裁判要點(diǎn) 

使用人臉識(shí)別技術(shù)處理的人臉信息以及基于人臉識(shí)別技術(shù)生成的人臉信息 均具有高度的可識(shí)別性，能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或 者反映特定自然人活動(dòng)情況，屬于刑法規(guī)定的公民個(gè)人信息。行為人未經(jīng)公民 本人同意，未具備獲得法律、相關(guān)部門(mén)授權(quán)等個(gè)人信息保護(hù)法規(guī)定的處理個(gè)人 信息的合法事由，利用軟件程序等方式竊取或者以其他方法非法獲取上述信息 ，情節(jié)嚴(yán)重的，應(yīng)依照《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》第五條第一款第四項(xiàng)等規(guī)定定罪處罰。 

相關(guān)法條 《中華人民共和國(guó)刑法》第253條之一 

基本案情 

2020年6月至9月間，被告人李開(kāi)祥制作一款具有非法竊取安裝者相冊(cè)照片功能的手機(jī)“黑客軟件”，打包成安卓手機(jī)端的“APK安裝包”，發(fā)布于暗網(wǎng) “茶馬古道”論壇售賣(mài)，并偽裝成“顏值檢測(cè)”軟件發(fā)布于“芥子論壇”(后更 名為“快貓社區(qū)”)提供訪(fǎng)客免費(fèi)下載。用戶(hù)下載安裝“顏值檢測(cè)”軟件使用時(shí) ，“顏值檢測(cè)”軟件會(huì)自動(dòng)在后臺(tái)獲取手機(jī)相冊(cè)里的照片，并自動(dòng)上傳到被告 人搭建的騰訊云服務(wù)器后臺(tái)，從而竊取安裝者相冊(cè)照片共計(jì)1751張，其中部分 照片含有人臉信息、自然人姓名、身份號(hào)碼、聯(lián)系方式、家庭住址等公民個(gè)人 信息100余條。2020年9月，被告人李開(kāi)祥在暗網(wǎng)“茶馬古道”論壇看到“黑客資料”帖子 ，后用其此前在暗網(wǎng)售賣(mài)“APK安裝包”部分所得購(gòu)買(mǎi)、下載標(biāo)題為“社工庫(kù)資 料”數(shù)據(jù)轉(zhuǎn)存于“MEGA”網(wǎng)盤(pán)，經(jīng)其本人查看，確認(rèn)含有個(gè)人真實(shí)信息。 2021年2月，被告人李開(kāi)祥明知“社工庫(kù)資料”中含有戶(hù)籍信息、QQ賬號(hào)注冊(cè)信 息、京東賬號(hào)注冊(cè)信息、車(chē)主信息、借貸信息等，仍將網(wǎng)盤(pán)鏈接分享至其擔(dān)任 管理員的“翠湖莊園業(yè)主交流”QQ群，提供給群成員免費(fèi)下載。經(jīng)鑒定，“社 工庫(kù)資料”經(jīng)去除無(wú)效數(shù)據(jù)并進(jìn)行合并去重后，包含各類(lèi)公民個(gè)人信息共計(jì) 8100萬(wàn)余條。 上海市奉賢區(qū)人民檢察院以社會(huì)公共利益受到損害為由，向上海市奉賢區(qū) 人民法院提起刑事附帶民事公益訴訟。 被告人李開(kāi)祥對(duì)起訴指控的基本犯罪事實(shí)及定性無(wú)異議，且自愿認(rèn)罪認(rèn)罰 。 辯護(hù)人提出被告人李開(kāi)祥系初犯，到案后如實(shí)供述所犯罪行，且自愿認(rèn)罪 認(rèn)罰等辯護(hù)意見(jiàn)，建議對(duì)被告人李開(kāi)祥從輕處罰，請(qǐng)求法庭對(duì)其適用緩刑。辯 護(hù)人另辯稱(chēng)，檢察機(jī)關(guān)未對(duì)涉案8100萬(wàn)余條數(shù)據(jù)信息的真實(shí)性核實(shí)確認(rèn)。 

裁判結(jié)果 上海市奉賢區(qū)人民法院于2021年8月23日以（2021）滬0120刑初828號(hào)刑事 判決，認(rèn)定被告人李開(kāi)祥犯侵犯公民個(gè)人信息罪，判處有期徒刑三年，宣告緩 刑三年，并處罰金人民幣一萬(wàn)元；扣押在案的犯罪工具予以沒(méi)收。判決李開(kāi)祥 在國(guó)家級(jí)新聞媒體上對(duì)其侵犯公民個(gè)人信息的行為公開(kāi)賠禮道歉、刪除“顏值 檢測(cè)”軟件及相關(guān)代碼、刪除騰訊云網(wǎng)盤(pán)上存儲(chǔ)的涉案照片、刪除存儲(chǔ)在“ MEGA”網(wǎng)盤(pán)上相關(guān)公民個(gè)人信息，并注銷(xiāo)侵權(quán)所用QQ號(hào)碼。一審判決后，沒(méi)有 抗訴、上訴，判決現(xiàn)已生效。 

裁判理由 

法院生效裁判認(rèn)為：本案爭(zhēng)議焦點(diǎn)為利用涉案“顏值檢測(cè)”軟件竊取的 “人臉信息”是否屬于刑法規(guī)制范疇的“公民個(gè)人信息”。法院經(jīng)審理認(rèn)為，“人臉信息”屬于刑法第二百五十三條之一規(guī)定的公民個(gè)人信息，利用“顏 值檢測(cè)”黑客軟件竊取軟件使用者“人臉信息”等公民個(gè)人信息的行為，屬于 刑法中“竊取或者以其他方法非法獲取公民個(gè)人信息”的行為，依法應(yīng)予懲處 。主要理由如下：第一，“人臉信息”與其他明確列舉的個(gè)人信息種類(lèi)均具有 明顯的“可識(shí)別性”特征?！蹲罡呷嗣穹ㄔ?、最高人民檢察院關(guān)于辦理侵犯公 民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》（以下簡(jiǎn)稱(chēng)《解釋》）中列舉 了公民個(gè)人信息種類(lèi)，雖未對(duì)“人臉信息”單獨(dú)列舉，但允許依法在列舉之外 認(rèn)定其他形式的個(gè)人信息?！督忉尅分袑?duì)公民個(gè)人信息的定義及明確列舉與民 法典等法律規(guī)定中有關(guān)公民個(gè)人信息的認(rèn)定標(biāo)準(zhǔn)一致，即將“可識(shí)別性”作為 個(gè)人信息的認(rèn)定標(biāo)準(zhǔn)，強(qiáng)調(diào)信息與信息主體之間被直接或間接識(shí)別出來(lái)的可能 性?！叭四樞畔ⅰ睂儆谏镒R(shí)別信息，其具有不可更改性和唯一性，人臉與自 然人個(gè)體一一對(duì)應(yīng)，無(wú)需結(jié)合其他信息即可直接識(shí)別到特定自然人身份，具有 極高的“可識(shí)別性”。第二，將“人臉信息”認(rèn)定為公民個(gè)人信息遵循了法秩 序統(tǒng)一性原理。民法等前置法將“人臉信息”作為公民個(gè)人信息予以保護(hù)。民 法典第一千零三十四條規(guī)定了個(gè)人信息的定義和具體種類(lèi)，個(gè)人信息保護(hù)法進(jìn) 一步將“人臉信息”納入個(gè)人信息的保護(hù)范疇，侵犯“人臉信息”的行為構(gòu)成 侵犯自然人人格權(quán)益等侵權(quán)行為的，須承擔(dān)相應(yīng)的民事責(zé)任或行政、刑事責(zé)任 。第三，采用“顏值檢測(cè)”黑客軟件竊取“人臉信息”具有較大的社會(huì)危害性 和刑事可罰性。因“人臉信息”是識(shí)別特定個(gè)人的敏感信息，亦是社交屬性較 強(qiáng)、采集方便的個(gè)人信息，極易被他人直接利用或制作合成，從而破解人臉識(shí) 別驗(yàn)證程序，引發(fā)侵害隱私權(quán)、名譽(yù)權(quán)等違法行為，甚至盜竊、詐騙等犯罪行 為，社會(huì)危害較大。被告人李開(kāi)祥操縱黑客軟件偽裝的“顏值檢測(cè)”軟件竊取 用戶(hù)自拍照片和手機(jī)相冊(cè)中的存儲(chǔ)照片，利用了互聯(lián)網(wǎng)平臺(tái)的開(kāi)放性，以不特 定公眾為目標(biāo)，手段隱蔽、欺騙性強(qiáng)、竊取面廣，具有明顯的社會(huì)危害性，需 用刑法加以規(guī)制。 關(guān)于辯護(hù)人提出本案公民個(gè)人信息數(shù)量認(rèn)定依據(jù)不足的辯護(hù)意見(jiàn)，法院經(jīng) 審理認(rèn)為，公安機(jī)關(guān)偵查過(guò)程中采用了抽樣驗(yàn)證的方法，隨機(jī)挑選部分個(gè)人信 息進(jìn)行核實(shí)，能夠確認(rèn)涉案?jìng)€(gè)人信息的真實(shí)性，被告人、辯護(hù)人亦未提出涉案 信息不真實(shí)的線(xiàn)索或證據(jù)。司法鑒定機(jī)構(gòu)通過(guò)去除無(wú)效信息，并采用合并去重 的方法進(jìn)行鑒定，檢出有效個(gè)人信息8100萬(wàn)余條，公訴機(jī)關(guān)指控的公民個(gè)人信息數(shù)量客觀(guān)、真實(shí)，且符合《解釋》中確立的對(duì)批量公民個(gè)人信息具體數(shù)量的 認(rèn)定規(guī)則，故對(duì)辯護(hù)人的辯護(hù)意見(jiàn)不予采納。 綜上，被告人李開(kāi)祥違反國(guó)家有關(guān)規(guī)定，非法獲取并向他人提供公民個(gè)人 信息，情節(jié)特別嚴(yán)重，其行為已構(gòu)成侵犯公民個(gè)人信息罪。被告人李開(kāi)祥到案 后能如實(shí)供述自己的罪行，依法可以從輕處罰，且自愿認(rèn)罪認(rèn)罰，依法可以從 寬處理。李開(kāi)祥非法獲取并向他人提供公民個(gè)人信息的侵權(quán)行為，侵害了眾多公民個(gè)人信息安全，損害社會(huì)公共利益，應(yīng)當(dāng)承擔(dān)相應(yīng)的民事責(zé)任。故依法作 出上述判決。