近日,最高人民法院发布第35批共4件指导性案例,均为公民个人信息保护刑事案例。该批案例分别涉及人脸识别信息、居民身份证信息、微信等社交媒体账号、手机验证码等刑法保护的公民个人信息范围、性质,对于明确类案裁判规则,依法保护公民个人信息具有重要的指导意义。
指导性案例192号《李开祥侵犯公民个人信息刑事附带民事公益诉讼案》明确了使用人脸识别技术处理的人脸信息以及基于人脸识别技术生成的人脸信息均具有高度的可识别性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况,属于刑法规定的公民个人信息。窃取或者以其他方法非法获取上述人脸识别信息,情节严重的,应依照《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款第四项等规定定罪处罚。
指导性案例193号《闻巍等侵犯公民个人信息案》明确了居民身份证信息包含自然人姓名、人脸识别信息、身份号码、户籍地址等多种个人信息,属于《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款规定的“其他可能影响人身、财产安全的公民个人信息”。
指导性案例194号《熊昌恒等侵犯公民个人信息案》明确了违反国家有关规定,购买微信等社交媒体账号后,非法制作带有公民个人信息的社交媒体账号出售、提供给他人,情节严重的,属于刑法第二百五十三条之一第一款规定的“违反国家有关规定,向他人出售或者提供公民个人信息”行为,构成侵犯公民个人信息罪。该案例还明确未经公民本人同意或具有法律授权等个人信息保护法规定的理由,通过购买、收受、交换等方式获取在一定范围内已公开的公民个人信息进行非法利用,改变了公民公开个人信息的范围、目的和用途,不属于法律规定的合理处理,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”行为,情节严重的,构成侵犯公民个人信息罪。
指导性案例195号《罗文君、瞿小珍侵犯公民个人信息刑事附带民事公益诉讼案》明确了服务提供者专门发给特定手机号码的数字、字母等单独或者其组合构成的验证码具有独特性、隐秘性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于刑法规定的公民个人信息。
法〔2022〕265号
最高人民法院
关于发布第35批
指导性案例的通知
各省、自治区、直辖市高级人民法院,解放军军事法院,新疆维吾尔自治区高级人民法院生产建设兵团分院:
经最高人民法院审判委员会讨论决定,现将李开祥侵犯公民个人信息刑事附带民事公益诉讼案等四个案例(指导性案例192-195号),作为第35批指导性案例发布,供审判类似案件时参照。
最高人民法院
2022年12月26日
指导性案例192号
李开祥侵犯公民个人信息刑事附带民事公益诉讼案
(最高人民法院审判委员会讨论通过2022年12月26日发布)
关键词 刑事/侵犯公民个人信息/刑事附带民事公益诉讼/人脸识别/人脸信息
裁判要点
使用人脸识别技术处理的人脸信息以及基于人脸识别技术生成的人脸信息均具有高度的可识别性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况,属于刑法规定的公民个人信息。行为人未经公民本人同意,未具备获得法律、相关部门授权等个人信息保护法规定的处理个人信息的合法事由,利用软件程序等方式窃取或者以其他方法非法获取上述信息,情节严重的,应依照《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款第四项等规定定罪处罚。
相关法条
《中华人民共和国刑法》第253条之一
基本案情
2020年6月至9月间,被告人李开祥制作一款具有非法窃取安装者相册照片功能的手机“黑客软件”,打包成安卓手机端的“APK安装包”,发布于暗网“茶马古道”论坛售卖,并伪装成“颜值检测”软件发布于“芥子论坛”(后更名为“快猫社区”)提供访客免费下载。用户下载安装“颜值检测”软件使用时,“颜值检测”软件会自动在后台获取手机相册里的照片,并自动上传到被告人搭建的腾讯云服务器后台,从而窃取安装者相册照片共计1751张,其中部分照片含有人脸信息、自然人姓名、身份号码、联系方式、家庭住址等公民个人信息100余条。
2020年9月,被告人李开祥在暗网“茶马古道”论坛看到“黑客资料”帖子,后用其此前在暗网售卖“APK安装包”部分所得购买、下载标题为“社工库资料”数据转存于“MEGA”网盘,经其本人查看,确认含有个人真实信息。2021年2月,被告人李开祥明知“社工库资料”中含有户籍信息、QQ账号注册信息、京东账号注册信息、车主信息、借贷信息等,仍将网盘链接分享至其担任管理员的“翠湖庄园业主交流”QQ群,提供给群成员免费下载。经鉴定,“社工库资料”经去除无效数据并进行合并去重后,包含各类公民个人信息共计8100万余条。
上海市奉贤区人民检察院以社会公共利益受到损害为由,向上海市奉贤区人民法院提起刑事附带民事公益诉讼。
被告人李开祥对起诉指控的基本犯罪事实及定性无异议,且自愿认罪认罚。
辩护人提出被告人李开祥系初犯,到案后如实供述所犯罪行,且自愿认罪认罚等辩护意见,建议对被告人李开祥从轻处罚,请求法庭对其适用缓刑。辩护人另辩称,检察机关未对涉案8100万余条数据信息的真实性核实确认。
裁判结果
上海市奉贤区人民法院于2021年8月23日以(2021)沪0120刑初828号刑事判决,认定被告人李开祥犯侵犯公民个人信息罪,判处有期徒刑三年,宣告缓刑三年,并处罚金人民币一万元;扣押在案的犯罪工具予以没收。判决李开祥在国家级新闻媒体上对其侵犯公民个人信息的行为公开赔礼道歉、删除“颜值检测”软件及相关代码、删除腾讯云网盘上存储的涉案照片、删除存储在“MEGA”网盘上相关公民个人信息,并注销侵权所用QQ号码。一审判决后,没有抗诉、上诉,判决现已生效。
裁判理由
法院生效裁判认为:本案争议焦点为利用涉案“颜值检测”软件窃取的“人脸信息”是否属于刑法规制范畴的“公民个人信息”。法院经审理认为,“人脸信息”属于刑法第二百五十三条之一规定的公民个人信息,利用“颜值检测”黑客软件窃取软件使用者“人脸信息”等公民个人信息的行为,属于刑法中“窃取或者以其他方法非法获取公民个人信息”的行为,依法应予惩处。主要理由如下:第一,“人脸信息”与其他明确列举的个人信息种类均具有明显的“可识别性”特征。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)中列举了公民个人信息种类,虽未对“人脸信息”单独列举,但允许依法在列举之外认定其他形式的个人信息。《解释》中对公民个人信息的定义及明确列举与民法典等法律规定中有关公民个人信息的认定标准一致,即将“可识别性”作为个人信息的认定标准,强调信息与信息主体之间被直接或间接识别出来的可能性。“人脸信息”属于生物识别信息,其具有不可更改性和唯一性,人脸与自然人个体一一对应,无需结合其他信息即可直接识别到特定自然人身份,具有极高的“可识别性”。第二,将“人脸信息”认定为公民个人信息遵循了法秩序统一性原理。民法等前置法将“人脸信息”作为公民个人信息予以保护。民法典第一千零三十四条规定了个人信息的定义和具体种类,个人信息保护法进一步将“人脸信息”纳入个人信息的保护范畴,侵犯“人脸信息”的行为构成侵犯自然人人格权益等侵权行为的,须承担相应的民事责任或行政、刑事责任。第三,采用“颜值检测”黑客软件窃取“人脸信息”具有较大的社会危害性和刑事可罚性。因“人脸信息”是识别特定个人的敏感信息,亦是社交属性较强、采集方便的个人信息,极易被他人直接利用或制作合成,从而破解人脸识别验证程序,引发侵害隐私权、名誉权等违法行为,甚至盗窃、诈骗等犯罪行为,社会危害较大。被告人李开祥操纵黑客软件伪装的“颜值检测”软件窃取用户自拍照片和手机相册中的存储照片,利用了互联网平台的开放性,以不特定公众为目标,手段隐蔽、欺骗性强、窃取面广,具有明显的社会危害性,需用刑法加以规制。
关于辩护人提出本案公民个人信息数量认定依据不足的辩护意见,法院经审理认为,公安机关侦查过程中采用了抽样验证的方法,随机挑选部分个人信息进行核实,能够确认涉案个人信息的真实性,被告人、辩护人亦未提出涉案信息不真实的线索或证据。司法鉴定机构通过去除无效信息,并采用合并去重的方法进行鉴定,检出有效个人信息8100万余条,公诉机关指控的公民个人信息数量客观、真实,且符合《解释》中确立的对批量公民个人信息具体数量的认定规则,故对辩护人的辩护意见不予采纳。
综上,被告人李开祥违反国家有关规定,非法获取并向他人提供公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。被告人李开祥到案后能如实供述自己的罪行,依法可以从轻处罚,且自愿认罪认罚,依法可以从宽处理。李开祥非法获取并向他人提供公民个人信息的侵权行为,侵害了众多公民个人信息安全,损害社会公共利益,应当承担相应的民事责任。故依法作出上述判决。
(生效裁判审判人员:李晓杰、管玉洁、高晔涛)
指导性案例193号
闻巍等侵犯公民个人信息案
(最高人民法院审判委员会讨论通过2022年12月26日发布)
关键词 刑事/侵犯公民个人信息/居民身份证信息
裁判要点
居民身份证信息包含自然人姓名、人脸识别信息、身份号码、户籍地址等多种个人信息,属于《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款第四项规定的“其他可能影响人身、财产安全的公民个人信息”。非法获取、出售或者提供居民身份证信息,情节严重的,依照刑法第二百五十三条之一第一款规定,构成侵犯公民个人信息罪。
相关法条
《中华人民共和国刑法》第253条之一
基本案情
2019年6月至8月间,被告人闻巍(时任上海好体信息科技有限公司运营总监)经事先联系,与微信、QQ名为“发乐”、“来立中”、“我怕冷风吹”等人约定,以人民币6元/张的价格为上述人员批量注册激活该公司“爱球钱包”APP应用的“中银通·魔方元”联名预付费卡,并从上述人员处通过利用微信、QQ获得百度网盘分享链接的方式获取公民个人信息(居民身份证正反面照片),由被告人朱旭东从该网盘链接中下载至移动硬盘内,交由中银通工作人员用于批量注册激活。
2019年9月至2020年2月间,被告人朱旭东在被告人闻巍离职后,负责上述联名预付费卡的批量注册激活工作,以人民币6元/张的价格以上述相同方式继续从“发乐”、“来立中”、“我怕冷风吹”等人处通过利用微信、QQ获得百度网盘分享链接的方式获取公民个人信息(居民身份证正反面照片)并存储于其百度网盘内,后下载至其电脑硬盘内,交由中银通工作人员用于批量注册激活。
2019年10月,被告人朱旭东与张坤(另案处理)经事先用微信联系,朱旭东以人民币6元/张的价格以上述相同方式从张坤处通过利用QQ获得百度网盘分享链接的方式获取公民个人信息(居民身份证正反面照片)并存储于其百度网盘内,后下载至其电脑硬盘内,交由中银通工作人员用于批量注册激活。
2019年12月,被告人张江涛通过其所在的QQ群向他人购买公民个人信息数据并转存在其百度网盘账号内,同时将数据分多次转卖给张坤,分多次收取费用共计人民币19600元。
经核实,从被告人闻巍“ErnieGullit”网盘内清点公民个人信息(居民身份证正反面照片)10000余组,从被告人朱旭东“zhuxudn”网盘内清点公民个人信息(居民身份证正反面照片)3000余组,从张坤分享给朱旭东的网盘内清点公民个人信息(居民身份证正反面照片)41654组,从被告人张江涛的网盘内清点公民个人信息60101组。
上海市虹口区人民检察院指控被告人闻巍、朱旭东、张江涛犯侵犯公民个人信息罪,情节特别严重,其行为均应当以侵犯公民个人信息罪追究其刑事责任。
被告人闻巍及朱旭东的辩护人均提出本案指控的公民信息种类应认定为《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第五条第一款第五项中的普通信息范围,并非第五条第一款第四项中的特定信息种类范围,故根据现查获的数量,尚未构成情节特别严重。
裁判结果
上海市虹口区人民法院于2021年8月30日以(2020)沪0109刑初957号刑事判决,认定被告人闻巍犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币一万元;被告人朱旭东犯侵犯公民个人信息罪,判处有期徒刑三年三个月,并处罚金人民币一万元;被告人张江涛犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币二万元;违法所得及作案工具予以追缴没收。宣判后,被告人闻巍、朱旭东提起上诉。上海市第二中级人民法院于2021年11月11日以(2021)沪02刑终1055号刑事裁定,驳回上诉,维持原判。
裁判理由
法院生效裁判认为:本案争议焦点在于涉案居民身份证信息是否属于《解释》第五条第一款第四项中“其他可能影响人身、财产安全的公民个人信息”。根据《解释》第五条第一款第四项规定,非法获取、出售或者提供住宿信息、通讯信息、健康生理信息、交易信息等其它可能影响人身、财产安全的公民个人信息五百条以上的可认定为“情节严重”。同款第五项规定,非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的可认定为“情节严重”。即,如果认定涉案居民身份证信息属于《解释》第五条第一款第四项中“其他可能影响人身、财产安全的公民个人信息”的,那么交易五百条以上个人信息即可认定“情节严重”,五千条以上构成“情节特别严重”。
一审法院经审理认为,居民身份证上的住址是公民的实际居住地址或者名义户籍地址,无论何者,均与公民及其家人的人身安全、财产安全存在十分紧密而又重要的联系,家庭住址被非法曝光、泄露将对公民个人及其家人的人身安全、财产安全造成重大隐患,为精准实施各类违法犯罪行为大开方便之门,故理应予以重点保护,从举轻以明重的一般法理解释原则出发,其重要性也应高于作为公民临时性、过去性住所的“住宿信息”,故应被认定为《解释》第五条第一款第四项中所规定的信息种类。
二审法院经审理认为,居民身份证除包含户籍地址信息外,还是公民的姓名、人脸信息、唯一身份号码等信息的综合体,是公民重要的身份证件,在信息网络社会,居民身份证信息整体均系敏感信息,可用来注册、认证、绑定网络账号。公民的人脸信息、身份号码、姓名、地址信息结合后所形成的公民个人信息具备唯一性,可与公民个人精准匹配,并可诱发公民其他个人信息的进一步泄露,对公民个人信息权益侵害极大,应将居民身份证信息整体认定为涉公民人身、财产安全的信息。一审、二审法院虽认定思路和认定标准不同,但结论一致,认定一审法院对闻巍、朱旭东的定罪和适用法律正确,结合其犯罪手段、情节所作量刑并无不当,且审判程序合法。据此,裁定驳回上诉,维持原判。
(生效裁判审判人员:张松、白楠、张鹏飞)
指导性案例194号
熊昌恒等侵犯公民个人信息案
(最高人民法院审判委员会讨论通过2022年12月26日发布)
关键词 刑事/侵犯公民个人信息/微信号/社交媒体账号/非法获取/合理处理
裁判要点
1.违反国家有关规定,购买已注册但未使用的微信账号等社交媒体账号,通过具有智能群发、添加好友、建立讨论群组等功能的营销软件,非法制作带有公民个人信息可用于社交活动的微信账号等社交媒体账号出售、提供给他人,情节严重的,属于刑法第二百五十三条之一第一款规定的“违反国家有关规定,向他人出售或者提供公民个人信息”行为,构成侵犯公民个人信息罪。
2.未经公民本人同意,或未具备具有法律授权等个人信息保护法规定的理由,通过购买、收受、交换等方式获取在一定范围内已公开的公民个人信