标题    全文    标题或全文  |   精确查询    模糊查询
标题:
全文:
制定机关:
全部
文号: 例如:国税发 2009 2号
公布日期:
格式:YYYY-MM-DD,例如:2015-07-06
施行日期:
格式:YYYY-MM-DD,例如:2015-07-06
主题分类:
全部
效力等级:
全部
搜索 清空
上海市高级人民法院2022年第一批参考性案例(总第十九批,第133-139号)
属性标签

  

上海市高级人民法院2022年第一批参考性案例

  

(总第十九批,第133-139号)

  

编者按

  经上海市高级人民法院审判委员会2022年第5次会议讨论决定,现将“李某侵犯公民个人信息刑事附带民事公益诉讼案”等七件案例,作为上海市高级人民法院2022年第一批(总第十九批)参考性案例予以发布,主要为公民个人信息保护类相关案例,供全市法院在审判类似案件时参考。

  

参考性案例第133号

  

李某侵犯公民个人信息刑事附带民事公益诉讼

  关键词 刑事/侵犯公民个人信息罪/人脸信息/公民个人信息/附带民事公益诉讼

  裁判要点

  1.鉴于“人脸信息”具有极高的可识别性并符合公民个人信息的定义和特征,行为人利用伪装成“颜值检测”的黑客软件窃取软件使用者“人脸信息”等公民个人信息,属于非法获取公民个人信息的行为,情节严重的,应以侵犯公民个人信息罪定罪处罚。

  2.行为人违法收集、处理公民个人信息的,人民检察院可以依法提起刑事附带民事公益诉讼,人民法院可以判决行为人公开赔礼道歉,删除恶意程序软件、相关代码及所有终端设备中存储的公民个人信息等。

  3.对批量公民个人信息的条数,经过抽样核实真实性并经数据去重后可直接认定。

  相关法条

  《中华人民共和国刑法》第253条之一

  《中华人民共和国民法典》第111条,第179条

  基本案情

  2020年6月至9月间,被告人李某制作一款具有非法窃取安装者相册照片的手机“黑客软件”,打包成安卓手机端的“APK安装包”,发布于暗网“茶马古道”论坛售卖,并伪装成“颜值检测”软件发布于“芥子论坛”(后更名为“快猫社区”)提供访客免费下载。用户下载安装“颜值检测”软件使用时,“颜值检测”软件会自动在后台获取手机相册里的照片,并自动上传到被告人搭建的腾讯云服务器后台,从而窃取安装者相册照片共计1751张,其中部分照片含有人脸信息、自然人姓名、身份证号码、联系方式、家庭住址等100余条公民个人信息。

  2020年9月,被告人李某在暗网“茶马古道”论坛看到“黑客资料”帖子,后用其此前在暗网售卖“APK安装包”部分所得购买、下载标题为“社工库资料”数据转存于“MEGA”网盘,经其本人查看,确认含有个人真实信息。2021年2月,被告人李某明知“社工库资料”中含有户籍信息、QQ账号注册信息、京东账号注册信息、车主信息、借贷信息等,仍将网盘链接分享至其担任管理员的“翠湖庄园业主交流”QQ群,提供给群成员免费下载。经鉴定,“社工库资料”中经去除无效数据并进行合并去重后包含各类公民个人信息共计8100万余条。

  上海市奉贤区人民检察院提起公诉同时又以社会公共利益受到损害为由,向上海市奉贤区人民法院提起附带民事公益诉讼。

  被告人李某对起诉指控的基本犯罪事实及定性无异议,且自愿认罪认罚。

  辩护人提出被告人李某系初犯,到案后如实供述所犯罪行,且自愿认罪认罚等辩护意见,建议法庭对被告人李某从轻处罚,请求法庭对其适用缓刑。辩护人另辩称,检察机关未对涉案8100万余条数据信息的真实性核实确认。

  裁判结果

  上海市奉贤区人民法院于2021年8月23日作出(2021)沪0120刑初828号刑事判决,被告人李某犯侵犯公民个人信息罪,判处有期徒刑三年,宣告缓刑三年,并处罚金人民币一万元;扣押在案的犯罪工具予以没收。同时判决李某在国家级新闻媒体上对其侵犯公民个人信息的行为公开赔礼道歉、删除“颜值检测”软件及相关代码、删除腾讯云网盘上存储的涉案照片、删除存储在“MEGA”网盘上相关公民个人信息,并注销侵权所用QQ号码。一审判决后,公诉机关未抗诉,被告人未上诉,判决现已生效。

  裁判理由

  法院生效裁判认为:本案争议焦点为利用涉案“颜值检测”软件窃取的“人脸信息”是否属于我国刑法规制范畴的“公民个人信息”。法院认为,“人脸信息”属于我国《刑法》第二百五十三条之一规定的公民个人信息,利用“颜值检测”黑客软件窃取软件使用者“人脸信息”等公民个人信息的行为,属于刑法中“窃取或者以其他方法非法获取公民个人信息”的行为,依法应予惩处。理由如下:第一,“人脸信息”与其他明确列举的个人信息种类共同具有明显的“可识别性”特征。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)中例举了公民个人信息种类,虽未对“人脸信息”单独列举,但允许依法在列举之外认定其他形式的个人信息。《解释》中对公民个人信息的定义及明确列举与我国《民法典》等法律规定中有关公民个人信息的认定标准一致,即将“可识别性”作为个人信息的认定标准,强调信息与信息主体之间被直接或间接识别出来的可能性。“人脸信息”属于生物识别信息,其具有不可更改性和唯一性,人脸与个体一一对应,无需结合其他信息即可直接识别到特定自然人身份,具有极高的“可识别性”。第二,将“人脸信息”认定为公民个人信息遵循了法秩序统一性原理。民法等前置法将“人脸信息”作为公民个人信息予以保护。我国《民法典》第一千零三十四条规定了个人信息的定义和具体种类,我国《个人信息保护法》进一步将“人脸信息”纳入个人信息的保护范畴,侵犯“人脸信息”的行为构成侵犯自然人人格权益等侵权的,须承担相应的民事责任或行政、刑事责任。第三,采用“颜值检测”黑客软件窃取“人脸信息”具有较大的社会危害性和刑事可罚性。因“人脸信息”是识别特定个人的敏感信息,亦是社交属性较强、采集方便的个人信息,极易被他人直接利用或制作合成,从而破解人脸识别验证程序,引发侵害隐私权、名誉权、甚至盗窃、诈骗等犯罪行为,社会危害较大。被告人李某操纵黑客软件伪装的“颜值检测”软件窃取用户自拍照片和手机相册中的存储照片,利用了互联网平台的开放性,以不特定公众为目标,手段隐蔽、欺骗性强、窃取面广,具有明显的社会危害性,需用刑法加以规制。

  关于辩护人提出本案公民个人信息数量认定依据不足的辩护意见,法院认为,公安机关侦查过程中采用了抽样验证的方法,随机挑选部分个人信息进行核实,能够确认涉案个人信息的真实性,被告人、辩护人亦未提出涉案信息不真实的线索或证据。司法鉴定机构通过去除无效信息、并进行合并去重的方法进行鉴定,检出有效个人信息8100万余条,公诉机关指控的公民个人信息数量客观、真实,且符合《解释》中确立的对批量公民个人信息具体数量的认定规则,故对辩护人的辩护意见不予采纳。

  综上,被告人李某违反国家有关规定,非法获取并向他人提供公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。被告人李某到案后能如实供述自己的罪行,依法可以从轻处罚,且自愿认罪认罚,依法可以从宽处理。李某非法获取并向他人提供公民个人信息的侵权行为,侵害了众多公民个人信息安全,损害社会公共利益,应当承担相应的民事责任。故依法作出上述判决。

  

参考性案例第134号

  

闻某等侵犯公民个人信息案

  关键词 刑事/个人信息/居民身份信息/侵犯公民个人信息

  裁判要点

  居民身份证信息属于“其他可能影响人身、财产安全的公民个人信息”,非法获取居民身份证信息的行为适用《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款第(四)项“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的”规定认定“情节严重”。

  相关法条

  《中华人民共和国刑法》第253条之一

  《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条第1款

  基本案情

  2019年6月至8月,被告人闻某(时任上海好体信息科技有限公司运营总监)经事先联系,与微信、QQ名为“发乐”“来立中”“我怕冷风吹”等人约定,以人民币(以下币种同)6元/张的价格为上述人员批量注册激活该公司“爱球钱包”APP应用的“中银通·魔方元”联名预付费卡,并从上述人员处通过微信、QQ获得百度网盘分享链接的方式获取公民个人信息(公民身份证正反面照片),由朱某从该网盘链接中下载至移动硬盘内,交由中银通工作人员用于批量注册激活。

  2019年9月至2020年2月,被告人朱某在闻某离职后,负责上述联名预付费卡的批量注册激活工作,继续以6元/张的价格从“发乐”“来立中”“我怕冷风吹”等人处通过微信、QQ获得百度网盘分享链接的方式获取公民个人信息(公民身份证正反面照片)并存储于其百度网盘内,后下载至其电脑硬盘内,交由中银通工作人员用于批量注册激活。

  2019年10月,被告人朱某与张某(另案处理)经事先微信联系,朱某以6元/张的价格以上述相同方式从张某处通过QQ获得百度网盘分享链接的方式获取公民个人信息(公民身份证正反面照片)并存储于其百度网盘内,后下载至其电脑硬盘内,交由中银通工作人员用于批量注册激活。

  2019年12月,被告人王某通过其所在的QQ群向他人购买公民个人信息数据并转存在其百度网盘账号内,同时将数据分多次转卖给张某,分多次收取费用共计19,600元。

  经核实,从闻某“ErnieGullit”网盘内清点公民个人信息(公民身份证正反面照片)1万余组,从朱某“zhuxudn”网盘内清点公民个人信息(公民身份证正反面照片)3000余组,从张某分享给朱某的网盘内清点公民个人信息(公民身份证正反面照片)为41,654组,从王某的网盘内清点公民个人信息为60,101组。

  上海市虹口区人民检察院指控被告人闻某、朱某、王某犯侵犯公民个人信息罪,情节特别严重,其行为均应当以侵犯公民个人信息罪追究其刑事责任。

  被告人闻某及朱某的辩护人均提出本案指控的公民信息种类应认定为《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“《解释》”)第五条第一款第(五)项中的普通信息范围,并非第五条第一款第(四)项中的特定信息种类范围,故根据现查获的数量,尚未构成情节特别严重。

  裁判结果

  上海市虹口区人民法院于2021年8月30日作出 (2020)沪0109刑初957号刑事判决:一、被告人闻某侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币一万元;二、被告人朱某犯侵犯公民个人信息罪,判处有期徒刑三年三个月,并处罚金人民币一万元。三、被告人王某犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币二万元。四、违法所得及作案工具予以追缴没收。宣判后,闻某、朱某不服,提起上诉。上海市第二中级人民法院于2021年11月11日作出(2021)沪02刑终1055号刑事裁定,驳回上诉,维持原判。

  裁判理由

  法院生效裁判认为:本案争议焦点在于涉案公民身份证信息是否属于《解释》第五条第一款第(四)项中“其他可能影响人身、财产安全的公民个人信息”。根据《解释》第五条第一款第(四)项规定,非法获取、出售或者提供住宿信息、通讯信息、健康生理信息、交易信息等其它可能影响人身、财产安全的公民个人信息五百条以上的可认定为“情节严重”,同款第(五)项规定,非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的可认定为“情节严重”,即如果认定涉案公民身份证信息属于《解释》第五条第一款第(四)项中“其他可能影响人身、财产安全的公民个人信息”的,那么交易五百条以上个人信息即可认定“情节严重”,五千条以上构成“情节特别严重”。

  本案一审法院认为公民身份证上的家庭住址是公民的实际居住地址或者名义户籍地址,无论何者,均与公民及其家人的人身安全、财产安全存在十分紧密而又重要的联系,家庭住址被非法曝光、泄露将对公民个人及其家人的人身安全、财产安全造成重大隐患,为精准实施各类违法犯罪行为大开方便之门,故理应予以重点保护,从举轻以明重的一般法理解释原则出发,其重要性也应高于作为公民临时性、过去性住所的“住宿信息”,故应被认定为《解释》第五条第一款第(四)项中所规定的信息种类。

  二审法院认为,居民身份证信息除涵盖户籍地址信息外,还是公民的姓名、人脸、唯一身份号码等信息的综合体,是公民重要的身份证件,在信息网络社会,公民身份证信息整体均系敏感信息,可用来注册、认证、绑定网络账号。公民的人脸、身份证号码、姓名、地址信息结合后所形成的公民个人信息具备唯一性,可与公民个人精准匹配,并可诱发公民其他个人信息的进一步泄露,对公民个人信息权益侵害极大,应将公民身份证信息整体认定为涉公民人身、财产安全的信息。鉴于公民身份证在公民生产生活中的重要地位和作用,并密切关联公民人身财产安全,应将公民身份证整体而非部分,如住址信息等认定为“其他可能影响人身、财产安全的公民个人信息”。一审、二审法院虽认定思路和认定标准不同,但结论一致,故认定一审法院对闻某、朱某的定罪和适用法律正确,结合其犯罪手段、情节所作量刑并无不当,且审判程序合法。据此,裁定驳回上诉,维持原判。

  

参考性案例第135号

  

方某侵犯公民个人信息案

  关键词 刑事/公民个人信息/内容映射/隐秘性/交付数量

  裁判要点

  对《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款第(四)项规定作等外解释时,应从敏感重要性、内容映射性和信息隐秘性等方面从严把握。简历信息应属于一般类公民个人信息,适用“五千条以上”的入罪标准。行为人通过网络出售的公民个人信息数量应以实际交付量为准,购买人是否下载不影响数量计算。

  相关法条

  《中华人民共和国刑法》第253条之一

  《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条第1款

  基本案情

  2015年,被告人方某进入北京网聘咨询有限公司(智联招聘),负责向招聘企业提供招聘信息发布账号(可用于下载求职者简历)的销售服务工作。2017年1月底,陈某通过QQ结识方某,以“做人力资源工作、需要购买简历”为由,提议通过方某向北京网聘咨询有限公司购买简历。同年2月起,方某为提高业绩、获得提成,违反公司规定,私自从公司内部资料库中找到A公司等十余家招聘企业信息,通过网络伪造上述企业公章、制作虚假服务合同、上传电子版合同至北京网聘咨询有限公司等方式,骗取北京网聘咨询有限公司审核通过,后将陈某支付的款项通过他人转账至北京网聘咨询有限公司银行账户并进行认领,从而欺骗客服人员违规向陈某出售方某以招聘企业名义创建的网站信息发布账号(内含点数,1点可以下载1份简历),供陈某用于下载求职者简历。经北京网聘咨询有限公司统计,上述虚假合同内包含简历下载数量为52,115条,目前简历已被下载数量为46,488条,去重后简历下载数量为46,022条。2018年1月31日,方某被抓获,到案后如实供述上述犯罪事实。

  上海市徐汇区人民检察院指控,被告人方某的行为触犯我国《刑法》第二百五十三条之一第一款之规定,应当以侵犯公民个人信息罪追究其刑事责任。方某到案后如实供述自己的罪行,可以从轻处罚。

  被告人方某辩护人认为,本案证据无法反映被下载简历是否有重复,尚未下载的简历信息没有对外泄露,没有社会危害性,本案不能认定为情节特别严重。

  裁判结果

  上海市徐汇区人民法院于2018年12月17日作出(2018)沪0104刑初525号刑事判决,一、被告人方某犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币三万元。二、违法所得应予没收。宣判后,方某提出上诉。上海市第一中级人民法院于2019年3月29日作出(2019)沪01刑终98号刑事裁定,驳回上诉,维持原判。

  裁判理由

  法院生效裁判认为:本案争议焦点有二,一是简历信息属于何种公民个人信息,应适用《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第五条第一款第(四)项规定的“五百条以上”的数量标准入罪,还是适用该款第(五)项“五千条以上”的数量标准入罪;二是认定公民个人信息具体数量时,应以交付数量计还是以实际下载数量计。

  第一,对《解释》第五条第一款第(四)项作等外解释时应从严把握

  《解释》第五条第一款第(四)项规定,非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的,应当认定为《刑法》第二百五十三条之一规定的“情节严重”,该款所涉的公民个人信息虽在重要程度上不及该款第(三)项规定的行踪轨迹信息、通信内容、征信信息和财产信息,但因与公民人身、财产安全直接相关,入罪门槛依然相对较低,故作等外解释时应从严把握,重点从内容映射性及敏感重要性、获取难度及隐秘性等方面进行综合考量,具体而言:(1)内容映射性及敏感重要性。刑法所规范的公民个人信息,其重要特征在于能够识别特定自然人身份和反映特定自然人活动情况。住宿信息、通信记录、健康生理信息和交易信息除能够反映公民的基本身份信息外,还能够指向公民日常活动的深层要素,反映出特定公民在特定时间段内与人身、财产安全密切相关的活动信息。如住宿信息反映公民特定时间的地理定位,通信记录反映公民的日常交际对象及频次,健康生理信息反映公民特定时间的就诊情况,交易信息反映公民的交易对象、邮寄地址、消费喜好等。该类信息所指向的深层内容往往能够让犯罪分子直接实施精准诈骗等犯罪活动,系直接关系到公民人身及财产安全的高度敏感信息和重要信息。故在适用该项规定时,一方面应确保所适用的公民个人信息与该项所列举的四项信息在敏感性及重要程度上具有相当性,另一方面还应考量被侵犯的公民个人信息指向的具体内容深度是否足以让犯罪分子直接实施精准诈骗等犯罪活动,从而使公民人身、财产安全处于危险状态。(2)获取难度及隐秘性。首先,住宿信息、通信记录、健康生理信息、交易信息往往直接涉及个人隐私,一般均由酒店服务商、通讯服务商、医疗服务机构、交易平台等特定单位依法保存,任何单位及个人未经授权不得擅自调取或查阅,即该类信息均具有一定保密性。其次,上述信息系公民日常生活必然留痕的轨迹,信息提供人通常希望相关信息获取方或持有方等不对外泄露或使用上述信息,即该类信息均具有一定的隐秘性。再次,国家对此类信息进行严格保护,禁止任何单位或个人依据此类信息获利,即该类信息均具有不可经营性。在适用该款规定时,应充分考量被侵犯的公民个人信息是否具有相应的保密、隐秘及不可经营等特征。

  本案中,方某出售的公民个人信息系从智联招聘网站下载的简历,简历系一组包含公民姓名、出生年月、通信通讯联系方式、教育背景、历史履职信息及求职意向等信息的信息集合,具有信息完整度高、关联度高、有效性高的特点。相较一般公民个人信息,简历确实能够更加具体、真实地反映出特定公民的身份信息,但简历所涉信息多为公民基本信息,其指向的信息深度仅能大体反映公民的生活轨迹和求学、履职信息,并非与公民人身、财产安全直接相关。简历信息被泄露后也多被用于电话营销等活动,难以被犯罪分子直接利用实施精准诈骗等犯罪活动,故一般不会直接威胁到公民的人身、财产安全。此外,简历一般系公民求职所用,投递对象多、范围广,求职者在向招聘企业投递简历时,对于其中相关信息的流转权利已经作出部分让渡,特别是存于招聘网站的简历,求职者在招聘网站上投递、制作简历时,已经就其简历体现的个人信息作了保密解除供招聘企业浏览。故简历在敏感重要性、内容映射性及信息隐秘性上均不及《解释》规定的“五百条以上”信息标准,仅能认定为适用“五千条以上”标准的一般公民信息。

分享
划线
批注
分享
投稿
划线
选择文字与已标注内容“本法所称广告代言人
重复,继续标注将覆盖上次标注内容
是否继续?
微信“扫一扫”
法信App“扫一扫”
操作提示
对不起,您未登录或没有权限,不能进行操作!