解读指导性案例192号：人脸信息保护与企业合规启示——以李某祥侵犯公民个人信息案为视角

在数字化应用日益广泛的背景下，个人信息尤其是人脸信息的保护，已成为企业合规管理的重要议题。最高人民法院发布的指导性案例192号“李某祥侵犯公民个人信息刑事附带民事公益诉讼案”，明确了人脸信息在刑法层面的保护边界及非法处理的法律后果，对企业日常经营中的个人信息处理行为具有重要参考价值。本文将通过梳理案例核心内容、解读裁判规则，为外商投资企业提供合规启示。

一、案例基本情况

（一）案件事实

2020年6月至9月，被告人李某祥制作具备非法窃取手机相册照片功能的“黑客软件”，并伪装成“颜值检测”软件，通过暗网论坛售卖或免费提供下载。用户安装该软件后，软件会在后台自动获取手机相册照片并上传至李某祥搭建的腾讯云服务器，最终窃取含人脸信息、姓名、身份证号等公民个人信息的照片1751张（其中个人信息100余条）。

2020年9月，李某祥还通过暗网购买含户籍、QQ账号注册、车主、借贷等信息的“社工库资料”，存储于第三方网盘；2021年2月，其明知该资料含大量公民个人信息，仍将网盘链接分享至QQ群供群成员下载。经鉴定，该“社工库资料”去除无效数据并合并去重后，含各类公民个人信息8100万余条。

上海市奉贤区人民检察院以社会公共利益受损为由，对李某祥提起刑事附带民事公益诉讼；李某祥对基本犯罪事实无异议且自愿认罪认罚，其辩护人提出“初犯、如实供述、认罪认罚”等从轻处罚意见，并对涉案8100万余条信息的真实性提出质疑。

（二）裁判结果

2021年8月23日，上海市奉贤区人民法院作出一审判决：

1.刑事部分：认定李某祥犯侵犯公民个人信息罪，判处有期徒刑三年，缓刑三年，罚金人民币一万元；扣押在案的犯罪工具予以没收。

2.附带民事部分：判令李某祥在国家级新闻媒体上公开赔礼道歉，删除“颜值检测”软件及相关代码、腾讯云网盘涉案照片、“MEGA”网盘涉案公民个人信息，并注销侵权所用QQ号码。

一审判决生效后，无抗诉、上诉，判决已发生法律效力。

二、核心裁判规则解读

本案的核心价值在于明确了“人脸信息的法律属性”及“非法获取个人信息的刑事认定标准”，裁判逻辑可从以下两方面展开：

（一）人脸信息属于刑法意义上的“公民个人信息”

法院指出，判断某类信息是否属于刑法《刑法》第253条之一规制的“公民个人信息”，核心标准是《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）确立的“可识别性”——即信息能够单独或结合其他信息识别特定自然人身份、反映特定自然人活动情况。

具体到人脸信息，其具备以下特征：

1.高度可识别性：人脸信息属于生物识别信息，具有唯一性和不可更改性，可直接与特定自然人一一对应，无需结合其他信息即可识别身份；

2.法律衔接性：《民法典》《个人信息保护法》已将人脸信息纳入个人信息保护范畴，根据“法秩序统一性原理”，刑法作为保障法，应与前置法保持一致，将人脸信息纳入刑法规制；

3.社会危害性：人脸信息是社交属性强、采集方便的敏感信息，易被用于破解人脸识别验证、实施盗窃、诈骗等行为，非法获取人脸信息的行为具有明显刑事可罚性。

（二）批量公民个人信息的数量认定规则

针对辩护人提出的“8100万余条信息真实性未核实”的异议，法院明确了批量个人信息的司法认定标准：

1.抽样验证可作为真实性依据：公安机关通过随机抽样核实部分信息的真实性，且被告人、辩护人未提供相反线索或证据，可确认信息真实性；

2.去重、去无效数据后的数量为有效数量：司法鉴定机构通过去除无效数据、合并去重得出的“8100万余条”，符合《解释》对批量公民个人信息数量的认定规则，公诉机关指控的数量客观真实。

三、对企业的合规启示

......

由于篇幅所限，本文为节选，阅读完整文章内容请点击：https://mp.weixin.qq.com/s/LpK2xt87TD0MU6T1iBPWQQ，将跳转至作者微信公众号原文。

#指导性案例 192 号 #李某祥侵犯公民个人信息案 #人脸信息保护 #企业个人信息合规 #外商投资企业合规 #批量公民个人信息认定 #刑事附带民事公益诉讼 #个人信息保护法应用

‍