案例引入
近期,某地公安机关网安部门成功破获一起特大侵犯公民个人信息案,全链条打掉房产家装领域信息泄露贩卖黑灰产团伙。经查,该团伙形成”源头窃取—中间倒卖—下游使用”的完整违法链条:不动产登记中心内部人员利用工作便利,非法导出并出售海量业主姓名、电话及房产详情;多名中间商层层加价倒卖;下游大量房产中介公司及家装公司从业人员批量购买上述信息用于电话营销。
本案涉案公民个人信息130余万条,涉案资金160余万元,公安机关共查获涉案人员56人。其中11名源头窃取者与核心倒卖中间商因涉嫌《刑法》第二百五十三条之一侵犯公民个人信息罪被依法采取刑事强制措施;其余45名下游非法购买、违规使用信息的房产中介及家装从业者,因违反《个人信息保护法》《网络安全法》相关规定,被依法予以行政处罚(警告、罚款、没收违法所得等)。
此案典型反映了当前房地产交易、家装装修行业”内鬼泄密+黑市倒卖+下游购买营销”的三级黑灰产生态,对相关企业及从业人员的刑事合规具有重要警示意义。
焦点分析
(一)业主房产信息属于刑法意义上的”公民个人信息”
根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条,姓名、电话号码结合房产坐落(可识别特定自然人),属于”公民个人信息”。业主委托中介挂盘时提供的联系方式,仅限于该中介履行居间服务使用,不等于授权向社会公开或向第三方转让,更不意味着允许批量倒卖或购买用于跨行业营销。
(二)”购买并使用”同样可构成侵犯公民个人信息罪
《刑法》第二百五十三条之一第三款明确规定,窃取或者以其他方法非法获取公民个人信息,情节严重的,构成犯罪。”非法获取”包括购买明知是违反国家规定收集、提供的公民个人信息。司法实践普遍认为:房产中介、家装公司从业人员花钱购买业主数据包用于营销,若达到”情节严重”标准(一般公民个人信息5000条以上,或违法所得5000元以上;敏感信息门槛更低),即涉嫌非法获取公民个人信息罪。
本案中下游45人被行政处罚而非刑事追责,系因其购买条数或情节未达刑事立案标准,但不代表”只买不用不犯法”——数量够即入刑。
(三)单位可构成侵犯公民个人信息罪,并实行”双罚制”
若公司决策层授意、默许或以公司资金购买业主信息用于经营活动,根据《刑法》第三十条、第三十一条,可认定单位犯罪,对单位判处罚金,并对直接负责的主管人员和其他直接责任人员判处刑罚。此前已有装修公司因出资购买数十万条业主信息被认定单位犯罪并判处罚金的典型判例。
(四)”内鬼”从重处罚,”中间倒卖”亦独立成罪
不动产中心、开发商、物业公司内部人员利用职务权限批量导出并出售信息,属《刑法》第二百五十三条之一第一款”违反国家有关规定,向他人出售或者提供公民个人信息”,且通常按”情节特别严重”(5万条以上或造成重大后果)考量量刑,法定最高刑可达七年有期徒刑。
(五)行政违法风险与民事侵权、公益诉讼风险并存
即便未达刑事标准,依据《个人信息保护法》第六十六条,非法购买、使用个人信息可处最高五千万元以下或上一年度营业额百分之五的罚款,并可责令停业整顿、吊销执照。此外,大规模信息泄露还可能引发检察民事公益诉讼。
实务指引
1. 建立数据分级与最小权限管理
对客户姓名、电话、房产信息等敏感数据标记分级,严格限制访问人员范围,实行账号与IP绑定、双因子认证。
禁止普通业务员拥有批量导出、下载权限;设置”非工作时间高频查询/批量导出”自动告警并留审计日志。
2. 规范信息收集与使用授权
收集业主信息应以”订立/履行合同所必需”为限,在《客户确认书》《居间服务合同》中以单独勾选方式取得明示同意,并告知保存期限与用途。
严禁将合法收集的信息转售、交换或无偿提供给第三方(含合作装修公司、金融机构),超出约定用途使用属”非法提供”。
3. 严禁购买外部”业主数据包”,清理存量不合规数据
公司制度须明文禁止员工以个人或公司名义向外部人员购买楼盘业主信息,违者按严重违纪解除劳动合同;已购入的数据包应立即停止使用和删除。
对新入职员工带入的”历史客户资源”进行合规审查,要求书面承诺来源合法,禁止直接使用来路不明的Excel/微信群转发数据包。
4. 签署保密协议与竞业限制/违约责任条款
与能接触客户数据的岗位(销售、客服、权证专员、IT管理员)签署保密及个人信息保护承诺书,明确泄露/倒卖信息的违约赔偿及刑事报案条款。
5. 定期开展全员合规培训与应急演练
每年至少组织一次《个人信息保护法》《刑法》第253条之一的专题培训,以本类案例警示”买信息也可能坐牢”。
制定《数据安全事件应急预案》,发生疑似泄露第一时间隔离账号、固定日志、评估影响并报监管,必要时聘请律师介入处置以降低刑事风险。
6. 第三方合作中的合规审查
与营销外包、电销团队、家装合作方签署数据处理协议(DPA),明确对方不得以任何形式自行收集或留存业主原始信息,违约承担全部法律责任。
如确有联合营销需求,应通过授权跳转、脱敏展示或业主二次明示同意方式操作,避免直接传输明文个人信息。
国启律师提示:房产与家装行业的精准营销需求不应以牺牲法律底线为代价。当前公安网安”一案双查”(既查泄露源头,也查购买使用方)已成常态,企业应将个人信息保护纳入日常合规治理体系。如贵司在数据合规审计、制度建设或涉案应对方面有需求,国启律师事务所刑事合规与数据保护团队可为您提供专项法律服务。
