个人信息泄露司法

A. 二高关于非法泄漏个人信息犯罪的最新司法解释

最高人民法院、最高人民检察院
关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释
2017年3月20日最高人民法院审判委员会第1712次会议、2017年4月26日最高人民检察院第十二届检察委员会第63次会议通过，自2017年6月1日起施行。
法释〔2017〕10号

为依法惩治侵犯公民个人信息犯罪活动，保护公民个人信息安全和合法权益，根据《中华人民共和国刑法》《中华人民共和国刑事诉讼法》的有关规定，现就办理此类刑事案件适用法律的若干问题解释如下：
第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
第二条 违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。
第三条 向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。
未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。
第四条 违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
第五条 非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：
（一）出售或者提供行踪轨迹信息，被他人用于犯罪的；
（二）知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；
（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；
（四）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；
（五）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；
（六）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；
（七）违法所得五千元以上的；
（八）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；
（九）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；
（十）其他情节严重的情形。
实施前款规定的行为，具有下列情形之一的，应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”：
（一）造成被害人死亡、重伤、精神失常或者被绑架等严重后果的；
（二）造成重大经济损失或者恶劣社会影响的；
（三）数量或者数额达到前款第三项至第八项规定标准十倍以上的；
（四）其他情节特别严重的情形。
第六条 为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：
（一）利用非法购买、收受的公民个人信息获利五万元以上的；
（二）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的；
（三）其他情节严重的情形。
实施前款规定的行为，将购买、收受的公民个人信息非法出售或者提供的，定罪量刑标准适用本解释第五条的规定。
第七条 单位犯刑法第二百五十三条之一规定之罪的，依照本解释规定的相应自然人犯罪的定罪量刑标准，对直接负责的主管人员和其他直接责任人员定罪处罚，并对单位判处罚金。
第八条 设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组，情节严重的，应当依照刑法第二百八十七条之一的规定，以非法利用信息网络罪定罪处罚；同时构成侵犯公民个人信息罪的，依照侵犯公民个人信息罪定罪处罚。
第九条 网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。
第十条 实施侵犯公民个人信息犯罪，不属于“情节特别严重”，行为人系初犯，全部退赃，并确有悔罪表现的，可以认定为情节轻微，不起诉或者免予刑事处罚；确有必要判处刑罚的，应当从宽处罚。
第十一条 非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算。
向不同单位或者个人分别出售、提供同一公民个人信息的，公民个人信息的条数累计计算。
对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。
第十二条 对于侵犯公民个人信息犯罪，应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等，依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。
第十三条 本解释自2017年6月1日起施行。

最高人民法院办公厅秘书一处
2017年5月8日印发

B. 刑法泄露公民个人信息罪是怎样规定的

信息安全：非法泄露、获取公民个人信息将获罪
【修正条款】在刑法第二百五十三条后增加一条，作为第二百五十三条之一：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。
“窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。
“单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”出售、非法提供公民个人信息罪、非法获取公民个人信息罪
【修正前条款】第二百五十三条【私自开拆、隐匿、毁弃邮件、电报罪；盗窃罪】邮政工作人员私自开拆或者隐匿、毁弃邮件、电报的，处二年以下有期徒刑或者拘役。
犯前款罪而窃取财物的，依照本法第二百六十四条的规定定罪从重处罚。
【律师解读】1、从犯罪构成各方面综合来看，修正条款的规定应认定为两罪，即“出售、非法提供公民个人信息罪”和“购买、非法获取公民个人信息罪”。
2、“出售、非法提供公民个人信息罪”的犯罪主体列举性的表述为“国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员。”上述列举的五个单位以外的其他单位及其工作人员是否属于本罪的犯罪主体范围，取决于对条款中的“等”字的解释。个人认为，从目前公民个人信息受到侵害的客观情况看，本罪的犯罪主体应作扩张性解释，将合法收集公民个人信息的单位均作为本罪的犯罪主体。
3、我国尚未制订专门的个人信息保护法。如果国家法律、法规或者规章中没有相关的针对公民个人信息收集、管理的单位及工作人员的义务性规定，相关单位及工作人员也就缺乏了成立本罪的前提性法律义务。因为修正条款要求“违反国家规定”，因此，即便前述存在出售或者提供公民个人信息的严重行为，也不宜将其认定为犯罪。
4、公民个人信息外延过大，修正条款中表述的“个人信息”的范围有待进一步明确。
5、修正条款罪名的成立还要求达到“情节严重”的程度，何为“情节严重”应及时作出相关的司法解释，以利于司法实践中的准确认定。
打字不易，如满意，望采纳。

C. 非法泄露个人信息要承担什么后果

刑法上公民个人信息的司法认定

在司法实践中，对于概念和原则的把握必然有一定的差异性，需要具体情况具体讨论。在本部分，笔者对一般个人信息的认定进行总结归纳，并对一些存在争议的情况进行分析。

（一）公民个人信息可识别性的认定
“可识别性是指个人信息能够直接或者间接地指向确定的主体。”经过上文中的讨论，根据《网络安全法》和《2017年解释》对公民个人信息的定义，我们能够得出，“识别性”是公民个人信息的核心属性，解释第3条第2款印证了这一观点。对于能够单独识别特定自然人的个人信息，往往比较容易判断，而对于需要与其他信息结合来间接识别特定自然人身份或反映特定自然人活动情况的信息，往往是个案中控辩双方争议的焦点，也是本罪的认定中最为复杂的问题。面对实践中的具体案情，对于部分关联信息是否可以认定为“公民个人信息”时，可从行为人主观目、信息对特定自然人的人身和财产安全的重要程度和信息需要结合的其他信息的程度三个方面综合分析加以判断。
以此案为例：某地一医药代表为了对医生给予用药回扣，非法获取了某医院某科室有关病床的病床号、病情和药品使用情况。此案中所涉及的非法获取的信息不宜纳入刑法中“公民个人信息”的范畴。首先，从行为人主观目的上看，并没有识别到特定自然人的目的，而仅仅是为了获取用药情况；其次，从以上信息对病人的人身安全、财产安全以及生活安宁的重要性上来看，行为人获取以上信息并不会对病人权益造成侵犯；最后，从这些信息需要与其他信息结合的程度来看，病床号、用药情况等信息并不能直接识别到个人，需要结合病人的身份证号等才能起到直接识别的作用。所以，此案中的涉案信息不属于刑法所保护的“公民个人信息”。
（二）敏感个人信息的认定
《2017年解释》第五条根据信息的重要程度、敏感程度，即信息对公民人身、财产安全的影响程度，将“公民个人信息”分为三类，并设置了不同的定罪量刑标准。

类别

列举

“情节严重”标准
（非法获取、出售或提供）

“情节特别严重“标准（非法获取、出售或提供）

特别敏感信息

踪轨迹信息、通信内容、征信信息、财产信息

五十条以上

五百条以上

敏感信息

住宿记录、通信记录、健康生理信息、交易信息

五百条以上

五千条以上

其他信息

五千条以上

五万条以上

图表 3
但是在司法实践中，仍存在对标准适用的争议，主要表现在对敏感个人信息的认定。
1.如何把握“行踪轨迹信息”的范围
行踪轨迹信息敏感程度极高，一旦信息主体的行踪轨迹信息被非法利用，可能会对权利人的人身安全造成紧迫的威胁。《2017年解释》中对于行踪轨迹信息入罪标准的规定是最低的：“非法获取、出售或者提供行踪轨迹信息50以上”的，即构成犯罪。由于《2017年解释》中对行踪轨迹信息规定了极低的入罪标准，所以司法认定时应对其范围做严格把控，应将其范围限制在能直接定位特定自然人具体位置的信息，如车辆轨迹信息和GPS定位信息等。实践中，信息的交易价格也可以作为判定其是否属于“行踪轨迹信息”的参考，因为行踪轨迹信息的价格通常最为昂贵。
对于行为人获取他人车票信息后判断出他人的行踪的情况，载于车票的信息不宜被认定为《2017年解释》所规定的“行踪轨迹信息”，因为该信息只能让行为人知道信息主体大概的活动轨迹，并不能对其进行准确定位。
2.如何把握“财产信息”的范围
财产信息是指房产、存款等能够反映公民个人财产状况的信息。对于财产信息的判断，可以从两方面进行把握：一是要综合考量主客观因素，因为犯罪应是主客观相统一的结果；而是考虑到敏感个人信息的入罪门槛已经极低，实践中应严格把握其范围。
以此案为例：行为人为了推销车辆保险，从车辆管理机构非法获取了车主姓名、电话、车型等信息。此案中的信息不宜认定为“财产信息”。因为行为人的主观目的不是侵犯信息主体的人身、财产安全，最多只会对行为人的生活安宁带来一定的影响，因而应适用非敏感公民个人信息的入罪标准。
（三）不宜纳入本罪保护对象的公开的个人信息的认定
信息主体已经公开的个人信息是否属于 “公民个人信息”的范畴，理论界存在观点分歧。笔者认为，“公民个人信息”不以隐私性为必要特征，因为《2017年解释》第1条并为采用“涉及个人隐私信息”的表述，而是以识别性作为判断标准。因此，信息的公开与否并不影响其是否可以被认定为“公民个人信息”。
对于权利人主动公开的个人信息，行为人获取相关信息的行为显然合法，且其后出售、提供的行为，当前也不宜认定为犯罪。理由如下：第一，在我国的立法和司法中，曾以“隐私性”作为界定公民个人信息的核心属性，可见公民个人信息在一定程度上是从隐私权中分离出来的权利，所以侵犯公民个人信息罪侧重于对公民隐私和生活安宁的保护。权利人之所以自愿甚至主动公开其个人信息，说明这部分信息即便被获取、出售，也通常不会对其个人隐私和生活安宁造成侵犯，因此不应纳入刑法保护范围内；第二，根据刑法第253条之一的规定，向他人出售或提供公民个人信息，只有在违反国家有关规定的前提下才构成犯罪。对于已经公开的公民个人信息，行为人获取后向他人出售或提供的行为在我国缺乏相关法律规定的情况下，应推定为存在权利人的概括同意，不需要二次授权，也就是说不应认定行为人对获取的已经由权利人公开的个人信息的出售和提供行为系“违法国家有关规定”。第三，在我国个人信息保护机制尚未健全、侵犯公民个人信息犯罪高发的背景下，应将实践中较为多发的侵犯权利人未公开的个人信息的案件作为打击的重点。
对于权利人被动公开的个人信息，行为人获取相关信息的行为可以认定为合法，但如果后续的出售或提供行为违背了权利人意愿，侵犯到了其个人隐私和生活安宁，或是对权利人人身安全、财产安全造成了威胁，则应根据实际情况以侵犯公民个人信息罪论处。
对于权利人被动公开的个人信息，行为人对相关信息的获取一般来说是合法的，但是获取信息之后的出售、提供行为如果对信息主体的人身安全、财产安全或是私生活安宁造成了侵犯，且信息主体对其相关个人信息有强烈保护意愿，则应据其情节认定为侵犯公民个人信息犯罪。

D. 泄露公民个人信息罪司法解释

第一条刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

第二条违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。

第三条向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。

第四条违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

(4)个人信息泄露司法扩展阅读：

近年来，侵犯公民个人信息犯罪处于高发态势，既严重侵犯了公民个人信息安全，又往往与电信诈骗等其他犯罪存在密切关联，社会危害日益突出，必须依法予以惩治。2015年11月1日，《刑法修正案（九）》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”，扩大了犯罪主体和侵犯个人信息行为的范围。司法实践中，侵犯公民个人信息罪的具体定罪量刑标准尚不明确，一些法律适用问题存在争议，亟需通过司法解释予以明确。

为依法惩治侵犯公民个人信息犯罪活动，保护公民个人信息安全和合法权益，2016年最高人民法院研究室启动侵犯公民个人信息罪司法解释的起草工作，委托辽宁省高级人民法院等进行前期调研，广泛征求最高人民检察院、公安部、院内各相关审判庭、各高级人民法院及有关互联网企业的意见，并召开专家论证会研讨论证，修改形成送审稿，提交本次会议审议。

最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释—中华人民共和国最高人民法院。

E. 泄露公民个人信息罪怎么定罪处罚

1.《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

第九条 网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。

2.《刑法》

第二百八十六条之一【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：

(一)致使违法信息大量传播的;

(二)致使用户信息泄露，造成严重后果的;

(三)致使刑事案件证据灭失，情节严重的;

(四)有其他严重情节的。

单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。

有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。

F. 泄露个人信息怎么定罪

《刑法抄》第二百五十三条之一，袭国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。第二百五十三条 私自开拆、隐匿、毁弃邮件、电报罪、盗窃罪、邮政工作人员私自开拆或者隐匿、毁弃邮件、电报的，处二年以下有期徒刑或者拘役。

G. 手机泄露个人信息属于什么犯罪

非法获取公民个人信息罪是指以窃取或者其他方法非法获取国家机关或者金融、电信、交通、教育、医疗等单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的行为。根据刑法规定，犯本罪的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

本罪因刑法修正案九出台，已经被取消，刑法修正案九规定为侵犯公民个人信息罪

最高人民法院、最高人民检察院9日发布《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，这也是“两高”首次就打击侵犯公民个人信息犯罪出台司法解释。司法解释对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题进行了全面系统规定。

根据我国刑法规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。窃取或者以其他方法非法获取公民个人信息的，依照前款的规定处罚。

此次发布的司法解释明确，向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法规定的“提供公民个人信息”。

司法解释还规定，网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法相关规定，以拒不履行信息网络安全管理义务罪定罪处罚。

在侵犯公民个人信息犯罪的罚金刑适用规则方面，司法解释规定，对于侵犯公民个人信息犯罪，应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等，依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。

H. 非法泄露个人信息罪要承担什么后果

《刑法》第二百五十三条之一，国家机关或者金融、电信、交通、教育、医疗等单内位的工作人员，违容反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。第二百五十三条 私自开拆、隐匿、毁弃邮件、电报罪、盗窃罪、邮政工作人员私自开拆或者隐匿、毁弃邮件、电报的，处二年以下有期徒刑或者拘役。