浙江泽大律师事务所 童彬超
摘要:公民个人信息新规6月1日正式实施,相关网络黑灰产业已开始严厉整顿,企业经营者尤其是互联网从业者或将面临新的刑事风险。
序言
2017年6月1日《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》正式生效。该解释出台的背景,是当前信息化和网络化程度越来越高的社会经济大环境,信息资源成为网络时代重要的资源和财富,但也随之引发了个人信息安全问题,公民个人信息泄露和滥用日益严重,对正常的生活环境和社会秩序造成了冲击和损害。因此,司法解释在刑法的基础上进一步丰富了侵犯公民个人信息罪的内涵,对公民个人信息的保护将越来越严密,而构成犯罪的门槛较低,打击面较广,极易引发刑事案件。互联网从业者在利用个人信息时,需要比以往更加谨慎。
一、公民个人信息的认定
1、法律保护的范围
根据《网络安全法》的定义,“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”2017年6月1日正式施行的最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》则在上述定义的基础上,对公民个人信息的范围做了进一步的明确和扩展,以明确列举的方式将账号密码、财产状况作为公民个人信息加以保护,同时将“反映特定自然人活动情况的各种信息”如行踪轨迹等纳入法律保护的范围。
在法律保护的个人信息范围中,需要加以特别说明的是账号密码和行踪轨迹两项,这也是司法解释新增加的保护内容:
(1)对“账号密码”的保护
因为账号密码、财产状况往往与公民个人的财产利益紧密联系,而且在互联网时代的大背景下,账号密码往往绑定身份证号、手机号码等特定信息,可以借此锁定特定自然人的身份信息,账号密码被他人获取后极易引发侵犯财产的犯罪行为。
(2)对“行踪轨迹”的保护
行踪轨迹虽然表面上看难以纳入公民个人信息的范畴,但细思之,行踪轨迹信息在大数据交易中占有重要地位,该类信息本身具备的巨大的经济价值和开发潜力,对于共享单车、网约车、地图导航等涉及定位、出行的互联网领域的开发和运用具有重要价值。2017年4月27日新修订《中华人民共和国测绘法》将个人地理信息纳入法律保护,明确规定“地理信息生产、利用单位和互联网地图服务提供者收集、使用用户个人信息的,应当遵守法律、行政法规关于个人信息保护的规定。”
此外,根据司法解释的精神,法律所规定的“公民个人信息”不仅包括中国公民的个人信息,还包括外国公民和其他无国籍人的个人信息。
2、认定的核心要素——“识别说”
关于公民个人信息的认定标准,理论界存在关联说、隐私说和识别说三种主要的观点。关联说认为凡是与个人存在关联的信息都属于个人信息,其外延较广,日常生活中所产生的各种信息几乎都囊括在内;隐私说认为只有与个人隐私相关的信息才属于个人信息,相较于关联说大大限缩了个人信息的范围,而隐私的概念又存在较大的主观性;识别说认为公民个人信息是指姓名、身份证号、出生日期、年龄、职业等能够识别特定公民身份的信息。
我国现行刑法通过2009年的《刑法修正案(七)》增加了侵犯公民个人信息犯罪的规定,之后又通过《刑法修正案(九)》进一步做出修正,最终确定为“侵犯公民个人信息罪”,但是刑法正文中并未对个人信息的认定标准做出定义。而根据2017年新发布的司法解释的规定,公民个人信息是能够“识别特定自然人身份或者反映特定自然人活动情况的各种信息”,从字面表述看,司法解释对公民个人信息的认定标准采用了“识别说”。
在识别说的标准之下,公民个人信息的范围不仅局限于司法解释列举的“姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹”,还包含了其他能够单独或者与其他信息结合识别自然人身份的信息。在大数据和互联网实名制的要求下,个人信息的应用场景大大增加,有关企业特别是互联网从业者在收集、利用用户的数据时,应慎之又慎。
二、公民个人信息的分级
根据不同种类信息对公民人身、财产安全的联系紧密程度和敏感程度,司法解释将公民个人信息分为三个级别,在量刑上做了区分。
1、高度敏感信息,包括行踪轨迹信息、通信内容、征信信息、财产信息四种。非法获取、出售或者提供此四种信息50条以上的,即属于刑法规定的“情节严重”,并构成犯罪。此类信息直接关系到公民个人的人身和财产安全,通过信息本身记载的内容可直接发现公民的行踪轨迹和财产状况,因此司法解释将其定义为“高度敏感信息”。但是也正是因为只需要极少数量即可构罪,入罪门槛极低,根据刑法谦抑性的原则,司法解释严格限制了信息的种类,在四种信息之外的其他信息,均不属于高度敏感信息,在实践中也不允许扩大适用。
2、普通敏感信息,包括住宿信息、通信记录、健康生理信息、交易信息等。非法获取、出售或者提供该类信息500条以上的,即属于刑法规定的“情节严重”,并构成犯罪。此类信息可能影响到公民的人身、财产安全,在重要程度和敏感性上弱于高度敏感信息,但是也可以反映公民特定活动和经济状况,若被不法分子用于违法用途,会对个人和社会造成较大的危害。
3、一般公民个人信息。除上述敏感信息之外的,能够用以识别公民个人身份和活动情况的信息,均属于法律保护的对象,非法获取、出售或者提供该类信息5000条以上的,即属于刑法规定的“情节严重”,并构成犯罪。司法实践中,此类信息较为常见,非法交易数量巨大,虽然会对公民的人身和财产安全造成一定损害,但是最直接的危害体现在骚扰电话、垃圾短信、垃圾邮件等。目前,深圳市公安局已出台《深圳市打击骚扰信息违法犯罪行为执法取证指引》,专门针对侵犯公民个人信息犯罪行为进行打击和治理。
三、法律打击的侵犯公民个人信息行为
首先需要说明的是,法律并非完全禁止公民个人信息的收集、使用和交易。在大数据和互联网经济的大背景下,互联网行业不断向传统行业渗透,互联网产业和服务的范围也随之不断扩大到日常生活的方方面面,个人信息的采集和使用是互联网服务不断优化和发展的必要条件。在现行的法律体系内,以《网络安全法》为核心的互联网法律法规体系对个人信息的使用和交易是持肯定和保护态度的,是互联网产业健康有序发展的保障。而法律所打击的侵犯公民个人信息行为,主要是在法律允许之外的非法提供和非法获取的行为。因为提供与获取存在对应关系,下文不再区分,选择部分侵犯公民个人信息行为进行说明。
1、非法出售
违反法律规定向他人出售公民个人信息是目前最常见的犯罪形式,也是互联网黑灰产业的重要组成部分。相较于合法的出售行为,违法出售主要反映在违反法律规定的要求和程序,或未经信息所有人的同意和授权,违反约定的使用目的,将信息向他人出售。例如《网络安全法》第四十一条规定,“ 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
2、非法购买。
根据司法解释的规定,“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息”的,属于刑法规定的侵犯公民个人信息行为。但是笔者认为该规定在逻辑上存在一定的混乱,相较于出售,购买、收受行为是一个被动接受的过程,购买者和收受者无法判断其所接收的信息是否属于合法可供出售的信息,也无法判断购买和收受行为本身是否合法,除非在每次交易前,购买者均要求提供者证明信息是经合法程序被提供的。因此,从风险防范的角度,笔者倾向于认为购买行为原则上属于违法,而合法购买仅仅是例外,需要经过信息被收集者的同意,并提供同意的证据,如此方能免除违法购买的法律风险。
3、非法发布。
主要包括向特定人提供公民个人信息,和通过信息网络等途径公开发布信息。虽然非法发布的目的并未为了获取经济利益,但是因其面向不特定对象的性质,危害性甚至大于买卖信息,极易引发诸如人肉搜索之类的网络侵权案件,对社会稳定造成重大影响。
4、合法获取后的非法利用。
根据相关大数据统计的结果,合法获取公民个人信息后将其进行出售、交换、公布等方式进行非法使用,是最为常见的犯罪类型。日常生活的骚扰电话、垃圾短信等,主要就是通过此种方式导致个人信息泄露而引发的。对于服务企业,特别是互联网服务提供者而言,在经营过程中会接触大量个人信息,需要特别予以重视和保护。
此外,数据交换、窃取、骗取、抢夺等方式,也会被认定为侵犯公民个人信息的违法行为。
四、风险防范的建议
1、提高风险意识。
对于经营者而言,必须树立正确的法律观念,提高风险意识,充分认识到公民个人信息的特殊性。经营者对于经合法合规的程序获取的个人信息具备一定的权利,可以正常使用,但是不等于对这些信息拥有完全的所有权和处置权,除自身利用之外的其他用途,必须经过用户的同意和授权。经营者应当注意保护用户隐私和身份信息。
此外对于信息使用者而言,还应当认识到,法律的打击对象是非法提供和非法获取,至于非法获取后用于何种目的在所不问,即便购买个人信息后用于自身合法经营同样会构成犯罪。
2、遵循合法、正当、必要的原则。
合法、正当、必要的原则是《网络安全法》中明文规定的公民个人信息收集和使用的原则,具体而言,该原则要求经营者在收集信息时公开收集、使用的规则,明示收集、使用的目的、方式和范围,并经过被收集者同意,且不得收集与服务无关的信息;在使用信息时,不得违反法律法规的规定和双方的约定,不得超过约定或授权的范围使用信息,未经被收集者同意不得向他人提供个人信息。
3、获取信息时应查验是否具备完整的授权。
根据上文的介绍,经营者为自身合法经营之需从外界获取个人信息时,应充分审查个人信息提供商的信息来源和形式是否合法,不但要查明个人信息提供商向被采集者采集信息是否得到授权,还要查明个人信息提供商向第三方提供信息的行为是都得到被采集者的授权。
4、个人信息采集的合规化管理。
(1)明确提示用户需要采集信息,告知其使用本服务需要提供个人信息的具体内容。
(2)必须取得用户授权,在双方签署的协议中约定收集和使用个人信息的条款,或者由用户签署单独的授权书。
(3)采取技术措施保障信息安全,防止信息泄露、损毁、丢失,同时明确岗位职责,签署保密协议,以防止工作人员因接触到该信息而发生信息泄露的风险。
(4)制定风险预案,在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
(5)禁止采集约定之外信息和法律禁止收集的信息。例如《征信业管理条例》规定,禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息等。
5、数据脱敏化处理。
《网络安全法》和侵犯公民个人信息司法解释规定了不得向他人提供个人信息的例外情形,即经过处理无法识别特定个人且不能复原。所谓的“数据脱敏(Data Masking)”,又称为数据漂白、数据去隐私化或数据变形,是指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。通过数据脱敏的技术处理,可以将用以识别特定自然人的信息特征消除,只保留行为特征和状态特征,从而实现在避免个人信息被泄露的情况下合理使用特征信息的目的。
结语
《解释》正式实施后,各地公安部门发起了多次集中打击侵犯公民个人信息违法行为,未来此类犯罪和法律风险必将呈现高发态势。此时正处于互联网行业法律规范化的过渡时期,仍有大量互联网经营者和从业者的经营活动处在法律的边界地带,而随着法律加大对灰黑产业的打击,这些行业和人员将会面临法律风险乃至刑事责任风险。作为法律从业者,笔者希望广大经营者能够不断提高法律风险意识,在合法合规的框架下创新创业。