侵犯公民个人信息罪的有效辩护与风险防范 ——暨第二届网络和数字科技犯罪研讨会成功举办

2025-09-16

2025年9月12日，由北京德恒律师事务所刑事专业委员会主办的侵犯公民个人信息罪的有效辩护与风险防范 —— 暨第二届网络和数字科技犯罪研讨会，在北京成功举办。本次研讨会吸引了来自司法实务界、法学理论界以及企业合规领域的众多专家学者与资深从业者齐聚一堂。在数字化浪潮席卷的当下，侵犯公民个人信息犯罪呈高发态势，严重威胁公民权益与社会秩序，在此背景下，本次研讨会聚焦前沿法律问题，旨在深度剖析侵犯公民个人信息罪的有效辩护策略与全方位风险防范路径，为应对日益复杂的网络和数字科技犯罪挑战提供专业指引与解决方案，对推动相关法律实务的完善与行业合规发展具有重要意义 。

开幕式

德恒北京办公室合伙人刘扬律师担任侵犯公民个人信息罪的有效辩护与风险防范 ——暨第二届网络和数字科技犯罪研讨会开幕式主持人。刘扬律师在互联网计算机、数字科技金融争议解决及风险防范领域经验丰富。他指出，随着信息技术的飞速发展，侵犯公民个人信息犯罪频发，严重威胁个人权益与社会稳定，亟需法律实务界与理论界共同探讨应对之策。本次研讨会旨在汇聚各方智慧，深入剖析侵犯公民个人信息罪的法律适用、辩护要点及风险防控措施，为解决司法实践难题提供新思路。

▲参会现场

▲王一楠律师致辞

德恒北京办公室合伙人王一楠律师在致辞中指出，随着数字经济的高度发展，个人信息的价值逐渐升高，收集个人信息的更加广泛，收集量逐渐增大。个人信息目前已经是数据合规中最重要、业务量最大、涉及领域最广、法律法规最完善的方面。企业是否履行了合规义务是数据刑事犯罪中的重要辩护理由，讨论公民个人信息保护与辩护有重要意义。今天我们讨论的议题具有重要意义，期待研讨会能够为侵犯个人信息犯罪的有效辩护探索更加清晰的路径，挖掘出更深刻的内容。预祝研讨会能够圆满成功。

侵犯公民个人信息罪的有效辩护

▲唐俊杰律师主持会议

法学博士、德恒北京办公室合伙人、德恒刑委会执委唐俊杰律师指出，此次研讨会聚焦侵犯公民个人信息罪的有效辩护与风险防范，在数字经济蓬勃发展、个人信息安全问题日益凸显的当下，具有重大现实意义。

▲刘扬律师展开分享

在研讨会第一单元，刘扬律师首先进行了分享。他分享的主题为“从最高检典型案例看公民个人信息罪的法益之辩”。他首先介绍了侵犯公民个人信息罪的历史沿革，并指出，随着数字经济的发展和数字时代的来临，违法犯罪与科技创新已成为一对新的矛盾。随后，刘扬律师通过介绍其本人办理的并由最高人民检察院公布的侵犯公民个人信息罪相关典型案例，强调个人信息的价值在于流动，并指出本罪的出台是为了遏制利用个人信息进行犯罪的行为，需要考虑在经济发展中，服务提供者不可避免地会收集一部分公民个人信息，甚至收集公民个人信息是提供某些服务的必要条件。刘扬律师认为，对侵犯公民个人信息的“侵犯”一词应限缩为“非法出售、非法提供、非法获取”，不能作任意扩大解释。刘扬律师同时提到，法益之辩在构成犯罪的案件中同样适用，辩护律师可以通过法益之辩，再从行为人的主观恶性不大、犯罪数据数量的认定等等进一步展开辩护观点，从而减轻对被告人的量刑。最后，刘扬律师通过介绍另一起由央视报道的通过“爬虫”方式侵犯公民个人信息的案件，指出从法益的角度上，侵犯公民个人信息的损失应当是限定在直接损失，应当从法益的角度上对行为是否存在侵犯信息使用授权进行实质解释。

▲韩丽律师展开分享

德恒天津办公室合伙人、德恒天津刑委会负责人韩丽律师进行了分享。她分享的主题是“‘开盒’案件辩护实务与法律适用前瞻”。韩丽律师指出，以“开盒”为代表的侵犯个人信息的行为日益凸显其社会危害性，容易导致被害人的“社会性死亡”。今年最高法公布的吴某慧、陈某强侵犯公民个人信息案就是直接与“开盒”相关。韩丽律师首先对本案裁判逻辑进行了分析。她指出，本案是参照相关司法解释“兜底”条款进行的裁判，确立了重要的规范意义。即通过网络“开盒”方式曝光个人信息构成侵犯公民个人信息罪，并界定了“兜底”条款的适用需要综合考量行为人的主观动机、获取方式、具体用途、造成危害等是否与其它条款相当。韩丽律师认为，此类案件的辩护应当从电子数据真实性、信息的关联性和危害结果三个层面对证据进行审查与质证。同时，在此类案件法律适用方面，辩护律师应着眼于对信息类型进行严格区分，并严格进行危害性考量及论证刑罚的必要性等方面展开辩护。并且，“开盒”案件的量刑辩护中，辩护律师应构建多层次的从轻减轻辩护体系，深入挖掘并运用好所有量刑情节。韩丽律师最后提出，此类案件信息类型认定存在扩张化的趋势，并往往与诽谤、侮辱等网络暴力行为相伴而生。律师在办理此类案件过程中，应当着重研究罪与非罪、此罪与彼罪等问题，强调相关案件的办理应当适应数字化时代信息传播的特点，并坚守“开盒”必须具备的公开性、针对性和恶意性这三个最本质的特征。

▲武丹彤律师展开分享

德恒兰州办公室合伙人、德恒刑委会执委武丹彤律师分享的主题是“‘非法获取’型侵犯公民个人信息罪辩护问题探讨”。武律师首先介绍了侵犯公民个人信息罪的立法沿革，并指出，在实际办案中，非法获取的方式有扩大化的趋势，即将“持有”泛化为“非法获取”，而并不关注持有公民个人信息的原因；同时，司法实践中对于“国家有关规定”也不作专门规定，对“非法性”也有扩大化、兜底化、宣誓化的规定。武律师尤其提到，在对此类案件进行辩护时，非法获取公民个人信息后的处理途径应当进行区分，对非法获取之后用于合法经营活动或没有使用的情况下，由于司法解释着眼于获利要求达到5万元以上才构成情节严重，且只有一个量刑档，所以是一个重要的辩护要点。然而，如果行为人仅仅只是非法持有公民个人信息，其社会危害性不应被认为大于使用了信息的情形，但此类情况仍然只能适用司法解释中的一般条款，不能适用合法经营获取个人信息的条款，这一理解有违反当然解释之嫌。辩护律师在实际办案中，可以提出司法解释在适用中的逻辑冲突与矛盾之处，尽最大可能帮助被告人获取司法机关的从宽处罚。

▲葛宇翔律师展开分享

研讨会上半场最后一位分享的律师是德恒刑委会委员、“优秀青年刑辩之星”葛宇翔律师。他分享的主题是“对‘违反国家有关规定’辩护有效性的期待及其可行路径”。葛律师指出，刑法第九十六条规定的“违反国家规定”和刑法对侵犯公民个人信息罪中的“违反国家有关规定”在逻辑外延上有所不同，侵犯公民个人信息罪中的“国家有关规定”中加入了“部门规章”。葛律师通过大量的案例检索数据发现，大部分案件中，控辩审三方未能指出所谓"违反国家有关规定"究竟违反的是哪一部或哪一条规定，但在小部分案件中，"违反国家有关规定"被进行实质性审查。这种现实中的“分歧”反映在理论上就是，“违反国家有关规定”究竟属于构成要件要素还是违法提示性要素。与此同时，还引出扩大刑法第九十六条的范围是否适当的问题。葛律师基于行政犯法理、“违反国家有关规定”形成背景、检察院办案指引以及刑法与前置法衔接客观事实的四方面观察，认为“违反国家有关规定”当然地属于构成要件要素，在案件办理过程中需要进行实质性审查。关于部门规章妥当性问题，其作为本罪的前置法，是基于一定立法历史背景而存在的。在数字安全、网络安全和个人信息保护的相关法律进一步完善的前提下，是否还需要将部门规章作为刑法前置法，需要进一步探讨和考量。最后，“违反国家有关规定”在司法实践的审查活动中被虚置，主要原因在于以是否违反“知情同意”原则这一实质内容，替代了“违反国家有关规定”的形式审查，而且当下的“知情同意”属于强同意，内涵范围较小。葛律师认为，可以“弱同意”理论对"信息自决权"的内涵进行调整，并借助“情境脉络完整性”，为收集已公开信息但未经同意而流转的情形，提供出罪的理论支持。

与谈环节

▲张学律师进行与谈

上半场与谈环节，德恒北京办公室合伙人、德恒刑委会执委张学律师首先发言。张律师指出，刘扬律师的法益之辩的理论在实战中取得了非常好的成绩。侵犯公民个人信息侵犯的是公民个人信息的决定权，在刘扬律师所举的案例中，助贷公司在设定收集信息时要明确搜集信息的目的，而向出借方提供信息必然符合收集个人信息的目的。张学律师结合自身办案经验指出，如何证明收集个人信息的非法过程是一个重要的辩护点。韩丽律师的分享中明确了“开盒”的概念，并尝试了“调查试验”，同时提出了与侵犯公民个人信息相关个罪的区分。武丹彤律师的分享提出了合法经营使用和没有使用之间的区别，就其对两种形态下危害性的分析，一方面可结合“司法解释”第6条规定的理解，另一方面，也可结合国家的数据战略对比出危害性的大小。葛宇翔律师的分享有较强的理论性，要关注网络安全法的立法目的，作为律师应当关注公民个人信息是否全部都进入保护范围？四位律师的分享都十分精彩，侵犯公民个人信息犯罪的数量极大，但在实务中办案效果都可以期待，在大数据、人工智能时代侵犯公民个人信息的业务需求量极大。

▲廉波律师进行与谈

德恒北京办公室合伙人、德恒刑委会执委廉波律师在上半场最后一个与谈发言。廉律师提到，四位律师的发言非常精彩，今天研讨会的举办也非常及时，随着人工智能、深度生成式AI的发展，对公民个人信息安全的挑战逐渐增大。在案件辩护中准确把握公民信息的边界是辩护的重点，比如对“财产信息”边界的辩护是认定罪与非罪，情节严重与否的关键。车辆信息虽然符合财产信息的一般特征，但行为人获取的车辆相关信息的主观目的就是为了二手车交易或者推销车辆保险，并非用于实施针对人身或者财产的侵害行为，对其适用一般公民个人信息的入罪标准更为妥当。同样，行为人将房产信息非法提供给装修公司，主要用于推销业务，不太可能涉及侵犯人身、财产权利的，通常也不宜将相关信息纳入“财产信息”范畴。”财产信息50条即可入罪的条款，应坚持严格适用主客观相统一原则。

侵犯公民个人信息罪的刑事风险防范

▲曹文姬律师主持会议

德恒北京办公室律师曹文姬律师主持下半场侵犯公民个人信息罪刑事风险防范专题研讨会。研讨会聚焦当前数字时代下侵犯公民个人信息罪的司法实践热点、常见风险场景及企业与个人防范要点，曹文姬律师结合典型案例与法律规定，为参会者明晰法律边界、强化风险防范意识提供了专业指导。

▲张俏睿律师展开分享

德恒北京办公室合伙人张俏睿律师，围绕信息推荐类企业刑事风险防控展开分享，指出此类企业在为商业主体推荐客户信息过程中，因常接触个人信息，故存在很强的合规需求。这种商业模式中主要分为三类情况：一是平台吸引用户主动上传信息，风险最低，只要用户协议合规且在授权范围内处理信息，一般不会涉刑；二是平台主动联系潜在用户、获取个人信息，由于授权流程易有瑕疵、风险较大，但瑕疵授权不等于无授权，需通过合规话术、短信确认等方式予以完善；三是极个别平台静默获取用户个人信息，属典型违法行为。此外，企业还需防范被他人窃取用户的个人信息，这不仅会导致商业资源的损失，同时还会因为企业未履行保护个人信息法律责任、违反网络安全法，可能导致企业面临行政处罚，如某职业技术大学、某快递营业厅因未履行数据安全保护义务被处罚。

▲王谦律师展开分享

法学博士、德恒北京办公室律师、ACFE  China杰出舞弊审查师王谦律师围绕企业个人信息保护合规与风险防范展开分享，指出我国以《个人信息保护法》《数据安全法》《网络安全法》及《信息安全技术 个人信息安全规范》等构成监管体系，数据按敏感程度分为敏感个人信息（需单独明示同意、加密存储）、重要数据（需定期风险评估、出境安全评估）、一般个人信息（需传输加密、权限最小化）三类，企业需先建 “数据资产清单”；解读《刑法》第 253 条之一 “侵犯公民个人信息罪”，结合天津 W 科技公司未经用户同意、未评估接收方安全能力，转介超 500 条用户贷款意向信息获利被追责的案例，强调数据流转需法务审批、记录留存 3 年，全环节需明确告知用户并获授权；内部防控需从制度（全流程处理规则、安全应急预案）、技术（终端 DLP 工具、传输 SSL/TLS 加密、服务器 IDS 系统）、人员（入职承诺、在职培训、离职清权、高风险岗位轮岗审计）构建体系；外部防控要全流程管理第三方（优先选 ISO 27701 认证方、签协议明责、事中监控流向、事后 7 日内删信息），数据跨境分场景合规（金融医疗等需网信办评估、一般企业可选标准合同或 CCRC 认证），并提及迪奥（上海）因向法总部传信息未评估被罚 500 万的案例；预判 2024-2025 年监管聚焦数据跨境、行业细分指引（如 App 收集明示目的）、技术自动化检测，建议企业半年内部自查、年外部审计、闭环整改、动态更新制度，还举例某电商通过 “整改 - 培训 - 监控” 使合规评分升至 92 分、泄露率降 80%，最后强调个人信息保护是企业必修课，需融入经营全流程以规避刑事风险。

▲林杰律师展开分享

德恒北京办公室合伙人、德恒刑委会执委林杰律师围绕侵犯公民个人信息的 “罪与非罪” 主题展开专业分享，聚焦司法实践中争议焦点，为企业厘清刑事风险边界。林杰律师首先阐释《刑法》第 253 条之一核心要义，指出公民个人信息涵盖姓名、身份证号、通信记录等可识别个人身份的各类信息，其保护范围已延伸至行踪轨迹、健康生理信息等敏感数据。针对司法实践中的模糊地带，林杰律师结合最新案例分析 “其他情节严重情形” 的适用规则，明确即使未达数量标准，若信息被用于犯罪、造成恶劣社会影响（如网络曝光引发百万级传播），仍可能被认定为刑事犯罪。他特别提醒企业警惕 “授权瑕疵” 风险，强调合法收集需满足 “明确告知 + 单独同意” 原则，默认勾选、捆绑授权等行为可能被视作非法获取。在合规建议方面，林杰律师提出 “全流程防控” 方案：事前需建立数据分类分级制度，严格限定收集范围；事中强化共享审批，确保每笔信息流转可追溯；事后完善应急机制，发生泄露需及时补救报备。他强调，单位若涉此类犯罪，不仅直接责任人面临刑责，单位也将被处以罚金，企业需切实落实主体责任，动态更新合规体系以应对监管要求。

与谈环节

▲马玉涛律师进行与谈

德恒北京办公室合伙人、德恒刑委会委员马玉涛律师结合司法实践与法律规定，围绕会议核心议题展开深度补充。针对信息推荐类企业刑事风险，其以 2025 年 3 月广东东莞林某成等人侵犯公民个人信息案为例，指出企业在数据采集、算法运算、结果输出三环节易触法律红线，建议建立 “合规三重审查机制”，并提及受害人或因未落实技术保护措施面临行政处罚；就企业合规体系建设，强调需构建事前预防（个人信息保护影响评估、刑事合规体检）、事中管控（设数据安全负责人及机构）、事后补救（应急响应机制）的三层体系，且完善合规体系已成司法机关从轻处理考量因素，同时指出企业需重视个人信息处理规则等制度建设；在罪与非罪边界认定上，提出从信息识别性、获取非法性、情节严重性的 “三性测试” 判断标准，特别提醒公开信息非法加工聚合仍可能涉罪的风险。此外，与谈人建议企业建立 “刑事风险温度计” 定期评估风险，强调单位犯罪中相关人员个人刑责，呼吁企业重视数据合规，助力数据在法治轨道安全流动。

▲褚维姝律师进行与谈

德恒上海办公室合伙人、德恒刑委会执委、荣登 2025 年 LegalBand “白领和商业犯罪” 推荐十五强的褚维姝律师，针对王谦、张俏睿、林杰三位律师的核心发言展开与谈，从 “行业共性 + 领域特性 + 司法边界” 三维度整合合规要点，为企业提供更具实操性的风险防控思路。褚维姝律师与谈，不仅串联起三位律师的核心观点，更从实务落地角度为企业搭建了 “从法规理解到风险规避” 的桥梁，助力企业在个人信息保护领域实现 “合规不流于形式、风险可控于未发”。褚律师还建议，我们要以专业为依托，以行业为方向，整合利用好德恒刑委会的优质资源，有计划有深度的推广刑事合规业务，有针对的推出一些优秀的刑事合规产品，通过撰写文章、白皮书，举办研讨会和闭门会议、案例解读和成果展示等方法打造行业影响力，通过与客户的深层开发和维护与客户建立链接，通过多种媒体平台运用扩大影响，开发标准化与定制化相结合的产品，利用技术手段和跨界合作形成核心竞争力。最后，褚律师提出，刑事合规业务是需要长期投入、持续推广的业务，希望刑委会的各位同事能够一起努力。

总结发言

▲张元龙律师总结发言

德恒北京办公室合伙人、德恒刑委会副负责人张元龙律师，在 “侵犯公民个人信息罪的有效辩护与风险防范 —— 暨第二届网络和数字科技犯罪研讨会” 总结发言中指出，本次研讨会紧扣行业痛点与司法实践，各个主讲人的发言环环相扣，多维度合规整合，从辩护要点到防控实操形成完整指引；他强调，这些成果既为企业划定了刑事风险红线、提供了合规路径，也为司法实践中的有效辩护提供了参考，将切实助力网络和数字科技行业筑牢合规防线，实现健康发展。

▲参会人员合影