作者:田笑 时间:2020-11-11
2020年10月21日,全国人大常委会法工委发布了《中华人民共和国个人信息保护法(草案)》征求意见稿(以下简称“《草案》”),并向社会公开征求意见。该草案一旦通过,将改变目前缺乏个人信息保护专门性立法的现状。该草案作为侵犯公民个人信息罪最直接、最重要的前置法,有助于进一步理解侵犯公民个人信息罪的保护法益。同时,该草案对于国内企业进行个人信息合规建设具有重要的指引作用,个人信息合规机制将成为企业经营管理活动的必备要素之一。
个人信息处理者在处理个人信息时面临较大的信息安全风险,可能触及侵犯公民个人信息罪、非法获取计算机信息系统数据罪等。笔者通过Alpha系统以“侵犯公民个人信息罪”“被告单位”“单位犯罪”为关键词进行案例检索,共得出60份裁判文书。经梳理发现,涉案单位主要涉及教育、房地产、电子商务、广告、装饰等服务行业,涉案行为涵盖个人信息流动的各个环节,包括信息的收集、使用、提供等活动。具体而言,多表现为单位及其员工为了推广业务、获取非法利益等,违反职业道德和保密义务,非法获取、出售或者向他人提供公民个人信息,对公民人身、财产安全造成了严重威胁。因此,个人信息处理者将可能涉及侵犯公民个人信息的业务环节作为重点预防对象并纳入合规计划,至关重要。笔者结合具体案例,从侵犯公民个人信息罪的保护法益、个人信息处理刑事风险以及企业内部个人信息合规管理三个方面展开探讨。
一、侵犯公民个人信息罪的保护法益
《刑法》将侵犯公民个人信息罪规定在第四章“侵犯公民人身权利、民主权利罪”中,而本章犯罪的保护法益是公民个人的人身与民主权利。从侵犯公民个人信息罪在《刑法》中的章节定位来看,其属于自然犯,而非法定犯,《刑法》第253条之一 “违反国家有关规定”的罪状表述并非法定犯的标志。因此,有学者提出,侵犯公民个人信息罪不是典型的自然犯,而是带有法定犯气质的自然犯。该罪的保护法益亦不是刑法理论通说所认为的抽象社会秩序等超个人法益,而是个人法益。这意味着,侵犯公民个人信息的行为即便违反国家相关规定,但是如果没有侵犯或者威胁公民个人的人身民主权利的,也不能认定为构成侵犯公民个人信息罪。这一观点在《草案》中也得以印证,《草案》第一条明确规定了立法目的是保护个人信息权益,并未提及社会管理秩序等超个人法益。
具体到侵犯公民个人信息罪保护的个人法益,学界存在几种代表性观点。包括公民个人隐私权说、隐私权说+其他学说、公民个人生活安宁说、公民人格尊严与个人自由说、公民个人信息自决权、公民个人信息权说等。其中,保护公民个人信息权在《草案》中得到了确认,但是《草案》并未明确个人信息权的内涵。至于侵犯公民个人信息罪具体侵犯的是个人信息权中的何种权利,有学者提出其保护的具体法益为信息流通权,这在《草案》中也有所体现。《草案》第一条在规定“保护个人信息权益”的同时,规定了“保障个人信息依法有序自由流动”,这也是对个人信息保护和个人信息流动二者关系的平衡。刑事打击是平衡个人权利和信息价值之间有效的反向推动力量,因此,应强调对个人信息行政保护机制的完善,尽可能地限缩刑法规制的范围。
二、个人信息处理行为
个人信息的处理不仅包括个人信息的收集,还包括存储、使用、加工、传输、提供、公开等活动,涵盖了个人信息生命的全周期。2013年7月,工信部《电信和互联网用户个人信息保护规定》首次规定了电信业务经营者、互联网信息服务提供者收集、使用个人信息时应遵循的基本原则,即合法、正当、必要的原则。之后,《网络安全法》和《民法典》正式确立了个人信息处理的“合法、正当、必要”原则。需要注意的是,《草案》第一章不仅重申了个人信息处理的“合法、正当、必要”原则,还明确了公开、透明原则。
此外,《草案》第二章规定了个人信息处理的规则,既重申了“告知+同意”原则,又罗列了其他几种处理个人信息的合法路径。同时,《草案》明确了“明示同意”、“授权同意”以及“重新取得同意”三种情形的适用规则,并强调在处理敏感个人信息时,应当视情形采用“单独同意”或“授权同意”的形式。在此,建议企业通过加粗、下划线、斜杠等形式以清晰易懂的语言向用户履行告知义务,获得用户明示的同意,通过完善的隐私协议保证个人信息来源合法、权属清晰;对于收集敏感个人信息的情形,建议企业在隐私协议中履行补充告知义务;对于向第三方提供其处理的个人信息,应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。其中,向第三方提供匿名化信息的除外,但第三方不得利用技术等手段重新识别个人身份。
(一)公开网络获取个人信息的行为
根据《草案》第28条之规定,对于行为人自行公开的个人信息,个人信息处理者在满足其公开时的用途的情形下,即可直接使用该公开的个人信息。超出原始用途合理范围内的,则需要重新履行“告知+同意”原则。在彭中正、吕雷、周敏侵犯公民个人信息罪一案中,被告人彭中正辩解称涉案信息来源是在网上抓取,并非非法获取的。而法院认为“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。彭中正无论是从公司窃取还是自己加工获取,未征得他人同意收集信息,均系非法手段,不影响本罪的构成。”笔者认为,如前所述,侵犯公民个人信息罪的保护法益为个人信息自决权,对经他人同意的个人信息加之以正当方式予以使用,不应纳入刑法的规制范围。但是,在未经他人同意或者超出权限许可范围的情况下大量抓取公民个人信息,其手段亦具有非法性,可能构成侵犯公民个人信息罪。
(二)从第三方购买或者收受个人信息的行为
企业应事先对个人信息提供者获得信息的途径进行实质审查,以核实提供者收集、获取个人信息行为是否合法、是否取得必要的个人授权,或者是否已经对个人信息进行脱敏,保证经过处理无法识别特定个人且不能复原。需要注意的是,非法获取个人信息用于合法经营亦可构成侵犯公民个人信息罪。在北京华数互动科技有限公司、沈兴侵犯公民个人信息罪一案中,被告北京华数互动科技有限公司为扩展业务,在公司网站建立一个身份证实名认证的收费版块,与国政通等公司签订协议,利用这些公司提供的数据进行合法经营。法院认定,华数公司、沈兴等违反国家有关规定,在提供其互联网服务过程中以其他方法非法获取公民个人信息,并利用获取和非法收受的公民个人信息进行营利活动,其行为已构成侵犯公民个人信息罪。
三、个人信息合规管理
《草案》第五章从事前、事中、事后等多方面规定了个人信息处理者保障个人信息安全的义务。包括制定内部管理制度和操作规程、分级分类管理个人信息、采取安全技术措施等;指定个人信息保护负责人监管个人信息处理活动、委托专业机构进行合规审计、事前评估对个人有重大影响的个人信息处理活动、履行个人信息泄露补救义务等。
(一)实务案例
实践中,最高检通过制发检察建议要求相关单位整改完善的典型案例为韩某、张某某等侵犯公民个人信息罪一案。本案中,被告人韩某利用其工作便利,进入他人账户窃取上海市疾病预防控制中心每月更新的全市新生婴儿信息,并出售给被告人张某某,被告人张某某再转卖给被告人范某某。法院认定被告人韩某、张某某等人违反国家规定,分别以窃取、出售、收买等方式侵犯公民个人信息,情节严重,其行为均已构成侵犯公民个人信息罪。针对国家工作人员利用职务便利窃取公民个人信息的情况,浦东新区检察院向上海市疾病预防控制中心发出检察建议,要求其从系统账号密码专人专用、使用留痕,签订岗位保密协议,建立事后备查制度等方面进行整改完善,上海市疾病预防控制中心收函后立即采取相应措施进行整改,并将相关整改落实情况由专人至区检察院进行通报,以防止类似事件再次发生。
而雀巢公司员工杨某、郑某出售、非法提供公民个人信息罪一案,在一定程度上,意味着刑事合规可以作为单位出罪的抗辩事由。本案中,郑某、杨某为了抢占市场份额,推销雀巢奶粉,授意该公司兰州分公司婴儿营养部员工被告人杨某甲等人通过拉关系、支付好处费等手段,多次从多家医院医务人员手中非法获取公民个人信息。法院认定本案不属于单位犯罪,从裁判文书对证据的认定和说理来看,雀巢公司提供的政策与指示、雀巢宪章等文件充分证明了雀巢公司内部制定了合规制度并对员工进行有效的合规培训,明确禁止员工从事非法侵犯公民个人信息的行为,涉案行为只是员工个人意志体现而非单位意志体现。同时,雀巢公司已经尽到了合理注意义务,最终成功地切割了单位责任和员工个人责任。
(二)分级分类管理
根据《草案》第五十条之规定,个人信息的分级分类保护,是企业内部管理的基本要求。此前,《数据安全法》第十九条要求国家根据数据在经济社会发展中的重要程度,以及对国家安全、公共利益或者公民、组织合法权益造成的危害程度,实行数据分级分类保护。目前,相关部委指导性文件和标准为企业内部开展个人信息分级分类管理提供了很好的思路。比如《工业数据分类分级指南(试行)》提出了对工业数据的分类和分级标准;《证券期货业数据分类分级指引》综合影响对象、范围、程度三要素对数据定级;《个人金融信息保护技术规范》对个人金融信息进行了分类分级等。
对于企业来说,建议从自身的实际业务和经营出发,建立内部的个人信息分类分级机制,严格区分敏感个人信息和一般个人信息,按照个人信息的内容、价值和安全风险制定不同的级别。需要注意的是,对个人信息进行分类分级后,企业仍需采取一系列配套措施实现个人信息的安全管理。包括制定个人信息分类分级的制度、操作指引,尤其是确定更新机制;设置个人信息分类分级的负责机构和岗位,明确职责,引入培训、考核机制等;明确个人信息共享、授权使用等流动过程的合规要求。
(三)制度管理
《草案》对个人信息处理者个人信息保护制度体系的建设提出了较为细化的要求,除前述分类分级机制外,建议重点从以下方面进行制度管理:签署岗位保密协议。在与员工签订的劳动合同中,明确个人信息安全及保密相关的义务,同时加强对员工进行有效的合规培训,引入考核机制;系统账号密码专人专用。对员工处理信息权限分级管理,对录入、访问、更新、维护权限进行区别,与个人信息分级相匹配,保证专人专用;个人信息处理工作留痕。建立日志管理,严格监控操作过程;建立事前评估机制,完善个人信息泄露的补救机制,建立责任追究制度。
参考文献:
[1] 刘艳红:“侵犯公民个人信息罪法益:个人法益及新型权利之确证——以《个人信息保护法(草案)》为视角之分析”,载《中国刑事法杂志》2019年第5期。
[2] 自正法,韩轶柱:“流通知情权与侵犯公民个人信息罪的法益及其刑事保护边界”,载《内蒙古社会科学》2020年第5期。