|
【202402004】《李开祥侵犯公民个人信息刑事附带民事公益诉讼案》的理解与参照——人脸识别信息属于刑法规定的公民个人信息
文/李晓杰;管玉洁
2022年12月26日,最高人民法院发布了第35批指导性案例,包括第192号至195号共4件指导性案例,均为公民个人信息保护刑事案例。该批案例分别涉及人脸识别信息、居民身份证信息、微信等社交媒体账号、手机验证码等刑法保护的公民个人信息范围、性质,对于明确类案裁判规则,依法保护公民个人信息具有重要的指导意义。为了正确理解和准确参照适用第192号指导性案例,现对该指导性案例的选编过程、裁判要点、参照适用等有关情况予以解释、论证和说明。
一、案例选编过程
本案为上海市奉贤区人民法院一审并作出生效判决。2022年5月30日,上海市高级人民法院2022年第5次审判委员会会议同意将本案作为备选指导性案例向最高人民法院案例指导工作办公室推荐。2022年9月29日,最高法院研究室召开案例专业会议讨论,与会专家学者、刑事专业法官等代表多数同意推荐该案例作为指导性案例。11月1日,该案例经最高法院第442次刑专会讨论,同意作为指导性案例。12月26日,最高法院以法〔2022〕265号文件将该案例编入第35批指导性案例予以发布。
二、本案例的相关情况
(一)基本案情
2020年6月至9月间,被告人李开祥制作一款具有非法窃取安装者相册照片功能的手机黑客软件打包成安卓手机端的“APK安装包”,发布于暗网“茶马古道”论坛售卖,并伪装成“颜值检测”软件发布于“芥子论坛”(后更名为“快猫社区”)供访客免费下载。用户下载安装“颜值检测”软件使用时,“颜值检测”软件会自动在后台获取手机相册里的照片,并自动上传到被告人搭建的腾讯云服务器后台,从而窃取安装者相册照片共计1751张,其中部分照片含有人脸信息、自然人姓名、身份号码、联系方式、家庭住址等公民个人信息100余条。
2020年9月,被告人李开祥在暗网“茶马古道”论坛看到“黑客资料”帖子,后用其此前在暗网售卖“APK安装包”部分所得购买、下载标题为“社工库资料”数据转存于“MEGA”网盘,经其本人查看,确认含有个人真实信息。2021年2月,被告人李开祥明知“社工库资料”中含有户籍信息、QQ账号注册信息、京东账号注册信息、车主信息、借贷信息等,仍将网盘链接分享至其担任管理员的翠湖庄园业主交流QQ群,提供给群成员免费下载。经鉴定,“社工库资料”经去除无效数据并进行合并去重后,包含各类公民个人信息共计8100万余条。
上海市奉贤区人民检察院以社会公共利益受到损害为由,向奉贤区法院提起刑事附带民事公益诉讼。
被告人李开祥对起诉指控的基本犯罪事实及定性无异议,且自愿认罪认罚。
辩护人提出被告人李开祥系初犯,到案后如实供述所犯罪行,且自愿认罪认罚等辩护意见,建议对被告人李开祥从轻处罚,请求法庭对其适用缓刑。辩护人另辩称,检察机关未对涉案8100万余条数据信息的真实性核实确认。
(二)裁判结果
奉贤区法院于2021年8月23日以(2021)沪0120刑初828号刑事判决,认定被告人李开祥犯侵犯公民个人信息罪,判处有期徒刑3年,宣告缓刑3年,并处罚金1万元;扣押在案的犯罪工具予以没收。判令李开祥在国家级新闻媒体上对其侵犯公民个人信息的行为公开赔礼道歉,删除“颜值检测”软件及相关代码、删除腾讯云网盘上存储的涉案照片、删除存储在“ME
GA”网盘上相关公民个人信息,并注销侵权所用QQ号码。
一审判决后,公诉机关没有抗诉,被告人没有上诉,判决现已生效。
三、裁判要点的理解与说明
该指导性案例的裁判要点确认:使用人脸识别技术处理的人脸信息以及基于人脸识别技术生成的人脸信息均具有高度可识别性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况,属于刑法规定的公民个人信息。行为人未经公民本人同意,未具备获得法律、相关部门授权等个人信息保护法规定的处理个人信息的合法事由,利用软件程序等方式窃取或者以其他方法非法获取上述信息,情节严重的,应依照最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第5条第1款第(4)项等规定定罪处罚。
现围绕与该裁判要点相关的问题逐一解释和说明如下:
(一)窃取人脸信息属于刑法规定的非法获取公民个人信息的行为
1.人脸信息与其他明确例举的个人信息种类均具有明显的可识别性特征
《解释》中规定公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账户密码、财产状况、行踪轨迹等。《解释》虽然未对人脸信息单独例举,但在各项例举后又以“等”字兜底,即允许依法在例举之外认定其他形式的个人信息。
民法典第四篇第六章第一千零三十二条至第一千零三十九条共计8条,对自然人的隐私权和个人信息保护进行具有实操性的规定。民法典第一千零三十四条对个人信息作如下定义:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”可以看出,《解释》中明确例举的个人信息种类及民法典等法律规定中有关公民个人信息认定标准一致,即将“可识别性”作为个人信息的认定标准,强调信息与信息主体之间被直接或间接识别出来的可能性。
人脸信息具有很强的可识别性,本身就属于生物识别信息中社会属性最强、最易采集的个人信息。人脸信息不同于普通的数字信息,而是典型的生物识别信息,与个体身份一一对应,无需结合其他信息即可直接识别到特定自然人身份,具有极高的可识别性。因为人脸信息具有直接识别性,方便验证、易采集、难更改,在当前信息化、数字化时代更应当受到法律保护。
2.人脸信息属于刑法中公民个人信息具有充分的法律基础
刑法和民法、行政法等前置法的关系极其密切,判定法律适用问题时,应当遵循不同部门法背后的法秩序统一性要求,在民法上合法的行为,不可能也不应该成为刑法上的犯罪行为。反之,民法所禁止的行为,有可能成为犯罪行为。在刑法与民法规范的保护目的相一致的场合,刑法的违法行为判断应当依赖民法的违法行为判断。民法典等前置法将人脸信息作为公民个人信息予以保护。最高法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第1条规定,人脸信息属于民法典第一千零三十四条规定的生物识别信息。此外,个人信息保护法亦将人脸信息纳入个人信息的保护范畴之内,侵犯人脸信息的行为构成民事中侵犯自然人人格权益等侵权行为,须承担相应的民事责任,或行政、刑事责任。刑法严苛的适用条件和谦抑性虽然限制了侵犯公民个人信息的行为上升到刑事犯罪的情形,但谦抑绝非将刑法调整的范围让与民法,混淆公法与私法的界限。民法典虽然是公民权利的大宪章,但民事制裁较为轻缓,公民的民事权利不仅依照民法典予以保护,也有赖于刑法的保护。在私权利范围内民事侵权行为由民法调整;如果该违法行为威胁不特定多数人健康财产权利但情节显著轻微危害不大的,可以由行政法加以惩处;如违法行为有明显的危害后果,刑法作为最后的公法调整手段,应及时对行为的个人或单位作出刑罚,体现刑法的社会保护功能。
3.人脸信息属于侵犯公民个人信息罪保护范围
刑法中的兜底条款是在无法穷尽对犯罪行为、对象描述的时候,采用的概括性描述的方式。兜底条款的存在一定程度弥补了列举式立法的不周延性,同时也赋予法官根据情势变迁原则行使自由裁量权,使得刑事法网更趋于严密。虽有观点认为在罪刑法定原则成为现代刑法基本原则的时代背景下,刑法规定不应该设立兜底性规定,兜底性规定会导致自由裁量权的滥用,而且在司法实践中亦难以操作把握。但兜底性规定是法律规范简洁性与社会生活复杂性矛盾冲突的产物,其并没有架空罪刑法定原则。兜底性规定之前必有列举性规定,兜底性规定与之前列举性规定在使用时应坚持具有同质性和相当性。列举性规定的性质为兜底性规定确定了边界,应当从列举的行为方式或罪名或内容中探求兜底性规定的真实含义,从而使得兜底性规定的解释符合罪刑法定原则的要求。即使刑法有了缺陷,也可以通过解释弥补完善,进行补正的解释。司法机关为了避免兜底性条款的模糊性和不确定性,通过制定司法解释限制等多种手段防止法官滥用自由裁量权,也便于司法操作。
本案中,司法机关依据法秩序统一原理,正确运用刑法解释规则和方法,将刑事司法解释中没有明确例举的人脸信息纳入侵犯公民个人信息罪保护范围,更加充分地保护公民个人信息权利。对于侵犯公民个人信息罪这类犯罪来说,刑法的二次规范性非常明显,其内容的理解和适用必须依据对相关前置法规定的理解和判决。人脸信息不但完全符合历来相关法律对于公民个人信息的定义标准,而且无论民法典,还是网络安全法,都将包括人脸信息在内的个人生物识别信息类型明确纳入公民个人信息范围。在民事案件中,“人脸识别第一案”中郭某与杭州野生动物世界有限公司服务合同纠纷一案,认定野生动物世界公司擅自将入园方式由指纹识别变更为人脸识别,并发送短信告知郭某未注册人脸识别将无法正常入园,侵害郭某利益,构成违约。该判决同样强调了生物识别信息的不可更改性和直接识别性等特点。
4.采用“颜值检测”黑客软件窃取人脸信息具有严重的刑事违法性。
因人脸信息是识别特定个人的敏感信息,亦是社交属性较强、采集方便的个人信息,如果把人脸数据信息比作一把钥匙,一旦获取这把钥匙,其背后所承载的所有重要信息、隐私和财产,都会面临被泄露被侵犯的风险。犯罪分子若利用人脸信息制作成动态视频,极易被他人直接利用或制作合成,从而破解人脸识别验证程序,引发侵害隐私权、名誉权,也极有可能成为支付平台账户盗窃、网络诈骗、滋扰型等新型犯罪甚至是暴力犯罪的根源,严重威胁社会稳定。从长远来看,这类行为对社会诚信体系同样造成极大破坏。
本案中被告人李开祥采用将黑客软件伪装成“颜值检测”软件,在公民信息所有人不知情的情况下,窃取用户的自拍照片和手机相册中存储的照片,利用了互联网平台的开放性,以不特定公众为目标,手段隐蔽、欺骗性强、窃取面广,放任公民个人信息在网络上泄露的危害,具有明显的社会危害性和刑事可罚性。侵犯公民个人信息罪虽然有较为明确的法律规定,且例举了众多公民个人信息的种类和侵犯公民个人信息的行为方式,但仍有其他侵犯公民个人信息的犯罪行为需要随着社会发展和网络科技进步,及时被纳入调整范围。被告人李开祥主观上具有侵犯公民个人信息的犯罪故意,客观上实施了以窃取方式侵犯公民个人信息的行为,该行为存在潜在的被不法分子获取引发其他严重侵害公民人身财产权利犯罪行为的危害性,其本质上与法律明确规定的其他严重侵害公民个人信息的犯罪行为具有相当性,亟需用刑法加以规制。
(二)对批量公民个人信息的条数,经过抽样核实真实性并经数据去重后可直接认定
本案中被告人李开祥还实施了将非法购买的公民个人信息通过网盘链接免费分享至QQ群的行为,其中涉案个人信息数量应认定为8100万余条。《解释》规定,“对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外”。该数量认定规则确立了对批量公民个人信息具体数量的认定方式。
本案中根据司法鉴定机构的鉴定意见,被告人李开祥向他人提供的个人信息总计检出1.5亿余条,经过去除无效并进行合并去重后检出8100万余条公民个人信息,远超《解释》中规定的情节特别严重的数量标准,依法可以认定为批量信息。为证实批量信息的真实性,公安机关进行了抽样验证,随机挑选部分个人信息进行核实,确认了涉案个人信息的真实性。同时,根据《解释》规定,允许被告人就此数量认定提出反驳和进行辩护,被告人可以依法积极举证或提供线索、证据,以证实涉案个人信息不真实或有重复。本案中被告人、辩护人并未提出线索或证据证明涉案信息不真实或者重复,因此,根据司法鉴定,可以认定被告人李开祥非法获取并提供公民个人信息8100万余条。
四、参照适用时应注意的问题
随着互联网技术的发展,非法获取公民个人信息实施违法犯罪的案件时有发生,倒卖公民个人信息引发民众对于个人信息泄露的焦虑和恐惧。特别是步入数字时代,人脸、指纹等生物信息广泛应用于银行业务办理、移动支付、车站检票等领域,获得便利体验的同时,模糊的安全边界也引发了大众对“十步一刷脸”这一现状的隐忧。从长远来看,侵犯公民个人信息的行为对社会诚信体系造成极大破坏。本案中被告人李开祥利用伪装成“颜值检测”的黑客软件窃取安装者相册照片共计1000余张。涉案的人脸信息属于生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性和不可更改性,完全可以单独识别特定自然人身份,属于刑法所保护的公民个人信息范畴。若被犯罪分子利用,极有可能成为电信诈骗、滋扰型等新型犯罪甚至是暴力犯罪的根源,严重威胁社会稳定。
被告人李开祥分享在QQ群内的个人信息条目数量大,涉及被害人地域分布广,公民面对此种个人信息被违法收集的行为存在取证难、维权成本高等问题,通过私益诉讼难以获得有效救济。刑事附带民事公益诉讼是司法对个人信息保护的重要措施,本案运用刑事附带民事公益诉讼制度,有效地发挥追责和预防功能,维护公民在网络空间的合法权益。法院通过判决要求被告人删除其获取与分享的个人信息,并在国家级新闻媒体上公开赔礼道歉,不仅有效震慑此类违法行为,还能提高人民群众的个人信息安全保护意识,加强民生刑事司法保护。
本案在量刑上的考量:被告人李开祥在暗网论坛购买涉案公民个人信息并转存于网盘,其明知该信息含有户籍信息、QQ账号注册信息、京东账号注册信息、车主信息、借贷信息,仍将网盘链接分享至QQ群,提供给群成员免费下载。上述行为系为了炫耀,并非为牟取利益,且该分享内容因内存宏大、下载程序繁琐且群内人员对其不信任亦不感兴趣,未查实被下载的情况,涉案公民个人信息客观上没有造成再次传播和扩散等后果。被告人李开祥系初犯,到案后能如实供述自己的犯罪事实又自愿认罪认罚,且积极配合删除“颜值检测”软件及相关代码、腾讯云网盘上存储的涉案照片以及存储在“MEGA”网盘上相关公民个人信息,并注销侵权所用QQ号码。综上,鉴于被告人主观上没有出售牟利的目的,客观上未造成信息传播、扩散,且系初犯,自愿认罪认罚,人民法院采纳公诉机关、辩护人对被告人从轻处罚的意见,认为公诉机关提出判处被告人李开祥有期徒刑3年并适用缓刑的建议罪责罚相当,予以采纳。对侵犯公民个人信息罪量刑时除了参考非法侵害公民个人信息的数量,还需要结合被告人的目的、行为方式、社会危害后果、造成涉案公民实际损失、认罪悔罪态度等其他情节一并予以考量,对主观恶性较大、社会危害后果严重的,必要时在量刑上也应当予以从重处罚。
【注释】
执笔人:上海市奉贤区人民法院 李晓杰 管玉洁
编审人:最高人民法院案例指导工作办公室 张华锋
|