量刑分两档。第一档情节严重,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。第二档情节特别严重,处三年以上七年以下有期徒刑,并处罚金。立案标准主要看信息数量或者违法所得数额。
敏感信息50条以上即构成情节严重。 行踪轨迹信息、通信内容、征信信息、财产信息这四类属于高度敏感信息。非法获取、出售或者提供这类信息达到50条以上,直接构成情节严重,可以立案追究刑事责任。行业内部人员利用职务便利获取这些信息,标准减半,25条就够。
重要信息500条以上构成情节严重。 住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息,达到500条以上就构成情节严重。这类信息虽然敏感度略低,但同样涉及个人隐私和安全,法律给予严格保护。
普通信息5000条以上构成情节严重。 除了上述两类信息之外的其他公民个人信息,比如姓名加电话号码、姓名加住址等,达到5000条以上就构成情节严重。这是实践中最常见的入罪门槛,很多买卖个人信息的案件都适用这个标准。
违法所得5000元以上直接入罪。 不管信息条数多少,只要通过买卖公民个人信息获利达到5000元以上,就构成情节严重,可以直接立案。这意味着即使买卖的信息数量不多,但单价高、获利多,同样面临刑事处罚。
情节特别严重的标准是十倍或者五万元以上。 信息数量达到上述标准的十倍以上,或者违法所得达到五万元以上,就进入第二档量刑,刑期升到三到七年。造成被害人死亡、重伤、精神失常等严重后果的,同样认定为情节特别严重。
买卖公民个人信息的正式罪名是侵犯公民个人信息罪。这个罪名规定在刑法第二百五十三条之一。买卖行为在法律上被认定为非法获取和非法提供公民个人信息的行为。
买卖行为同时触犯两个禁止性规定。 买进个人信息属于非法获取行为,卖出个人信息属于非法提供或者出售行为。一个人如果既买又卖,两个行为都触犯了刑法,但按照一个罪名从重处罚。两高司法解释明确,通过购买、收受、交换等方式获取公民个人信息的,属于以其他方法非法获取公民个人信息。
行业内部人员买卖信息从重处罚。 银行、医院、快递、电信、酒店等单位的工作人员,将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,法律明确规定要从重处罚。这类内部人员的信息泄露危害更大,因为涉及的信息往往更真实、更全面。立案标准也相应减半。
即使信息已经公开,非法买卖也构成犯罪。 有些信息可能在网络上已经公开,比如求职网站上的简历信息。但如果未经本人同意,通过购买方式获取这些信息用于其他目的,改变了信息的使用范围和用途,同样属于非法获取公民个人信息。最高人民法院指导性案例194号对此有明确裁判。
购买微信号、社交账号也构成犯罪。 微信号与手机号、银行卡绑定,能够识别特定自然人身份,属于公民个人信息。购买已注册的微信号,通过软件批量添加好友后转卖,这种行为构成侵犯公民个人信息罪。实践中这类案件越来越多,涉及的黑灰产业链条很长。
买卖公民个人信息首先违反刑法,构成侵犯公民个人信息罪。同时也违反了网络安全法、个人信息保护法等行政法规。违反法律规定的核心是未经信息主体同意,擅自收集、使用、提供、买卖个人信息。
刑法是最后的制裁手段。 买卖公民个人信息行为首先违反的是个人信息保护法。该法明确规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。违反这些规定,情节严重才上升到刑事犯罪层面。
网络安全法也禁止非法买卖信息。 网络安全法要求网络运营者对其收集的用户信息严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供个人信息。违反者由有关主管部门责令改正,没收违法所得,处以罚款。构成犯罪的依法追究刑事责任。
民法典同样保护个人信息。 民法典人格权编专门规定了个人信息保护条款,明确自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
违反行政法律面临行政处罚。 尚未达到刑事立案标准的买卖个人信息行为,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得。对违法处理个人信息的应用程序,责令暂停或者终止提供服务。拒不改正的,并处一百万元以下罚款。对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。