截至笔者整理之日，人民法院案例库共颁布侵犯公民个人信息罪案例71件，其中指导性案例6件，参考案例65件。为进一步研究、辨析本罪名，本文结合人民法院入库案例、公开检索案例及相关司法、裁判观点，围绕侵犯公民个人信息罪的表现形式、认定方法、定罪量刑标准等方面展开分析，以供参考。

一、本罪中“公民个人信息”的常见情形及认定

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下文简称《解释》）第一条与《个人信息保护法》规定，本罪中的公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等，不包括匿名化处理后的信息。常见情形如：

1.使用人脸识别技术处理的人脸信息以及基于人脸识别技术生成的人脸信息等具有高度的可识别性，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况，属于刑法规定的公民个人信息。

入库案例：指导性案例192号：李开祥侵犯公民个人信息刑事附带民事公益诉讼案；入库编号：2022-18-1-207-001

2.居民身份证信息包含自然人姓名、人脸识别信息、身份号码、户籍地址等多种个人信息，属于《解释》第五条第一款第四项规定的“其他可能影响人身、财产安全的公民个人信息”。

入库案例：指导性案例193号：闻巍等侵犯公民个人信息案；入库编号：2022-18-1-207-002

3.违反国家有关规定，购买已注册但未使用的微信账号等社交媒体账号，通过具有智能群发、添加好友、建立讨论群组等功能的营销软件，非法制作带有公民个人信息可用于社交活动的微信账号等社交媒体账号出售、提供给他人，情节严重的，属于刑法第二百五十三条之一第一款规定的“违反国家有关规定，向他人出售或者提供公民个人信息”行为，构成侵犯公民个人信息罪。

入库案例：指导性案例194号：熊恒昌等侵犯公民个人信息案；入库编号：2022-18-1-207-003

4.服务提供者专门发给特定手机号码的数字、字母等单独或者其组合构成的验证码等具有独特性、隐秘性，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于刑法规定的公民个人信息。行为人将提供服务过程中获得的验证码及对应手机号码出售给他人，情节严重的，依照侵犯公民个人信息罪定罪处罚。

入库案例：指导性案例195号：罗文君、瞿小珍侵犯公民个人信息刑事附带民事公益诉讼案；入库编号：2022-18-1-207-004

5.网购订单信息与财产安全直接相关，属于敏感信息的范畴，可以归入《解释》第五条规定的“交易信息”。

入库案例：夏某晓侵犯公民个人信息案；入库编号：2024-18-1-207-002

6.行踪轨迹信息能够实时反映相关人员的轨迹状况，与人身安全直接相关，系高度敏感信息。对于行踪轨迹信息的认定，原则上只宜理解为GPS定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息。而且，行踪轨迹信息不等于涉及轨迹的信息，而应当理解为涉及轨迹的实时信息。

入库案例：邱某某侵犯公民个人信息案；入库编号：2024-18-1-207-006

7.企业支付宝账户除企业账户信息外，还记载了企业法定代表人的手机号、身份证号码等个人信息。故企业支付宝账户背后承载的自然人信息属于“公民个人信息”，属于刑法保护对象。行为人非法出售关联公民个人信息的企业支付宝账户信息，情节严重的，构成侵犯公民个人信息罪。

入库案例：袁某、郭某冰侵犯公民个人信息案；入库编号：2024-04-1-207-004

8.财产信息与财产安全直接相关，系高度敏感信息，故《解释》第五条将入罪标准设置为“五十条以上”，升档量刑标准设置为“五百条以上”。

入库案例：钱某勇、王某春等侵犯公民个人信息案；入库编号：2024-18-1-207-004

裁判要旨指出：公民个人信息是动态且高度依赖于具体场景的，仅机械适用“概括＋列举”方式静态类型化识别并不符合实际，故必须结合个案情况进行动态认定，即应结合具体案件因素对信息来源、去处、种类、价值以及其与人身权、财产权的紧密程度等综合加以判定。对于侵犯了单一信息如电话号码、购物信息等的，应当判断该信息是否关联人身利益与财产利益，对案涉信息进行限缩解释，从而避免无限递归下的动辄得咎。对于具有较高识别能力的个人和企业，应当根据其客观能力、义务范围等综合判定其对信息的可识别性。因此，对公民个人信息除以可识别性作为本质认定标准外，还应当综合考虑行为人的行为方式及侵犯公民个人信息的种类、数量、危害后果、识别能力等因素，对案涉信息进行动态识别。

入库案例：王某侵犯公民个人信息侵权案；入库编号：2023-06-1-207-001

二、本罪具体行为表现形式

1.未经公民本人同意，或未具备具有法律授权等个人信息保护法规定的理由，通过购买、收受、交换等方式获取在一定范围内主动公开公民个人信息进行非法利用，改变了公民公开个人信息的范围、目的和用途，不属于法律规定的合理处理，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”行为，情节严重的，构成侵犯公民个人信息罪。

入库案例：指导性案例194号：熊恒昌等侵犯公民个人信息案；入库编号：2022-18-1-207-003

2.针对非法公开或未公开的个人信息而言，有以下几种常见类型：

（1）通过非法手段获取个人信息。例如行为人通过制作伪装成普通软件的黑客软件，在用户下载安装软件使用时窃取安装者相册照片，其中部分照片含有人脸信息、自然人姓名、身份证号码、联系方式、家庭住址等公民个人信息并将其存入网盘。

入库案例：指导性案例192号：李开祥侵犯公民个人信息刑事附带民事公益诉讼案；入库编号：2022-18-1-207-001

（2）无偿提供个人信息，是指违反国家有关规定，向特定人提供或通过信息网络等途径进行发布，但经过处理无法识别特定个人且不能复原的除外。

入库案例：指导性案例192号：李开祥侵犯公民个人信息刑事附带民事公益诉讼案；入库编号：2022-18-1-207-001

（3）通过买卖获取个人信息。非法买卖公民个人信息，属于刑法第二百五十三条之一规定的“非法获取公民个人信息”、“出售公民个人信息”，情节严重的，应当以侵犯公民个人信息罪论处。如有证据证明行为人出售、提供的公民个人信息又被他人用于违法犯罪活动的，包括出售或者提供行踪轨迹信息后被他人用于犯罪，以及知道或者应当知道他人利用公民个人信息实施犯罪，仍然向其出售或者提供的，直接以侵犯公民个人信息罪论处。

入库案例：夏某晓侵犯公民个人信息案；入库编号：2024-18-1-207-002

（4）曝光隐私等网络暴力行为公开个人信息。向不特定多数人发布公民个人信息，情节严重，符合刑法第二百五十三条之一规定的，构成侵犯公民个人信息罪。司法实践中，对于通过“人肉搜索 ”“开盒”等方式，在网络上非法曝光他人隐私、发布公民个人信息等网络暴力行为，可以依法适用侵犯公民个人信息罪的规定。

入库案例：刘某某侵犯公民个人信息案；入库编号：2024-18-1-207-008

三、个人信息数量的认定方法

确定个人信息数量需注意区分敏感个人信息和一般个人信息。敏感个人信息，根据《个人信息保护法》第二十八条，是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。或者参考《网络安全标准实践指南——敏感个人信息识别指南》包含“一旦泄露极易造成个人名誉、身心健康受到损害或歧视性待遇的个人信息”，如性取向、性生活、犯罪记录信息等信息。

1.根据《解释》第五条，实务中通常将敏感个人信息又进一步细分为高度敏感个人信息和重要（敏感）个人信息。高度敏感个人信息即行踪轨迹信息、通信内容、征信信息、财产信息。敏感个人信息即住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息。一般个人信息则为上述两类个人信息以外的其他个人信息。对高度敏感个人信息和重要个人信息一般采取逐一认定的计算方法。

2.一般个人信息数量的认定方法

（1）根据查获的数量直接认定。对于敏感公民个人信息以外的一般公民个人信息的条数，如果涉案信息数量巨大的，可以依据《解释》第十一条第三款的规定，根据查获的数量直接认定。

入库案例：赵某岗侵犯公民个人信息案；入库编号：2024-03-1-207-001

（2）抽样验证。对于可能存在重复的批量公民个人信息，确因客观条件限制无法逐一验证的，可以进行抽样验证。

入库案例：丁某光侵犯公民个人信息案；入库编号：2024-04-1-207-003

3.案涉重复信息和不真实信息的处理方法

适用《解释》第十一条第三款的规定计算批量公民个人信息的条数，应当排除不真实的信息，并在此基础上作去重处理，去除重复的信息。对于“信息不真实或者重复的”情形，既可以是控辩双方提出证据，也可以由法院依职权查明。

入库案例：赵某岗侵犯公民个人信息案；入库编号：2024-03-1-207-001

4.特殊情形公民个人信息数量的计算规则

（1）非法购买公民个人信息后又出售的，公民个人信息的条数不重复计算。

入库案例：周某城侵犯公民个人信息案；入库编号：2024-18-1-207-001

（2）查获时已发生变化的信息的数量计算不影响信息数量的计算。

信息的有效性可能因时而异，不能依据信息提供后的核实情况来推定信息提供时的情况，且无证据证明具体无效信息数量；空号、关机并不能证实手机号码在行为人获取时已无效。行为人及其辩护人未能提供相关证据可资佐证具体无效手机号码的数量，现有证据难以将空号、关机的手机号码信息从非法获取的批量公民个人信息数量中剔除。但对于该情形将在量刑时酌情考量。

针对上述裁判要旨，查获时已发生变化且无证据证明无效的信息不影响信息数量的计算。

案例：张某超侵犯公民个人信息案；唐某侵犯公民个人信息案

案号:（2019）苏0509刑初1727号；（2019）沪0115刑初5251号

（3）提供公民个人信息的数量，与被他人实际查询过的信息数量不一致时应以提供的数量计算。

“提供型”行为的信息数量应以实际提供的信息数量计算。虽然涉案网站“开房记录”查询的条数为49698条，但用户在注册成为会员后，可以凭关键字搜索对涉案全部19846399条公民个人信息进行查询，故本案公民个人信息数量应以网站可供查询的数量进行认定。

案例：丁某光侵犯公民个人信息案；案号：（2016）浙0382刑初2332号

四、案涉金额的认定方法

《解释》第五条规定：非法获取、出售或者提供公民个人信息，违法所得五千元以上的应当认定为刑法第二百五十三条之一规定的“情节严重”。此处的“案涉金额”即“违法所得”应当根据具体情况分析。

如在一例侵犯公民个人信息犯罪案件中，某移动营业厅的三名工作人员按照张某的要求，利用为顾客办理业务之便，以赠送小礼品为手段骗取顾客同意，在顾客不知情的情况下，利用顾客手机号、身份证、验证码等个人信息，自行操作顾客手机，并使用顾客个人信息注册各类App账号，以获取佣金。张某将以上述方式获取的公民个人信息转卖给唐某，从中非法获利。

上述案例中营业厅工作人员与中间商”张某“案涉金额”应分别认定。针对“源头”营业厅工作人员应当以违法所得全部钱款认定为涉案金额，而不应扣除其为赠送顾客小礼品而支付的所谓成本。针对“中间商”张某，应当以加价出售给唐某的违法所得扣除其给营业厅三名工作人员支付钱款后的数额，认定为其涉案金额。

五、根据信息敏感程度划分的定罪量刑标准

行踪轨迹信息能够实时反映相关人员的轨迹状况，与人身安全直接相关，系高度敏感信息；财产信息与财产安全直接相关，系高度敏感信息，故《解释》第五条将入罪标准设置为“五十条以上”，升档量刑标准设置为“五百条以上”。

入库案例：邱某某侵犯公民个人信息案；钱某勇、王某春等侵犯公民个人信息案

入库编号：2024-18-1-207-006；2024-18-1-207-004

《解释》第五条规定：非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；非法获取、出售或者提供前两项以外的公民个人信息五千条以上的，属于刑法第二百五十三条之一规定的“情节严重”，达到侵犯公民个人信息罪的入罪标准。数量分别达到上述情形的十倍，属于刑法第二百五十三条之一第一款规定的“情节特别严重”，达到侵犯公民个人信息罪的法定升格刑标准。

鉴于本罪依据个人信息类型的不同设定不同的定罪量刑标准，将案涉信息归类是否准确直接决定了能否对行为人正确量刑。

针对行踪轨迹信息的判断，在实践中，应限定为手机定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的实时信息。具体而言：其一，行踪轨迹信息认定的核心标准是直接涉及人身财产安全。其二，行踪轨迹信息只宜理解为GPS定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息。

针对认定案涉信息是否属于财产信息，可依据相关的裁判案例要旨进行区分。以房产信息为例，人民法院案例库的入库案例指出，判断房产信息是否属于本罪中的财产信息，关键在于该信息是否直接涉及公民个人人身财产安全。以信息流向作为信息类型归属的重要判断因素。涉案房产信息被房屋中介公司、装修公司工作人员购买，用于业务推广的，通常不会直接影响人身财产安全，一般不宜认定为财产信息。而“公民个人房屋权籍调查信息”直接来源于银行房屋信息系统，属于直接反映财产状况的信息，涉及财产安全，可以纳入“财产信息”的范畴。

另外，判断涉案信息是否属于上述“财产信息”的范畴，可以结合信息获取渠道和交易价格综合考量。司法实践中，作为佐证，可以将信息交易价格作为敏感信息判断的辅助因素。通常而言，敏感信息、特别是高度敏感信息的交易价格要远远高于一般公民个人信息。

入库案例：卢某某侵犯公民个人信息案；钱某勇、王某春等侵犯公民个人信息案

入库编号：2024-18-1-207-005；2024-18-1-207-004

六、特殊身份行为人的差异化定罪量刑标准

1.《刑法》第二百五十三条之一第二款规定：违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

除行政管理机关和金融、电信、交通等单位接触大量的公民个人信息外，宾馆、快递等服务行业在提供服务的过程中，也会获取大量的公民个人信息。单位、公司的个别员工为了获取非法利益，违反职业道德和保密义务，将在工作中获得的公民个人信息资料出售或提供给他人，对公民的人身、财产安全及正常工作生活造成了严重威胁，应依法严惩。

案例：韩某等侵犯公民个人信息案；郭某某侵犯公民个人信息案；韦某、吴某甲、吴某乙侵犯公民个人信息案

案例来源：最高人民检察院侵犯公民个人信息犯罪典型案例之一；最高人民检察院侵犯公民个人信息犯罪典型案例之四；检察机关依法惩治侵犯公民个人信息犯罪典型案例之五

2.特殊主体将在履行职责过程中获得的公民个人信息出售，数量达到一般主体立案追诉标准一半以上的，依法追究刑事责任。

检察机关认为被告人籍某某利用公安民警的特殊身份，在掌握全国人口信息的平台上任意查询，并非法出售3670余条，比一般人员非法收集信息具有更大的社会危害性，应当认定其属于刑法第253条之一第一款规定的情节严重的情形，依法予以惩处。

案例：籍某某、李某某侵犯公民个人信息案；案例来源：最高人民检察院侵犯公民个人信息犯罪典型案例之六

七、无罪情形

1.对于自行公开的或者其他已经合法公开的个人信息，行为人获取相关信息后出售、提供的行为，一般不宜以侵犯公民个人信息罪论处。

入库案例：王某侵犯公民个人信息案；入库编号：2024-18-1-207-003

2.对于非法公开的个人信息，行为人获取相关信息后出售、提供的行为，可以根据情况以侵犯公民个人信息罪论处。实践中，有些公开信息并非权利人自愿公开，如个人信息被他人通过信息网络或者其他途径发布；有些信息的扩散并非权利人的意愿，如权利人发现个人信息被收集后主动要求行为人删除。上述情形中，获取相关信息的行为可以认定为合法。

作者简介

张佳铭，毕业于西北政法大学。

我们是一个由多层次、多领域学术背景和知识精英组成的专业刑事辩护团队，多次获得优秀专业律师团队称号。团队汇集了专业资深的刑事律师，多名律师还曾在公、检、法等国家机关从事过刑事司法工作，专注于证券犯罪、税务犯罪、职务犯罪、经济犯罪、网络犯罪、环保犯罪等复杂领域。我们凭借丰富的实战经验和深厚的法律素养，秉承专业、敬业、卓越的精神，成功办理了大量无罪、不起诉、免予刑事处罚、刑事撤案、缓刑的案件，取得了较好的辩护效果。同时我们还为客户提供精准、高质的刑事控告服务，全方面为客户的权益保驾护航。

注：加入太湖畔刑事实务交流群请加微信：15152202711。