前  言

随着互联网的高速发展和信息化建设不断推进，信息资源成为重要的生产要素和社会财富。而其中个人信息的价值日渐凸显，成为数字经济的主要元素之一。随之而来，个人信息泄露问题日益突出，垃圾短信、骚扰电话层出不穷，个人信息安全与保护引发全社会高度关注。2009年，《刑法修正案（七）》增设第二百五十三条之一，规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。2015年，《刑法修正案（九）》将该条修订为侵犯公民个人信息罪。2016年，《网络安全法》制定了网络运营者收集、使用个人信息的规则。2020年，《民法典》进一步明确个人信息的定义和处理原则。2021年，《个人信息保护法》实施，完善了公民个人信息保护体系。

自侵犯公民个人信息的行为入刑以来，北京法院准确认定事实、正确适用法律，依法妥善审结了众多犯罪情节严重、社会影响恶劣的刑事案件。在案件办理过程中，“治理”如何与“治罪”并重的课题也成为法院能动司法的落脚点。北京高院通过对近5年来全市法院审结的侵犯公民个人信息罪案件进行调研统计和实证分析，形成《侵犯公民个人信息犯罪审判白皮书》，以期为社会、行业综合治理提供司法智慧。

一、侵犯公民个人信息犯罪审理情况

1.案件数量呈波动状态，今年有所攀升。自2018年以来，北京法院审结侵犯公民个人信息罪一、二审案件共计229件。图1显示，与2018年相比，2019年全市法院侵犯公民个人信息罪收、结案数量有所上升，后开始下降，2020年和2022年下降幅度尤为明显。从2023年的收案情况来看，案件数量出现反弹，反映出侵犯公民个人信息犯罪多发的态势。

2.刑罚程度整体较轻。自2018年，被判处侵犯公民个人信息罪的被告人共302人。被判处三年以下有期徒刑（含拘役、单处罚金、免于刑事处罚）的被告人人数所占比例约为73.2%；被判处五年以下有期徒刑（含拘役、单处罚金、免于刑事处罚）的被告人人数所占比例约为98.7%，重刑率较低；缓刑适用率基本在14.6%左右，详见表1。被判处罚金在10万元以下的被告人人数所占比例约为83.2%，为大多数。

3.服判息诉情况整体较好。在全市法院已审结的侵犯公民个人信息罪案件中，92.1%的案件被告人当庭表示对犯罪事实和罪名均无异议，大部分案件适用了认罪认罚从宽制度。39%的一审案件适用速裁、简易程序审结，提升诉讼效率的同时服判息诉效果较好。二审案件中，被告人的上诉理由主要集中在行为是否构成犯罪、一审判决量刑过重、涉案公民信息的真实性与数量去重等。

二、侵犯公民个人信息犯罪基本特点

经梳理2018年以来的一、二审刑事案件，并对一审案件进行统计，近五年来全市侵犯公民个人信息犯罪呈现如下特点：

1.涉案公民个人信息类型中有关人身、财产安全的信息占比突出。2017年最高人民法院、最高人民检察院联合出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《个人信息案件解释》），其中第5条第1款以列举式的形式将公民个人信息区分为三类，第一类为行踪轨迹信息、通信内容、征信信息、财产信息；第二类为住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息；第三类为除前述类型之外的公民个人信息，入罪标准分别是50条、500条和5000条。前两类信息类型因与公民人身安全、财产安全直接相关，故入罪门槛相对较低。在全市法院已审结的侵犯公民个人信息罪案件中，众多案件所涉信息类型存在多元化特征。

表2显示了已结案件涉及的信息类别及所占比重。具体而言，上述案件中一半以上的案件主要涉及第三类信息类型；涉及第一类信息的占比为24.6%；涉及第二类信息的占比为9.9%。值得注意的是，有超1/3的涉案信息与公民人身安全、财产安全直接相关。近年来，因上述信息泄露而引发恶性案事件的情况时有发生，不仅侵犯了个案被害人的权益，对社会公众的心理安全感也造成了极大的负面影响，故包含此类信息的侵犯公民个人信息犯罪案件有必要予以关注，防止造成次生风险。

2.涉案信息要素中手机号码、身份证件占比最大。在全市法院已审结的侵犯公民个人信息罪案件当中，涉案信息主要包含了手机号码、身份证件、互联网数据、地址位置四种基本的要素，且大部分案件涉及多种信息要素。

图2显示了具体信息要素有关案件所占的比例。其中公民手机号码、身份证件号码所占比重最大，合计达77.3%；其次是互联网相关数据，如用户注册信息、浏览检索记录、IP地址等；再次是地址位置，涉案信息大可到地域省份城市，小可精准至具体门牌号。上述各种信息类型及信息要素交叉组合，从而帮助不法分子识别、锁定特定的自然人或某一类人群。

3.涉案公民个人信息的数量规模日渐庞大。近年来，侵犯批量公民个人信息甚至海量信息已成为该类案件中的常态，且案件比例整体呈上升趋势。根据《个人信息案件解释》第5条第二款的规定，涉案信息数量达到各信息类型入罪标准10倍以上的，即侵犯行踪轨迹信息、通信内容、征信信息、财产信息达500条以上；侵犯住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息达5000条以上；侵犯除前述类型之外的公民个人信息达50000条以上，应当认定为情节特别严重。

统计发现，在已结的侵犯公民个人信息罪案件中，除少部分案件依据犯罪所得定案外，九成案件均以信息条数作为定罪量刑的主要依据，具体案件比例详见图3。其中有半数的案件信息数量超过5万条，约1/4的案件信息数量超过50万条，部分案件查获的信息多达数百万条、数千万条。与之相应，储存信息的工具也从传统的U盘、硬盘演变为云盘等容量更大的载体。

4.五成案件的被告人有较为固定的工作单位或职业。经初步统计，在全市已审结的侵犯公民个人信息罪案件中，除45.6%的案件被告人无业外，超过半数的案件被告人供职于公司企业、事业单位，或系其他类型的从业者，案件所占比例依次为50.3%、2.3%、1.8%。

在这类案件中，公司职员（包括中高级管理层、法人代表）所占比例最大。其中不乏有被告人拥有较高的学历水平和职务职权，供职于大型互联网公司、电商平台、通讯运营商、金融投资企业、保险公司、房产中介、教育机构等等。上述单位通过用户授权获得了处理公民个人信息的合法权限，而部分被告人非法出售这些信息并从中牟利；部分被告人通过各种渠道向他人购买或与他人互换信息以达到拓展业务的目的；部分被告人与外单位人员合谋，“内鬼”负责收集，再由他人负责出售以牟取共同利益；部分被告人离职后将自己在原公司获取的个人信息用于同业竞争、非法经营等活动。

值得注意的是，有一少部分被告人供职于具有社会公共管理、服务性质的事业单位。这类被告人因具有便捷、精准的获取信息的渠道而更易被外部人员“围猎”，帮助查询特定公民的个人信息从而收取好处费或直接按条数出售谋利。虽然上述情况所占比例小，相关信息数量少，但涉案金额相对较大。此类人员接触的个人信息大部分为财产状况、家庭住址等重要、敏感的信息，故一旦泄露危害性也更加严重，社会影响更为恶劣。

5.侵犯公民个人信息的犯罪手段越发隐蔽。数年前，不法分子多是通过社交软件群、网站论坛等平台进行个人信息的买卖或交换。虽然这类方式至今仍被大多数“信息贩子”所采用，但近些年，“暗网空间”已逐渐成为犯罪交易的活跃场所。“暗网”系无法通过常规搜索引擎访问，需在计算机上进行特殊设置，或在特殊软件的辅助下，不需要具备专业计算机系统知识即可访问的网络。这种网络可以为用户提供匿名的互联网访问途径，进而形成一片监管盲区。同时，交易支付方式从现实货币演进为虚拟货币，最常见的如“比特币”，即一种以P2P形式加密的数字货币。这种虚拟货币能够兑换成大多数国家的流通货币，且用户身份在交易过程中被隐去。不利于侦查机关核实犯罪嫌疑人、认定交易金额、追查资金流向及调查关联犯罪。

除了交易环境和支付方式日益隐蔽，秘密窃取的技术手段也日益成熟。“爬虫”软件就是收集大量信息时的常用软件之一。它是一种按照一定规则自动抓取万维网信息的程序或者脚本，利用漏洞爬取信息则被称为“恶意爬虫”。此类软件由一人编写即可供众人使用，甚至有被告人购买后作为二级代理再次销售。只要获得了软件或代码的使用权限，即可植入各大互联网网站后台，或植入单位内部系统数据库读取、下载海量个人信息。另外，还有部分案件的被告人通过编写“木马病毒”程序植入网站，发送“钓鱼”链接或直接攻击医院、酒店、金融机构等计算机系统漏洞，再借助“伪基站”“猫池”“爬虫”等工具窃取、保存点击者或后台服务器数据信息。

6.侵犯公民个人信息犯罪与其他违法犯罪活动相关联。数字经济时代，以个人信息为基础的大数据具有巨大的经济价值，人工智能、算法技术的发展帮助国家、企业通过信息数据预测社会、行业发展的整体趋势，某种程度上已成为重要的战略资源，正引领新一轮的科技创新。公民个人信息变现能量大、泄露途径多，在辐射范围广、传播速度快的网络大环境下，安全性面临着前所未有的挑战。根据个人信息的来源及流向，侵犯公民个人信息犯罪涵盖了互联网、金融、教育、交通、房地产、购物、通信、物流、求职、法律、差旅、医疗等各行各业，其中互联网和金融业的占比最大，详见图4。

经初步统计，已结案件中56.8%的涉案信息被用于业务推销，包括理财产品、贷款业务、房产项目、教育培训、商品代购等，某些领域已经达到了精准营销的程度。39.6%的涉案信息被用于违法甚至犯罪活动，如违规提取公积金或办理信用卡、同行不正当竞争、代收代写学术论文、暴力催收讨债、发送招嫖信息、电信网络诈骗、盗窃存款、敲诈勒索、绑架、故意伤害等。3.6%的案件以获得配偶外遇情况等目的，由“私家侦探”通过跟踪拍摄、关系查询等方式定向追踪个人行迹，调查特定公民信息。上述情况严重影响了被侵害者的生活安宁和心理安全感，尤其是当侵犯公民个人信息作为犯罪链条中的一环时，下游关联众多违法犯罪活动，对公民的人身、财产安全带来严重威胁。

三、侵犯公民个人信息犯罪成因分析

个人信息背后蕴藏着丰富的信息资源与经济价值，当今社会对个人信息的收集、分析、使用已经渗透到了公民日常工作、生活的方方面面，从而也增加了信息泄露的风险。加之部分公民意识不到个人信息的重要性，自我保护及防范意识较弱，因一时贪念随意点击不明链接、下载不明软件，导致个人信息被窃取。除上述原因外，从北京法院审结的侵犯公民个人信息罪案件情况来看，此类犯罪的成因还有以下三个方面：

1.行业“内鬼”屡屡犯案，团队化作案模式愈加成熟。虽然买卖和交换仍是非法获取公民个人信息的主要手段，但放眼整个犯罪链条，这仅是信息流转的中间环节，内部人员泄露信息是侵犯公民个人信息罪的主要源头。依法掌握大量公民个人信息的行业内部工作人员，或是通过自己可以直接接触个人信息的工作便利非法查询、下载；或是间接利用自己的职务权限或工作关系请托他人帮助查询、传输；或是直接将爬取数据的软件、程序植入本单位的计算机后台系统。只要个人信息流入“黑市”，就可以被大量的重复交易。

近年来，侵犯公民个人信息的犯罪活动分工逐步精细化、专业化。一些“内外勾结”型犯罪甚至可以组建起从获取、交易直至变现、利用个人信息的稳定犯罪团伙或黑灰产业链。同时，单位犯罪在侵犯公民个人信息犯罪中愈发常见，实现了自上而下的从决策到分管再到具体实施的条线管理与分工。相比于个人，单位往往拥有更强大的技术条件、人力资源及财力支持，可以在短时间内获取大量公民个人信息，危害性也更强。

2.外部监督监管体系缺乏对个人信息滥用及流失的制约。当前，个人信息“告知－同意”的处理规则已基本普及，但超范围收集、使用等方面的问题仍较为突出，需要外部环境加以约束。“我同意以下条款”“我接受以下事项”等术语的背后是专业、复杂的隐私政策，对信息主体而言，更像是信息收集者的一份免责声明。且信息收集者往往采用的是信息主体“不同意”“不接受”就不能享受全部服务的运营模式，在能力不对等的情况下，信息主体即使仔细阅读了隐私政策，也难以避免为一时便利而让渡个人信息决策与控制权的情况。近几年，公民维权意识有所提高，但面对格式条款、“一揽子”使用协议或已然遭受信息泄露时的救济途径、方式有限，很难在短时间内获得快捷、有效的帮助和解决。司法实践中大多数涉及个人信息保护的案件规模大、侵害小，提起个人诉讼的成本大、收益小，大部分受害者事后选择沉默甚至习以为常。

同时，行政监管体系注重信息流失后的结果追究，一定程度上忽略了信息采集、使用中的过程监督和综合治理。现有“网信部门统筹协调+其他政府部门在职责范围内履行职责”的行政监管结构，尚未明确其他具体部门以及职责分工，增加了监管过程中的组织协调成本，易形成漏管的灰色地带。监管的同时，行政机关提供公共服务、参与综合治理也同样重要。特别是对于一些规模较小、知名度低，经营方式多依赖电话、短信等点对点推销的中小企业而言，只有尽可能多的搜集、掌握个人信息方能扩大盈利，从而导致非法获取公民个人信息的情况频发。对此，需要行政手段进行管理和引导，确保此类企业依法合规运营。

3.技术升级迭代极大提升信息获取的速度和体量。随着“木马”程序、“静默”插件、“爬虫”软件等高科技手段的广泛运用，任意、快速抓取信息数据进而滥用、泄露的情况已不鲜见，且有不少知名互联网企业多次成为被侵害对象。经统计，有28.5%的案件涉案公民个人信息来源于技术窃取。虽然此种方式不是侵犯公民个人信息的主要犯罪手段，但其获取信息的速度和体量确是其他犯罪手段无法比拟，因而不容忽视。

四、侵犯公民个人信息犯罪治理对策建议

在信息化时代快速发展的大背景下，大数据已成为基础性、战略性资源，只有得到充分地流动和共享，才能实现集聚与规模效应，最大程度地发挥价值。但是，在数据流通过程中如何保护公民个人信息的安全，也是必须面对的问题。实际上，公民个人信息的保护与信息社会的发展和大数据的建设并不矛盾，二者之间的平衡点就在于现行法律制度框架——强化个人信息处理单位的保管与保障责任，加强行业协会、行政机关的监管责任，完善个人信息被侵害后的追责与赔偿机制，架构起分级分类的保护体系，建立覆盖民事、行政、刑事打击的一体化保护制度。质言之，坚持安全与发展并重，信息社会对大数据的应用必须建立在依法保护个人信息的基础上，才能真正推动我国信息产业的发展。

1.行业治理，把好个人信息保护第一道关口

（1）建议用人单位规范个人信息处理人员及相关数据的日常管理。一是在聘用负责个人信息处理的工作人员时，提高岗位选拔标准，注重对应聘者过往履历、道德品质和法律素养的考察，尤其要注意查询应聘者是否曾因侵犯公民个人信息接收过行政、刑事处罚。二是加强对工作人员的职业道德教育和法治警示教育，定期开展信息安全技术培训，不断提高工作人员的保密意识和业务水平。三是设计分层级的系统信息查阅权限和呈批制度，根据信息的类别和密级控制可查阅人员的级别及人数，规范工作人员处理个人信息的程序，加强对外包服务人员接触关键信息的管理。四是建立严格的保密制度，及时检查、监督个人信息数据的保存、管理情况，严格控制移动存储介质的使用。将保密条款规定在用人合同当中，对于违规处理、泄露个人信息的人员，应在日常对其考核、奖惩时予以体现。

（2）积极推动从业禁止条款在行业内部落地执行。《刑法修正案（九）》增设从业禁止条款，旨在遏制利用职业便利或违背职业特定义务的不法分子再犯罪的可能性。公民个人信息的保护涉及各行各业，而在部分行业领域，该条款的适用目前仅能起到宣告作用，如何真正落地实施尚未有明确统一的法律规定。行业内部从业人员侵犯公民个人信息，不仅侵害他人的信息自主权，也为整个行业的发展环境带来了隐患，从业禁止条款通过防止行业“内鬼”再次利用熟悉的领域和手段进行犯罪，在部分行业尤其是敏感性强、公众依赖度高的行业实现特殊预防很有必要。2022年，最高人民法院、最高人民检察院、教育部联合发布的《关于落实从业禁止制度的意见》（以下简称《意见》）开始在教师领域执行从业禁止条款。《意见》中规定，教职员工犯罪的刑事案件，判决生效后，人民法院应将裁判文书送达被告人单位所在地的教育行政部门；必要时，教育行政部门应当将裁判文书转送有关主管部门。人民法院发现有关单位未履行犯罪记录查询制度、从业禁止制度的，应当向该单位提出建议。上述规定对司法实践及行业治理具有重要的指导和借鉴意义。

在行业内部建立禁业人员名单的备案、查询和举报制度，有利于从业禁止条款真正发挥实效。首先，针对金融、交通、房地产、通信等涉及公民敏感信息的重点行业，探索建立法院与行业主管部门间的联动机制，犯罪分子被禁业后，及时告知相关行业主管部门，建立禁业人员“黑名单”，供用人单位对拟录用人员进行入职查询。其次，若用人单位明知或者因疏于审查而录用了处于从业禁止执行期限的人员从事相关职业，行业主管部门应对该用人单位进行追责。最后，相关行业协会应配合行业主管部门对被禁业人员进行监督，如发现此类人员再次执业，应当通报行业主管部门，并立即向公安机关举报，由公安机关给予处罚。

2.能动司法，严守个人信息保护最后一道防线

（1）充分发挥刑事审判职能，依法惩治侵犯公民个人信息犯罪。一是突出打击重点，加大打击力度。依法从严从重惩处行业“内鬼”泄露公民个人信息的行为，重点打击侵害公民人身、财产安全相关信息、未成年人等特殊群体个人信息、批量个人信息的案件。聚焦重点行业对具有再犯可能性的犯罪分子适用从业禁止条款，在判处刑罚的基础上进行补充，增加行业内部从业人员的犯罪成本，使预防与警示教育效果并重。依法审理涉侵犯公民个人信息的刑事附带民事公益诉讼案件，通过平衡没收违法所得、刑事罚金刑与民事赔偿责任的关系，综合发挥刑事、民事责任对侵犯公民个人信息犯罪的惩治作用。二是加强全链条打击，斩断下游黑灰产业链。电信网络诈骗犯罪是侵犯公民个人信息犯罪的典型下游犯罪，被称为“菜商”的侵犯公民个人信息的不法分子为电信网络诈骗犯罪提供了极大便利。借助“断卡”行动、打击“养老诈骗”等专项行动，加强对关联犯罪的纵深打击，从下游切断犯罪的利益链条，对侵犯公民个人信息的犯罪分子形成有力威慑。三是坚持依法办案，加强审判规范化建设。持续落实以审判为中心的刑事诉讼制度改革，扎实推进庭审实质化，通过严把证据关、规范量刑幅度、统一裁判尺度，避免同案不同判现象。同时，充分发挥首例、典型案例的示范作用，为控辩双方提供刑罚裁量的可视化指引，提高认罪认罚从宽制度的适用率。利用繁案精审、简案快审的繁简分流机制，提高审判质效。

（2）积极延伸司法职能，深入参与社会治理。一是加大普法宣传力度，强化个人信息保护意识。严格落实谁执法谁普法责任制，更新普法内容、丰富宣传形式、扩大受众范围。持续开展京法巡回讲堂普法工作，依托“京法网事”新媒体平台，持续发布“京小槌普法”“京法案讯”等，通过典型案例向社会公众以案释法。持续提升庭审及裁判文书的司法公开水平，借助主流媒体报道庭审活动和裁判结果，将非法采集、利用公民个人信息的套路公之于众，提高公民自我保护和维权意识。针对个人信息泄露的风险行业及特殊群体开展“靶向”宣教，使普法活动进校园、进社区、进企业，提升全社会法治意识，营造全民保护的社会氛围。二是积极研提司法建议，完善个人信息保护的制度机制。针对侵犯公民个人信息犯罪个案中暴露出的行业管理漏洞，及时向用人单位及监管部门制发司法建议，并定期跟踪问效，帮助企事业单位建立、完善个人信息保护的规章制度，提示管理部门加强对从业人员的法治教育和追责力度，推动行业内部治理，从源头处减少个人信息泄露的风险，净化个人信息处理的社会环境。

3.科技护航，搭建个人信息保护安全防火墙

（1）建议机关团体及企事业单位将公民个人信息作为重要数据予以保护。一是落实信息安全保障责任，普及防毒拦截软件、违规外联监控等安全技术和产品，保障信息采集后的存储环境，以个人信息去识别化为技术方向，对保存的敏感信息进行脱敏处理。二是规范信息处理流程，对存有个人信息的系统网络终端进行IP地址、MAC地址登记，实行实名制网络管理，通过身份认证配合信息系统进行业务权限登录，并建立后台个人信息访问、操作留痕、追踪机制。三是加强安全防护建设，以“防攻击、防篡改、防窃密”为重点加强主动防御，通过开展攻防演习、应急演练发现并整改安全隐患，修补系统漏洞，降低“木马”病毒、“爬虫”软件入侵风险，加大对黑客技术的防范。四是建立技术巡查与预警机制，通过后台全时监测、定期扫描系统等手段及时发现网络攻击、爬取行为或异常数据并予以处置，为维护信息安全提供技术支持。

（2）以技术对技术，以技术管技术，防范“换脸”“换声”等犯罪新手段。当前，犯罪分子利用AI“换脸”、通过声音合成技术实施诈骗等违法犯罪活动的苗头已开始显现。此类犯罪通常需要使用大量公民个人信息，且系人脸、声音等生物识别信息，易嵌入公众日常生活，关联个人敏感数据，次生出侵害公民个人信息犯罪等获取作案“原料”的上游犯罪。对此，建议政府有关部门保障、联合各科研院所、国家重点实验室等研究机构进行AI反诈技术研究，开展“卡脖子”技术攻关，及时发现和防范违法犯罪行为。加强对人脸识别等活体检测验证应用的监管与审查，针对即时通讯、网络直播、网络社交、电商平台、金融支付等重点APP开展技术安全测评，及时发现风险隐患，通报运营主体升级安全保护措施和人脸识别算法。加强如“国家反诈App”等防诈骗软件的研发，提供网络诈骗短信、电话、链接等信息的拦截和提示功能。

五、侵犯公民个人信息犯罪典型案例

案例一：被告人沈某侵犯公民征信信息案

基本案情及处理结果：被告人沈某案发前系某大型国际信托有限公司项目经理，利用任职便利，采取“撞库”等方式获取某银行个人征信系统用户名和密码，通过其所属国际信托有限公司与该银行之间进行专线互联的终端机，数次非法登陆该银行个人征信系统，查询并下载保存他人征信报告共计100份。

西城区法院经审理认为，被告人沈某违反国家规定，非法获取公民个人信息，情节严重，已构成侵犯公民个人信息罪，依法应予以惩处。鉴于被告人沈某到案后能如实供述自己的罪行，当庭认罪悔罪，依法可以从轻处罚。西城区法院以侵犯公民个人信息罪判处沈某有期徒刑一年，并处罚金人民币四千元。

法官解读：在当代社会，个人征信作为公民的“经济身份证”，在公民个人生活中发挥着十分重要的作用，影响老百姓的出行、贷款、就业等方方面面。本案中，被告人沈某作为某大型国际信托有限公司项目经理，与某银行等金融机构多有业务往来，其利用金融从业人员的职业便利，采取“撞库”等非法技术手段获取了大量公民征信信息，社会危害严重，构成侵犯公民个人信息罪。在综合考虑全案事实、证据的情况下，鉴于沈某到案后能如实供述自己的罪行，认罪悔罪态度良好，故依法对其从轻处罚。本案的妥善审结，有力维护了人民群众的征信信息安全和金融机构的系统数据安全。

案例二：被告人胡某等人侵犯公民个人信息案

基本案情及处理结果：被告人胡某以某科技有限公司的名义向北京某大型通信运营商申请批量办理手机号，其通过被告人张某雇佣他人作为经办人，有偿使用张某提供的他人身份证件办理上述业务。被告人任某、鲁某是运营商营业厅的工作人员，明知上述公司所办理的手机号涉嫌诈骗，仍予以办理。经查，办理的手机号后被用于电信网络诈骗，诈骗金额共计约170余万元。同时，被告人胡某非法从他人处获取工号、密码办理大量手机号，后相关手机号码被用于电信网络诈骗，涉及诈骗金额特别巨大。

大兴区法院经审理认为，被告人胡某犯侵犯公民个人信息罪，判处有期徒刑二年，并处罚金人民币二万元；犯帮助信息网络犯罪活动罪，判处有期徒刑二年六个月，并处罚金人民币十万元，决定执行有期徒刑四年，并处罚金人民币十二万元；被告人张某犯侵犯公民个人信息罪，判处有期徒刑二年，并处罚金人民币二万元；被告人任某、鲁某犯帮助信息网络犯罪活动罪，分别判处有期徒刑一年，并处罚金人民币一万元。

法官解读：电信诈骗是最常见的侵犯公民个人信息行为的下游犯罪，具有严重的社会危害性。本案各被告人共同实施了多次内外勾连、上下配合的侵犯公民个人信息以及帮助电信网络诈骗的行为，造成了大量被害人财产损失，性质恶劣，我国法律和刑事政策严厉打击此类违法犯罪行为。被告人胡某非法获取公民个人信息，情节严重，构成侵犯公民个人信息罪；明知他人利用信息网络实施犯罪，为其提供帮助，情节严重，构成帮助信息网络犯罪活动罪；一人犯数罪，应当数罪并罚。被告人张某违反国家规定向他人出售公民个人身份信息，情节严重，构成侵犯公民个人信息罪。被告人任某、鲁某身为某通讯运营商的工作人员，负有办理通讯入网业务的审查职责，但其在接待、考察、审核过程中明知他人利用信息网络实施犯罪，仍为其提供帮助，造成大量手机号被用于电信网络诈骗且诈骗金额特别巨大的严重后果，属情节严重，构成帮助信息网络犯罪活动罪，依法应予惩处。法院依法从严惩处本案，体现了人民法院加强对电信诈骗犯罪上游信息采集、提供、倒卖等环节犯罪行为的全链条打击，对促进平台、行业完善内部管控，推动形成个人信息保护多元共治新格局有着积极作用。

案例三：被告人秦某等人侵犯公民行踪轨迹信息案

基本案情及处理结果：被告人秦某入职某航服人才服务有限公司，被派遣至某航空公司客户服务中心担任国内客服代表。被告人李某就职于某科技有限公司，负责某国际航空公司系统业务，离职后通过前同事查询航班信息。2020—2021年，秦某伙同李某，直接或间接利用查询航班信息的工作便利，违反国家有关规定，共同及各自非法获取公民个人信息后向他人出售。其中，二人共同出售他人航班行踪轨迹信息1964条、其他公民个人信息370条，非法获利共计人民币4万余元；秦某单独出售他人航班行踪轨迹信息383条、其他公民个人信息24条，非法获利共计人民币6000余元；李某单独出售他人航班行踪轨迹信息731条、其他公民个人信息57条，非法获利共计人民币1万余元。被告人张某违反国家有关规定，向李某购买他人航班行踪轨迹信息426条、其他公民个人信息78条。被告人徐某违反国家有关规定，向秦某、李某购买他人航班行踪轨迹信息192条、其他公民个人信息8条。秦某、李某的行为导致众多不特定公民的行踪轨迹、身份证件等个人信息受到侵害，致使社会公共利益受损。

朝阳区法院经审理，以侵犯公民个人信息罪判处秦某、李某有期徒刑各三年，并处罚金人民币各四万元；判处张某有期徒刑一年，缓刑一年，罚金人民币一万元；判处徐某拘役五个月，缓刑五个月，罚金人民币五千元；继续追缴秦某、李某的违法所得；禁止秦某、李某自刑罚执行完毕之日起三年内从事航空客服代表类职业；责令秦某、李某支付公共利益损害赔偿款，没收后上缴国库，注销买卖公民个人信息使用的微信号，删除存储在其中的公民个人信息数据，并在国家级新闻媒体就侵犯公民个人信息行为向社会公众公开赔礼道歉。

法官解读：近年来，侵犯公民个人信息犯罪的附带民事公益诉讼逐渐增多，本案就是一起典型案例。被告人秦某、李某所出售的公民个人信息主要包括舱单信息、历史飞行记录和公民身份证号、护照号等，其中舱单信息包括了乘机人拼音姓名、航班号、舱位号、航班日期、订票日期等内容。对于购买者而言，上述信息或能单独反映，或能与旅客订座记录中包含的电话、身份证号、护照号等信息组合反映，或能与购买者所了解的其他信息结合反映明星、粉丝以及其他普通乘机人等特定自然人在具体时间点的行踪轨迹，属于刑法所保护的公民个人信息。秦某系将在履行职责或提供服务过程中获得的公民个人信息出售给他人，依法对其从重处罚。秦某、李某利用现有或曾经的工作便利，违背职业要求的特定义务实施犯罪行为，故依法对二被告人宣告职业禁止。本案中，秦某、李某非法获取并出售公民个人信息的行为，信息主体的选择具有随机性，造成众多不特定公民的行踪轨迹、身份证件等个人信息泄露，面临受侵害的风险，已对个人信息保护领域的社会公共利益造成实际损害。根据《民法典》的法律规定，结合我国个人信息保护法律规范精神，二被告人应当通过公开赔礼道歉的方式向社会公众表达歉意，并注销买卖公民个人信息使用的微信号及删除其中的公民个人信息数据以消除危险，同时按照侵犯公民个人信息的获利承担损害赔偿责任。法院在依法从严追究被告人刑事责任的同时，对附带民事公益诉讼部分进行了妥善审理，要求被告人承担相应的民事责任，增加侵犯公民个人信息的违法成本，起到了有效的警示作用，体现了对公民个人信息的全面保护。

 结  语

在数字化浪潮的推动下，完善个人信息保护不只是回应世界潮流之举，也是我国法律体系自我发展的必然结果。北京法院将坚持不懈以习近平新时代中国特色社会主义法治思想为指导，将“保护个人信息权益”和“促进个人信息合理利用”作为并行的目标，不断提升审判质效，精准打击侵犯公民个人信息的犯罪行为；积极以案释法，增强人民群众自我保护的意识和能力；延伸司法职能，综合其他管理手段贯通社会治理全链条，坚持做到政治效果、法律效果、社会效果相统一，努力满足人民群众对美好生活的向往，为数字经济蓬勃发展做出更大的贡献。

注释

1.此处仅作就高统计，即如果同时涉及第一和第三类信息，统计第一类信息的类型；如果同时涉及同一类别信息中的不同种信息，统计数量较多的信息类型。

2.此处作就高统计，例如同时涉及电话号码和身份证号的，结合信息的主要用途，统计数量较多的信息要素。

3.部分案件涉及多名不同身份的被告人，此处仅就高统计主犯的职业类型。

（供稿单位：北京市高级人民法院刑事审判一庭）

（责任编辑：刘丹）