据华商报5月30日的报道说，加强个人信息保护、提供公民个人信息违法所得五千元以上可入刑、新媒体纳入互联网新闻管理范畴……6月1日起，网络安全法、最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释、互联网新闻信息服务管理规定、互联网新闻信息服务许可管理实施细则等一批影响市民生活的新法规将施行。除了网络运营者不得泄露其收集的个人信息、中介买卖交换个人信息也算侵权、提供个人信息违法所得五千元以上可入刑外，微信公众号、网络直播等纳入互联网新闻管理范畴；采编发布、转载等需取得相应许可；未经许可或超范围开展信息服务活动的，最高罚三万元。

    其实，应该清楚的问题在于​侵犯公民个人信息罪入罪要件“情节严重”如何界定？拒不履行公民个人信息安全管理义务的行为是否担责？涉案公民个人信息的数量计算遵守怎样的规则？这对于侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。一般来说，对于设立网站侵犯个人信息可构成非法利用信息网络罪。而在司法实践中，一些行为人建立网站、通讯群组供他人进行公民个人信息交换、流转、销售，以非法牟利。

    倘若是根据刑法的有关规定来看，设立用于实施违法犯罪活动的网站、通讯群组，情节严重的，构成非法利用信息网络罪。供他人实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组实际上属于“用于实施违法犯罪活动的网站、通讯群组”。换句换说，对于设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组，情节严重的，应当依照刑法第二百八十七条之一的规定，以非法利用信息网络罪定罪处罚；同时构成侵犯公民个人信息罪的，依照侵犯公民个人信息罪定罪处罚。

    而对于一些个拒不履行管理义务，网络运营者或触刑法的，在当前的环境里面，其实也不少网络运营者因为履行职责或者提供服务的需要，掌握着海量公民个人信息，这些信息一旦泄露将造成恶劣社会影响和严重危害后果。对此，网络安全法明确规定了网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。为进一步促使网络服务提供者切实履行个人信息安全保护义务，那么对于网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。

​    即便如此，对于公民个人信息数量是侵犯公民个人信息案件定罪量刑标准的主要依据，至关重要。毕竟在其实践中，对于司法机关查获的涉案信息数量动辄上万条、数十万条，甚至以兆计算，那么怎样才能科学、合理认定信息数量是办案部门一直难以解决的问题。在其非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算，而且在对于非法获取了他人拨打电话的记录五十条，将其出售给同一人或者单位的，应当认定为侵犯公民个人信息五十条。

    此外就是对于​公民个人信息向不同对象分别出售、提供的，属于重复出售或者提供个人信息，社会危害性较一次性出售或提供危害性更大，数量应累计计算。比如，非法获取了他人拨打电话的记录五十条，将其出售给两个人或者单位的，应当认定为侵犯公民个人信息一百条。针对涉案的公民个人信息上万条甚至更多的，可能存在信息重复的情况，对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。

    然而​事实上，在随着公民个人信息领域违法犯罪行为频发多发，近年来我国不断加快对个人信息保护方面的立法步伐。刑法修正案（七）、中华人民共和国侵权责任法和关于加强网络信息保护的决定等法律法规，都包含对于个人信息保护的规定。一些关于个人信息保护内容的部门规章，不少地方基于本地实际情况还出台了地方性法规条例。这是与原先零散获取和贩卖公民个人信息不同，在移动互联网浪潮下，随着各种新兴经济模式对数据的开发利用走向极致，收集信息的渠道正从线下走入线上，规模也呈几何级数增长，这让个人信息安全面临更大风险。

    通常对于​隐私泄露助长电信诈骗，人肉搜索酿成生活悲剧，裸贷风波流出私密照片……近年来，侵犯公民个人信息的犯罪行为屡见不鲜。尤其是置身于无远弗届、几乎无所不能的互联网时代，个体的基本信息、消费习惯、位置轨迹等，都可被转化为数据存储起来，在技术层面降低了侵犯个人信息的违法成本。而人们拥抱数字化生活的过程，也意味着对部分个人信息使用权的主动让渡。凡此种种，都增加了个人信息泄露的风险。在这种背景下，通过司法解释补足法律和实践之间的空隙、指导司法实践，确需按下快进键。

    其实在目前的环境里，若是​有了实际侵害结果，法律制裁才会介入。今天的个人信息长期处于暴露的危险中，且很多时候，信息泄露对个人的侵害结果并不明确、让人难以觉察。因此，法律制裁就不能仅依据后果，而必须对潜在的风险作出判断，从信息的源头严格把控。新司法解释一定程度上反映了这种倾向。比如，广受关注的“内鬼条款”规定，掌握大量个人信息的单位内部员工，一旦借职务之便收集或泄露信息，将面临更严苛的惩罚。解释还规定，网络服务提供者不履行严格管理用户信息的义务，也可能入罪，由此确立了“谁收集谁保护”的预防原则。

    除此以外，​在信息采集源头建立“防护栏”亦应考虑，而对于相关部门可考虑建立信息采集准入机制，杜绝采集主体过多过滥现象；互联网平台在收集用户信息时要明确告知，促使公民加强自我防范意识。大数据时代呼唤新的个人信息保护模式，这包括从理论上明确在网络平台上产生的数据归谁所有，在立法上构建多层级法律制度，在执法上创新形式，比如鼓励非盈利性组织对危及个人信息安全的行为发起公益诉讼等。诸如此类。

    于2017年5月31日记​