作者:天达共和律师事务所李丽霞律师
2019年见证了个人信息保护执法和监管力度的加强,新闻媒体爆出了不少引发社会广泛关注的个人信息违规事件,据称多家“大数据”行业(包括简历大数据企业、互金行业部分企业以及近期爆出的涉及征信行业相关机构)接受监管机构调查。本文无意具体评论2019年的任何一个调查事件,并且由于尚未查阅到新闻媒体爆出的多起合规事件已结案例,因此,本文仅从理论上尝试初探个人信息违规事件可能引发的刑事责任风险。
一、 什么是个人信息保护违规?
个人信息,我国已经公布的各项法律法规以及其他规范性文件中并未对其作出整齐划一、完全相同的定义。但,总的来说,个人信息包括了能够单独或者与其他信息结合识别特定自然人个人身份以及个人行踪轨迹的各种信息,包括自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码、通信通讯联系方式、账号密码、财产状况、行踪轨迹¹,以及通信记录和内容、财产信息、征信信息、住宿信息、健康生理信息、交易信息等。²
无以规矩,不成方圆。本文所称的个人信息合规,指的是符合我国法律、行政法规、部门规章确立的收集、使用、处理、共享、转让个人信息的时候应当遵守相关规定。划定了个人信息保护合规的范围,也就确定了个人信息保护违规的范围。
以侵犯公民个人信息罪为例,我国刑法界定的违规指的是“违反国家有关规定”,根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,“违反国家有关规定”指的是违反法律、行政法规、部门规章有关公民个人信息保护的规定。违反前述规范性文件中设定的公民个人信息保护相关的规定,达到刑事法律规定的处罚标准的,可能最终导致承担刑事责任。
二、 现行法律、行政法规、部门规章设定的公民个人信息保护的要求
限于本文的篇幅,本文无意、亦无力将我国现行法律、行政法规、部门规章设定的公民个人信息保护要求一一罗列。概言之,我国的公民个人信息保护的合规要求包括以下几个方面:
(1) 确保在个人信息的整个生命周期中做到合规,即个人信息持有者收集、保存、应用、委托处理、共享、转让和公开披露、删除个人信息在内的全部生命历程中,做到符合适用的法律、法规、部门规章规定的合规要求。
(2) 在个人信息的整个生命周期,对个人信息的收集、处理以及对个人信息采取的其他行动获得了法律、行政法规等适用规范的法定授权,或者基于个人信息主体(个人信息所属/所对应的自然人)或法律法规规定的主体(如未成年人的监护人)的明确、清晰同意从而取得了其授权,并且,确保不超越授权范围。
(3) 就取得个人信息主体同意角度,具体而言是指有关主体收集、使用个人信息时,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。³
(4) 有关主体在个人信息的整个生命周期中,按法定要求采取了相应的技术措施和其他必要措施,保护个人信息的安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
(5) 未经被收集个人信息的主体同意,不得向他人提供个人信息。并且,国家禁止收集、限制收集、处理、使用或提供个人信息的,不得违反。根据有关主体所处的行业,确定受到规制的各项法律、行政法规、规章设定的义务,遵守强制性义务(比如关键信息基础设施网络运营者境内运营产生和收集的个人信息和重要数据必须存储在境内,因业务需要,确需向境外提供的,应履行国家规定的安全评估等手续),尤其是不得突破适用的法律、行政法规和规章设定的禁止性义务。
三、 刑事责任风险初探
从新闻媒体的报道来看,涉及合规调查的某些“大数据”企业,似乎主要牵扯到三个方面的违规问题,即个人信息来源合法性问题,存在非法使用、出售或提供给他人使用的情形,以及出现大量个人信息泄露的事件。
以上所述触发合规调查的问题点,主要涉及到侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪两大类罪(至于基于非法获取个人信息的具体技术手段或方式,会触发构成其他刑事犯罪的风险,比如非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪等,这在本文作者题为《网络爬虫技术是洪水猛兽吗?——浅谈其采集信息所涉相关法律问题》有谈及,本文不再赘述)。下文主要介绍侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪。
1.侵犯公民个人信息罪
《中华人民共和国刑法》第二百五十三条之一规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
窃取或者以其他方法非法获取公民个人信息的,依照该法条第一款规定予以处罚。
第二百五十三条之一还规定,构成单位犯罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
关于直接负责的主管人员和其他直接责任人员的认定,直接负责的主管人员,是在单位实施的犯罪中起决定、批准、授意、纵容、指挥等作用的人员,一般是单位的主管负责人,包括法定代表人。其他直接责任人员,是在单位犯罪中具体实施犯罪并起较大作用的人员,既可以是单位的经营管理人员,也可以是单位的职工,包括聘任、雇佣的人员。⁴
根据以上规定,非法获取个人信息,或者非法出售、提供个人信息的,符合我国刑事法律规定情形时,涉嫌构成侵犯公民个人信息罪。
(1)非法获取个人信息
“窃取或以其他方法非法获取公民个人信息”中的“以其他方法非法获取公民个人信息”,按照《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“侵犯公民个人信息案件司法解释”),指的是,违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的。
根据一些相关法律、行政法规、规章的规定,违反国家有关个人信息保护规定的情形大致包括如下:
a) 直接从个人信息主体处获取个人信息,但是,没有取得个人信息主体同意,或者超越同意的范围收集并使用⁵,或者即便个人信息主体同意提供,但违反国家有关强制性规定,采集禁止采集的个人信息。
b) 未经授权,通过某些技术手段进入他人计算机信息系统或通过其他方式从他人处获得包括公民个人信息在内的信息。比如,未经权利方同意,通过网络爬虫技术连接权利方平台的接口,接入权利人计算机信息系统,爬取个人信息。
c) 获得第三方授权,通过技术手段比如API接口等访问并获取第三方保存的个人信息,或者明知第三方个人信息来源违法或者明知第三方无权向该主体提供个人信息,依然接收该等个人信息。或者,虽第三方有合法权限提供该等个人信息⁶,但数据接收方超越授权范围获得该等个人信息。举个例子,第三方网络平台提供访问接口,授权获得平台内部分数据,访问方通过技术手段获取约定范围之外的数据;或者,授权方未约定访问数据的主体有权自行存储访问的个人信息,对访问的信息通过技术手段实现自行存储,属于超越授权的情形。
(2)非法出售、提供个人信息
未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。
(3)侵犯公民个人信息罪之 “情节严重”情形
根据侵犯公民个人信息案件司法解释,侵犯公民个人信息情节严重的,构成犯罪。下述情形属于“情节严重”情形⁷:
1) 出售或者提供行踪轨迹信息,被他人用于犯罪的;
2) 知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
3) 非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
4) 非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
5) 非法获取、出售或者提供第3项、第4项规定以外的公民个人信息五千条以上的;
6) 数量未达到第3项至第5项规定标准,但是按相应比例合计达到有关数量标准的;
7) 违法所得五千元以上的;
8) 将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
9) 曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
10) 为合法经营活动而非法购买、收受以上第3、4项规定以外的公民个人信息,具有下列情形之一的,利用非法购买、收受的公民个人信息获利五万元以上的;曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;
11) 其他情节严重的情形。
2. 拒不履行信息网络安全管理义务罪
根据《中华人民共和国刑法》第二百八十六条之一的拒不履行信息网络安全管理义务罪,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,符合法定情形的(包括致使用户信息泄露、造成严重后果的,以及有其他严重情节的),处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。
单位犯该罪,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前述规定处罚。
同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
(1) 保护个人信息安全的义务
《中华人民共和国民法总则》第一百一十一条规定,任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全。根据《中华人民共和国网络安全法》等法律法规,网络运营者即网络的所有者、管理者或网络服务提供者,应当采取措施确保网络及个人信息的安全。
从《中华人民共和国网络安全法》等法律法规角度,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,具体措施包括:
a)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
b)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;c)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
d)采取数据分类、重要数据备份和加密等措施等。
此外,网络运营者还要确保网络产品、服务符合国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
(2) 保存大量个人信息的主体,如果并非主动、非法将大量个人信息出售或提供给他人,但是却导致个人信息泄漏等安全事件时,经监管部门责令采取改正措施而拒不改正,符合刑事法规规定的,构成拒不履行信息网络安全管理义务罪。
《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(以下成为“2019年11月司法解释”)就拒不履行信息网络安全管理义务罪释明,刑法第二百八十六条之一即第一款规定的“监管部门责令采取改正措施”,是指网信、电信、公安等依照法律、行政法规的规定承担信息网络安全监管职责的部门,以责令整改通知书或者其他文书形式,责令网络服务提供者采取改正措施。
认定“经监管部门责令采取改正措施而拒不改正”,应当综合考虑监管部门责令改正是否具有法律、行政法规依据,改正措施及期限要求是否明确、合理,网络服务提供者是否具有按照要求采取改正措施的能力等因素进行判断。
2019年11月司法解释还释明了拒不履行信息网络安全管理义务罪中,下述任何情形之一构成“致使用户信息泄露,造成严重后果”:
1)致使泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以上的;
2)致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上的;
3)致使泄露第1项、第2项规定以外的用户信息五万条以上的;
4)数量虽未达到第1项至第3项规定标准,但是按相应比例折算合计达到有关数量标准的;
5)造成他人死亡、重伤、精神失常或者被绑架等严重后果的;
6)造成重大经济损失的;
7)严重扰乱社会秩序的;
8)造成其他严重后果的。
2019年11月司法解释还就什么情况构成“其他严重情节”作出释明,其他严重情节包括,二年内经多次责令改正拒不改正的,或致使信息网络服务被主要用于违法犯罪等。
除以上罪名外,取决于有关市场主体具体如何获取数据、如何使用数据,以及造成的后果等,还可能涉及其他很多罪名, 比如非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪、侵犯商业秘密罪等。
因此,由于符合特定情形时,个人信息保护合规问题会引发刑事责任风险,市场上相关从业者有必要在开展业务前,审慎评估业务开展的合规性,先做好合规工作部署,然后再依法合规开展业务。
¹《中华人民共和国网络安全法》第七十六条、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条。
² 由公安部、北京市网络行业协会发布的《互联网个人信息安全保护指南》第3.1条
³《中华人民共和国网络安全法》第四十二条规定“经过处理无法识别特定个人且不能复原的除外。”
⁴《最高人民法院关于印发〈全国法院审理金融犯罪案件工作座谈会纪要〉的通知》(法[2001]8号)(一)“关于单位犯罪问题”
⁵本处及下文的“使用”指的是个人信息生命周期中除收集这个环节之外的其他流转环节。
⁶对于从第三方授权提供的个人信息角度,目前法律法规对于信息接收方对信息提供方有无合法权限获得并向其提供个人信息进行审查的深度并无明确规定,是实务中认定违法获取个人信息的一个难点。从刑事责任风险角度,很显然,还需国家有权机关予以释明,或者取决于具体办案中,有关司法机关如何认定。作者认为,如果明知信息提供方违法获取个人信息或者没有合法权限将个人信息提供给接收方,接收方仍然接收个人信息,是不合规的,不排除引发刑事责任风险的可能性。当然,这有待司法实践印证作者观点是否正确。
⁷《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条。
声明:以上所刊登的文章仅代表作者本人观点,不代表天达共和律师事务所或其律师出具的任何形式之法律意见或建议。如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并注明出处。未经本所书面同意,不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
(声明:本文系作者授权新浪转载,文章仅代表作者观点,不代表新浪网立场。)
