01、指导性案例192号:李某侵犯公民个人信息刑事附带民事公益诉讼案(审判委员会讨论通过2022年12月26日发布)裁判要旨:
使用人脸识别技术处理的人脸信息以及基于人脸识别技术生成的人脸信息均具有高度的可识别性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况,属于刑法规定的公民个人信息。行为人未经公民本人同意,未具备获得法律、相关部门授权等个人信息保护法规定的处理个人信息的合法事由,利用软件程序等方式窃取或者以其他方法非法获取上述信息,情节严重的,应依照《、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款第四项等规定定罪处罚。
裁判理由:
法院生效裁判认为:本案争议焦点为利用涉案“颜值检测”软件窃取的“人脸信息”是否属于刑法规制范畴的“公民个人信息”。法院经审理认为,“人脸信息”属于刑法第二百五十三条之一规定的公民个人信息,利用“颜值检测”黑客软件窃取软件使用者“人脸信息”等公民个人信息的行为,属于刑法中“窃取或者以其他方法非法获取公民个人信息”的行为,依法应予惩处。主要理由如下:
第一,“人脸信息”与其他明确列举的个人信息种类均具有明显的“可识别性”特征。《、最高人民检察院关于办理侵犯公民个人信
息刑事案件适用法律若干问题的解释》(以下简称《解释》)中列举了公民个人信息种类,虽未对“人脸信息”单独列举,但允许依法在列举之外认定其他形式的个人信息。《解释》中对公民个人信息的定义及明确列举与民法典等法律规定中有关公民个人信息的认定标准一致,即将“可识别性”作为个人信息的认定标准,强调信息与信息主体之间被直接或间接识别出来的可能性。“人脸信息”属于生物识别信息,其具有不可更改性和唯一性,人脸与自然人个体一一对应,无需结合其他信息即可直接识别到特定自然人身份,具有极高的“可识别性”。
侵害公民个人信息第二,将“人脸信息”认定为公民个人信息遵循了法秩序统一性原理。民法等前置法将“人脸信息”作为公民个人信息予以保护。民法典第一千零三十四条规定了个人信息的定义和具体种类,个人信息保护法进一步将“人脸信息”纳入个人信息的保护范畴,侵犯“人脸信息”的行为构成侵犯自然人人格权益等侵权行为的,须承担相应的民事责任或行政、刑事责任。
第三,采用“颜值检测”黑客软件窃取“人脸信息”具有较大的社会危害性和刑事可罚性。因“人脸信息”是识别特定个人的敏感信息,亦是社交属性较强、采集方便的个人信息,极易被他人直接利用或制作合成,从而破解人脸识别验证程序,引发侵害隐私权、名誉权等违法行为,甚至盗窃、等犯罪行为,社会
危害较大。被告人李某操纵黑客软件伪装的“颜值检测”软件窃取用户自拍照片和手机相册中的存储照片,利用了互联网平台的开放性,以不特定公众为目标,手段隐蔽、欺骗性强、窃取面广,具有明显的社会危害性,需用刑法加以规制。
案例文号:(2021)沪0120刑初828号
02、指导性案例193号:闻某等侵犯公民个人信息案(审判委员会讨论通过2022年12月26日发布)
裁判要旨:
居民身份证信息包含自然人姓名、人脸识别信息、身份号码、户籍地址等多种个人信息,属于《、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款第四项规定的“其他可能影响人身、财产安全的公民个人信息”。非法获取、出售或者提供居民身份证信息,情节严重的,依照刑法第二百五十三条之一第一款规定,构成侵犯公民个人信息罪。
裁判理由:
法院生效裁判认为:本案争议焦点在于涉案居民身份证信息是否属于《解释》第五条第一款第四项中“其他可能影响人身、财产安全的公民个人信息”。根据《解释》第五条第一款第四项规定,非法获取、出售
或者提供住宿信息、通讯信息、健康生理信息、交易信息等其它可能影响人身、财产安全的公民个人信息五百条以上的可认定为“情节严重”。同款第五项规定,非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的可认定为“情节严重”。即,如果认定涉案居民身份证信息属于《解释》第五条第一款第四项中“其他可能影响人身、财产安全的公民个人信息”的,那么交易五百条以上个人信息即可认定“情节严重”,五千条以上构成“情节特别严重”。
一审法院经审理认为,居民身份证上的住址是公民的实际居住地址或者名义户籍地址,无论何者,均与公民及其家人的人身安全、财产安全存在十分紧密而又重要的联系,家庭住址被非法曝光、泄露将对公民个人及
其家人的人身安全、财产安全造成重大隐患,为精准实施各类违法犯罪行为大开方便之门,故理应予以重点保护,从举轻以明重的一般法理解释原则出发,其重要性也应高于作为公民临时性、过去性住所的“住宿信息”,故应被认定为《解释》第五条第一款第四项中所规定的信息种类。
二审法院经审理认为,居民身份证除包含户籍地址信息外,还是公民的姓名、人脸信息、唯一身份号码等信息的综合体,是公民重要的身份证件,在信息网络社会,居民身份证信息整体均系敏感信息,可用来注册、认证、绑定网络账号。公民的人脸信息、身份号码、姓名、地址信息结合后所形成的公民个人信息具备唯一性,可与公民个人精准匹配,并可诱发公民其他个人信息的进一步泄露,对公民个人信息
权益侵害极大,应将居民身份证信息整体认定为涉公民人身、财产安全的信息。一审、二审法院虽认定思路和认定标准不同,但结论一致,认定一审法院对闻某、朱旭东的定罪和适用法律正确,结合其犯罪手段、情节所作量刑并无不当,且审判程序合法。据此,裁定驳回上诉,维持原判。
案例文号:(2020)沪0109刑初957号(2021)沪02刑终1055号
03、指导性案例194号:熊某等侵犯公民个人信息案(审判委员会讨论通过2022年12月26日发布)
裁判要旨:
Ⅰ、违反国家有关规定,购买已注册但未使用的账号等社交媒体账号,通过具有智能发、添加好友、建立讨论组等功能的营销软件,非法制作带有公民个人信息可用于社交活动的账号等社交媒体账号出售、提供给他人,情节严重的,属于刑法第二百五十三条之一第一款规定的“违反国家有关规定,向他人出售或者提供公民个人信息”行为,构
成侵犯公民个人信息罪。
Ⅱ、未经公民本人同意,或未具备具有法律授权等个人信息保护法规定的理由,通过购买、收受、交换等方式获取在一定范围内已公开的公民个人信息进行非法利用,改变了公民公开个人信息的范围、目的
和用途,不属于法律规定的合理处理,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”行为,情节严重的,构成侵犯公民个人信息罪。
裁判理由:
生效裁判认为,被告人熊某等人违反国家有关规定,结伙出资购买空白号和一款智能发、加人、拉的营销软件,以及通过网络购买他人求职信息等方式,非法添加好友,制作成品号出售或者将非法获取的公民个人信息提供给他人,并从中获利,情节特别严重,其行为均已构成侵犯公民个人信息罪。本罪中的公民个人信息是指与公民个人密切相关的、不愿该信息被特定人以外的其他人所知悉的信息,非法获取的公民个人信息如属于公民隐私类信息或泄露后可能会产生极其不良后果的信息,不仅严重侵害公民个人信息安全和合法权益,也为网络赌博、电信网络等违法犯罪活动提供了帮助,严重扰乱了社会公共秩序,具有极大的社会危害性。不仅作为一种通讯工具,同时还具备社交、支付等功能。号和手机实名绑定,与银行卡绑定,和自然人一一对应,故号可认为是公民个人信息。
被告人违法处理已公开的个人信息并从中获利,违背了该信息公开的目的或者明显改变其用途,该信息被进一步利用后危及个人的人身或财产安全,情节特别严重,其行为构成侵犯公民个人信息罪。
发布评论