作者:第一财经
5月9日,最高人民法院、最高人民检察院首次就打击侵犯个人信息犯罪出台《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“司法解释”)。其对侵犯公民个人信息罪、非法购买和收受公民个人信息的定罪量刑标准以及相关法律适用问题进行了系统规定。
“该司法解释在一定程度上会影响金融业格局,尤其对于经营‘与个人信息相关’业务的金融企业,包括大数据、个人征信企业等产生重大影响”,大成律师事务所合伙人肖飒律师对第一财经记者表示。
空前保护个人信息
该司法解释对《刑法》二百五十三条作出了详细说明,并从“公民个人信息范围”、“情节严重认定标准”、“严打内鬼”、“非法购买”、“收受个人信息获利”等方面对该条款作出详细解释。
“由于近几年电信诈骗等利用个人信息欺诈案件频发,此次司法解释出台是对规范行业、打击信息犯罪、维护个人信息权利提供了进一步保障,” 中伦律师事务所(上海)非权益合伙人肖波律师对记者表示。
根据我国刑法规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。窃取或者以其他方法非法获取公民个人信息的,依照前款的规定处罚。
此次发布的司法解释首先明确了“公民个人信息”的范围,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
最高人民法院研究室主任颜茂昆表示,“对于列举以外的个人信息还有很多,司法实践中要根据司法解释第一条的规定,把握‘公民个人信息’的要件特征,准确作出判断。”
对于刑法中“情节严重”的认定标准,此次司法解释也明确规定了十种情形。包括非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;非法获取、出售或者提供前两项规定以外的公民个人信息五千条以上的;违法所得五千元以上的等。
司法解释同时对买卖信息的“内鬼”和“购买者”入罪标准进行了详细规定。“公民个人信息泄露,目前造成危害最大的,主要是银行、教育、工商、电信、快递、证券、电商等行业的内部人员泄露数据。”公安部网络技术研发中心主任许剑卓表示。
为了严打“内鬼”,本次出台的司法解释规定,在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到司法解释规定的相关标准一半以上的,即可认定为刑法规定的“情节严重”,构成犯罪。
肖飒律师认为,此项规定表明针对某些银行、保险公司、网络贷款公司、培训学校等贩卖消费者个人信息问题,法律已经注意到了,而且采取了更为严格的认定标准,制造“伸手必被捉”的高压环境,减少市面上信息的“增量”,减少类似风险的高发。
而对于那些购买个人信息搞推销的行为,司法解释也规定,为合法经营活动而非法购买、收受敏感信息以外的公民个人信息,具有利用非法购买、收受的公民个人信息获利五万元以上等情形的,应当认定为“情节严重”,构成犯罪。
同时,司法解释还进一步明确了网络服务提供者的义务。其中规定,网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法相关规定,以拒不履行信息网络安全管理义务罪定罪处罚。
在侵犯公民个人信息犯罪的罚金刑适用规则方面,司法解释规定,对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。
打击大数据、征信行业乱象
此项司法解释的发布,对于经营“与个人信息相关”的企业或机构将产生很大影响,尤其是大数据和征信类企业。
目前市场上有很多所谓的大数据公司,会倒卖来源于黑市的数据,这些数据很多涉及公民个人信息。棱镜大数据研究院首席科学家廖辰瀚博士对记者表示,“在贩卖的数据中,有些数据是合法的,有些数据是违法的。线上消费的、网银的、pos机的、信用卡的、运营商的、甚至是工商的数据都有人卖。此次司法解释出台为有关部门严打大数据征信行业乱象提供法律依据。”
“这次出台的司法解释细化了刑法中涉及侵犯个人信息的相关条款,例如定义了刑法第253条规定的“公民个人信息”,列举了哪些信息可以被定义为个人信息(如姓名、身份证号码、住址等),这些都将为规范征信业务提供更加具体和完善的法律依据,”一位征信业内人士告诉记者。
而一些相对合规的大数据企业其实早在此解释颁布之前就已经对刑法中的有关规定及其他有关保护个人信息的法律,如网络安全法进行了深入研究,并制定了应对措施以确保各项业务符合法律规定。
同盾科技技术部门负责人告诉记者,其服务必须经用户授权,对于未经授权的则一律拒绝,同时还会对数据进行脱敏处理等。记者也从前海征信处了解到,其在防止客户信息泄露的过程中,会遵循PDCA原则(计划、实施、检查、行动循环管理原则),使数据在生产、流转、加工、处理中都符合对应的管控要求,设立防火墙和单独的机房等隔离、锁开,也会对内部员工进行权限管控、数据加密、数据脱敏,谨防数据泄密。
在肖飒律师看来,大数据企业想要摆脱刑法风险,除却当事人认可之外,只有“经过处理无法识别特定人且不能复原”。一般的做法是,取得对方授权,或者进行匿名处理。然而,由于商业化运作中,很难对信息进行全面匿名或每次都取得被采集人同意,对个人信息进行彻底清洗的难度在增加。
鉴于此,肖飒认为,此项司法解释会给区块链产业带来发展机遇。“我国相关自律组织对网络借贷平台进行自律管理时,就采用“区块链技术”将数据打散,一方面符合我国保护公民个人信息的法律法规政策;另一方面也让会员放心,其提供的“借贷信息流”不会被人随意截取,即便是截取了也无法知悉具体内容,可以最大程度保护商业秘密”。他称。