随着信息技术飞速发展， “人脸识别”技术逐步在社会生活的各个场景中得到应用，如身份识别、颜值检测等。这项技术在为社会生活带来便利、娱乐的同时，与之密切相关的个人信息保护问题也日益凸显。2021年8月1日，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》正式施行，为人民法院依法审理涉人脸识别技术纠纷提供了办案依据。小编在此为大家梳理了与“人脸识别”相关的个人信息保护裁判规则，供读者参考。

　　近日，法信平台已完成将“人民法院案例库”案例与法信深度关联的重要升级！“法信”团队作为“人民法院案例库”技术建设方，经获授权将“人民法院案例库”案例与“法信”平台的法信码、法律条文等进行专业串联、融合。法信用户在第一时间获得权威案例的同时，还可获得个性化的专业推荐服务。

　　使用人脸识别技术处理的人脸信息以及基于人脸识别技术生成的人脸信息均具有高度的可识别性，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况，属于刑法规定的公民个人信息。行为人未经公民本人同意，未具备获得法律、相关部门授权等个人信息保护法规定的处理个人信息的合法事由，利用软件程序等方式窃取或者以其他方法非法获取上述信息，情节严重的，应依照《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款第四项等规定定罪处罚。

　　2020年6月至9月间，被告人李开祥制作一款具有非法窃取安装者相册照片功能的手机“黑客软件”TCG体育，打包成安卓手机端的“APK安装包”，发布于暗网“茶马古道”论坛售卖，并伪装成“颜值检测”软件发布于“芥子论坛”(后更名为“快猫社区”)提供访客免费下载。用户下载安装“颜值检测”软件使用时，“颜值检测”软件会自动在后台获取手机相册里的照片，并自动上传到被告人搭建的腾讯云服务器后台，从而窃取安装者相册照片共计1751张，其中部分照片含有人脸信息、自然人姓名、身份号码、联系方式、家庭住址等公民个人信息100余条。

　　2020年9月，被告人李开祥在暗网“茶马古道”论坛看到“黑客资料”帖子，后用其此前在暗网售卖“APK安装包”部分所得购买、下载标题为“社工库资料”数据转存于“MEGA”网盘，经其本人查看，确认含有个人线月，被告人李开祥明知“社工库资料”中含有户籍信息、QQ账号注册信息、京东账号注册信息、车主信息、借贷信息等，仍将网盘链接分享至其担任管理员的“翠湖庄园业主交流”QQ群，提供给群成员免费下载。经鉴定，“社工库资料”经去除无效数据并进行合并去重后，包含各类公民个人信息共计8100万余条。

　　上海市奉贤区人民检察院以社会公共利益受到损害为由，向上海市奉贤区人民法院提起刑事附带民事公益诉讼。

　　辩护人提出被告人李开祥系初犯，到案后如实供述所犯罪行，且自愿认罪认罚等辩护意见，建议对被告人李开祥从轻处罚，请求法庭对其适用缓刑。辩护人另辩称，检察机关未对涉案8100万余条数据信息的真实性核实确认。

　　上海市奉贤区人民法院于2021年8月23日以（2021）沪0120刑初828号刑事判决，认定被告人李开祥犯侵犯公民个人信息罪，判处有期徒刑三年，宣告缓刑三年，并处罚金人民币一万元；扣押在案的犯罪工具予以没收。判决李开祥在国家级新闻媒体上对其侵犯公民个人信息的行为公开赔礼道歉、删除“颜值检测”软件及相关代码、删除腾讯云网盘上存储的涉案照片、删除存储在“MEGA”网盘上相关公民个人信息，并注销侵权所用QQ号码。一审判决后，没有抗诉、上诉，判决现已生效。

　　法院生效裁判认为：本案争议焦点为利用涉案“颜值检测”软件窃取的“人脸信息”是否属于刑法规制范畴的“公民个人信息”。法院经审理认为，“人脸信息”属于刑法第二百五十三条之一规定的公民个人信息，利用“颜值检测”黑客软件窃取软件使用者“人脸信息”等公民个人信息的行为，属于刑法中“窃取或者以其他方法非法获取公民个人信息”的行为，依法应予惩处。主要理由如下：第一，“人脸信息”与其他明确列举的个人信息种类均具有明显的“TCG体育可识别性”特征。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）中列举了公民个人信息种类，虽未对“人脸信息”单独列举，但允许依法在列举之外认定其他形式的个人信息。《解释》中对公民个人信息的定义及明确列举与民法典等法律规定中有关公民个人信息的认定标准一致，即将“可识别性”作为个人信息的认定标准，强调信息与信息主体之间被直接或间接识别出来的可能性。“人脸信息”属于生物识别信息，其具有不可更改性和唯一性，人脸与自然人个体一一对应，无需结合其他信息即可直接识别到特定自然人身份，具有极高的“可识别性”。第二，将“人脸信息”认定为公民个人信息遵循了法秩序统一性原理。民法等前置法将“人脸信息”作为公民个人信息予以保护。民法典第一千零三十四条规定了个人信息的定义和具体种类，个人信息保护法进一步将“人脸信息”纳入个人信息的保护范畴，侵犯“人脸信息”的行为构成侵犯自然人人格权益等侵权行为的，须承担相应的民事责任或行政、刑事责任。第三，采用“颜值检测”黑客软件窃取“人脸信息”具有较大的社会危害性和刑事可罚性。因“人脸信息”是识别特定个人的敏感信息，亦是社交属性较强、采集方便的个人信息，极易被他人直接利用或制作合成，从而破解人脸识别验证程序，引发侵害隐私权、名誉权等违法行为，甚至盗窃、诈骗等犯罪行为，社会危害较大。被告人李开祥操纵黑客软件伪装的“颜值检测”软件窃取用户照片和手机相册中的存储照片，利用了互联网平台的开放性，以不特定公众为目标，手段隐蔽、欺骗性强、窃取面广，具有明显的社会危害性，需用刑法加以规制。

　　关于辩护人提出本案公民个人信息数量认定依据不足的辩护意见，法院经审理认为，公安机关侦查过程中采用了抽样验证的方法，随机挑选部分个人信息进行核实，能够确认涉案个人信息的真实性，被告人、辩护人亦未提出涉案信息不真实的线索或证据。司法鉴定机构通过去除无效信息，并采用合并去重的方法进行鉴定，检出有效个人信息8100万余条，公诉机关指控的公民个人信息数量客观、真实，且符合《解释》中确立的对批量公民个人信息具体数量的认定规则，故对辩护人的辩护意见不予采纳。

　　综上，被告人李开祥违反国家有关规定，非法获取并向他人提供公民个人信息，情节特别严重，其行为已构成侵犯公民个人信息罪。被告人李开祥到案后能如实供述自己的罪行，依法可以从轻处罚，且自愿认罪认罚，依法可以从宽处理。李开祥非法获取并向他人提供公民个人信息的侵权行为，侵害了众多公民个人信息安全，损害社会公共利益，应当承担相应的民事责任。故依法作出上述判决。

　　1. 行为人非法获取注册和人脸识别功能的APP中的个人信息并出售，情节较严重的，构成侵犯公民个人信息罪——谢某、李某甲等人侵犯公民个人信息案

　　【案例要旨】行为人非法获取注册和人脸识别功能的APP中的个人信息并出售，情节较严重的，构成侵犯公民个人信息罪，检察机关对犯罪嫌疑人众多的侵犯公民个人信息犯罪，要结合犯罪嫌疑人在共同犯罪中的地位、作用、主观恶性、犯罪情节等，依法区分主从犯，分类处理。

　　案例来源：最高人民检察院发布检察机关依法惩治侵犯公民个人信息犯罪典型案例

　　2.开发商为判别客户来源，未经消费者明示同意，擅自在售楼处安装人脸识别系统收集、储存、使用消费者人脸信息，构成侵权——徐某诉某置业公司个人信息保护纠纷案

　　【案例要旨】人脸信息作为生物识别信息，属于个人信息的范畴，使用人脸识别系统需要严格遵守法律规定。开发商为判别客户来源，未经消费者明示同意，擅自在售楼处安装人脸识别系统收集、储存、使用消费者人脸信息，构成侵权，应当承担删除信息、赔礼道歉的侵权责任。

　　3.物业应删除不同意人脸识别的业主的个人信息——徐某诉某物业个人信息保护纠纷案

　　【案例要旨】小区物业在使用人脸识别门禁系统录入人脸信息时，应当征得业主或者物业使用人的同意，对于不同意的业主或者物业使用人，小区物业应当提供替代性验证方式，不得侵害业主或物业使用人的人格权益和其他合法权益。

　　4.针对住宅小区违规设置“人脸信息识别”门禁系统导致社会公共利益受损的问题，检察机关召开公开听证会，推动建立“个人生物数据”不同应用领域的监管协作机制，助力保护个人信息安全——广东省江门市江海区人民检察院督促整治保护个人信息安全行政公益诉讼案

　　【案例要旨】针对住宅小区违规设置“人脸信息识别”门禁系统存在泄露个人信息风险，导致社会公共利益受损的问题，检察机关召开公开听证会，进一步厘清监管职责，推动建立“个人生物数据”不同应用领域的监管协作机制，助力保护个人信息安全。

　　第一百一十一条 自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

　　第一千零三十四条 自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

　　个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

　　《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》

　　第十条 物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式，不同意的业主或者物业使用人请求其提供其他合理验证方式的，人民法院依法予以支持。

　　第二百五十三条之一 【侵犯公民个人信息罪】违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

　　违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

　　单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

　　原标题：《“颜值检测”软件藏猫腻，你应该知道这5条个人信息保护裁判规则》