刑法规定了侵犯个人信息罪，包括违法向他人出售或者提供公民个人信息，情节严重的行为；

违法在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人；

窃取或者以其他方法非法获取公民个人信息；

单位犯上述罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

今天的案例说明，即使单位未被起诉，其直接负责的主管人员和其他直接责任人员也会受到刑事处罚。

     涉案S公司是某新三板挂牌的数据服务提供商，主要业务涵盖数据采集、制作、交易等。

2019年2月19日，临沂市中级人民法院作出二审判决，21名被告均以侵犯公民个人信息罪判处十个月到四年六个月不等的刑期，并处罚金；

检察院没有将公司作为被告人。

21名被告中，6人是S公司的员工，包括公司高管和普通员工。

全案涉及数据和个人敏感信息的购买、管理、提取、加工、接收、存储、出售等多个环节。

1.柴某：原总办成员之一、公司首席运营官(COO)兼任金融产品线、营销产品线、人力行政部总监，负责公司整体运营、管理工作，分管金融产品线、营销产品线、人力行政部、战略创新部。

2.胡某：原营销产品部副总监，负责营销产品部；营销产品部又下设产品组、技术组、销售组。

3.揭某：原资源平台部总监。

4.吴某：原营销部技术组负责人。

5.李某1：原营销部产品组工作人员。

6.李某2：原金融产品线下的销售部人员。

1.营销产品线运营时，由资源合作部购进数据。

2.揭某所在的资源平台部负责对数据进行接收、整理、存储，将数据放入公司的大数据处理集群，并负责数据发送系统加密和解密程序的设计。

3.产品组提出要求，吴某所在的技术组根据要求，将集群上的数据根据用户的兴趣、爱好不同进行加工，分别打上不同的标签后，再放入公司集群。

4.销售组联系客户，客户将其数据需求发送至产品组的李某1，产品组让技术组在公司集群中提取符合条件的数据，再由产品组利用数据发送系统自动将数据发送给客户，其中带有设备号的数据由揭某通过系统自动加上SID（安全标识符，是标识用户、组和计算机帐户的唯一的号码，计算机使用 SID 来跟踪每个帐户）。

5.营销产品线设立之前，胡某担任产品部经理，负责将采购来的信息数据进行解析、加工、处理。

1.S公司以其南京子公司名义与济南某公司签订技术服务合同，从济南某公司购进数据（数据字段含有电话、位置、基站号、手机串号、时间、上网地址等），并将数据非法出售给客户进行精准营销。

2.2016年，S公司与扬州某公司签订数据许可协议（原营销部产品组工作人员李某1向原总办成员之一、公司首席运营官(COO)兼任营销产品线总监柴某汇报，并经柴某同意），扬州某公司主要业务是购买含有公民个人信息的数据，通过公司业务员联系客户，再统一发送进行非法售卖。协议约定：合同标的额为20万元，数据的价格为0.5元/条。

3.2017年，S公司以天津子公司名义与扬州某公司签订第二份协议（原营销产品部副总监胡某向继任营销产品线总裁何某2汇报后签订），合同标的额为50万元，数据的价格为0.08元/条。

4.截至案发，S公司共向扬州某公司交付包含公民个人信息的数据60余万条。

5.S公司提供给扬州某公司的数据主要是股票、基金、期货、贷款等方面感兴趣的人群。产品部发给扬州某公司的数据主要是房产类、汽车、旅游、金融、贷款等。

6.扬州某公司通过公司不同员工共计向客户发送公民个人信息168万余条。

7.本案还涉及S公司之外的其他公司和个人在社会售卖个人信息。

二审法院审理时认为，原审法院已向原公诉机关建议对S公司作为单位犯罪补充起诉，但原公诉机关未采纳。

依照《最高人民法院关于<适用中华人民共和国刑事诉讼法>的解释》第二百八十三条规定：

对应当认定为单位犯罪的案件，人民检察院只作为自然人犯罪起诉的，人民法院应当建议人民检察院对犯罪单位补充起诉。

人民检察院仍以自然人犯罪起诉的，人民法院应当依法审理，按照单位犯罪中的直接负责的主管人员或者其他直接责任人员追究刑事责任。

1.被告人柴某：S公司与扬州某公司签订第一份合同时，被告人柴某兼任营销产品线总裁，其对第一份合同具有审查、审核、决定权，虽然其对第二份合同未参与洽谈、直接审批，但其作为数据堂公司COO（首席运营官），负责公司的整体运营、管理工作，且分管营销产品线，对第二份合同应当知情；因此，在本案中应当认定其为直接负责的主管人员，属于主犯。 

2.被告人胡某：负责S公司与扬州某公司签订的第一份数据协议的具体履行，其时任该部门负责人，具有管理职责；在与扬州某公司签订第二份数据协议时，胡某又负责与扬州某公司进行协调、洽谈，之后由其负责的营销产品部进行数据的对接、提取和加工，应认定其为直接负责的主管人员，属于主犯。

3.被告人揭某：作为资源平台部总监，负责S公司购入原始数据的接收，其所在的部门负责将S购入的含有手机号码等敏感数据的公民个人信息数据发送到公司集群上，并安排手下将手机号码等敏感数据用SID替换、开发数据交付系统的加密和解密程序，并在被告人胡某向公司报告扬州某公司出事后，仍按照公司要求，安排手下将敏感数据全部删除。因此，被告人揭某在明知S公司购入的数据中包含手机号码等公民个人信息的情况下，作为资源平台部总监负责接、数据并对数据进行处理，其行为对于犯罪活动顺利完成提供了帮助，起到了一定的作用，应认定为其他直接责任人员，属于从犯。

4.被告人吴某：作为营销产品部下设的技术组负责人，负责对资源平台部放置到公司集群中的数据，根据手机用户的兴趣、爱好打标签，客户如有需要，产品组直接在集群中提取相关数据。在明知S公司购入的数据包括手机号码等敏感数据的情况下，其仍安排人对数据打标签，加工数据产品，其行为对于犯罪活动顺利完成提供了帮助，起到了一定的作用，应认定为其他直接责任人员，属于从犯。

5.被告人李某1 ：作为金融产品线员工，在S公司与扬州某公司最初接触过程中，代表公司最早负责与扬州某公司对接、沟通、洽谈，代表S公司与扬州某公司签订了第一份数据许可协议，其行为对于犯罪活动顺利完成提供了帮助，起到了一定的作用，应认定为其他直接责任人员，属于从犯。

6.被告人李某2：是产品组工作人员，负责和扬州某公司员工进行数据对接，在S公司与扬州某公司签订的两份数据协议的履行过程中，负责将扬州某公司发送的数据需求发送给被告人吴某所在的技术组，技术组提取完成数据产品后，其负责发送数据，其行为对于犯罪活动顺利完成提供了帮助，起到了一定的作用，应认定为其他直接责任人员，属于从犯。

公司人员是否构成犯罪，与公司业务、岗位和职责范围，犯罪时间和具体行为等综合因素有关；

高管在职责范围内，不能以某件工作没有亲自审批而免责；

其他员工不能以具体工作已经向公司领导汇报过而免责；

所以，本案虽然只是个人信息犯罪案件，对其他类型的涉及公司人员犯罪也有借鉴意义。

参考来源：

（2018）鲁13刑终549号判决书