指导性案例193号解读：侵犯公民个人信息案中的企业合规启示——以居民身份证信息保护为核心

在我国个人信息保护法律体系不断完善的背景下，最高人民法院发布的指导性案例对司法实践与企业合规具有重要参考意义。其中，指导性案例193号（闻某等侵犯公民个人信息案）聚焦居民身份证信息的法律属性与保护边界，明确了此类信息在刑事法律框架下的认定标准，对各类企业尤其是涉及个人信息处理的跨国、外商投资企业而言，具有直接的合规借鉴价值。本文将从案例核心要素、裁判逻辑及企业合规应对三个维度展开解读，为企业提供可落地的参考方向。

一、案例核心要素梳理

1.1裁判要点

居民身份证信息包含自然人姓名、人脸识别信息、身份号码、户籍地址等内容，属于《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）第五条第一款第四项规定的“其他可能影响人身、财产安全的公民个人信息”。非法获取、出售或者提供居民身份证信息，情节严重的，依照《中华人民共和国刑法》第二百五十一条之一第一款，构成侵犯公民个人信息罪。

1.2相关法律依据

本案的核心适用法条为《中华人民共和国刑法》第二百五十三条之一（侵犯公民个人信息罪），同时结合《解释》第五条对“情节严重”“情节特别严重”的认定标准——若信息属于“可能影响人身、财产安全的公民个人信息”，非法获取、出售或提供500条以上即构成“情节严重”，5000条以上则构成“情节特别严重”；若为普通公民个人信息，对应的数量标准为5000条以上“情节严重”，5万条以上“情节特别严重”。

1.3基本案情概要

2019年6月至2020年2月期间，涉案人员通过不同角色参与公民个人信息的获取与使用：

1.被告人闻某（时任上海某科技公司运营总监）与他人约定，以6元/张的价格为对方批量注册APP联名预付费卡，并通过微信、QQ获取百度网盘链接，从中获取居民身份证正反面照片（公民个人信息），交由同案被告人朱某东下载后提交给合作方工作人员；

2.闻某离职后，朱某东继续以相同价格、相同方式获取居民身份证信息，用于批量注册激活工作，期间还从另案处理的张某处获取同类信息；

3.被告人张某涛通过QQ群购买公民个人信息数据，转存后转卖给张某，收取费用共计1.96万元。

经核实，各被告人存储或涉及的居民身份证信息数量均较大：闻某网盘内1万余组、朱某东网盘内3000余组、张某分享给朱某东的网盘内4.16万余组、张某涛网盘内6.01万余组。

1.4裁判结果

上海市虹口区人民法院一审认定，闻某、朱某东、张某涛均构成侵犯公民个人信息罪（情节特别严重），分别判处有期徒刑三年（罚金1万元）、三年三个月（罚金1万元）、三年（罚金2万元），同时追缴违法所得及作案工具。三被告人中闻某、朱某东提起上诉后，上海市第二中级人民法院二审裁定驳回上诉，维持原判。

1.5裁判理由聚焦

本案的核心争议点是“居民身份证信息是否属于《解释》第五条第一款第四项规定的‘可能影响人身、财产安全的公民个人信息’”，一审与二审法院虽论证思路不同，但结论一致：

1.一审法院从“举轻以明重”的法理出发，认为居民身份证上的户籍地址或实际居住地址，与公民及家人的人身、财产安全关联紧密，其重要性高于“住宿信息”（《解释》明确列举的“可能影响人身财产安全的信息”），故应纳入该条款保护范围；

2.二审法院进一步指出，居民身份证信息是“姓名+人脸识别信息+身份号码+户籍地址”的综合体，在信息网络环境下具备唯一性，可与公民个人精准匹配，还可能诱发其他个人信息泄露，对个人信息权益侵害极大，应整体认定为“涉及人身、财产安全的公民个人信息”。

据此，法院认定各被告人涉及的信息数量已达“情节特别严重”标准，定罪量刑符合法律规定。

二、裁判逻辑对企业的核心启示：个人信息保护的“边界与标准”

从本案裁判逻辑来看，司法机关对“可能影响人身、财产安全的公民个人信息”的认定，已突破“单一信息类型”的局限，转向“信息综合体的关联风险”——即某类信息若能直接关联公民人身或财产安全，或具备诱发其他敏感信息泄露的可能性，即可能被纳入更高优先级的保护范畴。这一逻辑对企业尤其是外商投资企业的个人信息处理活动，具有三个关键启示：

第一，信息分类不能仅“看名称”，更要“看风险”。企业在处理员工、客户或合作方的个人信息时，不能简单将“居民身份证信息”归为普通身份信息，而应结合其包含的户籍地址、人脸识别信息等内容，评估其关联人身、财产安全的风险，进而采取对应的保护措施。

第二，信息数量是“情节认定”的重要依据，但需结合“信息类型”判断。本案中，若居民身份证信息被认定为普通信息，需5000条以上才构成“情节严重”；但因其被认定为“可能影响人身财产安全的信息”，500条以上即构成“情节严重”，5000条以上即“情节特别严重”。这意味着企业需明确不同类型信息的数量阈值，避免因“误判信息类型”导致合规风险。

第三，信息处理的“全流程”均需合规。本案中，信息的获取（通过网盘链接）、存储（网盘、电脑硬盘）、提供（提交给合作方）等环节均被认定为“非法处理”，可见司法机关对个人信息处理的“全流程管控”要求——企业不能仅关注信息获取的合法性，存储、流转、提供等环节的合规性同样重要。

三、外商投资企业的合规应对要点

结合本案及外商投资企业的业务特点（如跨国数据流转、多合作方协作、员工信息跨国管理等），企业可从以下四个方面完善个人信息保护合规体系：

3.1建立“风险导向”的个人信息分类机制

外商投资企业在处理员工入职（需收集身份证信息）、客户身份验证、合作方信息备案等业务时，应先梳理所涉个人信息的类型及内容，结合本案裁判标准评估风险：

1.对包含姓名、身份号码、人脸信息、户籍地址的“居民身份证信息综合体”，应归类为“高风险个人信息”，参照“可能影响人身、财产安全的信息”制定保护规则；

2.明确不同风险等级信息的处理权限——例如，高风险信息的获取需经合规部门审批，存储需加密，流转需记录日志。

3.2规范信息获取与流转的“合法性基础”

本案中，被告人获取居民身份证信息的方式（通过网盘链接接收）缺乏合法依据，这是其被定罪的重要原因。企业在获取个人信息时，需确保具备合法基础（如获得个人同意、符合劳动合同约定、为履行法定义务等），并注意：

1.若需从第三方（如合作方、供应商）获取个人信息，需要求第三方提供信息来源的合法性证明，并签署协议明确信息使用范围与责任；

2.信息流转至境外时，需符合《个人信息保护法》关于跨境数据传输的规定（如通过安全评估、签署标准合同等），避免因“跨国流转”增加合规风险。

3.3强化内部人员的“行为规范与责任界定”

本案中，两名被告人均为企业工作人员（运营总监、具体执行人），其个人行为最终导致企业关联风险。外商投资企业可通过以下方式管控内部人员行为：

1.制定明确的个人信息处理制度，明确员工在信息获取、存储、使用中的权限与禁止性行为（如禁止私存信息至个人网盘、禁止向未授权第三方提供信息）；

2.定期开展合规培训，结合本案等指导性案例，向员工讲解个人信息保护的法律边界，避免因“认知不足”导致违法风险；

3.建立内部监督机制，对信息处理环节进行定期检查，及时发现并纠正违规行为。

3.4完善合作方的“合规尽调与过程管控”

本案中，涉案企业与中银通（联名预付费卡合作方）存在信息交互，若合作方未履行信息保护义务，企业也可能面临连带责任。外商投资企业在选择合作方（如人力资源服务商、技术供应商、支付机构等）时，需注意：

1.在合作协议中明确双方的个人信息保护责任，约定合作方不得擅自留存、使用或转卖企业提供的个人信息；

2.定期对合作方的信息保护措施进行核查，确保其符合我国法律规定及企业内部标准；

3.若合作终止，需要求合作方删除或返还企业提供的个人信息，避免信息留存风险。

四、结语

指导性案例193号通过明确居民身份证信息的法律属性，为企业个人信息保护提供了清晰的司法参照。对外商投资企业而言，个人信息保护不仅是法律合规的要求，更是维护企业声誉、保障业务稳定的重要基础。

在实践中，企业可结合自身业务场景，进一步细化合规措施；若在个人信息分类、跨国数据流转、合规体系搭建等方面有需求，可通过专业法律服务进行针对性梳理，确保企业在合法框架内开展经营活动。

------------------------------------------------------------------

律师简介:

黄朝阳律师，资深跨境投融资和贸易法律及合规顾问，毕业于中南财经政法大学经济法系。拥有20余年的中外资银行业工作经历，曾长期供职于交通银行、香港永亨银行和新加坡华侨银行等金融机构。

在银行业长期的从业生涯中，黄朝阳律师一直专注于为跨国公司和有进出口业务背景的企业提供法律和合规顾问服务。他不仅熟悉中国国情，对本土企业的商业模式及合规需求有深入理解；更精通我国香港特别行政区、新加坡等东南亚国家和地区的金融法规，为众多知名跨国企业的跨境投融资业务提供专业支持。

凭借扎实的法律功底和丰富的实践经验，黄朝阳律师对跨境投融资、国际贸易、金融合规、知识产权等领域的法律实务运作有独到见解，尤其擅长解析不同国家和地区法律法规的差异，为企业量身制定合规方案。目前，他执业于广东广和（佛山）律师事务所，为企业提供全方位的法律、合规管理和风险控制解决方案。

联系方式:

Email: alexhuang@ghlawyer.net

电话: 13802689686（微信同号）

为企业提供以下法律服务:

海外投资法律专项服务

贸易纠纷咨询及诉讼

出口合规审查及培训

反补贴和反倾销调查应对

海关稽查及复议程序

并购交易合规尽职调查

......

#指导性案例 193 号 #侵犯公民个人信息罪 #居民身份证信息保护 #企业个人信息合规 #外商投资企业合规 #个人信息全流程管控 #个人信息跨境流转合规 #刑法第二百五十三条之一