《刑法》第二百五十三條之一【侵犯公民個人信息罪】違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的(5千條/5千元)，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節特別嚴重的(5萬條/5萬元)，處三年以上七年以下有期徒刑，并處罰金。

違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。

竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰。

侵犯公民個人信息罪指導性案例

指導性案例194號-熊昌恒等侵犯公民個人信息案：微信不僅作為一種通訊工具，同時還具備社交、支付等功能。微信號和手機實名綁定，與銀行卡綁定，和自然人一一對應，故微信號可認為是公民個人信息。

被告人違法處理已公開的個人信息并從中獲利，違背了該信息公開的目的或者明顯改變其用途，該信息被進一步利用后危及個人的人身或財產安全，情節特別嚴重，其行為構成侵犯公民個人信息罪。

(2022年)指導案例192號-李開祥侵犯公民個人信息刑事附帶民事公益訴訟案：“人臉信息”屬于刑法第二百五十三條之一規定的公民個人信息，利用“顏值檢測”黑客軟件竊取軟件使用者“人臉信息”等公民個人信息的行為，屬于刑法中“竊取或者以其他方法非法獲取公民個人信息”的行為，依法應予懲處。

(2024年)房產信息的屬性歸屬：判斷涉案房產信息是否屬于“財產信息”的范疇，堅持主客觀相統一原則，以信息流向作為信息類型歸屬的重要判斷因素。涉案房產信息被房屋中介公司、裝修公司工作人員購買，用于業務推廣的，通常不會影響人身財產安全，一般不宜認定為財產信息。

(2024年)公民個人房屋權籍調查信息的屬性歸屬：判斷涉案信息是否屬于“財產信息”的范疇，可以結合信息獲取渠道和交易價格考量。司法實踐中，作為佐證，可以將信息交易價格作為敏感信息判斷的輔助因素。通常而言，敏感信息、特別是高度敏感信息的交易價格要遠遠高于一般公民個人信息。

(2024年)毛某斌侵犯公民個人信息案-行蹤軌跡信息的數量認定：行蹤軌跡信息等因涉及人身財產安全，系敏感公民個人信息，入罪標準較低，應當逐一認定，確保定罪量刑準確。對于被害人在某地點處于靜止狀態下的重復定位信息，應當計算為一條信息。

(2024年)公開信息的刑法保護規則：在相關信息已經合法對外公開的情況下，要求行為人的收集、整理、交換等行為仍需得到“被收集者同意”的要求過于苛刻也不合理。

對于自行公開的或者其他已經合法公開的個人信息，行為人獲取相關信息后出售、提供的行為，一般不宜以侵犯公民個人信息罪論處。

(2024年)非法買賣網購訂單信息的處理：網購訂單信息與財產安全直接相關，屬于敏感信息的范疇，可以歸入《 最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(法釋〔2017〕10號)第五條規定的“交易信息”。

(2024年)行蹤軌跡信息的認定：對于行蹤軌跡信息的認定，原則上只宜理解為GPS定位信息、車輛軌跡信息等可以直接定位特定自然人具體坐標的信息。

(2024年)公開個人信息型網絡暴力行為的定性：對通過“人肉搜索”“開盒”等方式，在網絡上非法曝光他人隱私、發布公民個人信息等網絡暴力行為，可以依法適用侵犯公民個人信息罪的規定。

(2024年)張某甲等詐騙案-詐騙罪與關聯犯罪的數罪并罰問題：使用非法獲取的公民個人信息，實施電信網絡詐騙行為，構成數罪的，應當依法予以并罰。

(2024年)楊某石詐騙案-對向電信網絡詐騙犯罪提供公民個人信息行為以詐騙罪共犯論處的情形：明知他人實施電信網絡詐騙犯罪，向其提供大量公民個人信息的，應當綜合主觀明知程度、行為手段、獲利情況等情節，妥當作出處理，確保罪責刑相適應。對于主觀明知程度較高，非法獲利數額巨大，提供的公民個人信息對下游電信網絡詐騙發揮作用較大，適用侵犯公民個人信息罪不足以罰當其罪的，可以以詐騙罪的共同犯罪論處。

(2024年)袁某、郭某冰侵犯公民個人信息案-非法出售企業支付寶賬戶信息行為的定性：企業支付寶賬戶背后承載的自然人信息屬于“公民個人信息”，屬于刑法保護對象。行為人非法出售關聯公民個人信息的企業支付寶賬戶信息，情節嚴重的，構成侵犯公民個人信息罪。

(2024年)柯某成侵犯公民個人信息案-未經房東授權，非法獲取、提供、出售包含公民個人信息的房源信息的定性：對于僅供給中介提供服務使用的限定用途、范圍的公民個人信息，在未經另行授權的情況下，他人非法獲取、出售該信息，情節嚴重的，應當以侵犯公民個人信息罪定罪處罰。

[第1487號]收集并出售、提供他人自愿在公開網站上發布的信息是否構成侵犯公民個人信息罪：在法律、法規沒有明確禁止的情況下，認定是否屬于“合理處理”，是否“侵害重大利益”，更需要遵循刑法的謙抑性?；诖?，在判斷相關行為是否屬于“合理使用”時，必須以是否嚴重侵犯信息主體的重大利益為核心，遵循“法無禁止即可行”原則。對“合理處理”的認定，應當采用相對寬泛的理解。原則上，只要法律、法規沒有明確禁止的處理行為，均可以認定為合理處理，至少不應認定為犯罪。

即使在民法典、個人信息保護法施行后，對于本案中信息主體出于商業目的自愿公開姓名、電話等個人信息，行為人基于單純獲利目的出售、提供、交換，未對信息主體的人身、財產或人格利益造成具體、重大風險，未違反法律、法規禁止性規定的，亦不應當認定為侵犯公民個人信息罪。

[第719號]互聯網平臺未經許可轉載公開的企業股東信息不構成侵犯公民個人信息罪：互聯網是一個開放的平臺，如果信息所有者自行或者通過單位將信息公布于網站上，應當推定其同意公開個人信息。作為一個理性的個人，應當能預見信息公開的后果，所以在選擇公開的程度和方式時會有所控制，不會將私密性較強的信息公布于網站上。所以，即使這些公開的信息被他人搜索到之后再整理出售， 一方面該行為的危害程度有限，另一方面該行為的后果是信息所有者應當能夠預見到的，所以不宜入罪。

侵犯公民個人信息法律規定

(2021年)個人信息保護法

第二十七條　個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息;個人明確拒絕的除外。個人信息處理者處理已公開的個人信息，對個人權益有重大影響的，應當依照本法規定取得個人同意。

(2020年)民法典

第一千零三十六條　【處理個人信息免責事由】處理個人信息,有下列情形之一的,行為人不承擔民事責任:

(一)在該自然人或者其監護人同意的范圍內合理實施的行為;

(二)合理處理該自然人自行公開的或者其他已經合法公開的信息,但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外;

(三)為維護公共利益或者該自然人合法權益,合理實施的其他行為。

(2024年)最高人民法院、最高人民檢察院關于常見犯罪的量刑指導意見(二)(試行)

(三)侵犯公民個人信息罪

1.構成侵犯公民個人信息罪的，根據下列情形在相應的幅度內確定量刑起點：

(1)犯罪情節嚴重的，在一年以下有期徒刑、拘役幅度內確定量刑起點。

(2)情節特別嚴重的，在三年至四年有期徒刑幅度內確定量刑起點。

2.在量刑起點的基礎上，根據非法獲取、出售或者提供信息數量及類型、違法所得數額、危害后果等其他影響犯罪構成的犯罪事實增加刑罰量，確定基準刑。

3.違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，增加基準刑的10%-30%。

4.構成侵犯公民個人信息罪的，根據違法所得數額等犯罪情節，綜合考慮被告人繳納罰金的能力，決定罰金數額。

5.構成侵犯公民個人信息罪的，綜合考慮非法獲取、出售或者提供信息數量及類型、違法所得數額、危害后果、退贓退賠等犯罪事實、量刑情節，以及被告人的主觀惡性、人身危險性、認罪悔罪表現等因素，決定緩刑的適用。

(2021年)最高人民法院、最高人民檢察院、公安部關于辦理電信網絡詐騙等刑事案件適用法律若干問題的意見(二)

五、非法獲取、出售、提供具有信息發布、即時通訊、支付結算等功能的互聯網賬號密碼、個人生物識別信息，符合刑法第二百五十三條之一規定的，以侵犯公民個人信息罪追究刑事責任。

對批量前述互聯網賬號密碼、個人生物識別信息的條數，根據查獲的數量直接認定，但有證據證明信息不真實或者重復的除外。

(2017年)最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋

第一條 刑法第二百五十三條之一規定的“公民個人信息”，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。

第二條 違反法律、行政法規、部門規章有關公民個人信息保護的規定的，應當認定為刑法第二百五十三條之一規定的“違反國家有關規定”。

第三條 向特定人提供公民個人信息，以及通過信息網絡或者其他途徑發布公民個人信息的，應當認定為刑法第二百五十三條之一規定的“提供公民個人信息”。

未經被收集者同意，將合法收集的公民個人信息向他人提供的，屬于刑法第二百五十三條之一規定的“提供公民個人信息”，但是經過處理無法識別特定個人且不能復原的除外。

第四條 違反國家有關規定，通過購買、收受、交換等方式獲取公民個人信息，或者在履行職責、提供服務過程中收集公民個人信息的，屬于刑法第二百五十三條之一第三款規定的“以其他方法非法獲取公民個人信息”。

第五條 非法獲取、出售或者提供公民個人信息，具有下列情形之一的，應當認定為刑法第二百五十三條之一規定的“情節嚴重”：

(一)出售或者提供行蹤軌跡信息，被他人用于犯罪的;

(二)知道或者應當知道他人利用公民個人信息實施犯罪，向其出售或者提供的;

(三)非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的;

(四)非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的;

(五)非法獲取、出售或者提供第三項、第四項規定以外的公民個人信息五千條以上的;

(六)數量未達到第三項至第五項規定標準，但是按相應比例合計達到有關數量標準的;

(七)違法所得五千元以上的;

(八)將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人，數量或者數額達到第三項至第七項規定標準一半以上的;

(九)曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰，又非法獲取、出售或者提供公民個人信息的;

(十)其他情節嚴重的情形。

實施前款規定的行為，具有下列情形之一的，應當認定為刑法第二百五十三條之一第一款規定的“情節特別嚴重”：

(一)造成被害人死亡、重傷、精神失常或者被綁架等嚴重后果的;

(二)造成重大經濟損失或者惡劣社會影響的;

(三)數量或者數額達到前款第三項至第八項規定標準十倍以上的;

(四)其他情節特別嚴重的情形。

第六條 為合法經營活動而非法購買、收受本解釋第五條第一款第三項、第四項規定以外的公民個人信息，具有下列情形之一的，應當認定為刑法第二百五十三條之一規定的“情節嚴重”：

(一)利用非法購買、收受的公民個人信息獲利五萬元以上的;

(二)曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰，又非法購買、收受公民個人信息的;

(三)其他情節嚴重的情形。

實施前款規定的行為，將購買、收受的公民個人信息非法出售或者提供的，定罪量刑標準適用本解釋第五條的規定。

第七條 單位犯刑法第二百五十三條之一規定之罪的，依照本解釋規定的相應自然人犯罪的定罪量刑標準，對直接負責的主管人員和其他直接責任人員定罪處罰，并對單位判處罰金。

第八條 設立用于實施非法獲取、出售或者提供公民個人信息違法犯罪活動的網站、通訊群組，情節嚴重的，應當依照刑法第二百八十七條之一的規定，以非法利用信息網絡罪定罪處罰;同時構成侵犯公民個人信息罪的，依照侵犯公民個人信息罪定罪處罰。

第九條 網絡服務提供者拒不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，致使用戶的公民個人信息泄露，造成嚴重后果的，應當依照刑法第二百八十六條之一的規定，以拒不履行信息網絡安全管理義務罪定罪處罰。

第十條 實施侵犯公民個人信息犯罪，不屬于“情節特別嚴重”，行為人系初犯，全部退贓，并確有悔罪表現的，可以認定為情節輕微，不起訴或者免予刑事處罰;確有必要判處刑罰的，應當從寬處罰。

第十一條 非法獲取公民個人信息后又出售或者提供的，公民個人信息的條數不重復計算。

向不同單位或者個人分別出售、提供同一公民個人信息的，公民個人信息的條數累計計算。

對批量公民個人信息的條數，根據查獲的數量直接認定，但是有證據證明信息不真實或者重復的除外。

第十二條 對于侵犯公民個人信息犯罪，應當綜合考慮犯罪的危害程度、犯罪的違法所得數額以及被告人的前科情況、認罪悔罪態度等，依法判處罰金。罰金數額一般在違法所得的一倍以上五倍以下。

(2023年)最高人民法院、最高人民檢察院、公安部關于依法懲治網絡暴力違法犯罪的指導意見

4.依法懲治侵犯公民個人信息行為。組織“人肉搜索”，違法收集并向不特定多數人發布公民個人信息，情節嚴重，符合刑法第二百五十三條之一規定的，以侵犯公民個人信息罪定罪處罰;依照刑法和司法解釋規定，同時構成其他犯罪的，依照處罰較重的規定定罪處罰。

(2018年)最高人民檢察院關于檢察機關辦理侵犯公民個人信息案件指引

一、審查證據的基本要求

(一)審查逮捕

1. 有證據證明發生了侵犯公民個人信息犯罪事實

(1)證明侵犯公民個人信息案件發生

主要證據包括：報案登記、受案登記、立案決定書、破案經過、證人證言、被害人陳述、犯罪嫌疑人供述和辯解以及證人、被害人提供的短信、微信或QQ截圖等電子數據。

(2)證明被侵犯對象系公民個人信息

主要證據包括：扣押物品清單、勘驗檢查筆錄、電子數據、司法鑒定意見及公民信息查詢結果說明、被害人陳述、被害人提供的原始信息資料和對比資料等。

2. 有證據證明侵犯公民個人信息行為是犯罪嫌疑人實施的

(1)證明違反國家有關規定的證據：犯罪嫌疑人關于所從事的職業的供述、其所在公司的工商注冊資料、公司出具的犯罪嫌疑人職責范圍說明、勞動合同、保密協議及公司領導、同事關于犯罪嫌疑人職責范圍的證言等。

(2)證明出售、提供行為的證據：遠程勘驗筆錄及QQ、微信等即時通訊工具聊天記錄、論壇、貼吧、電子郵件、手機短信記錄等電子數據，證明犯罪嫌疑人通過上述途徑向他人出售、提供、交換公民個人信息的情況。公民個人信息販賣者、提供者、擔保交易人及購買者、收受者的證言或供述，相關銀行賬戶明細、第三方支付平臺賬戶明細，證明出售公民個人信息違法所得情況。此外，如果犯罪嫌疑人系通過信息網絡發布方式提供公民個人信息，證明該行為的證據還包括遠程勘驗筆錄、扣押筆錄、扣押物品清單、對手機、電腦存儲介質、云盤、FTP等的司法鑒定意見等。

(3)證明犯罪嫌疑人或公民個人信息購買者、收受者控制涉案信息的證據：搜查筆錄、扣押筆錄、扣押物品清單，對手機、電腦存儲介質等的司法鑒定意見等，證實儲存有公民個人信息的電腦、手機、U盤或者移動硬盤、云盤、FTP等介質與犯罪嫌疑人或公民個人信息購買者、收受者的關系。犯罪嫌疑人供述、辨認筆錄及證人證言等，證實犯罪嫌疑人或公民個人信息購買者、收受者所有或實際控制、使用涉案存儲介質。

(4)證明涉案公民個人信息真實性的證據：被害人陳述、被害人提供的原始信息資料、公安機關或相關單位出具的涉案公民個人信息與權威數據庫內信息同一性的比對說明。針對批量的涉案公民個人信息的真實性問題，根據《解釋》精神，可以根據查獲的數量直接認定，但有證據證明信息不真實或重復的除外。

(5)證明違反國家規定，通過竊取、購買、收受、交換等方式非法獲取公民個人信息的證據：主要證據與上述以出售、提供方式侵犯公民個人信息行為的證據基本相同。針對竊取的方式如通過技術手段非法獲取公民個人信息的行為，需證明犯罪嫌疑人實施上述行為，除被害人陳述、犯罪嫌疑人供述和辯解外，還包括偵查機關從被害公司數據庫中發現入侵電腦IP地址情況、從犯罪嫌疑人電腦中提取的侵入被害公司數據的痕跡等現場勘驗檢查筆錄，以及涉案程序(木馬)的司法鑒定意見等。

3. 有證據證明犯罪嫌疑人具有侵犯公民個人信息的主觀故意

(1)證明犯罪嫌疑人明知沒有獲取、提供公民個人信息的法律依據或資格，主要證據包括：犯罪嫌疑人的身份證明、犯罪嫌疑人關于所從事職業的供述、其所在公司的工商資料和營業范圍、公司關于犯罪嫌疑人的職責范圍說明、公司主要負責人的證人證言等。

(2)證明犯罪嫌疑人積極實施竊取、出售、提供、購買、交換、收受公民個人信息的行為，主要證據除了證人證言、犯罪嫌疑人供述和辯解外，還包括遠程勘驗筆錄、手機短信記錄、即時通訊工具聊天記錄、電子數據司法鑒定意見、銀行賬戶明細、第三方支付平臺賬戶明細等。

4. 有證據證明“情節嚴重”或“情節特別嚴重”

(1)公民個人信息購買者或收受者的證言或供述。

(2)公民個人信息購買、收受公司工作人員利用公民個人信息進行電話或短信推銷、商務調查等經營性活動后出具的證言或供述。

(3)公民個人信息購買者或者收受者利用所獲信息從事違法犯罪活動后出具的證言或供述。

(4)遠程勘驗筆錄、電子數據司法鑒定意見書、最高人民檢察院或公安部指定的機構對電子數據涉及的專門性問題出具的報告、公民個人信息資料等。證明犯罪嫌疑人通過即時通訊工具、電子郵箱、論壇、貼吧、手機等向他人出售、提供、購買、交換、收受公民個人信息的情況。

(5)銀行賬戶明細、第三方支付平臺賬戶明細。

(6)死亡證明、傷情鑒定意見、醫院診斷記錄、經濟損失鑒定意見、相關案件起訴書、判決書等。

(二)審查起訴

除審查逮捕階段證據審查基本要求之外，對侵犯公民個人信息案件的審查起訴工作還應堅持“犯罪事實清楚，證據確實、充分”的標準，保證定罪量刑的事實都有證據證明;據以定案的證據均經法定程序查證屬實;綜合全案證據，對所認定的事實已排除合理懷疑。

1. 有確實充分的證據證明發生了侵犯公民個人信息犯罪事實。該證據與審查逮捕的證據類型相同。

2. 有確實充分的證據證明侵犯公民個人信息行為是犯罪嫌疑人實施的

(1)對于證明犯罪行為是犯罪嫌疑人實施的證據審查，需要結合《解釋》精神，準確把握對“違反國家有關規定”“出售、提供行為”“竊取或以其他方法”的認定。

(2)對證明違反國家有關規定的證據審查，需要明確國家有關規定的具體內容，違反法律、行政法規、部門規章有關公民個人信息保護規定的，應當認定為刑法第二百五十三條之一規定的“違反國家有關規定”。

(3)對證明出售、提供行為的證據審查，應當明確“出售、提供”包括在履職或提供服務的過程中將合法持有的公民個人信息出售或者提供給他人的行為：向特定人提供、通過信息網絡或者其他途徑發布公民個人信息、未經被收集者同意，將合法收集的公民個人信息(經過處理無法識別特定個人且不能復原的除外)向他人提供的，均屬于刑法第二百五十三條之一規定的“提供公民個人信息”。應當全面審查犯罪嫌疑人所出售提供公民個人信息的來源、途經與去向，對相關供述、物證、書證、證人證言、被害人陳述、電子數據等證據種類進行綜合審查，針對使用信息網絡進行犯罪活動的，需要結合專業知識，根據證明該行為的遠程勘驗筆錄、扣押筆錄、扣押物品清單、電子存儲介質、網絡存儲介質等的司法鑒定意見進行審查。

(4)對證明通過竊取或以其他非法方法獲取公民個人信息等方式非法獲取公民個人信息的證據審查，應當明確“以其他方法獲取公民個人信息”包括購買、收受、交換等方式獲取公民個人信息，或者在履行職責、提供服務過程中收集公民個人信息的行為。

針對竊取行為，如通過信息網絡竊取公民個人信息，則應當結合犯罪嫌疑人供述、證人證言、被害人陳述，著重審查證明犯罪嫌疑人侵入信息網絡、數據庫時的IP地址、MAC地址、侵入工具、侵入痕跡等內容的現場勘驗檢查筆錄以及涉案程序(木馬)的司法鑒定意見等。

針對購買、收受、交換行為，應當全面審查購買、收受、交換公民個人信息的來源、途經、去向，結合犯罪嫌疑人供述和辯解、辨認筆錄、證人證言等證據，對搜查筆錄、扣押筆錄、扣押物品清單、涉案電子存儲介質等司法鑒定意見進行審查，明確上述證據同犯罪嫌疑人或公民個人信息購買、收受、交換者之間的關系。

針對履行職責、提供服務過程中收集公民個人信息的行為，應當審查證明犯罪嫌疑人所從事職業及其所負職責的證據，結合法律、行政法規、部門規章等國家有關公民個人信息保護的規定，明確犯罪嫌疑人的行為屬于違反國家有關規定，以其他方法非法獲取公民個人信息的行為。

(5)對證明涉案公民個人信息真實性證據的審查，應當著重審查被害人陳述、被害人提供的原始信息資料、公安機關或其他相關單位出具的涉案公民個人信息與權威數據庫內信息同一性的對比說明。對批量的涉案公民個人信息的真實性問題，根據《解釋》精神，可以根據查獲的數量直接認定，但有證據證明信息不真實或重復的除外。

3. 有確實充分的證據證明犯罪嫌疑人具有侵犯公民個人信息的主觀故意

(1)對證明犯罪嫌疑人主觀故意的證據審查，應當綜合審查犯罪嫌疑人的身份證明、犯罪嫌疑人關于所從事職業的供述、其所在公司的工商資料和營業范圍、公司關于犯罪嫌疑人的職責范圍說明、公司主要負責人的證人證言等，結合國家公民個人信息保護的相關規定，夯實犯罪嫌疑人在實施犯罪時的主觀明知。

(2)對證明犯罪嫌疑人積極實施竊取或者以其他方法非法獲取公民個人信息行為的證據審查，應當結合犯罪嫌疑人供述、證人證言，著重審查遠程勘驗筆錄、手機短信記錄、即時通訊工具聊天記錄、電子數據司法鑒定意見、銀行賬戶明細、第三方支付平臺賬戶明細等，明確犯罪嫌疑人在實施犯罪時的積極作為。

4. 有確實充分的證據證明“情節嚴重”或“情節特別嚴重”。該證據與審查逮捕的證據類型相同。

二、需要特別注意的問題

在侵犯公民個人信息案件審查逮捕、審查起訴中，要根據相關法律、司法解釋等規定，結合在案證據，重點注意以下問題：

(一)對“公民個人信息”的審查認定

根據《解釋》的規定，公民個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。經過處理無法識別特定自然人且不能復原的信息，雖然也可能反映自然人活動情況，但與特定自然人無直接關聯，不屬于公民個人信息的范疇。

對于企業工商登記等信息中所包含的手機、電話號碼等信息，應當明確該號碼的用途。對由公司購買、使用的手機、電話號碼等信息，不屬于個人信息的范疇，從而嚴格區分“手機、電話號碼等由公司購買，歸公司使用”與“公司經辦人在工商登記等活動中登記個人電話、手機號碼”兩種不同情形。

(二)對“違反國家有關規定”的審查認定

《中華人民共和國刑法修正案(九)》將原第二百五十三條之一的“違反國家規定”修改為“違反國家有關規定”，后者的范圍明顯更廣。根據刑法第九十六條的規定，“國家規定”僅限于全國人大及其常委會制定的法律和決定，國務院制定的行政法規、規定的行政措施、發布的決定和命令。而“國家有關規定”還包括部門規章，這些規定散見于金融、電信、交通、教育、醫療、統計、郵政等領域的法律、行政法規或部門規章中。

(三)對“非法獲取”的審查認定

在竊取或者以其他方法非法獲取公民個人信息的行為中，需要著重把握“其他方法”的范圍問題?！捌渌椒ā?，是指“竊取”以外，與竊取行為具有同等危害性的方法，其中，購買是最常見的非法獲取手段。侵犯公民個人信息犯罪作為電信網絡詐騙的上游犯罪，詐騙分子往往先通過網絡向他人購買公民個人信息，然后自己直接用于詐騙或轉發給其他同伙用于詐騙，詐騙分子購買公民個人信息的行為屬于非法獲取行為，其同伙接收公民個人信息的行為明顯也屬于非法獲取行為。同時，一些房產中介、物業管理公司、保險公司、擔保公司的業務員往往與同行通過QQ、微信群互相交換各自掌握的客戶信息，這種交換行為也屬于非法獲取行為。此外，行為人在履行職責、提供服務過程中，違反國家有關規定，未經他人同意收集公民個人信息，或者收集與提供的服務無關的公民個人信息的，也屬于非法獲取公民個人信息的行為。

(四)對“情節嚴重”和“情節特別嚴重”的審查認定

1. 關于“情節嚴重”的具體認定標準，根據《解釋》第五條第一款的規定，主要涉及五個方面：

(1)信息類型和數量。①行蹤軌跡信息、通信內容、征信信息、財產信息，此類信息與公民人身、財產安全直接相關，數量標準為五十條以上，且僅限于上述四類信息，不允許擴大范圍。對于財產信息，既包括銀行、第三方支付平臺、證券期貨等金融服務賬戶的身份認證信息(一組確認用戶操作權限的數據，包括賬號、口令、密碼、數字證書等)，也包括存款、房產、車輛等財產狀況信息。②住宿信息、通信記錄、健康生理信息、交易信息等可能影響公民人身、財產安全的信息，數量標準為五百條以上，此類信息也與人身、財產安全直接相關，但重要程度要弱于行蹤軌跡信息、通信內容、征信信息、財產信息。對“其他可能影響人身、財產安全的公民個人信息”的把握，應當確保所適用的公民個人信息涉及人身、財產安全，且與“住宿信息、通信記錄、健康生理信息、交易信息”在重要程度上具有相當性。③除上述兩類信息以外的其他公民個人信息，數量標準為五千條以上。

(2)違法所得數額。對于違法所得，可直接以犯罪嫌疑人出售公民個人信息的收入予以認定，不必扣減其購買信息的犯罪成本。同時，在審查認定違法所得數額過程中，應當以查獲的銀行交易記錄、第三方支付平臺交易記錄、聊天記錄、犯罪嫌疑人供述、證人證言綜合予以認定，對于犯罪嫌疑人無法說明合法來源的用于專門實施侵犯公民個人信息犯罪的銀行賬戶或第三方支付平臺賬戶內資金收入，可綜合全案證據認定為違法所得。

(3)信息用途。公民個人信息被他人用于違法犯罪活動的，不要求他人的行為必須構成犯罪，只要行為人明知他人非法獲取公民個人信息用于違法犯罪活動即可。

(4)主體身份。如果行為人系將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人的，涉案信息數量、違法所得數額只要達到一般主體的一半，即可認為“情節嚴重”。

(5)主觀惡性。曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰，又非法獲取、出售或者提供公民個人信息的，即可認為“情節嚴重”。

2. 關于“情節特別嚴重”的認定標準，根據《解釋》，主要分為兩類：一是信息數量、違法所得數額標準。二是信息用途引發的嚴重后果，其中造成人身傷亡、經濟損失、惡劣社會影響等后果，需要審查認定侵犯公民個人信息的行為與嚴重后果間存在因果關系。

對于涉案公民個人信息數量的認定，根據《解釋》第十一條，非法獲取公民個人信息后又出售或者提供的，公民個人信息的條數不重復計算;向不同單位或者個人分別出售、提供同一公民個人信息的，公民個人信息的條數累計計算;對批量出售、提供公民個人信息的條數，根據查獲的數量直接認定，但是有證據證明信息不真實或者重復的除外。在實踐中，如犯罪嫌疑人多次獲取同一條公民個人信息，一般認定為一條，不重復累計;但獲取的該公民個人信息內容發生了變化的除外。

對于涉案公民個人信息的數量、社會危害性等因素的審查，應當結合刑法第二百五十三條和《解釋》的規定進行綜合審查。涉案公民個人信息數量極少，但造成被害人死亡等嚴重后果的，應審查犯罪嫌疑人行為與該后果之間的因果關系，符合條件的，可以認定為實施《解釋》第五條第一款第十項“其他情節嚴重的情形”的行為，造成被害人死亡等嚴重后果，從而認定為“情節特別嚴重”。如涉案公民個人信息數量較多，但犯罪嫌疑人僅僅獲取而未向他人出售或提供，則可以在認定相關犯罪事實的基礎上，審查該行為是否符合《解釋》第五條第一款第三、四、五、六、九項及第二款第三項的情形，符合條件的，可以分別認定為“情節嚴重”“情節特別嚴重”。

此外，針對為合法經營活動而購買、收受公民個人信息的行為，在適用《解釋》第六條的定罪量刑標準時須滿足三個條件：一是為了合法經營活動，對此可以綜合全案證據認定，但主要應當由犯罪嫌疑人一方提供相關證據;二是限于普通公民個人信息，即不包括可能影響人身、財產安全的敏感信息;三是信息沒有再流出擴散，即行為方式限于購買、收受。如果將購買、收受的公民個人信息非法出售或者提供的，定罪量刑標準應當適用《解釋》第五條的規定。

(五)對關聯犯罪的審查認定

對于侵犯公民個人信息犯罪與電信網絡詐騙犯罪相交織的案件，應嚴格按照《最高人民法院、最高人民檢察院、公安部關于辦理電信網絡詐騙等刑事案件適用法律若干問題的意見》(法發〔2016〕32號)的規定進行審查認定，即通過認真審查非法獲取、出售、提供公民個人信息的犯罪嫌疑人對電信網絡詐騙犯罪的參與程度，結合能夠證實其認知能力的學歷文化、聊天記錄、通話頻率、獲取固定報酬還是參與電信網絡詐騙犯罪分成等證據，分析判斷其是否屬于詐騙共同犯罪、是否應該數罪并罰。

根據《解釋》第八條的規定，設立用于實施出售、提供或者非法獲取公民個人信息違法犯罪活動的網站、通訊群組，情節嚴重的，應當依照刑法第二百八十七條之一的規定，以非法利用信息網絡罪定罪;同時構成侵犯公民個人信息罪的，應當認定為侵犯公民個人信息罪。

對于違反國家有關規定，采用技術手段非法侵入合法存儲公民個人信息的單位數據庫竊取公民個人信息的行為，也符合刑法第二百八十五條第二款非法獲取計算機信息系統數據罪的客觀特征，同時觸犯侵犯公民個人信息罪和非法獲取計算機信息系統數據罪的，應擇一重罪論處。

此外，針對公安民警在履行職責過程中，違反國家有關規定，查詢、提供公民個人信息的情形，應當認定為“違反國家有關規定，將在履行職責或者提供服務過程中以其他方法非法獲取或提供公民個人信息”。但同時，應當審查犯罪嫌疑人除該行為之外有無其他行為侵害其他法益，從而對可能存在的其他犯罪予以準確認定。

三、社會危險性及羈押必要性審查

(一)審查逮捕

1. 犯罪動機：一是出售牟利;二是用于經營活動;三是用于違法犯罪活動。犯罪動機表明犯罪嫌疑人主觀惡性，也能證明犯罪嫌疑人是否可能實施新的犯罪。

2. 犯罪情節。犯罪嫌疑人的行為直接反映其人身危險性。具有下列情節的侵犯公民個人信息犯罪，能夠證實犯罪嫌疑人主觀惡性和人身危險性較大，實施新的犯罪的可能性也較大，可以認為具有較大的社會危險性：一是犯罪持續時間較長、多次實施侵犯公民個人信息犯罪的;二是被侵犯的公民個人信息數量或違法所得巨大的;三是利用公民個人信息進行違法犯罪活動的;四是犯罪手段行為本身具有違法性或者破壞性，即犯罪手段惡劣的，如騙取、竊取公民個人信息，采取脅迫、植入木馬程序侵入他人計算機系統等方式非法獲取信息。

犯罪嫌疑人實施侵犯公民個人信息犯罪，不屬于“情節特別嚴重”，系初犯，全部退贓，并確有悔罪表現的，可以認定社會危險性較小，沒有逮捕必要。

(二)審查起訴

在審查起訴階段，要結合偵查階段取得的事實證據，進一步引導偵查機關加大捕后偵查力度，及時審查新證據。在羈押期限屆滿前對全案進行綜合審查，對于未達到逮捕證明標準的，撤銷原逮捕決定。

經羈押必要性審查，發現犯罪嫌疑人具有下列情形之一的，應當向辦案機關提出釋放或者變更強制措施的建議：

1. 案件證據發生重大變化，沒有證據證明有犯罪事實或者犯罪行為系犯罪嫌疑人、被告人所為的。

2. 案件事實或者情節發生變化，犯罪嫌疑人、被告人可能被判處拘役、管制、獨立適用附加刑、免予刑事處罰或者判決無罪的。

3. 繼續羈押犯罪嫌疑人、被告人，羈押期限將超過依法可能判處的刑期的。

4. 案件事實基本查清，證據已經收集固定，符合取保候審或者監視居住條件的。

經羈押必要性審查，發現犯罪嫌疑人、被告人具有下列情形之一，且具有悔罪表現，不予羈押不致發生社會危險性的，可以向辦案機關提出釋放或者變更強制措施的建議：

1. 預備犯或者中止犯;共同犯罪中的從犯或者脅從犯。

2. 主觀惡性較小的初犯。

3. 系未成年人或者年滿七十五周歲的人。

4. 與被害方依法自愿達成和解協議，且已經履行或者提供擔保的。

5. 患有嚴重疾病、生活不能自理的。

6. 系懷孕或者正在哺乳自己嬰兒的婦女。

7. 系生活不能自理的人的唯一扶養人。

8. 可能被判處一年以下有期徒刑或者宣告緩刑的。

9. 其他不需要繼續羈押犯罪嫌疑人、被告人的情形。

(2019年)最高人民法院、最高人民檢察院關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋

第一條　提供下列服務的單位和個人，應當認定為刑法第二百八十六條之一第一款規定的“網絡服務提供者”：

(一)網絡接入、域名注冊解析等信息網絡接入、計算、存儲、傳輸服務;

(二)信息發布、搜索引擎、即時通訊、網絡支付、網絡預約、網絡購物、網絡游戲、網絡直播、網站建設、安全防護、廣告推廣、應用商店等信息網絡應用服務;

(三)利用信息網絡提供的電子政務、通信、能源、交通、水利、金融、教育、醫療等公共服務。

第二條　刑法第二百八十六條之一第一款規定的“監管部門責令采取改正措施”，是指網信、電信、公安等依照法律、行政法規的規定承擔信息網絡安全監管職責的部門，以責令整改通知書或者其他文書形式，責令網絡服務提供者采取改正措施。

認定“經監管部門責令采取改正措施而拒不改正”，應當綜合考慮監管部門責令改正是否具有法律、行政法規依據，改正措施及期限要求是否明確、合理，網絡服務提供者是否具有按照要求采取改正措施的能力等因素進行判斷。

(2016年)最高人民法院、最高人民檢察院、公安部關于辦理電信網絡詐騙等刑事案件適用法律若干問題的意見

三、全面懲處關聯犯罪

(二)違反國家有關規定，向他人出售或者提供公民個人信息，竊取或者以其他方法非法獲取公民個人信息，符合刑法第二百五十三條之一規定的，以侵犯公民個人信息罪追究刑事責任。

使用非法獲取的公民個人信息，實施電信網絡詐騙犯罪行為，構成數罪的，應當依法予以并罰。

(2020年)最高人民法院、最高人民檢察院、公安部辦理跨境賭博犯罪案件若干問題的意見

四、關于跨境賭博關聯犯罪的認定

為實施賭博犯罪，非法獲取公民個人信息，或者向實施賭博犯罪者出售、提供公民個人信息，構成賭博犯罪共犯，同時構成侵犯公民個人信息罪的，依照處罰較重的規定定罪處罰。

(2021年)最高人民法院、最高人民檢察院、公安部關于辦理電信網絡詐騙等刑事案件適用法律若干問題的意見(二)

五、非法獲取、出售、提供具有信息發布、即時通訊、支付結算等功能的互聯網賬號密碼、個人生物識別信息，符合刑法第二百五十三條之一規定的，以侵犯公民個人信息罪追究刑事責任。

對批量前述互聯網賬號密碼、個人生物識別信息的條數，根據查獲的數量直接認定，但有證據證明信息不真實或者重復的除外。

(2013年)最高人民法院、最高人民檢察院、公安部關于依法懲處侵害公民個人信息犯罪活動的通知

二、公民個人信息包括公民的姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學歷、履歷、家庭住址、電話號碼等能夠識別公民個人身份或者涉及公民個人隱私的信息、數據資料。對于在履行職責或者提供服務過程中，將獲得的公民個人信息出售或者非法提供給他人，被他人用以實施犯罪，造成受害人人身傷害或者死亡，或者造成重大經濟損失、惡劣社會影響的，或者出售、非法提供公民個人信息數量較大，或者違法所得數額較大的，均應當依法以非法出售、非法提供公民個人信息罪追究刑事責任。對于竊取或者以購買等方法非法獲取公民個人信息數量較大，或者違法所得數額較大，或者造成其他嚴重后果的，應當依法以非法獲取公民個人信息罪追究刑事責任。對使用非法獲取的個人信息，實施其他犯罪行為，構成數罪的，應當依法予以并罰。單位實施侵害公民個人信息罪的，應當追究直接負責的主管人員和其他直接責任人員的刑事責任。

(2017年)網絡安全法

第四十一條　網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。

網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。

(2013年)電信和互聯網用戶個人信息保護規定

第九條　未經用戶同意，電信業務經營者、互聯網信息服務提供者不得收集、使用用戶個人信息。

電信業務經營者、互聯網信息服務提供者收集、使用用戶個人信息的，應當明確告知用戶收集、使用信息的目的、方式和范圍，查詢、更正信息的渠道以及拒絕提供信息的后果等事項。

電信業務經營者、互聯網信息服務提供者不得收集其提供服務所必需以外的用戶個人信息或者將信息用于提供服務之外的目的，不得以欺騙、誤導或者強迫等方式或者違反法律、行政法規以及雙方的約定收集、使用信息。

電信業務經營者、互聯網信息服務提供者在用戶終止使用電信服務或者互聯網信息服務后，應當停止對用戶個人信息的收集和使用，并為用戶提供注銷號碼或者賬號的服務。

法律、行政法規對本條第一款至第四款規定的情形另有規定的，從其規定。

第十二條　電信業務經營者、互聯網信息服務提供者應當建立用戶投訴處理機制，公布有效的聯系方式，接受與用戶個人信息保護有關的投訴，并自接到投訴之日起十五日內答復投訴人。

(2015年)最高人民法院、最高人民檢察院關于執行《刑法》確定罪名的補充規定(六)

第二百五十三條之一(《刑法修正案(九)》第十七條)侵犯公民個人信息罪(取消出售、非法提供公民個人信息罪和非法獲取公民個人信息罪罪名)

(2015年)刑法修正案(九)

十七、將刑法第二百五十三條之一修改為:“違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。

違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。

竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰。

單位犯前三款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰。

(2009年)刑法修正案(七)

七、在刑法第二百五十三條后增加一條，作為第二百五十三條之一：“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。

“竊取或者以其他方法非法獲取上述信息，情節嚴重的，依照前款的規定處罰。

“單位犯前兩款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰?！?/p>

以上內容供參考，刑事法律服務專業性強，請咨詢專業刑事律師事務所，資深刑事律師咨詢電話15695295888。