解读指导性案例192号：人脸信息保护与企业合规启示——以李某祥侵犯公民个人信息案为视角

在数字化应用日益广泛的背景下，个人信息尤其是人脸信息的保护，已成为企业合规管理的重要议题。最高人民法院发布的指导性案例192号“李某祥侵犯公民个人信息刑事附带民事公益诉讼案”，明确了人脸信息在刑法层面的保护边界及非法处理的法律后果，对企业日常经营中的个人信息处理行为具有重要参考价值。本文将通过梳理案例核心内容、解读裁判规则，为外商投资企业提供合规启示。

一、案例基本情况

（一）案件事实

2020年6月至9月，被告人李某祥制作具备非法窃取手机相册照片功能的“黑客软件”，并伪装成“颜值检测”软件，通过暗网论坛售卖或免费提供下载。用户安装该软件后，软件会在后台自动获取手机相册照片并上传至李某祥搭建的腾讯云服务器，最终窃取含人脸信息、姓名、身份证号等公民个人信息的照片1751张（其中个人信息100余条）。

2020年9月，李某祥还通过暗网购买含户籍、QQ账号注册、车主、借贷等信息的“社工库资料”，存储于第三方网盘；2021年2月，其明知该资料含大量公民个人信息，仍将网盘链接分享至QQ群供群成员下载。经鉴定，该“社工库资料”去除无效数据并合并去重后，含各类公民个人信息8100万余条。

上海市奉贤区人民检察院以社会公共利益受损为由，对李某祥提起刑事附带民事公益诉讼；李某祥对基本犯罪事实无异议且自愿认罪认罚，其辩护人提出“初犯、如实供述、认罪认罚”等从轻处罚意见，并对涉案8100万余条信息的真实性提出质疑。

（二）裁判结果

2021年8月23日，上海市奉贤区人民法院作出一审判决：

1.刑事部分：认定李某祥犯侵犯公民个人信息罪，判处有期徒刑三年，缓刑三年，罚金人民币一万元；扣押在案的犯罪工具予以没收。

2.附带民事部分：判令李某祥在国家级新闻媒体上公开赔礼道歉，删除“颜值检测”软件及相关代码、腾讯云网盘涉案照片、“MEGA”网盘涉案公民个人信息，并注销侵权所用QQ号码。

一审判决生效后，无抗诉、上诉，判决已发生法律效力。

二、核心裁判规则解读

本案的核心价值在于明确了“人脸信息的法律属性”及“非法获取个人信息的刑事认定标准”，裁判逻辑可从以下两方面展开：

（一）人脸信息属于刑法意义上的“公民个人信息”

法院指出，判断某类信息是否属于刑法《刑法》第253条之一规制的“公民个人信息”，核心标准是《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）确立的“可识别性”——即信息能够单独或结合其他信息识别特定自然人身份、反映特定自然人活动情况。

具体到人脸信息，其具备以下特征：

1.高度可识别性：人脸信息属于生物识别信息，具有唯一性和不可更改性，可直接与特定自然人一一对应，无需结合其他信息即可识别身份；

2.法律衔接性：《民法典》《个人信息保护法》已将人脸信息纳入个人信息保护范畴，根据“法秩序统一性原理”，刑法作为保障法，应与前置法保持一致，将人脸信息纳入刑法规制；

3.社会危害性：人脸信息是社交属性强、采集方便的敏感信息，易被用于破解人脸识别验证、实施盗窃、诈骗等行为，非法获取人脸信息的行为具有明显刑事可罚性。

（二）批量公民个人信息的数量认定规则

针对辩护人提出的“8100万余条信息真实性未核实”的异议，法院明确了批量个人信息的司法认定标准：

1.抽样验证可作为真实性依据：公安机关通过随机抽样核实部分信息的真实性，且被告人、辩护人未提供相反线索或证据，可确认信息真实性；

2.去重、去无效数据后的数量为有效数量：司法鉴定机构通过去除无效数据、合并去重得出的“8100万余条”，符合《解释》对批量公民个人信息数量的认定规则，公诉机关指控的数量客观真实。

三、对企业的合规启示

对于外商投资企业而言，本案所涉的“人脸信息处理”“批量个人信息管理”等场景，可能涉及办公管理（如人脸识别门禁）、客户服务（如人脸识别登录）、数据合作（如第三方数据采购）等日常经营环节。结合本案裁判规则，企业可从以下方面完善合规管理：

（一）人脸信息处理需满足“合法前提”

企业若需使用人脸识别技术处理人脸信息，需确保符合《个人信息保护法》规定的合法事由，包括：

1.获得公民本人明确同意（需避免“默认同意”“捆绑同意”，确保同意的真实性、自愿性）；

2.符合法律、行政法规规定的其他情形（如为履行法定职责、保护自然人生命健康和重大合法权益等）。

若未满足上述前提，即使通过技术手段（如伪装软件、后台抓取）间接获取人脸信息，也可能构成“非法获取”，面临刑事、民事双重责任。

（二）建立批量个人信息的“全流程管理”机制

企业在采购、存储、使用批量个人信息（如客户数据、用户注册信息）时，需注意：

1.来源合规：避免从非正规渠道（如暗网、无资质第三方）获取个人信息，采购前需审核供应商的信息来源合法性；

2.数据清洗：参照本案的“去重、去无效数据”规则，定期对存储的批量信息进行清理，删除无效、重复数据，确保数据准确性；

3.风险核查：对批量信息的真实性进行抽样验证，留存核查记录，避免因信息虚假或非法导致合规风险。

（三）关注“公共利益损害”的民事责任风险

本案是刑事附带民事公益诉讼案件，法院判令被告人承担“公开赔礼道歉”“删除信息”等民事责任，核心原因是其行为损害了“众多公民的个人信息安全”这一社会公共利益。

企业需注意：若个人信息处理行为影响范围广（如涉及不特定用户），可能引发检察机关提起的公益诉讼，除承担行政处罚、刑事责任外，还需承担消除影响、赔礼道歉、赔偿损失等民事责任。因此，企业在设计个人信息处理规则时，需同步评估对社会公共利益的潜在影响，避免因“规模化侵权”触发公益诉讼。

四、结语

指导性案例192号通过明确人脸信息的刑法规制边界，为企业个人信息处理行为划定了“红线”。对于外商投资企业而言，个人信息保护不仅是遵守中国法律的基本要求，也是维护企业信誉、保障业务持续发展的重要基础。在日常合规管理中，企业可结合本案裁判规则，细化人脸信息、批量个人信息的处理流程，必要时通过专业法律支持完善合规体系，实现业务发展与风险防控的平衡。

------------------------------------------------------------------

律师简介:

黄朝阳律师，资深跨境投融资和贸易法律及合规顾问，毕业于中南财经政法大学经济法系。拥有20余年的中外资银行业工作经历，曾长期供职于交通银行、香港永亨银行和新加坡华侨银行等金融机构。

在银行业长期的从业生涯中，黄朝阳律师一直专注于为跨国公司和有进出口业务背景的企业提供法律和合规顾问服务。他不仅熟悉中国国情，对本土企业的商业模式及合规需求有深入理解；更精通我国香港特别行政区、新加坡等东南亚国家和地区的金融法规，为众多知名跨国企业的跨境投融资业务提供专业支持。

凭借扎实的法律功底和丰富的实践经验，黄朝阳律师对跨境投融资、国际贸易、金融合规、知识产权等领域的法律实务运作有独到见解，尤其擅长解析不同国家和地区法律法规的差异，为企业量身制定合规方案。目前，他执业于广东广和（佛山）律师事务所，为企业提供全方位的法律、合规管理和风险控制解决方案。

联系方式:

Email: alexhuang@ghlawyer.net

电话: 13802689686（微信同号）

为企业提供以下法律服务:

海外投资法律专项服务

贸易纠纷咨询及诉讼

出口合规审查及培训

反补贴和反倾销调查应对

海关稽查及复议程序

并购交易合规尽职调查

......

#指导性案例 192 号 #李某祥侵犯公民个人信息案 #人脸信息保护 #企业个人信息合规 #外商投资企业合规 #批量公民个人信息认定 #刑事附带民事公益诉讼 #个人信息保护法应用 #hashtag optimization #Hashtag Strategy