APP下载

窃取公民人脸信息的案件办理思路

2023-01-06顾斌陈磊凤

中国检察官·经典案例 2022年12期
关键词:公益诉讼

顾斌 陈磊凤

摘 要:行为人利用黑客软件窃取使用者“人脸信息”等公民个人信息,属于非法获取公民个人信息的行为,情节严重的,应以侵犯公民个人信息罪定罪处罚。“人脸信息”具有极高的可识别性并符合公民个人信息的定义和特征,属于公民个人信息。行为人非法获取或者提供公民个人信息,损害不特定公众利益的,检察机关可以依法提起刑事附带民事公益诉讼。检察机关在办理侵犯公民个人信息案件时,要落实检察一体化工作理念,发挥检察合力,要注重检察办案与法治宣传相结合,提高社会公众个人信息保护意识。

关键词:侵犯公民个人信息 人脸信息 生物识别信息 公益诉讼 信息数量

一、基本案情及办理过程

被告人李某,男,1995年5月出生,某网络科技有限公司软件开发人员。

2020年6月至9月间,李某制作一款可以窃取安装者手机内相册照片的软件。当手机用户下载安装该软件打开使用时,软件就会自动获取手机相册的照片并且上传到李某搭建的服务器后台。李某将该软件发布在某暗网论坛售卖,截至2021年2月9日,共卖得虚拟币30$(网站虚拟币)。后李某为炫耀技术、满足虚荣心,又将该软件伪装成“颜值检测”软件,发布在某论坛供网友免费下载安装,以此窃取安装者手机相册照片1751张。其中,含有人脸信息、姓名、身份证号码、联系方式、家庭住址等100余条公民信息。

2020年9月,李某又用虚拟币在该暗网论坛购买了“社工库资料”并转存于网盘。2021年2月,李某为炫耀自己的能力,明知“社工库资料”含有户籍信息、QQ账号注册信息、京东账号注册信息、车主信息等,仍将网盘链接分享到“业主交流”QQ群(150名成员),供群成员免费下载。经去除无效数据、合并去重后,该“社工库资料”包含公民个人信息共计8100余万条。

2021年3月9日,上海市公安局奉贤分局将李某抓获。由于“社工库资料”内容庞大且存储于境外网盘,下载程序繁琐,未查证到有人下载使用。

2021年3月26日,上海市奉贤区人民检察院(以下简称“奉贤检察院”)以侵犯公民个人信息罪对李某批准逮捕。2021年5月28日,上海市公安局奉贤分局将该案移送奉贤检察院审查起诉。奉贤检察院审查认为,李某非法获取并向他人提供公民个人信息,情节特别严重,已构成侵犯公民个人信息罪。2021年8月10日,奉贤检察院以被告人李某侵犯公民个人信息罪向奉贤区人民法院提起刑事公诉及附带民事公益诉讼。2021年8月23日,奉贤区人民法院公开开庭审理,并当庭作出一审判决,判处被告人李某有期徒刑3年,宣告缓刑3年,并处罚金人民币1万元;判令李某在国家级新闻媒体上对其侵犯公民个人信息的行为公开赔礼道歉、删除“颜值检测”软件及相关代码、删除网盘上存储的涉案照片及相关公民个人信息、并注销侵权所用QQ号码。一审判决后,被告人李某服判未上诉。判决生效后,李某在执行法官、检察技术人员的监督下履行法院判决,自行删除了存储在境外网盘上的黑客软件及代码、窃取的照片等相关公民个人信息。

二、办案中的要点分析

(一)准确把握“人脸信息”属于“公民个人信息”

关于“颜值检测”软件窃取的“人脸信息”是否属于我国刑法规制范畴的“公民个人信息”是本案办理的难点之一。“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)规定,“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。该司法解释未明确“人脸信息”为公民个人信息。

检察机关认为,“人脸信息”具有极高的可识别性,并符合公民个人信息的定义和特征,属于公民个人信息。首先,“人脸信息”与《解释》中明确列举的个人信息种类共同具有明显的“可识别性”特征。《解释》与《中华人民共和国民法典》(以下简称“民法典”)、《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)、《中华人民共和国网络安全法》(以下简称“网络安全法”)等法律中有关公民个人信息的认定标准是一致的,即将“可识别性”(能够单独或者与其他信息结合识别特定自然人)作为个人信息的认定标准。“人脸信息”作为生物识别信息,其具有不可更改性和唯一性,人脸与自然人个体一一对应,无需结合其他信息即可直接识别到特定自然人身份,具有极高的“可识别性”,符合公民个人信息的特征。其次,《解释》中列举了公民个人信息种类,虽未对“人脸信息”单独列举,但《解释》中的“等”字,应作“等外”解释,即包括但不限于列举规定的个人信息,允许依法在列举之外认定其他形式的个人信息。再次,将“人脸信息”认定为公民个人信息遵循了法秩序统一性原则。民法典、个人信息保护法等法律将“人脸信息”作为公民个人信息予以保护。民法典第1034条规定了个人信息的定义和具体种类,个人信息保护法进一步将“生物识别信息”纳入敏感个人信息的保护范畴,强调敏感个人信息一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,侵犯“人脸信息”的行为构成人格权侵权或者危害到人身、财产安全的,应承担相应的刑事、民事、行政责任。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第1条第3款明确规定“人脸信息”属于生物识别信息。“人脸信息”亦是社交属性较强、采集方便的个人信息,极易被他人直接利用或制作合成,从而破解人脸识别验证程序,引发侵害隐私权、名誉权,甚至盗窃、诈骗等犯罪行为,具有较大的社会危害性。

(二)准确认定批量公民个人信息条数

本案中涉案信息达8100余万条,在海量信息的状态下,对信息的真实性一一进行核实在客观上较难实现,在未对信息逐条核实真实性的情况下,能否直接认定李某侵犯公民个人信息的数量为8100多万条亦是本案的要点之一。检察机关认为,在案证据可以认定8100余万条信息数量。首先,根据《解释》第11条的规定,对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。本案中,李某及其辩护人未提供信息不真实的相关线索或者证据,又经司法鉴定机构去除无效信息、合并去重后认定8100余万条。其次,经公安机关抽样验证,随机抽取部分个人信息进行核实,进一步确认涉案信息的真实性。根据最高检印发的《人民检察院办理网络犯罪案件规定》第22条规定,对于数量众多的同类证据材料,在证明是否具有同样的性质、特征或者功能时,因客观条件限制不能全部验证的,可以进行抽样验证。本案中李某通过网络非法获取并向他人提供个人信息,非法获取的信息具有同质化的特征,且信息数量达到8100余万条,全部验证存在客观条件限制,符合采取抽样验证的条件。面对数量庞大的批量信息,逐条核实、全部验证不仅司法成本高,还会降低司法效率。抽样验证法作为一种统计学的证明方法,是基于科学的统计学原理,建立在涉案证据样本具有同质化特征的基础上,以证据样本与证明事实之间的高度盖然性推定待证事实,即通过部分证据样本的真实性验证得出证据整体真实性,本质是事实推定,从证据个体特征中得出证据整体特征的一种推定方法,符合推定原理和逻辑法则。抽樣验证法已经逐渐被运用于解决网络犯罪中证据收集和证明的难题,是一种应当被推广与应用的科学的证据审查方式。因此,本案认定的公民个人信息数量客观、真实,符合《解释》中确立的对批量公民个人信息具体数量的认定规则,并采取抽样验证的方法进一步证实信息真实性。

(三)深度融合“刑事+公益+技术”,提升办案质效

本案中,李某利用黑客软件伪装的“颜值检测”软件窃取用户自拍照片和手机相册中的存储照片,利用了互联网平台的开放性,以不特定公众为目标,手段隐蔽、欺骗性强、窃取面广,社会危害性大,且该黑客软件仍在暗网论坛售卖,尚未下架,可能继续窃取个人信息。李某购买并非法提供的公民个人信息数量庞大,涉及户籍信息、信贷信息、房产信息、车辆信息、京东账号注册信息等共计8100余万条,涉案个人信息仍存储在境外网盘中,存在继续传播的风险。涉案信息涉及地域范围广,遍布全国各省市,可能侵犯到不特定公众个人信息安全。“暗网”、境外网盘不受我国法律约束,网安部门无法直接删除涉案个人信息、下架黑客软件,同时考虑到电子证据有可能提取不完全、调取程序不规范、案件事实发生新变化或开庭举证需要等原因,为保证诉讼的顺利进行,法院判决生效前未直接删除作为证据的涉案个人信息及相关软件。为充分发挥检察机关履职能动性,强化部门协作配合,刑事检察部门第一时间向公益诉讼部门移送相关线索,对李某侵犯公民个人信息案共同研判,同步审查案件、同步调查核实、同步向人民法院提起刑事附带民事公益诉讼,诉请法院判令李某某在国家级媒体上赔礼道歉,删除软件及代码,删除网盘上存储的相关个人信息,并注销侵权所用的QQ号,全部诉请均获得法院支持。判决执行阶段,为了彻底消除涉案个人信息再次泄露、扩散以及黑客软件被再次使用的风险,借助检察技术力量辅助办案,一方面,对存储在境外网盘、法院难以执行删除措施的信息和软件,在执行法官的主持下,由李某自行删除,检察技术人员全程见证执行;另一方面,对李某已经删除的信息,由检察技术人员现场验证,确保删除到位,彻底消除黑客软件窃取个人信息再次传播的风险。

三、办理类案的实践启示

(一)积极调整办案思路,依法准确定性

侵犯公民个人信息案件的高发往往与网络金融犯罪、电信网络诈骗犯罪、破坏计算机系统犯罪等相关,根据犯罪主体、作案手段、侵害法益的不同,造成与其他犯罪的竞合。利用黑客软件渗透计算机系统窃取个人信息的行为可能构成破坏计算机信息系统罪、非法获取计算机信息系统数据罪等罪名。在办理电信网络诈骗、破坏计算机信息系统类案件时,应重视侵犯公民个人信息的线索。本案办理前期,公安机关主要围绕李某售卖黑客软件行为涉嫌提供侵入计算机信息系统程序、工具罪展开侦查取证,忽略其利用黑客软件窃取照片亦属于侵犯公民个人信息的行为,对李某以涉嫌提供侵入计算机信息系统程序、工具罪移送检察机关审查起诉。经鉴定,确定涉案黑客软件系专门用于侵入计算机信息系统的程序,但软件的下载人次等相关情节难以查证,认定李某某提供侵入计算机信息系统的程序“情节严重”证据不足。检察机关及时调整思路,引导公安机关围绕李某利用黑客软件侵犯公民个人信息展开侦查取证。经补充侦查发现,李某窃取的照片有人脸自拍照、快递物流单据及身份证照片等,包含人脸信息、姓名、身份证号码、家庭住址、电话号码,可以识别特定自然人身份,属于公民个人信息。因此,李某某利用“颜值检测”软件窃取照片、在暗网上购买并非法提供个人信息的行为,可以侵犯公民个人信息罪论处。

(二)落实检察一体化工作理念,发挥检察合力

检察一体化是检察机关有效行使检察权的重要保障,也是推进新时代检察工作高质量发展的重要抓手。推行检察一体化机制,可以聚拢检察资源,形成履职合力,提升办案监督效能。检察机关在办理利用网络黑客技术侵犯公民个人信息罪案件时,应当强化检察一体化的理念,充分发挥各部门间的工作合力,更好履行办案职能、保障公民权利,释放检察内生动力。一是要畅通案件信息共享渠道,刑检部门和公益诉讼部门通过信息共享,聚焦线索的收集、反馈与挖掘,有效整合线索,形成内部合力。二是健全线索同步审查机制,同步研判线索,同步审查案件,同步调查核实,对侵犯公民个人信息损害不特定公众利益的行为同步提起刑事附带民事公益诉讼,实现惩治犯罪与保护公益有机统一,切实保障公民个人信息安全。三是加强“业务+技术”协作,充分借助检察技术部门力量辅助办案,协助办案部门采集信息、保全数据、删除侵权个人信息、最大限度修复受损公益,提升检察办案质效。

(三)注重检察办案与法治宣传相结合,提高社会公众个人信息保护意识

随着大数据、人脸识别等新技术发展,移动互联网应用场景中对使用者的个人信息读取与搜集更加广泛,将黑客软件伪装成“颜值检测”“星座测试”等程序大肆窃取手机相册、通讯录、实时定位等用户信息,犯罪手段隐蔽,具有迷惑性、欺骗性。非法获取的海量个人信息通过网络“黑灰产业”链条的传播,为犯罪分子精准实施电信网络诈骗、敲诈勒索等网络犯罪活动提供了“基本物料”,严重危害公民的人身、财产安全和网络安全环境。为了延伸办案效果,落实“谁执法,谁普法”,揭示利用互联网应用程序侵犯公民个人信息的社会危害性,提高社会公众个人信息保护意识,本案对李某侵犯公民个人信息案庭审实况进行网络直播,知名法学专家现场解读,并邀请市人大代表、政协委员、人民监督员旁听,庭后开展“听庭评议”活动,后续召开新闻发布会,以“检察官发布”形式对外发布保护公民个人信息典型案例,取得了较好的宣传效果。检察机关在办理侵犯公民个人信息案件时,要重视对不同类型侵犯公民个人信息案件的特点、作案手段进行梳理,总结办案经验和典型案例,一方面要充分运用庭审直播、案例发布等方式,依托新闻报刊、“两微一端”新媒体等平台加强法治宣传,另一方面联合相关部门开展普法宣传,走进社区、校园进行宣讲,以真实案例揭示侵犯公民个人信息的社会危害性,揭露利用黑客软件窃取个人信息的犯罪新手段以及从非正规渠道下载、安装软件潜在的风险,强化以案释法,呼吁社会公众加强自我信息保护,谨慎下载使用手机软件,注意识别恶意网站、应用程序,防范个人信息泄露,造成合法权益受损,提高社会公众对自身个人信息的保护意识,展现新时代检察机关筑牢保护个人信息司法屏障及維护网络安全的新作为。

*上海市奉贤区人民检察院第一检察部主任、四级高级检察官[201499]

**上海市奉贤区人民检察院第一检察部四级检察官[201499]

猜你喜欢

公益诉讼
我国现行民事公益诉讼制度的缺陷及完善
版权公有领域侵权责任主体范围研究
公益诉讼及其制度建设是推进诊所式法律教育纵深发展的路径选择
建立我国环境公益诉讼制度的几点思考
浅论检察机关公益诉讼制度
民事公益诉讼基本法律问题的思考
《消费者权益保护法》中公益诉讼的构造及其不足和完善
职业病患者权利保障研究
我国与美国环保NGO公益诉讼的发展与借鉴