以为脱敏就安全？技术还原手机号卖钱，构成侵犯公民个人信息罪！

2024年至2025年期间，凌某作为某科技公司实际控制人，为谋取非法利益，明知脱敏数据受法律保护、不得擅自还原及出售，仍以公司名义与某通信公司开展大数据合作，约定由通信公司向其提供经脱敏处理的用户相关数据，用于公司运营的APP相关业务，双方明确约定脱敏数据仅可用于合规业务场景，不得进行还原、泄露或出售。

根据合作约定，通信公司向凌某的科技公司返回的脱敏数据，已对用户手机号码等核心个人信息进行加密变形处理，无法直接识别特定自然人，仅保留数据的业务属性，目的是在保障用户个人信息安全的前提下，满足凌某公司的业务数据需求，符合《个人信息保护法》中关于数据脱敏、安全使用的相关要求，此类脱敏处理方式与实务中常见的保序加密、指数化处理等合规方式一致，旨在实现数据利用与隐私保护的平衡。

但凌某为实现数据“变现”，无视合作约定及法律规定，纠集公司员工何某、张某、陈某等人，分工协作，通过技术手段破解脱敏数据的加密算法，将通信公司返回的脱敏数据逐一还原为可直接识别用户身份的明文手机号码，形成包含大量公民个人信息的数据库。其中，凌某统筹全局，负责决策数据还原及出售事宜，对接下游收购方；何某负责技术破解，承担脱敏数据转明文的核心操作，其破解手段与同类案件中“指数还原”“加密破解”等非法技术手段类似；张某负责整理、存储还原后的明文数据，搭建数据传输通道，规避监管核查；陈某负责对接下游商家、催收机构等收购方，洽谈出售价格、结算款项，形成“获取脱敏数据—技术还原—打包出售—获利分赃”的完整犯罪链条。经查，截至案发，该团伙累计将数万条脱敏数据还原为明文手机号码并出售，非法获利共计68万余元，违法所得由凌某主导分配，部分用于公司运营，部分被四人瓜分，其行为严重侵犯了公民个人信息权益，扰乱了数据安全管理秩序，与同类非法数据交易黑灰产的作案模式高度一致。

法院依法公开审理本案，经审理查明，本案事实清楚、证据确实充分，凌某公司及凌某等四人非法还原脱敏数据为明文手机号码并出售，非法获利68万余元，情节特别严重，其行为均已构成侵犯公民个人信息罪，依照《中华人民共和国刑法》第二百五十三条之一第一款、第二款，第二十五条第一款、第二十六条、第二十七条，以及最高人民法院、最高人民检察院相关司法解释规定，作出如下判决：

1. 判令被告凌某公司犯侵犯公民个人信息罪，判处罚金人民币50万元；

2. 判令被告人凌某犯侵犯公民个人信息罪，判处有期徒刑三年三个月，并处罚金人民币15万元；

3. 判令被告人何某犯侵犯公民个人信息罪，判处有期徒刑二年六个月，并处罚金人民币8万元；

4. 判令被告人张某犯侵犯公民个人信息罪，判处有期徒刑二年三个月，并处罚金人民币6万元；

5. 判令被告人陈某犯侵犯公民个人信息罪，判处有期徒刑二年，并处罚金人民币5万元；

本案中，通信公司提供的脱敏数据已对手机号等核心信息进行加密变形，属于《个人信息保护法》规定的去标识化数据，这类数据虽无法直接识别自然人，但并非绝对匿名化，仍受法律严格保护，严禁未经授权的还原、泄露或出售。凌某等人明知脱敏数据受法律保护，仍通过技术手段破解加密算法并还原为明文手机号，本质上属于非法获取、非法出售公民个人信息的行为，直接触犯《刑法》第二百五十三条之一，构成侵犯公民个人信息罪。法院认定本案犯罪情节特别严重，主要依据三点：一是涉案数据累计还原并出售数万条可直接识别的手机号，属于高度敏感个人信息；二是违法所得达 68 万余元，远超司法解释规定的 “情节严重” 标准；三是行为人形成了 “获取 — 还原 — 出售 — 分赃” 的完整数据黑灰产链条，严重侵犯公民隐私、扰乱数据安全管理秩序，依法应适用加重刑罚。法院明确：未经授权破解、还原脱敏数据为明文个人信息并出售，情节特别严重，构成侵犯公民个人信息罪，企业与直接责任人一并追责。随着数据合规趋严，企业数据合作、脱敏数据使用、数据变现环节极易触碰法律红线，zhenggui.com可提供数据合规全流程咨询、脱敏数据安全使用、数据交易风险防控、刑事合规应对等专业法律服务，助力企业规避法律风险。

数据合规已成为企业生存发展的核心要件。本案判决再次强调：数据合规不是 “可选项”，而是 “必选项”。企业开展数据合作、数据变现时，必须确保合法、正当、必要中华人民共和国最高人民检察院，严格遵守《个人信息保护法》《数据安全法》《刑法》等规定，杜绝任何形式的非法数据还原、泄露、出售行为。

对于企业而言，建立完善的数据合规体系、开展常态化合规培训、引入专业法律支持至关重要。zhenggui.com专业为企业提供法律咨询、合规方案（包括但不限于劳务、财务、知产、股权结构、业务模式与调查应对等方面的合规）等法律中介服务，有需要联系我们。企业应主动排查数据业务风险，建立事前合规审查、事中过程管控、事后应急处置的全链条合规机制，避免因数据违法陷入刑事、民事、行政三重追责的法律风险。

本案判决明确了数据合规的司法尺度，对所有涉及数据业务的企业具有强烈警示意义：数据变现必须以合规为前提，任何试图通过非法手段突破法律红线的行为，终将受到法律的严惩。