第二百五十三条之一　【侵犯公民个人信息罪】违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。 违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。 窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。 单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

侵犯公民个人信息罪是指违反国家有关规定，向他人出售、提供公民个人信息，或者窃取、以其他方法非法获取公民个人信息，情节严重的行为。出售是指将自己掌握的公民个人信息以一定价格卖与他人，自己从中谋取利益的行为c非法提供是指违反国家关于保守公民个人信息的规定，将自己掌握的公民个人信息，以出售以外的方式提供他人的行为。窃取是指采取自认为不为对方知晓的方法获得公民个人信息。该罪为《刑法修正案（七）》增设，目的在于保护公民个人信息安全0 2009年最高人民法院、最高人民检察院《关于执行（中华人民共和国刑法）确定罪名的补充规定（四）》将该罪名确定为“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪。《刑法修正案（九）》对该罪进行了修改：一是取消了主体限制，即删除了“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，将特殊主体修改为一般主体，并增加了单位犯罪。二是对公民个人信息的来源也取消了限制，即不限于履行职责或提供服务过程中获取的公民个人信息。三是将“违反国家规定” 修改为“违反国家有关规定”o四是修改了法定刑，增加了法定刑幅度档次0 2015年 10月19日最高人民法院、最高人民检察院《关于执行（中华人民共和国刑法）确定罪 名的补充规定（六）》取消出售、非法提供公民个人信息罪和非法获取公民个人信息罪 罪名，将罪名合并为“侵犯公民个人信息罪”。

　　1.主体标准

　　(1)自然人。一般主体，即年满16周岁且具有刑事责任能力的自然人。

　　(2)单位。

　　2.主观标准

　　(1)认识因素：明知将获得的公民个人信息，出售或者非法提供给他人违反国家

　　有关规定;

　　(2)意志因素：希望或放任。

　　3.客观方面

　　(1)行为标准

　　违反国家有关规定，向他人出售或者提供公民个人信息。

　　(2)情节标准：情节严重。

　　一、对“个人信息”的理解

　　目前我国还没有制定专门保护公民个人信息的法律法规，也没有对公民个人信息的统一界定0 2005年中国人民银行发布实施的《个人信用信息基础数据库管理暂行办法》是规定保护公民个人信息内容较多的一个部门规章，但也仅限于对公民个人信用信息安全的保障和合法使用该办法法规定，个人信用信息包括个人基本信息、个人信贷交易信息以及反映个人信用状况的其他信息个人基本信息是指自然人身份识别信息、职业和居住地址等信息;个人信贷交易信息是指商业银行提供的自然人在个人贷款、贷记卡、准贷记卡、担保等信用活动中形成的交易记录;反映个人信用状况的其他信息是指除信贷交易信息之外的反映个人信用状况的相关信息。

　　从外延上看，公民个人信息具有以下特征：(1)与公民个人直接相关，能够反映公民的局部或整体特点;或是一经取得、使用即具有专属性。前者如公民的出生日期、指纹等，后者如身份证编号、家庭住址等o(2)具有法律保护价值。公民个人信息承载了公民的个体特征，甚至各项权利，如果任由他人泄露、获取，必然导致公民时刻处于可能遭受侵害的危险状态o(3)公民个人信息的保护不以信息所有人请求为前提。除非基于维护国家利益、公共利益的需要或信息所有人的意愿，任何组织和个人均无权泄露、获取其个人信息。

　　一般认为，公民个人信息是指能够识别公民个人身份的信息，主要包括姓名、年龄、性别、身份证号码、职业、职务、学历、民族状况、婚姻状况、专业资格和特长、工作经历、家庭背景和住址、电话号码、信用卡号码，教育、医疗、经济活动等的记录，指纹、网上登陆账号和密码，等等。①

　　二、侵犯公民个人信息罪主体的认定

　　侵犯公民个人信息罪的主体虽然是一般主体，但大多是在履职职责或提供服务中接触公民的个人信息，所以往往是国家机关、金融、电信、交通、教育、医疗等单位中的工作人员，尤其是出售、非法提供公民个人信息的主体。国家机关是指可以通过合法途径获得公民个人信息的机关，如民政、统计、公安、计生、档案管理等部门，在履行职责过程中可以获得公民个人信息的人民法院、人民检察院也应当包括在内。金融单位包括商业银行、证券交易所、期货交易所、证券公司、期货经纪公司、保险公司、信用

　　① 周海洋：《出售、非法提供公民个人信息罪和非法获取公民个人信息罪的理解与适用》，载《中国审判》2010年第47期。

　　社、财务公司等金融单位一般掌握着公民的经济活动信息、财产信息、信用信息等，这些信息与公民的财产权利联系紧密;电信单位主要包括固定电话、移动电话和网络管理部门电信部门在提供服务过程中，可以掌握大量的公民个人信息，比如他人的通话详单、手机号码、机主资料等，这些信息可以清楚地反映出一个人的通话对象、通话时间、通话规律等大量个人隐私和秘密;交通单位主要是指航空、铁路、水运、公路、出租车行业等，这些单位能够获得公民的出行信息，也与公民的隐私权相关联;教育单位主要包括公办或者民办的大、中、小学、职业学校和各种培训机构等，这些单位除掌握着公民的姓名、年龄等基本信息外，主要掌握着公民个人的学历、专业状况等教育信息。现实中，有些学校特别是一些高等学校，将大量的学生个人信息提供给银行、职业中介或者商业机构，在学生不知情的情况下，给学生办理信用卡、推销商品或者介绍家教等，侵犯了学生的信息安全，影响了学生正常的学习和生活，有的还造成了学生财产的损失。医疗单位主要是指依据《医疗机构管理条例》和《医疗机构管理条例实施细则》的规定，经登记取得《医疗机构执业许可证》的机构，具体包括各级医院、专门医院，防疫站、妇幼保健院、社区诊所等。医疗单位可以获得大量的公民健康、医疗状况的信息，很多公民都将自己的健康、医疗状况视为隐私和秘密，不愿被他人知晓医疗单位如果违反相关规定，将公民的健康、医疗信息出售或者非法提供给他人，情节严重的，就构成出售、非法提供公民个人信息罪。其他一些单位，比如旅游公司、宾馆业、餐饮业、商场等单位也可能在提供服务过程中获得公民的个人信息，这些单位或其工作人员也可以成为该罪的主体。

　　三、侵犯公民个人信息罪与非罪的界限

　　侵犯公民个人信息罪与非罪的界限主要还是从犯罪构成上来界定：(l)行为人主观上具有故意，明知是公民个人信息而出售、非法提供或者窃取、非法获取的; (2)行为人违反国家关于公民个人信息保护的法律规定。一是违反国家规定是指违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令;二是违反信息控制人单方承诺或者特定行业规范承诺对个人信息加以自律性保护的，不构成本罪o(3)行为人实施了出售、非法提供或者窃取、非法获取的行为;(4)情节严重。一般是指出售、非法提供或者窃取、非法获取公民个人信息的数量、次数较多，获利较大，造成严重社会影响，给公民个人生活或生命财产造成严重损害;或者所出售、非法提供信息被他人用于违法犯罪活动等等。

　　四、对“非法获取”的“非法”的理解

　　如何理解非法获取的“非法”，即非法所评价的是取得个人信息行为的违法性还是行为人持有个人信息结果的违法性。有人认为，行为是对象向结果转化的中间过程，行为违法性的评价往往通过对结果的违法性的评价来完成，而且“获取”本身包含了“占有、控制”的含义，所以对结果的非法性认识构成了本罪非法性评价的重要内容。笔者认为，本罪的“非法”，应为对获取行为的非法性评价。首先，依据本罪的立法意图，是为了保护公民的个人信息不受非法侵害(获取)，是为了预防对公民个人信息的非法获取行为，而并不是为了打击对公民个人信息的非法持有行为。其次，对持有的非法性评价可能导致法律对同一行为的重复性评价，违反罪刑相适应原则。最后，持有是一种静止性状态，很多人非法获取个人信息后随即出卖，则不会发生持有的这种静止状

　　态，若以持有结果作为违法性评价则放纵了犯罪。而且个人信息不同于毒品、枪支等，其本身不具有危害性，因此，对个人信息的单纯持有并不会带来严重的社会危害性，持有这种静止性动作本身的危害性要小于主动的获取行为。

　　五、对获取“二手信息”的处理

　　对于获取“二手信息”的情况，分两种情况看待：一种为合法获取公民个人信息后违反保密义务而非法卖给或转让他人，则购买人仍然构成本罪，而对于提供人则有可能单独构成非法提供公民个人信息罪或成为非法获取公民个人信息罪的共犯;另一种为行为人非法获取公民个人信息后又转卖或者提供给第三人，第三人明知信息是行为人非法获取的信息而又非法获取的，第三人能否构成本罪，笔者认为，如果获取者明知道信息的来源与性质，仍然从行为人处非法获取，则应该构成本罪，这也保障了个人信息不被无限制的转移。

　　六、购买公民个人信息行为的处理

　　理论界对于购买行为的争议比较大。“窃取”本身具有非法性，这就要求其他方法也应带有非法性，据此有人认为，“购买”本身不具有非法性，难以与“窃取”相匹配，所以不能纳入“其他方法”之范畴。笔者认为，对“其他方法”的认定，不能单纯看某一行为方式本身的危害程度，而要结合此行为方式是否严重侵害到刑法所要保护的法益来评判。购买是基于合同关系而为的，购买行为本身性质是合法的，然而购买因购买的对象以及所为目的的不同等而具有了不同的性质，这是行为本身在具体事实中必然包含的内在因素，比如购买毒品、购买枪支等，我们不能因为购买本身不具有非法性而认为这些行为不具有可罚性。行为人购买个人信息是为了进行非法的行为或目的，那么，购买就变成了一种手段，或者犯罪预备，在这种情况下，购买行为理应归于本罪规制。首先，从立法意图上，本罪的设立目的是为了保护公民的个人信息权以及生活安宁权不受侵害，购买行为因为其实质目的是为了侵害公民个人信息权，所以在购买行为着手之时，公民个人信息权即陷入了被侵害的可能性之中，侵害人将购买的信息开始用于违法行为，公民权利便无法得到保障，这种侵害是不可逆的，因此若只因为购买行为本身的合法性而放弃对其目的的违法性评价，公民的个人信息权利将很难得到保障。其次，这也是保障市场经济健康运行、社会健康发展的基础。在市场经济条件下，信息的经济价值越来越大，信息的流通也越来越频繁，网络时代的到来，使得信息的交流变得方便，某一信息可以在一瞬之间为全世界所知，这种传播速度在带来便利的情况下，也使得侵害个人信息的行为变得更加可怕。现实生活中，大多数的信息因为具有经济价值，所以购买成为获取个人信息最基本的方式，个人将自己的信息出售以获取经济报酬是无可争议的，但是没有一个人在出卖自己信息的时候是希望被用于非法目的的，所以对于用于非法目的的购买行为若不进行刑法规制，恐怕人人自危，没有人再敢将其个人信息提供给他人，这必然导致信息壁垒，试想一个没有信息流通的社会将会变成什么样?那么，什么样的购买行为应纳入本罪规制范围内呢?笔者认为，若是行为人从信息主体处购买，在说明了购买目的和用途且在使用时严格遵守约定或法定义务的前提下，可以认定此购买行为是合法的，而除此之外的购买行为，尤其是隐瞒使用方式或用途，对信息主体的权益造成危害的购买行为，为非法。据此，对于以非法目的获取公民个人信息的行为只要达到情节严重都应作为本罪的行为方式，而且，社会处于不断变化之

　　中，新的侵害手段也会出现，不应将行为方式进行限制，对于法条应做开放式理解。

　　1.全国人民代表大会常务委员会《关于加强网络信息保护的决定：》(2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过)

　　三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。

　　2.《中华人民共和国统计法：》(2009年6月27日第十一届全国人民代表大会常务委员会第九次会议修订)

　　第十四条 属于私人、家庭的单项调查资料，非经本人同意，不得泄路。

　　第三十条 统计机构、统计人员违反本法规定，泄露私人、家庭的单项调查资料或者统计调查对象的商业秘密，造成损害的，依法承担民事责任，并对负有直接责任的主管人员和其他直接责任人员依法给予行政处分。

　　3.《中华人民共和国邮政法：》(1986年12月2日第六届全国人民代表大会常务委员会第十八次会议通过2009年4月24日第十一届全国人民代表大会常务委员会第八次会议修订)

　　第三十五条 任何单位和个人不得私自开拆、隐匿、毁弃他人邮件。

　　除法律另有规定外，邮政企业及其从业人员不得向任何单位或者个人泄露用户使用邮政服务的信息。

　　4.《旅行社条例实施细则》(2009年4月2日国家旅游局第4次局长办公会议审议通过)

　　第四十四条 旅行社应当妥善保存《条例》规定的招徕、组织、接待旅游者的各类合同及相关文件、资料，以备县级以上旅游行政管理部门核查。

　　前款所称的合同及文件、资料的保存期，应当不少于两年。

　　旅行社不得向其他经营者或者个人，泄露旅游者因签订旅游合同提供的个人信息;超过保存期限的旅游者个人信息资料，应当妥善销毁。

　　1.全国人民代表大会常务委员会《关于加强网络信息保护的决定：》(2012年12月

　　28日第十一届全国人民代表大会常务委员会第三十次会议通过)

　　三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民

　　个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。

　　2.《中华人民共和国统计法：》(2009年6月27日第十一届全国人民代表大会常务

　　委员会第九次会议修订)

　　第十四条 属于私人、家庭的单项调查资料，非经本人同意，不得泄路。

　　第三十条 统计机构、统计人员违反本法规定，泄露私人、家庭的单项调查资料

　　或者统计调查对象的商业秘密，造成损害的，依法承担民事责任，并对负有直接责任的

　　主管人员和其他直接责任人员依法给予行政处分。

　　3.《中华人民共和国邮政法：》(1986年12月2日第六届全国人民代表大会常务委

　　员会第十八次会议通过2009年4月24日第十一届全国人民代表大会常务委员会第八次

　　会议修订)

　　第三十五条 任何单位和个人不得私自开拆、隐匿、毁弃他人邮件。

　　除法律另有规定外，邮政企业及其从业人员不得向任何单位或者个人泄露用户使用

　　邮政服务的信息。

　　4.《旅行社条例实施细则》(2009年4月2日国家旅游局第4次局长办公会议审议

　　通过)

　　第四十四条 旅行社应当妥善保存《条例》规定的招徕、组织、接待旅游者的各

　　类合同及相关文件、资料，以备县级以上旅游行政管理部门核查。

　　前款所称的合同及文件、资料的保存期，应当不少于两年。

　　旅行社不得向其他经营者或者个人，泄露旅游者因签订旅游合同提供的个人信息;

　　超过保存期限的旅游者个人信息资料，应当妥善销毁。

　　谢某等出售公民个人信息案

　　北京市人民检察院第二分院以被告人谢新冲犯出售公民个人信息罪，被告人刘海亮、程春郊、张某英犯非法获取公民个人信息罪，向北京市第二中级人民法院提起公诉。

　　北京市第二中级人民法院经公开审理查明：2009年3月至12月间，时任北京京驰无限通信技术有限公司(以下简称京驰公司)运维部经理的被告人谢新冲，利用中国移动通信集团北京有限公司授予其所在公司开展手机定位业务的权限，先后多次为被告人刘海亮、程春郊、张某英等人提供的90余个手机号码进行定位，非法获利人民币9万元。其中，刘海亮从谢新冲处非法获取手机定位40余个，并将其中部分转卖给程春郊，刘海亮还从程春郊处非法获取通话清单等信息近10条。程春郊通过刘海亮从谢新

　　冲处非法获取手机定位30余个，后用于公司调查或转卖给他人，程春郊还从他人处非法获取座机名址、移动手机名址等公民个人信息近10条，后转卖给刘海亮。张某英从谢新冲处非法获取手机定位10余个。

　　北京市第二中级人民法院认为，被告人谢新冲作为电信单位工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息出售给他人，情节严重，其行为已构成出售公民个人信息罪。被告人刘海亮、程春郊、张某英以购买方式非法获取公民个人信息，情节严重，其行为已构成非法获取公民个人信息罪。刘海亮与程春郊的部分行为构成共同犯罪。鉴于四被告人归案后能如实供述自己罪行，可酌情从轻处罚。其中，张某英的犯罪情节较轻，且有悔罪表现，没有再犯罪的危险，可对其宣告缓刑。据此，依照《中华人民共和国刑法》第二百五十三条之一第一款、第二款，第二十五条第一款，第七十二条第一款、第三款，第七十三条第二款、第三款，第五十二条，第五十三条，第六十一条之规定，判决如下：

　　1.被告人谢新冲犯出售公民个人信息罪，判处有期徒刑二年二个月，并处罚金人民币二万六千元;

　　2.被告人刘海亮犯非法获取公民个人信息罪，金人民币=万一千元;

　　3.被告人程春郊犯非法获取公民个人信息罪，金人民币二万一千元;

　　4.被告人张某英犯非法获取公民个人信息罪，年五个月，并处罚金人民币一万七千元。判处有期徒刑一年九个月，并处罚判处有期徒刑一年九个月，并处罚判处有期徒刑一年五个月，缓刑一

　　宣判后，被告人谢新冲认为原判量刑过重，提出上诉。

　　北京市高级人民法院经二审审理认为，原判认定事实清楚，定罪准确，量刑适当，审判程序合法。依照《中华人民共和国刑事诉讼法》第一百八十九条第一项之规定，裁定驳回上诉，维持原判。