从“开盒”到“内鬼”:最高法5月8日典型案例,划出五条不容触碰的法律红线
从“开盒”到“内鬼”:最高法5月8日典型案例,划出五条不容触碰的法律红线
蚂蚁刑辩团队 李梦涵律师
9亿条个人信息被倒卖,涉案者获刑七年——数据黑产的代价,远比想象中沉重。
2026年5月8日,最高人民法院发布五件侵犯公民个人信息犯罪及关联犯罪典型案例。蚂蚁刑事辩护团队律师第一时间对这批案例进行了专业研读。案例背后,是一个个令人震惊的数字:9亿条数据被用于“开盒”网暴、287万条患者信息遭外包公司窃取、29万条HPV疫苗预约信息被植入木马后用于精准诈骗……
这些绝非耸人听闻的新闻标题,而是已经生效判决认定的犯罪事实。
一、五件典型案例释放出什么信号?
信号一:行业“内鬼”从重处罚,外包不是“挡箭牌”
江苏无锡某一软件开发公司,在为医院开发和维护网上挂号系统的过程中,非法获取了医院挂号用户相关信息高达287万余条,并将其导入公司自建数据库。这其中,包含患者姓名、身份证号、电话号码、就诊记录等极为敏感的信息。法院判决被告单位罚金30万元,法定代表人和直接责任人被判有期徒刑五年六个月至一年六个月不等,并处罚金。
蚂蚁刑辩律师解读:该案的典型意义在于,技术外包公司不能以“中立技术服务”为由逃避数据安全责任。只要在业务链条中非法收集、使用个人信息,无论主体是机关事业单位还是外包商,都将面临刑事追诉。对于接受委托处理个人信息的企业,必须建立严格的数据合规制度,否则法定代表人、技术负责人均可能承担个人刑事责任。
信号二:“内鬼”泄露信息,刑事+公益诉讼双重追责
广东佛山一名铁路系统售票员陈某,利用铁路系统职务便利,通过内部系统查询乘客的出行记录,将艺人明星的个人信息和行程单以每条10至60元的价格出售。除了刑事判决坐牢,法院还特别支持了附带民事公益诉讼,判令其删除相关数据并赔偿公益损害赔偿金20余万元,同时在国家级媒体上公开赔礼道歉。
蚂蚁刑辩律师解读:该案表明,侵犯公民个人信息犯罪已不单纯是“坐牢”的问题。通过刑事附带民事公益诉讼,被告人既要承受自由刑,还要承担经济赔偿和声誉修复责任。对于金融、交通、医疗、酒店、快递等行业的从业人员而言,利用职务便利查询、出售信息,面临的将是“人财两空”的结局。
信号三:官方平台并非“保险箱”,技术入侵后果严重
被告人黄某某等人非法登录“学信网”等官方学籍平台,将下载的学历证书出售牟利。法院以侵犯公民个人信息罪判处其三年八个月有期徒刑,并处罚金31万元,还判令附带民事公益诉讼赔付30万元赔偿金并公开赔礼道歉。
蚂蚁刑辩律师解读:官方平台向来被认为是数据安全的最高壁垒,此案表明即便是国家级的“信息堡垒”也并不意味着绝对安全。这警示各类平台、企业必须必须持续升级技术防护措施,定期进行安全检测。一旦因防护疏漏导致数据泄露,相关责任人同样可能被追究刑责。
信号四:9亿条数据被用来网络“开盒”,主犯被判七年!
北京某案的在案被告人,通过非法渠道获取多达9亿余条的公民个人信息数据,搭建“社工库”网站,通过“开盒挂人”,散播他人身份信息煽动网络暴力。法院最终判决主犯林某某以侵犯公民个人信息罪和非法利用信息网络罪数罪并罚,合并执行有期徒刑七年,并处罚金人民币七万元。
蚂蚁刑辩律师解读:这是本次典型案例中刑期最重的一件。所谓“开盒”,即非法获取并公开他人隐私信息,进而实施网暴、恐吓等行为。许多人误以为“法不责众”,但司法机关对此类黑灰产链条已形成全环节打击态势。数据来源不合法、用途不正当、情节特别严重,七年刑期释放出明确信号——网络不是法外之地,“开盒”必被“反噬”。
信号五:精准诈骗的源头——HPV疫苗信息泄露案
被告人梁某某等人通过向某正规HPV疫苗预约网站植入木马程序,非法获取疫苗预约订单信息29万余条,进而冒充客服实施电信网络诈骗,受害人达51人,涉案金额58万余元。法院以侵犯公民个人信息罪和诈骗罪数罪并罚,被告人被判处有期徒刑,并处罚金。
从婚恋网站到疫苗预约系统,只要被黑产盯上,每个环节都可能成为悲剧的源头。
蚂蚁刑辩律师解读:数据泄露绝不仅意味着“电话骚扰”,很多时候,它必然是电信网络诈骗上游产业链的“核心原材料”和犯罪温床。对于掌握大量特定群体(如学生、病人、特定消费者)数据的平台来说,审慎保护用户信息的合规义务已是悬在头顶的利刃。
二、五条不容触碰的法律红线
结合上述典型案例及《刑法》第253条之一、“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,蚂蚁刑辩律师提炼出五条核心红线:
红线一:不同数据,入罪门槛悬殊
高度敏感信息(行踪轨迹、通信记录、财产信息等):50条即可构成犯罪
重要敏感信息(住宿信息、通话记录、健康生理信息等):500条入罪
普通个人信息(姓名+手机号等):5000条为立案门槛
蚂蚁刑辩提示:许多企业依赖用户数据盈利,认为“导流”不是犯罪。但只要数据用于商业变现且达到数量门槛,即可能触碰刑律。建议企业立即开展数据合规体检,明确数据分级管理责任。
红线二:警惕“为他人非法查询、提供”!这条帮凶罪跑不掉
铁路内鬼案中,售票员利用内部系统查询并出售信息。即使只是“帮朋友查一下”而未直接获利,只要明知对方用于非法目的或批量提供,同样可能被认定为共同犯罪。刑法打击的是整个信息泄露链条,中间人没有“免罪金牌”。
红线三:刑事追责+ 公益诉讼 = 双重惩罚
铁路案和学籍案均判令被告人支付公益损害赔偿金并公开道歉。这意味着,侵犯个人信息犯罪不仅要“坐牢”,还要“赔钱”“丢脸”。未来,公益诉讼将成为此类案件的标配。
红线四:企业外包失控,等于合规裸奔
医院外包软件公司案是典型的“城门失火,殃及池鱼”。委托处理个人信息的单位,必须对服务商进行严格筛选、监督和合同约束。一旦外包商非法获取数据,委托方虽然可能不承担刑事责任,但将面临行政处罚、声誉损失和民事赔偿风险。
红线五:存留大量冗余数据不删除,不仅占内存,更是在埋雷
很多企业保存了大量老旧客户信息,既不使用也不删除。这些“僵尸数据”一旦被黑客攻破或内部人员窃取,企业将因未履行数据删除义务而承担法律责任。数据删除与数据收集同等重要。
三、面对急剧升级的刑事风险,蚂蚁刑辩律师的四点务实建议
蚂蚁刑事辩护团队结合多年刑事辩护与合规经验,为不同主体提出以下建议:
(一)对企业经营者的建议
1.立即开展数据合规体检:检视企业收集、存储、使用、删除个人信息的全流程是否符合《个人信息保护法》及刑法要求;
2.建立分级管控机制:对高度敏感信息实施最高级别保护,限制访问权限并留存操作日志;
3.签订合规协议:与外包服务商签订数据安全专项协议,明确刑事风险责任划分;
4.开展全员培训:定期对员工进行数据安全法律培训,尤其是技术、客服、销售等接触数据的岗位。
(二)对从业人员的警示
1.不要在同事群、家庭群中随意转发客户信息表;
2.不要用内部系统为亲友“查一下”任何信息;
3.工作数据只保留在工作设备中,离职时彻底删除;
4发现公司存在数据违规行为,应通过合规渠道反映,切勿参与或默许。
(三)对普通公众的维权指引
1.收到骚扰电话、诈骗信息后,保存截图、录音等证据;
2.及时向公安机关报案,并可咨询律师是否具备提起附带民事诉讼的条件;
3.关注官方发布的典型案例,了解自身权益受侵害时的救济途径。
4. 针对涉嫌此类案件的当事人和家属。
(四)对涉案当事人的辩护策略
1.第一时间聘请专业刑辩律师介入:在侦查阶段即开展有效辩护,避免因不当口供导致罪责加重;
2.精细化审查证据:对信息条数、真伪、违法所得数额等关键数据进行逐项核对,剔除不实或重复计算部分;
3.积极退赃、删除数据:主动退缴违法所得、删除非法获取的数据、配合司法机关追回源头,可能争取从轻或减轻处罚。
4.主动适用认罪认罚从宽制度,争取最大幅度的从宽处理。对于事实清楚、证据充分的案件,认罪认罚是争取从宽的有效路径。辩护律师应在信息条数、违法所得数额等核心问题上与检察机关充分协商,将认罪认罚与退赃退赔、初犯偶犯等情节叠加运用,争取缓刑或最低刑期。
最高法5月8日发布的五件典型案例,传递的信号清晰而强烈:数字经济必须在法治轨道上运行,个人信息保护没有“灰色地带”。
蚂蚁刑事辩护团队始终秉持“防患未然”与“有效辩护”并重的理念。我们不仅为涉嫌犯罪的当事人提供专业辩护,更致力于通过合规建设,帮助企业及个人远离刑事风险。法律的底线不容试探,数据的边界不可逾越——愿每一位从业者、每一个企业,都能在法治的框架下行稳致远。
附:侵犯公民个人信息相关法律法规链接
《中华人民共和国刑法》第二百五十三条之一:侵犯公民个人信息罪。
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)。
《中华人民共和国个人信息保护法》。
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。
