如今，公民个人信息泄露已成为网络电信诈骗、敲诈勒索、暴力追债等违法犯罪行为的“帮凶”。那么，原本属于个人隐私的信息为何会遭泄露？又是谁在买卖这些信息？今年3月，杭州警方组织开展打击网络侵犯公民个人信息违法犯罪专项行动，截至目前共破获侵犯公民个人信息类刑事案件37起，打掉犯罪团伙32个，抓获犯罪嫌疑人479人，查获非法获取的公民个人信息1552万余条，涉案金额达700余万元。值得注意的是，在杭州警方打击破获的这类案件中，企事业单位内部人员非法泄露公民个人信息成为信息泄露的主要源头。

查获非法获取公民个人信息370万条，存储量40G

警方利用大数据资源侦破侵犯公民个人信息案

今年3月，杭州公安网警部门在工作中发现，有人利用网络多次接收他人发送的大量儿童接种疫苗信息及家长的联系方式，涉嫌侵犯公民个人信息。警方随即展开立案调查。

经过对该线索的初期排查，警方发现，发送信息的嫌疑人曹某系杭州滨江区某科技公司的离职员工。此后，警方继续深入调查、顺藤摸瓜，确定这是一个由该科技公司的内部员工组成的犯罪团伙，他们利用承接信息系统建设的权限便利，非法贩卖公民个人信息。经进一步侦查，警方摸清了该犯罪团伙的组织架构和盈利模式，循线查清了下游买家的行业和人员信息，并固定了嫌疑人的犯罪证据。4月24日上午，警方组织全市200余名警力开展了集中收网行动，先后在杭州滨江区和分布下游买家的6个区抓获犯罪嫌疑人39名，采取刑事强制措施27名，查获非法获取的公民个人信息370万余条，存储量达40G。

据了解，此案是杭州公安网警部门依托大数据资源，利用科技手段主动发现涉案线索并成功侦办的侵犯公民个人信息案件。

与买家签合同开发票，大肆贩卖公民信息，牟利200余万元

行业“内鬼”成信息泄露主要源头

随着警方审讯工作的深入，一个组织严密的团伙架构，一条分工明细的灰色产业链逐渐明朗。

犯罪嫌疑人黄某、郑某、吕某、曹某、曾某是这条灰色产业链中的主要角色。黄某是滨江区某科技公司的老板。截至发案前，该公司拥有员工20多人，主要从事零岁至6岁儿童的健康管理和移动医疗信息服务。2016年与省内某疾病预防控制部门合作，承接了“预防保健网”和“智慧疫苗”网站的信息化建设项目。

按照合作双方的约定，黄某的公司拥有该网站注册用户信息的阅读权限，没有下载权限。由于经营不善，公司处于亏损状态。在利益的驱使下，黄某想到了通过出售注册用户信息赚取“利润”来实现公司“扭亏为盈”的“办法”。于是，他指使公司技术总监郑某，利用与省内某疾控部门合作项目的管理漏洞，擅自将接种疫苗的儿童及其家长信息等内网数据资源，下载至网站服务器。随后，黄某又指使公司销售总监吕某寻找买家，以每条0.7至0.8元的价格贩卖获利。

“我开始也感觉这样做不太好，但是老板很肯定地跟我说没事，我就放开胆子干了。”面对民警的审问，吕某这样交代。

经过警方调查，2016年9月至今，该团伙与来自全国各地的买家签订合同，开具发票，大肆贩卖接种疫苗的儿童及其家长的个人身份信息，从中非法牟利达200余万元，销售下家涉及早教、培训、摄影、保险等行业人员。

而嫌疑人曹某和曾某则是这条灰色产业链的另一条分支成员。警方介绍，曹某原是黄某公司的一名销售人员，离职前同样掌握着公司非法窃取的公民信息数据资源。由于公司拖欠工资，曹某离职后想到用出售信息数据获利冲抵公司拖欠的工资。他将数据卖给了一家教育机构，非法获利800元。而这家教育机构购买数据后，除了用于自身业务推广，又将数据卖给了曾某。

“在这个灰色产业链中，曾某的行为具有很大的危害性。”滨江公安分局网警大队民警官明介绍，因为曾某贩卖公民个人信息的下家不明确，只要有人出钱，他都卖。卖给各个行业，最大的影响是受到骚扰，一旦落入网络诈骗、敲诈勒索人员手里，就会对公民的财产甚至人身安全带来严重威胁。

好在，杭州公安网警部门及时发现这一信息泄露的源头，并彻底摧毁了整个非法产业链。目前，黄某等5名犯罪嫌疑人已被移送检察机关审查起诉。

“本案的侦破彻底阻断了我省儿童接种疫苗信息数据的泄露，很大程度上保护了接种疫苗的儿童及其家长的个人信息及隐私。”杭州市公安局网警分局支中强大队长介绍。

谈到造成企事业内部信息严重泄露的原因，支中强大队长表示，主体责任意识不强、网络安全意识不高、技术安全措施未落实是主要原因。为此，杭州公安网警部门对相关企事业单位网络安全负责人进行了约谈，并提出了整改措施，以确保信息安全。

公民个人信息泄露成为各类犯罪主要源头

警方提醒使用公民个人信息应选择正规途径获取

近年来，侵犯公民个人信息犯罪仍处于高发状态，不仅严重危害公民个人信息安全，而且与电信网络诈骗等犯罪存在密切关联，甚至与绑架、敲诈勒索等犯罪活动相结合，成为这些“下游”犯罪的源头。

如何消除侵犯公民个人信息犯罪现象？支中强说，侵犯公民个人信息的犯罪，说到底其实都是通过信息买卖来获利的。如果所有使用公民信息的单位都能选择个人自主登记等正规途径来获取，那么所有的灰色交易都将不存在。

杭州警方在对该类案件进行归纳总结时，发现侵犯公民个人信息类案件有五个主要特点：

一是学生、汽车、房产及银行信息为集中作案对象，个人信息内容丰富且数量巨大。涉及中小学生信息或参加资格认证考试的考生信息占多数，另外还有大量车主信息和房产信息。从信息内容上来看，主要涉及公民身份信息、电话号码、家庭地址；从数量上来看，涉案信息动辄几十万条甚至上百万条。

二是企业负责人为该类案件的主要犯罪主体。在激烈的市场竞争压力下，企业主为拓展业务，亟需客户资源，因此经常通过买卖信息、共享交换等方式获取个人信息，从而构成犯罪。

三是公民个人信息的最初提供者多为企事业单位内部人员，在公司任职时无视保密协议，利用职务之便非法拷贝公司客户信息后出售牟利。

四是网络交易为公民个人信息的主要获取方式。交易双方通过在线联系、网络转账等方式完成交易。

五是不断滋生下游犯罪。侵害公民个人信息犯罪是多种下游犯罪的源头，社会危害巨大，除形成垃圾信息源源不断、骚扰电话不分昼夜等个人信息泄露隐患外，还和电信、网络诈骗（例如办卡恶意透支）、绑架、敲诈勒索、暴力追债等犯罪合流。

警方提醒，在日常生活中，个人也应注意对自己信息的保护，不随意留联系方式，谨慎扫描二维码。

前天，最高人民法院与最高人民检察院联合召开新闻发布会，发布了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，该解释规定非法获取、出售或提供公民个人信息，造成被害人死亡、重伤、精神失常或者被绑架等严重后果的，依照刑法规定，将被处三年以上七年以下有期徒刑，并处罚金。

据了解，2015年11月至2016年12月，全国法院新收侵犯公民个人信息刑事案件495件，审结464件，生效判决人数697人。该司法解释将于6月1日起施行。

如何认定“提供公民个人信息”非法

针对司法实践的情况，《解释》第三条对非法“提供公民个人信息”的认定作了进一步明确。具体而言：

一是“提供”的认定。在“人肉搜索”案件中，行为人未经权利人同意即将其身份、照片、姓名、生活细节等个人信息公布于众，影响其正常的工作、生活秩序，危害严重。更有甚者，一些行为人恶意利用泄露的个人信息进行各类违法犯罪活动。

经研究认为，通过信息网络或者其他途径予以发布，实际是向不特定多数人提供公民个人信息，向特定人提供公民个人信息的行为属于“提供”，基于“举轻明重”的法理，前者更应当认定为“提供”。

基于此，《解释》规定：“向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的‘提供公民个人信息’。”

二是合法收集公民个人信息后非法提供的认定。根据《网络安全法》的规定，经得被收集者同意，以及做匿名化处理（剔除个人关联），是合法提供公民个人信息的两种情形。基于此，《解释》规定：“未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的‘提供公民个人信息’，但是经过处理无法识别特定个人且不能复原的除外。”

明确了“非法获取公民个人信息”的认定标准。根据司法实践的情况，《解释》第四条对“非法获取公民个人信息”的认定作了进一步明确。一是规定“违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息”的，属于“非法获取公民个人信息”。二是根据《网络安全法》规定的收集、使用个人信息的规则，明确违反国家有关规定，“在履行职责、提供服务过程中收集公民个人信息”的，属于“非法获取公民个人信息”。

非法出售他人信息的量刑标准是什么

《解释》明确侵犯公民个人信息罪的入罪要件为“情节严重”。《解释》第五条第一款设十项对“情节严重”的认定标准作了明确规定，大致涉及如下五个方面：

一是信息类型和数量。基于不同类型公民个人信息的重要程度，《解释》分别设置了“五十条以上”、“五百条以上”、“五千条以上”的入罪标准，以体现罪责刑相适应。

二是违法所得数额。出售或者非法提供公民个人信息往往是为了牟利，基于此，《解释》将违法所得五千元以上的规定为“情节严重”。

三是信息用途。被非法获取、出售或者提供的公民个人信息，用途存在不同，对权利人的侵害程度也会存在差异。基于此，《解释》将“非法获取、出售或者提供行踪轨迹信息，被他人用于犯罪”“知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供”规定为“情节严重”。

四是主体身份。公民个人信息泄露案件不少系内部人员作案，诸多公民个人信息买卖案件也可以见到“内鬼”参与的“影子”。为切实加大对此类行为的惩治力度，《解释》明确，“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人”的，认定“情节严重”的数量、数额标准减半计算。

《刑法》第二百五十三条之一　【】违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

由于法律法规司法解释每年都会出现新变化，苏义飞律师将在此网站页面每年更新一次该罪名的刑法理论和量刑标准：

苏义飞律师：《刑法修正案（九）》取消出售、非法提供公民个人信息罪和非法获取公民个人信息罪罪名，统一合并为侵犯公民个人信息罪。

张明楷《刑法学》第五版P921页：“公民”不包括单位与死者在内。

第二十七条　个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。

五、非法获取、出售、提供具有信息发布、即时通讯、支付结算等功能的互联网账号密码、个人生物识别信息，符合刑法第二百五十三条之一规定的，以侵犯公民个人信息罪追究刑事责任。

对批量前述互联网账号密码、个人生物识别信息的条数，根据查获的数量直接认定，但有证据证明信息不真实或者重复的除外。

第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

　　第二条 违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。

　　第三条 向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。

　　未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。

　　第四条 违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

　　第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:

　　(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;

　　(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;

　　(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;

　　(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;

　　(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;

　　(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;

　　(七)违法所得五千元以上的;

　　(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;

　　(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;

　　(十)其他情节严重的情形。

　　实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:

　　(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;

　　(二)造成重大经济损失或者恶劣社会影响的;

　　(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;

　　(四)其他情节特别严重的情形。

　　第六条 为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:

　　(一)利用非法购买、收受的公民个人信息获利五万元以上的;

　　(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;

　　(三)其他情节严重的情形。

　　实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。

　　第七条 单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。

　　第八条 设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。

　　第九条 网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。

　　第十条 实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。

　　第十一条 非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。

　　向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。

　　对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。

　　第十二条 对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。

　　一、审查证据的基本要求
　　1. 有证据证明发生了侵犯公民个人信息犯罪事实
　　（1）证明侵犯公民个人信息案件发生
　　主要证据包括：报案登记、受案登记、立案决定书、破案经过、证人证言、被害人陈述、犯罪嫌疑人供述和辩解以及证人、被害人提供的短信、微信或QQ截图等电子数据。
　　（2）证明被侵犯对象系公民个人信息
　　主要证据包括：扣押物品清单、勘验检查笔录、电子数据、司法鉴定意见及公民信息查询结果说明、被害人陈述、被害人提供的原始信息资料和对比资料等。
　　2. 有证据证明侵犯公民个人信息行为是犯罪嫌疑人实施的
　　（1）证明违反国家有关规定的证据：犯罪嫌疑人关于所从事的职业的供述、其所在公司的工商注册资料、公司出具的犯罪嫌疑人职责范围说明、劳动合同、保密协议及公司领导、同事关于犯罪嫌疑人职责范围的证言等。
　　（2）证明出售、提供行为的证据：远程勘验笔录及QQ、微信等即时通讯工具聊天记录、论坛、贴吧、电子邮件、手机短信记录等电子数据，证明犯罪嫌疑人通过上述途径向他人出售、提供、交换公民个人信息的情况。公民个人信息贩卖者、提供者、担保交易人及购买者、收受者的证言或供述，相关银行账户明细、第三方支付平台账户明细，证明出售公民个人信息违法所得情况。此外，如果犯罪嫌疑人系通过信息网络发布方式提供公民个人信息，证明该行为的证据还包括远程勘验笔录、扣押笔录、扣押物品清单、对手机、电脑存储介质、云盘、FTP等的司法鉴定意见等。
　　（3）证明犯罪嫌疑人或公民个人信息购买者、收受者控制涉案信息的证据：搜查笔录、扣押笔录、扣押物品清单，对手机、电脑存储介质等的司法鉴定意见等，证实储存有公民个人信息的电脑、手机、U盘或者移动硬盘、云盘、FTP等介质与犯罪嫌疑人或公民个人信息购买者、收受者的关系。犯罪嫌疑人供述、辨认笔录及证人证言等，证实犯罪嫌疑人或公民个人信息购买者、收受者所有或实际控制、使用涉案存储介质。
　　（4）证明涉案公民个人信息真实性的证据：被害人陈述、被害人提供的原始信息资料、公安机关或相关单位出具的涉案公民个人信息与权威数据库内信息同一性的比对说明。针对批量的涉案公民个人信息的真实性问题，根据《解释》精神，可以根据查获的数量直接认定，但有证据证明信息不真实或重复的除外。
　　（5）证明违反国家规定，通过窃取、购买、收受、交换等方式非法获取公民个人信息的证据：主要证据与上述以出售、提供方式侵犯公民个人信息行为的证据基本相同。针对窃取的方式如通过技术手段非法获取公民个人信息的行为，需证明犯罪嫌疑人实施上述行为，除被害人陈述、犯罪嫌疑人供述和辩解外，还包括侦查机关从被害公司数据库中发现入侵电脑IP地址情况、从犯罪嫌疑人电脑中提取的侵入被害公司数据的痕迹等现场勘验检查笔录，以及涉案程序（木马）的司法鉴定意见等。
　　3. 有证据证明犯罪嫌疑人具有侵犯公民个人信息的主观故意
　　（1）证明犯罪嫌疑人明知没有获取、提供公民个人信息的法律依据或资格，主要证据包括：犯罪嫌疑人的身份证明、犯罪嫌疑人关于所从事职业的供述、其所在公司的工商资料和营业范围、公司关于犯罪嫌疑人的职责范围说明、公司主要负责人的证人证言等。
　　（2）证明犯罪嫌疑人积极实施窃取、出售、提供、购买、交换、收受公民个人信息的行为，主要证据除了证人证言、犯罪嫌疑人供述和辩解外，还包括远程勘验笔录、手机短信记录、即时通讯工具聊天记录、电子数据司法鉴定意见、银行账户明细、第三方支付平台账户明细等。
　　4. 有证据证明“情节严重”或“情节特别严重”
　　（1）公民个人信息购买者或收受者的证言或供述。
　　（2）公民个人信息购买、收受公司工作人员利用公民个人信息进行电话或短信推销、商务调查等经营性活动后出具的证言或供述。
　　（3）公民个人信息购买者或者收受者利用所获信息从事违法犯罪活动后出具的证言或供述。
　　（4）远程勘验笔录、电子数据司法鉴定意见书、最高人民检察院或公安部指定的机构对电子数据涉及的专门性问题出具的报告、公民个人信息资料等。证明犯罪嫌疑人通过即时通讯工具、电子邮箱、论坛、贴吧、手机等向他人出售、提供、购买、交换、收受公民个人信息的情况。
　　（5）银行账户明细、第三方支付平台账户明细。
　　（6）死亡证明、伤情鉴定意见、医院诊断记录、经济损失鉴定意见、相关案件起诉书、判决书等。
　　除审查逮捕阶段证据审查基本要求之外，对侵犯公民个人信息案件的审查起诉工作还应坚持“犯罪事实清楚，证据确实、充分”的标准，保证定罪量刑的事实都有证据证明；据以定案的证据均经法定程序查证属实；综合全案证据，对所认定的事实已排除合理怀疑。
　　1. 有确实充分的证据证明发生了侵犯公民个人信息犯罪事实。该证据与审查逮捕的证据类型相同。
　　2. 有确实充分的证据证明侵犯公民个人信息行为是犯罪嫌疑人实施的
　　（1）对于证明犯罪行为是犯罪嫌疑人实施的证据审查，需要结合《解释》精神，准确把握对“违反国家有关规定”“出售、提供行为”“窃取或以其他方法”的认定。
　　（2）对证明违反国家有关规定的证据审查，需要明确国家有关规定的具体内容，违反法律、行政法规、部门规章有关公民个人信息保护规定的，应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。
　　（3）对证明出售、提供行为的证据审查，应当明确“出售、提供”包括在履职或提供服务的过程中将合法持有的公民个人信息出售或者提供给他人的行为：向特定人提供、通过信息网络或者其他途径发布公民个人信息、未经被收集者同意，将合法收集的公民个人信息（经过处理无法识别特定个人且不能复原的除外）向他人提供的，均属于刑法第二百五十三条之一规定的“提供公民个人信息”。应当全面审查犯罪嫌疑人所出售提供公民个人信息的来源、途经与去向，对相关供述、物证、书证、证人证言、被害人陈述、电子数据等证据种类进行综合审查，针对使用信息网络进行犯罪活动的，需要结合专业知识，根据证明该行为的远程勘验笔录、扣押笔录、扣押物品清单、电子存储介质、网络存储介质等的司法鉴定意见进行审查。
　　（4）对证明通过窃取或以其他非法方法获取公民个人信息等方式非法获取公民个人信息的证据审查，应当明确“以其他方法获取公民个人信息”包括购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的行为。
　　针对窃取行为，如通过信息网络窃取公民个人信息，则应当结合犯罪嫌疑人供述、证人证言、被害人陈述，着重审查证明犯罪嫌疑人侵入信息网络、数据库时的IP地址、MAC地址、侵入工具、侵入痕迹等内容的现场勘验检查笔录以及涉案程序（木马）的司法鉴定意见等。
　　针对购买、收受、交换行为，应当全面审查购买、收受、交换公民个人信息的来源、途经、去向，结合犯罪嫌疑人供述和辩解、辨认笔录、证人证言等证据，对搜查笔录、扣押笔录、扣押物品清单、涉案电子存储介质等司法鉴定意见进行审查，明确上述证据同犯罪嫌疑人或公民个人信息购买、收受、交换者之间的关系。
　　针对履行职责、提供服务过程中收集公民个人信息的行为，应当审查证明犯罪嫌疑人所从事职业及其所负职责的证据，结合法律、行政法规、部门规章等国家有关公民个人信息保护的规定，明确犯罪嫌疑人的行为属于违反国家有关规定，以其他方法非法获取公民个人信息的行为。
　　（5）对证明涉案公民个人信息真实性证据的审查，应当着重审查被害人陈述、被害人提供的原始信息资料、公安机关或其他相关单位出具的涉案公民个人信息与权威数据库内信息同一性的对比说明。对批量的涉案公民个人信息的真实性问题，根据《解释》精神，可以根据查获的数量直接认定，但有证据证明信息不真实或重复的除外。
　　3. 有确实充分的证据证明犯罪嫌疑人具有侵犯公民个人信息的主观故意
　　（1）对证明犯罪嫌疑人主观故意的证据审查，应当综合审查犯罪嫌疑人的身份证明、犯罪嫌疑人关于所从事职业的供述、其所在公司的工商资料和营业范围、公司关于犯罪嫌疑人的职责范围说明、公司主要负责人的证人证言等，结合国家公民个人信息保护的相关规定，夯实犯罪嫌疑人在实施犯罪时的主观明知。
　　（2）对证明犯罪嫌疑人积极实施窃取或者以其他方法非法获取公民个人信息行为的证据审查，应当结合犯罪嫌疑人供述、证人证言，着重审查远程勘验笔录、手机短信记录、即时通讯工具聊天记录、电子数据司法鉴定意见、银行账户明细、第三方支付平台账户明细等，明确犯罪嫌疑人在实施犯罪时的积极作为。
　　4. 有确实充分的证据证明“情节严重”或“情节特别严重”。该证据与审查逮捕的证据类型相同。
　　二、需要特别注意的问题
　　在侵犯公民个人信息案件审查逮捕、审查起诉中，要根据相关法律、司法解释等规定，结合在案证据，重点注意以下问题：
　　（一）对“公民个人信息”的审查认定
　　根据《解释》的规定，公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。经过处理无法识别特定自然人且不能复原的信息，虽然也可能反映自然人活动情况，但与特定自然人无直接关联，不属于公民个人信息的范畴。
　　对于企业工商登记等信息中所包含的手机、电话号码等信息，应当明确该号码的用途。对由公司购买、使用的手机、电话号码等信息，不属于个人信息的范畴，从而严格区分“手机、电话号码等由公司购买，归公司使用”与“公司经办人在工商登记等活动中登记个人电话、手机号码”两种不同情形。

　　（二）对“违反国家有关规定”的审查认定
　　《中华人民共和国刑法修正案（九）》将原第二百五十三条之一的“违反国家规定”修改为“违反国家有关规定”，后者的范围明显更广。根据刑法第九十六条的规定，“国家规定”仅限于全国人大及其常委会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令。而“国家有关规定”还包括部门规章，这些规定散见于金融、电信、交通、教育、医疗、统计、邮政等领域的法律、行政法规或部门规章中。
　　（三）对“非法获取”的审查认定
　　在窃取或者以其他方法非法获取公民个人信息的行为中，需要着重把握“其他方法”的范围问题。“其他方法”，是指“窃取”以外，与窃取行为具有同等危害性的方法，其中，购买是最常见的非法获取手段。侵犯公民个人信息犯罪作为电信网络诈骗的上游犯罪，诈骗分子往往先通过网络向他人购买公民个人信息，然后自己直接用于诈骗或转发给其他同伙用于诈骗，诈骗分子购买公民个人信息的行为属于非法获取行为，其同伙接收公民个人信息的行为明显也属于非法获取行为。同时，一些房产中介、物业管理公司、保险公司、担保公司的业务员往往与同行通过QQ、微信群互相交换各自掌握的客户信息，这种交换行为也属于非法获取行为。此外，行为人在履行职责、提供服务过程中，违反国家有关规定，未经他人同意收集公民个人信息，或者收集与提供的服务无关的公民个人信息的，也属于非法获取公民个人信息的行为。
　　（四）对“情节严重”和“情节特别严重”的审查认定
　　1. 关于“情节严重”的具体认定标准，根据《解释》第五条第一款的规定，主要涉及五个方面：
　　（1）信息类型和数量。①行踪轨迹信息、通信内容、征信信息、财产信息，此类信息与公民人身、财产安全直接相关，数量标准为五十条以上，且仅限于上述四类信息，不允许扩大范围。对于财产信息，既包括银行、第三方支付平台、证券期货等金融服务账户的身份认证信息（一组确认用户操作权限的数据，包括账号、口令、密码、数字证书等），也包括存款、房产、车辆等财产状况信息。②住宿信息、通信记录、健康生理信息、交易信息等可能影响公民人身、财产安全的信息，数量标准为五百条以上，此类信息也与人身、财产安全直接相关，但重要程度要弱于行踪轨迹信息、通信内容、征信信息、财产信息。对“其他可能影响人身、财产安全的公民个人信息”的把握，应当确保所适用的公民个人信息涉及人身、财产安全，且与“住宿信息、通信记录、健康生理信息、交易信息”在重要程度上具有相当性。③除上述两类信息以外的其他公民个人信息，数量标准为五千条以上。
　　（2）违法所得数额。对于违法所得，可直接以犯罪嫌疑人出售公民个人信息的收入予以认定，不必扣减其购买信息的犯罪成本。同时，在审查认定违法所得数额过程中，应当以查获的银行交易记录、第三方支付平台交易记录、聊天记录、犯罪嫌疑人供述、证人证言综合予以认定，对于犯罪嫌疑人无法说明合法来源的用于专门实施侵犯公民个人信息犯罪的银行账户或第三方支付平台账户内资金收入，可综合全案证据认定为违法所得。
　　（3）信息用途。公民个人信息被他人用于违法犯罪活动的，不要求他人的行为必须构成犯罪，只要行为人明知他人非法获取公民个人信息用于违法犯罪活动即可。
　　（4）主体身份。如果行为人系将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的，涉案信息数量、违法所得数额只要达到一般主体的一半，即可认为“情节严重”。
　　（5）主观恶性。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的，即可认为“情节严重”。
　　2. 关于“情节特别严重”的认定标准，根据《解释》，主要分为两类：一是信息数量、违法所得数额标准。二是信息用途引发的严重后果，其中造成人身伤亡、经济损失、恶劣社会影响等后果，需要审查认定侵犯公民个人信息的行为与严重后果间存在因果关系。
　　对于涉案公民个人信息数量的认定，根据《解释》第十一条，非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算；向不同单位或者个人分别出售、提供同一公民个人信息的，公民个人信息的条数累计计算；对批量出售、提供公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。在实践中，如犯罪嫌疑人多次获取同一条公民个人信息，一般认定为一条，不重复累计；但获取的该公民个人信息内容发生了变化的除外。
　　对于涉案公民个人信息的数量、社会危害性等因素的审查，应当结合刑法第二百五十三条和《解释》的规定进行综合审查。涉案公民个人信息数量极少，但造成被害人死亡等严重后果的，应审查犯罪嫌疑人行为与该后果之间的因果关系，符合条件的，可以认定为实施《解释》第五条第一款第十项“其他情节严重的情形”的行为，造成被害人死亡等严重后果，从而认定为“情节特别严重”。如涉案公民个人信息数量较多，但犯罪嫌疑人仅仅获取而未向他人出售或提供，则可以在认定相关犯罪事实的基础上，审查该行为是否符合《解释》第五条第一款第三、四、五、六、九项及第二款第三项的情形，符合条件的，可以分别认定为“情节严重”“情节特别严重”。
　　此外，针对为合法经营活动而购买、收受公民个人信息的行为，在适用《解释》第六条的定罪量刑标准时须满足三个条件：一是为了合法经营活动，对此可以综合全案证据认定，但主要应当由犯罪嫌疑人一方提供相关证据；二是限于普通公民个人信息，即不包括可能影响人身、财产安全的敏感信息；三是信息没有再流出扩散，即行为方式限于购买、收受。如果将购买、收受的公民个人信息非法出售或者提供的，定罪量刑标准应当适用《解释》第五条的规定。
　　（五）对关联犯罪的审查认定
　　对于侵犯公民个人信息犯罪与电信网络诈骗犯罪相交织的案件，应严格按照《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》（法发〔2016〕32号）的规定进行审查认定，即通过认真审查非法获取、出售、提供公民个人信息的犯罪嫌疑人对电信网络诈骗犯罪的参与程度，结合能够证实其认知能力的学历文化、聊天记录、通话频率、获取固定报酬还是参与电信网络诈骗犯罪分成等证据，分析判断其是否属于诈骗共同犯罪、是否应该数罪并罚。
　　根据《解释》第八条的规定，设立用于实施出售、提供或者非法获取公民个人信息违法犯罪活动的网站、通讯群组，情节严重的，应当依照刑法第二百八十七条之一的规定，以非法利用信息网络罪定罪；同时构成侵犯公民个人信息罪的，应当认定为侵犯公民个人信息罪。
　　对于违反国家有关规定，采用技术手段非法侵入合法存储公民个人信息的单位数据库窃取公民个人信息的行为，也符合刑法第二百八十五条第二款非法获取计算机信息系统数据罪的客观特征，同时触犯侵犯公民个人信息罪和非法获取计算机信息系统数据罪的，应择一重罪论处。
　　此外，针对公安民警在履行职责过程中，违反国家有关规定，查询、提供公民个人信息的情形，应当认定为“违反国家有关规定，将在履行职责或者提供服务过程中以其他方法非法获取或提供公民个人信息”。但同时，应当审查犯罪嫌疑人除该行为之外有无其他行为侵害其他法益，从而对可能存在的其他犯罪予以准确认定。
　　三、社会危险性及羁押必要性审查
　　1. 犯罪动机：一是出售牟利；二是用于经营活动；三是用于违法犯罪活动。犯罪动机表明犯罪嫌疑人主观恶性，也能证明犯罪嫌疑人是否可能实施新的犯罪。
犯罪情节。犯罪嫌疑人的行为直接反映其人身危险性。具有下列情节的侵犯公民个人信息犯罪，能够证实犯罪嫌疑人主观恶性和人身危险性较大，实施新的犯罪的可能性也较大，可以认为具有较大的社会危险性：一是犯罪持续时间较长、多次实施侵犯公民个人信息犯罪的；二是被侵犯的公民个人信息数量或违法所得巨大的；三是利用公民个人信息进行违法犯罪活动的；四是犯罪手段行为本身具有违法性或者破坏性，即犯罪手段恶劣的，如骗取、窃取公民个人信息，采取胁迫、植入木马程序侵入他人计算机系统等方式非法获取信息。
　　犯罪嫌疑人实施侵犯公民个人信息犯罪，不属于“情节特别严重”，系初犯，全部退赃，并确有悔罪表现的，可以认定社会危险性较小，没有逮捕必要。
　　在审查起诉阶段，要结合侦查阶段取得的事实证据，进一步引导侦查机关加大捕后侦查力度，及时审查新证据。在羁押期限届满前对全案进行综合审查，对于未达到逮捕证明标准的，撤销原逮捕决定。
　　经羁押必要性审查，发现犯罪嫌疑人具有下列情形之一的，应当向办案机关提出释放或者变更强制措施的建议：
　　1. 案件证据发生重大变化，没有证据证明有犯罪事实或者犯罪行为系犯罪嫌疑人、被告人所为的。
　　2. 案件事实或者情节发生变化，犯罪嫌疑人、被告人可能被判处拘役、管制、独立适用附加刑、免予刑事处罚或者判决无罪的。
　　3. 继续羁押犯罪嫌疑人、被告人，羁押期限将超过依法可能判处的刑期的。
　　4. 案件事实基本查清，证据已经收集固定，符合取保候审或者监视居住条件的。
　　经羁押必要性审查，发现犯罪嫌疑人、被告人具有下列情形之一，且具有悔罪表现，不予羁押不致发生社会危险性的，可以向办案机关提出释放或者变更强制措施的建议：
　　1. 预备犯或者中止犯；共同犯罪中的从犯或者胁从犯。
　　2. 主观恶性较小的初犯。
　　3. 系未成年人或者年满七十五周岁的人。
　　4. 与被害方依法自愿达成和解协议，且已经履行或者提供担保的。
　　5. 患有严重疾病、生活不能自理的。
　　6. 系怀孕或者正在哺乳自己婴儿的妇女。
　　7. 系生活不能自理的人的唯一扶养人。
　　8. 可能被判处一年以下有期徒刑或者宣告缓刑的。
　　9. 其他不需要继续羁押犯罪嫌疑人、被告人的情形。

　　第一条　提供下列服务的单位和个人，应当认定为刑法第二百八十六条之一第一款规定的“网络服务提供者”：
　　（一）网络接入、域名注册解析等信息网络接入、计算、存储、传输服务；
　　（二）信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务；
　　（三）利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。
　　第二条　刑法第二百八十六条之一第一款规定的“监管部门责令采取改正措施”，是指网信、电信、公安等依照法律、行政法规的规定承担信息网络安全监管职责的部门，以责令整改通知书或者其他文书形式，责令网络服务提供者采取改正措施。
　　认定“经监管部门责令采取改正措施而拒不改正”，应当综合考虑监管部门责令改正是否具有法律、行政法规依据，改正措施及期限要求是否明确、合理，网络服务提供者是否具有按照要求采取改正措施的能力等因素进行判断。

第二百五十三条之一（《刑法修正案（九）》第十七条）侵犯公民个人信息罪（取消出售、非法提供公民个人信息罪和非法获取公民个人信息罪罪名）

二、公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。对于在履行职责或者提供服务过程中，将获得的公民个人信息出售或者非法提供给他人，被他人用以实施犯罪，造成受害人人身伤害或者死亡，或者造成重大经济损失、恶劣社会影响的，或者出售、非法提供公民个人信息数量较大，或者违法所得数额较大的，均应当依法以非法出售、非法提供公民个人信息罪追究刑事责任。对于窃取或者以购买等方法非法获取公民个人信息数量较大，或者违法所得数额较大，或者造成其他严重后果的，应当依法以非法获取公民个人信息罪追究刑事责任。对使用非法获取的个人信息，实施其他犯罪行为，构成数罪的，应当依法予以并罚。单位实施侵害公民个人信息罪的，应当追究直接负责的主管人员和其他直接责任人员的刑事责任。

第四十一条　网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

第九条　未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。

电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项。

电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。

电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务。

法律、行政法规对本条第一款至第四款规定的情形另有规定的，从其规定。

第十二条　电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制，公布有效的联系方式，接受与用户个人信息保护有关的投诉，并自接到投诉之日起十五日内答复投诉人。

十七、将刑法第二百五十三条之一修改为:“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。