一、法律定义

《刑法》第二百五十三条之一：国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

二、公民个人信息的范围

1. 基本身份信息

• 姓名、身份证号码
• 家庭住址、电话号码
• 工作单位、职务信息

2. 财产信息

• 银行账户信息
• 房产、车辆信息
• 征信、税务信息

3. 行踪信息

• 通信记录
• 出行记录
• 网络活动轨迹

4. 敏感个人信息

• 生物识别信息
• 健康医疗信息
• 婚姻家庭信息

三、犯罪主体

1. 特殊单位工作人员

• 国家机关工作人员
• 金融、电信、交通单位人员
• 教育、医疗机构人员
• 其他履行公共服务职责的单位

2. 普通主体

• 窃取或以其他方法非法获取公民个人信息者
• 非法获取后出售或提供者

四、行为类型

1. 出售行为

• 以牟利为目的提供信息
• 收取对价的信息交易
• 包括直接、变相出售

2. 非法提供行为

• 未经同意向他人提供
• 超出约定范围提供
• 违反保密义务提供

3. 窃取或其他非法获取

• 盗取个人信息系统
• 利用技术手段侵入系统
• 收买、交换等方式获取

五、情节严重的认定

情形	标准
出售或提供行踪轨迹	50条以上
出售或提供通信、健康等信息	500条以上
出售或提供其他信息	5000条以上
违法所得数额	5000元以上

六、辩护要点

1. 主体身份辩护

• 是否属于履行职责或服务过程中获取
• 是否属于特殊单位工作人员
• 是否具有管理、接触个人信息的职责

2. 信息性质辩护

• 是否属于公民个人信息
• 信息是否已经公开或脱敏
• 信息是否具有识别特定自然人的功能

3. 行为性质辩护

• 是否属于出售行为
• 是否征得信息主体同意
• 是否在约定范围内使用
• 是否违反保密义务

4. 数额认定

• 信息数量的统计是否准确
• 是否排除重复、无效信息
• 违法所得数额的计算

5. 主观故意

• 是否明知违法而提供
• 是否因疏忽或管理不善
• 是否受人蒙蔽利用

七、与相关罪名的区分

1. 与侵犯公民个人信息罪

• 主体差异：特殊主体 vs 一般主体
• 来源限制：职责服务过程获取 vs 任何方式获取

2. 与商业秘密罪

• 信息性质：个人信息 vs 经营信息
• 权利主体：个人 vs 企业

八、企业合规建议

1. 建立个人信息管理制度

• 明确信息收集范围和用途
• 建立分级分类管理制度
• 制定信息访问权限

2. 加强员工管理

• 签订保密协议
• 定期进行隐私培训
• 建立内部监督机制

3. 技术安全保障

• 数据加密存储传输
• 访问日志记录审计
• 建立信息安全事件应急机制

4. 第三方合作管理

• 严格审查合作方资质
• 签订数据处理协议
• 明确双方责任义务

九、常见风险场景

1. 金融行业

• 客户信息违规查询
• 信息提供给第三方中介
• 员工私下贩卖信息

2. 电商行业

• 用户交易数据泄露
• 物流信息非法提供
• 用户联系方式买卖

3. 教育培训

• 学生信息提供给培训机构
• 家长联系方式违规使用