四十四、侵犯公民个人信息罪 

第二百五十三条之一，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。 

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。 

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

（一）概述

1. 概念和构成要件 

侵犯公民个人信息罪，是指违反国家有关规定，向他人出售或者提供公民个人信息，或者窃取或以其他方法非法获取公民个人信息，情节严重的行为。

《刑法修正案(七)》第7条增设《刑法》第253条之一，规定了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。《刑 法修正案(九)》第 17 条作了修改完善，扩大犯罪主体的范围，明确规定对在履行职责或者提供服务过程中获得的公民个人信息，出售或者提 供给他人的行为从重处罚，并提升法定刑配置水平。修正后，罪名被整合为“侵犯公民个人信息罪”。

侵犯公民个人信息罪的构成要件和主要特征是: (1)本罪的客体是公民个人信息的安全及相关权益。犯罪对象是“公民个人信息”。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《办理侵犯 公民个人信息刑事案件解释》)第1条的规定，“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》第5条规定:“非法获取、出售、提供具有信息发布、即时通讯、支付结算等功能的互联网账号密码。个人生物识别信息，符合刑法第二百五十三条之一规定的，以侵犯公民个人信息罪追究刑事责任。对批量前述互联网账号密码、个人生物识别信息的条数，根据查获的数量直接认定，但有证据证明信息不真实或者重复的除外。

(2)客观方面表现为违反国家有关规定，向他人出售或者提供公民个人信息，或者窃取或以其他方法非法获取公民个人信息，情节严重的行为。根据《办理侵犯公民个人信息刑事案件解释》第2条的规定，违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为“违反国家有关规定”。

根据《办理侵犯公民个人信息刑事案件解释》第3条的规定，向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为“提供公民个人信息"。未经被收集者同意，将合法。收集的公民个人信息向他人提供的，属于“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。

根据《办理侵犯公民个人信息刑事案件解释》第4条的规定，违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于“以其他方法非法获取公民个人信息”

根据《刑法》第 253 条之一的规定，侵犯公民个人信息的行为，必须达到“情节严重”的程度，才构成犯罪。

(3)犯罪主体为一般主体，包括自然人和单位。在履行职责或者提供服务过程中获得公民个人信息的特殊主体，违反国家有关规定，将相关公民个人信息出售或者提供给他人的，从重处罚。

(4)主观方面由故意构成，过失不构成本罪。从实践来看，行为人多出于牟利的目的，但这并非本罪的构成要件。

2. 法定刑

依照《刑法》第 253条之一的规定，犯侵犯公民个人信息罪的，处三年以下有期徒刑或者拘役，并处或者单处罚金:情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

根据《办理侵犯公民个人信息刑事案件解释》第5条的规定，非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为的“情节严重”，构成侵犯公民个人信息罪：(1)出售或者提供行踪轨迹信息，被他人用于犯罪的；(2)知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；(3)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息 50条以上的；(4)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息 500条以上的；(5)非法获取、出售或者提供第3项、第4项规定以外的公民个人信息 500条以上的；(6)数量未达到第3项至第5项规定标准，但是按相应比例合计达到有关数量标准的；(7)违法所得5000元以上的；(8)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第3项至第7项规定标准一半以上的；(9)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；(10)其他情节严重的情形。

实施上述行为，具有下列情形之一的，应当认定为“情节特别严重”：(1)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的；(2)造成重大经济损失或者恶劣社会影响的；(3)数量或者数额达到前述第3项至第 8项规定标准十倍以上的；(4）其他情节特别严重的情形。

根据《办理侵犯公民个人信息刑事案件解释》第6条的规定，为合法经营活动而非法购买、收受《办理侵犯公民个人信息刑事案件解释》第5条第1款第3项、第4项规定以外的公民个人信息，具有下列情形之一的，应当认定为“情节严重”：(1）利用非法购买、收受的公民个人信息获利5 万元以上的；(2）曾因侵犯公民个人信息受过刑事处罚或者2年内受过行政处罚，又非法购买、收受公民个人信息的；(3）其他情节严重的情形。实施上述行为，将购买、收受的公民个人信息非法出售或者提供的，定罪量刑标准适用《办理侵犯公民个人信息刑事案件解释》第5条的规定。

根据 《办理侵犯公民个人信息刑事案件解释》第7条的规定，单位犯侵犯公民个人信息罪的，依照相应自然人犯罪的定罪量刑标准，对直接负责的主管人员和其他直接责任人员定罪处罚，并对单位判处罚金。

（二）疑难问题精析

1.如何把握“公民个人信息” 的主体范围

实践中的主要争议问题在于，对于《刑法》第253 条之一的“公民个人信息” 的主体如何把握，是限于中国公民，还是包括外国公民在内。我们认为，对“公民个人信息〞的主体范围应采取相对宽泛的理解，既包括中国公民的个人信息，也包括外国公民和其他无国籍人的个人信息。主要考虑如下：

第一，刑法的相关用语，如果对主体有限制的，通常会有明确规定。例如，侮辱国旗、国徽、国歌罪对象限制为中国的国旗、国徽、国歌，而不包括外国的国旗、国徽、国歌，故《刑法》第299条将对象明确规定为〝中华人民共和国国旗、国徽、国歌”。可以对比的是，《刑法》第232 条规定故意杀人罪的对象为 “人”，无疑不能将此处规定的“人”理解为中国人，否则对于在中国境内杀害外国人的案件无法适用该条规定。因此，从刑法规范用语的角度看，《刑法》第253 条之一的用语是“公民个人信息”，并未限定为〝中华人民共和国公民的个人信息”，故不应将此处的“公民个人信息”限制为中国公民的个人信息。

第二，外国人、无国籍人的信息应当同中国公民的信息一样受到刑法的平等保护，否则，会出现对外籍人、无国籍人个人信息保护的缺失，这显然不符合立法精神和主旨。基于平等适用刑法原则，无论是侵犯我国境内的外国人、无国籍人个人信息的刑事案件，还是我国境内危害行为侵犯境外的外国人、无国籍人个人信息的刑事案件，我国均享有当然的刑事管辖权，对于这类刑事案件没有理由不适用我国刑法的规定追究刑事责任。

第三，从司法实践的具体情况看，将大量外籍人、无国籍人个人信息排除在刑法保护之外，无疑放纵了犯罪。特别是，对于一起侵犯公民个人信息犯罪案件所涉及的个人信息既有我国公民的个人信息，也有外国公民、无国籍人的个人信息的，只处罚涉及我国公民个人信息的部分，既不合理，也难操作。

2.出售、提供公民个人公开信息的犯罪问题

通常认为，个人信息与个人隐私之间虽有交叉但亦有区别。《办理侵犯公民个人信息刑事案件解释》第1条没有采用“涉及个人隐私信息”的表述，而是表述为 “反映特定自然人活动情况的各种信息”。因此，公民个人信息不要求具有个人隐私的特征。即便相关信息已经公开，不属于个人隐私的范畴，但仍有可能成为“公民个人信息”。然而，相关公民个人信息既然已经公开，获取行为无疑是合法的，但后续出售、提供的行为是否合法，是否构成侵犯公民个人信息罪，则在司法实践中存在争议。我们主张不应一概而论，宜区分情况作出处理：

其一，对于权利人自愿公开、甚至主动公开的公民个人信息，行为人获取相关信息后出售、提供的行为，不宜以侵犯公民个人信息罪论处。对于公开的个人信息，由于信息已经处于公开状况，获取无须征得同意，对此应无疑义；但是，在获取相关公开信息后进而提供的行为，是否需要取得“二次授权”( 即在获取相关信息后，提供相关信息需要告知同意)，则存在较大争议。可以说，《民法典》为这一争议问题作了明晰，即否定〝二次授权”的规则。《民法典》第1036 条规定：“处理个人信息，有下列情形之一的，行为人不承担民事责任：……（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外……“据此，对公开的个人信息的合理处理可以推定自然人概括同意，即除了“该自然人明确拒绝或者处理该信息侵害其重大利益的〞情形外，不需要通知和征得该自然人或或者其监护人同意。在处理相关刑事案件时，对于未通知并征得自然人同意而获取、提供公开的个人信息的案件，只要行为人的获取、提供行为处于 〝合理” 限度之内，除证明该自然人明确拒绝，或者相关获取、提供行为侵害了该自然人重大利益的外，应当认为相关获取、提供的行为属于合法行为，不属于 “违反国家有关规定〞获取、提供公民个人信息的行为，更不应当认定为构成侵犯公民个人信息罪。此外，对于《民法典》第1036 条第2项规定的“合理处理” 的认定，应当采用相对宽泛的理解。原则上，只要法律、法规没有明确禁止的处理行为，均可以认定为“合理处理”，至少不能认定为犯罪。

其二，对于行为人非自愿公开或者非主动公开的公民个人信息，行为人获取相关信息后出售、提供的行为，可以根据情况以侵犯公民个人信息罪论处。实践中，有些公开信息并非系权利人自愿公开，如个人信息被他人通过信息网络或者其他途径发布；有些信息的扩散并非权利人的意愿，如权利人发现个人信息被收集后主动要求行为人删除。上述情形中，获取相关信息的行为可以认定为合法，但后续的出售或者提供行为明显违背了权利人意愿，对其个人隐私和生活安宁造成侵犯，对其中情节严重的行为完全可以适用侵犯公民个人信息罪予以惩治。

3. 如何把握公民个人部分关联信息的问题

公民个人信息须与特定自然人关联，这是公民个人信息所具有的关键属性。因此，经过处理无法识别特定个人且不能复原的信息，虽然也可能反映自然人的活动情况，但与特定自然人无直接关联，不能被纳入公民个人信息的范畴。对于与特定自然人的关联，可以是识别特定自然人身份，也可以是反映特定自然人活动情况。需要注意的是，无论是识别特定自然人身份，还是反映特定自然人活动情况，都应当是能够单独或者与其他信息相结合所具有的功能。例如，身份证号与公民个人身份一一对应，可以单独识别公民个人身份；而工作单位、家庭住址等无法单独识别公民个人身份，需要同其他信息结合才能识别公民个人身份。但是，上述两类信息无疑都属于公民个人信息的范畴。

对于不能单独识别特定自然人身份或者反映特定自然人的活动情况的部分关联信息中的哪些信息可以纳入“公民个人信息” 的范畴，即公民个人信息所要求的可识别程度，实践中存在不同认识。例如，行为人系医药代表，基于向医生给予回扣的目的，从医院计算机主管处非法获取了有关病床使用其负责销售的药品情况。相关信息只涉及病床号（相应病床由特定医生负责）和使用特定药品情况，无病人姓名、身份证号等其他个人信息。该案例的主要争议问题在于如何认定公民个人信息的可识别性。我们主张，在司法适用中具体判断部分关联信息是否可以认定为“公民个人信息”时，可以从信息本身的重要程度、需要结合的其他信息的程度、行为人主观目的等三个方面加以判断。具体而言：（1）信息本身的重要程度。如果涉案的信息与人身安全、财产安全密切相关，敏感程度较高，则对于此类信息在认定是否属于〝公民个人信息”时，可以采取相对从宽的标准。(2）需要结合的其他信息的程度。如果涉案信息本身与特定自然人的身份、活动情况关联程度高，需要结合的其他信息相对较少，则认定为“公民个人信息”的可能性较大；反之，如果需要结合的其他信息过多，则认定为“公民个人信息”的可能性较小。(3）行为人主观目的。如果行为人主观上获取涉案信息就不需要识别特定自然人身份或者反映特定自然人活动情况，则此类部分关联信息原则上不宜认定为“公民个人信息〞。按照以上原则，上述案件所涉信息不宜纳入“公民个人信息〞的范畴。主要考虑如下：该案涉及的病床号、用药情况等信息本身与权利人的人身安全、财产安全关联不大，敏感性程度较低，将其认定为公民个人信息宜从严把握；该案涉及的病床号、用药情况等信息无法直接识别特定自然人，需要结合姓名等其他重要个人信息或者较多其他个人信息才能识别特定自然人；从行为人的主观目的来看，其只是想获取特定病床号的用药情况，至于该病床所关联的具体自然人并非其主观所追求的。

4.如何把握公民个人敏感信息的范围

基于不同类型公民个人信息的重要程度，《办理侵犯公民个人信息刑事案件解释》第5条分别设置了 50条以上、500条以上、5000 条以上的入罪标准。从司法实践来看，在具体案件中仍然存在对于相关数量标准适用的争议，集中表现为敏感信息的认定问题。有必要强调的是，对于侵犯公民个人敏感信息的行为之所以设置不同于一般公民个人信息的入罪标准，就在于敏感信息涉及人身安全和财产安全，其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪，具有更大的社会危害性。这是认定公民个人敏感信息应当考量的关键因素。

例如，行为人设立钓鱼网站，获取他人的 12306 账户名和密码，进而获取了他人的火车票信息。火车票载明了姓名、车次、时间、起始站点等信息。该案例的主要争议问题在于如何把握〝行踪轨迹信息”的范围。从实践来看，行踪轨迹信息系直接涉及人身安全的公民个人信息，敏感程度最高。从交易价格来看，行踪轨迹信息通常是最为昂贵的信息类型。因此，《办理侵犯公民个人信息刑事案件解释》第5条明确规定非法获取、出售或者提供行踪轨迹信息 50条以上的，即构成犯罪。鉴于行踪轨迹信息的入罪标准已极低，实践中宜严格把握其范围，只宜理解为GPS 定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息。对于里然也涉及公民个人轨迹的其他信息，通常不宜納人其中。实践中不妨以信息的交易价格情况作为参考，判断是否可以纳入“行踪轨迹信息” 的范畴。就上述案例而言，行为人获取他人火车票信息后，可以根据火车票载明的信息判断出他人的行踪情况，但根据前述原则，不宜将其认定为《办理侵犯公民个人信息刑事案件解释》所称的〝行踪轨迹信息”。

又如，行为人从车辆管理机构工作人员处非法购买车辆信息，具体涉及车主、车辆型号、发动机号、联系电话等信息。行为人购买上述信息后，拨打车主电话推销车辆保险。该案例的主要争议问题在于如何把握“财产信息〞的范围。财产信息包括存款、房产等财产状况信息，对此应无疑义。本案中，行为人获取的车辆信息已较为具体，通常认定为“财产信息〞亦无不当。但是，综合考虑本案的具体情况，我们主张将相关信息不认定为 《办理侵犯公民个人信息刑事案件解释》所称的〝财产信息”。主要考虑如下：(1）如前所述，鉴于涉敏感信息的案件入罪门槛低，应当采用严格适用的立场，以控制打击面。(2）犯罪应当是主客观相统一的产物，坚持主客观相统一原则是刑法适用的基本要求。本案中，行为人获取的车辆相关信息确实较为具体，符合“财产信息”的一般特征，但行为人的主观目的就是推销车辆保险，并非用于实施针对人身或者财产的侵害行为，故对其适用一般公民个人信息的入罪标准更为妥当。

5.如何把握为合法经营活动购买、收受公民个人信息定罪量刑的特殊标准

从实践来看，购买、收受公民个人信息从事广告推销等活动的情形较为普遍。为了秉持刑法的谦抑性，体现宽严相济，《办理侵犯公民个人信息刑事案件解释》第6条第1款规定：“为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的‘情节严重’：（一）利用非法购买、收受的公民个人信息获利五万元以上的；

（二）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的;（三）其他情节严重的情形。”这是《办理侵犯公民个人信息刑事案件解释》针对为合法经营活动而购买、收受公民个人信息的行为设置的专门的定罪量刑标准。而且，考虑到此类行为社会危害性不大，即使构成犯罪，通常也不需要升档量刑，故只规定了 “情节严重”的具体情形。

需要注意的是，适用该定罪量刑标准须满足三个条件：一是为了合法经营活动，对此可以综合全案证据认定，但主要应当由被告方提供相关证据;二是限于普通公民个人信息，即不包括可能影响人身、财产安全的敏感信息;三是信息没有再流出扩散，即行为方式限于购买、收受。

根据 《办理侵犯公民个人信息刑事案件解释》第6条第2款的规定，如果将购买、收受的公民个人信息非法出售或者提供的，定罪量刑标准应当适用《办理侵犯公民个人信息刑事案件解释》第5条的规定。对此应当注意的是，为了合法经营活动交换公民个人信息的，由于在获取信息的同时造成了信息扩散，不符合前述三个要件，定罪量刑标准亦应适用《办理侵犯公民个人信息刑事案件解释》第5条的规定。

从司法实践来看，具体案件中对 〝获利”的认定存在较大争议。例如，行为人合法开办企业后，为了进行广告推销，花费 5000 元购买电话号码等个人信息。至案发时，行为人开办的企业收入10万元。该案例的主要争议问题在于获利数额是否需要扣除成本的问题。我们主张应当扣除成本。主要考虑如下：(1)《办理侵犯公民个人信息刑事案件解释》第6条之所以对为合法经营活动购买、收受公民个人信息规定定罪量刑的特殊标准，就在于该类情形较为普遍，且社会危害性相对较小，故在具体适用刑法时应秉持谦抑，体现宽严相济。因此，在适用“利用非法购买、收受的公民个人信息获利五万元以上〞规定时，自然应当体现控制打击面的精神。（2）实践中，合法经营活动的获利情况十分复杂，有利用非法购买、收受的公民个人信息的因素，也有行为人合法经营的因素。在此背景下，自然不宜不扣除成本计算获利数额。

6. 如何把握设立网站、通讯群组侵犯公民个人信息行为的定性

实践中，一些行为人通过建立网站供他人进行公民个人信息交换、买卖等活动，以非法牟利。此类网站存储、流转公民个人信息量巨大，但网站建立者、直接负责的管理者未直接接触公民个人信息，不少情形下难以按照侵犯公民个人信息罪定罪处罚。根据《刑法》第287条之一的规定，设立用于实施违法犯罪活动的网站、通讯群组，情节严重的，构成非法利用信息网络罪。经研究认为，供他人实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组实际上属于 “用于实施违法犯罪活动的网站、通讯群组”。因此，《办理侵犯公民个人信息刑事案件解释》第8条规定：“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组，情节严重的，应当依照刑法第二百八十七条之一的规定，以非法利用信息网络罪定罪处罚；同时构成侵犯公民个人信息罪的，依照侵犯公民个人信息罪定罪处罚。”

7.如何把握非法使用公民个人信息行为的定性

窃取或者以其他方法非法获取公民个人信息，或者将自己掌握的公民个人信息出售、非法向他人提供的行为可能构成相应犯罪，但是，将自己掌握的公民个人信息（包括合法获取或者非法获取的公民个人信息）非法使用的行为，却不能直接依据 《刑法》 第253 条之一的规定入罪。"

当然，单纯非法使用公民个人信息的行为未单独入罪，只是意味着不能

仅仅因为使用公民个人信息的行为非法而认定其具有刑事违法性，但并不意味着不能依据相关行为的刑事违法程度予以刑事惩治。对此，可以考虑相关行为的性质作出处理：如果行为人所掌握的公民个人信息系窃取或者以其他方法非法获取的，可以对非法获取行为适用侵犯公民个人信息罪；如果非法使用所掌握的公民个人信息，实施诈骗、敲诈勒索等其他犯罪行为的，可以依据其他犯罪论处。

8.如何把握非法持有公民个人信息的处理规则

《刑法》第253 条之一只是将非法获取、出售、提供公民个人信息的行为人罪，对于实践中已经出现的非法持有大量公民个人信息案件，如果棖据在案证据，适当运用推定规则，证明涉案公民个人信息系非法获取或者用于非法出售、提供的，则可以适用侵犯公民个人信息罪定罪处罚。

9.如何把握侵犯公民个人信息罪与诈骗罪的并罚规则

《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》规定：“使用非法获取的公民个人信息，实施电信网络诈骗犯罪行为，构成数罪的，应当依法予以并罚。”据此，对于非法获取公民个人信息后，实施电信网络诈骗等犯罪，构成数罪的，应当依法予以并罚。

10. 如何计算涉案公民个人信息的数量

根据《办理侵犯公民个人信息刑事案件解释》第11 条的规定，结合司法实践的情况，对涉案公民个人信息的数量应 当按照如下规则把握：

（1）公民个人信息的条数计算。关于公民个人信息的条数计算，《办理侵犯公民个人信息刑事案件解释》未作专门规定。实践中可以综合考虑实践交易规则和习惯，准确认定公民个人信息的条数。例如，同一条信息涉及家庭住址、银行卡信息、电话号码等多类别个人信息，如果是按照一条公民个人信息来交易的，则往往会认定为一条公民个人信息。特别是，有些情形下〝一条”公民个人信息应当理解为〝—组”公民个人信息。例如，公民个人的银行账户、支付结算账户、证券期货等金融服务账户的身份认证信息，应当理解为一组确认用户操作权限的数据，包括账号、口令、密码、数字证书等，而非单个数据。

对于实践中存在的针对同一对象非法获取公民信息后又出售或者提供的情形，则明显不宜先计算非法获取的公民个人信息数量、再计算出售或者提供的公民个人信息数量，故《办理侵犯公民个人信息刑事案件解释》第11条第1款规定：“非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算。”此外，考虑到公民个人信息可能被重复出售或者提供，其社会危害性明显不同于向他人出售或者提供一次的情形，故而，《侵犯公民个人信息罪解释》第11条第2款规定：“向不同单位或者个人分别出售、提供同一公民个人信息的，公民个人信息的条数累计计算。”

（2）批量公民个人信息的数量认定。从实践来看，除公民个人敏感信息外，涉案的公民个人信息动辄上万条甚至数十万条。此类案件中，不排除少数情况下存在信息重复，如针对同一对象并存“姓名＋住址^“姓名＋电话号码”“姓名＋身份证号〞 等数条信息，但要求做到完全去重较为困难。此外，对于信息的真实性也难以一一核实。个别案件中，要求办案机关电话联系权利人核实公民个人信息的做法，明显不合适。基于此，《办理侵犯公民个人信息刑事案件解释》第11条第3款规定：“对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。”需要注意的是，推定规则并不意味着举证责任的倒置，公诉机关仍然承担对公民个人信息数量的举证责任。

基于此，对于批量公民个人信息仍然应当要求作去重处理，对于明显重复的信息应当予以排除。这从技术角度并不存在难题，且对于确保案件的质量大有裨益。

此外，需要强调的是，对于敏感公民个人信息不宜适用《办理侵犯公民个人信息刑事案件解释》第11 条第3款的规定，而应当逐一认定。主要考虑如下：其一，从司法实践来看，一般公民个人信息的价格相对较低，甚至不会按条计价，故要求逐一认定不具有可操作性；而公民个人敏感信息价格通常较高，通常按条计价，逐条认定不存在难题。其二，涉敏感信息的案件入罪标准较低，50 条或者 500 条即达到入罪标准。为此，对于此类案件要求逐一认定敏感信息的数量，对于确保定罪量刑的准确，完全必要。

来源：胡云腾、万春编著《刑法百罪疑难问题精析》

转自：南京刑事