一、引言

2021年11月1日，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）已经正式开始施行。该法共有八章，对个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门以及相关法律责任都作了详细的规定。

《个人信息保护法》并不是我国首部对公民个人信息进行的法律规定。早在2009年《刑法修正案（七）》就已经将个人信息纳入了刑法的保护范围，此后司法机关又陆续通过多个司法解释，对个人信息保护作更进一步的完善。除此之外，《中华人民共和国网络安全法》、《中华人民共和国民法典》也对个人信息保护作了相关规定。

二、基本概念

1.个人信息的定义

上述法律、司法解释对于“个人信息”内涵、范围的界定不尽相同，本报告按照时间顺序对此梳理如下：

如表所示，对“个人信息”的界定，大致经历了一个从具体到宽泛的变化历程。这种变化出现的原因在于，随着社会、网络、科技的迅速发展，能够识别自然人身份的信息不再局限于姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码这些传统信息，个人信息的边界更加宽广。例如在疫情防控期间，公民的健康码、行程轨迹也能反映识别出自然人的各种信息。

因而，对个人信息作这种宽泛的规定，体现出法律的灵活性，增加了其在实践中的适用性和可操作性，但同时也提高了对司法人员在甄别个人信息时的要求。

2.刑法罪名的变化

2.1《刑法修正案（七）》：出售、非法提供公民个人信息罪+非法获取公民公民个人信息罪

2009年《刑法修正案（七）》第七条规定：“在刑法第二百五十三条后增加一条，作为第二百五十三条之一：机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。

单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

随后，在《关于执行<中华人民共和国刑法>确定罪名的补充规定（四）》中将《刑法》第二百五十三条之一款罪名确定为“出售、非法提供公民个人信息罪”，将第二百五十三条之一第二款罪名确定为“非法获取公民公民个人信息罪”。

 2.2《刑法修正案（九）》：侵犯公民个人信息罪

《刑法修正案（九）》第十七条规定：“将刑法第二百五十三条之一修改为:违反有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

《刑法修正案（九）》第十七条将《刑法》第二百五十三条之一两款罪名合并，将本罪主体由特殊主体修改为一般主体，增设了从重处罚的规定，并将本罪法定刑由三年有期徒刑提高到七年有期徒刑。并在《关于执行<中华人民共和国刑法>确定罪名的补充规定（六）》中将第二百五十三条之一的罪名修改为“侵犯公民个人信息罪”，将原先的的两个罪名取消。

二、数据来源

1.检索平台：Kindlelaw数据库

2.检索条件：全文：公民个人信息,案由：刑事,法院：江苏省苏州市中级人民法院管辖,审理程序：一审,审理程序：二审

3.案    由：刑事

4.案件数量：398（注：应扣除2个文书重复案件）

三、可视化分析

本次检索获取了2021年11月03日前共398篇裁判文书。

1、案由

从上面的案由分布情况可以看到，当前最主要的案由是侵犯公民个人信息罪，在所检索的398件案例中，有314件，其次是出售、非法提供公民个人信息罪以及非法获取公民公民个人信息罪。如前所述，根据2015年11月1日起施行的《关于执行<中华人民共和国刑法>确定罪名的补充规定（六）》的规定，“出售、非法提供公民个人信息罪”以及“非法获取公民公民个人信息罪”已被“侵犯公民个人信息罪”取代。

2、审理程序

 从上面的程序分类统计可以看到当前的审理程序分布状况。一审案件占比92.21%，二审案件占比7.79%。

3、管辖法院

从法院层级的统计来看，此类案件大多由基层法院审理，占比92.21%，其次是由中级法院法院审理，占比7.79%。

从具体管辖法院来看，吴江区人民法院审理的此类案件数量最多，有116件，除吴江区人民法院与常熟市人民法院外，其他各个法院审理的案件数量相对平均。

4、各年份案件数量

从上面各年份案件数量的统计来看，2014年至2020年，侵犯个人信息罪案件大致呈上升态势。

 5、单位犯罪占比（10个）

从上面对单位犯罪案件占比的统计来看，2014年至2020年，单位犯罪案件较少，只有10件。

四、对二审改判案件的分析

从上面31件二审案件审理结果统计来看：

依法改判的案件有4件，其中包括一个抗诉案件；驳回上诉、维持原判的案件有16件；二审准许撤回上诉案件有11件。

五、其他

在检索的398个侵犯公民个人信息犯罪案件中，除去重复的2个案件以及二审的31个案件外，在365个一审案件中，还存在一些特殊案由和情形的案件，其中有2个非法利用信息网络罪案件、2个渎职犯罪案件以及10个单位犯罪案件。

六、结语

法律是时代的产物。在互联网与大数据时代，《个人信息保护法》的颁布和实施可谓必然，填补了我国在个人信息保护领域的法律空白。在这样的时代和法律背景下，企业如何落实《个人信息保护法》，构建起企业信息与数据合规体系，是其面临的一大重要挑战。例如，《个人信息保护法》要求达到网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，这里的“个人信息处理者”就应当包括企业。该法还明确规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

因此，相关企业需及时建立健全个人信息、数据保护合规机制，履行个人信息保护的法律义务。

作者简介

汪前圆，江苏瀛元律师事务所律师助理，安徽大学法学学士、江西理工大学法律硕士。 

专业领域： 环境犯罪、经济犯罪、职务犯罪、人身权利的刑法保护、刑民交叉、刑事侦查和司法制度改革、刑事疑难案例研究等法律问题。

特别声明

本文和其内容仅代表作者本人观点，不视为江苏瀛元律师事务所或其律师的法律意见或建议。

转载请注明作者和出处“江苏瀛元律师事务所”。