個人信息泄露司法

A. 二高關於非法泄漏個人信息犯罪的最新司法解釋

最高人民法院、最高人民檢察院
關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋
2017年3月20日最高人民法院審判委員會第1712次會議、2017年4月26日最高人民檢察院第十二屆檢察委員會第63次會議通過，自2017年6月1日起施行。
法釋〔2017〕10號

為依法懲治侵犯公民個人信息犯罪活動，保護公民個人信息安全和合法權益，根據《中華人民共和國刑法》《中華人民共和國刑事訴訟法》的有關規定，現就辦理此類刑事案件適用法律的若干問題解釋如下：
第一條 刑法第二百五十三條之一規定的「公民個人信息」,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。
第二條 違反法律、行政法規、部門規章有關公民個人信息保護的規定的，應當認定為刑法第二百五十三條之一規定的「違反國家有關規定」。
第三條 向特定人提供公民個人信息，以及通過信息網路或者其他途徑發布公民個人信息的，應當認定為刑法第二百五十三條之一規定的「提供公民個人信息」。
未經被收集者同意，將合法收集的公民個人信息向他人提供的，屬於刑法第二百五十三條之一規定的「提供公民個人信息」，但是經過處理無法識別特定個人且不能復原的除外。
第四條 違反國家有關規定，通過購買、收受、交換等方式獲取公民個人信息，或者在履行職責、提供服務過程中收集公民個人信息的，屬於刑法第二百五十三條之一第三款規定的「以其他方法非法獲取公民個人信息」。
第五條 非法獲取、出售或者提供公民個人信息，具有下列情形之一的，應當認定為刑法第二百五十三條之一規定的「情節嚴重」：
（一）出售或者提供行蹤軌跡信息，被他人用於犯罪的；
（二）知道或者應當知道他人利用公民個人信息實施犯罪，向其出售或者提供的；
（三）非法獲取、出售或者提供行蹤軌跡信息、通信內容、徵信信息、財產信息五十條以上的；
（四）非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的；
（五）非法獲取、出售或者提供第三項、第四項規定以外的公民個人信息五千條以上的；
（六）數量未達到第三項至第五項規定標准，但是按相應比例合計達到有關數量標準的；
（七）違法所得五千元以上的；
（八）將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人，數量或者數額達到第三項至第七項規定標准一半以上的；
（九）曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰，又非法獲取、出售或者提供公民個人信息的；
（十）其他情節嚴重的情形。
實施前款規定的行為，具有下列情形之一的，應當認定為刑法第二百五十三條之一第一款規定的「情節特別嚴重」：
（一）造成被害人死亡、重傷、精神失常或者被綁架等嚴重後果的；
（二）造成重大經濟損失或者惡劣社會影響的；
（三）數量或者數額達到前款第三項至第八項規定標准十倍以上的；
（四）其他情節特別嚴重的情形。
第六條 為合法經營活動而非法購買、收受本解釋第五條第一款第三項、第四項規定以外的公民個人信息，具有下列情形之一的，應當認定為刑法第二百五十三條之一規定的「情節嚴重」：
（一）利用非法購買、收受的公民個人信息獲利五萬元以上的；
（二）曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰，又非法購買、收受公民個人信息的；
（三）其他情節嚴重的情形。
實施前款規定的行為，將購買、收受的公民個人信息非法出售或者提供的，定罪量刑標准適用本解釋第五條的規定。
第七條 單位犯刑法第二百五十三條之一規定之罪的，依照本解釋規定的相應自然人犯罪的定罪量刑標准，對直接負責的主管人員和其他直接責任人員定罪處罰，並對單位判處罰金。
第八條 設立用於實施非法獲取、出售或者提供公民個人信息違法犯罪活動的網站、通訊群組，情節嚴重的，應當依照刑法第二百八十七條之一的規定，以非法利用信息網路罪定罪處罰；同時構成侵犯公民個人信息罪的，依照侵犯公民個人信息罪定罪處罰。
第九條 網路服務提供者拒不履行法律、行政法規規定的信息網路安全管理義務，經監管部門責令採取改正措施而拒不改正，致使用戶的公民個人信息泄露，造成嚴重後果的，應當依照刑法第二百八十六條之一的規定，以拒不履行信息網路安全管理義務罪定罪處罰。
第十條 實施侵犯公民個人信息犯罪，不屬於「情節特別嚴重」，行為人系初犯，全部退贓，並確有悔罪表現的，可以認定為情節輕微，不起訴或者免予刑事處罰；確有必要判處刑罰的，應當從寬處罰。
第十一條 非法獲取公民個人信息後又出售或者提供的，公民個人信息的條數不重復計算。
向不同單位或者個人分別出售、提供同一公民個人信息的，公民個人信息的條數累計計算。
對批量公民個人信息的條數，根據查獲的數量直接認定，但是有證據證明信息不真實或者重復的除外。
第十二條 對於侵犯公民個人信息犯罪，應當綜合考慮犯罪的危害程度、犯罪的違法所得數額以及被告人的前科情況、認罪悔罪態度等，依法判處罰金。罰金數額一般在違法所得的一倍以上五倍以下。
第十三條 本解釋自2017年6月1日起施行。

最高人民法院辦公廳秘書一處
2017年5月8日印發

B. 刑法泄露公民個人信息罪是怎樣規定的

信息安全：非法泄露、獲取公民個人信息將獲罪
【修正條款】在刑法第二百五十三條後增加一條，作為第二百五十三條之一：「國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金。
「竊取或者以其他方法非法獲取上述信息，情節嚴重的，依照前款的規定處罰。
「單位犯前兩款罪的，對單位判處罰金，並對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰。」出售、非法提供公民個人信息罪、非法獲取公民個人信息罪
【修正前條款】第二百五十三條【私自開拆、隱匿、毀棄郵件、電報罪；盜竊罪】郵政工作人員私自開拆或者隱匿、毀棄郵件、電報的，處二年以下有期徒刑或者拘役。
犯前款罪而竊取財物的，依照本法第二百六十四條的規定定罪從重處罰。
【律師解讀】1、從犯罪構成各方面綜合來看，修正條款的規定應認定為兩罪，即「出售、非法提供公民個人信息罪」和「購買、非法獲取公民個人信息罪」。
2、「出售、非法提供公民個人信息罪」的犯罪主體列舉性的表述為「國家機關或者金融、電信、交通、教育、醫療等單位及其工作人員。」上述列舉的五個單位以外的其他單位及其工作人員是否屬於本罪的犯罪主體范圍，取決於對條款中的「等」字的解釋。個人認為，從目前公民個人信息受到侵害的客觀情況看，本罪的犯罪主體應作擴張性解釋，將合法收集公民個人信息的單位均作為本罪的犯罪主體。
3、我國尚未制訂專門的個人信息保護法。如果國家法律、法規或者規章中沒有相關的針對公民個人信息收集、管理的單位及工作人員的義務性規定，相關單位及工作人員也就缺乏了成立本罪的前提性法律義務。因為修正條款要求「違反國家規定」，因此，即便前述存在出售或者提供公民個人信息的嚴重行為，也不宜將其認定為犯罪。
4、公民個人信息外延過大，修正條款中表述的「個人信息」的范圍有待進一步明確。
5、修正條款罪名的成立還要求達到「情節嚴重」的程度，何為「情節嚴重」應及時作出相關的司法解釋，以利於司法實踐中的准確認定。
打字不易，如滿意，望採納。

C. 非法泄露個人信息要承擔什麼後果

刑法上公民個人信息的司法認定

在司法實踐中，對於概念和原則的把握必然有一定的差異性，需要具體情況具體討論。在本部分，筆者對一般個人信息的認定進行總結歸納，並對一些存在爭議的情況進行分析。

（一）公民個人信息可識別性的認定
「可識別性是指個人信息能夠直接或者間接地指向確定的主體。」經過上文中的討論，根據《網路安全法》和《2017年解釋》對公民個人信息的定義，我們能夠得出，「識別性」是公民個人信息的核心屬性，解釋第3條第2款印證了這一觀點。對於能夠單獨識別特定自然人的個人信息，往往比較容易判斷，而對於需要與其他信息結合來間接識別特定自然人身份或反映特定自然人活動情況的信息，往往是個案中控辯雙方爭議的焦點，也是本罪的認定中最為復雜的問題。面對實踐中的具體案情，對於部分關聯信息是否可以認定為「公民個人信息」時，可從行為人主觀目、信息對特定自然人的人身和財產安全的重要程度和信息需要結合的其他信息的程度三個方面綜合分析加以判斷。
以此案為例：某地一醫葯代表為了對醫生給予用葯回扣，非法獲取了某醫院某科室有關病床的病床號、病情和葯品使用情況。此案中所涉及的非法獲取的信息不宜納入刑法中「公民個人信息」的范疇。首先，從行為人主觀目的上看，並沒有識別到特定自然人的目的，而僅僅是為了獲取用葯情況；其次，從以上信息對病人的人身安全、財產安全以及生活安寧的重要性上來看，行為人獲取以上信息並不會對病人權益造成侵犯；最後，從這些信息需要與其他信息結合的程度來看，病床號、用葯情況等信息並不能直接識別到個人，需要結合病人的身份證號等才能起到直接識別的作用。所以，此案中的涉案信息不屬於刑法所保護的「公民個人信息」。
（二）敏感個人信息的認定
《2017年解釋》第五條根據信息的重要程度、敏感程度，即信息對公民人身、財產安全的影響程度，將「公民個人信息」分為三類，並設置了不同的定罪量刑標准。

類別

列舉

「情節嚴重」標准
（非法獲取、出售或提供）

「情節特別嚴重「標准（非法獲取、出售或提供）

特別敏感信息

蹤軌跡信息、通信內容、徵信信息、財產信息

五十條以上

五百條以上

敏感信息

住宿記錄、通信記錄、健康生理信息、交易信息

五百條以上

五千條以上

其他信息

五千條以上

五萬條以上

圖表 3
但是在司法實踐中，仍存在對標准適用的爭議，主要表現在對敏感個人信息的認定。
1.如何把握「行蹤軌跡信息」的范圍
行蹤軌跡信息敏感程度極高，一旦信息主體的行蹤軌跡信息被非法利用，可能會對權利人的人身安全造成緊迫的威脅。《2017年解釋》中對於行蹤軌跡信息入罪標準的規定是最低的：「非法獲取、出售或者提供行蹤軌跡信息50以上」的，即構成犯罪。由於《2017年解釋》中對行蹤軌跡信息規定了極低的入罪標准，所以司法認定時應對其范圍做嚴格把控，應將其范圍限制在能直接定位特定自然人具體位置的信息，如車輛軌跡信息和GPS定位信息等。實踐中，信息的交易價格也可以作為判定其是否屬於「行蹤軌跡信息」的參考，因為行蹤軌跡信息的價格通常最為昂貴。
對於行為人獲取他人車票信息後判斷出他人的行蹤的情況，載於車票的信息不宜被認定為《2017年解釋》所規定的「行蹤軌跡信息」，因為該信息只能讓行為人知道信息主體大概的活動軌跡，並不能對其進行准確定位。
2.如何把握「財產信息」的范圍
財產信息是指房產、存款等能夠反映公民個人財產狀況的信息。對於財產信息的判斷，可以從兩方面進行把握：一是要綜合考量主客觀因素，因為犯罪應是主客觀相統一的結果；而是考慮到敏感個人信息的入罪門檻已經極低，實踐中應嚴格把握其范圍。
以此案為例：行為人為了推銷車輛保險，從車輛管理機構非法獲取了車主姓名、電話、車型等信息。此案中的信息不宜認定為「財產信息」。因為行為人的主觀目的不是侵犯信息主體的人身、財產安全，最多隻會對行為人的生活安寧帶來一定的影響，因而應適用非敏感公民個人信息的入罪標准。
（三）不宜納入本罪保護對象的公開的個人信息的認定
信息主體已經公開的個人信息是否屬於 「公民個人信息」的范疇，理論界存在觀點分歧。筆者認為，「公民個人信息」不以隱私性為必要特徵，因為《2017年解釋》第1條並為採用「涉及個人隱私信息」的表述，而是以識別性作為判斷標准。因此，信息的公開與否並不影響其是否可以被認定為「公民個人信息」。
對於權利人主動公開的個人信息，行為人獲取相關信息的行為顯然合法，且其後出售、提供的行為，當前也不宜認定為犯罪。理由如下：第一，在我國的立法和司法中，曾以「隱私性」作為界定公民個人信息的核心屬性，可見公民個人信息在一定程度上是從隱私權中分離出來的權利，所以侵犯公民個人信息罪側重於對公民隱私和生活安寧的保護。權利人之所以自願甚至主動公開其個人信息，說明這部分信息即便被獲取、出售，也通常不會對其個人隱私和生活安寧造成侵犯，因此不應納入刑法保護范圍內；第二，根據刑法第253條之一的規定，向他人出售或提供公民個人信息，只有在違反國家有關規定的前提下才構成犯罪。對於已經公開的公民個人信息，行為人獲取後向他人出售或提供的行為在我國缺乏相關法律規定的情況下，應推定為存在權利人的概括同意，不需要二次授權，也就是說不應認定行為人對獲取的已經由權利人公開的個人信息的出售和提供行為系「違法國家有關規定」。第三，在我國個人信息保護機制尚未健全、侵犯公民個人信息犯罪高發的背景下，應將實踐中較為多發的侵犯權利人未公開的個人信息的案件作為打擊的重點。
對於權利人被動公開的個人信息，行為人獲取相關信息的行為可以認定為合法，但如果後續的出售或提供行為違背了權利人意願，侵犯到了其個人隱私和生活安寧，或是對權利人人身安全、財產安全造成了威脅，則應根據實際情況以侵犯公民個人信息罪論處。
對於權利人被動公開的個人信息，行為人對相關信息的獲取一般來說是合法的，但是獲取信息之後的出售、提供行為如果對信息主體的人身安全、財產安全或是私生活安寧造成了侵犯，且信息主體對其相關個人信息有強烈保護意願，則應據其情節認定為侵犯公民個人信息犯罪。

D. 泄露公民個人信息罪司法解釋

第一條刑法第二百五十三條之一規定的「公民個人信息」,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。

第二條違反法律、行政法規、部門規章有關公民個人信息保護的規定的，應當認定為刑法第二百五十三條之一規定的「違反國家有關規定」。

第三條向特定人提供公民個人信息，以及通過信息網路或者其他途徑發布公民個人信息的，應當認定為刑法第二百五十三條之一規定的「提供公民個人信息」。未經被收集者同意，將合法收集的公民個人信息向他人提供的，屬於刑法第二百五十三條之一規定的「提供公民個人信息」，但是經過處理無法識別特定個人且不能復原的除外。

第四條違反國家有關規定，通過購買、收受、交換等方式獲取公民個人信息，或者在履行職責、提供服務過程中收集公民個人信息的，屬於刑法第二百五十三條之一第三款規定的「以其他方法非法獲取公民個人信息」。

(4)個人信息泄露司法擴展閱讀：

近年來，侵犯公民個人信息犯罪處於高發態勢，既嚴重侵犯了公民個人信息安全，又往往與電信詐騙等其他犯罪存在密切關聯，社會危害日益突出，必須依法予以懲治。2015年11月1日，《刑法修正案（九）》將「出售、非法提供公民個人信息罪」和「非法獲取公民個人信息罪」整合為「侵犯公民個人信息罪」，擴大了犯罪主體和侵犯個人信息行為的范圍。司法實踐中，侵犯公民個人信息罪的具體定罪量刑標准尚不明確，一些法律適用問題存在爭議，亟需通過司法解釋予以明確。

為依法懲治侵犯公民個人信息犯罪活動，保護公民個人信息安全和合法權益，2016年最高人民法院研究室啟動侵犯公民個人信息罪司法解釋的起草工作，委託遼寧省高級人民法院等進行前期調研，廣泛徵求最高人民檢察院、公安部、院內各相關審判庭、各高級人民法院及有關互聯網企業的意見，並召開專家論證會研討論證，修改形成送審稿，提交本次會議審議。

最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋—中華人民共和國最高人民法院。

E. 泄露公民個人信息罪怎麼定罪處罰

1.《最高人民法院 最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》

第九條 網路服務提供者拒不履行法律、行政法規規定的信息網路安全管理義務，經監管部門責令採取改正措施而拒不改正，致使用戶的公民個人信息泄露，造成嚴重後果的，應當依照刑法第二百八十六條之一的規定，以拒不履行信息網路安全管理義務罪定罪處罰。

2.《刑法》

第二百八十六條之一【拒不履行信息網路安全管理義務罪】網路服務提供者不履行法律、行政法規規定的信息網路安全管理義務，經監管部門責令採取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，並處或者單處罰金：

(一)致使違法信息大量傳播的;

(二)致使用戶信息泄露，造成嚴重後果的;

(三)致使刑事案件證據滅失，情節嚴重的;

(四)有其他嚴重情節的。

單位犯前款罪的，對單位判處罰金，並對其直接負責的主管人員和其他直接責任人員，依照前款的規定處罰。

有前兩款行為，同時構成其他犯罪的，依照處罰較重的規定定罪處罰。

F. 泄露個人信息怎麼定罪

《刑法抄》第二百五十三條之一，襲國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金。第二百五十三條 私自開拆、隱匿、毀棄郵件、電報罪、盜竊罪、郵政工作人員私自開拆或者隱匿、毀棄郵件、電報的，處二年以下有期徒刑或者拘役。

G. 手機泄露個人信息屬於什麼犯罪

非法獲取公民個人信息罪是指以竊取或者其他方法非法獲取國家機關或者金融、電信、交通、教育、醫療等單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的行為。根據刑法規定，犯本罪的，處三年以下有期徒刑或者拘役，並處或者單處罰金。

本罪因刑法修正案九出台，已經被取消，刑法修正案九規定為侵犯公民個人信息罪

最高人民法院、最高人民檢察院9日發布《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，這也是「兩高」首次就打擊侵犯公民個人信息犯罪出台司法解釋。司法解釋對侵犯公民個人信息犯罪的定罪量刑標准和有關法律適用問題進行了全面系統規定。

根據我國刑法規定，違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金;情節特別嚴重的，處三年以上七年以下有期徒刑，並處罰金。竊取或者以其他方法非法獲取公民個人信息的，依照前款的規定處罰。

此次發布的司法解釋明確，向特定人提供公民個人信息，以及通過信息網路或者其他途徑發布公民個人信息的，應當認定為刑法規定的「提供公民個人信息」。

司法解釋還規定，網路服務提供者拒不履行法律、行政法規規定的信息網路安全管理義務，經監管部門責令採取改正措施而拒不改正，致使用戶的公民個人信息泄露，造成嚴重後果的，應當依照刑法相關規定，以拒不履行信息網路安全管理義務罪定罪處罰。

在侵犯公民個人信息犯罪的罰金刑適用規則方面，司法解釋規定，對於侵犯公民個人信息犯罪，應當綜合考慮犯罪的危害程度、犯罪的違法所得數額以及被告人的前科情況、認罪悔罪態度等，依法判處罰金。罰金數額一般在違法所得的一倍以上五倍以下。

H. 非法泄露個人信息罪要承擔什麼後果

《刑法》第二百五十三條之一，國家機關或者金融、電信、交通、教育、醫療等單內位的工作人員，違容反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金。第二百五十三條 私自開拆、隱匿、毀棄郵件、電報罪、盜竊罪、郵政工作人員私自開拆或者隱匿、毀棄郵件、電報的，處二年以下有期徒刑或者拘役。