作者:王融 腾讯研究院
刑事保护是我国目前在个人信息保护领域应用最为活跃的法律机制。2017年6月1日,《网络安全法》以及最新刑事司法解释正式施行,我国个人信息保护刑事立法适用主体广、入刑门槛低、适用刑罚严厉的特点更为明确。在此背景下,准确理解立法制度与适用,对企业有效防范刑事风险至关重要。
一、 加速推进的个人信息保护刑事立法
有关公民个人信息保护的刑事规定,主要在《刑法》第二编分则,第四章:侵犯公民人身权利、民主权利罪中。1997年《刑法》中仅规定了侵犯通信自由罪(第252条)以及私自开拆、隐匿、毁弃邮件、电报罪(第253 条)。随着近几年公民个人信息受侵害现象越演越烈,在近年来刑事立法活动中,都将个人信息保护作为其中重要的修法内容。
2009年,《刑法修正案(七)(以下简称《刑七》)首次引入了个人信息保护新罪名。在《刑法》第253条中增加“出售、非法提供公民个人信息罪”以及“非法获取公民个人信息罪”。犯罪主体限定为特殊主体,包括:国家机关、金融、电信、交通、教育、医疗等单位及工作人员。
2015年,《刑法修正案(九)》(以下简称《刑九》)再次对刑法第253条作出修改完善:(1)扩大犯罪主体范围。任何单位和个人只要实施违法行为,情节严重的,都可构成犯罪;(2)量刑增加一档。在原有的“处三年以下有期徒刑或者拘役,并处或者单处罚金”基础上,针对“情节特别严重的”,量刑提升至“三年以上七年以下有期徒刑,并处罚金”。(3)增加从重处罚的情形。“将履行职责或者提供服务过程中获得的个人信息,非法出售、提供给他人的,适用从重刑。”修改后的罪名统一称为“侵犯公民个人信息罪”。
2017年5月,两高发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号,以下简称《解释》)。在个人信息保护刑事司法近十年实践经验的系统总结之上,《解释》对困扰司法实践的定罪量刑热点问题作出明确回应。
《刑(九)》第253条与《解释》是我国针对个人信息侵害行为,独立发展出的刑事规范完整体系,包括了个人信息罪的罪名罪状、定罪量刑标准、相关法律适用、甚至涉及诉讼中的举证责任分配问题。这在全球刑事立法及司法领域也数少见。在该领域,我国已然形成了具有鲜明国情特色的“中国样本”。
二、 我国个人信息刑事保护的主要特点
(一) 刑事司法最活跃
民事救济、行政监管、刑事打击是个人信息法律保护体系的三大支柱。我国在民、行、刑三领域的个人信息保护立法也均有建树。然而在法律适用领域,与民、行相比,我国个人信息保护刑事司法实践更为活跃。据统计,自2009年《刑(七)》引入个人信息刑事罪名到2016年12月,全国法院共审结出售、非法提供公民个人信息、非法获取公民个人信息刑事案件1433起,生效判决人数2112人。特别是2015年11月《刑(九)》生效以来,我国对侵犯公民个人信息犯罪呈高压态势,案件量显著增长,仅一年间审结464件,生效判决人数697人[1]。
刑事追责是我国当前个人信息保护领域应用最广泛深入的法律手段,这与欧洲推崇行政监管,美国倚重民事救济相比,具有鲜明特色。
(二) 适用主体广
刑事责任是最严厉的法律责任,只规制严重侵害或威胁法益的行为,适用也往往更加谨慎。这也是《刑(七)》在最初引入相关罪名时,仅把犯罪主体限定为国家机关及特定行业单位及个人的主要出发点。实际上,从全球范围看,在建立有个人信息刑事追惩机制的国家,一般也会通过不同方式对罪名适用加以限制。例如:美国个人信息保护立法分散在金融、健康、征信以及儿童隐私等敏感信息领域,其中仅仅针对个人健康信息违法行为建立了刑事处罚。美国《健康保险隐私及责任法案》(Health Insurance Portability and Accountability Act,HIPAA)对犯罪主体限定为医疗机构及工作人员,并特别强调主观恶意,只有在明知故意、或欺诈、虚假陈述方式获得非法利益的情形下,才会被追究刑事责任。
相比而言,为进一步打击个人信息违法活动,我国《刑(九)》在适用主体范围上做出重要突破,“侵害个人信息罪”不再局限于国家机关、重点行业领域。任何个人、单位都有可能因非法获取、提供个人信息而被追究刑责。
(三) 入罪门槛低
“情节严重”是我国将“违法提供、获取个人信息”行为入罪的核心标准。《解释》从信息数量、违法所得、信息用途、主观恶性、违法主体五个方面,对“情节严重”做了具象化的描述。从《解释》对五方面的界定标准看,我国对侵害个人信息罪的入罪门槛设定较低。以信息数量为例,对高度敏感个人信息——“行踪轨迹信息、通信内容、征信信息、财产信息”非法提供、获取的,数量达到50条即可入罪;如若是将履行职责或者提供服务过程中获得的此类信息出售或者非法提供给他人的,数量标准减半,25条即可入罪。
(四) 适用刑罚较严厉
我国对个人信息罪的适用刑罚包括了人身自由刑和罚金两类。其中,第一档量刑在“处三年以下有期徒刑或者拘役,并处或者单处罚金;”,第二档量刑为“三年以上七年以下有期徒刑,并处罚金。”。
从国际比较而言,上述刑罚是较为严厉的。首先,目前仍有部分国家并没有就个人信息保护设立专门的刑事责任体系,而是仍停留在侵犯公民通信自由罪、非法入侵信息系统罪阶段。即使是针对个人信息保护,建立有刑事机制的国家,也通过不同方式对适用作出了限定。例如:(1)通过适用范围予以限定,如上述美国情形,仅针对医疗健康行业;(2)刑罚中仅包括罚金刑,不包括人身刑,如加拿大、爱尔兰;(3)或虽规定了人身刑,但在司法实践中绝大部分适用罚金刑,如英国、新加坡;(4)人身自由刑设置缓和,不超过1年或2年。如:德国、葡萄牙、荷兰等大部分欧盟成员国的刑法设定。我国近邻日本最高刑期不超过6个月[2]。
综上,我国的个人信息保护刑事政策是较为严苛的,在此背景下,准确理解刑事立法制度与适用,对企业有效防范刑事风险至关重要。
三、 我国个人信息刑事保护制度
要点指引
结合《刑(九)》、《解释》以及两高发布的个人信息罪典型案例,理解我国个人信息保护刑事制度可从以下问题入手。
(一) 哪些个人信息纳入刑法保护?
第一、 《解释》对个人信息的界定做出了重要扩展,在“身份识别信息”基础上,新增“个人活动情况信息”。 从2012年《全国人大常委会关于加强网络信息安全的决定》(以下简称2012年《人大决定》)到2016年《网络安全法》,我国立法对个人信息的界定一直限定为身份识别信息。此次《解释》对个人信息做广义理解,明确:“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。“个人活动情况的信息”首次列入刑事保护的个人信息范围。
需要明确的是:定义中界定部分与列举部分的关系。并不是列举信息都必然是个人信息。例如:所列举的“财产状况、行踪轨迹”只有在能够识别特定人身份或者反映特定人活动情况时,才属于个人信息。群体的财产状况、行踪轨迹(如春运热力图)并不是个人信息。
第二、根据个人信息与人身、财产安全的敏感程度,《解释》将个人信息区分为三类,并设置相应入罪梯度[3]。第一类:高度敏感信息,包括四种信息:行踪轨迹信息、通信内容、征信信息、财产信息。涉及高度敏感信息的违法活动,由于定罪门槛最低,因此严格限制在此四类,不做任何扩展;第二类:敏感信息,即住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息。与第一类相比较,《解释》对第二类信息的界定仍留有空间,意味着在司法实践中,仍有可能会出现目前所列举之外的第二类信息类型;第三类:其他个人信息。即上述第二、三类以外的个人信息。个人信息的类型是定罪量刑的重要依据。越敏感信息,达到定罪门槛的信息数量越少。
第三、新增加的“行踪轨迹”仅指个人实际物理位置信息。《解释》公布后,有观点认为“行踪轨迹”不仅包括实际物理位置信息,还可能会包括个人在虚拟网络中的活动轨迹,例如cookie中信息记录。这种理解并不准确。从立法部门对《解释》的说明看,列入“行踪轨迹”信息类型的主要目的是打击利用此类信息的绑架、诈骗等危害人身安全犯罪行为,且“行踪轨迹”被列入高度敏感信息类,有关此类信息的入罪门槛低,因此严格限定为四类,不做任何扩展解释,用户的网络活动轨迹不属于此类“行踪轨迹”。
第四、新增加的“财产状况”不仅包括传统银行账户信息,也包括互联网金融业务中的账户财产信息。如:第三方支付结算帐户、金融服务账户及财产信息。
第五、“公民个人信息”,并不限定在中国公民。基于平等适用刑法原则,对侵害我国境内外国人、无国籍人个人信息的案件,以及我国境内行为侵害境外外国人、无国籍人个人信息的案件,我国都予以刑事保护。这一理解也符合《网络安全法》立法精神。《网络安全法》从一审草案到最终稿也删去了“公民”表述,个人信息并不以中国公民为限定。
(二) 哪些行为会被追究刑事责任?
1.“非法提供”和“非法获取”两大类行为
我国刑事立法主要打击个人信息犯罪链条两端行为,即非法提供和非法获取两大类。而在个人信息保护的中间环节,如个人数据的留存、更正、删除、加工、分析等处理行为,更多留给民事、行政领域立法调整。
2.“违反国家有关规定”是认定“非法”的重要依据
《刑(九)》并没有列明哪些行为属于非法获取或非法提供、而是给出了一个笼统的前提——“违反国家有关规定”。
而《刑(七)》到《刑(九)》的重要变化之一,是将“非法”这一前提 ,从“违反国家规定”扩展为“违反国家有关规定”。两字之差体现了重大变化。
依照刑法总则第九十六条:本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。由此刑法中的“国家规定”排除了地方性法规、地方规章和国务院各部委制定的部门规章。
此次《解释》在《刑九》基础上,对“国家有关规定”进一步明确为法律、行政法规和部门规章。部门规章自此成为个人信息刑事定罪的重要基准之一。而从我国的立法实践看,有关个人信息保护的规定,大量分散在部委规章中。特别是随着“互联网+”的快速发展,互联网对传统行业、领域的渗透加速,传统监管部门对信息安全、数据保护的关注加大,新制定的部门规章中往往会嵌有个人信息保护条款。例如:2016年交通部等七部委颁发的部门联合规章《网络预约出租汽车经营服务管理暂行办法》对个人数据的获取、对外提供制定了更为细致的规定。其中部分规定比《网络安全法》更为严格。
(三) “非法提供”如何认定
1.“出售”是“非法提供”的典型行为方式
从《刑(七)》到《刑(九)》,“出售”行为都从“非法提供”行为中单独列出,概因“出售”行为的主观恶意最为明显,也是现实中个人信息黑产的主要形态。但仍需要注意的是,对于“出售”行为,刑法并没有“一刀切”的禁止,仍然限定在“违反国家有关规定”的情形下。这与《网络安全法》一脉相承,也是对2012年《人大决定》中一刀切禁止“出售行为”的修正。
2.“非法发布”行为也属于“非法提供”
“提供”既包括向特定人提供,也包括向不特定人提供。此次《解释》明确:通过信息网络或者其他途径发布公民个人信息的,属于“提供公民个人信息”。这在一定程度上回应了备受争议的“人肉搜索”是否入刑的问题[4]。即违法发布他人个人信息,情节严重,可被纳入“非法提供”情形。
3. 不属于非法提供的情形
合法提供个人信息,主要包括两种情形:
(1)经被收集者同意。《网络安全法》第四十二条第一款规定:未经被收集者同意,不得向他人提供个人信息。因此,获得个人同意,属于合法提供的情形。且《网络安全法》中并没有就同意的形式作出限定。但需要注意的是,在一些行业特别法中对同意的形式提出了具体要求,如《征信业管理条例》对于“提供”的规定,部分情形下要求信息主体的“书面同意”,《网络预约出租汽车经营服务管理暂行办法》规定:要求获得信息主体的“明示同意”。
(2)数据经过处理无法识别个人,也无法复原。同样是《网络安全法》上述条款中的但书规定,对提供匿名化数据的行为予以了豁免。该条款科学平衡了安全与发展二者关系,为数据合理流动、创新提供了合法路径。
上述两种情形,是我国立法中明确规定的数据提供行为的合法情形,也是当前企业实务应用的最为主要的合法抗辩理由。当然,除了以上合法情形外,从对“非法”的法理理解出发,对外提供个人信息仍可以有以下合法理由:(1)为保护信息主体、或其他第三方生命、财产的重大利益而需要提供的;(2)为履行向国家机关、司法机关执法协助义务而需要提供的。但显然,此类情形并非企业日常经营中数据提供的常见情形。
(四) “非法获取”如何认定
1.“窃取”是“非法获取”的典型行为方式
与“出售”行为始终在“非法提供”类行为中单独列出类似,“窃取”也一直作为“非法获取行为”的典型方式单列。这强调了获取方式手段自身的非法性,以此类推,以“欺骗”、“抢夺”等非法手段方式获取的当然也属于非法获取。但这并不意味“非法获取”仅考虑获取手段的非法性[5]。
2.无法提供获取信息的正当性,可被认定为“非法获取”
即只要违反国家规定获取个人信息,信息获取者无法主张其获取信息的正当理由的,无论是以“窃取”等本身非法的手段来获取,还是以“购买、收受、交换”等其他手段,都可被认为“非法获取”。这有利于直接打击个人信息黑产中的买卖交易,但同时也对大数据开发利用中的商务合作带来更高合规风险,特别是通过第三方渠道获取个人信息的,需要在事前履行更加审慎的合规义务。
以上两类情形,更多指向了不同主体之间对于数据的获取、流转行为,除此之外,此次《解释》对“非法获取”的含义做进一步扩展,深入到收集环节。
3.“在提供服务过程中,违反国家有关规定收集个人信息的,视作“非法获取”
尽管《网络安全法》主要适用于网络运营者,但它是目前最能完整体现我国个人信息保护制度的主要立法,确立了个人信息的收集原则及具体要求。参考其第四十一条规定,以下情形下的收集活动,都可被视为“非法获取”:
(1)未遵循合法、正当、必要原则收集信息;
(2)未公开收集信息的规则,使用目的、方式和范围;
(3)未经过被收集者同意;
(4)收集了与所提供服务无关的个人信息;
(5)收集了法律、行政法规禁止收集的信息;
(6)收集了超出约定范围的信息;
以上可见,我国对“非法获取个人信息”的行为认定已覆盖到实务中的个人信息收集环节。况且,除《网络安全法》之外,我国仍有相当数量法律、行政法规、部门规章涉及到关于个人信息收集的具体要求,“违法收集个人信息”的刑事风险点显著增多。
(五) 如何“定罪量刑”
《解释》第五条规定了“情节严重”“情节特别严重”的两档量刑标准。
1.符合“情节严重”,适用第一档量刑(最高刑3年)的情形:
① 出售或者提供行踪轨迹信息,被他人用于犯罪的;
② 知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
③ 非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
④ 非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
⑤ 非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
⑥ 数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
⑦ 违法所得五千元以上的;
⑧ 将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
⑨ 曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
⑩ 其他情节严重的情形。
以上10方面,覆盖了犯罪构成的主体、主观方面、客体、客观方面的要素。其中③、④、⑤项,根据信息的敏感程度,分别设定了50条、500条、5000条的入刑标准。特殊主体(将履行职责或提供服务过程中获得的个人信息出售、非法提供给他人的)入刑标准减半。第⑥项查缺补漏,对同一案件中涉及到不同类型的,可按照数量比例累计入刑。
2.符合“情节特别严重”,适用加重刑的情形:
① 造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
② 造成重大经济损失或者恶劣社会影响的;
③ 数量或者数额达到前款第三项至第八项规定标准十倍以上的;
④ 其他情节特别严重的情形。
在《解释》出台之前,尽管《刑(九)》中已将最高刑提升至7年,但实务中由于审判人员对个人信息犯罪的危害性并不确定,大部分法院审结案件是作出法定刑三年以下的判决[6]。《解释》对重刑情节予以明确,其中从信息数量因素看,尽管将重刑门槛定于普通量刑定罪数量的十倍以上,但由于普通量刑本身起点低,十倍之后也仍然不高。如依违法所得标准,违法所得在5万以上的,即可构成重刑。因此有学者预测,《解释》正式实施后,侵害个人信息犯罪适用重刑可能会出现激增现象。
3.为合法经营活动购买、收受公民个人信息定罪量刑的特殊标准:
① 利用非法购买、收受的公民个人信息获利五万元以上的;
② 曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;
③ 其他情节严重的情形。
特殊适用标准是《解释》为大数据创新活动而做出的相对宽容的处理。即如果企业是出于合法经营活动的目的,例如因广告营销目的,而购买、收受个人信息的,量刑适用于第一档刑(3年以下或罚金刑),并不适用从重刑。且定罪的考量因素也有所区别,并不再参考信息数量标准,而是主要结合两方面:一是违法收益(且收益标准也有所提升,达到5万元以上);二是是否重复犯。当然,适用此类宽容标准,有着严格的限制:
(1)必须为合法经营活动。如广告推销,或者被告方能够举证证明合法经营活动的其他情形。
(2)只能限定在获取行为,对外提供行为并不适用。
(3)只能限定为普通个人信息,并不包括《解释》中所列的高度敏感信息和敏感信息两类。
此类相对宽松的量刑标准,反映了立法者在“安全与发展”之间的平衡。在信息用途上,将合法经营活动区分出来,此类活动中的非法获取行为并不具有明显的社会危害性,入刑门槛适度放宽。
四、 企业的刑事风险防范策略
严厉的个人信息保护刑事规范,对打击个人信息违法犯罪活动会将起到更大威慑作用,也将为企业数据资产构筑法律安全屏障。但同时,高企的刑事责任,对于企业来说,特别以数据处理为核心业务,或日常运营中处理敏感数据的企业,如互联网、电信、金融、征信、医疗、教育等行业领域的经营者而言,所面临的法律风险不容低估。特别是,我国“侵害个人信息罪”适用于单位犯罪。单位可作为违法主体被追究刑事责任,判处罚金,同时,单位直接负责的主管人员和其他直接责任人员也承担相应刑责。对此,企业应建立完备的数据管理安全体系,制定系统的风险防范策略予以应对。
(一) 个人信息分类分级管理
《解释》出台之前,我国有关个人信息保护的相关立法中并没有直接体现出对数据的分类思路,仅仅在2013年指导性标准中,提出将个人信息区分为个人敏感信息和个人一般信息,并推荐适用不同的收集同意标准。
此次《解释》明确将数据自身的敏感程度作为定罪量刑的直接依据后,在企业实践中实施数据分类分级管理的必要性将更为突出。实际上,数据分级分类管理已是实务普遍做法,但根据《解释》,企业需要在现有做法基础上,对个人信息类别再行细分,同时也需要结合业务场景,与用户个人利益的相关度、数据自身安全威胁强弱等维度,系统梳理数据类别、安全级别,针对不同级别,实施强弱有别的安全防护。特别是在个人信息获取、对外提供环节,加大合规投入。
(二) 信息获取,“取之有道”
本文并不讨论窃取、骗取等明显具有非法性的数据获取行为,而是企业正常经营活动中,涉及合规重点的两类情形:
1.提供服务过程中面向用户,直接收集个人信息的情形,需完成以下合规工作:
(1)保障用户知情权。公开信息收集规则、收集的目的、收集的方式和范围,例如通过公告、隐私政策、业务协议等方式公开法定要求公开的信息。
(2)获得用户的同意。这是决定收集“合法与否”的关键点。需要结合业务所适用的具体法规、规章,满足其具体合规要求。如上所述,《征信管理条例》中的“书面同意”要求,网约车规范中的“明示同意”要求等。通过业务协议等格式条款获取用户同意的,需要满足合同法中关于格式条款的具体要求。
(3)审查所收集信息与业务提供的相关性。以满足收集信息的合法、正当、必要原则。其中《网络安全法》明确禁止收集与所提供服务无关的信息。当然从《网络安全法》表述来看,对收集活动仍然采取的是相对宽松标准,即与业务的相关度来评判,为收集信息的范围仍留有弹性空间。
(4) 不得超出用户协议范围收集信息。在用户协议中,应尽可能明确所收集个人信息的主要类别、类型,以完整覆盖提供服务所必需的数据,并保障用户的知情同意权。
(5)不得收集法律禁止收集的用户个人信息。如《征信业管理条例》明确禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息;
做到以上合规点,避免落入“违反国家规定收集个人信息”情形,是防范刑事责任风险的根本。
2.从第三方获取个人信息的合规审查:
《解释》将“违反国家规定,购买、收受、交换个人信息”纳入到“非法获取情形”,在实践中主要涉及企业与第三方合作场景。目前来看,合规仍有模糊地带。但从企业所扮演的两种角色出发,可提出如下探讨思路:
(1)企业仅作为受托者提供技术服务时,并不负担数据收集活动是否合法的义务。例如:电信企业为第三方提供短信息发送服务,从而“收受”第三方提供的电话号码信息。在此情形下,若短信息服务自身合法,电信企业并不负有审查第三方获取个人信息是否合法的义务。电信企业所负主要义务,是依据与第三方的“服务协议”所承担数据安全义务。类似的,云计算服务也属此类情形。云服务提供者并不负有审查云客户个人信息收集活动是否合法的义务,而主要依据服务协议承担数据安全责任。
(2)企业从第三方获取数据,是为了实现自身业务目的。此类情形是刑法规范的重点。即企业与第三方的合作,并不仅仅是为第三方提供服务,特别是通过“购买、交换”方式获得的数据,已带有明显的自身目的。此类情形下,为保证合规,避免刑事责任风险,建议企业在第三方收集个人信息的环节,就能够通过第三方向个人披露关于个人信息收集、交换、对外提供的信息,并征得用户的同意。
(三) 对外提供,遵循合规高标准
与“非法获取”相比,“非法提供”的认定更明朗些。因为禁止对外提供是一般性原则,少数合法提供的情形,立法已有明确规定。最为主要的合法依据有两方面,一是征得了个人的同意,二是进行了数据匿名化。征得个人同意,并无太多认识分歧。相比而言,匿名化是新近提出的合规渠道,无论在学界、司法实务界都还存在不同看法。
但总体而言,数据匿名化是兼顾隐私保护与数据利用的有效手段,企业可以采取技术、合同、审计等多种手段,努力实现数据不再能够具有身份可识别性,并在此基础上,实现数据的交易流转,加工利用。
需要澄清的是,数据匿名化并不是一个绝对状态,因为决定数据是否处于匿名状态的两个主要因素:数据算法和可获得的数据资源始终时刻处于动态变化之中,算法日益强大,数据资源不断丰富,当前的匿名化并不代表永久的匿名化,因此在将数据匿名化作为可对外提供的例外情形时,在具体的司法裁量中也应遵循相对标准,而不是绝对标准,即在特定的案例中,企业是否采取了相对充分的匿名化措施,以使得获得数据的第三方采取一般可能的措施,也无法将数据关联到特定个人。
因此,企业是否否采取了相对充分的匿名化措施,决定了其是否可以适用对外提供的例外条款,而在这一方面,企业至少可以从以下方面开展合规,预防可能的法律风险:
(1)在对外提供的业务场景中,开展隐私风险评估。包括评估合作方的数据利用目的,个人隐私的敏感度,合作方所掌握的数据资源、数据分析能力等。
(2)根据隐私风险评估结果,选择有针对性的数据匿名策略,包括不同的匿名技术方式、加密手段等。
(3)通过合作协议加以限制及明确责任,例如:对数据的使用场景、目的进行约束;限制关联数据进入特定数据场景;对数据访问的技术限制:做出不再试图重新回复身份属性的法律承诺;对随机情况下再识别数据做出破坏处理的约定;对数据的返还、销毁等做出协议安排。
(四) 严格履行网络信息管理义务
如上述,我国“侵害公民个人信息罪”仅指向针对个人信息的非法获取、非法提供这两端行为,并不覆盖其他环节。但对于电信、互联网企业等“网络服务提供者”而言,刑法第286条之一“拒不履行信息网络安全管理义务罪”也与企业在用户个人信息方面的刑事责任风险强相关。
按照《刑(九)》及《解释》规定:网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。
尽管从本罪的表述来看,已对构成犯罪的情况作了极大限定,必须同时满足三个前提“不履行网络信息安全管理义务”;“经监管部门责令改正而拒不改正的”;“致使信息泄露,造成严重后果的”。如此限定,似乎刑事风险已相对可控。
但事实上,由于目前我国网络信息安全管理立法分散,在大量的法律、行政法规中均有涉及安全管理义务设定,相关监管部门,不仅包括网信、公安、工信部等日常监管机构,在特定领域也涉及到国安、保密等机构,此外传统监管部门央行、工商总局、交通部、卫计委也有针对特定行业的网络信息安全管理要求。尤其关注到“拒不履行信息网络安全义务罪”中并没有限定监管部门的行政级别,这意味着除了中央一级的监管部门,省级甚至省以下的监管部门都可能发出“责令改正”要求[7]。本罪的刑事风险显然并不比想象中小。
因此,对于企业来说,为有效防范此类情形的刑事责任风险,应当全面梳理企业所负有的信息网络安全管理义务,并与监管部门就安全管理工作保持密切沟通,特别是在个人信息安全防护方面,杜绝因未履行信息安全管理要求而造成信息泄露事件。
结语
业界预测,2017年6月1日《解释》正式实施后,我国个人信息罪刑事诉讼将出现激增现象。这是该罪名适用范围广,入刑门槛低所带来的必然结果。同时,由于《解释》对重刑情形规定十分明确,实践中本罪量刑也将会出现加重特点。
除了被规范的主体:企业、政府机构以及普通个人需要加强法律意识,适应法律要求外,对于执法者而言,理解和适用新规范也会面临新挑战。如所述,我国个人信息保护刑事体系是在民事、行政机制尚未及时跟上的背景下,在刑事领域的先行探索。考虑到社会民众尚未形成对个人信息保护规则的成熟认知,为避免刑事追责带来过大冲击,期待司法实践能够充分利用“初犯免于起诉、处罚”等缓冲机制。
此外,法律适用中值得进一步思考的问题是:在利用刑法严厉打击数据黑产的同时,如何避免对合理创新活动的误伤。尽管《解释》部分考虑了主观恶意因素,但并未将其作为定罪核心标准。建议在司法实践中能够加大对主观恶意成分的考虑,从而区分出更具有社会危害性的个人信息侵害行为,为市场创新留有空间。
参考文献
[1]周加海 邹涛 喻海松 ,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的理解与适用 ,2017,5
[2]Baker & McKenzie,2016 Global Data Protection Enforcement Report – Enforcement by regulators: penalties, powers and risks,January 2016
[3]林哲骏,《侵犯公民个人信息罪定罪标准研究——以“个人信息”和“情节严重”认定标准构建为视角》,《尊重司法规律与刑事法律适用研究(下)——全国法院第27届学术讨论会获奖论文集》
[4]北京大兴区人民检察院《侵犯公民个人信息犯罪研究》课题组,侵犯公民个人信息犯罪的实践应用探究———从人肉搜索行为的入罪规制疑难来考察,净月学刊,2015年底2期
[5]赵秉志,公民个人信息刑法保护问题研究,《华东政法大学学报》 , 2014 , 17 (1) :117-127
[6]李玉萍,侵犯公民个人信息罪的实践与思考 ,《法律适用》 , 2016 (9) :11-16
[7]喻海松,网络犯罪的立法扩张与司法适用,《法律适用》 , 2016 (9) :2-10