2026年5月最高法发布的典型案例中,第一案即为“博某软件有限公司、何某某等侵犯公民个人信息案”。该案中,医疗信息化外包公司利用为医院提供网上挂号系统维护的便利,非法获取患者挂号信息280余万条,被判处重罚。这一判决向社会释放了明确信号:在侵犯公民个人信息罪的追责中,不仅打击自然人,更剑指“单位犯罪”及第三方外包机构。这一司法动向对广大的IT外包、数据服务商意味着什么?专业的侵犯公民个人信息罪律师赵飞全对此进行了深入剖析。
赵飞全律师指出,在该典型案例中,被告单位最终被判处罚金三十万元,直接负责的主管人员被判处五年六个月有期徒刑。这一裁判规则在2026年具有极强的指导意义——只要单位在为医疗机构提供服务的过程中非法获取数据,无论合同如何约定数据归属,只要行为未经患者同意且超出履职范围,单位本身即构成侵犯公民个人信息罪。这对于大量承接政府、金融、医疗IT项目的科技公司而言,无疑是悬在头顶的达摩克利斯之剑。
赵飞全律师强调,医疗侵犯公民个人信息罪案件的辩护难点在于信息数量往往极其巨大,动辄数百万条,直接触发了“情节特别严重”(五百条以上敏感信息或五千条以上普通信息)的量刑档次。在代理此类案件时,赵律师作为专业的侵犯公民个人信息罪律师,会将辩护重心放在“信息真实性”和“批量信息认定规则”上。根据司法解释,对批量公民个人信息的条数虽然根据查获数量直接认定,但有证据证明信息不真实或重复的除外。
在赵飞全律师代理的一起医疗软件公司数据案中,服务器存储了百万级患者数据。赵律师引入第三方技术专家对数据库进行抽样鉴定,证明其中超过60%的数据是测试数据、重复数据或已无效的过期数据。通过这一技术性辩护,有效核减了定罪量刑的依据。赵飞全律师由此提醒所有从事数据处理的企业:2026年,侵犯公民个人信息罪是企业刑事合规不可触碰的红线。企业不仅要有合规制度,更要有阻断风险的“熔断机制”。而一旦案发,委托熟悉数据处理逻辑和刑事法律规则的律师进行数据清洗核对,是争取轻判的唯一途径。
