顧斌　陳磊鳳

摘 要：行為人利用黑客軟件竊取使用者“人臉信息”等公民個人信息，屬于非法獲取公民個人信息的行為，情節(jié)嚴重的，應(yīng)以侵犯公民個人信息罪定罪處罰?！叭四樞畔ⅰ本哂袠O高的可識別性并符合公民個人信息的定義和特征，屬于公民個人信息。行為人非法獲取或者提供公民個人信息，損害不特定公眾利益的，檢察機關(guān)可以依法提起刑事附帶民事公益訴訟。檢察機關(guān)在辦理侵犯公民個人信息案件時，要落實檢察一體化工作理念，發(fā)揮檢察合力，要注重檢察辦案與法治宣傳相結(jié)合，提高社會公眾個人信息保護意識。

關(guān)鍵詞：侵犯公民個人信息 人臉信息 生物識別信息 公益訴訟 信息數(shù)量

一、基本案情及辦理過程

被告人李某，男，1995年5月出生，某網(wǎng)絡(luò)科技有限公司軟件開發(fā)人員。

2020年6月至9月間，李某制作一款可以竊取安裝者手機內(nèi)相冊照片的軟件。當(dāng)手機用戶下載安裝該軟件打開使用時，軟件就會自動獲取手機相冊的照片并且上傳到李某搭建的服務(wù)器后臺。李某將該軟件發(fā)布在某暗網(wǎng)論壇售賣，截至2021年2月9日，共賣得虛擬幣30$（網(wǎng)站虛擬幣）。后李某為炫耀技術(shù)、滿足虛榮心，又將該軟件偽裝成“顏值檢測”軟件，發(fā)布在某論壇供網(wǎng)友免費下載安裝，以此竊取安裝者手機相冊照片1751張。其中，含有人臉信息、姓名、身份證號碼、聯(lián)系方式、家庭住址等100余條公民信息。

2020年9月，李某又用虛擬幣在該暗網(wǎng)論壇購買了“社工庫資料”并轉(zhuǎn)存于網(wǎng)盤。2021年2月，李某為炫耀自己的能力，明知“社工庫資料”含有戶籍信息、QQ賬號注冊信息、京東賬號注冊信息、車主信息等，仍將網(wǎng)盤鏈接分享到“業(yè)主交流”QQ群（150名成員），供群成員免費下載。經(jīng)去除無效數(shù)據(jù)、合并去重后，該“社工庫資料”包含公民個人信息共計8100余萬條。

2021年3月9日，上海市公安局奉賢分局將李某抓獲。由于“社工庫資料”內(nèi)容龐大且存儲于境外網(wǎng)盤，下載程序繁瑣，未查證到有人下載使用。

2021年3月26日，上海市奉賢區(qū)人民檢察院（以下簡稱“奉賢檢察院”）以侵犯公民個人信息罪對李某批準逮捕。2021年5月28日，上海市公安局奉賢分局將該案移送奉賢檢察院審查起訴。奉賢檢察院審查認為，李某非法獲取并向他人提供公民個人信息，情節(jié)特別嚴重，已構(gòu)成侵犯公民個人信息罪。2021年8月10日，奉賢檢察院以被告人李某侵犯公民個人信息罪向奉賢區(qū)人民法院提起刑事公訴及附帶民事公益訴訟。2021年8月23日，奉賢區(qū)人民法院公開開庭審理，并當(dāng)庭作出一審判決，判處被告人李某有期徒刑3年，宣告緩刑3年，并處罰金人民幣1萬元；判令李某在國家級新聞媒體上對其侵犯公民個人信息的行為公開賠禮道歉、刪除“顏值檢測”軟件及相關(guān)代碼、刪除網(wǎng)盤上存儲的涉案照片及相關(guān)公民個人信息、并注銷侵權(quán)所用QQ號碼。一審判決后，被告人李某服判未上訴。判決生效后，李某在執(zhí)行法官、檢察技術(shù)人員的監(jiān)督下履行法院判決，自行刪除了存儲在境外網(wǎng)盤上的黑客軟件及代碼、竊取的照片等相關(guān)公民個人信息。

二、辦案中的要點分析

（一）準確把握“人臉信息”屬于“公民個人信息”

關(guān)于“顏值檢測”軟件竊取的“人臉信息”是否屬于我國刑法規(guī)制范疇的“公民個人信息”是本案辦理的難點之一?！皟筛摺薄蛾P(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）規(guī)定，“公民個人信息”是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。該司法解釋未明確“人臉信息”為公民個人信息。

檢察機關(guān)認為，“人臉信息”具有極高的可識別性，并符合公民個人信息的定義和特征，屬于公民個人信息。首先，“人臉信息”與《解釋》中明確列舉的個人信息種類共同具有明顯的“可識別性”特征?！督忉尅放c《中華人民共和國民法典》（以下簡稱“民法典”）、《中華人民共和國個人信息保護法》（以下簡稱“個人信息保護法”）、《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱“網(wǎng)絡(luò)安全法”）等法律中有關(guān)公民個人信息的認定標(biāo)準是一致的，即將“可識別性”（能夠單獨或者與其他信息結(jié)合識別特定自然人）作為個人信息的認定標(biāo)準。“人臉信息”作為生物識別信息，其具有不可更改性和唯一性，人臉與自然人個體一一對應(yīng)，無需結(jié)合其他信息即可直接識別到特定自然人身份，具有極高的“可識別性”，符合公民個人信息的特征。其次，《解釋》中列舉了公民個人信息種類，雖未對“人臉信息”單獨列舉，但《解釋》中的“等”字，應(yīng)作“等外”解釋，即包括但不限于列舉規(guī)定的個人信息，允許依法在列舉之外認定其他形式的個人信息。再次，將“人臉信息”認定為公民個人信息遵循了法秩序統(tǒng)一性原則。民法典、個人信息保護法等法律將“人臉信息”作為公民個人信息予以保護。民法典第1034條規(guī)定了個人信息的定義和具體種類，個人信息保護法進一步將“生物識別信息”納入敏感個人信息的保護范疇，強調(diào)敏感個人信息一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害，侵犯“人臉信息”的行為構(gòu)成人格權(quán)侵權(quán)或者危害到人身、財產(chǎn)安全的，應(yīng)承擔(dān)相應(yīng)的刑事、民事、行政責(zé)任?！蹲罡呷嗣穹ㄔ宏P(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》第1條第3款明確規(guī)定“人臉信息”屬于生物識別信息?！叭四樞畔ⅰ币嗍巧缃粚傩暂^強、采集方便的個人信息，極易被他人直接利用或制作合成，從而破解人臉識別驗證程序，引發(fā)侵害隱私權(quán)、名譽權(quán)，甚至盜竊、詐騙等犯罪行為，具有較大的社會危害性。

（二）準確認定批量公民個人信息條數(shù)

本案中涉案信息達8100余萬條，在海量信息的狀態(tài)下，對信息的真實性一一進行核實在客觀上較難實現(xiàn)，在未對信息逐條核實真實性的情況下，能否直接認定李某侵犯公民個人信息的數(shù)量為8100多萬條亦是本案的要點之一。檢察機關(guān)認為，在案證據(jù)可以認定8100余萬條信息數(shù)量。首先，根據(jù)《解釋》第11條的規(guī)定，對批量公民個人信息的條數(shù)，根據(jù)查獲的數(shù)量直接認定，但是有證據(jù)證明信息不真實或者重復(fù)的除外。本案中，李某及其辯護人未提供信息不真實的相關(guān)線索或者證據(jù)，又經(jīng)司法鑒定機構(gòu)去除無效信息、合并去重后認定8100余萬條。其次，經(jīng)公安機關(guān)抽樣驗證，隨機抽取部分個人信息進行核實，進一步確認涉案信息的真實性。根據(jù)最高檢印發(fā)的《人民檢察院辦理網(wǎng)絡(luò)犯罪案件規(guī)定》第22條規(guī)定，對于數(shù)量眾多的同類證據(jù)材料，在證明是否具有同樣的性質(zhì)、特征或者功能時，因客觀條件限制不能全部驗證的，可以進行抽樣驗證。本案中李某通過網(wǎng)絡(luò)非法獲取并向他人提供個人信息，非法獲取的信息具有同質(zhì)化的特征，且信息數(shù)量達到8100余萬條，全部驗證存在客觀條件限制，符合采取抽樣驗證的條件。面對數(shù)量龐大的批量信息，逐條核實、全部驗證不僅司法成本高，還會降低司法效率。抽樣驗證法作為一種統(tǒng)計學(xué)的證明方法，是基于科學(xué)的統(tǒng)計學(xué)原理，建立在涉案證據(jù)樣本具有同質(zhì)化特征的基礎(chǔ)上，以證據(jù)樣本與證明事實之間的高度蓋然性推定待證事實，即通過部分證據(jù)樣本的真實性驗證得出證據(jù)整體真實性，本質(zhì)是事實推定，從證據(jù)個體特征中得出證據(jù)整體特征的一種推定方法，符合推定原理和邏輯法則。抽樣驗證法已經(jīng)逐漸被運用于解決網(wǎng)絡(luò)犯罪中證據(jù)收集和證明的難題，是一種應(yīng)當(dāng)被推廣與應(yīng)用的科學(xué)的證據(jù)審查方式。因此，本案認定的公民個人信息數(shù)量客觀、真實，符合《解釋》中確立的對批量公民個人信息具體數(shù)量的認定規(guī)則，并采取抽樣驗證的方法進一步證實信息真實性。

（三）深度融合“刑事+公益+技術(shù)”，提升辦案質(zhì)效

本案中，李某利用黑客軟件偽裝的“顏值檢測”軟件竊取用戶自拍照片和手機相冊中的存儲照片，利用了互聯(lián)網(wǎng)平臺的開放性，以不特定公眾為目標(biāo)，手段隱蔽、欺騙性強、竊取面廣，社會危害性大，且該黑客軟件仍在暗網(wǎng)論壇售賣，尚未下架，可能繼續(xù)竊取個人信息。李某購買并非法提供的公民個人信息數(shù)量龐大，涉及戶籍信息、信貸信息、房產(chǎn)信息、車輛信息、京東賬號注冊信息等共計8100余萬條，涉案個人信息仍存儲在境外網(wǎng)盤中，存在繼續(xù)傳播的風(fēng)險。涉案信息涉及地域范圍廣，遍布全國各省市，可能侵犯到不特定公眾個人信息安全?！鞍稻W(wǎng)”、境外網(wǎng)盤不受我國法律約束，網(wǎng)安部門無法直接刪除涉案個人信息、下架黑客軟件，同時考慮到電子證據(jù)有可能提取不完全、調(diào)取程序不規(guī)范、案件事實發(fā)生新變化或開庭舉證需要等原因，為保證訴訟的順利進行，法院判決生效前未直接刪除作為證據(jù)的涉案個人信息及相關(guān)軟件。為充分發(fā)揮檢察機關(guān)履職能動性，強化部門協(xié)作配合，刑事檢察部門第一時間向公益訴訟部門移送相關(guān)線索，對李某侵犯公民個人信息案共同研判，同步審查案件、同步調(diào)查核實、同步向人民法院提起刑事附帶民事公益訴訟，訴請法院判令李某某在國家級媒體上賠禮道歉，刪除軟件及代碼，刪除網(wǎng)盤上存儲的相關(guān)個人信息，并注銷侵權(quán)所用的QQ號，全部訴請均獲得法院支持。判決執(zhí)行階段，為了徹底消除涉案個人信息再次泄露、擴散以及黑客軟件被再次使用的風(fēng)險，借助檢察技術(shù)力量輔助辦案，一方面，對存儲在境外網(wǎng)盤、法院難以執(zhí)行刪除措施的信息和軟件，在執(zhí)行法官的主持下，由李某自行刪除，檢察技術(shù)人員全程見證執(zhí)行；另一方面，對李某已經(jīng)刪除的信息，由檢察技術(shù)人員現(xiàn)場驗證，確保刪除到位，徹底消除黑客軟件竊取個人信息再次傳播的風(fēng)險。

三、辦理類案的實踐啟示

（一）積極調(diào)整辦案思路，依法準確定性

侵犯公民個人信息案件的高發(fā)往往與網(wǎng)絡(luò)金融犯罪、電信網(wǎng)絡(luò)詐騙犯罪、破壞計算機系統(tǒng)犯罪等相關(guān)，根據(jù)犯罪主體、作案手段、侵害法益的不同，造成與其他犯罪的競合。利用黑客軟件滲透計算機系統(tǒng)竊取個人信息的行為可能構(gòu)成破壞計算機信息系統(tǒng)罪、非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪等罪名。在辦理電信網(wǎng)絡(luò)詐騙、破壞計算機信息系統(tǒng)類案件時，應(yīng)重視侵犯公民個人信息的線索。本案辦理前期，公安機關(guān)主要圍繞李某售賣黑客軟件行為涉嫌提供侵入計算機信息系統(tǒng)程序、工具罪展開偵查取證，忽略其利用黑客軟件竊取照片亦屬于侵犯公民個人信息的行為，對李某以涉嫌提供侵入計算機信息系統(tǒng)程序、工具罪移送檢察機關(guān)審查起訴。經(jīng)鑒定，確定涉案黑客軟件系專門用于侵入計算機信息系統(tǒng)的程序，但軟件的下載人次等相關(guān)情節(jié)難以查證，認定李某某提供侵入計算機信息系統(tǒng)的程序“情節(jié)嚴重”證據(jù)不足。檢察機關(guān)及時調(diào)整思路，引導(dǎo)公安機關(guān)圍繞李某利用黑客軟件侵犯公民個人信息展開偵查取證。經(jīng)補充偵查發(fā)現(xiàn)，李某竊取的照片有人臉自拍照、快遞物流單據(jù)及身份證照片等，包含人臉信息、姓名、身份證號碼、家庭住址、電話號碼，可以識別特定自然人身份，屬于公民個人信息。因此，李某某利用“顏值檢測”軟件竊取照片、在暗網(wǎng)上購買并非法提供個人信息的行為，可以侵犯公民個人信息罪論處。

（二）落實檢察一體化工作理念，發(fā)揮檢察合力

檢察一體化是檢察機關(guān)有效行使檢察權(quán)的重要保障，也是推進新時代檢察工作高質(zhì)量發(fā)展的重要抓手。推行檢察一體化機制，可以聚攏檢察資源，形成履職合力，提升辦案監(jiān)督效能。檢察機關(guān)在辦理利用網(wǎng)絡(luò)黑客技術(shù)侵犯公民個人信息罪案件時，應(yīng)當(dāng)強化檢察一體化的理念，充分發(fā)揮各部門間的工作合力，更好履行辦案職能、保障公民權(quán)利，釋放檢察內(nèi)生動力。一是要暢通案件信息共享渠道，刑檢部門和公益訴訟部門通過信息共享，聚焦線索的收集、反饋與挖掘，有效整合線索，形成內(nèi)部合力。二是健全線索同步審查機制，同步研判線索，同步審查案件，同步調(diào)查核實，對侵犯公民個人信息損害不特定公眾利益的行為同步提起刑事附帶民事公益訴訟，實現(xiàn)懲治犯罪與保護公益有機統(tǒng)一，切實保障公民個人信息安全。三是加強“業(yè)務(wù)+技術(shù)”協(xié)作，充分借助檢察技術(shù)部門力量輔助辦案，協(xié)助辦案部門采集信息、保全數(shù)據(jù)、刪除侵權(quán)個人信息、最大限度修復(fù)受損公益，提升檢察辦案質(zhì)效。

（三）注重檢察辦案與法治宣傳相結(jié)合，提高社會公眾個人信息保護意識

隨著大數(shù)據(jù)、人臉識別等新技術(shù)發(fā)展，移動互聯(lián)網(wǎng)應(yīng)用場景中對使用者的個人信息讀取與搜集更加廣泛，將黑客軟件偽裝成“顏值檢測”“星座測試”等程序大肆竊取手機相冊、通訊錄、實時定位等用戶信息，犯罪手段隱蔽，具有迷惑性、欺騙性。非法獲取的海量個人信息通過網(wǎng)絡(luò)“黑灰產(chǎn)業(yè)”鏈條的傳播，為犯罪分子精準實施電信網(wǎng)絡(luò)詐騙、敲詐勒索等網(wǎng)絡(luò)犯罪活動提供了“基本物料”，嚴重危害公民的人身、財產(chǎn)安全和網(wǎng)絡(luò)安全環(huán)境。為了延伸辦案效果，落實“誰執(zhí)法，誰普法”，揭示利用互聯(lián)網(wǎng)應(yīng)用程序侵犯公民個人信息的社會危害性，提高社會公眾個人信息保護意識，本案對李某侵犯公民個人信息案庭審實況進行網(wǎng)絡(luò)直播，知名法學(xué)專家現(xiàn)場解讀，并邀請市人大代表、政協(xié)委員、人民監(jiān)督員旁聽，庭后開展“聽庭評議”活動，后續(xù)召開新聞發(fā)布會，以“檢察官發(fā)布”形式對外發(fā)布保護公民個人信息典型案例，取得了較好的宣傳效果。檢察機關(guān)在辦理侵犯公民個人信息案件時，要重視對不同類型侵犯公民個人信息案件的特點、作案手段進行梳理，總結(jié)辦案經(jīng)驗和典型案例，一方面要充分運用庭審直播、案例發(fā)布等方式，依托新聞報刊、“兩微一端”新媒體等平臺加強法治宣傳，另一方面聯(lián)合相關(guān)部門開展普法宣傳，走進社區(qū)、校園進行宣講，以真實案例揭示侵犯公民個人信息的社會危害性，揭露利用黑客軟件竊取個人信息的犯罪新手段以及從非正規(guī)渠道下載、安裝軟件潛在的風(fēng)險，強化以案釋法，呼吁社會公眾加強自我信息保護，謹慎下載使用手機軟件，注意識別惡意網(wǎng)站、應(yīng)用程序，防范個人信息泄露，造成合法權(quán)益受損，提高社會公眾對自身個人信息的保護意識，展現(xiàn)新時代檢察機關(guān)筑牢保護個人信息司法屏障及維護網(wǎng)絡(luò)安全的新作為。

*上海市奉賢區(qū)人民檢察院第一檢察部主任、四級高級檢察官［201499］

**上海市奉賢區(qū)人民檢察院第一檢察部四級檢察官［201499］