数字安全合规法律专刊2023年1月刊【惟胜会·数字安全】

贵州惟胜道律师事务所     2023 年 1 月 11 日

+ 更多信息  后退

惟胜道数字安全研究小组



自2021年8月起,惟胜道数字安全研究小组推出了《数字安全合规月刊》电子版,电子月刊聚焦网络安全与数据保护,呈现前沿动态、新规速递、热点案例、专业解读等内容,帮助读者掌握最新前沿趋势。

若您对此感兴趣,请在惟胜会公众号后台留下您的【邮箱+姓名】,并特别注明数字安全合规月刊。





数字安全合规法律专刊2023年1月刊
——惟胜道数字安全研究小组

引 言
在数字经济高速发展的今天,数据安全及合规是企业面临的首要问题。企业如果不能保证基本的数据安全性、数据处理活动的合规性,将会面临数据泄露、数据丢失等多发安全事件,数据资源的开发利用亦将因缺乏数据资产的合规审查而存在安全隐患。

在此趋势下,贵州惟胜道律师事务所将协助企业保障数据在运转周期的处理活动中得到安全有序、合法合规的开发利用,并将此作为工作的核心。

因此,本月刊将聚焦网络安全与数据保护,为您呈现前沿动态、新规速递、热点案例等内容,帮助读者掌握最新前沿动态,共同了解数字安全发展新趋势。希望对读者深入认知、理解和运用相关政策有所帮助。

一、立法动态

1.中央网信办秘书局 中国证监会办公厅丨发布《关于印发<非法证券活动网上信息内容治理工作方案>的通知》

12月1日,中央网信办秘书局、中国证监会办公厅发布《非法证券活动网上信息内容治理工作方案》(“《工作方案》”)。

《工作方案》指出工作目标为:通过各地各有关部门共同努力,2023年3月底前,现有网上涉股市“黑嘴”、非法荐股的信息、账号和网站平台得到基本处置。2023年6月底前,证券业务必须持牌经营的要求得到落实,网上证券信息内容明显改善,非法证券活动多发频发态势得到有效遏制。

同时,《工作方案》提出了相关工作举措,包括清理处置涉非法证券活动的信息、账号和网站;严格落实证券业务必须持牌经营要求;建立健全非法证券活动网上信息内容常态化处置工作机制;加强网上宣传引导助力投资者提高风险防范意识。

2.工业和信息化部信息通信管理局:发布《公开征求对<工业和信息化部关于进一步提升移动互联网应用服务能力的通知(征求意见稿)>的意见》

12月27日,工信部就《工业和信息化部关于进一步提升移动互联网应用服务能力的通知(征求意见稿)》(“《通知》”)向社会公开征求意见,意见反馈截至2023年1月10日。

为优化服务供给,改善用户体验,维护良好的信息消费环境,促进行业高质量发展,依据《个人信息保护法》《电信条例》《规范互联网信息服务市场秩序若干规定》《电信和互联网用户个人信息保护规定》等相关法律法规,

《通知》指出,一是提升全流程服务感知,保护用户合法权益,包括规范安装卸载行为、优化服务体验、响应用户诉求;二是提升全链条管理能力,营造健康服务生态,包括落实APP开发运营者主体责任、强化平台分发管理、规范SDK应用服务、筑牢终端安全防线、夯实接入企业责任;三是工作要求,包括抓好组织落实、加强监督指导、强化技术手段、推动行业自律。

3.中共中央国务院等|发布《关于构建数据基础制度更好发挥数据要素作用的意见》

12月19日,中共中央 国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》(“《意见》”)。

《意见》的主要内容包括:

把握一条主线。坚持促进数据合规高效流通使用、赋能实体经济这一主线,以充分实现数据要素价值、促进全体人民共享数字经济发展红利为目标。

构建四个制度。建立保障权益、合规使用的数据产权制度,探索数据产权结构性分置制度,建立数据资源持有权、数据加工使用权、数据产品经营权“三权分置”的数据产权制度框架;建立合规高效、场内外结合的数据要素流通和交易制度,从规则、市场、生态、跨境等四个方面构建适应我国制度优势的数据要素市场体系;建立体现效率、促进公平的数据要素收益分配制度,在初次分配阶段,按照“谁投入、谁贡献、谁受益”原则,推动数据要素收益向数据价值和使用价值创造者合理倾斜,在二次分配、三次分配阶段,重点关注公共利益和相对弱势群体,防止和依法规制资本在数据领域无序扩张形成市场垄断等各类风险挑战;建立安全可控、弹性包容的数据要素治理制度,构建政府、企业、社会多方协同的治理模式。

推进四项措施。加强党对构建数据基础制度工作的全面领导;加大政策支持力度,做大做强数据要素型企业;积极鼓励试验探索,支持浙江等地区和有条件的行业、企业先行先试;稳步推进制度建设,逐步完善数据产权界定、数据流通和交易等主要领域关键环节的政策及标准。

4.信安标委|公布国家标准《工业互联网企业网络安全 第4部分:数据防护要求》(征求意见稿)

12月1日,信安标委网站公布国家标准《工业互联网企业网络安全 第4部分:数据防护要求》(征求意见稿),意见反馈截止时间为2023年1月30日。

《要求》规定了不同级别工业互联网数据的安全防护流程、防护要求和安全管理要求,适用于应用工业互联网的工业企业、工业互联网平台企业、工业互联网标识解析企业开展数据防护,明确了工业互联网数据安全防护流程、数据分级、全生命周期分级防护要求以及数据安全管理要求等。

5.交通运输部|公布修改《网络预约出租汽车经营服务管理暂行办法》

12月5日,交通运输部网站公布修改后的《网络预约出租汽车经营服务管理暂行办法》。

《办法》修改后共七章四十条,主要根据《国务院关于取消和调整一批罚款事项的决定》要求,删除了未按照规定携带网络预约出租汽车运输证、驾驶员证行为的罚款规定,对未取得网络预约出租汽车运输证、驾驶员证从事网约车经营活动等行为的罚款数额予以下调。

调整后,未取得《网络预约出租汽车驾驶员证》从事网约车经营活动的当事人将被处以200元以上2000元以下罚款;未取得相关经营许可的平台将被处以10000元以上30000元以下罚款。

6.财政部|发布《企业数据资源相关会计处理暂行规定(征求意见稿)》征求意见

12月9日,财政部就《企业数据资源相关会计处理暂行规定(征求意见稿)》征求意见,意见反馈至2023年1月6日。

《暂行规定》适用于符合准则规定、可确认为相关资产的数据资源,以及不满足资产确认条件而未予确认的数据资源的相关会计处理。

《暂行规定》明确现阶段数据资源会计处理应当按照企业会计准则执行,并进一步细分为“企业内部使用的数据资源”和“企业对外交易的数据资源”两类,明确两类数据资源在确认、初始计量、后续计量、收入确认等环节应当遵循的具体准则。《暂行规定》还对披露要求、附则等内容作出明确。

7.国家能源局|印发《电力行业网络安全等级保护管理办法》

12月12日,国家能源局网站公布《电力行业网络安全等级保护管理办法》。

《办法》共六章二十八条,规定了等级划分与保护、等级保护的实施与管理、网络安全等级保护的密码管理等内容。适用于电力企业在境内建设、运营、维护、使用网络(除核安全外),开展网络安全等级保护工作,不适用于涉及国家秘密的网络。《办法》对电力行业网络根据重要程度和遭破坏后危害程度划分为五个等级,对各等级保护标准进行明确。

8.全国人大常委会法制工作委员会等|印发《电力行业网络安全等级保护管理办法》

12月1日,工信部网站消息明确,由全国人大常委会法制工作委员会、公安部、工业和信息化部、中国人民银行联合编写的《〈中华人民共和国反电信网络诈骗法〉释义与适用》一书近期出版发行,相关同志分别撰写了署名导读文章。

其中,工信部党组成员、副部长 张云明发表的署名导读文章指出,要严格电话、物联网卡等用户实名制管理,对用于诈骗的国际电话和短信、短信端口、语音专线、互联网专线、云服务等重点业务加强治理,深化涉诈设备、软件清理,完善“一证通查”服务,规范互联网领域服务,强化网络实名管理,开展App全流程监管等。

二、行业动态

1.国家市场监管总局:发布知网滥用市场支配地位案行政处罚决定书

关键词:网络数据 文献
12月26日,国家市场监管总局发布知网滥用市场支配地位案行政处罚决定书。

经查,知网滥用在中国境内中文学术文献网络数据库服务市场的支配地位,通过签订并实施独家合作协议,要求学术期刊出版单位、高校只能向知网提供学术文献数据,并以不公平的高价销售中文学术文献网络数据库服务,排除、限制了相关市场竞争,侵害了用户的合法权益,破坏了良好的学术生态,影响了中文学术文献网络数据库服务市场规范健康创新发展,违反《反垄断法》第二十二条第一款第(一)项、第(四)项禁止的“以不公平的高价销售商品”和“没有正当理由,限定交易相对人只能与其进行交易”的规定,构成滥用市场支配地位行为。

且知网实施不公平高价和限定交易的滥用市场支配地位行为,排除、限制竞争的主观意图和实际危害明显,情节较为严重、持续时间较长,社会反映强烈。

市场监督管理总局要求责令知网停止违法行为,包括停止独家合作行为,不得限制学术期刊出版单位、高校等与其他竞争性平台开展学术资源合作;不得实施不公平的高价行为,应以公平、合理、无歧视的价格在中国境内销售中文学术文献网络数据库服务。同时,对知网处以2021年度中国境内销售额17.52亿元5%的罚款,计8,760万元。

2.网易游戏获颁游戏行业首张数据安全管理能力认证(DSMC)证书

关键词:数据安全管理能力
杭州网易雷火科技有限公司于2022年正式申请参与了由中国信息通信研究院(以下简称“中国信通院”)发起的数据安全领域国家级权威认证:数据安全管理能力认证(DSMC),并于2022年12月21日正式通过了该项认证工作,成为游戏行业首家获证单位。

数据安全管理能力认证(DSMC)是由中国信息通信研究院面向全行业发起的数据安全领域的权威国家级认证。

本项认证依据《数据安全法》、《个人信息保护法》、《工业和信息化领域数据安全管理办法(试行)》、《网络数据安全管理条例(征求意见稿)》等相关法律法规、政策、标准,从合规角度出发,帮助企业构建数据安全管理体系。

从数据安全制度落地要求、技术落地要求两大维度共计15项指标进行评估。其中,制度落地要求包括组织建设、制度保障、数据资产、数据审批、管理审计、合作方管理、教育培训、举报投诉、应急响应、合规性评估;技术落地要求包括数据识别、操作审计、数据防泄漏、接口安全管理、敏感数据保护。

通过此项认证,能够证明企业在上述工作具备较为完善的数据安全管理体系以及数据安全技术能力实现,达到数据安全风险可控的根本目的。

网易游戏作为“数据安全管理能力认证”首批参与企业。中国信通院通过对其全方位的评估与认证,帮助网易游戏完善了游戏领域的数据安全管理能力框架建设、数据安全内部管理流程、技术能力、并且达到认证要求,于2022年12月21日,正式通过此项能力认证。

网易游戏表示始终高度重视数据安全和隐私保护工作,不仅将数据安全和隐私保护当成监管合规的基本要求,更是将履行数据安全保护义务作为公司应承担的社会责任,持续以“严标准”建立健全数据安全管理体系,以“高标准”建设数据安全技术能力,保护用户的数据安全。

数据安全管理能力认证截止目前超过40个行业共计60家相关企业通过审核,并针对数据安全管理能力进行了建设工作。2023年,中国信通院将持续以更加全面测评认证项、更加严谨的测评认证流程,高标准、高要求的对企业数据安全管理提供有效解决方案与数据安全能力支持,并指导企业完成体系建设。

3.国内首家由央企设立的数据产业集团——中国电子数据产业集团成立

关键词:数据安全 政府 行业数字
 中新网12月25日电 据“CEC中国电子”公众号消息,25日,国内首家由中央企业设立的数据产业集团——中国电子数据产业集团在广东深圳正式揭牌成立。

12月25日,国内首家由中央企业设立的数据产业集团——中国电子数据产业集团在广东深圳正式揭牌成立。作为中国电子主业版块之一,数据产业集团将聚焦探索自主计算、数据安全、数据要素化等领域,以赋能数字政府和行业数字化转型为主战场,打造国家网信事业核心战略科技力量。中国电子党组书记、董事长曾毅,党组成员、副总经理陆志鹏参加活动并共同为数据产业集团揭牌。党组成员、纪检监察组组长耿道宽主持活动。

4.中央网信办开展“清朗·移动互联网应用程序领域乱象整治”行动

关键词:移动互联网
12月12日,中国网信网显示,中央网信办部署开展“清朗·移动互联网应用程序领域乱象整治”专项行动。

专项行动将重点整治搜索查找环节、下载安装环节、运行使用环节三环节的问题,明确重点打击“山寨APP”,从严整治虚假排名,全面净化页面呈现,严格规范备案要求,集中整治强制、捆绑下载安装,坚决惩处应用程序“挂羊头卖狗肉”规避监管,严厉打击以赚钱为诱饵诱导用户下载,集中治理弹窗问题,严格规范功能设置,严厉打击诱导充值。

5.爱立信与苹果达成专利许可协议 结束双方5G专利相关全球诉讼

关键词:专利权 5G授权
12月9日,爱立信在公司官方网站发布声明称,爱立信已与苹果公司达成全球专利许可协议,结束了关于在iPhone中使用5G无线专利而支付的专利使用费争端。

爱立信在自己的官方网站上提到,此次与苹果达成多年期全球专利许可协议。该协议包括多个与专利蜂窝通讯标准相关技术交叉许可,并授予某些其他专利权。该和解协议结束了两家公司在全球范围内多个国家(包括德克萨斯州东区美国地方法院)提起的相关诉讼,以及向美国国际贸易委员会 (USITC) 提出的申诉。

爱立信首席知识产权官克里斯蒂娜·彼得森也表示:“我们很高兴通过这项协议解决与苹果的诉讼,这对我们的 5G 授权计划具有战略意义。这将使两家公司继续专注于为全球市场提供最佳技术。”

另外,爱立信和苹果已经在合作方面达成共识,双方将共同加强包括技术、操作性互通和标准开发领域层面的合作。

2008年,苹果开始与爱立信签订了为期七年的LTE相关许可合同,但在合同到期之前爱立信就主张应该收取相当于终端设备价格1.5%的专利费,这成为了双方矛盾的起源。

2015年,苹果与爱立信就专利费问题诉诸公堂,并最终以相互适当让步的方式结束了对立。但在两家公司2015年签订的7年许可合同即将结束之际,又再次针对专利问题进入了对立。

2021年10月,爱立信开始对苹果提起诉讼,声称苹果试图不正当降低专利费率。同年12月,苹果对爱立信提起反诉,指控爱立信使用“强硬手段”续展专利。今年初,爱立信再次对苹果公司提起第二批专利侵权诉讼。在诉讼中爱立信还一度提出了禁售iPhone的要求。

最终,双方的此次诉讼以和解而告终;不过有消息显示,促成和解的原因是苹果决定一次性向爱立信支付4亿美元,并且每季度另行支付许可费用。

爱立信则在公告中提及,由于与所有其他被许可方的持续知识产权业务,预计2022年第四季度许可收入将达到55亿至60亿瑞典克朗(约合5.3亿至5.78亿美元);并且公司还将通过新的5G协议以及其他专利许可领域来增加其知识产权收入。

爱立信同时声称,公司的知识产权许可收入继续受到多种因素的影响,包括到期待续的专利许可协议、从4G到5G的技术转移,以及未来汇率等因素的影响。

6.运营近三年 通信行程卡服务明日起正式下线

关键词:通信行程卡
12月12日,中国信通院“通信行程卡”公众号发布《关于下线“通信行程卡”服务的公告》。

《公告》明确,根据国务院联防联控机制综合组有关要求,12月13日0时起,正式下线“通信行程卡”服务。“通信行程卡”短信、网页、微信小程序、支付宝小程序、APP等查询渠道将同步下线。通信行程卡于2020年初上线运营,主要对手机用户近期到访的地区信息进行查验,是中国防疫三年中协助开展涉疫筛查与流调的主要信息工具之一。

7.两部门:企业应保证用户可卸载除基本功能软件外的手机预装软件

关键词:移动智能 应用软件
12月14日,中国网信网公布《工业和信息化部 国家互联网信息办公室关于进一步规范移动智能终端应用软件预置行为的通告》。

《通告》明确,生产企业应确保移动智能终端中除基本功能软件外的预置应用软件均可卸载,并提供安全便捷的卸载方式供用户选择;基本功能软件限于以下范围:

(一)操作系统基本组件:系统设置、文件管理;

(二)保证智能终端硬件正常运行的应用:多媒体摄录;

(三)基本通信应用:接打电话、收发短信、通讯录、浏览器;

(四)应用软件下载通道:应用商店。实现同一基本功能的预置应用软件,至多有一个可设置为不可卸载。

8.国家广播电视总局办公厅:印发《关于进一步加强网络微短剧管理实施创作提升计划有关工作的通知》

关键词:网络保护
近日,国家广播电视总局办公厅印发《关于进一步加强网络微短剧管理实施创作提升计划有关工作的通知》(“《通知》”)。

《通知》明确指出,一种新兴的“小程序”类网络微短剧利用技术手段脱离监管,发展快、势头猛、不规范、问题多,形成对主流作品“劣币驱逐良币”的挤出效应,对网络传播秩序造成冲击。

《通知》要求,聚焦色情低俗、血腥暴力、格调低下、审美恶俗等内容的“小程序”类网络微短剧,开展专项整治。

各省级广电管理部门要全面深入排查,摸清底数,分类施策,督导辖区内“小程序”接入和分发的重点网络视听平台自查自纠、立行立改,并及时健全加强管理的制度机制。

对存在问题的网络微短剧,采取责令整改或下线处理;对传播违规网络微短剧的“小程序”及其开办主体,视情节轻重,采取断链、下线、下架、注销备案、停止接入服务、吊销相关许可、联合惩戒等相应措施;对内部管理制度缺失或松懈、安全隐患较大、问题整治不到位的“小程序”接入和分发平台,依法依规进行重点整改、严肃处置。指导重点视听平台完善算法和推送机制,加大优质网络微短剧推送,营造更加清朗的网络视听空间。

三、案件聚焦

1.案例丨杭州互联网法院:NFT数字藏品属于网络虚拟财产

【案情简介】
1月29日,杭州互联网法院官方微信平台公布了一起因NFT数字藏品交易引发的信息网络买卖合同纠纷案的审理情况。

2022年2月,被告杭州某数字技术公司通过其运营的专门从事数字艺术品销售的电商平台发布抢购公告,称一款“NFT数字藏品盲盒”将限量发售。

公告内记载了价格、抢购时间、限购数量等发售详情,并附有购买通道二维码。公告底部提示,抢购时需填写与实名认证一致的手机号,且一个手机号只能抢购一份。平台将剔除未实名认证、个人信息填错等无效订单,对无效订单进行强制退款。

原告王某称,其通过该公告公示的购买渠道,抢购了一份被告发售的“NFT数字藏品盲盒”,在填写手机号及个人信息后付款999元,但被告一直未予发货,并在10天后强制退款给王某。王某认为被告行为侵害其合法权益,诉至法院,要求被告履行合同。

【审理情况】
审理过程中,被告辩称,王某在下单时填写的手机号及身份证号的部分数字与实际信息不符,因此平台作退款处理;被告认为,该合同并未订立,即便合同成立亦已根据约定进行了解除,原告接受了退款,无实际损失,且该数字盲盒已发售完毕,无法继续履行合同。 

【法院观点】          
杭州互联网法院认为,案涉交易对象为NFT数字藏品,而非NFT权益凭证。而本案特殊之处即在于双方当事人交易的标的物系NFT数字藏品,故需要先确认NFT数字藏品的法律属性。

NFT数字藏品具有价值性、稀缺性、可支配性、可交易性等财产权客体特征,同时还具有网络虚拟性、技术性等网络虚拟财产特有属性,属于网络虚拟财产。

虽然被告发布的公告形式上属于要约邀请,但公告中的发售详情、购买通道及注意事项等内容符合要约的构成要件;当王某以成功提交订单的方式“承诺”时,上述内容即构成双方合同约定的一部分,且并不存在无效情形,对双方当事人均具有约束力。

由于抢购公告明确约定被告针对未实名认证或个人信息填错等情况享有合同解除权,且王某确属个人信息填错的情形,因此被告退还款项的行为属于行使合同约定解除权的表现。综上,法院驳回了王某的诉讼请求。

【典型意义】
NFT数字藏品交易系随着数字经济发展而诞生的新兴产业。关于NFT数字藏品的法律属性,我国法律目前并未进行明确的规定。数字藏品交易的性质如何、应如何适用法律,以及数字藏品电商经营者单方发布的合同解除条款是否构成无效条款、是否构成违约等问题均需通过裁判予以明确。

NFT数字藏品作为虚拟艺术品,本身凝结了创作者对艺术的独创性表达,具有相关知识产权的价值。同时,NFT数字藏品是基于区块链节点之间的信任和共识机制,在区块链上所形成的独一无二的数字资产。因此,NFT数字藏品属于虚拟财产范畴。

NFT数字藏品这一新型网络虚拟财产作为双方交易的对象,应当受到我国法律的保护。案涉交易转移的标的物为网络虚拟财产,不同于一般买卖合同中的有形物或无形物。从双方的交易表现来看,符合信息网络买卖合同的表现形式。在案涉NFT数字藏品交易符合信息网络买卖合同表现形式的情况下,可参照适用我国法律关于信息网络买卖合同的相关规定予以规制。

本案中,案涉交易通过互联网信息进行,且NFT数字藏品属于网络虚拟财产,系数字商品范畴。故案涉交易表现为通过互联网信息销售数字商品的经营活动,属于电子商务范畴,应受《电子商务法》规制。

对于双方争议的“NFT数字藏品经营者通过格式条款约定其享有合同单方解除权的内容”是否合法有效的问题,需结合法律规定、产业合规化需要、个案具体需要综合考察。

当NFT数字藏品经营者享有合同单方解除权的约定,系基于我国相关法律的强制性规定,也是基于防范NFT数字藏品交易风险、促使NFT数字藏品交易合规化运营的现实政策监管导向,还是基于NFT数字藏品平台管理及消费者权益保护的现实需要时,则具有正当性和合理性,应当确认相关格式条款的合法性。

需要指出的是,当NFT数字藏品经营者通过格式条款作出的合同解除约定不具有正当性,用户要求继续履行或承担第三人替代履行的费用均不具有现实可行性。由于NFT数字藏品具有“非同质化”的特征,每一份NFT数字藏品均具有不可复制的唯一性,一旦发售,便无继续履行或第三人替代履行的现实可行性。

同时,由于NFT数字藏品交易均依托于区块链技术和智能合约技术,每次交易的时间、价格、买卖双方的信息都可追溯且不可篡改,在每件NFT数字藏品的每一次交易都有据可查的情况下,计算NFT数字藏品交易中的违约损失相比较一般买卖合同中的违约损失,更加直观精准、便捷高效。

2.案例丨李某侵犯公民个人信息案——侵犯公民个人信息人脸信息生物识别信息数量

【案情简介】
2020年6月至9月间,被告人李开祥制作一款具有非法窃取安装者相册照片功能的手机“黑客软件”,打包成安卓手机端的“APK安装包”,发布于暗网“茶马古道”论坛售卖,并伪装成“颜值检测”软件发布于“芥子论坛”(后更名为“快猫社区”)提供访客免费下载。

用户下载安装“颜值检测”软件使用时,“颜值检测”软件会自动在后台获取手机相册里的照片,并自动上传到被告人搭建的腾讯云服务器后台,从而窃取安装者相册照片共计1751张,其中部分照片含有人脸信息、自然人姓名、身份号码、联系方式、家庭住址等公民个人信息100余条。

2020年9月,被告人李开祥在暗网“茶马古道”论坛看到“黑客资料”帖子,后用其此前在暗网售卖“APK安装包”部分所得购买、下载标题为“社工库资料”数据转存于“MEGA”网盘,经其本人查看,确认含有个人真实信息。

2021年2月,被告人李开祥明知“社工库资料”中含有户籍信息、QQ账号注册信息、京东账号注册信息、车主信息、借贷信息等,仍将网盘链接分享至其担任管理员的“翠湖庄园业主交流”QQ群,提供给群成员免费下载。经鉴定,“社工库资料”经去除无效数据并进行合并去重后,包含各类公民个人信息共计8100万余条。

上海市奉贤区人民检察院以社会公共利益受到损害为由,向上海市奉贤区人民法院提起刑事附带民事公益诉讼。

【裁判结果】
上海市奉贤区人民法院于2021年8月23日以(2021)沪0120刑初828号刑事判决,认定被告人李开祥犯侵犯公民个人信息罪,判处有期徒刑三年,宣告缓刑三年,并处罚金人民币一万元;扣押在案的犯罪工具予以没收。判决李开祥在国家级新闻媒体上对其侵犯公民个人信息的行为公开赔礼道歉、删除“颜值检测”软件及相关代码、删除腾讯云网盘上存储的涉案照片、删除存储在“MEGA”网盘上相关公民个人信息,并注销侵权所用QQ号码。一审判决后,没有抗诉、上诉,判决现已生效。

【裁判理由】
法院生效裁判认为:本案争议焦点为利用涉案“颜值检测”软件窃取的“人脸信息”是否属于刑法规制范畴的“公民个人信息”。

法院经审理认为,“人脸信息”属于刑法第二百五十三条之一规定的公民个人信息,利用“颜值检测”黑客软件窃取软件使用者“人脸信息”等公民个人信息的行为,属于刑法中“窃取或者以其他方法非法获取公民个人信息”的行为,依法应予惩处。

主要理由如下:

第一,“人脸信息”与其他明确列举的个人信息种类均具有明显的“可识别性”特征。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)中列举了公民个人信息种类,虽未对“人脸信息”单独列举,但允许依法在列举之外认定其他形式的个人信息。《解释》中对公民个人信息的定义及明确列举与民法典等法律规定中有关公民个人信息的认定标准一致,即将“可识别性”作为个人信息的认定标准,强调信息与信息主体之间被直接或间接识别出来的可能性。“人脸信息”属于生物识别信息,其具有不可更改性和唯一性,人脸与自然人个体一一对应,无需结合其他信息即可直接识别到特定自然人身份,具有极高的“可识别性”。

第二,将“人脸信息”认定为公民个人信息遵循了法秩序统一性原理。民法等前置法将“人脸信息”作为公民个人信息予以保护。民法典第一千零三十四条规定了个人信息的定义和具体种类,个人信息保护法进一步将“人脸信息”纳入个人信息的保护范畴,侵犯“人脸信息”的行为构成侵犯自然人人格权益等侵权行为的,须承担相应的民事责任或行政、刑事责任。

第三,采用“颜值检测”黑客软件窃取“人脸信息”具有较大的社会危害性和刑事可罚性。因“人脸信息”是识别特定个人的敏感信息,亦是社交属性较强、采集方便的个人信息,极易被他人直接利用或制作合成,从而破解人脸识别验证程序,引发侵害隐私权、名誉权等违法行为,甚至盗窃、诈骗等犯罪行为,社会危害较大。被告人李开祥操纵黑客软件伪装的“颜值检测”软件窃取用户自拍照片和手机相册中的存储照片,利用了互联网平台的开放性,以不特定公众为目标,手段隐蔽、欺骗性强、窃取面广,具有明显的社会危害性,需用刑法加以规制。

关于辩护人提出本案公民个人信息数量认定依据不足的辩护意见,法院经审理认为,公安机关侦查过程中采用了抽样验证的方法,随机挑选部分个人信息进行核实,能够确认涉案个人信息的真实性,被告人、辩护人亦未提出涉案信息不真实的线索或证据。司法鉴定机构通过去除无效信息,并采用合并去重的方法进行鉴定,检出有效个人信息8100万余条,公诉机关指控的公民个人信息数量客观、真实,且符合《解释》中确立的对批量公民个人信息具体数量的认定规则,故对辩护人的辩护意见不予采纳。

综上,被告人李开祥违反国家有关规定,非法获取并向他人提供公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。被告人李开祥到案后能如实供述自己的罪行,依法可以从轻处罚,且自愿认罪认罚,依法可以从宽处理。李开祥非法获取并向他人提供公民个人信息的侵权行为,侵害了众多公民个人信息安全,损害社会公共利益,应当承担相应的民事责任。故依法作出上述判决。

3.案例丨闻巍等侵犯公民个人信息案

【案情简介】
2019年6月至8月间,被告人闻巍(时任上海好体信息科技有限公司运营总监)经事先联系,与微信、QQ名为“发乐”、“来立中”、“我怕冷风吹”等人约定,以人民币6元/张的价格为上述人员批量注册激活该公司“爱球钱包”APP应用的“中银通·魔方元”联名预付费卡,并从上述人员处通过利用微信、QQ获得百度网盘分享链接的方式获取公民个人信息(居民身份证正反面照片),由被告人朱旭东从该网盘链接中下载至移动硬盘内,交由中银通工作人员用于批量注册激活。

2019年9月至2020年2月间,被告人朱旭东在被告人闻巍离职后,负责上述联名预付费卡的批量注册激活工作,以人民币6元/张的价格以上述相同方式继续从“发乐”、“来立中”、“我怕冷风吹”等人处通过利用微信、QQ获得百度网盘分享链接的方式获取公民个人信息(居民身份证正反面照片)并存储于其百度网盘内,后下载至其电脑硬盘内,交由中银通工作人员用于批量注册激活。

2019年10月,被告人朱旭东与张坤(另案处理)经事先用微信联系,朱旭东以人民币6元/张的价格以上述相同方式从张坤处通过利用QQ获得百度网盘分享链接的方式获取公民个人信息(居民身份证正反面照片)并存储于其百度网盘内,后下载至其电脑硬盘内,交由中银通工作人员用于批量注册激活。

2019年12月,被告人张江涛通过其所在的QQ群向他人购买公民个人信息数据并转存在其百度网盘账号内,同时将数据分多次转卖给张坤,分多次收取费用共计人民币19600元。

经核实,从被告人闻巍“ErnieGullit”网盘内清点公民个人信息(居民身份证正反面照片)10000余组,从被告人朱旭东“zhuxudn”网盘内清点公民个人信息(居民身份证正反面照片)3000余组,从张坤分享给朱旭东的网盘内清点公民个人信息(居民身份证正反面照片)41654组,从被告人张江涛的网盘内清点公民个人信息60101组。

上海市虹口区人民检察院指控被告人闻巍、朱旭东、张江涛犯侵犯公民个人信息罪,情节特别严重,其行为均应当以侵犯公民个人信息罪追究其刑事责任。

被告人闻巍及朱旭东的辩护人均提出本案指控的公民信息种类应认定为《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第五条第一款第五项中的普通信息范围,并非第五条第一款第四项中的特定信息种类范围,故根据现查获的数量,尚未构成情节特别严重。

【裁判结果】
上海市虹口区人民法院于2021年8月30日以(2020)沪0109刑初957号刑事判决,认定被告人闻巍犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币一万元;被告人朱旭东犯侵犯公民个人信息罪,判处有期徒刑三年三个月,并处罚金人民币一万元;被告人张江涛犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币二万元;违法所得及作案工具予以追缴没收。宣判后,被告人闻巍、朱旭东提起上诉。上海市第二中级人民法院于2021年11月11日以(2021)沪02刑终1055号刑事裁定,驳回上诉,维持原判。

【裁判理由】
法院生效裁判认为:本案争议焦点在于涉案居民身份证信息是否属于《解释》第五条第一款第四项中“其他可能影响人身、财产安全的公民个人信息”。根据《解释》第五条第一款第四项规定,非法获取、出售或者提供住宿信息、通讯信息、健康生理信息、交易信息等其它可能影响人身、财产安全的公民个人信息五百条以上的可认定为“情节严重”。

同款第五项规定,非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的可认定为“情节严重”。即,如果认定涉案居民身份证信息属于《解释》第五条第一款第四项中“其他可能影响人身、财产安全的公民个人信息”的,那么交易五百条以上个人信息即可认定“情节严重”,五千条以上构成“情节特别严重”。
 
一审法院经审理认为,居民身份证上的住址是公民的实际居住地址或者名义户籍地址,无论何者,均与公民及其家人的人身安全、财产安全存在十分紧密而又重要的联系,家庭住址被非法曝光、泄露将对公民个人及其家人的人身安全、财产安全造成重大隐患,为精准实施各类违法犯罪行为大开方便之门,故理应予以重点保护,从举轻以明重的一般法理解释原则出发,其重要性也应高于作为公民临时性、过去性住所的“住宿信息”,故应被认定为《解释》第五条第一款第四项中所规定的信息种类。

二审法院经审理认为,居民身份证除包含户籍地址信息外,还是公民的姓名、人脸信息、唯一身份号码等信息的综合体,是公民重要的身份证件,在信息网络社会,居民身份证信息整体均系敏感信息,可用来注册、认证、绑定网络账号。公民的人脸信息、身份号码、姓名、地址信息结合后所形成的公民个人信息具备唯一性,可与公民个人精准匹配,并可诱发公民其他个人信息的进一步泄露,对公民个人信息权益侵害极大,应将居民身份证信息整体认定为涉公民人身、财产安全的信息。

一审、二审法院虽认定思路和认定标准不同,但结论一致,认定一审法院对闻巍、朱旭东的定罪和适用法律正确,结合其犯罪手段、情节所作量刑并无不当,且审判程序合法。据此,裁定驳回上诉,维持原判。

4.案例丨熊昌恒等侵犯公民个人信息案

【案情简介】
2020年6月份,被告人熊昌恒邀集被告人熊昌林、熊恭浪、熊昌强一起从事贩卖载有公民个人信息可用于社交活动的成品微信号的经营活动,因缺乏经验,在此期间获利较少。

为谋取更多利益,2020年9月底,被告人熊昌恒、熊昌林、熊恭浪、熊昌强共同出资在网上购买了一款名叫“微骑兵”的软件(一款基于电脑版微信运行拥有多开、多号智能群发、加人、拉群、退群、清粉的营销软件),用于非法添加微信好友,并制作成品微信号予以贩卖。

2020年10月份,被告人熊昌恒的朋友秦英斌(在逃)投入5万元(占股百分之四十),熊昌恒投入2万元(占股百分之二十),被告人熊昌林、熊恭浪、熊昌强分别投入一定数量的电脑及手机(分别占股百分之十),被告人范佳聪未投资(占股百分之五),另百分之五的股份收益用于公司日常开支。后结伙共同购置办公桌、电脑、二手手机等物品,租赁江西省丰城市河洲街道物华路玲珑阁楼,挂牌成立了“丰城市昌文贸易公司”。

由秦英斌负责对外采购空白微信号、销售成品微信号。被告人熊昌恒负责公司内部管理,并负责聘请公司员工。被告人熊昌林、熊恭浪、熊昌强、范佳聪与聘请的公司员工均直接参与,用“微骑兵”软件非法制作成品微信号。制作好的成品微信号通过秦英斌高价卖出,从中非法获取利益。

2021年1月,被告人熊昌恒、熊昌林、熊恭浪、熊昌强、范佳聪与秦英斌结伙,在贩卖成品微信号的同时,通过网上购买的方式,非法获取他人求职信息(含姓名、性别、电话号码等公民个人基本身份信息)后,将求职人员的信息分发给公司工作人员。

以员工每添加到一名求职人员的微信号,赚约10元不等佣金的奖励方法,让员工谎称自己是“公共科技传媒”的工作人员,并通过事先准备好的“话术”以刷单兼职为理由,让求职者添加“导师”的微信,招揽被害人进群,致使部分被害人上当受骗。

经营期间,被告人熊昌恒、熊昌林、熊恭浪、熊昌强、范佳聪与秦英斌在支付工资及相关开支后,其获得的分红款共计人民币20余万元,按各自所占股份份额予以分配。具体获利数额如下:被告人熊昌恒5.8万余元,被告人熊昌林2.9万余元、被告人熊恭浪2.9万余元、被告人熊昌强2.9万余元、被告人范佳聪1.45万余元。

【裁判结果】
江西省丰城市人民法院于2021年9月23日以(2021)赣0981刑初376号刑事判决,认定被告人熊昌恒犯侵犯公民个人信息罪,判处有期徒刑三年零二个月,并处罚金人民币十万元;被告人熊昌林犯侵犯公民个人信息罪,判处有期徒刑一年零十个月,并处罚金人民币六万元;被告人熊恭浪犯侵犯公民个人信息罪,判处有期徒刑一年零十个月,并处罚金人民币六万元;被告人熊昌强犯侵犯公民个人信息罪,判处有期徒刑一年零十个月,并处罚金人民币六万元;被告人范佳聪犯侵犯公民个人信息罪,判处有期徒刑十个月,并处罚金人民币三万元(已缴纳);被告人范佳聪退缴的违法所得人民币1.45万元予以没收,依法上缴国库;继续追缴被告人熊昌恒的违法所得人民币5.8万元、被告人熊昌林的违法所得人民币2.9万元、被告人熊恭浪的违法所得人民币2.9万元、被告人熊昌强的违法所得人民币2.9万元予以没收,依法上缴国库;扣押的手机予以没收,由扣押机关依法处理。

【裁判理由】
生效裁判认为,被告人熊昌恒等人违反国家有关规定,结伙出资购买空白微信号和一款智能群发、加人、拉群的营销软件,以及通过网络购买他人求职信息等方式,非法添加微信好友,制作成品微信号出售或者将非法获取的公民个人信息提供给他人,并从中获利,情节特别严重,其行为均已构成侵犯公民个人信息罪。

本罪中的公民个人信息是指与公民个人密切相关的、不愿该信息被特定人群以外的其他人群所知悉的信息,非法获取的公民个人信息如属于公民隐私类信息或泄露后可能会产生极其不良后果的信息,不仅严重侵害公民个人信息安全和合法权益,也为网络赌博、电信网络诈骗等违法犯罪活动提供了帮助,严重扰乱了社会公共秩序,具有极大的社会危害性。微信不仅作为一种通讯工具,同时还具备社交、支付等功能。微信号和手机实名绑定,与银行卡绑定,和自然人一一对应,故微信号可认为是公民个人信息。

被告人违法处理已公开的个人信息并从中获利,违背了该信息公开的目的或者明显改变其用途,该信息被进一步利用后危及个人的人身或财产安全,情节特别严重,其行为构成侵犯公民个人信息罪。

综上,各被告人在未取得权利人同意及授权的前提下,非法获取他人微信号并转卖牟利,或者非法处理已公开的公民个人信息,使他人个人信息陷入泄露、失控风险,并从中获取巨额违法所得,其行为违反国家规定,侵犯了公民个人信息权利,构成侵犯公民个人信息罪。

四、专业问答

《互联网信息服务深度合成管理规定》已经2022年11月3日国家互联网信息办公室2022年第21次室务会议审议通过,并经工业和信息化部、公安部同意,现予公布,自2023年1月10日起施行。现就规定出台相关情况,向国家互联网信息办公室进行提问交流。

1、请您简要介绍《规定》出台的背景?

答:制定《规定》主要基于以下几个方面的考虑。

一是深入贯彻落实党中央决策部署。《法治社会建设实施纲要(2020-2025年)》明确提出制定完善对算法推荐、深度伪造等新技术应用的规范管理办法。出台《规定》,能够进一步加强对新技术新应用新业态的管理,统筹发展与安全,推进深度合成技术依法合理有效利用。

二是维护网络空间良好生态。深度合成服务在满足用户需求、改进用户体验的同时,也被一些不法人员用于制作、复制、发布、传播违法信息,诋毁、贬损他人名誉、荣誉,仿冒他人身份实施诈骗等违法行为,影响传播秩序和社会秩序,损害人民群众合法权益,危害国家安全和社会稳定。出台《规定》,能够划定深度合成服务的“底线”和“红线”,维护网络空间良好生态。

三是促进深度合成服务规范发展。落实《网络安全法》《数据安全法》《个人信息保护法》《互联网信息服务管理办法》等法律、行政法规,对应用深度合成技术提供互联网信息服务制定系统性、专门性规定,能够明确各类主体的信息安全义务,为促进深度合成服务规范发展提供有力法治保障。

2、《规定》中所称深度合成技术是指什么?

答:《规定》中所称深度合成技术,是指利用深度学习、虚拟现实等生成合成类算法制作文本、图像、音频、视频、虚拟场景等网络信息的技术,具体包括篇章生成、文本风格转换、问答对话等生成或者编辑文本内容的技术,文本转语音、语音转换、语音属性编辑等生成或者编辑语音内容的技术,音乐生成、场景声编辑等生成或者编辑非语音内容的技术,人脸生成、人脸替换、人物属性编辑、人脸操控、姿态操控等生成或者编辑图像、视频内容中生物特征的技术,图像生成、图像增强、图像修复等生成或者编辑图像、视频内容中非生物特征的技术,三维重建、数字仿真等生成或者编辑数字人物、虚拟场景的技术等。

3、《规定》中所称的深度合成服务提供者和技术支持者是指什么?

答:《规定》中所称的深度合成服务提供者,是指提供深度合成服务的组织、个人。深度合成服务技术支持者,是指为深度合成服务提供技术支持的组织、个人。

4、《规定》对深度合成服务提供者落实信息安全主体责任作出了哪些要求?

答:规定》对深度合成服务提供者主体责任进行了明确规定。

一是不得利用深度合成服务制作、复制、发布、传播法律、行政法规禁止的信息,或从事法律、行政法规禁止的活动。

二是建立健全用户注册、算法机制机理审核、科技伦理审查、信息发布审核、数据安全、个人信息保护、反电信网络诈骗、应急处置等管理制度,具有安全可控的技术保障措施。

三是制定和公开管理规则、平台公约,完善服务协议,落实真实身份信息认证制度。

四是加强深度合成内容管理,采取技术或者人工方式对输入数据和合成结果进行审核,建立健全用于识别违法和不良信息的特征库,记录并留存相关网络日志。

五是建立健全辟谣机制,发现利用深度合成服务制作、复制、发布、传播虚假信息的,应当及时采取辟谣措施,保存有关记录,并向网信部门和有关主管部门报告。