三、司法解釋及其他規范性文件

（一）《侵犯公民個人信息刑事案件解釋》

2017年5月8日，《侵犯公民個人信息刑事案件解釋》發布，并于2017年6月1日起正式實施。《侵犯公民個人信息刑事案件解釋》就公民個人信息的范圍等相關概念的界定和侵犯公民個人信息罪的定罪量刑標準等內容進行了詳細規定，對保護公民個人信息安全、企業開展在公民個人信息保護領域的合規管理工作具有重要的指導意義。

1.《侵犯公民個人信息刑事案件解釋》的出臺背景

隨著各類信息價值化、資源化的演變，個人信息泄露問題越發嚴重。自2009年《刑法修正案（七）》最早對特定群體非法出售、提供公民個人信息進行規制，到2015年《刑法修正案（九）》進一步就侵犯公民個人信息犯罪擴大犯罪主體、加重處罰，侵犯公民個人信息犯罪仍處于高發態勢。

為進一步加大對公民個人信息的保護、嚴厲懲處侵犯公民個人信息的犯罪行為，在結合案件辦理中實操問題、法律適用問題的基礎上，最高人民法院會同最高人民檢察院，在公安部等有關部門的大力支持下，制定出臺了《侵犯公民個人信息刑事案件解釋》。

2.《侵犯公民個人信息刑事案件解釋》的主要內容

《侵犯公民個人信息刑事案件解釋》共13條，以下將對其中的重點內容進行簡述：

（1）進一步擴大“公民個人信息”的范圍

基于實踐中個人信息的產生與應用，《侵犯公民個人信息刑事案件解釋》在《網絡安全法》對“公民個人信息”定義的基礎上進行了明確和完善，即公民個人信息“是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等”。根據該條規定，“公民個人信息”既包括公民的身份識別信息，也包括公民的活動情況信息，如車輛（GPS）信息、手機定位等反映公民個人活動情況的信息，拓寬了公民個人信息被保護的范圍。最高人民法院于2017年5月9日公布的侵犯公民個人信息犯罪典型案例之邵某明等侵犯公民個人信息案中明確“手機定位”屬于公民個人信息。

（2）進一步明確法律適用范圍

《侵犯公民個人信息刑事案件解釋》進一步明確了“違反國家有關規定”的“國家有關規定”是指法律、行政法規、部門規章中有關公民個人信息保護的規定。

值得注意的是，《刑法修正案（九）》在對侵犯公民個人信息罪進行修訂時，將原條文中的“違反國家規定”修改為“違反國家有關規定”，這是首次在《刑法》條文中使用“違反國家有關規定”的表述。但《刑法》僅對“國家規定”[11]進行了解釋，未對“國家有關規定”進行說明。本次解釋進一步厘清了“國家有關規定”的法律適用范圍，在法律、行政法規之外還納入了部門規章，符合目前侵犯公民個人信息刑事犯罪的高發現狀，也表明司法機關對于該類犯罪處罰力度的加大。

（3）進一步明確犯罪行為方式的認定標準

根據《刑法》第253條之一的規定，違反國家有關規定，“向他人出售或者提供公民個人信息”，“將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的”及“竊取或者以其他方法非法獲取公民個人信息”是侵犯公民個人信息罪的行為方式。結合司法實踐，《侵犯公民個人信息刑事案件解釋》第3條、第4條對非法“提供公民個人信息”“以其他方式非法獲取公民個人信息”的認定進行了明確。

（4）進一步明確定罪量刑標準

關于“情節嚴重”與“情節特別嚴重”的認定標準，《侵犯公民個人信息刑事案件解釋》第5條從個人信息類型和數量、違法所得數額、信息用途、主體身份、前科情況、后果等角度進行細分認定。

值得注意的是，在計算涉案公民個人信息的數量時，《侵犯公民個人信息刑事案件解釋》第11條專門規定：

（a）非法獲取公民個人信息后又出售或者提供的，公民個人信息的條數不重復計算。

（b）向不同單位或者個人分別出售、提供同一公民個人信息的，公民個人信息的條數累計計算。

（c）對批量公民個人信息的條數，根據查獲的數量直接認定，但是有證據證明信息不真實或者重復的除外。

（5）厘清關聯犯罪的處理

（a）非法利用信息網絡罪：根據《刑法》第287條之一的規定，設立用于實施違法犯罪活動的網站、通訊群組，情節嚴重的，構成非法利用信息網絡罪。實質上，供他人實施非法獲取、出售或者提供公民個人信息的網站、通訊群組即是用于實施違法犯罪活動的網站、通訊群組。因此，《侵犯公民個人信息刑事案件解釋》明確了設立網站、通訊群組侵犯公民個人信息行為如與非法利用信息網絡罪發生犯罪競合，應當依照侵犯公民個人信息罪定罪處罰。

（b）拒不履行信息網絡安全管理義務罪：為進一步促使網絡服務提供者履行個人信息安全保護義務，《侵犯公民個人信息刑事案件解釋》明確網絡服務提供者拒不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，致使用戶的公民個人信息泄露，造成嚴重后果的，應當以拒不履行信息網絡安全管理義務罪定罪處罰。

（6）明確認罪認罰從寬處理規則

為充分發揮刑法的威懾和教育功能，平衡罪與罰，促使犯罪嫌疑人積極認罪悔罪，《侵犯公民個人信息刑事案件解釋》規定，實施侵犯公民個人信息犯罪，不屬于“情節特別嚴重”，行為人系初犯，全部退贓，并確有悔罪表現的，可以認定為情節輕微，不起訴或者免予刑事處罰；確有必要判處刑罰的，應當從寬處罰。

（二）《檢察機關辦理侵犯公民個人信息案件指引》

2017年3月，公安部對打擊整治黑客攻擊破壞和網絡侵犯公民個人信息犯罪專項行動進行部署，聯合最高人民檢察院開展專項打擊整治，嚴懲與公民個人信息相關的違法犯罪活動。

為加強對辦理侵犯個人信息犯罪案件的指導，2018年11月9日，最高人民檢察院發布《檢察機關辦理侵犯公民個人信息案件指引》（高檢發偵監字〔2018〕13號）（以下簡稱《辦案指引》），明確了在審查逮捕、審查起訴階段證據認定的基本要求，入罪標準、法律適用等問題，以及社會危險性與羈押必要性審查等方面的實務問題，統一司法標準。

《辦案指引》主要內容如下：

1.審查逮捕、審查起訴階段證據認定的基本要求

（1）審查逮捕階段

在侵犯公民個人信息案件的審查逮捕階段中，應按照以下標準進行證據審查：

（a）是否有證據證明有侵害公民個人信息犯罪事實；

（b）是否有證據證明侵犯公民個人信息行為是犯罪嫌疑人實施的；

（c）是否有證據證明犯罪嫌疑人具有侵犯公民個人信息的主觀故意；

（d）是否有證據證明侵害行為能達到“情節嚴重”或“情節特別嚴重”的標準。

（2）審查起訴階段

在侵犯公民個人信息案件的審查起訴中，除審查逮捕階段的證據之外，應堅持“犯罪事實清楚，證據確實、充分”的標準，對證據進行以下審查：

（a）證據是否充分：保證定罪量刑的事實都有證據證明，包括有充分證據證明存在侵害事實、犯罪嫌疑人實施了該侵害行為、該等行為符合入罪標準、犯罪嫌疑人有侵害的主觀故意。

（b）證據是否屬實：相關證據均經法定程序查證屬實。

（c）是否排除合理懷疑：對所認定的事實已排除合理懷疑。

2.重點問題

（1）對“公民個人信息”的審查認定

《辦案指引》明確了兩種常見的不屬于公民個人信息的情形：

第一，經過處理無法識別特定自然人且不能復原的信息，與特定自然人無直接關聯。

第二，由公司購買、歸公司使用的手機、電話號碼等，不屬于個人信息的范疇。但對于企業工商登記等信息中所包含的公司經辦人在工商登記等活動中登記的個人電話、手機號碼，則屬于個人信息。

（2）對“違反國家有關規定”的審查認定

《辦案指引》明確《刑法修正案（九）》將原《刑法》第253條之一的“違反國家規定”修改為“違反國家有關規定”是擴大法律適用的范圍，其散見于金融、電信、交通、教育、醫療、統計、郵政等領域的法律、行政法規或部門規章中。

（3）對“非法獲取”的審查認定

《辦案指引》明確購買是最常見的“非法獲取”手段。并舉例說明，如房產中介、物業管理公司、保險公司、擔保公司的業務員在辦理業務過程中與同行通過QQ、微信群互相交換各自掌握的客戶信息，屬于非法獲取行為。此外，在職務行為中，違反國家有關規定，未獲得授權或越權收集公民個人信息也屬于非法獲取公民個人信息的行為。

（4）對“情節嚴重”的審查認定

其中，有關“情節嚴重”，《辦案指引》進一步明確了：

（a）不同個人信息類型所包含的典型信息，如財產信息包括銀行、第三方支付平臺、證券期貨等金融服務賬戶的身份認證信息，以及存款、房產、車輛等財產狀況信息；并規定不允許擴大敏感信息的范圍。

（b）違法所得直接以出售公民個人信息的收入予以認定，無法說明合法來源的收入也可認定為違法所得。

（c）將公民個人信息用于違法犯罪活動的，不要求他人的行為必須構成犯罪。

對于涉案公民個人信息數量的認定，《辦案指引》明確除非獲取的該公民個人信息內容發生了變化，犯罪嫌疑人多次獲取同一條公民個人信息，一般認定為一條，不重復累計。

（5）對關聯犯罪的審查認定

3.社會危險性及羈押必要性審查

就審查逮捕階段，《辦案指引》規定應分別從犯罪嫌疑人的犯罪動機、主觀惡意程度，及犯罪嫌疑人的犯罪情節是否對社會產生危害性（具體從犯罪時間長短、犯罪行為是否嚴重、后果是否嚴重等方面對危害性大的情形進行評判[12]）等方面進行評估判斷是否有羈押必要。

就審查起訴階段，《辦案指引》規定對羈押必要性進行審查，應根據不同情形，作出不同處理：（a）對于未達到逮捕證明標準的，撤銷原逮捕決定；（b）對于證據發生重大變化，或案件事實發生重大變化或羈押期限即將超過預計判決期限等情形，應當向辦案機關提出釋放或者變更強制措施的建議；（c）對于有悔罪表現，沒有社會危險性的，可以向辦案機關提出釋放或者變更強制措施的建議。

（三）《網絡犯罪解釋》

2019年6月3日最高人民法院審判委員會第1771次會議、9月4日最高人民檢察院第十三屆檢察委員會第二十三次會議通過了《網絡犯罪解釋》，自2019年11月1日起施行。

1.《網絡犯罪解釋》的出臺背景

自《刑法修正案（九）》增設拒不履行信息網絡安全管理義務罪，非法利用信息網絡罪和幫助信息網絡犯罪活動罪[13]以來，截至2019年9月，全國法院共審理相關網絡犯罪案件260件，判決473人。其中，非法利用信息網絡刑事案件159件、223人，幫助信息網絡犯罪活動刑事案件98件、247人。[14]

為統一網絡犯罪的法律適用，有效懲治網絡犯罪，最高人民法院、最高人民檢察院出臺了《網絡犯罪解釋》，在與現行法律法規的規定保持銜接的情況下，對拒不履行信息網絡安全管理義務罪、非法利用信息網絡罪和幫助信息網絡犯罪活動罪的定罪量刑標準和有關法律適用問題作了更加詳細的規定，也更加明確了司法機關對于網絡犯罪打早打小、全鏈條懲治的決心。此外，司法機關還考慮到網絡犯罪大量存在再犯的情況，專門在《網絡犯罪解釋》中規定對拒不履行信息網絡安全管理義務、非法利用信息網絡、幫助信息網絡犯罪活動的罪犯可以依法宣告職業禁止和禁止令，對犯罪分子進行職業約束。

2.《網絡犯罪解釋》的主要內容

（1）拒不履行信息網絡安全管理義務罪

在《網絡安全法》等法律法規的基礎上，《網絡犯罪解釋》進一步明確了拒不履行信息網絡安全管理罪的入罪標準和相關法律適用問題。

（a）《網絡犯罪解釋》進一步明確了“網絡服務提供者”的范圍，網絡服務提供者既可以是單位，也可以是個人。具體包括以下三類：

1）網絡技術服務提供者：信息網絡接入、計算、存儲、傳輸服務提供者；

2）網絡內容服務提供者：信息發布、搜索引擎、即時通信、網絡支付、網絡購物、網絡游戲、廣告推廣、應用商店等信息網絡應用服務提供者；

3）網絡公共服務提供者：電子政務、通信、能源、交通、水利、金融、教育、醫療等公共服務提供者。

（b）《網絡犯罪解釋》進一步明確了入罪的前提條件，即拒不履行“監管部門責令采取改正措施”的認定標準。

1）“監管部門責令采取改正措施”中“監管部門”，是指網信、電信、公安等依照法律、行政法規的規定承擔信息網絡安全監管職責的部門。

2）“監管部門責令采取改正措施”中“改正措施”，應當滿足責令整改通知書或者其他文書的形式。

3）還應綜合其他情形對是否構成拒不履行“監管部門責令采取改正措施”進行認定，如改正措施是否明確、期限要求是否合理、網絡服務提供者是否有能力進行改正等。

（c）《網絡犯罪解釋》對拒不履行信息網絡安全管理義務罪不同情形的入罪標準進行了明確，包括“致使違法信息大量傳播”“造成嚴重后果”“情節嚴重”“其他嚴重情節”。

（2）非法利用信息網絡罪

（a）《網絡犯罪解釋》進一步明確非法利用信息網絡罪的客觀行為，包括如下：

1）明確《刑法》第287條之一規定的“違法犯罪”，既包括犯罪行為和屬于刑法分則規定的行為類型但尚未構成犯罪的違法行為；

2）明確以實施違法犯罪活動為目的而設立或者設立后主要用于實施違法犯罪活動的網站、通訊群組，應當認定為刑法規定的“用于實施詐騙、傳授犯罪方法、制作或者銷售違禁物品、管制物品等違法犯罪活動的網站、通訊群組”；

3）明確利用信息網絡提供信息的鏈接、截屏、二維碼、訪問賬號密碼及其他指引訪問服務的，應當認定為刑法規定的“發布信息”。

（b）《網絡犯罪解釋》明確了非法利用信息網絡罪的入罪標準，即“情節嚴重”的認定標準。《網絡犯罪解釋》主要從設立網站和通訊群組的數量、發布信息的數量、違法所得數額、前科情況這些方面明確了“情節嚴重”的認定標準。

（3）幫助信息網絡犯罪活動罪

《網絡犯罪解釋》對幫助信息網絡犯罪設置了較低的入罪門檻，是加大對網絡犯罪懲治的有力體現。

（a）《網絡犯罪解釋》明確了幫助信息網絡犯罪活動罪的主觀明知推定規則。除有相反證據證明之外，以下情形可以認定行為人明知他人利用信息網絡實施犯罪：

（b）《網絡犯罪解釋》明確了“情節嚴重”入罪標準，具體情形如下：

值得注意的是，如因客觀條件無法查證被幫助對象是否犯罪，可以根據幫助者自身情況，在數額達到前述情形2到情形4規定標準五倍以上或造成特別嚴重后果的情況下，對幫助信息網絡犯罪活動的行為人單獨入罪。