企业数字化转型过程中的刑事风险之侵犯公民个人信息犯罪

——企业大数据合规系列之三

作者：王伟 朱宣烨 高阳 王明志

防范刑事风险是企业数据管理合规中的筑底部分的内容，侵犯个人信息犯罪则是企业数据管理过程中可能遇到的一个重要罪名。本文希望通过介绍这一罪名，一方面帮助企业了解如何防止触犯这一罪名，另一方面使企业了解如何预防个人信息遭遇犯罪行为侵害，以及在掌握的个人信息遭遇侵害时可选择的一条救济途径。

新三板公司数据堂涉案——侵犯公民个人信息成为企业数据管理的重要风险

企业在收集使用个人信息这一最具价值的数据类型的过程中，极易触发该项罪名，同时也可能遭受这类犯罪行为的侵害。2018年7月，公安部、最高人民检察院督办特大侵犯个人信息专案顺利破获，该案牵涉11家公司（其中三家公司涉嫌单位犯罪），57名犯罪嫌疑人。其中更为抓睛的是，“大数据第一股”的新三板上市公司数据堂也牵涉其中，多名数据堂股东都曾接受过调查，最终包括首席运营官、平台资源部总监等在内的6名员工被诉。数据堂公司本身虽然尚未被诉（对数据堂公司本身是否涉嫌单位犯罪仍存争议），但自2017年8月14日起已经停牌，至今仍未复牌，公司的产品营销线和金融征信线已被关停。

该案中，涉案信息的源头为联通一家合作商的两名“内鬼”员工，将涉及全国15个省份联通机主的上网数据和偏好，包括手机号、姓名、上网数据、浏览网址等（均为原始未脱敏数据，平均正确率为99.99％）出售给济南北商经贸有限公司，数据堂人员再从济南北商经贸有限公司购入涉案数据。此后数据堂公司有关人员，将经过清洗和处理的数据卖给扬州金时公司（主要内容为手机号、地区和偏好，如房地产相关等），扬州金时公司再转手将数据卖给上海驭欣公司。具体的个人信息的流经途径见下图。                                             

2. 侵犯个人信息犯罪的几个要点

据《刑法》第253条之一第1款，侵犯个人信息犯罪是指违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，该罪最高刑罚七年。第3款规定，窃取或者以其他方式非法获取公民个人信息的，依照第一款的规定处罚。

关于侵犯个人信息犯罪，我们简单分析如下

2.1. 公民个人信息范围远远不止身份识别信息

根据2017年6月1日起施行的法释〔2017〕10号《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下称“《解释》”）可知，公民个人信是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，具体而言，姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等都属于个人信息。

此外，根据我们对现有司法判例的研究，我们注意到涉及到的个人信息包括行踪信息、护照信息、驾照信息、车辆信息、手机通讯录、短信、航班信息、住宿信息、通话位置、公司客户信息、出入境信息、支付宝、淘宝账户及密码、游戏账户及密码、购物订单信息、股民信息、劳动合同信息、贷款人信息、婴幼儿个人信息、学生家长姓名电话等等都也都被认定为个人信息。

为方便理解，我们将个人信息范围的要点总结如下：

• 经过匿名化处理，不能关联到具体个人的信息不属于刑法规制的个人信息。

• 公开渠道能够查询到个人信息，一般不认为是受刑法保护的个人信息。深圳市中级人民法院就认为，企业根据法律法规规定或为经营所需而公开的企业信息，即使包含了个人姓名、联系方式，亦不属于刑法意义上的公民个人信息。

• IP地址、设备ID号和cookie信息是否属于个人信息，目前没有案例确定，需根据具体的案件情况判断。

2.2. 单位、个人均可能构成本罪

刑法规定，侵犯公民个人信息罪这个罪名可以构成单位犯罪。认定单位犯罪和个人犯罪的区别在于是否是受单位意思支配，并为单位利益从事犯罪行为。一旦企业被认定构成单位犯罪，绝非仅是发紧损失，而是可能丧失一些领域的投标资质和市场准入的条件，直接影响到业绩指标考核，股价表现。

2.3. 非法获取、非法出售或提供个人信息的行为表现多样，犯罪行为可能发生于个人信息生命全过程

• 违反国家规定，通过 窃取、购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中获取公民个人信息均可认为是 “非法获取公民个人信息”。

  实践中，内部人员窃取、通过业务合作进行交换、通过qq群购买、跟踪偷拍、黑客攻击、使用木马病毒获取、通过伪基站非法获取个人信息等都是常见的形式。

• 非法公开发布公民个人信息也是“提供”的一种表现形式。

  实践中，案例主要为利用qq群等网络社群进行发布公开。

• 侵犯公民个人信息的犯罪行为遍布于个人信息流转的各个环节。例如数据堂案件中，电信运营商、电信运维服务企业，到大数据分析、加工企业，再到精准营销公司，数据流通各环节均涉及其中，涵盖数据安全、采购、使用等数据行业领域。

2.4.只要非法获取或者出售提供的数据达到一定数量就构成犯罪，不以有损害后果为前提，非法获取数据用于合法经营也可构成犯罪

对于侵犯公民个人信息犯罪的入罪标准-“情节严重”，《解释》根据公民个人信息敏感程度的级别不同分别设置了“五十条以上”、“五百条以上”、“五千条以上”的涉案个人信息数量标准，除此以外，还对违法所得数额、信息用途进行规定。但该罪的构成并不要求造成损害结果，损害结果被规定在“情节特别严重”的情形当中，用以作为加重刑罚的标准。

尤其值得注意的是，非法获取数据用于合法经营也可构成犯罪。

2.5.对批量公民个人信息的条数，根据查获的数量直接认定

涉案公民个人信息的数量对于侵犯公民个人信息罪定罪量刑具有重要作用。对批量公民个人信息的条数，根据现有司法解释规定，如果犯罪嫌疑人或者刑事案件被告对根据查获的个人信息数量有异议的，认为信息不真实或者重复的，应当予以证明。

3.合规建议

企业在数字化过程中，既要着重防止踩踏侵犯公民个人信息犯罪的雷区，也应当采取措施防止自身受相关犯罪行为侵害。

3.1.数据获取环节

企业应当把控数据源头的安全，避免涉嫌“非法获取”公民个人信息。

• 对于直接向用户进行的收集行为，要根据《网络安全法》等法律法规、参照有关国家标准通过完善的隐私协议获得用户明示的同意，保证数据来源合法；

• 对于从第三方购买或受让数据的，在接受数据之前，企业应对数据供应商就获得数据而签订的授权书进行审查；

• 企业要重视与数据供应商的协议，要求数据供应商做出如下承诺与保证：（1）供应商保证其采集数据或者获得数据的行为合法； （2）供应商保证已经获得了所有必要的个人授权；或者（3）供应商保证其已经做了数据的脱敏，经处理后无法识别特定个人且不能复原；

• 对于在公开网络上数据抓取[i]的，注意避免抓取Robots协议[ii]明确禁止的内容；

• 对于通过API或SDK接入的方式从第三方获取数据的，企业应该严格遵守“用户授权”+“平台授权”+“用户授权”的三重授权原则[iii]。

3.2. 数据提供环节

• 保证数据权属清晰，核查企业自身是否与相关个人签订授权协议并且检查相关内容；

• 将所有拟出售的数据进行严格脱敏，即处理之后无法识别特定个人且不能复原；

• 在与购买者签订协议中要求购买者不能采用任何手段识别特定个人身份；

• 做好尽职调查，审查购买方对数据的用途；

• 如有理由确定个体可能暴露身份的时候，应该立即暂时取消或者终止数据流动的发生。

3.3. 人员管理方面

• 在员工劳动合同中，对数据安全及保密相关的义务和责任进行规定。

• 对员工处理信息权限分级管理，对录入权限、访问权限及维护权限进行区别，与数据分级相匹配，对数据访问采用身份验证。

• 对员工进行规范化培训，制定和完善数据处理操作流程。

• 对员工进行数据安全警示教育，谨防刑事风险发生。

• 对数据处理工作留痕，对数据处理建立运行日志管理，严格监控操作过程；

• 对发现的数据安全问题，要及时处理和上报，建立责任追究制度。

3.4. 数据分级管理

数据分级对于数据安全而言不可或缺，我们建议企业均应该建立内部的数据分级机制，严格区分高度敏感信息、敏感信息以及一般的个人信息，分别对各等级信息设置配套的安全措施，并且严格按照数据分级情况进行数据共享或授权使用。明确负责的部门及个人，保障数据安全。

[i] “数据抓取”是指搜索引擎未经数据方授权，通过爬虫（spider）程序进行的，需要自行分析网页上的非结构化数据，并会在数据方的网页服务器的相关日志中体现访问记录的互联网技术行为。

[ii] Robots协议（也称为爬虫协议、机器人协议等）的全称是“网络爬虫排除标准”（Robots Exclusion Protocol），网站通过Robots协议告诉搜索引擎哪些页面可以抓取，哪些页面不能抓取。

[iii] 新浪微博诉脉脉案确立的在OpenAPI开发合作模式中，第三方通过OpenAPI获取用户信息时应坚持原则。