“网络开盒”的刑事边界与数据合规必修课

2026-04-02

近日，最高人民检察院在“检护民生”专项行动中发布的林某武等人“网络开盒”侵犯个人信息案。这起涉案公民个人信息超6亿组、搭建“社工库”提供开盒服务、利用境外群组扩散违法信息的复合型刑事案件，不仅明确了“网络开盒”的刑事风险，更向所有数据处理企业敲响了数据合规的警钟。

作为深耕合规与刑事辩护领域的律师，本文将从案件核心事实出发，剖析网络开盒的犯罪本质与辩护思路，并结合司法实践为企业搭建全维度数据合规体系提供实操建议。

一、“网络开盒”相关犯罪事实分析

所谓“网络开盒”，即通过非法手段获取并公开他人个人信息，现已成为网络暴力、线下滋扰的源头。

本案是典型的“网络开盒”复合型刑事犯罪，5名被告人分工明确，三步构筑网络开盒的非法链条，形成了从非法获取公民个人信息到搭建社工库提供开盒服务，再到利用境外平台煽动网络暴力的多重犯罪行为。

（一）非法获取海量个人信息

2023年至2025年间，主犯林某武通过加密通讯工具非法获取6亿余组公民个人信息，王某康、刘某彪等共犯分别获取3亿余组、1500余万组不等，甚至包含400余组住宿信息等敏感数据，所有信息均通过虚拟货币交易出售牟利，刻意规避监管。

（二）搭建非法个人信息库实现开盒服务

2025年，林某武等人将1.7亿余组非法信息搭建为“社工库”网站，累计提供信息查询服务1300余次，网站访问量达10余万次，实质为网络开盒提供核心数据支撑。

（三）境外群组扩散违法信息

林某武等人利用境外加密通讯工具设立群组，在2000余名群成员中持续发布侵犯隐私、谩骂侮辱信息；孙某恒、刘某彪作为管理员，将违法信息转发至其他犯罪群组，覆盖成员共计10万余人，实现了违法信息的跨境扩散。

二、“网络开盒”的定罪和辩护要点

（一）北京检察机关以侵犯公民个人信息罪和非法利用信息网络罪对5名被告人提起公诉，案例中重点提及以下实体法律问题：

第一，侵犯公民个人信息罪中的“情节特别严重”。林某武等人非法获取、出售公民个人信息数据，并将其中1.7亿余组数据搭建为“社工库”网站，向不特定用户提供查询服务，牟取非法利益。上述行为已完整涵盖《刑法》第二百五十三条之一规定的“非法获取”“向他人出售”“非法提供”等行为类型。根据两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条，非法获取、出售公民个人信息达到五千条以上即属“情节严重”，五万条以上则属“情节特别严重”，需从三年以下有期徒刑或者拘役，并处或者单处罚金升格至三年以上七年以下有期徒刑，并处罚金。本案中，行为人获取的数据量远超上述标准，被认定为“情节特别严重”。

同时，在数据敏感程度上，孙某恒非法获取的公民个人信息中，包含“住宿信息400余组”。根据前述司法解释第五条，住宿信息属于“可能影响人身、财产安全的公民个人信息”，五十条以上即构成“情节严重”，五百条以上即属“情节特别严重”。检察机关据此对孙某恒一并认定侵犯公民个人信息罪，体现了对敏感信息的从严惩处。

第二，非法利用信息网络罪的适用。本案中，林某武等人还存在利用境外加密通讯工具设立群组，在群内持续发布侵犯隐私、谩骂侮辱等违法犯罪信息的行为。同时，刘某彪、孙某恒等人作为群组管理员，协助维持群组运行并将违法信息转发至其他同类群组，其他相关群组成员共计10万余人。

根据《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第十条，（四）发布有关违法犯罪的信息或者为实施违法犯罪活动发布信息，向群组成员数累计达到三千以上的通讯群组发送有关信息的，应当认定为“情节严重”。上述人员的行为已构成《刑法》287条之一规定的非法利用信息网络罪。

站在打击“网络开盒”犯罪产业链的角度，该罪名或将成为该领域内的常见罪名，对最终量刑产生实质性影响。

第三，侵犯公民个人信息罪和非法利用信息网络罪的“并罚”。本案中，林某武等人非法获取、出售个人信息数据之时已构成侵犯公民个人信息罪，在通讯群组内发布侵犯隐私、侮辱等违法犯罪信息，进一步促进以上违法犯罪活动的传播。该两起犯罪事实分别涉嫌题述两项罪名。

对于罪名的适用，检察机关的主张是“两罪并罚”。结合刑法理论来看，其主要理由为：从法益层面来说，侵犯公民个人信息罪法益为公民个人信息安全，非法利用信息网络罪法益为网络空间秩序。从行为阶段层面来说，侵犯公民个人信息罪的行为完成于信息被非法获取、出售或提供之时；而非法利用信息网络罪的行为发生在信息获取之后，表现为利用网络平台传播违法信息、聚集违法犯罪人员。两起犯罪事实相对独立，所造成的危害后果严重，且明显缺乏竞合、连续或牵连的特征，只有分别作出否定性评价，才能实现“罪刑相适应”。

第四，主从犯的区分认定。主从犯的区分，关键在于各被告人在共同犯罪中的地位与作用。在本案中，地位和作用主要考虑以下几个方面：其一，是否参与非法获取、提供公民个人信息，以及获取信息的数量多少、类别、敏感程度；其二，是否参与社工库的搭建以及数据库中的公民个人信息数量、行为人利用网站非法提供公民个人信息的次数、网站访问人次；其三，是否参与通讯群组的设立与管理，该群组成员人数、其他相关群组人员人数、行为人在群组中是否具有管理权限；其四，在犯罪活动中的获利金额与分配方式，以及是否存在组织、指挥行为。

本案中，林某武全程非法获取个人信息6亿余条、主导搭建社工库并运营，担任群组管理员设立境外通讯群组发布违法犯罪信息，主导全部核心环节，对犯罪事实具有绝对支配力。王某康获取3亿余组信息、与林某武共同主导社工库搭建，共同主导核心环节，系犯罪的核心参与者。刘某彪获取信息1500余万组，同时担任境外群组管理员，但未参与社工库的搭建与运营。孙某恒获取住宿信息400余组、其他信息900余组，担任群组管理员并转发信息，但未参与社工库搭建。王某仅参与网站搭建、设立通讯群组。

从法理层面分析，共同犯罪中“作用”的认定，本质上是对行为人对犯罪事实的因果贡献程度的评判。“网络开盒”系非法获取公民个人信息、网络暴力、侵犯隐私等复合型违法犯罪活动，不同环节的行为对犯罪结果的贡献具有结构性差异。非法获取公民个人信息属于源头环节，这一环节是“开盒”相关犯罪的起点；社工库搭建与运营属于核心环节，将零散信息转化为公开可查询数据库，大大扩展了个人信息泄露范围；设立通讯群组传播违法犯罪信息属于末端环节，为其他违法犯罪活动广泛宣传、招揽客户，煽动实施网络暴力、骚扰、线下滋扰等违法犯罪行为。

每一环节对犯罪结果的因果贡献不同，责任也应当有所区别。具体到本案，林某武参与全部环节，王某康非法获取公民个人信息数量仅次于林某武，且与其共同主导社工库搭建，参与两大核心环节，因此对犯罪进程的支配力较强，对法益的侵害较为直接，应认定为主犯。刘某彪、孙某恒、王某参与的环节相对较少、对犯罪进程的控制力相对较弱，其行为虽对犯罪结果的发生具有因果贡献，但属于次要或辅助作用，依法应认定为从犯。

（二）进入法院审理阶段，律师辩护要点建议

1.证据方面，需重点核查电子数据取证的真实性、合法性。本案中，检察院重点关注全案证据链条的真实性、合法性，并强调形成全案完整证据链条。在前期侦查阶段，检察院联合公安利用技术手段及时固定境外服务器及通讯工具中的大量电子数据，确保电子数据的来源原始性、载体真实性。此后，检察官联合数据审查员，采取抽样核验、数据去重、关联分析等方法，固定核心数据库规模、信息流转路径及非法提供次数，确保证据的合法性。

对此，辩护人可以从此入手开展辩护。本案中电子数据来源于境外服务器及加密通讯工具，辩护人可审查材料来源、提供人、提供时间以及提取人、提取时间等，对于来源不明的境外证据或取证程序无法核实，可以主张该证据不作为定案根据。检察机关在审查起诉阶段采取抽样核验方法固定核心数据库规模，辩护人可对应审查，抽样比例是否合理、抽样方法是否随机、抽样样本能否代表总体特征，若抽样结果显示存在较高比例的虚假、重复或非个人信息数据，应主张全案数据需按比例核减，或至少将存疑部分排除。对于检察机关的数据去重处理，辩护人应审查去重标准与效果。同一信息可能以不同形式重复出现，如手机号与身份证号对应同一人，可能导致数据数量被不合理高估。辩护人可申请对去重过程进行技术审查，或聘请专家辅助人出庭发表意见。

2.罪数方面，区分被告人的具体行为，基于具体行为并结合“罪数”相关裁判规则和理论，提出一罪的辩护观点。检察院同样注重避免重复评价，强调准确评价各犯罪嫌疑人的犯罪行为。因此，辩护人可以从罪数入手，对于发布侵犯个人信息的违法犯罪信息与出售个人信息两种行为，可主张成立手段与目的的牵连犯关系，应择一重处。例如，刘某彪非法获取公民个人信息1500余万组，同时担任境外群组管理员，发布侵犯隐私信息。辩护人可主张，刘某彪获取信息的目的是在群组中发布，发布行为是获取行为的自然延伸，二者具有手段与目的的牵连关系，成立牵连犯，应择一重处。

3.量刑情节方面，重点挖掘被告人的从轻、减轻情节，包括属于从犯、自首、认罪认罚、退缴违法所得、认罪悔罪、初犯偶犯等。在主从犯的区分中，辩护人可结合被告人在共同犯罪中的具体分工、参与时间、获利金额、决策影响力等事实，论证其属于从犯，争取从轻、减轻处罚。例如，王某仅参与网站搭建，未参与信息获取与群组管理，应主张其作用最为边缘，系从犯，且可争取较大幅度的从宽处罚。本案中存在被告人现身说法、主动反思的情节，辩护人可据此主张被告人主观恶性较小、有悔罪表现，争取量刑从宽。另外，辩护人还应从全案量刑均衡的角度，提出辩护意见。例如，主张刘某彪、孙某恒、王某三人的作用依次递减，量刑亦应体现相应的梯度，避免“一刀切”式的从犯处罚。

三、本案所引发的数据合规“警示录”

虽然本案被告人是外部“黑客”或“开盒”实施者，但我们需要追问：那数亿条个人信息从何而来？这些数据的大量泄露，往往来自企业内部的数据防护薄弱环节或管理流程中的合规漏洞。无论是员工违反规定导出客户信息进行非法倒卖，还是系统存在的技术漏洞被外部攻击者利用，企业在事实上构成了数据保护链条中的第一道防线。一旦这道防线失守，其影响将不仅限于自身，更会向下游的黑灰产链条输送“原料”，从而成为整个违法犯罪活动的基础环节。基于此，相关企业虽非刑事案件的直接被告，却极有可能因其管理失当而触发多方面的法律责任，具体可从刑事、行政、民事三个维度进行审视。

刑事风险：如果企业未履行《个人信息保护法》规定的信息网络安全保障义务，导致个人信息泄露，且存在拒不履行信息网络安全管理义务、经监管部门责令改正而逾期未整改等情形，可能构成拒不履行信息网络安全管理义务罪。

若企业员工利用职务便利，将其合法接触或掌握的公民个人信息非法出售或提供给“开盒”团伙，则该员工个人将直接构成侵犯公民个人信息罪；而在特定情形下，若企业对此类行为疏于监管、默许甚至纵容，司法机关亦可能结合具体证据，认定企业追究其直接负责的主管人员的刑事责任或认定企业构成共犯。

行政风险：根据《个人信息保护法》，违规处理个人信息可处以最高5000万元或上一年度营业额5%的罚款，并可责令暂停相关业务、吊销执照。本案中检察机关协同网信、工信等部门联合办案，亦反映出未来涉数据安全领域的行政执法将呈现多部门协同、常态化监管的趋势，企业面临的合规压力与违规成本相应增加。在此背景下，企业面临的不仅是单一的罚款风险，更需应对多部门联合检查、信息共享与线索移送所带来的持续性合规压力。一旦发生数据泄露事件，企业不仅可能面临高额罚款，其业务也可能因责令停业或吊销许可而受到实质性影响。

民事风险：依据《中华人民共和国民法典》及《个人信息保护法》的相关规定，个人信息权益受侵害的个人，有权向信息处理者请求损害赔偿。若企业无法证明其不存在过错，即应对用户因此遭受的损失承担侵权赔偿责任。因此，企业因个人信息泄露致使用户权益受损的，在个体诉讼方面，可能需要对用户承担侵权损害赔偿责任，同时可能面临集体诉讼或消费者权益保护组织提起的公益诉讼。大规模数据泄露事件往往引发广泛的民事索赔，对企业声誉及市场竞争力造成长期不利影响。因此，从民事责任的视角来看，数据安全已不仅是法律合规问题，更是影响企业持续经营与市场地位的核心要素。

四、企业构筑数据合规防线的六大核心举措

面对上述三重风险，企业需提前搭建全流程的数据合规体系，既防范自身成为数据泄露的源头，也避免因监管不力承担法律责任。

（一）坚守“合法、正当、必要”原则，源头规避风险

企业在收集用户个人信息时，需高度谨慎，在收集过程前，需制定个人信息收集清单，明确收集目的、范围、方式并向用户明确说明，严禁超范围收集敏感个人信息，如身份证号、住宿信息、行踪轨迹等。在收集过程中，注重通过隐私政策、用户协议等形式获取用户明确、可撤回的同意，并对同意过程进行留痕。在收集过程后，定期开展数据收集合规审查，及时清理不必要的用户信息，避免“数据囤积”带来的泄露风险。

（二）筑牢数据安全屏障，防范泄露风险

对于已经收集的用户个人信息，企业需加强内部风险防控管理，增强数据安全意识，谨防非法获取或信息泄露。具体操作上，可对用户个人信息进行分类分级管理，并予以加密存储，敏感信息采取不可逆脱敏处理，防止原始数据泄露。在内部信息权限上，建立严格的访问权限管控机制，遵循“权限最小化”原则，按岗位分配数据访问权限，对核心数据设置多人审批流程，同时记录所有访问行为并留存日志。在内部风控上，部署异常行为监测系统，对高频查询、非常规时间访问、数据批量外传等行为进行实时预警，及时发现非法获取行为。

（三）进行数据流程管理，建立全周期管控体系

企业需建立使用审批流程，对数据的使用目的、范围进行严格审核，严禁将用户信息用于未获授权的场景，并对使用行为进行全程日志记录。涉及对外提供个人信息时，需对接收方进行资质审查，签订数据保护协议，提前对数据进行脱敏处理，并注重传输过程中的安全，谨防数据泄露。对于废弃数据，建立过期数据定期销毁机制，对销毁过程进行留痕，防止废弃数据被非法利用。

（四）平台应主动履行信息管理义务，加强平台生态治理

平台应建立常态化的违法信息排查机制，重点排查平台内查询、网络开盒、侵犯隐私等相关信息，及时删除侵权内容、封禁违规账号。针对境外平台的违法信息向境内蔓延的情况，建立与监管部门的信息共享与协同处置机制，及时移送相关线索。面向用户，设立便捷的用户投诉举报渠道，对用户反映的个人信息泄露、网络开盒问题快速响应、核查处理。

（五）强化员工合规意识，防范内部泄密

开展数据合规专项培训，以本案为典型，提升员工的法律意识和信息保护意识。针对高管、技术部门等高权限岗位，实施定期权限审查与岗位轮换制度，降低内部人员滥用权限、泄露数据的风险。畅通匿名举报渠道，鼓励员工举报数据违规行为，对违规行为严肃处理，形成合规震慑。

（六）建立数据泄露应急处置预案，及时阻断风险

企业应制定数据泄露应急处理流程，明确泄露后的溯源、止损、通知、报告等环节的责任主体和操作标准。一旦发生数据泄露，立即开展溯源调查，及时采取措施阻断泄露渠道，同时按照法律规定向监管部门报告，并通知受影响用户。此外，应建立与律师、司法鉴定机构的合作机制，在发生数据泄露时及时获取专业法律支持，防范民事、行政甚至刑事风险。

五、结语

林某武等人“网络开盒”案的披露，不仅彰显了司法机关严惩侵犯公民个人信息犯罪、维护网络空间秩序的决心，更向所有企业传递了明确信号：网络不是法外之地，数据合规没有退路。

在数字经济时代，公民个人信息是重要的民生安全保障，而企业作为数据处理的主体，肩负着保护用户信息安全、维护网络空间法治的重要责任。对于企业而言，数据合规不再是“可选动作”，而是生存底线。唯有将数据合规融入企业运营的全流程，从技术、流程、人员、监管等多维度构筑坚实的合规防线，才能既防范自身的法律风险，也为构建法治化的网络治理体系贡献力量。

本文基于最高人民检察院发布的典型案例进行分析，旨在为企业提供数据合规参考，不构成正式法律意见。具体问题请咨询专业律师。

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。