這是首次直接對侵害公民個人信息的違法行為進行刑罰治理。立法工作機構在說明立法理由時指出，上述罪名的增設是為了保護公民的人身、財產安全、個人隱私以及正常的工作、生活不受侵害和干擾，保護公民個人信息不被泄露。

2015年11月1日起施行的《刑法修正案（九）》對刑法第253條之一作出修改完善：

一.是擴大犯罪主體的范圍，規定任何單位和個人違反國家有關規定，獲取、出售或者提供公民個人信息，情節嚴重的，都構成犯罪，而不限于特殊主體；

二.是明確規定將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，從重處罰；

三.是加重法定刑，增加規定“情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金；四是對個別詞語進行調整，如在“違反國家規定”中增加“有關”二字，即形成“違反國家有關規定”。修改后，“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”被整合為“侵犯公民個人信息罪”。對此，立法工作機構解釋，這次修改的主要是為了懲治一般主體違背公民個人意愿出售、非法提供公民個人信息的行為，以及從源頭上打擊利用公民個人信息實施的其他侵害公民權益的違法犯罪行為。

一、個人信息進行界定

1、具有可識別性。個人信息必須與自然人相關聯，而且與特定自然人相關聯，同時具有識別性，即通過該信息已識別或者可識別特定自然人。但經過匿名化處理后無法識別特定個人且不能復原的信息，雖然也可能反映自然人的活動情況，但與特定的自然人無直接關聯，不屬于公民個人信息的范疇。

2、屬于有效的信息。信息必須有效，這是定罪時不能忽略的硬性要求。信息明顯虛假、無效（例如，手機號僅有10個數字，僅有座機號）的，這些信息由于其不能對應到具體公民，不屬于本罪的個人信息。

3、經技術處理脫敏達到去標識化的信息不屬于公民個人信息范疇。經過處理無法識別特定自然人信息，不屬于公民個人信息的范疇。此規定也是在保障公民個人信息安全的同時，也要兼顧大數據發展的需要。因此，對經數據脫敏后無法識別的信息排除出公民個人信息的范疇，是現階段尋求信息安全與大數據發展的重要法律平衡點。

關于個人信息的外延，刑法上的認識確實和其他部門法之間存在細微差別，不同部門法的規范目的不同，在概念使用上有所不同，但是，這不意味著刑法上的判斷可以拋開民法典、網絡安全法乃至個人信息保護法。

二、刑法上侵犯公民個人信息的犯罪行為與普通的民事侵權行為有何區別

基于法益在犯罪論體系的作用是“確定某一行為是否侵害了刑法所保護的法益、是否達到應受刑罰處罰的程度”的前提，只有侵犯了本罪名保護的法益的行為，才是侵犯公民個人信息罪中的犯罪行為，而“信息自決權”恰好是民法典、個人信息保護法確立的個人信息權的核心。侵犯了其他個人信息權的行為，屬于一般侵權行為，用民法進行調控即可。

民法是規范公民民事生活各方面的法律，刑法是所有部門法的保障法，在公民社會生活治理層面，刑法對公民個人信息保護的法益以及公民個人信息權的保護范圍勢必要窄于民法。個人信息權的核心是信息自決權，即信息主體有權決定其個人信息能否被他人獲悉以及被獲悉的方式、范圍。由此，侵犯這項權利的實質是對個人行為自由權的侵犯。以信息自決權作為侵犯公民個人信息罪的保護法益，非常契合民法典與個人信息保護法的規定，最大限度地實現了刑民兩大部門法保護法益內在的統一，又符合刑法對一般性自決權日益豐富和具體化的趨勢，更能發揮刑法充分保護公民自由等個人法益的機能，彰顯人作為法律行為主體的地位。