2024年8月，山西省晋中市榆次区人民检察院在办理刑事案件中发现，周某某、陈某某于2023年通过非法手段获取辖区内1万余条未成年学生个人信息（含姓名、学校、年级、家长电话等敏感内容），并将信息交由太原某科技公司用于向学生家长发送私立学校招生推广短信。该科技公司作为接收方，在未履行任何告知义务的情况下：

1、未向学生监护人告知接收方名称、联系方式及处理目的，隐瞒信息被用于商业推广的实质；

2、未取得监护人单独同意，直接利用信息在两个月内发送推广短信200余万条；

3、变更信息使用方式，将原用于“教育管理”的信息转为“商业营销”，且未重新征得同意。

检察机关认定该行为违反《个人信息保护法》第23条（提供个人信息需告知接收方详情并取得单独同意）及第14条（变更目的需重新同意）。榆次区人民法院判决：

周某某、陈某某犯侵犯公民个人信息罪，判处有期徒刑八个月（缓刑一年）并处罚金1万元；

责令涉事方彻底删除信息，并在省级媒体公开赔礼道歉。

本案例揭示了个人信息提供方与接收方双重合规失守的核心问题，其违法本质在于漠视法律对信息流转的闭环管控要求：

一、告知与同意是信息合法流转的“法律闸门”。

《个人信息保护法》第23条明确规定，向第三方提供个人信息需告知接收方身份、目的及信息种类，并取得“单独同意”。本案中提供方（周某某等）未履行任何告知义务，接收方（科技公司）更将信息用于未声明的商业推广，直接突破“最小必要”原则，构成对信息自决权的系统性侵害。

二、流程断裂必然导致权利失控。

告知缺位：监护人因不知接收方存在，无法行使查阅、删除权；

同意虚置：未获授权即使用信息，剥夺监护人对子女数据的控制权；

变更隐匿：接收方擅自将“教育管理”转为“商业营销”，规避重新同意程序，致使单条信息被滥发超200次，远超合理限度。这与2023年某教育平台违规共享学生信息案（未告知接收方被罚300万元）逻辑一致——信息流转环节的透明度缺失是侵权规模化根源。

三、公益诉讼凸显“全链条追责”导向。

本案通过刑事附带民事公益诉讼实现三重规制：

1、责任穿透：既追究信息提供者刑责，又以公开道歉弥补个体维权不足；

2、行为矫正：强制删除信息阻断持续侵权，落实《未成年人网络保护条例》第20条“主动消除危害”要求；

3、行业警示：判决明确“商业推广非儿童信息合法使用场景”，为第三方合作划定红线。