导读:在数字化时代,人脸识别技术广泛应用于身份验证、安全监控、移动支付等场景,人脸信息因其唯一性和不可更改性,成为最具价值的生物识别信息之一。然而,技术的便利也伴随着风险——一款伪装成“颜值检测”的手机软件,在用户毫不知情的情况下,悄悄窃取手机相册中的照片,包括人脸信息、姓名、身份证号等敏感数据,并上传至云端。更令人震惊的是,行为人还将包含8100万余条公民个人信息的“社工库”分享至QQ群供群友免费下载。
这一行为在法律上应当如何定性?利用黑客软件窃取的人脸信息是否属于刑法保护的“公民个人信息”?法院在判决中给出了明确的答案。
1、基本案情
2020年6月至9月间,被告人李某某制作了一款具有非法窃取安装者相册照片功能的手机“黑客软件”,打包成安卓手机端的“APK安装包”,发布在暗网论坛上售卖,同时将该软件伪装成“颜值检测”软件,发布于另一论坛提供免费下载。用户下载安装该软件后,软件会自动在后台获取手机相册里的照片,并自动上传到被告人搭建的腾讯云服务器后台。通过此种方式,被告人共窃取安装者相册照片1751张,其中部分照片含有人脸信息、自然人姓名、身份号码、联系方式、家庭住址等公民个人信息100余条。
2020年9月,李某某在暗网论坛看到标题为“社工库资料”的帖子,遂用此前售卖“APK安装包”的部分所得购买并下载了该数据,转存于“MEGA”网盘。经其本人查看,确认含有个人真实信息。2021年2月,李某某明知该“社工库资料”中含有户籍信息、QQ账号注册信息、京东账号注册信息、车主信息、借贷信息等,仍将网盘链接分享至其担任管理员的“业主交流”QQ群,提供给群成员免费下载。经司法鉴定,该“社工库资料”经去除无效数据并进行合并去重后,包含各类公民个人信息共计8100万余条。
检察机关以被告人犯侵犯公民个人信息罪提起公诉,并附带提起民事公益诉讼,要求其承担赔礼道歉、删除数据等民事责任。被告人到案后如实供述,自愿认罪认罚。
2、争议焦点:人脸信息是否属于刑法保护的“公民个人信息”
本案的核心争议在于:利用“颜值检测”软件窃取的“人脸信息”,是否属于《刑法》第二百五十三条之一规定的“公民个人信息”?辩护人还提出,检察机关对8100万余条数据信息的真实性未予核实确认,数量认定依据不足。
3、裁判理由
法院经审理认为,“人脸信息”属于刑法第二百五十三条之一规定的公民个人信息。主要理由如下:
第一,“人脸信息”具有高度的“可识别性”。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将公民个人信息定义为“能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”。人脸信息属于生物识别信息,具有不可更改性和唯一性,人脸与自然人个体一一对应,无需结合其他信息即可直接识别到特定自然人身份,其可识别性甚至高于姓名、身份证号等传统信息。
第二,将“人脸信息”认定为公民个人信息遵循了法秩序统一性原理。《民法典》第一千零三十四条将生物识别信息纳入个人信息的保护范畴,《个人信息保护法》进一步明确将人脸信息作为敏感个人信息予以严格保护。侵犯人脸信息的行为,在民法上构成侵害人格权益,在行政法上属于违法行为,在刑法上应当受到规制,体现了法律体系对公民个人信息保护的统一态度。
第三,采用“颜值检测”黑客软件窃取人脸信息具有较大的社会危害性和刑事可罚性。人脸信息极易被他人直接利用或制作合成,从而破解人脸识别验证程序,引发侵犯隐私权、名誉权等违法行为,甚至盗窃、诈骗等犯罪行为。被告人操纵黑客软件,以不特定公众为目标,手段隐蔽、欺骗性强、窃取面广,社会危害明显,需用刑法加以规制。
关于公民个人信息数量的认定,法院认为,公安机关在侦查过程中采用了抽样验证的方法,随机挑选部分个人信息进行核实,能够确认涉案个人信息的真实性。司法鉴定机构通过去除无效信息、合并去重的方法,检出有效个人信息8100万余条,符合《解释》中对批量公民个人信息具体数量的认定规则。被告人及辩护人未提出涉案信息不真实的线索或证据,故对辩护意见不予采纳。
4、裁判结果
法院认定,被告人李某某违反国家有关规定,非法获取并向他人提供公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。鉴于其到案后如实供述,自愿认罪认罚,依法可以从轻处罚。最终,法院以侵犯公民个人信息罪判处被告人有期徒刑三年,宣告缓刑三年,并处罚金人民币一万元;扣押在案的犯罪工具予以没收。同时,判令被告人在国家级新闻媒体上公开赔礼道歉,删除“颜值检测”软件及相关代码,删除腾讯云网盘及“MEGA”网盘上存储的涉案公民个人信息,并注销侵权所用QQ号码。
5、案件启示
本案是全国首例涉“人脸信息”刑事附带民事公益诉讼案,具有重要的法律示范意义。它明确了两项重要规则:其一,人脸信息属于刑法保护的“公民个人信息”,利用黑客软件非法窃取人脸信息的行为,可以构成侵犯公民个人信息罪;其二,对于批量公民个人信息的数量认定,可以采用抽样验证和合并去重的方法,无需逐条核实。
对于公众而言,本案警示我们:不要轻易下载来源不明的手机软件,尤其是那些以“颜值检测”“美颜相机”等名义索取相册权限的应用。对于开发者而言,未经用户明确同意,不得以任何技术手段窃取用户的生物识别信息,否则将面临刑事追诉。对于司法机关而言,本案也展示了刑事附带民事公益诉讼在个人信息保护领域的适用空间,既追究行为人的刑事责任,又责令其承担删除数据、公开道歉等民事责任,实现对个人信息的全面保护。
结语:一款披着“颜值检测”外衣的黑客软件,在短短数月内窃取了1751张照片,其中包含100余条可识别身份的公民个人信息;一份从暗网购买的“社工库”,竟涵盖了8100万余条真实个人数据。数字时代,个人信息已成为黑产链条上的“硬通货”,而人脸信息因其唯一性和不可更改性,更是不法分子眼中的“金矿”。
本案的判决传递出一个清晰的信号:任何以技术手段非法窃取、交易、提供公民个人信息的行为,都将受到刑法的严厉制裁。技术可以被滥用,但法律永远不会缺席。公众也应提高个人信息保护意识,不随意授权、不轻信“颜值检测”之类的噱头软件,共同筑牢个人信息保护的防线。
北京在明律师事务所
免责声明:本文内容中的法律法规来源于网络整理,如法律法条存在信息滞后或错误、侵权,欢迎联系我们纠错,我们将在24小时内进行处理。遇到企业厂房拆迁、国有土地征收、旧村改造、招商引资纠纷、城中村改造、行政处罚、企业环保关停、棚户区改造、农村宅基地拆迁补偿、矿产压覆、工程款纠纷、水库滩涂征收拆迁、养殖场征收补偿不合理等法律问题。可以提前咨询在明律师,征收拆迁不吃亏!
