基于《刑法》第二百五十三条之一、《个人信息保护法》第七十一条及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,结合网络数据窃取、APP 超范围收集、黑产信息交易等高发场景,针对本罪实务中争议最大的 “立案标准、罪名区分、辩护策略” 三大核心问题,结合 2024 年最新司法案例详细解答:
问题一:网络场景下侵犯公民个人信息罪的立案标准是什么?“个人信息类型”“情节严重” 如何认定?
解答:
本罪核心是 “非法获取、出售、提供公民个人信息,情节严重”,网络场景下重点围绕 “信息类型分级、获取 / 交易规模” 认定,具体规则如下:
网络场景下 “公民个人信息” 的法定类型(立案基础):
敏感个人信息(核心保护,入罪门槛最低):包括生物识别信息(人脸、指纹、声纹)、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息(如 APP 非法收集人脸数据、非法获取用户银行账户密码);
重要个人信息:包括姓名 + 身份证号、电话 + 住址、通信记录、通话清单、征信信息等(如黑产交易的 “手机号 + 身份证号” 组合数据);
普通个人信息:上述两类之外的可识别公民个人身份的信息(如单纯的姓名、手机号、工作单位信息);
认定要点:需满足 “可识别性”(单独或结合其他信息能定位到具体个人);匿名化处理后无法识别的信息(如去除姓名、身份证号的统计数据)不属本罪保护范围。
“情节严重” 的立案标准(构罪关键):
数量标准(核心依据):
敏感个人信息:非法获取、出售、提供 25 条以上;
重要个人信息:非法获取、出售、提供 500 条以上;
普通个人信息:非法获取、出售、提供 5000 条以上;
交易 / 获利标准:违法所得 5000 元以上;
后果标准:造成被害人被骗、自残、自杀等严重后果;将信息用于实施诈骗、赌博等犯罪活动;
特殊情节:二年内曾因侵犯公民个人信息受过行政处罚,又实施本罪行为;多次非法获取 / 交易个人信息;为跨境网络犯罪提供个人信息。
网络场景特殊认定规则:
信息数量计算:重复信息不重复累计(如同一用户的手机号被多次交易,按 1 条计算);批量获取的信息未实际使用的,仍计入总数;
行为方式认定:①非法获取:通过爬虫程序窃取网站用户信息、破解 APP 后台数据库、购买黑产数据;②非法提供:APP 超范围向第三方共享用户信息、网站泄露用户注册数据;③“情节特别严重”:敏感信息 100 条以上、重要信息 5000 条以上、普通信息 5 万条以上,或违法所得 5 万元以上。
典型案例:
李某开发爬虫程序,窃取某电商平台用户姓名、电话、收货地址等信息 8000 条,出售获利 1.2 万元,因 “普通个人信息超 5000 条 + 违法所得达标” 被立案追诉;
张某运营某 APP,未经用户同意收集人脸数据 40 条(敏感信息),并共享给广告公司,因 “敏感信息超 25 条” 构成侵犯公民个人信息罪。
问题二:侵犯公民个人信息罪与非法获取计算机信息系统数据罪、帮信罪、诈骗罪的核心区别是什么?竞合时如何处理?
解答:
四罪均可能涉及网络数据获取或利用,但犯罪对象、保护法益、行为目的差异显著,核心区分及竞合规则如下:
与非法获取计算机信息系统数据罪的核心区别(最易混淆):
犯罪对象:本罪对象是 “公民个人信息”(可识别个人身份,侧重私法益保护);后者对象是 “计算机信息系统数据”(如支付结算认证信息、系统后台数据,侧重公法益(计算机安全)保护);
行为方式:本罪包括窃取、购买、出售、提供等多种方式;后者仅限定 “侵入计算机系统或通过技术手段获取”;
竞合处理:若侵入计算机系统获取的 data 既含个人信息又含系统数据,同时构成两罪,择一重罪处罚(按本罪定罪,量刑更精准)。
与帮信罪的核心区别:
行为角色:本罪是 “信息获取 / 交易者”(直接侵犯个人信息权益);帮信罪是 “信息使用帮助者”(利用个人信息为下游犯罪提供技术支持、资金结算);
主观目的:本罪以 “信息交易获利” 为目的;帮信罪以 “获取帮助费” 为目的,不直接参与信息获取 / 交易;
实务区分:非法购买个人信息后出售给诈骗团伙(本罪);明知诈骗团伙利用个人信息作案,仍为其提供银行卡收款(帮信罪)。
与诈骗罪的核心区别:
行为逻辑:本罪是 “信息获取 / 交易行为”(独立犯罪,无需下游犯罪既遂);诈骗罪是 “利用信息实施诈骗”(信息是诈骗工具,需达成非法占有目的);
竞合处理:非法获取个人信息后直接用于诈骗(如用窃取的手机号 + 验证码盗刷账户),同时构成两罪,择一重罪处罚(按诈骗罪定罪,量刑更重)。
实务区分表格(一目了然):
| 罪名 | 核心对象 | 行为方式 | 保护法益 | 量刑上限 |
|------|----------|----------|----------|----------|
| 侵犯公民个人信息罪(网络) | 公民个人信息(敏感 / 重要 / 普通) | 窃取、购买、出售、提供 | 公民个人信息权益(私法益) | 7 年有期徒刑 |
| 非法获取计算机信息系统数据罪 | 计算机系统数据(认证信息 / 后台数据) | 侵入 / 技术手段获取 | 计算机信息系统安全(公法益) | 7 年有期徒刑 |
| 帮信罪 | 无特定对象(辅助下游犯罪) | 技术支持、资金结算 | 网络犯罪治理秩序 | 3 年有期徒刑 |
| 诈骗罪 | 他人财物 | 利用信息虚构事实骗取 | 他人财产所有权 | 无期徒刑 |
问题三:侵犯公民个人信息罪(网络场景)的有效辩护策略是什么?如何争取不起诉、罪轻或缓刑?
解答:
辩护核心围绕 “否定信息属性、削弱情节严重、最大化从宽情节” 三大方向,结合网络场景特点,以下策略实务成功率较高:
否定 “公民个人信息” 属性的辩护策略:
主张信息不具 “可识别性”:如举证信息已匿名化处理(无姓名、身份证号等关键标识),或仅为模糊数据(如 “某地区 25-30 岁女性”);
主张信息系 “合法获取”:如提供用户授权协议(需证明授权真实有效,无欺诈、胁迫)、公开渠道(如政府公示平台)获取凭证;
主张信息属于 “自己合法掌握的信息”:如企业使用员工信息开展合法经营,未超出授权范围。
削弱 “情节严重” 的辩护策略:
反驳信息数量计算:如举证重复信息、无效信息(如空号、错误地址)应从总数中扣除;
主张未造成严重后果:如举证信息未流入黑产、未被用于犯罪、未导致被害人损失;
举证行为系 “初犯、偶犯”:如仅实施 1 次信息交易,数量刚达立案标准(如敏感信息 25-30 条),无长期运营黑产的故意。
罪名转化辩护策略(降档量刑核心):
主张构成行政违法而非刑事犯罪:如举证信息数量未达立案标准、违法所得不足 5000 元,仅需按《个人信息保护法》给予行政处罚(罚款、没收违法所得);
主张构成从犯:如在信息交易链条中仅起次要作用(如仅负责传递信息,未参与窃取、定价),可从轻、减轻处罚。
最大化从宽情节的辩护策略(实务落地要点):
主动退赃退赔:上缴信息交易所得,协助司法机关删除非法获取的信息库、阻止信息进一步传播,可减少 20%-30% 量刑;
自首 / 坦白:自动投案并如实供述信息来源、交易对象(如交代黑产上游人员信息),可从轻或减轻处罚;情节较轻的(如敏感信息 25 条、违法所得 5000 元),可能从 “有期徒刑 1 年” 降为 “拘役 3 个月”;
认罪认罚 + 合规整改:签署认罪认罚具结书,企业涉案的提交个人信息保护合规整改方案(如完善用户授权机制、删除超额收集信息),可在上述从宽幅度基础上再减少 10%;
立功:揭发黑产团伙核心成员、提供信息窃取技术平台线索,可从轻处罚;重大立功可减轻或免除处罚。
典型辩护成功案例:
王某非法购买手机号 + 姓名信息 480 条(重要信息,接近 500 条立案标准),辩方举证其中 120 条为重复 / 空号,扣除后未达标准,且王某系初犯、主动退赃,检察院作出不起诉决定;
某科技公司 APP 超范围收集用户通信记录 300 条(重要信息),辩方举证公司已主动删除信息、完善授权协议,且未对外泄露,法院认定 “情节轻微”,判处有期徒刑 6 个月,缓刑 1 年,并处罚金 5 万元。
实务提醒(律师建议)
企业运营 APP、网站时,需明确用户信息收集范围,获取真实授权,避免超范围收集敏感信息(如人脸、征信数据),定期开展个人信息保护合规审计;
个人切勿参与 “信息买卖”(如出售自己 / 他人手机号、身份证号),即使未获利,达到数量标准仍可能构罪;
若已涉案,尽早委托律师梳理信息类型与数量,固定 “合法获取”“未造成损失” 的证据,主动配合司法机关阻止信息传播,最大化从宽空间。
杨泳仪律师任职于国信信扬律师事务所,十年以上刑事辩护经验,专注网络犯罪、侵犯公民个人信息犯罪案件辩护,处理过大量 APP 数据合规、黑产信息交易等疑难案件,擅长办理取保候审、不批准逮捕、不起诉、缓刑、罪轻辩护等法律事务,提供个人信息犯罪相关案例及法律问题咨询。
