侵犯（非法獲取、出售、提供）多少公民個人資訊夠判刑？這裡都說清楚了！建議收藏

原標題：侵犯公民個人資訊定罪量刑標準的全面解釋

2018-04-25 喻海松 刑事實務

選自《侵犯公民個人資訊罪司法解釋理解與適用》書籍， 喻海松編著刑法中的“違法所得”， 一般是指犯罪分子因實施違法犯罪活動而取得的全部財物。 本案中， 行為人非法出售公民個人資訊， 獲得了八千元的對價， 將其認定為違法所得， 並無不妥。 （2）從以往司法解釋、規範性檔的規定來看， 對於實踐中需要資質的經營活動， 行為人由於缺乏資質而構成非法經營罪等犯罪的， 通常會區分“違法所得數額”與“非法經營數額”。 此種情形下，

自然不應將二者混同， 對於違法所得數額的認定當然應當扣除成本。 然而， 對於實踐中根本不允許存在的活動， 構成相應犯罪的， 通常只有“違法所得”而非“非法經營數額”的標準。 對於後一種情形， 則不應當再扣除成本。 非法出售、提供公民個人資訊即是適例， 其本身就是法律所禁止從事的活動， 不存在合法經營的情形， 故《解釋》只設置了“違法所得”標準。 按照上述原則， 對於此處的“違法所得”不應再扣除成本。

（三）關於資訊用途的標準

（四）關於主體身份的標準

據統計， 公民個人資訊的洩露案件中八成是來自于內部人員作案。 參見《調查顯示：個人資訊洩露八成源於內部作案》， 載《中國青年報》2012年4月19日第3版。 諸多涉及公民個人資訊買賣的案件中大多都可以見到“內部”人員參與的“影子”。

國家機關或者金融、電信、交通、教育、醫療等單位的工作人員將在履行職責或者提供服務過程中獲得的公民個人資訊出售或者提供給他人， 是侵犯公民個人資訊違法犯罪氾濫的重要原因所在。 例如， 2016年5月， 山東菏澤警方成功破獲一起網路侵犯公民個人資訊大案， 共查扣受侵犯公民個人資訊200余萬條， 涉案資金達500余萬元， 抓獲犯罪嫌疑人29名， 其中包括22名中間商和7名“內鬼”（一手資料來源頭）。 從此案中打掉的“內鬼”來看， 相關部門、企事業單位自身在公民個人資訊安全監管方面存在的漏洞令人觸目驚心。 犯罪嫌疑人甄某， 系某商業銀行客戶經理， 利用職務之便， 以每條20元至40元的價格， 長期向中間商提供個人征信資訊以及本銀行的客戶資料， 包括身份證號、信譽、卡號、開戶日期、餘額、名下帳戶數量等， 可以跨區域查詢， 覆蓋全國；犯罪嫌疑人陳某， 系某通信公司軟體工程師， 利用職務之便私下向中間商販賣資料庫密碼， 使其能夠直接訪問資料庫中全國範圍內的手機定位、開戶資訊等資料；犯罪嫌疑人王某， 系某快遞公司蘇州某倉庫管理員， 利用其掌握的系統帳號， 以每條數十元的價格， 向中間商提供全國快遞資訊， 包括收件人位址、電話等資訊。 參見《斬斷上游：山東警方破獲侵犯公民個人資訊大案》， 載《人民公安報》2016年9月26日第4版。

再如， 2014年初至2016年7月， 上海市疾控中心工作人員韓某利用其工作便利，

登錄系統查詢並竊取上海疾控中心每月更新的全市新生嬰兒資訊共計30余萬條， 然後通過下屬同事張某之手層層專賣非法牟利。 上海市浦東新區人民法院以侵犯公民個人資訊罪作出一審判決， 對參與竊取、出售、收買的韓某、張某、范某、李某、黃某、王某、吳某、龔某8名被告人， 分別判處有期徒刑二年三個月至七個月不等， 罰金5000元至2000元不等。 參見《上海新生嬰兒資訊販賣案一審宣判2名原疾控中心工作人員及其他6名被告人獲刑》， 載《人民法院報》2017年2月10日第3版。

由於上述情形往往發生在公民個人資訊交易的最初階段， 涉案資訊的數量往往較少、價格相對低廉。 此種情形下， 如果不設置特殊標準， 往往難以對此類源頭行為予以刑事懲治。

基於此， 為貫徹落實刑法第二百五十三條之一第二款“違反國家有關規定， 將在履行職責或者提供服務過程中獲得的公民個人資訊， 出售或者提供給他人的， 依照前款的規定從重處罰”的規定， 《解釋》第五條第一款第八項對將在履行職責或者提供服務過程中獲得的公民個人資訊出售或者提供給他人的情形認定為“情節嚴重”設置了特殊標準， 規定此種情形下出售或者提供公民個人資訊， 認定“情節嚴重”的數量、數額標準減半計算。 當然， 對於此種情形， 不宜再根據刑法第二百五十三條之一第二款的規定從重處罰， 以免重複評價。

（五）關於主觀惡性的標準

曾因侵犯公民個人資訊受過刑事處罰或者二年內受過行政處罰， 又非法獲取、出售或者提供公民個人資訊的，行為人屢罰屢犯、主觀惡性大。故而，《解釋》第五條第一款第九項將此種情形規定為“情節嚴重”。

二、“情節特別嚴重”的認定標準

《解釋》第五條第二款主要從兩個角度規定了“情節特別嚴重”的情形：

一是數量數額標準。基於司法實踐中侵犯公民個人資訊犯罪涉案的公民個人資訊數量相差懸殊，跨度從幾千條到幾十萬條（甚至更大數量）不等，將“情節特別嚴重”和“情節嚴重”之間的數量數額標準設定為十倍而非五倍的倍數關係。有論者通過對資料庫收錄的純正網路犯罪的判決書進行全樣本分析，指出司法解釋設定的標準，不符合電腦犯罪的特點；只有當把“情節特別嚴重”的認定標準上調10~20倍以上，即數量或數額達到司法解釋認定較大的50~100倍以上，才可以達到案件數量分佈的正金字塔結構。參見石亞淙：《網路時代的刑法面孔——“網路犯罪的刑事立法與刑事司法前沿問題”學術研討會綜述》，載《人民檢察》2016年第15期。實際上，傳統犯罪的法定刑升檔要件與基本要件之間的數量數額基本為三倍或者五倍的倍數關係，這一倍數設置慣例確實可能存在不適應網路犯罪態勢的問題，在未來的司法實踐中有必要作出調整。

二是嚴重後果標準。從實踐來看，非法獲取、出售或者提供公民個人資訊，可能對個人造成危害，如造成人身傷亡、經濟損失等。而且，公民個人資訊除了具有的身份和經濟價值之外，還具有一定的社會價值和戰略價值。因此，非法獲取、出售或者提供公民個人資訊，也可能引發社會恐慌、造成惡劣社會影響，甚至因為資訊洩露而危害國家安全。基於此，將“造成被害人死亡、重傷、精神失常或者被綁架等嚴重後果的”“造成重大經濟損失或者惡劣社會影響的”規定為“情節特別嚴重”。

四、侵犯公民個人資訊單位犯罪的定罪量刑標準

根據刑法第二百五十三條之一第四款的規定，單位可以成為侵犯公民個人資訊罪的主體。為切實加大對單位侵犯公民個人資訊犯罪的懲治力度，《解釋》第七條明確了單位實施侵犯公民個人資訊犯罪的，適用自然人犯罪的定罪量刑標準，規定：“單位犯刑法第二百五十三條之一規定之罪的，依照本解釋規定的相應自然人犯罪的定罪量刑標準，對直接負責的主管人員和其他直接責任人員定罪處罰，並對單位判處罰金。”

又非法獲取、出售或者提供公民個人資訊的，行為人屢罰屢犯、主觀惡性大。故而，《解釋》第五條第一款第九項將此種情形規定為“情節嚴重”。

二、“情節特別嚴重”的認定標準

《解釋》第五條第二款主要從兩個角度規定了“情節特別嚴重”的情形：

一是數量數額標準。基於司法實踐中侵犯公民個人資訊犯罪涉案的公民個人資訊數量相差懸殊，跨度從幾千條到幾十萬條（甚至更大數量）不等，將“情節特別嚴重”和“情節嚴重”之間的數量數額標準設定為十倍而非五倍的倍數關係。有論者通過對資料庫收錄的純正網路犯罪的判決書進行全樣本分析，指出司法解釋設定的標準，不符合電腦犯罪的特點；只有當把“情節特別嚴重”的認定標準上調10~20倍以上，即數量或數額達到司法解釋認定較大的50~100倍以上，才可以達到案件數量分佈的正金字塔結構。參見石亞淙：《網路時代的刑法面孔——“網路犯罪的刑事立法與刑事司法前沿問題”學術研討會綜述》，載《人民檢察》2016年第15期。實際上，傳統犯罪的法定刑升檔要件與基本要件之間的數量數額基本為三倍或者五倍的倍數關係，這一倍數設置慣例確實可能存在不適應網路犯罪態勢的問題，在未來的司法實踐中有必要作出調整。

二是嚴重後果標準。從實踐來看，非法獲取、出售或者提供公民個人資訊，可能對個人造成危害，如造成人身傷亡、經濟損失等。而且，公民個人資訊除了具有的身份和經濟價值之外，還具有一定的社會價值和戰略價值。因此，非法獲取、出售或者提供公民個人資訊，也可能引發社會恐慌、造成惡劣社會影響，甚至因為資訊洩露而危害國家安全。基於此，將“造成被害人死亡、重傷、精神失常或者被綁架等嚴重後果的”“造成重大經濟損失或者惡劣社會影響的”規定為“情節特別嚴重”。

四、侵犯公民個人資訊單位犯罪的定罪量刑標準

根據刑法第二百五十三條之一第四款的規定，單位可以成為侵犯公民個人資訊罪的主體。為切實加大對單位侵犯公民個人資訊犯罪的懲治力度，《解釋》第七條明確了單位實施侵犯公民個人資訊犯罪的，適用自然人犯罪的定罪量刑標準，規定：“單位犯刑法第二百五十三條之一規定之罪的，依照本解釋規定的相應自然人犯罪的定罪量刑標準，對直接負責的主管人員和其他直接責任人員定罪處罰，並對單位判處罰金。”