指导性案例193号解读：侵犯公民个人信息案中的企业合规启示——以居民身份证信息保护为核心

在我国个人信息保护法律体系不断完善的背景下，最高人民法院发布的指导性案例对司法实践与企业合规具有重要参考意义。其中，指导性案例193号（闻某等侵犯公民个人信息案）聚焦居民身份证信息的法律属性与保护边界，明确了此类信息在刑事法律框架下的认定标准，对各类企业尤其是涉及个人信息处理的跨国、外商投资企业而言，具有直接的合规借鉴价值。本文将从案例核心要素、裁判逻辑及企业合规应对三个维度展开解读，为企业提供可落地的参考方向。

一、案例核心要素梳理

1.1裁判要点

居民身份证信息包含自然人姓名、人脸识别信息、身份号码、户籍地址等内容，属于《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）第五条第一款第四项规定的“其他可能影响人身、财产安全的公民个人信息”。非法获取、出售或者提供居民身份证信息，情节严重的，依照《中华人民共和国刑法》第二百五十一条之一第一款，构成侵犯公民个人信息罪。

1.2相关法律依据

本案的核心适用法条为《中华人民共和国刑法》第二百五十三条之一（侵犯公民个人信息罪），同时结合《解释》第五条对“情节严重”“情节特别严重”的认定标准——若信息属于“可能影响人身、财产安全的公民个人信息”，非法获取、出售或提供500条以上即构成“情节严重”，5000条以上则构成“情节特别严重”；若为普通公民个人信息，对应的数量标准为5000条以上“情节严重”，5万条以上“情节特别严重”。

1.3基本案情概要

2019年6月至2020年2月期间，涉案人员通过不同角色参与公民个人信息的获取与使用：

1.被告人闻某（时任上海某科技公司运营总监）与他人约定，以6元/张的价格为对方批量注册APP联名预付费卡，并通过微信、QQ获取百度网盘链接，从中获取居民身份证正反面照片（公民个人信息），交由同案被告人朱某东下载后提交给合作方工作人员；

2.闻某离职后，朱某东继续以相同价格、相同方式获取居民身份证信息，用于批量注册激活工作，期间还从另案处理的张某处获取同类信息；

3.被告人张某涛通过QQ群购买公民个人信息数据，转存后转卖给张某，收取费用共计1.96万元。

经核实，各被告人存储或涉及的居民身份证信息数量均较大：闻某网盘内1万余组、朱某东网盘内3000余组、张某分享给朱某东的网盘内4.16万余组、张某涛网盘内6.01万余组。

1.4裁判结果

上海市虹口区人民法院一审认定，闻某、朱某东、张某涛均构成侵犯公民个人信息罪（情节特别严重），分别判处有期徒刑三年（罚金1万元）、三年三个月（罚金1万元）、三年（罚金2万元），同时追缴违法所得及作案工具。三被告人中闻某、朱某东提起上诉后，上海市第二中级人民法院二审裁定驳回上诉，维持原判。

1.5裁判理由聚焦

本案的核心争议点是“居民身份证信息是否属于《解释》第五条第一款第四项规定的‘可能影响人身、财产安全的公民个人信息’”，一审与二审法院虽论证思路不同，但结论一致：

1.一审法院从“举轻以明重”的法理出发，认为居民身份证上的户籍地址或实际居住地址，与公民及家人的人身、财产安全关联紧密，其重要性高于“住宿信息”（《解释》明确列举的“可能影响人身财产安全的信息”），故应纳入该条款保护范围；

2.二审法院进一步指出，居民身份证信息是“姓名+人脸识别信息+身份号码+户籍地址”的综合体，在信息网络环境下具备唯一性，可与公民个人精准匹配，还可能诱发其他个人信息泄露，对个人信息权益侵害极大，应整体认定为“涉及人身、财产安全的公民个人信息”。

据此，法院认定各被告人涉及的信息数量已达“情节特别严重”标准，定罪量刑符合法律规定。

二、裁判逻辑对企业的核心启示：个人信息保护的“边界与标准”

从本案裁判逻辑来看，司法机关对“可能影响人身、财产安全的公民个人信息”的认定，已突破“单一信息类型”的局限，转向“信息综合体的关联风险”——即某类信息若能直接关联公民人身或财产安全，或具备诱发其他敏感信息泄露的可能性，即可能被纳入更高优先级的保护范畴。这一逻辑对企业尤其是外商投资企业的个人信息处理活动，具有三个关键启示：

第一，信息分类不能仅“看名称”，更要“看风险”。企业在处理员工、客户或合作方的个人信息时，不能简单将“居民身份证信息”归为普通身份信息，而应结合其包含的户籍地址、人脸识别信息等内容，评估其关联人身、财产安全的风险，进而采取对应的保护措施。

第二，信息数量是“情节认定”的重要依据，但需结合“信息类型”判断。本案中，若居民身份证信息被认定为普通信息，需5000条以上才构成“情节严重”；但因其被认定为“可能影响人身财产安全的信息”，500条以上即构成“情节严重”，5000条以上即“情节特别严重”。这意味着企业需明确不同类型信息的数量阈值，避免因“误判信息类型”导致合规风险。

第三，信息处理的“全流程”均需合规。本案中，信息的获取（通过网盘链接）、存储（网盘、电脑硬盘）、提供（提交给合作方）等环节均被认定为“非法处理”，可见司法机关对个人信息处理的“全流程管控”要求——企业不能仅关注信息获取的合法性，存储、流转、提供等环节的合规性同样重要。

三、外商投资企业的合规应对要点

......

由于篇幅所限，本文为节选，阅读完整文章内容请点击：https://mp.weixin.qq.com/s/dOKhUZHeACfyXI-3bq1NMg，将跳转至作者微信公众号原文。

#指导性案例 193 号 #侵犯公民个人信息罪 #居民身份证信息保护 #企业个人信息合规 #外商投资企业合规 #个人信息全流程管控 #个人信息跨境流转合规 #刑法第二百五十三条之一

‍