5月9日,最高人民法院、最高人民检察院公布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。《解释》将公民个人信息分为敏感信息、重要信息和普通信息,如果侵犯公民个人信息数量分别达到50条、500条、5000条的标准,则可能构成犯罪。对于“内部人”犯罪,则规定“减半计算”的从重打击。《解释》共十三条,自2017年6月1日起施行。
明确“个人信息”范围
2015年11月至2016年12月,全国法院新受理侵犯公民个人信息刑事案件495件,审结464件,生效判决人数697人。可以发现,此类犯罪呈现迅速增长趋势。《解释》第一条规定“公民个人信息”包括身份识别信息和活动情况信息,即指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
制定入罪标准
值得注意的是,《解释》对公民个人信息进行了分类,并分别制定了入罪标准。
对于行踪轨迹信息、通信内容、征信信息、财产信息这些“敏感信息”,非法获取、出售或者提供50条以上即可构成犯罪。
对于住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息,非法获取、出售或者提供500条以上即可构成犯罪。
对于上述两项之外的公民个人信息,非法获取、出售或者提供5000条以上即可构成犯罪。
“《解释》明确规定,特殊主体侵犯公民个人信息,定罪量刑标准比一般人更低。比如一般人提供50条高度敏感信息入罪,如果是从事金融、电信、医疗等部门的人员提供履行职责或者提供服务过程中获得的高度敏感信息的,25条就够了,也就是减半处理,这体现了对内部人员侵犯公民个人信息犯罪从重处罚的精神。”最高法研究室主任颜茂昆介绍。
网络运营者负有更严格义务
2016年,全国公安机关共侦破网络侵犯公民个人信息案件2100多起,查获公民个人信息500多亿条,抓获犯罪嫌疑人5000多人,其中属于各行业内部的人员450多人。为了加大财产刑的适用力度,让行为人在经济上得不偿失,《解释》第十二条规定:“对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。”
当前,不少网络运营者因为履行职责或者提供服务的需要,掌握着海量公民个人信息,这些信息一旦泄露将造成严重危害。对此,《网络安全法》第四十条明确规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”
《解释》进一步规定:“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。” 
