【基本案情】

2015年至2020年间，被告单位博某软件有限公司负责为某医院开发、维护网上挂号系统，被告人何某某系公司法定代表人。在提供服务过程中，何某某暗中收集从后台非法获取的该医院挂号用户相关个人信息，并安排公司员工被告人熊某、罗某某将所获取的信息数据导入公司自建数据库。2021年初，熊某又安排人员在为该医院开发的软件上安装接口，自动将挂号用户个人信息导入公司自建数据库。案发后，在公司服务器、自建数据库及何某某家中设备内均提取到包含有挂号用户的个人信息，数据去重后合计2878 070条。

【裁判结果】

江苏省无锡市锡山区人民法院审理认为，被告单位博某软件有限公司在提供服务过程中非法获取公民个人信息，情节特别严重，已构成侵犯公民个人信息罪，应依法惩处。被告人何某某等人为被告单位直接负责的主管人员和其他直接责任人员，均已构成侵犯公民个人信息罪。综合本案事实、情节、后果等，对被告单位博某软件有限公司以侵犯公民个人信息罪判处罚金人民币三十万元；对被告人何某某等人以侵犯公民个人信息罪判处有期徒刑五年六个月至一年六个月不等，并处罚金人民币十万元至一万元不等。

【典型意义】

针对医疗信息、患者隐私等个人信息犯罪案件高发，应强化医疗机构数据安全体系建设，严厉打击泄露、非法获取患者医疗信息犯罪。互联网企业在为医疗卫生领域提供服务过程中，应当严格依照法律法规、企业经营范围、合同约定及隐私协议等，在服务和授权范围内合理合法地处理公民个人信息。互联网企业利用为医疗机构提供服务的便利，非法获取患者信息、医疗数据的行为，属于《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第四条规定的在“提供服务过程中收集公民个人信息”的情形，情节严重，应依法惩处。人民法院追究被告单位和直接负责的主管人员、其他直接责任人员的刑事责任，同时适用财产刑，体现了依法从严惩处的态度。

——《人民法院依法惩治侵犯公民个人信息犯罪及关联犯罪典型案例》之一