专访最高人民法院研究室主任颜茂昆

近年来，侵犯公民个人信息的犯罪时有发生，信息保护问题备受社会各界关注。今年5月9日，最高人民法院、最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》），对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。就《解释》相关问题，本刊记者专访了最高人民法院研究室主任颜茂昆。

侵犯公民个人信息犯罪呈高发态势

《中国审判》：颜主任，请您介绍一下《解释》出台的背景，尤其是《解释》的出台旨在解决既往司法实践中存在的哪些法律适用问题？

颜茂昆：随着信息化建设的推进，信息资源已成为重要的生产要素和社会财富。与此同时，个人信息泄露问题严重，个人信息安全成为一个全社会高度关注的问题。为保护公民个人信息，2009年2月28日起施行的《刑法修正案（七）》在《刑法》第二百五十三条后增加一条，作为第二百五十三条之一，规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。

《刑法修正案（七）》施行后，从2009年2月至2015年10月，全国法院共审结出售、非法提供公民个人信息以及非法获取公民个人信息刑事案件969起，生效判决人数1415人。

近年来，侵犯公民个人信息犯罪仍处于高发态势，而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势，社会危害更加严重。

为加大对公民个人信息的保护力度，2015年11月1日起施行的《刑法修正案（九）》对《刑法》第二百五十三条之一作出修改完善：一是扩大了犯罪主体的范围，规定任何单位和个人违反国家有关规定，获取、出售或者提供公民个人信息，情节严重的，都构成犯罪；二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，从重处罚；三是加重法定刑，增加规定“情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”修改后，“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。

《刑法修正案（九）》施行以来，各级公检法机关依据修改后的《刑法》规定，严肃惩处侵犯公民个人信息犯罪，案件数量显著增长。2015年11月至2016年12月，全国法院新收侵犯公民个人信息刑事案件495件，审结464件，生效判决人数697人。

在办理案件过程中，对侵犯公民个人信息犯罪尚存在不少争议问题，例如，“公民个人信息”的内涵与外延，对“出售或者提供公民个人信息”和“非法获取公民个人信息”的理解，对“情节严重”“情节特别严重”的把握，等等。为保障法律正确、统一适用，依法严厉惩治、有效防范侵犯公民个人信息犯罪，最高人民法院会同最高人民检察院，在公安部等有关部门的大力支持下，经深入调查研究、广泛征求意见、反复论证完善，制定了本《解释》。

《解释》根据法律规定和立法精神，对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。制定《解释》，是人民法院、人民检察院充分发挥刑事司法职能，积极回应人民群众关切，加大对涉民生犯罪惩治力度的一项重要举措。《解释》的公布施行，对于强化公民个人信息的保护，维护人民群众个人信息安全以及财产、人身权益，必将发挥重要作用。

明确“情节严重”“情节特别严重”的认定标准

《中国审判》：《解释》的核心内容之一即为系统地明确了侵犯公民个人信息犯罪的定罪量刑标准，请您介绍一下，《解释》对此作出了哪些具体规定？特别是，就信息类型、数量等方面，如何区别对待，以体现罪责刑相适应的原则？

颜茂昆：侵犯公民个人信息罪的入罪要件为“情节严重”。根据法律精神，结合司法实践，《解释》对“情节严重”的认定标准作了明确规定，主要涉及五个方面：

一是信息类型和数量。公民个人信息的类型繁多，行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、交易信息等公民个人敏感信息涉及人身安全和财产安全，被非法获取、出售或者提供后极易引发绑架、诈骗、敲诈勒索等关联犯罪，具有更大的社会危害性。

基于不同类型公民个人信息的重要程度，《解释》分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准，以体现罪责刑相适应。具体而言：（1）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的。这些信息与人身安全、财产安全直接相关，系高度敏感信息，《解释》将入罪标准设置为“五十条以上”（《解释》第五条第三项）；（2）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的。这些公民个人信息虽然在重要程度上不及行踪轨迹信息、通信内容、征信信息、财产信息，但也与人身安全、财产安全直接相关，往往被用于“精准”诈骗等违法犯罪活动，为此，《解释》将入罪标准设置为“五百条以上”（《解释》第五条第四项）；（3）非法获取、出售或者提供一般公民个人信息五千条以上的。从实践来看，除前述公民个人敏感信息外，出售、提供公民个人信息往往数量较大，动辄数万条甚至数十万条。不少地方对出售、提供公民个人信息的入罪掌握在数量五千条以上，基本上可以满足严厉打击此类犯罪的需要，且给行政处罚留有一定空间。为此，《解释》将非法获取、出售或者提供一般公民个人信息五千条以上的规定为“情节严重”（《解释》第五条第五项）。此外，鉴于实践中一个案件涉及各类公民个人信息的情形，《解释》第五条还规定，将“数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的”情形规定为“情节严重”。

二是违法所得数额。出售或者非法提供公民个人信息往往是为了牟利，为此，《解释》将违法所得五千元以上的规定为“情节严重”。

三是信息用途。被非法获取、出售或者提供的公民个人信息，用途存在不同，对权利人的侵害程度也存在差异。为此，《解释》将“非法获取、出售或者提供行踪轨迹信息，被他人用于犯罪”“知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供”规定为“情节严重”。

四是主体身份。公民个人信息泄露案件不少系单位、行业内部人员作案，许多公民个人信息买卖案件中也可以见到“内鬼”参与的“影子”。为切实加大对此类行为的惩治力度，《解释》明确，“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人”的，认定“情节严重”的数量、数额标准减半计算。

五是前科情况。曾因侵犯公民个人信息受过刑事处罚或者两年内受过行政处罚，又非法获取、出售或者提供公民个人信息的，行为人屡教不改、主观恶性大，《解释》亦将其规定为“情节严重”。

在此基础上，《解释》对侵犯公民个人信息罪的“情节特别严重”的认定标准，也即“处三年以上七年以下有期徒刑”量刑档次的适用标准作了明确，主要涉及两个方面：一是数量数额标准。根据信息类型不同，非法获取、出售或者提供公民个人信息“五百条以上”“五千条以上”“五万条以上”，或者违法所得五万元以上的，即属“情节特别严重”。二是严重后果。《解释》将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”“造成重大经济损失或者恶劣社会影响”规定为“情节特别严重”。

加大财产刑的适用力度

《中国审判》：《解释》对侵犯公民个人信息犯罪的罚金刑适用规则作出了明确，主要是出于哪些方面的考量？

颜茂昆：侵犯公民个人信息犯罪具有明显的牟利性，行为人实施该类犯罪主要是为了牟取非法利益。因此，有必要加大财产刑的适用力度，让行为人在经济上得不偿失，同时剥夺其再次实施此类犯罪的经济能力。为此，《解释》规定，“对于侵犯公民个人信息犯罪，应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等，依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。”

《中国审判》：在定罪量刑时有一个需要解决和厘清的基本问题，即计算涉案公民个人信息的数量，然而这一直是一个棘手难题。《解释》对此作出了怎样的规定？

颜茂昆：针对公民个人信息数量“计算难”的实际问题，《解释》专门规定了数量计算规则。具体而言：一是公民个人信息的条数计算。《解释》规定，“非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算”，而“向不同单位或者个人分别出售、提供同一公民个人信息的，公民个人信息的条数累计计算”。二是对批量公民个人信息数量的认定规则。为方便司法实务操作，《解释》规定，“对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。”

公民个人信息保护与大数据发展的关系

《中国审判》：当今社会信息化快速发展，包括个人信息在内的大数据已经成为国家重要的基础性战略资源之一，如何处理个人信息司法保护与大数据发展需要之间的关系？

颜茂昆：当前，以互联网为代表的信息技术迅猛发展，大数据已成为国家重要的基础性战略资源，正引领新一轮科技创新。在全球信息化快速发展的大背景下，在大数据和云计算时代，包括个人信息在内的数据，只有充分地流动、共享、交易，才能实现集聚与规模效应，最大程度地发挥价值。可以说，个人信息数据的利用是大数据发展和应用的应有之义。但是，在数据流动、交易过程中如何保护公民个人信息的安全，避免个人信息扩散失控，也是必须面对的问题。

对于如何处理公民个人信息保护与大数据发展之间的关系，我认为有两个关键词：一是兼顾，二是平衡。

所谓兼顾，就是在发展大数据的同时，必须依法保护公民的个人信息安全。实际上，公民个人信息的保护与大数据发展和信息社会的建设并不矛盾，二者之间的平衡点就在于现行法律框架。质言之，大数据的发展应依法进行，信息社会须建立在依法保护公民个人信息的基础上，只有包括个人信息在内的数据在法律保护下安全迅速地收集和流通，才能真正推动我国信息产业的发展。

所谓平衡，就是要在两者之间找到一个平衡点，在确保公民个人信息安全的前提下促进大数据的发展。《解释》在《刑法》和《网络安全法》确立的框架范围内，兼顾了公民个人信息保护与大数据产业发展的关系。例如，基于大数据发展的现实需要，《网络安全法》在法律层面为个人信息交易和流动留有一定空间，规定“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。”在此基础上，《解释》明确：“未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于《刑法》第二百五十三条之一规定的‘提供公民个人信息’，但是经过处理无法识别特定个人且不能复原的除外。”根据这一规定，经被收集者同意，以及匿名化处理（剔除个人关联），是合法提供公民个人信息的两种情形，不能纳入刑事规制范围。

总而言之，《解释》相关规定致力于寻求个人信息保护与大数据发展之间的平衡点，在确保公民个人信息安全的前提下为大数据发展和信息化建设提供了有力的司法保障。(张春波）