新农保认证多刷一次脸咋就被窃取了个人信息？

新农保认证多刷一次脸咋就被窃取了个人信息？

原标题：1.9万个农村老人实名认证网络账号被倒卖的背后——（引题）

新农保认证多刷一次脸咋就被窃取了个人信息？（主题）

农民日报·中国农网记者 李婧

“您对着手机上这个框眨眨眼……对，刷脸成功。您的认证程序就差最后一步，请到下一个房间。”2021年夏季的一天，在辽宁省西丰县某村的新型农村社会养老保险（以下简称新农保）待遇资格认证现场，一个佩戴“工作证”胸卡的年轻人给一位大爷完成认证后，又指引他到另一个房间，重复了一遍填写身份证号、刷脸的程序。“为啥折腾两回？兴许是怕咱把信息填错又核对了一次。”大爷离开时心里产生一丝疑惑，但并未深究。这时，房间外还有一些老年人在排队，十余个年轻人忙碌着。数月后，警方来调查时，村民们才知道重复认证的步骤果然有猫腻——这群年轻人确实为他们做了新农保认证，但同时秘密窃取了他们的个人信息，实名认证了百家号、抖音等平台账号，并通过出售账号获得巨额利润。

通过以上手段在他人不知情的情况下，使用他人个人信息认证账号的行为是否属于犯罪？在此案中，网络平台实名认证账号是否是侵犯公民个人信息犯罪中的“个人信息”成为焦点。

经过一年多的侦查、审理，法院宣判，谢某等人的行为构成侵犯公民个人信息罪。近日，该案入选最高人民检察院依法惩治侵犯公民个人信息犯罪典型案例。最高检第一检察厅负责人表示，该批典型案例体现了检察机关依法从严惩治侵犯公民个人信息犯罪的政策导向。

案件：多刷一次脸的猫腻

为了防止新农保养老金被冒领，相关单位需定期为农村参保人员进行待遇资格认证，以确认领取资格。随着新农保的逐渐普及，传统的人工登记面临极大挑战，各地均在探索更便捷的认证方式。

2020年，上海某科技公司（以下简称科技公司）针对新农保认证工作研发了一款具备快速注册和人脸识别功能的App。为推广该软件，科技公司与一些地方的相关单位进行合作，承担参保村民新农保认证工作。在合作单位的协调下，科技公司派员进村，协助农村参保老年人完成该软件的登录、实名认证等操作。

该案承办检察官、天津市宁河区人民检察院第二检察部一级检察官黄鹏介绍，谢某等人就是利用科技公司推广该App的机会，盗取大量参保村民的身份信息。

据介绍，“号贩子”李某事先将“白号”（即未实名认证的百家号、抖音等网络平台账号）提供给谢某，委托他进行实名认证。谢某获悉新农保认证事项后，主动联系科技公司东北片负责人，向其表示可免费承担认证操作工作，并获得许可。谢某随后组织杨某等10人前往吉林省辉南县、辽宁省西丰县和桓仁满族自治县等多地农村，协助参保村民完成App登录、认证等程序。参保村民在该流程完成后，会被指引到另一个房间完成“白号”认证、激活程序。参保村民并不知道最后的步骤与新农保无关。通过该方式，谢某等人实名认证大量网络平台账号，并出售给李某获利。经检察机关统计，最终被售出的实名认证账号达1.9万个。

黄鹏介绍，该团伙组织紧密，有一定逃避打击意识。“首先，他们在现场统一佩戴印着‘工作证’字样的胸卡，冒充正规公司的工作人员，迷惑参保村民；其次，他们组建工作微信群，群员每日在群内汇报工作量，由专人汇总当天激活的账号数量；第三，他们定期删除聊天记录，消灭证据。”

展开全文

宁河区人民检察院相关负责人表示，本案呈现产业化、链条化特征。“专业人员”批量获取公民身份信息，将其加工为信息物料后直接流入下游违法产业。谢某等人属上游信息窃取者，还有中游贩卖加工者，此外还涉及下游账号运营者。公安机关、检察机关在办案时坚持全链条打击、上下游深挖，该案最终有36名犯罪嫌疑人因侵犯公民个人信息罪被提起公诉。

焦点：账号算个人信息吗？

记者在采访中得知，该案受害人都是60岁以上、居住在偏远农村的老人。办理案件时，老人们问办案人员，“在网上刷个脸，这账号就值钱了？”办案人员介绍，大多数网络平台在运营规则中明确了普通注册账号和实名认证账号的区别。比如，普通账号不具备发布功能，实名认证号可做直播、发布视频等。所以一经实名认证，“白号”就被激活为具备发布功能和商业营销价值的账号。在本案中，李某委托谢某实名认证一个账号的费用只有十几元。李某转手卖给需要账号的营销者或者游戏账号运营者时，账号单价涨至二十多元。当该账号被运营为营销号时，至少价值八九十元，甚至超过百元。

实名认证账号能否被认定为公民个人信息，是本案的一个焦点问题。否定观点认为，《中华人民共和国个人信息保护法》第四条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。涉案账号登录后不能直接查看人脸、身份证号等具体内容，属于匿名化处理后的信息，不应认定为公民个人信息。肯定观点认为，通过实名认证，在账号与自然人身份之间形成了唯一性联系，使账号包含了公民（实名认证人）个人的姓名、身份证号码等具有较强识别性的公民个人信息基本要素，此时的实名账号具备了法律法规及司法解释规定的“公民个人信息”的本质属性，可以成为侵犯公民个人信息罪的犯罪对象。本案中账号买卖是通过微信以Excel表格进行交易，表单中包含账号名称、密码、注册人真实姓名、身份证号码、手机号等信息，是具有形式和实质内容的公民个人信息综合载体。

在天津市人民检察院的指导下，宁河区人民检察院经审查认为，涉案实名账号应当认定为公民个人信息。

“伴随着我国数字化程度的提高以及数字技术与社会生活深度融合，个人信息的应用价值和商业价值日益明显。本案大量涉案人员是专职的灰产从业者。这些人之所以批量贩卖相关实名账号，就是看中其背后数量的广泛性、来源的易得性及最终利润的丰厚性，这也是近年来各种侵犯公民个人信息违法犯罪行为急剧增长的重要原因。网络平台运营机制下，实名账号具有较高的经济属性，非法获取和利用实名账号，无论是对公民个人隐私保护，抑或个人信息的潜在商业价值，都会造成不利影响。认定涉案实名账号为公民个人信息，有利于打击犯罪。”黄鹏表示。

2022年，宁河区人民法院采纳检察机关全部指控事实和量刑建议，认定谢某等36人构成侵犯公民个人信息罪，分别判处其四年至六个月不等的有期徒刑。

溯源：检察建议堵住漏洞

公民个人信息泄露往往伴随着监管不力、履职不到位等深层问题。在本案中，检察机关亦发现相关单位存在管理疏忽及制度漏洞。比如，相关单位在委托科技公司进行新农保认证工作时，并没有对公司进行必要考察，也没有对公司的工作进行跟踪、督导。

以至于科技公司另行请他人代办认证，为村民个人信息大量泄露提供了条件，让不法分子钻了空子。“在该案中，因为科技公司与相关单位有合作，在办理新农保认证的过程中，有些村是由村干部用大喇叭广播的形式进行通知的，办理地点集中在村委会办公场所或附近。在我们调查时，有个别参保村民说，他们当时就对重复认证感到疑惑，但并没有明确提出质疑。”黄鹏介绍。

在结案后，宁河区人民检察院向县一级相关单位制发检察建议，就加强公民个人信息或隐私保护，杜绝个人信息泄露方面提出三点意见：

首先，建议相关单位在与相关公司合作时，加强资质审核及转委托监督，采集公民信息要充分明示，不得过度；对公司再行委托的行为要加强监督，杜绝任意转委托，要签署保密协议。

第二，加大新农保培训力度，规范工作流程，比如组织农村网格员、村干部等人员开展有关新农保实名认证联合培训，以便于相关人员熟悉操作流程，增强保密意识。

第三，增强安全意识宣传。以本地区实际发生的该类侵犯公民信息典型案例为切入点，以案释法提升村民防范意识。在办公场所显著位置摆放醒目提示语，联合属地相关机构开展保护个人信息主题宣传活动。提醒村民在被采集信息时，提高警惕，加强识别，拒绝权限不清、用途不明的采集行为。

宁河区人民检察院相关负责人表示，用科技手段取代人工方式进行新农保认证省事便捷，是未来的发展趋势。检察机关及时提醒相关单位加强该方面的工作，有助于堵住治理漏洞，促进形成保护公民个人信息的合力。

根据最高检发布的《关于印发检察机关依法惩治侵犯公民个人信息犯罪典型案例的通知》，谢某等人侵犯公民个人信息案在全面打击上下游犯罪、落实宽严相济刑事政策、注重诉源治理等方面都具有典型意义。