侵犯个人信息罪判几年，贩卖公民信息罪怎么判。

《个人信息保护法》出台以前，2021年1月1日起施行的民法典对个人信息的定义作出了规定。个人信息是以电子或者其他方式记录的能够单独

要回答你的问题，需要明确很多情况，主要如下：

或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮

有无无罪可能性？

为切实贯彻实施民法典，最高人民法院对《民事案件案由规定》（以下简称《案由规定》）作出修改。其中，关于个人信息的保护，《案由规

证据是否确实充分？

《个人信息保护法》对个人信息的定义相较于民法典，略有简化。个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种

如果构罪，信息数量多少？有无重复计算？获利多少？

1.为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

有无职务获取信息的行为？

根据《个人信息保护法》第七章规定，违法处理个人信息的责任主体，可能会受到被没收违法所得、罚款、暂停相关业务或者停业整顿、吊

有无自首、立功、退赃等？

目前，裁判文书网中关于个人信息保护纠纷的案例数量较少。在(2021)京02民终10830号个人信息保护纠纷一案中，法院认为，除法律另有规定或

【扩展阅读】

侵犯公民个人信息罪是如何认定的？认定标准是什么？

非法获取公民个人信息会不会被判刑？

者权利人明确同意外，任何组织或者个人不得以电话、短信、即时通信工具等方式侵扰他人的私人生活安宁。从信息内容看，涉案短信涉嫌

可以取保候审的情况主要有：

商业性质信息骚扰。东方黑马公司未取得郭某的同意，即向其发送涉案2条短信，侵犯了郭某的私人生活安宁，应承担相应的侵权责任。

1.不构成犯罪。这种情况，侦查机关应该主动撤案。但司法实践中，很多侦查机关并不会主动撤案，而是对行为人进行取保候审，等到取保候审1年期满后，才自动撤案。

互联网与大数据时代，个人信息的整理、收集和传输变得越来越容易，利用个人信息侵扰群众生活的现象也屡见不鲜。那么我们该如何做好

2.证据不足，继续侦查。这种情况，是需要在取保候审1年内侦查相关证据，如果在1年内侦查不到定罪证据，则要撤销案件。如果侦查到了相关证据，则可以收监，提请检察院逮捕，走后续的司法流程。

学校在实施教学管理的过程中，不可避免的需要处理学生及学生家长的个人信息。从招生到学生毕业，基于学校自身的教学管理需求及配

3.构成犯罪，但刑期可能在3年以下，无社会危险性，可以取保候审。这种情况，就是情节轻微，无羁押必要性，可以取保。

合其他行政部门的管理需求，学校对学生及学生家长的个人信息处理贯穿始终。此前，关于个人信息保护的规范散落在多部法律法规当中，一

4.其他可取保的情况。比如，生活不能自理人的唯一赡养人，未成年人的唯一抚养人等。

定程度上回应了公众关切，但尚未全面建立起个人信息保护法律体系。再加上民众个人信息保护意识不够、能力不足、措施有限，个人信息处

再来看本罪的相关规定：

理者风险防范意识薄弱，导致现实生活中个人信息处理者在处理个人信息时比较粗犷，个人信息没有得到合理的保护，其社会危害已逐步显现。

侵犯公民个人信息罪，是指违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

2018年9月，《个人信息保护法》正式纳入人大立法规划，历经3年起草制定工作后，于2021年8月20日正式出台，将于2021年11月1日起实施

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

标志着与我国网络大国、数字大国相匹配的制度建设逐步走向成熟。《个人信息保护法》是我国首部系统规定个人信息处理规则的法律，它明

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

确了个人信息处理活动中的权力义务边界，规定了“双罚制”的行政责任，即个人信息处理单位和直接负责的主管人员和其他直接责任人员违法处理

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

《个人信息保护法》的亮点之一是对国家机关处理个人信息做了特别规定，特别强调国家机关处理个人信息的活动适用本法，并且处理个人信

基本概念解析：

息应当依照法律、行政法规规定的权限和程序进行，不得超出履行法定职责所必需的范围和限度。并规定法律、法规授权的具有管理公共事

“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

学校基于教学管理的需要以及可能涉及配合公共事务管理的需要，不可避免的成为“个人信息处理者”，需要对其个人信息处理活动负责，并采

“提供公民个人信息”，是指向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的。

取必要措施保障所处理的个人信息的安全。在《个人信息保护法》时代，学校如何合法合规处理个人信息十分重要，是个非常值得探讨的问题。

“以其他方法非法获取公民个人信息”，是指违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息。

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。包括但不限于自然人的姓名、

陈晓薇律师代理的侵犯公民个人信息罪中，很多都是通过黑客技术，侵入到目标计算机系统，获取个人信息后，再网络上销售给相关人员，进行牟利。比如，黑客将某外汇交易平台的客户信息抓取到，然后销售给另外一家外汇交易代理公司。将某现货交易平台的客户信息抓取，销售给另外一家现货交易平台公司。等等。

敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特

信息数量规定：

一、个人信息的收集过程不够谨慎。频繁收集、重复收集、收集方式比较随意（比如在相对开放的家长群使用共享文件公开收集）、收集人员也比较

1.非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算。

二、学校处理的个人信息常涉“敏感个人信息”，如不满十四周岁未成年人的个人信息均属于“敏感个人信息”，需要格外谨慎对待。

2.向不同单位或者个人分别出售、提供同一公民个人信息的，公民个人信息的条数累计计算。

三、因学校与学生及学生家长的密切关系，存在其他行政管理部门基于其他的社会管理需要委托学校收集学生及其家庭成员的个人信息的情况时有

3.对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。

更多潜在风险还需学校自身在专业人士的指导下，梳理自查个人信息处理活动的全流程，发现风险，排除、缓释风险，对个人信息处理活动进

二、依据《个人信息保护法》等相关法律规范，就学校处理个人信息的具体需求制定内部个人信息处理管理制度和操作规程，确保个人信息处理

量刑规定：

三、处理敏感个人信息、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息的，应当事前进行个人信息保护影响评估，

3年以下有期徒刑或拘役：

并对处理情况进行记录。个人信息保护影响评估应当包括下列内容：1、个人信息的处理目的、处理方式等是否合法、正当、必要；2、对个人权益的

1.出售或者提供行踪轨迹信息，被他人用于犯罪的；（没有数量规定，1条就构成犯罪）

关于个人信息保护的问题，我们将持续关注，帮助个人信息处理者提高合规意识，分类研究不同类型个人信息处理者的合规问题，和个人

2. 知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；（没有数量规定，1条就构成犯罪）

以“个人信息权益”定位本法保护客体，既回应了《民法典》对“个人信息权”权利地位的否定，同时又超越《民法典》“个人信息保护”的“扭捏”表达，

3. 非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的； （轨迹、通讯内容、征信信息、财产，大于50条就构罪）

值得注意的是，个保法中的“权益”不仅是私法上的民事权益，因个人信息处理者在大数据和算法技术加持下，他们与个人信息主体之间平等民事主体

4. 非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；（住宿、通讯记录并非通讯内容、健康信息、交易信息，大于500条就构罪）

关系难以为继，因此需要单行法设立专门规则对个人信息主体进行特别保护、对个人信息处理者进行特别规制。因此制定本法的根据不是《民法典》而是

5. 非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；（普通信息，实践中比较多的如电话号码等，大于5000条就构成犯罪）

但是，被宪法加持的“个人信息权益”指向的法益仍为个人信息主体的私人利益（虽有人格利益与财产利益之争，但不妨碍法益归于私人），个人信息保

6. 数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；

护的整体外在效益与公共利益，甚至主权国家安全相关，但微观上的个人信息保护法益并不指向公共领域。故个人信息保护法律关系非传统公法关

7. 违法所得五千元以上的；

A．“同意”被置于处理个人信息合法性基础的核心地位。这在第一次审议报告的以下表述可以印证——“确立以’告知—同意’为核心的个人信息处理一系列

8. 将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；

“安全”被置于最高价值位阶。“安全”被提及22次，仅次于“同意”，可以说个人信息保护的目标指向是安全，它不仅指个人安全，还包括公共安全和国家安

9. 曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的； （无信息数量要求）

全。个保法不是《民法典》的特别法，但在数据安全这个维度，说它是《数据安全法》的特别法并不为过，甚至个人信息保护法可以说就是个人信息安全

10. 为合法经营活动而非法购买、收受普通信息，获利5万元以上的；（合法经营，普通信息）

C．动态合规。“影响”“评估”“风险”这些不确定的术语在个保法中出现频次不低，而这些术语在其他立法文件中是少见的。这反映个保法的制度设计并不限于权

11.曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的。（无信息数量要求）

利义务的刚性规定，还希望通过动态调整策略，在安全价值和保护个人自决权的主轴下为个人信息处理相关的业务留出弹性空间。这一动态合规理念

3-7年有期徒刑：

受“场景理论”的影响，场景理论认为个人信息受保护的程度应与其所处的具体场景不同而异。有趣的是，场景理论是为克服“同意”为核心的规制框架之弊

1.行踪轨迹信息，被用于犯罪，造成被害人死亡、重伤、精神失常或者被绑架等严重后果的。

端而生的，即场景理论与个人信息自决理论是抵触相斥的。我国个保法遵循以“同意”为主，场景动态规制为辅的设计思路，实质是试图谋求这两者

2.知道用于实施犯罪，造成重大经济损失或者恶劣社会影响的。

处理个人信息达到国家网信部门规定数量的个人信息处理者（第40、52条）：境内存储，向境外提供应通过网信部门安全评估；应当指定个人信

3.轨迹、通讯内容、征信信息、财产，大于500条。

 因个人或者家庭事务处理个人信息的自然人（第72条）：非处理者。试想，我们在商业活动中获取他人名片，名片上所载的姓名、电话当属个人信息，我们

4.住宿、通讯记录并非通讯内容、健康信息、交易信息，大于5000条。

在其后“处理”这一名片过程中，也需满足个保法所规定的个人信息处理规则吗？当名片所有人因其岗位变更，他或她可以根据个保法行使“删除权”吗

5.普通信息，实践中比较多的如电话号码等，大于50000条。

鉴于我国个保法以处理行为地标准确定管辖范围，这可能导致境外的属人管辖出现真空，即中国企业在境外的个人信息处理活动不适用个保法。如境内注

6.违法所得五万元以上的。

册的企业，向境外自然人（甚至包括居住在境外具有中国国籍的自然人）提供产品或服务，该企业的处理行为在境外，数据存储在境外，服务器和

7.履职或提供服务过程中，按照上述标准一半的10倍计算。

个人信息的定义一直是个难题，《民法典》关于个人信息的定义与《网络安全法》一点是把识别的对象从“特定自然人身份”修正为“特定自然人”。这一

修正定义的意义在于个人信息所识别的指向不一定是确切知道具体身份的自然人，只要指向是一个特定的人、一个特定目标即可。依此，能识别特定用

律师建议：

从《民法典》到今天的个保法，个人信息定义日渐形成共识：“已识别+可识别+有关”的简洁结构，非常简明扼要地勾勒出“识别+关联”的判断路径

一般取保候审，在公安阶段和检察院阶段比较多，到了法院阶段，取保的可能性就非常小。建议还是抓住检察院审查逮捕的7天时间，尽全力争取。一旦逮捕，后续争取的可能性又会降低。

乍看起来这个“识别+关联”没毛病，但细究之，这个框架还是不能明确界定个人信息的范围。问题出在“关联”上，“关联”路径可能会导致个人信息范围

原创，未经许可，严禁转载！

泛化。譬如，张三，这一特定自然人已被识别出来，则与张三相关的信息，他的性别、电话号码、住址等等可能都成为个人信息，因为相关、关联这类术语本身的延展性，到底相关或关联到何种程度