大型活动组织者法律风险之侵犯公民个人信息

体育赛事、演唱会、展会等大型活动组织者在筹备和举办活动过程中，会接触到大量个人数据信息，若处理不当，极易面临侵犯公民个人信息的法律风险。根据我国相关法律法规，此类行为可能涉及刑事、民事及行政责任‌。

一、行政责任‌：

根据《中华人民共和国个人信息保护法》第六十六条，违法处理个人信息可能被责令改正、给予警告、没收违法所得，并处最高五千万元或上一年度营业额5%的罚款‌，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。

根据《治安管理处罚法》第五十六条，违反国家有关规定，向他人出售或者提供个人信息的，处十日以上十五日以下拘留；情节较轻的，处五日以下拘留。窃取或者以其他方法非法获取个人信息的，依照前款的规定处罚。

‌二、民事责任‌：

根据《民法典》第一千零三十八条规定，信息处理者不得泄露、篡改个人信息，未经同意不得向他人提供，需采取技术措施保障信息安全，发生泄露时应及时补救并报告主管部门。信息处理者需对信息泄露承担侵权责任，包括赔偿损失、消除影响等‌。

三、刑事责任‌：

根据《中华人民共和国刑法》第二百五十三条之一，【侵犯公民个人信息罪】违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

（一）相关司法解释的规定：

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号）解释中明确，刑法该条文规定的“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

（二）刑事立案标准：

    非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”，应予以立案追诉：
    1、出售或者提供行踪轨迹信息，被他人用于犯罪的;
    2、知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的;
    3、非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
    4、非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
    5、非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
    6、数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的;
    7、违法所得五千元以上的;
    8、将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的;
    9、曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的;
    10、其他情节严重的情形。

（三）量刑标准：

    1、违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。
    2、违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照上述规定从重处罚。
    3、窃取或者以其他方法非法获取公民个人信息的，依照第1项的规定处罚。
    4、单位犯本罪，实施以上行为的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照以上各项规定处罚。

案例（一）：

【立案案由】：刑事|侵犯公民个人信息罪

【判例案号】：（2021）沪0101刑初290号

【裁判法院】：上海市黄浦区人民法院

【诉讼阶段】：刑事一审

【基本事实】：被告人马某某通过向他人购买等途径，非法获得大量展会展览商的公民个人信息，经其本人编辑整理后，在未获得当事人授权的情况下通过微信对外出售，并大量牟利。2017年7月至2020年6月期间，被告人马某某通过其名下微信账号“hzzy007”以每套公民个人信息200元至2,000元人民币不等的价格向龚某(另行处理)出售公民个人信息，共计获利人民币3万余元。

经盘石软件(上海)有限公司计算机司法鉴定所对涉案的马某某的手机及存储介质进行鉴定，从被告人马某某使用的苹果牌手机内提取到与微信好友“科N会展龚某”的公民信息记录共计24,618条。

【判决结果】：

被告人马某某犯侵犯公民个人信息罪，判处有期徒刑一年六个月，罚金人民币四万元。

通过向他人购买等途径，获取大量展会展览商的公民个人信息，经其本人编辑整理后，在未获得当事人授权的情况下对外出售公民个人信息，并大量牟利，构成侵犯公民个人信息罪。

案例（二）：

【立案案由】：刑事|侵犯公民个人信息罪

【判例案号】：（2020）沪0101刑初1038号

【裁判法院】：上海市黄浦区人民法院

【诉讼阶段】：刑事附带民事一审

【基本事实】：被告人肖某通过向他人购买等途径，获取大量展会展览商的公民个人信息，经其本人编辑整理后，在未获得当事人授权的情况下通过其个人QQ邮箱对外出售公民个人信息，并大量牟利。经盘石软件(上海)有限公司计算机司法鉴定所对涉案的肖某个人QQ邮箱进行鉴定，2015年11月起至2020年12月期间，被告人肖某向他人出售公民个人信息共计350,641条。

【判决结果】：

被告人肖某涛犯侵犯公民个人信息罪，判处有期徒刑三年，并处罚金人民币十万元。违法所得予以追缴，连同扣押在案的犯罪工具一并予以没收。

大型活动组织者在处理参与者个人信息时，必须严格遵守《中华人民共和国个人信息保护法》等相关法律法规的规定，采取切实有效的措施防范信息泄露风险‌。以下是根据法律要求和行业特点总结的防范措施：

一、合法合规处理信息

‌遵循最小必要原则‌：仅收集与活动直接相关的必要信息，避免过度收集‌。

‌明确告知义务‌：通过隐私政策或协议向参与者说明信息收集的目的、范围及使用方式，确保处理活动公开透明‌。

‌取得有效同意‌：在参与者充分知情的前提下，获取其自愿、明确的同意，不得通过误导或强制方式处理信息。

二、强化技术与管理措施

‌数据加密存储‌：对敏感信息（如身份证号、联系方式）进行加密处理，防止未经授权的访问‌。

‌访问权限控制‌：严格限制内部人员接触个人信息的范围，实行分级授权管理‌。

‌定期安全审计‌：检查网站及报名系统漏洞，及时修复风险，确保数据处理活动符合安全标准‌。

三、防范外部风险

‌合作方监管‌：与第三方服务商签订保密协议，明确其保护个人信息的责任，并监督其合规操作‌。

‌应急响应机制‌：制定个人信息泄露应急预案，一旦发生泄露，立即采取补救措施并向监管部门报告。

四、员工培训与意识提升

‌定期培训‌：组织员工学习《个人信息保护法》及典型案例，强化法律意识和责任意识‌。

‌明确责任‌：设立个人信息保护负责人，监督各项措施的落实，对违规行为追责‌。