近日，最高人民法院釋出第35批共4件指導性案例，均為公民個人資訊保護刑事案例。該批案例分別涉及人臉識別資訊、居民身份證資訊、微信等社交媒體賬號、手機驗證碼等刑法保護的公民個人資訊範圍、性質，對明確類案裁判規則、依法保護公民個人資訊具有重要的指導意義。

指導性案例192號

李開祥侵犯公民個人資訊案

使用人臉識別技術處理的人臉資訊以及基於人臉識別技術生成的人臉資訊均具有高度的可識別性，能夠單獨或者與其他資訊結合識別特定自然人身份或者反映特定自然人活動情況，屬於刑法規定的公民個人資訊。行為人未經公民本人同意，未具備獲得法律、相關部門授權等個人資訊保護法規定的處理個人資訊的合法事由，利用軟體程式等方式竊取或者以其他方法非法獲取上述資訊，情節嚴重的，應依照《最高人民法院、最高人民檢察院關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》第五條第一款第四項等規定定罪處罰。

2020年6月至9月間，被告人李開祥製作一款具有非法竊取安裝者相簿照片功能的手機“駭客軟體”，打包成安卓手機端的“APK安裝包”，釋出於暗網“茶馬古道”論壇售賣。2020年9月，李開祥在暗網“茶馬古道”論壇看到“駭客資料”帖子，用其此前在暗網售賣“APK安裝包”部分所得，購買、下載標題為“社工庫資料”資料轉存於“MEGA”網盤，經其本人檢視，確認含有個人真實資訊。2021年2月，李開祥明知“社工庫資料”中含有戶籍資訊、QQ賬號註冊資訊、京東賬號註冊資訊、車主資訊、借貸資訊等，仍將網盤連結分享至其擔任管理員的“翠湖莊園業主交流”QQ群，提供給群成員免費下載。經鑑定，“社工庫資料”經去除無效資料並進行合併去重後，包含各類公民個人資訊共計8100萬餘條。

上海市奉賢區法院於2021年8月刑事判決，認定被告人李開祥犯侵犯公民個人資訊罪，判處有期徒刑三年，宣告緩刑三年，並處罰金人民幣一萬元。

法院生效裁判認為，本案爭議焦點為利用涉案“顏值檢測”軟體竊取的人臉資訊是否屬於刑法規制範疇的“公民個人資訊”。法院經審理認為，人臉資訊屬於刑法第二百五十三條之一規定的公民個人資訊，利用“顏值檢測”駭客軟體竊取軟體使用者人臉資訊等公民個人資訊的行為，屬於刑法中“竊取或者以其他方法非法獲取公民個人資訊”的行為，依法應予懲處。

指導性案例193號

聞巍等侵犯公民個人資訊案

居民身份證資訊包含自然人姓名、人臉識別資訊、身份號碼、戶籍地址等多種個人資訊，屬於《最高人民法院、最高人民檢察院關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》第五條第一款第四項規定的“其他可能影響人身、財產安全的公民個人資訊”。非法獲取、出售或者提供居民身份證資訊，情節嚴重的，依照刑法第二百五十三條之一第一款規定，構成侵犯公民個人資訊罪。

2019年6月至8月間，被告人聞巍（時任上海好體資訊科技有限公司運營總監）經事先聯絡，與微信、QQ名為“發樂”、“來立中”、“我怕冷風吹”等人約定，以人民幣6元/張的價格為上述人員批次註冊啟用該公司“愛球錢包”APP應用的“中銀通·魔方元”聯名預付費卡，並從上述人員處透過利用微信、QQ獲得百度網盤分享連結的方式獲取公民個人資訊（居民身份證正反面照片），由被告人朱旭東從該網盤連結中下載至行動硬碟內，交由中銀通工作人員用於批次註冊啟用。2019年9月至2020年2月間，被告人朱旭東在被告人聞巍離職後，負責上述聯名預付費卡的批次註冊啟用工作。經核實，從被告人聞巍網盤內清點公民個人資訊（居民身份證正反面照片）10000餘組，從被告人朱旭東網盤內清點公民個人資訊（居民身份證正反面照片）3000餘組，從張某分享給朱旭東的網盤內清點公民個人資訊（居民身份證正反面照片）41654組，從另一被告人張江濤的網盤內清點公民個人資訊60101組。

上海市虹口區法院於2021年8月刑事判決，認定被告人聞巍犯侵犯公民個人資訊罪，判處有期徒刑三年，並處罰金人民幣一萬元；被告人朱旭東犯侵犯公民個人資訊罪，判處有期徒刑三年三個月，並處罰金人民幣一萬元；被告人張江濤犯侵犯公民個人資訊罪，判處有期徒刑三年，並處罰金人民幣二萬元。

法院生效裁判認為：本案爭議焦點在於涉案居民身份證資訊是否屬於《解釋》第五條第一款第四項中“其他可能影響人身、財產安全的公民個人資訊”。二審法院經審理認為，居民身份證除包含戶籍地址資訊外，還是公民的姓名、人臉資訊、唯一身份號碼等資訊的綜合體，是公民重要的身份證件，在資訊網路社會，居民身份證資訊整體均系敏感資訊，可用來註冊、認證、繫結網路賬號。公民的人臉資訊、身份號碼、姓名、地址資訊結合後所形成的公民個人資訊具備唯一性，可與公民個人精準匹配，並可誘發公民其他個人資訊的進一步洩露，對公民個人資訊權益侵害極大，應將居民身份證資訊整體認定為涉公民人身、財產安全的資訊。

指導性案例194號

熊昌恆等侵犯公民個人資訊案

違反國家有關規定，購買已註冊但未使用的微信賬號等社交媒體賬號，透過具有智慧群發、新增好友、建立討論群組等功能的營銷軟體，非法制作帶有公民個人資訊可用於社交活動的微信賬號等社交媒體賬號出售、提供給他人，情節嚴重的，屬於刑法第二百五十三條之一第一款規定的“違反國家有關規定，向他人出售或者提供公民個人資訊”行為，構成侵犯公民個人資訊罪。

未經公民本人同意，或未具備具有法律授權等個人資訊保護法規定的理由，透過購買、收受、交換等方式獲取在一定範圍內已公開的公民個人資訊進行非法利用，改變了公民公開個人資訊的範圍、目的和用途，不屬於法律規定的合理處理，屬於刑法第二百五十三條之一第三款規定的“以其他方法非法獲取公民個人資訊”行為，情節嚴重的，構成侵犯公民個人資訊罪。

2020年9月，被告人熊昌恆、熊昌林、熊恭浪、熊昌強共同出資在網上購買了一款名叫“微騎兵”的軟體（一款基於電腦版微信執行擁有多開、多號智慧群發、加人、拉群、退群、清粉的營銷軟體），用於非法新增微信好友，並製作成品微訊號予以販賣。2020年10月，被告人熊昌恆的朋友秦英斌及熊昌恆、熊昌林、熊恭浪、熊昌強成立了“豐城市昌文貿易公司”。2021年1月，在販賣成品微訊號的同時，透過網上購買的方式，非法獲取他人求職資訊（含姓名、性別、電話號碼等公民個人基本身份資訊）後，將求職人員的資訊分發給公司工作人員。以員工每新增到一名求職人員的微訊號，賺約10元不等佣金的獎勵方法，讓員工謊稱自己是“公共科技傳媒”的工作人員，並透過事先準備好的“話術”以刷單兼職為理由，讓求職者新增“導師”的微信，招攬被害人進群，致使部分被害人上當受騙。

江西省豐城市人民法院於2021年9月刑事判決，多名被告人以侵犯公民個人資訊罪，分別判處有期徒刑一年至三年不等，並處罰金人民幣三萬元至十萬元不等。

生效裁判認為，微信不僅作為一種通訊工具，同時還具備社交、支付等功能。微訊號和手機實名繫結，與銀行卡繫結，和自然人一一對應，故微訊號可認為是公民個人資訊。被告人違法處理已公開的個人資訊並從中獲利，違背了該資訊公開的目的或者明顯改變其用途，該資訊被進一步利用後危及個人的人身或財產安全，情節特別嚴重，其行為構成侵犯公民個人資訊罪。

指導性案例195號

羅文君、瞿小珍侵犯公民個人資訊案

服務提供者專門發給特定手機號碼的數字、字母等單獨或者其組合構成的驗證碼具有獨特性、隱秘性，能夠單獨或者與其他資訊結合識別特定自然人身份或者反映特定自然人活動情況的，屬於刑法規定的公民個人資訊。行為人將提供服務過程中獲得的驗證碼及對應手機號碼出售給他人，情節嚴重的，依照侵犯公民個人資訊罪定罪處罰。

2019年12月，被告人羅文君瞭解到透過獲取他人手機號和隨機驗證碼用以註冊新的淘寶、京東等APP賬號（簡稱“拉新”）可以賺錢，便與微信暱稱“悠悠141319”、“A我已成年愛誰睡”、“捷京淘”、“胖娥”、“河北黑志偉80後的見證”等專門從事“拉新”的人聯絡。2019年12月至2021年7月期間，被告人羅文君利用株洲聯盛通訊有限責任公司淥口手機店、中國移動營業廳銷售員瞿小珍等人的職務之便，非法獲取並且販賣被害人彭某某、譚某某等個人資訊手機號碼和隨機驗證碼給“悠悠141319”等人。

湖南省株洲市淥口區法院於2021年11月刑事判決，認定被告人羅文君犯侵犯公民個人資訊罪，判處有期徒刑八個月，並處罰金人民幣二萬元。被告人瞿小珍犯侵犯公民個人資訊罪，判處有期徒刑六個月，並處罰金人民幣一萬五千元。

法院生效裁判認為：個人資訊是以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別特定自然人的各種資訊，包括電話號碼等；驗證碼系專門發給特定手機號的獨一無二的數字組合，且依規不能傳送給他人，證明驗證碼系具有識別、驗證個人身份的通訊內容，即二者均為能識別自然人身份的個人資訊；侵犯公民個人資訊罪不以造成具體損失為構成要件。（金燦）