入罪标准，即特别敏感信息50条以上，相对敏感信息500条以上，其他信息5000条以上。同时对未达到上述数量的情况规定了按相应比例合计认定。②《解释》第五条 非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：……（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；（四）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；（五）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；（六）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；……如某个案件涉及特别敏感信息20条，相对敏感信息200条，其他信息1000条。按照1:10：100的倍比关系进行折算后，1000条其他信息相当于10条特别敏感信息，200条相对敏感信息相当于20条特别敏感信息，累计相当于50条特别敏感信息，故可以追究刑事责任。

2.“情节严重”的其他认定标准。分别为：一是违法所得数额。侵犯公民个人信息的行为往往出于牟利的目的，故《解释》将违法所得5000元以上的认定为“情节严重”。二是信息用途。信息用途不同，对权利主体的利益侵害程度也会存在差异。基于此，《解释》将“出售或者提供行踪轨迹信息，被他人用于犯罪的”和“知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的”规定为“情节严重”的两种情形。三是主体身份。实践中，多数信息泄露是内部人员作案，工作中不尽责、不作为、故意“装睡”甚至充当“内鬼”牟利，比如苹果公司员工泄露用户信息案、智联招聘工作人员出卖简历案。对于“内鬼”必须用法治重拳将其“敲醒”，《解释》规定，将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，认定“情节严重”的数量或者数额标准减半计算，降低了入罪门槛。四是前科情况。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的，反映了行为人主观恶性大、不思悔改，故《解释》将其规定为“情节严重”。

3.“情节特别严重”的认定标准。《解释》在明确入罪条件的同时，亦进一步规定了法定刑升格的具体条件，体现了刑罚的阶梯性，为打击侵犯公民个人信息罪精准化奠定了法律基础。《解释》第五条第二款规定了“情节特别严重”的两类标准：一是数量数额标准。规定了十倍的倍比关系，即特别敏感信息500条以上，相对敏感信息5000条以上，其他信息50000条以上。比照“情节严重”，按照10倍的倍数关系认定。即根据信息类型不同，数量分别达到500、5000、50000条以上，或者违法所得50000元以上。二是严重后果标准。包括“造成被害人死亡、重伤、精神失常或者被绑架等严重不良后果”和“造成重大经济损失或者恶劣社会影响”。值得注意的是，现在侵犯公民个人信息数量十分惊人，动辄海量信息，公民人身财产安全风险性巨大，社会危害严重。在查办这类案件时，一定要重点关注查获的信息数量，特别是遇到海量信息案件、涉及“情节严重”或“情节特别严重”临界点的案件，应尽量查证信息数量，不该怕查证麻烦而就低认定信息数量，轻纵犯罪，而应做到罪责刑相适应。

二、如何理解为合法经营而非法购买、收受公民个人信息须“获利5万元以上”的入罪标准

司法实践中，非法购买、收受公民个人信息从事保险、教育培训、房产销售、广告推销等活动的情形较为普遍。从信息用途上看，此类非法购买、收受的公民个人信息是用于合法经营活动，与其他将信息用于实施犯罪或者出售牟利相比，对权利人的侵害程度确实存有不同，不宜一概而论。刑法修正案（七）和刑法修正案（九）均没有对“为合法经营活动而非法购买、收受公民个人信息”（下称“合法经营”型）的定罪量刑标准作出规定，为此，《解释》第六条专门对此情形设置了入罪标准，以更好地贯彻落实宽严相济刑事政策。

（一）正确理解和把握《解释》第六条的适用条件

《解释》第六条规定，为合法经营活动而非法购买、收受敏感信息以外的公民个人信息，具有下列情形之一的，应当认定为“情节严重”：（1）利用非法购买、收受的公民个人信息获利5万元以上的（下称“获利型”标准）；（2）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的（下称“处罚型”标准）；（3）其他情节严重的情形。我们认为，《解释》第六条在一定程度上抬高了“合法经营”型的入罪门槛，适用时宜从严掌握。

一是从严认定信息类型。根据《解释》第六条规定，为合法经营活动而非法购买、收受的公民个人信息，必须是《解释》第五条第一款第（三）项、第（四）项之外的信息。换言之，如果非法购买、收受的是行踪轨迹信息、征信信息、财产信息、住宿信息、交易信息等特别敏感信息或者相对敏感信息，则应排除适用《解释》第六条，这体现了《解释》在贯彻宽严相济刑事政策的同时，对涉及公民人身及财产安全等重要信息的特殊保护。我们认为，正确认定信息类型是适用本条的重要前提，认定时应从严掌握。如某条信息既包含了姓名、住址等一般内容，又包含财产、健康生理等敏感内容，则该条信息就不能适用《解释》第六条，而应计入适用《解释》第五条的认定条数。同样，对查获的批量信息，只要其中含有敏感信息，则对该批量信息不能适用《解释》第六条。

二是准确把握合法经营范畴。合法经营是指经营资质、经营范围等符合法律、行政法规规定。如专营、专卖物品或者其他限制买卖物品的，应当经许可；经营证券、期货、保险业务或者从事资金支付结算业务的，应当经国家有关主管部门批准等。实践中，对是否用于合法经营活动应从整体把握认定，既要正确认识合法经营过程中如偷税、虚假广告等违法行为与合法经营活动的关系，也要注意不能以非法购买、收受公民个人信息这一行为本身的违法性来否定合法经营的性质。

三是从严限定客观行为。《解释》第六条第二款规定：“实施前款规定的行为，将购买、收受的公民个人信息非法出售或者提供的，定罪量刑标准适用本解释第五条的规定。”据此，非法购买、收受的公民个人信息只能用于合法经营活动，如果还被非法出售、提供给他人的，则应排除适用本条。

（二）“获利型”标准的适用困惑及应对建议

《解释》第六条设置了“合法经营”型的三个入罪标准，其中最常用的是“获利型”标准，即“利用非法购买、收受的公民个人信息获利五万元以上”。我们认为，在适用这一标准时，必须把握好“非法购买、收受的公民个人信息”与“合法经营并获利”的对应关系，即非法购买、收受的公民个人信息系被用于合法经营活动，且该合法经营活动的获利达到五万元。

坚持这一对应关系是适用“获利型”标准的应有之义，但在司法实践中缺乏可操作性，由于司法机关无法收集到证明合法经营获利5万元系利用了非法购买、收受的公民个人信息的证据，致使“获利型”标准的适用陷入困境。通常情况下，非法购买、收受的信息数量是非常庞大的，而从海量的信息中甄别出那些系被利用且已获利的信息几乎是不可能的，除非行为人自己制作信息来源、用途、获利清楚对应的账目再将之提供给司法机关以证明自己的犯罪事实。同时，对于那些非法购买、收受的公民个人信息，在尚未用于合法经营活动或者虽已用于合法经营活动但尚未获利的情形下，亦无法适用这一标准。司法机关更不可能等行为人利用信息获利5万元以后再追究其刑事责任。“获利型”标准的设置，可能促使更多合法经营的单位出于增加获利的目的，非法购买、收受公民个人信息，这既不利于从源头打击非法出售、提供公民个人信息的犯罪，也会因该标准难以适用而导致单位非法购买、收受公民个人信息的行为愈演愈烈。

有鉴于此，为了使《解释》第六条不被虚置，我们提出以下建议：一是加大适用兜底条款的力度。以《解释》第五条设置的定罪量刑标准为参考，按照“情节严重”情形的同质性要求，明确其他情节严重的具体情形。如非法购买、收受的信息数量达到5000条以上的；造成重大经济损失或者恶劣社会影响的；造成被害人死亡、重伤等严重后果的等。二是探索尝试按比例认定原则。鉴于非法购买、收受的公民个人信息与合法经营获利之间的对应关系很难被逐一证明，故可尝试以比例方式予以整体认定。即以某一时期非法购买、收受的公民个人信息在所有信息中所占的比例，计算同一时期利用购买、收受的信息获利的数额。

三、如何理解公民个人信息累计计算规则和直接认定规则

实践中，公民个人信息数量“计算难”是困扰司法人员的一大难题。主要表现为两个方面：一是认识问题。如对于同一条公民个人信息，先有非法获取行为，后有出售、提供行为，如何计算；如分别出售、提供给不同单位或个人的，又如何计算，实践中认识不一。二是技术问题。非法获取、出售、提供的公民个人信息海量化已成为常态，对于容量较大的批量信息，目前为止从技术层面来看尚不具备相应的计算能力。而对于一些容量较小的批量信息，计算出较为精确的结果则需要耗费巨大的人力、物力、财力，且周期长、司法成本高。针对这些实际问题，《解释》第十一条确立了公民个人信息的条数计算规则和批量信息的数量认定规则。

（一）公民个人信息的条数计算

《解释》第十一条第一款规定，非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算；第二款规定，向不同单位或者个人分别出售、提供同一公民个人信息的，公民个人信息的条数累计计算。这两款规定解决了公民个人信息条数的计算问题。对于非法获取公民个人信息后又出售或者提供的，非法获取行为与出售、提供行为具有前后发展关系，前行为是后行为的所经阶段，后行为是前行为发展的当然结果，前后行为侵害的法益具有同一性。因此，这种情况下对公民个人信息的条数不重复计算是合理的。而向不同单位或者个人分别出售、提供同一公民个人信息的，由于被害人的个人信息重复受到侵害，增加进一步受害的可能性，累计计算条数符合从严打击犯罪的需要。

（二）批量信息的数量认定

《解释》第十一条第三款规定，对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。该条款有两层含义：对于批量信息，一是直接认定数量；二是推定信息是真实且不重复的。由此引申出两个问题：

1. 关于直接认定数量的方法。如前所述，批量信息呈海量化特点，现有技术无法计算出数量，或在较合理的时间内难以得出计算结果。而在数量都无法确定的情况下，直接认定似乎缺乏基础。我们认为，对批量信息数量的计算，在理念上应由传统的“精确计量”向“等约计量”转变，在方法上可采用抽样计算按比例认定的做法。即在批量信息中选取一定数量的信息为样本，实际分析样本信息的真实性和重复率，得出予以认定的信息比例，并按此比例评估其余未被抽样的信息，最终计算出批量信息的数量。

2. 关于信息真实性与重复性的举证责任。按照《解释》第十一条第三款的文意理解，直接认定信息数量的内容应当包括两层含义，一是推定信息是真实的，二是推定信息是不重复的。对于“但是有证据证明信息不真实或者重复的除外”，有观点认为是举证责任倒置。我们持不同意见，这并不涉及举证责任倒置问题，而是对批量信息真实性及重复性在刑事法律层面的一种客观推定。即对批量信息直接认定为真实且不重复，无需检察机关举证。但当辩护方提出信息不真实或者重复的意见并提供相应的证据或线索时，具体查证和证明责任仍应由检察机关承担。

需要指出的是，虽然批量信息的数量可以直接认定，并且推定为真实且不重复，但前提是必须构成侵犯公民个人信息罪。即根据《解释》第五条的规定，有符合入罪标准或法定刑升格条件的信息已被查证属实，而其他直接认定的信息数量则可作为量刑情节在量刑时予以考虑。

四、如何理解《解释》的适用时效

法律文本的时间效力，通常包括生效时间、失效时间和溯及力问题。《解释》第十三条规定，本解释自2017年6月1日起施行。实践中，主要是《解释》溯及力的问题，最高人民法院、最高人民检察院《关于适用刑事司法解释时间效力问题的规定》（下称《规定》），对于司法解释实施前发生的行为，行为时没有相关司法解释，司法解释施行后尚未处理或者正在处理的案件，依照司法解释的规定办理。对于新的司法解释实施前发生的行为，行为时已有相关司法解释，依照行为时的司法解释办理，但适用新的司法解释对犯罪嫌疑人、被告人有利的，适用新的司法解释。可见，我国司法解释的溯及力采取“行为时有无司法解释和是否有利于被告人相结合”的标准，与刑法溯及力采取“从旧兼从轻，禁止不利于行为人的溯及既往”的原则相一致，同时还要遵循“上诉不加刑”等诉讼原则。

根据《规定》的精神，对于《解释》的适用可区分情况处理：

1. 已经生效案件。对于在司法解释施行前已办结的案件，按照当时的法律和司法解释，认定事实和适用法律没有错误的，不再变动。

2. 一审案件。一审案件属于正在处理的案件，由于之前没有侵犯公民个人信息罪的相关司法解释，按照《规定》，应适用《解释》。

3. 上诉案件。对于仅有被告人上诉的二审案件，亦属于正在处理的案件，按照《规定》，应适用《解释》办理案件。如果适用《解释》作出的刑罚比一审判决刑罚重，因受限于 “上诉不加刑”原则，应按有利于被告人原则，维持原判。如果二审判决罪责刑严重不相适应，确需依法纠正的，那么鉴于原审判决适用法律确有错误，可以通过审判监督程序提出抗诉，启动刑事再审程序纠正原审判决。同时，鉴于司法解释的效力适用于法律的施行期间，故在刑事再审程序中应适用《解释》的相关规定。

4.抗诉案件。对于刑事二审程序的抗诉案件，因一审判决尚未生效，也属正在处理的案件，因我国刑事诉讼法明确规定抗诉案件不受“上诉不加刑”原则限制，故应适用《解释》的规定。而审判监督程序的抗诉案件，亦应适用《解释》，理由同上。

5.既有上诉又有抗诉的案件。对于既有被告人上诉又有检察机关抗诉的案件，属于正在处理的案件，因有检察机关提出抗诉而不受“上诉不加刑”原则的限制，故应适用《解释》规定。

[1]张茂月．大数据时代公民个人信息数据面临的风险及应对[J]． 情报理论与实践，2015，（6）．

[2]董纯朴．公民个人信息安全犯罪防控研究——以多元体参与信息时代保护公民隐私为视角[J]． 犯罪研究，2014，（1）．

[3]樊崇义．电子证据及其在刑事诉讼中的运用[N]． 检察日报，2012-05-18（3）．

[4]韩丹东．保护公民个人信息须立法明确信息权[N]． 法制日报，2016-10-25（5）．

[5]沈寅飞．徐玉玉案调查[N]． 检察日报，2016-10-12（5）．

[6]安辰． 美国法官判决个人信息遭泄露用户可以起诉雅虎[J]．计算机与网络，2017，43（18）：16．

[7]罗猛,邓超．从精确计量到等约计量:犯罪对象海量化下数额认定的困境及因应[J]． 预防青少年犯罪研究，2016，（2）．

[8]李源粒．网络数据安全与公民个人信息保护的刑法完善[J]．中国政法大学学报，2015，（5）．

[9]曲新久．论侵犯公民个人信息犯罪的超个人法益属性[J]．人民检察，2015，（11）．

[10]孔祥承．海量证据的理论与实践——以非法获取公民个人信息罪为视角[J]． 江西警察学院学报，2014，（6）．

[11]王春晖．个人信息权是公民的基本民事权利[J]． 中国电信业，2017，（4）．

[12]宋娟．大数据时代公民个人信息权的民法保护[D]．宁夏大学，2016．