薅网站公开信息羊毛？判决有罪！

案件事实

2015年至2019年7月，蒋某在广州市花都区新华街凤华社区富银路3号xx房以及广州市天河北路906号高科大厦A座xx房登录某猎头网站，注册账号ｙｏｎ×××＠163.ｃｏｍ和ｃｄｔ×××＠163.ｃｏｍ。

随后，蒋某通过查询已经公开的企业招聘信息，下载了广州市多家公司的员工个人信息（包含单位名称、地址、姓名、电话号码等信息），并将这些信息保存在电脑中。

通过上述账号，蒋某多次将这些个人信息上传至该猎头网站和其它猎头网站；共上传了公民个人信息资料11648条。

判决结果

广东省广州市荔湾区人民法院做出的（2020）粤0103刑初241号刑事判决书认为：

蒋某违反国家有关规定，向他人提供公民个人信息，情节严重，其行为已构成侵犯公民个人信息罪，应依法予以惩处。

蒋某归案后，如实供述自己的罪行，且积极退赃、认罪认罚，依法予以从轻处罚。

综上事实，判决如下：

1. 被告人蒋丰犯侵犯公民个人信息罪，判处罚金人民币一万元。

2. 扣押的涉案物品笔记本电脑两台、手机一台，予以没收。

对于一审判决，蒋某就以下两点提出了上诉：

1. 原判认定11648条个人信息已经在网页上公开；不应计入个人信息数量中。即使公开的信息能成为本罪犯罪对象，但很多个人信息都已过期，或经过修改；也不应计入犯罪数量。

2. 没收的电脑是公司财产，并未用于犯罪；其手机也未用于犯罪，请求本院改判返还。华硕电脑中的数据除非法获取的公民个人信息外，还有其使用的合法文件，请求将合法文件拷贝后再予没收。

案例分析

蒋某认为，鉴定报告中的个人信息数量有误；将已经公开的信息，和已过期、经修改的信息都计入犯罪数额；缺乏法律依据。

蒋某的观点包含三个方面的问题：

（1）收集使用公开的个人信息，是否需要经过被收集者同意？

（2）过期的公民个人信息能否计入违法信息数量？

（3）什么样的信息会被“计数”？

 1、收集使用公开的个人信息，是否需要经过被收集者同意？

个人信息的使用，法律依据是《网络安全法》，第41条规定：

“网络运营者收集、使用“个人信息”，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”

可见，网络运营者收集、使用个人信息，必须经过被收集者同意。即使被收集者的个人信息处于公开、可获得的状态，也不得未经同意而对其进行收集、使用。

 2 、过期的公民个人信息能否计入违法信息数量？

个人信息数量的认定，法律依据是两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，第十一条规定：

“对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。”

根据这一规定，向他人提供个人信息，只要是真实的、不重复的，就能够作为一条信息进行计数。

本案中，蒋某向他人提供的个人信息来源于某猎头网站；而该猎头网站要求用户注册时填写真实个人信息并进行比对、核验；因此个人信息具有真实性。

此外，相关证据经过鉴定机构鉴定，已经排除了重复的个人信息。因此，即使信息已经过期，也能够计入违法收集、使用的信息数量中。

 3 、个人信息的范围如何限定？

我们曾多次强调，保护个人信息的标准，是信息是否具备“可识别性”。

《个人信息保护法（草案）》和《网络安全法》的附则规定中均写明，个人信息的含义是：

“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然个人身份的各种信息；

包括但不限于自然人个人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。”

因此，不论一条信息是否公开、过期、被修改，甚至已经被脱敏处理；只要仍然能够通过所列个人信息识别具体个人，这样的信息就符合法律规定，是“个人信息”。