一文讲透丨侵犯公民个人信息罪大数据分析与典型案例

引言：

在我们所处的信息时代，大家可能越来越明显的感受到，各类软件似乎“更懂”我们，能够更精准的推送我们喜欢的商品，想获取的信息，接到自己正好感兴趣的商品或服务的骚扰客服电话……算法的精准推荐其实是建立在我们自身“精准投喂”的结果，换句话说，是我们用自己的个人信息做交换，使大数据与自身的喜好越来越适配。

比如，一打开淘宝，首页推荐正好显示了自己打算买的商品；准备办贷款，浏览了手机网页，就收到了网贷客服电话，有时我们也会隐隐的思考，为什么大数据如此懂我？但因为并没有对自己的生活产生不利影响，所以也不会深究。

但有些人可能就没那么幸运，成了各类网络诈骗案件的受害者，所以今天本文就来聊聊网络犯罪链条的其中一环——侵犯公民个人信息。

01立法梳理

1.《刑法》第二百五十三条之一规定，侵犯公民个人信息罪是指向他人出售或者提供公民个人信息，情节严重的行为。

本罪为2009年《刑法修正案七》第七条增设。后2015年《刑法修正案九》第17条修订，将本罪主体由特殊主体修改为一般主体，增设了从重处罚的规定，并将本罪法定最高刑由三年提高至七年有期徒刑。

2.我国针对个人信息保护的相关法律法规

2012年，《全国人民代表大会常务委员会关于加强网络信息保护的决定》明确规定了网络服务提供者、其他企业事业单位、国家机关及其工作人员在收集、使用、保管公民个人电子信息方面应遵循的原则、承担的义务和法律责任。

2013年4月23日，两高发布《关于依法惩处侵害公民个人信息犯罪活动的通知》，对公民个人信息的内容进行了定义。

2015年7月，《国家安全法》发布并实施，将数据安全保障提升至国家安全层面。该法提到，加强网络管理，旨在预防、制止和依法惩治网络攻击、网络入侵、网络窃密以及散布违法有害信息等网络违法犯罪行为，以维护国家在网络空间的主权、安全和发展利益。

2017年6月1日，两高发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》生效。

2017年6月，《网络安全法》正式实施，其在第四章“网络信息安全”中对个人信息的收集、存储、保管和使用进行了更全面的规范。对于侵犯个人信息的责任承担问题,虽然该法主要还是规定了网络运营者违反各种保护个人信息的法定义务的行政法律责任。

2018年11月9日，最高检印发《检察机关办理侵犯公民个人信息案件指引》的通知。

2019年1月23日，网信办等4部门发布《关于开展App违法违规收集使用个人信息专项治理的公告》。

2021年1月，《民法典》实施，民法典明确了个人信息的处理范围、要求及原则，以及免责情形；明确了个人信息主体权利，规定信息处理者义务等。

2021年9月，《数据安全法》生效实施，该是我国第一部有关数据安全的专门法律，首次将数据安全全局决策统筹工作升格至中央国家安全领导机构，其上位法是《国家安全法》，优化了数据出境的规则。

2021年11月，《个人信息保护法》实施，该法首次在我国确立一整套系统的个人信息保护法律制度。

2022年9月1日，《数据出境安全评估办法》实施，规定，数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法。

2023年8月3日，国家互联网信息办公室关于《个人信息保护合规审计管理办法（征求意见稿）》

综上，关于个人信息的保护，我国已经建立了以《刑法》《国家安全法》《网络安全法》《数据安全法》《民法典》《个人信息保护法》为主导的全领域、多层次的立法体系。

02数据会说话

为了解实践中，司法机关针对侵犯公民个人信息罪的惩治情况，通过下面的方式对公开的裁判文书进行了检索。

检索日期：2023年9月5日

检索时间范围：至2023年9月5日威科先行数据库全部案例

检索罪名：刑事，侵犯公民个人信息罪，非法出售、非法提供公民个人信息罪，非法获取公民个人信息罪

因二审改判/撤销一审判决，发回重审案件仅百余篇，基数较小，故本次检索数据仅限刑事一审判决文书。在以上基础上，进一步设置关键词进行检索，得出以下数据：

1.地域分布情况：

以沿海地区为主，江苏居首位，上海排在第5位。

（图片来源：威科先行数据库，下同）

2.案件审理年份分布：

从检索结果来看，案件数量集中在2017和2018年，近年来呈现逐年递减趋势。

2017年和2018年，相较于其他年份，案件量显著。究其原因，笔者在此仅作猜想，可能是和徐玉玉案件有关。该案在当时具有很大的社会影响力，对于涉案主犯以诈骗罪和侵犯公民个人信息罪数罪并罚，被判处无期徒刑。

并且，2017年6月也相继出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》以及《网络安全法》。

由于社会背景原因、法律法规的出台等因素，使2017年和2018年关于个人信息案件办理数量骤增，之后趋于平稳。由于此前几年疫情的原因，公安抓捕量减少，以及其他不可控因素[i]，导致公开案件量不多。

根据2023年3月1日上海市检察院发布的《上海网络犯罪检察白皮书（2022）》，“公民个人信息的泄露成为网络犯罪链条中的关键环节，如App过度或违规收集公民个人信息、出借身份证和银行账户、使用撞库、利用“爬虫”技术、发送钓鱼网站欺诈链接等方式方法违规获取公民个人信息、平台数据，数据安全漏洞带来的信息泄露风险为电信网络诈骗等犯罪提供了滋生的土壤。侵犯公民个人信息罪案件绝对数增加明显”。

随着2021年《个人信息保护法》的实施，以及各地对于最高人民检察院 “六号检察建议”的持续性贯彻落实，笔者认为，在司法实践当中，对于侵犯公民个人信息及其关联刑事案件并不会减轻打击力度。

3.本罪判处缓刑及单位犯本罪情况

经检索，得出如下数据：

①首先是全网公开的所有年份数据。

一审判决文书，共计5270篇。判处缓刑案件2638篇。其中，单位犯罪69篇，单位人员判处缓刑49篇。

一审案件中，被取保候审的案件有3127篇，判处缓刑案件2638篇，判处实行案件818篇。（需要说明：因为有大量案件，同一判决会涉及多名被告人，部分人员判处实行，部分判处缓刑，数据检索结果会不可避免的存在数据重合，故采用两种检索方法进行交叉验证，仅供参考。）

②其次，检索近5年来数据（时间限定在2018年1月1日至2023年9月5日）。

一审判决文书，共计3761篇。判处缓刑案件1951篇。其中，单位犯罪35篇（上海地区无），单位人员判处缓刑31篇。

通过以上数据，可以得出结论：

综合所有年份数据来看，被判处缓刑案件占比50%，单位犯罪判处缓刑占比71%。被取保候审的案件，仍有30%左右的案件最终被判处实刑。

近5年来，被判处缓刑案件占比51.8%，单位犯罪判处缓刑案件占比88.6%。

从上述数据得知，从全国范围的角度来说，本罪判处缓刑概率较高，单位犯罪被判处缓刑的概率更高。

4.检察院不起诉情况

综合所有年份数据，检索到检察院不起诉决定书共1098例，单位犯罪被不起诉案件有4例。

仅从数据来看，本罪不起诉案件占比17%，考虑到近几年来裁判文书公开量逐年减少的实际情况，笔者认为该数据畸高了。

5.上海地区的司法实践

鉴于裁判文书网上公开的并不全面，笔者进行了进一步查询。

根据上海高院研究室使用法院内部的C2J法官办案智能辅助系统[ii]以“侵犯公民个人信息罪”为关键词进行检索，可以得出上海地区更为精准详实的数据结论如下：

上海法院2019年-2021年354份裁判文书中，339份以侵犯公民个人信息罪定罪量刑，15份未以本罪定罪量刑，单位犯罪案件仅2件。约半数涉案人员判处缓刑。

可以推测，上海地区对于单位犯罪认定较为严格。那么，如果在争取单位犯罪的情况下，主张共同犯罪（从辩护角度来看，目的是为了主张涉案人员为从犯，争取从轻减轻的量刑情节），上海地区的口径如何呢？结论是：上海地区对于是否成立共犯较为谨慎，司法实践中对于共犯的认定困难。

在354份文书中，144份文书确认成立共犯，91份文书未提及是否成立共犯。

另外，侵犯公民个人信息罪一般是其他犯罪的上游犯罪，上下游犯罪是否认定为共犯呢？结论是：司法实践中对于共犯的认定困难。

在354份文书中，42篇文书中的被告人因行为触犯多个罪名而被数罪并罚，仅19份文书中确认被告人之间成立共犯。

03本罪的犯罪构成要件

1.根据我国《刑法》第二百五十三条之一侵犯公民个人信息罪，可提炼以下要点：

①该罪的行为表现方式为“向他人出售、提供、窃取或者以其他方法”获取公民个人信息；

②构成本罪需达到“情节严重”，最高刑7年；

③履职人员从事该行为的，从重处罚；

④本罪有单位犯罪；

中华人民共和国刑法（2020修正）

第二百五十三条之一　【侵犯公民个人信息罪】违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

2.“公民个人信息“具体指的是什么？

包括以下能够单独或者与其他信息结合识别公民个人身份、反映特定自然人活动情况、或者涉及公民个人隐私的信息、数据资料：

姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹，婚姻状况、工作单位、学历、履历等。

两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

第一条刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》

二、公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。

那么问题来了，如果采用爬虫等方式收集公司的联系方式等信息，构成本罪吗？答案是不构成。

2018年最高检《检察机关办理侵犯公民个人信息案件指引》中，对于企业工商登记等信息中包含的手机、电话号码等信息，应当确认号码用途，对于由“公司购买、使用”的手机、电话号码等信息，不属于个人信息。

3.本罪的行为方式

相关法律条文：

刑法253条之一及两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

根据以上情形，可以判断：

经得被收集者同意，以及匿名化处理（剔除个人关联），是合法提供公民个人信息的两种情形，不受刑法规制。

4、关于本罪的单位犯罪

根据刑法规定，对于从犯，应当从轻、减轻或者免除处罚。

因此，若案件涉及公司行为实施的，从辩护律师角度，应当尽力争取案件最终被定性为单位犯罪，这样一来，从公司员工角度，才有利于主张为从犯身份，量刑降档。

只要是开设公司，就是单位犯罪吗？不是。

个人为进行违法犯罪活动而设立的公司、企业、事业单位实施犯罪的，或者公司、企业、事业单位设立后，以实施犯罪为主要活动的，不以单位犯罪论处[iii]。

法律的规定还是比较清晰的，但在实践中，司法机关对单位犯罪的判定更加严苛。以笔者曾办理的案件来看，一些公司，甚至是曾经经营过一段时间的其他合法业务，后转变为以买卖公民信息为主营业务，但最终仍被法院定性为个人犯罪。

5、本罪的立案标准

情节严重的，才达到本罪的立案标准。

司法机关以信息的条数或者行为人的获利数额为标准，对行为人定罪。

对于单位犯罪而言，会结合公司处理的涉案信息的条数以及公司获利额综合认定。

上条中提到的论证公司构成单位犯罪的重要性，在此简要举例进行说明：违法所得额5000元（即员工在职期间的收入）即达到本罪立案标准，若员工在公司任职期间所获收入超过5万元，即达到“情节特别严重”，法定刑为三至七年。若无自首、立功等法定情形的，只有认定为从犯，才能够在三年以下量刑，进而争取缓刑的机会。

两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

第五条 非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：

（一）出售或者提供行踪轨迹信息，被他人用于犯罪的；

（二）知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；

（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；

（四）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；

（五）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；

（六）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；

（七）违法所得五千元以上的；

（八）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；

（九）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；

（十）其他情节严重的情形。

实施前款规定的行为，具有下列情形之一的，应当认定为刑法第二百五十三条之一第一款规定的“ 情节特别严重”：

（一）造成被害人死亡、重伤、精神失常或者被绑架等严重后果的；

（二）造成重大经济损失或者恶劣社会影响的；

（三）数量或者数额达到前款第三项至第八项规定标准十倍以上的；

（四）其他情节特别严重的情形。

合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严 重”：

（一）利用非法购买、收受的公民个人信息获利五万元以上的；

（二）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的；

（三）其他情节严重的情形。

第六条 为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：

（一）利用非法购买、收受的公民个人信息获利五万元以上的；

（二）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的；

（三）其他情节严重的情形。

实施前款规定的行为，将购买、收受的公民个人信息非法出售或者提供的，定罪量刑标准适用本解释第五条的规定。

04助贷公司可能会是今后主要打击对象

笔者认为，本罪今后的最主要打击对象为助贷公司。从非法交易公民个人信息的用途来看，被交易信息主要用于贷款等方面的业绩推广[iv]。因此，对公民信息需求量大，且在民间易形成规模化发展的，就是助贷公司。

助贷业务从传统的“线下助贷”发展到目前的“互联网助贷”，其本质都是助贷机构充当“经纪人”或“代理人”的角色，居中撮合放贷方与借款人，促使借贷双方达成合意。

助贷业务有其自身的优点，金融机构与助贷平台各方分别利用自身优势，拓宽客户群体，降低服务成本，实现金融产品的精准营销。

但同时也存在诸多问题，例如，行业的普遍通病，就是会在app上通过概括式授权方式获得用户一揽子授权、过度授权，未向用户充分披露其采集用户信息的目的，方式以及是否与第三方合作公司进行共享，可能会将用户信息共享的第三方公司名单，等等这些问题会直接导致助贷公司违反《个人信息保护法》、《征信业务管理办法》等，从而触犯刑法，构成侵犯公民个人信息罪。

过去很多银行通过与贷款中介合作获取贷款客户，甚至将客户资信审核的业务也都交由中介机构代办。2023年3月6日，银保监会发布《关于开展不法贷款中介专项治理行动的通知》，要求各银保监局、各银行业金融机构部署开展为期六个月（2023年3月15日-2023年9月15日）的不法贷款中介专项治理行动。要求各银行业金融机构要自主获客，不能完全依赖于贷款中介。

于是，前段时间，我们看到了这种现象（银行为了获客也是不容易啊）：

以及这种

典型案例

案例一[v] 解某某、辛某某等人侵犯公民个人信息案

该公司最初主要是网络商业推广，后公司出现亏损。解某某、辛某某便决定出售公民信息牟利。2018年1月至2019年6月，解某某、辛某某雇佣员工通过在网上刊登贷款广告、在公司的“点有钱”微信公众号设置贷款广告链接，吸引有贷款需求的人填写“姓名、手机号、有无本地社保和公积金、有无负债、房产和车辆持有状况、工资收入、有无保险、征信情况、借款需求、还款周期”等信息。

获取上述信息后，通过与信贷员联系，信贷员充值后，解某某、辛某某等人在未经信息权利人同意的情况下，将信息以每条30元至150元的价格出售给信贷员。

经审计，解某某、辛某某等人违法所得共计450余万元。公安机关从网站后台提取到公民个人信息共计31万余条。

本案以侵犯公民个人信息罪判处解某某、辛某某等被告人有期徒刑三年六个月至一年四个月不等，并处罚金。

曼昆律师点评：

a.本罪未被认定为单位犯罪。虽然公诉机关认可公司最初是合法经营，但法院认为，2018年1月以后，除出售公民个人信息外公司并无其他合法经营活动，所以指控的金额均系犯罪所得。因此仍属于法律规定的“公司设立后，以实施犯罪为主要活动的，不以单位犯罪论处”。

b.由于本案数据庞大，在客观上无法实现信息排重，但有确实、充分的证据可以证实各被告人违法所得数额均在5万元以上。因此，已达到本罪规定的“情节特别严重”的标准。

案例二[vi] 安徽宣城“1.10”侵犯公民个人信息案。

2023年1月，安徽宣城公安机关接群众举报，称其在一互联网借贷平台填写个人信息申请车辆贷款后，收到本地另一贷款公司的推广电话，怀疑个人信息被非法买卖。经查，该举报群众申请贷款的平台既无借贷资质也不从事借贷业务，而是一家从事“居间助贷”的中介公司。

该公司伪装成正规借贷公司在搜索引擎、网络短视频平台等发布广告，吸引有贷款需求人员填写公民个人信息后，在当事人未授权的情况下，通过代理将相关信息出售给贷款人归属地的贷款公司牟利。2023年5月，安徽宣城公安机关对该案开展集中收网，抓获犯罪嫌疑人39名，打掉涉嫌侵犯公民个人信息的“居间助贷”公司3家，涉案金额1600余万元。

05本罪的具体表现形式及典型案例

除助贷行业以外，实践中，犯本罪所涉的行业以及具体的涉案情节多种多样。

1.接码平台侵犯个人信息案[vii]（上海奉贤检察院办理）

所处行业：

通信业务经营者。实名制手机号码关联了姓名、身份证号码等多种重要个人信息，除通信功能之外，还被广泛用于社交软件、银行理财软件、社会公共服务软件等以验明公民身份，属于重要的公民个人信息，与之相应的“接码”业务随之而生。

行为方式：

通信店从业人员，在客户不知情的情况下，下载视频，购物app后将获取的验证码发给上家，如果能够成功登录，可获利1~14元不等。

曼昆律师点评：

该类行为构成刑法规定的“将提供服务过程中获得的公民个人信息向他人出售并获利”，属于从重处罚情节。

2.“AI换脸”侵犯个人信息公益诉讼案[viii]（杭州萧山检察院办理）

行为方式：

虞某以牟利为目的，在未取得被编辑人同意的情况下，利用上述“AI换脸”软件，将从互联网等渠道收集到的他人人脸信息与部分淫秽视频中的人脸信息进行替换合成，制作生成虚假的换脸视频，在网络社交软件上进行传播。

与此同时，虞某还在社交软件上创建了多个群组为他人提供换脸视频定制服务，根据客户提供的视频或照片，制作换脸视频。

此外，虞某在网络社交软件上销售“AI换脸”软件、提供换脸素材并传授使用教程。

曼昆律师点评：

因侵犯公民个人信息案件涉及侵犯社会公众利益，所以司法实践中检察院提起刑附民公益诉讼的案件也比较常见。本案当中，行为人被检察院以涉嫌制作、传播淫秽物品牟利罪提起公诉的同时，检察院也提起了个人信息保护民事公益诉讼案。

3.业主房源信息被贩卖[ix]（上海金山检察院办理）

所处行业：

信息技术公司，以售卖上海市二手房租售房源信息为主营业务。

行为方式：

某信息技术有限公司经营者柯某开发运营了“房利帮”网站及同名App。运营期间，柯某用现金激励上传真实业主房源信息的网站会员，引诱掌握该类信息的房产中介人员注册会员并向网站批量提供信息（未征得业主同意或授权），有偿获取了大量包含交易意向房屋门牌号码、业主姓名、电话等非公开内容的房源信息。

信息上传后，柯某安排员工冒充房产中介人员逐一电话联系业主进行核实，将真实有效的信息以会员套餐形式提供给网站会员付费查询使用。

曼昆律师点评：

虽然本案辩护人提出：没有标注实名的商用房源信息不属于刑法保护的公民个人信息范畴，但公诉机关认为：业主房源信息的关键内容是房产门牌号码和业主电话，即便没有标注业主真实姓名，通过房产的精确地理定位与手机号码的组合，足以识别出特定自然人即房屋业主的具体身份。

06结语

2023年8月10日，公安部在京召开“公安心向党 护航新征程”主题新闻发布会[x]提到，随着全球数字经济时代的到来，“数据”跻身第五大生产要素，价值日益升高，以公民个人信息为目标的案件高发并呈迅速增长态势，案件领域涉及政府、医疗、教育、房地产、物流、电商等多个行业。

笔者认为，近年来司法机关对于帮信罪、掩隐罪打击力度极大，这两个罪名是打击网络犯罪、黑灰产的出入金环节，而打击侵犯公民个人信息刑事犯罪，禁止非法信息买卖，是从犯罪链条的源头切断，对于保护我国市场经济秩序和社会管理秩序，保护公民人身权益和财产安全，有着重要意义。

参考文献：

[i] 微信文章《暴跌！中国裁判文书网2021年度上网文书骤降！》

[ii] 第225期丨侵犯公民个人信息罪司法统计分析——以上海法院2019年-2021年354份裁判文书为样本 https://mp.weixin.qq.com/s/MWVARFpcQsmjtAAQCB9n2Q

[iii] 《最高人民法院关于审理单位犯罪具体应用法律有关问题的解释》法释〔1999〕14号 第二条

[iv] 在个人信息保护法等前置性法律相继出台的背景下——精准开展侵犯公民个人信息犯罪综合治理 来源：检察日报-理论版 作者：陈莉莎 时间：2023-07-24　 https://www.spp.gov.cn//llyj/202307/t20230724_622373.shtml

[v] 最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例_中华人民共和国最高人民检察院 https://www.spp.gov.cn//xwfbh/wsfbt/202212/t20221207_594915.shtml#2

[vi] 公安部公布十大典型案例 https://mp.weixin.qq.com/s/J2WXuUKFAIeoqwi-ZGIxvQ

[vii] 新手机染了一身“老毛病”，检察官出手了…… https://sghexport.shobserver.com/html/baijiahao/2023/05/03/1019115.html

[viii] “AI换脸”被随意使用，你也可能成为下个受害者…… https://baijiahao.baidu.com/s?id=1775001398856045620&wfr=spider&for=pc

[ix] 业主房源信息不可随意贩卖 https://baijiahao.baidu.com/s?id=1738738691361666197&wfr=spider&for=pc

[x] 公安部召开新闻发布会 通报打击侵犯公民个人信息违法犯罪成效情况 https://mp.weixin.qq.com/s/E-NmcHf_kBd-rFi_EVViJA