随着信息化建设的推进，信息资源成为重要的生产要素和社会财富。而在各类信息中，个人信息的价值日益凸显，成为数字经济最重要的元素之一。与之同时，个人信息泄露问题严重，个人信息安全成为一个全社会高度关注的问题。为保护公民个人信息，2009年2月28日起施行的《刑法修正案（七）》增设了刑法第二百五十三条之一，规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。《刑法修正案（七）》施行以来，各级公检法机关正确适用法律，准确认定事实，坚决依法惩处侵犯公民个人信息犯罪活动。2009年2月至2015年10月，全国法院新收出售、非法提供公民个人信息、非法获取公民个人信息刑事案件988起，审结969起，生效判决人数1415人。其中，新收出售、非法提供公民个人信息刑事案件101件，审结98件，生效判决人数142人；新收非法获取公民个人信息刑事案件887件，审结871件，生效判决人数1273人。

近年来，侵犯公民个人信息犯罪仍处于高发态势，不仅严重危害公民个人信息安全，而且与电信网络诈骗等犯罪存在密切关联，甚至与绑架、敲诈勒索等犯罪活动相结合，社会危害日益突出。为切实加大对公民个人信息的刑法保护力度，《刑法修正案（九）》对刑法第二百五十三条之一作出修改完善：一是扩大犯罪主体的范围，规定任何单位和个人违反国家有关规定，获取、出售或者提供公民个人信息，情节严重的，都构成犯罪；二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，从重处罚；三是提升法定刑配置水平，增加规定“处三年以上七年以下有期徒刑，并处罚金”。修改后，“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。《刑法修正案（九）》施行以来，各级公检法机关依据修改后刑法的规定，继续保持对侵犯公民个人信息犯罪的高压态势，实现案件量显著增长。2015年11月至2016年12月，全国法院新收侵犯公民个人信息刑事案件（含出售、非法提供公民个人信息、非法获取公民个人信息刑事案件）495件，审结464件，生效判决人数697人。

与此同时，司法实践反映，侵犯公民个人信息罪的具体定罪量刑标准尚不明确，一些法律适用问题存在争议，需要通过司法解释作出规定。为确保法律准确、统一适用，依法严厉惩治、有效防范侵犯公民个人信息犯罪，最高人民法院会同最高人民检察院，在公安部等有关部门的大力支持下，经深入调查研究、广泛征求意见，起草了《解释》。2017年3月20日最高人民法院审判委员会第1712次会议、2017年4月26日最高人民检察院第十二届检察委员会第63次会议审议通过了《解释》。

为确保《解释》的内容科学合理，能够适应形势发展、满足实践需要，在起草过程中，着重注意把握了以下几点：

第一，贯彻刑法修改精神，强化对公民个人信息的刑法保护。当前，侵犯公民个人信息犯罪呈高发多发态势，涉及的个人信息数量越来越大、类型越来越多。特别是，不少涉案公民个人信息事关他人财产乃至人身安全，如行踪轨迹、财产信息等敏感信息。基于当前侵犯公民个人信息犯罪的态势，根据修法精神，《解释》相关条文彰显了对侵犯公民个人信息犯罪的严惩立场，以加强对公民个人信息的刑法保护，有效维护公民的人身、财产安全和生活安宁。

第二，坚持问题导向，有效解决司法实务问题。从调研情况来看，对侵犯公民个人信息犯罪尚存在不少争议问题，亟需通过司法解释加以明确。例如，“公民个人信息”的内涵与外延，“出售或者提供公民个人信息”“非法获取公民个人信息”的理解，“情节严重”“情节特别严重”的把握，等等。基于此，《解释》相关条文以办理侵犯公民个人信息刑事案件存在的问题为基础，结合司法实际，作了明确规定。

第三，坚持安全与发展并重，兼顾个人信息保护与大数据发展的需要。在全球信息化快速发展的大背景下，大数据已成为国家重要的基础性战略资源，正引领新一轮科技创新。在大数据和云计算时代，包括个人信息在内的数据，只有充分地流动、共享、交易，才能实现集聚与规模效应，最大程度地发挥价值。但是，在数据流动、交易过程中如何保护公民个人信息的安全，避免个人信息扩散失控，也是必须面对的问题。实际上，公民个人信息的保护与大数据发展和信息社会的建设并不矛盾，二者之间的平衡点就在现行法律框架。质言之，大数据的发展应依法进行，信息社会须建立在依法保护个人信息的基础上，只有包括个人信息在内的数据在法律保护下安全迅速地收集和流通，才能真正推动我国信息产业的发展。因此，《解释》在刑法和《网络安全法》确立的框架范围内，兼顾公民个人信息保护与大数据产业发展的关系，确保在公民个人信息安全的前提下为大数据发展和信息化建设提供有力刑事司法保护。

目前，我国关于个人信息的界定，最为权威的当属《网络安全法》的规定。《网络安全法》第七十六条规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。” 经研究认为，《网络安全法》将“个人信息”界定为“能够识别自然人个人身份的各种信息”，显然使用的是广义的“身份识别信息”的概念，即既包括狭义的身份识别信息（能够识别出特定自然人身份的信息），也包括体现特定自然人活动情况的信息。例如，从实践来看，行踪轨迹信息系事关人身安全的高度敏感信息，无疑应纳入法律保护范围，且应当重点保护。但是，行踪轨迹信息明显难以纳入狭义的“身份识别信息”的范畴。如果认为《网络安全法》将此类信息排除在“个人信息”的范围外，恐难以为一般人所认同，也不符合保护公民个人信息的立法精神。合理的解释应当是，《网络安全法》是广义上使用“身份识别信息”这一概念，亦即也包括个人活动情况信息在内。基于此，《解释》第一条在上述规定的基础上，进一步明确“公民个人信息”包括身份识别信息和活动情况信息，规定：“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”

此外，根据《解释》第一条的规定，关于“公民个人信息”的外延，有以下几个具体问题值得注意：（1）“公民个人信息”，既包括中国公民的个人信息，也包括外国公民和其他无国籍人的个人信息。（2）公民个人信息须与特定自然人关联。这是公民个人信息所具有的关键属性。因此，经过处理无法识别特定个人且不能复原的信息，虽然也可能反映自然人活动情况，但与特定自然人无直接关联，不能成为公民个人信息的范畴。对于与特定自然人关联，可以是识别特定自然人身份，也可以是反映特定自然人活动情况。需要注意的是，无论是识别特定自然人身份，还是反映特定自然人活动情况，都应当是能够单独或者与其他信息结合所具有的功能。例如，身份证号与公民个人身份一一对应，可以单独识别公民个人身份；而工作单位、家庭住址等无法单独识别公民个人身份，需要同其他信息结合才能识别公民个人身份。但是，上述两类信息无疑都属于公民个人信息的范畴。（3）与特定自然人关联的账号密码属于“公民个人信息”。对于“账号密码”能否纳入“公民个人信息”的范围，存在不同认识。经研究认为，当前账号密码往往绑定身份证号、手机号码等特定信息，即使未绑定，非法获取账号密码后往往也会引发侵犯财产甚至人身的违法犯罪。因此，《解释》第一条明确将“账号密码”列为“公民个人信息”的范围。

《刑法修正案（九）》将侵犯公民个人信息罪的前提要件由“违反国家规定”修改为“违反国家有关规定”。根据修法精神，《解释》第二条规定：“违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第二百五十三条之一规定的‘违反国家有关规定’。”具体而言，该条将 “国家有关规定”明确限于法律、行政法规、部门规章等国家层面的规定，不包括地方性法规等非国家层面的规定。

根据刑法第二百五十三条之一第一款、第二款的规定，违反国家有关规定，向他人非法出售或者提供公民个人信息，是侵犯公民个人信息罪的客观行为方式之一。从司法适用的角度，以下两个问题值得关注：

1.“提供”的认定。向特定人提供公民个人信息，属于“提供”公民个人信息，对此不存在疑义。但是，对于通过信息网络或者其他途径发布公民个人信息，是否属于“提供公民个人信息”，存在不同认识。经研究认为，通过信息网络或者其他途径发布公民个人信息，实际是向不特定多数人提供公民个人信息，向特定人提供公民个人信息的行为属于“提供”，基于“举轻明重”的法理，前者更应当认定为“提供”。基于此，《解释》第三条第一款规定：“向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的‘提供公民个人信息’。”

2.合法收集公民个人信息后非法提供的认定。基于大数据发展的现实需要，《网络安全法》在法律层面为个人信息交易和流动留有一定空间，第四十四条规定任何个人和组织“不得非法出售或者非法向他人提供个人信息”，即不仅允许合法提供公民个人信息，而且为合法出售公民个人信息留有空间。而且，《网络安全法》第四十二条第一款进一步明确了合法提供公民个人信息的情形，规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。”据此，经得被收集者同意，以及匿名化处理（剔除个人关联），是合法提供公民个人信息的两种情形，不能纳入刑事规制范围。基于此，《解释》第三条第二款规定：“未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的‘提供公民个人信息’，但是经过处理无法识别特定个人且不能复原的除外。”当然，这里只是明确此种情形属于“提供公民个人信息”，是否构成侵犯公民个人信息罪，还需要根据“违反国家有关规定”等要件作进一步判断。

根据刑法第二百五十三条之一第三款的规定，窃取或者以其他方法非法获取公民个人信息是侵犯公民个人信息罪的客观行为方式之一。具体而言，以下几个问题值得关注：

1.购买公民个人信息的处理。从实践来看，非法获取公民个人信息的方式主要表现为购买、收受、交换和侵入计算机信息系统或者采用其他技术手段。对于“购买公民个人信息”是否属于“以其他方法非法获取公民个人信息”，存在不同认识。有意见认为，“其他方法”应当限于与“窃取”危害性相当的方式（如抢夺），不宜将“购买”包括在内。经研究认为，其一，刑法第二百五十三条之一第三款并未明确排除“购买”方法，且非法购买公民个人信息当然属于非法获取公民个人信息的情形。其二，从实践来看，当前非法获取公民个人信息的方式主要表现为非法购买，如排除此种方式，则会大幅限缩侵犯公民个人信息罪的适用范围。其三，不少侵犯公民个人信息犯罪案件，购买往往是后续出售、提供的前端环节，没有购买就没有后续的出售、提供。基于上述考虑，《解释》第四条明确规定：“违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的‘以其他方法非法获取公民个人信息’。”

2.获取公民个人信息行为“非法”的判断。对于获取公民个人信息，刑法第二百五十三条之一第三款将罪状直接表述为“非法获取”。基于体系解释的原理，对此处的“非法”，应当以是否违反国家有关规定作为判断标准。

3.非法收集公民个人信息的处理。《网络安全法》第四十一条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”“网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”违反上述规定，未经他人同意收集公民个人信息，或者收集与提供的服务无关的公民个人信息的，应当认定为“非法获取公民个人信息”。以此为基础，《解释》第四条专门明确，违反国家有关规定，在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

根据刑法第二百五十三条之一的规定，非法获取、出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。可见，侵犯公民个人信息罪系情节犯，定罪量刑标准为“情节严重”“情节特别严重”。对于这一概括性的定罪量刑情节，宜根据司法实践的情况从犯罪的客体、客观方面、主体、主观方面等多个角度加以考察。经充分调研，《解释》第五条规定了“情节严重”“情节特别严重”的认定标准。

1.“情节严重”的认定标准。《解释》第五条第一款从以下几个方面对侵犯公民个人信息罪的入罪标准“情节严重”作了明确：

一是信息类型和数量。公民个人信息的类型繁多，行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、交易信息等公民个人敏感信息涉及人身安全和财产安全，被非法获取、出售或者提供后极易引发绑架、诈骗、敲诈勒索等关联犯罪，具有更大的社会危害性。因此，基于不同类型公民个人信息的重要程度，《解释》分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准，以实现罪责刑相适应。具体而言：

（1）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的。行踪轨迹信息、通信内容、征信信息、财产信息与人身安全、财产安全直接相关，系高度敏感信息，《解释》第五条第一款第三项将入罪标准设置为“五十条以上”。需要注意的是，鉴于本项规定的入罪标准门槛较低，故此处严格限缩所涉公民个人信息的类型，仅限于行踪轨迹信息、通信内容、征信信息、财产信息四类信息，不允许司法适用中再通过等外解释予以扩大。对于行踪轨迹信息、通信内容、征信信息，司法实践中在认定上不存在争议。对于财产信息，可以根据案件具体情况把握：既包括银行账户、第三方支付结算帐户、证券期货等金融服务账户的身份认证信息（一组确认用户操作权限的数据，包括账号、口令、密码、数字证书等），也包括存款、房产等财产状况信息。

（2）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的。上述公民个人信息虽然在重要程度上弱于行踪轨迹信息、通信内容、征信信息、财产信息，但也与人身安全、财产安全直接相关，往往被用于“精准”诈骗等违法犯罪活动。基于此，《解释》第五条第一款第四项将入罪标准设置为“五百条以上”。需要注意的是，本项规定有“等其他可能影响人身、财产安全的公民个人信息”的表述，司法实践中可以根据具体情况作等外解释，但应当确保所适用的公民个人信息涉及人身、财产安全，且与“住宿信息、通信记录、健康生理信息、交易信息”在重要程度上具有相当性。

（3）非法获取、出售或者提供一般公民个人信息五千条以上的。从实践来看，除前述公民个人敏感信息外，出售、提供公民个人信息往往数量较大，动辄数万条甚至数十万条，在不少案件中甚至将公民个人信息编辑为电子文档后按兆出售。因此，不少地方对出售、提供公民个人信息的入罪掌握在数量五千条以上，基本上可以满足严厉打击此类犯罪的需要，且给行政处罚留有一定空间。基于此，《解释》第五条第一款第五项设置较低的入罪标准，将非法获取、出售或者提供公民个人信息五千条以上的规定为“情节严重”。

此外，鉴于实践中存在混杂公民个人信息的情形，《解释》第五条第一款第六项将“数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的”情形规定为“情节严重”。

二是违法所得数额。出售或者非法提供公民个人信息往往是为了牟利，故应当以违法所得作为认定“情节严重”的情形之一。从司法实践来看，一般公民个人信息的价格相对较低，甚至不会按条计价；而公民个人敏感信息价格通常较高，通常按条计价，特别是行踪轨迹信息可以谓之为最为昂贵的信息类型。考虑到各项规定之间的均衡，《解释》第五条第一款第七项将违法所得五千元以上的规定为“情节严重”。

三是信息用途。通常而言，非法获取公民个人信息，绝不仅是为了占有，而是有特定用途、甚至用于违法犯罪。可以说，非法获取、出售或者提供公民个人信息，不仅严重危害公民的信息安全，而且可能引发进一步犯罪。因此，此类行为引发的后果的严重程度，是认定“情节严重”与否的重要标准。被非法获取、出售或者提供的公民个人信息，用途存在不同，对权利人的侵害程度也会存在差异。如果涉案的公民个人信息被用于实施其他犯罪活动，使权利人的人身、财产安全陷入高风险状态或者造成实质危害的，对此应当直接认定为“情节严重”或者“情节特别严重”，以刑事手段加以规制；而如果涉案公民个人信息未被用于犯罪活动，则社会危害性相对较小，不宜直接以此作为刑事规制的依据。基于此，《解释》第五条第一款第二项将“知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的”规定为“情节严重”。从司法实践来看，行踪轨迹信息是最为敏感的公民个人信息。非法获取、出售或者提供该类信息，行为人主观上对可能被用于犯罪存在概括认识，《解释》第五条第一款第一项直接将“非法获取、出售或者提供行踪轨迹信息，被他人用于犯罪的”规定为“情节严重”，无须再具体判断主观上是否知道或者应当知道涉案信息被用于犯罪。

四是主体身份。公民个人信息泄露案件不少系内部人员作案，诸多公民个人信息买卖案件也可以见到“内鬼”参与的“影子”。这是侵犯公民个人信息违法犯罪泛滥的重要原因所在。由于上述情形往往发生在公民个人信息交易的最初阶段，涉案信息的数量往往较少、价格相对低廉。此种情形下，如果不设置特殊标准，往往难以对此类源头行为予以刑事惩治。基于此，为贯彻落实刑法第二百五十三条之一第二款“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚”的规定，《解释》第五条第一款第八项对将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的情形认定为“情节严重”设置了特殊标准，规定此种情形下出售或者提供公民个人信息，认定“情节严重”的数量、数额标准减半计算。当然，对于此种情形，不宜再根据刑法第二百五十三条之一第二款的规定从重处罚，以免重复评价。

五是主观恶性。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的，行为人屡罚屡犯，主观恶性大。故而，《解释》第五条第一款第九项将此种情形规定为“情节严重”。

2.“情节特别严重”的认定标准。《解释》第五条第二款主要从两个层面规定了“情节特别严重”的情形：一是数量数额标准。基于司法实践中侵犯公民个人信息犯罪涉案的公民个人信息数量相差悬殊，跨度从几千条到几十万条（甚至更大数量）不等，将“情节特别严重”和“情节严重”之间的数量数额标准设置为十倍而非五倍的倍数关系。二是严重后果。从实践来看，非法获取、出售或者提供公民个人信息，对于个人而言，可能造成人身伤亡、经济损失等后果；对于社会而言，可能引发社会恐慌，造成恶劣社会影响。基于此，将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”“造成重大经济损失或者恶劣社会影响的”规定为“情节特别严重”。

3.为合法经营活动购买、收受公民个人信息定罪量刑的特殊标准。从实践来看，购买、收受公民个人信息从事广告推销等活动的情形较为普遍。为了秉持刑法的谦抑性，体现宽严相济，《解释》第六条第一款规定：“为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的’情节严重’：（一）利用非法购买、收受的公民个人信息获利五万元以上的；（二）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的；（三）其他情节严重的情形。”这是《解释》针对为合法经营活动而购买、收受公民个人信息的行为设置的专门的定罪量刑标准。而且，考虑到此类行为社会危害性不大，即使构成犯罪，通常也不需要升档量刑，故只规定了“情节严重”的具体情形。

需要注意的是，适用该定罪量刑标准须满足三个条件：一是为了合法经营活动，对此可以综合全案证据认定，但主要应当由被告方提供相关证据；二是限于普通公民个人信息，即不包括可能影响人身、财产安全的敏感信息；三是信息没有再流出扩散，即行为方式限于购买、收受。根据《解释》第六条第二款的规定，如果将购买、收受的公民个人信息非法出售或者提供的，定罪量刑标准应当适用《解释》第五条的规定。对此应当注意的是，为了合法经营活动交换公民个人信息的，由于在获取信息的同时造成了信息扩散，不符合前述三个要件，定罪量刑标准亦应适用《解释》第五条的规定。

4.侵犯公民个人信息单位犯罪的定罪量刑标准。根据刑法第二百五十三条之一第四款的规定，单位可以成为侵犯公民个人信息罪的主体。为切实加大对单位侵犯公民个人信息犯罪的惩治力度，《解释》第七条明确了单位实施侵犯公民个人信息犯罪的，适用自然人犯罪的定罪量刑标准，规定：“单位犯刑法第二百五十三条之一规定之罪的，依照本解释规定的相应自然人犯罪的定罪量刑标准，对直接负责的主管人员和其他直接责任人员定罪处罚，并对单位判处罚金。”

为贯彻落实“认罪认罚从宽制度”，充分发挥刑法的教育和威慑功能，《解释》第十条专门规定：“实施侵犯公民个人信息犯罪，不属于‘情节特别严重’，行为人系初犯，全部退赃，并确有悔罪表现的，可以认定为情节轻微，不起诉或者免予刑事处罚；确有必要判处刑罚的，应当从宽处罚。”可见，该条只适用于侵犯公民个人信息犯罪的基本情节，对于符合“情节特别严重”构成的，不能再适用本条规定从宽处罚。

实践中，一些行为人通过建立网站供他人进行公民个人信息交换、买卖等活动，以非法牟利。此类网站存储、流转公民个人信息量巨大，但网站建立者、直接负责的管理者未直接接触公民个人信息，不少情形下难以按照侵犯公民个人信息罪定罪处罚。根据刑法第二百八十七条之一的规定，设立用于实施违法犯罪活动的网站、通讯群组，情节严重的，构成非法利用信息网络罪。经研究认为，供他人实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组实际上属于“用于实施违法犯罪活动的网站、通讯群组”。因此，《解释》第八条规定：“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组，情节严重的，应当依照刑法第二百八十七条之一的规定，以非法利用信息网络罪定罪处罚；同时构成侵犯公民个人信息罪的，依照侵犯公民个人信息罪定罪处罚。”

当前，一些单位因为履行职责或者提供服务的需要，掌握着海量公民个人信息，这些信息一旦泄露将造成恶劣社会影响和严重危害后果。实际上，侵犯公民个人信息违法犯罪的猖獗，与有关单位保护公民个人信息工作存在疏漏有一定关联，相关管理机制有进一步完善的空间。这一问题在互联网时代更为突出。为了促进网络运营者采取切实有效的措施加强对公民个人信息的保护，《网络安全法》明确了网络信息安全的责任主体，确立了“谁收集，谁负责”的原则，将收集和使用个人信息的网络运营者，设定为个人信息保护的责任主体。其中，第四十条明确规定：“网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。”与之相衔接，《刑法修正案（九）》设立了拒不履行信息网络安全管理义务罪，规定网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户信息泄露，造成严重后果的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。因此，对于网络服务提供者未切实落实个人信息保护措施，符合刑法第二百八十六条之一规定的，可能构成拒不履行信息网络安全管理义务罪。据此，《解释》第九条规定：“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。”

针对公民个人信息数量“计算难”的实际问题，《解释》第十一条专门规定了数量计算规则。具体而言： 

1.公民个人信息的条数计算。关于公民个人信息的条数计算，如同一条信息中涉及多个个人信息的，如家庭住址、银行卡信息、电话号码，实践中往往认定为一条公民个人信息。对此问题，实践中并无太大争议,故未作专门规定。对于实践中存在的针对同一对象非法获取公民信息后又出售或者提供的情形，则明显不宜先计算非法获取的公民个人信息数量、再计算出售或者提供的公民个人信息数量，故《解释》第十一条第一款规定：“非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算。”此外，考虑到公民个人信息可能被重复出售或者提供，其社会危害性明显不同于向他人出售或者提供一次的情形，故而，《解释》第十一条第二款规定：“向不同单位或者个人分别出售、提供同一公民个人信息的，公民个人信息的条数累计计算。”

2.批量公民个人信息的数量认定规则。从实践来看，除公民个人敏感信息外，涉案的公民个人信息动辄上万条甚至数十万条。此类案件中，不排除少数情况下存在信息重复，如针对同一对象并存“姓名+住址”“姓名+电话号码”“姓名+身份证号”等数条信息，但要求做到完全去重较为困难。此外，对于信息的真实性也难以一一核实。个别案件中，要求办案机关电话联系权利人核实公民个人信息的做法，明显不合适。基于此，《解释》第十一条第三款规定：“对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。”

侵犯公民个人信息犯罪具有明显的牟利性，行为人实施该类犯罪主要是为了牟取非法利益。因此，有必要加大财产刑的适用力度，让行为人在经济上得不偿失，进而剥夺其再次实施此类犯罪的经济能力。基于此，《解释》第十二条规定：“对于侵犯公民个人信息犯罪，应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等，依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。”