侵犯公民个人信息犯罪的企业刑事法律风险防控(一)

——以数据分析为主要方法


作者:朱宣烨 曾雯雯 王伟 董芊 王丹阳


个人信息不仅是自然人的重要权益,也是企业非常重要的资产。近年来,随着《网络安全法》等一系列法律法规及征求意见稿的颁布,如何合法的地获取、使用、流转、保护自身掌握的个人信息成为了众多企业需要迫切解决的问题。随着企业进行数据合规的自主意愿增强,和行政监管部门对于违法处理个人信息的监管力度增强、范围扩大,以公民个人信息为直接犯罪对象的入刑案件也呈井喷式增长。在刑事领域,国家在立法中对侵犯公民个人信息的行为规定了单独的罪名:《中华人民共和国刑法修正案(七)》增设了非法获取公民个人信息罪,《中华人民共和国刑法修正案(九)》增设了侵犯公民个人信息罪。


本文将从侵犯公民个人信息构成刑事犯罪的角度探讨企业刑事法律风险的防控。我们对2015年1月1日至2018年11月期间审结的侵犯公民个人信息犯罪案件进行了检索、筛选,保留其中与企业相关的378件(以下简称“样本案例”)进行统计分析,并将从企业数据合规及数据保护的角度提出针对性建议。此外,需要说明的是,侵犯公民个人信息行为构成其他犯罪的(如非法获取计算机系统罪)不在本文的讨论范围之内。我们将在本文中对于企业数据合规案件进行简要描述,分享我们的数据分析结果,后续还将发布一系列文章针对不同行为模式提出具体的合规建议,希望各位业界同仁持续关注,并与我们交流最新观点。


一、案件类型


我们将涉及企业的个人信息刑事案件总结为两类,一类是企业掌握的个人信息被侵害(既包括来自外部的侵害,也包括企业内部人员不法行为引起的侵害),第二类是企业或其员工侵害公民个人信息(即企业或其员工作为加害者,犯罪对象并非企业本身掌握的个人信息),两类案件在样本案例中的数量见下图。无论哪种情况,都表明相关企业在数据合规方面存在风险点,亟待改进和完善。


31.png

                                             

1.1 企业掌握的个人信息被侵害


在样本案例中,企业掌握的个人信息被侵害的案件共有177件,其中有132件是由于企业自身存在网络安全漏洞、遭遇网络攻击、网络爬虫等,另外45件案件的始作俑者则是企业内部人员,即由于制度不严、权限管理混乱等原因导致企业内部人员非法对外提供企业掌握的个人信息。


32.png


1.2 企业或其员工侵害公民个人信息


样本案例中有201件企业或其员工侵犯公民个人信息的案件,其中35件中的企业构成了单位犯罪。


33.png

二、样本案例中的涉案个人信息特点

 

我们对样本案例中的涉案个人信息进行了分类统计,并形成了下图。经过我们的分析,涉案的个人信息主要集中在个人基本信息方面,除此之外,个人身份信息和个人财产信息也是极易遭到泄露和侵害的信息类型,总体来说,受侵害的信息类型呈现出以下的特点:


34.png

2.1 类型广,但分布不均


2.1.1 类型广


如上图所示,涉案的个人信息几乎涵盖《信息安全技术 个人信息安全规范》(GB/T 35273-2017)(以下简称“《个人信息安全规范》”)列举的所有类型。其中个人基本信息(包括姓名、住址、个人电话号码等)占据了绝对大比例,几乎92%的案件中涉及到这类个人信息。


占据第二位和第三位的分别是身份证号、社保卡号等个人身份信息,以及银行帐号、交易和消费记录、征信信息、房产信息等个人财产信息。


除此之外,涉案信息还包括系统账户、ID地址等网络身份信息,生育信息等个人健康生理信息,日志上存储的用户操作记录等上网记录,联系人信息等个人通讯信息,行踪轨迹、位置信息、住宿信息等个人位置信息等,虽然涉及案件数量不多,但上述信息或敏感程度高,或能高度精确反映个人情况,或单案涉案个人信息数量巨大,也会成为司法机关关注的重要案件类型。


2.1.2 敏感信息和非敏感信息均有涉及


本文采取的敏感信息的概念主要依据《个人信息安全规范》中的定义,即“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。在我们统计的涉案信息中,涉及到财产信息、健康生理信息、生物识别信息、身份信息和网络身份标识信息、电话号码、网页浏览记录、行踪轨迹等敏感信息的案件有357件,涉及非敏感信息(例如个人姓名、性别、个人职业等)的案件有287件。


2.1.3 结构化信息和非结构化信息均有涉及


结构化信息是指已经经过处理,将信息分为各部分、有着分明的层级和联系方便后续处理的信息。非结构化信息是指未经结构化的处理,信息的形式相对不固定,各种格式都存在于其中。在我们的样本案例中,结构化信息和非结构化信息均有涉及。如在数据堂案件中,被非法出售用于精准营销的数据就是经过加工后的结构化数据。


2.1.4 涉案个人信息分布不均


受作案手段、个人信息可获取程度的难易、个人信息可以带来的经济利益的高低等因素影响,涉案个人信息呈现出分布不均衡的特点。


从涉案个人信息的类型看,如前所述,涉案信息类型明显集中在个人基本信息、个人身份信息和个人财产信息上,主要与信息可利用的程度相关,例如个人基本信息中,姓名、电话、住址等是拓展业务最常被用到的信息。财产信息中的征信信息、房产信息也在涉案信息中占较高比例,共占涉案信息中的35.7%。而从涉案个人信息的行业来源看,该等信息来源主要集中在房地产、咨询、金融、教育行业。


35.png


2.2 单案涉及个人信息的数量级巨大


样本案件中,涉案个人信息数量级在5000-10000条的案件最多,其次是10000条以上的。涉案信息数量在5000条以下的案件数量在样本案件数量中仅占22.2%。

 

36.png

三、犯罪主体的特征


企业数据合规问题很重要的一环是人员组织结构安排及权限设计。通过以犯罪主体为切入点对样本案例进行的分析,我们发现目前相关案例的涉案主体呈现出“类别多样 重点突出”的特征,下文将从企业掌握的个人信息受侵害(即企业所谓受害人)及企业或其员工侵害公民个人信息(即企业或个人作为加害人)两个方面进行具体的分析。我们希望借此为企业敲响警钟,意识到个人信息管理流程中的薄弱环节所在,并进行相应的整改。


3.1 企业掌握的个人信息受侵害案件中的涉案主体情况


3.1.1 企业内部人员


我们搜集了177个明确表明企业掌握的个人信息受侵害的案例作为样本,经过分析,在这些样本中共有132个案件的罪犯是企业内部人员,占样本总量的74.6%。这些公司内部人员既有利用工作便利接触到公民个人信息的机会,又有为了公司业绩或自身利益非法提供或出售公司掌握的个人信息的情况。在样本案例中,共有293个案例有企业普通员工涉案,35个案例有法定代表人涉案,34个案例有高管涉案,2个案例有股东涉案,可见企业内部的涉案人员中,占比最大的是普通员工,不同种类的涉案人员分布图可以参考如下。

 

37.png

3.1.2 第三方供应商

 

在样本案例中,有两件案例属于企业供应商实施的侵害数据的行为。其中一件案例的涉案人员通过与苹果外包公司客服勾结1,非法收购相对应的苹果手机ID注册信息(包括姓名、邮箱号、手机号、地址、邮编等内容),用以非法倒卖或用于发送钓鱼网站获取密码后进行解锁手机,从中获利。另一件是案例的涉案人员则利用其在技术外包服务公司从事技术工作的便利,非法获取公民个人信息数十万条2。


3.1.3其他涉案主体


在378个样本案例中,有62个案例的侵害行为实施主体来自于除企业内部人员和第三方供应商的其他人员。以洪某某侵犯公民个人信息罪一案为例,2016年12月至2017年3月间,被告人洪某某以技术手段侵入被害单位深圳利信快捷金融服务有限公司的计算机信息系统,非法获取该公司的业务数据,其中包含公民个人交易信息1414条、一般公民个人信息2618条3。


3.2 企业或其员工侵害公民个人信息案件中的涉案主体情况


3.2.1企业自身或其股东、法定代表人、高管


企业或其员工侵害他人个人信息,既可能是为了提升业绩等目的,也可能是直接为了非法出售个人信息或从事诈骗等非法目的。在378个样本案例中,涉及单位犯罪的有35个,占比9.26%,涉及的行业领域主要是教育行业、房地产行业、信贷行业以及人力资源咨询行业,这些企业收集公民个人信息的目的主要是为了开展业务。企业侵害公民信息的犯罪行为模式主要是股东、法定代表人出于公司利益的考量,由其授意,以公司的名义购买、交换公民个人信息。需要注意的是,如果设立公司的目的就在于进行个人信息非法获取和买卖这一违法目的,则不会涉及单位犯罪,仍为个人犯罪。


3.2.2企业普通员工


在实际生活中,很多企业的员工为了个人的销售业绩,不惜通过购买个人信息的方式进行一对一的销售,这种现象主要存在于教育培训机构、小额信贷企业、奶粉销售企业等。例如,在胡某某、陈某某买卖侵犯个人信息罪一案中,被告人李某某、胡某某、陈某某、杨某某、何某某、段某某系重庆市渝中区今服荣信咨询服务有限公司商务二组员工4。为了便于推广业务,李某某、胡某某、陈某某、杨某某、何某某、段某某利用各自的QQ号码,加入多个“相互提供资料”的QQ群,与他人交换商品房业主信息、车主信息等公民个人信息,用于拨打推销贷款等业务电话。


近年来,随着互联网技术的不断应用和变革,网络安全及数据合规问题成为了企业数字化转型中的新焦点,数据存储及分析能力成为企业发展的硬实力之一,但面对海量数据的存储和分析,多数企业却没有具备完善的技术和安全方案,从而暴露在数据泄露和网络攻击的高度风险中,甚至陷入处罚或诉讼的泥淖。通过对行业的长久观察和对样本案例的深入分析,我们发现企业在数据安全问题中具备“双重身份”,既可能因不合规行为成为侵害公民个人信息的“加害者”,也可能由于管理不善成为他人不法行为的“受害者”,而具体涉案的事实情况和行为模式则多种多样。我们将在后续的文章中针对不同场景和具体风险进行一系列分析,并为企业提供相应的合规建议。

 

1. (2017)浙0784刑初616号 曲某某、赵某某出售、非法提供公民个人信息、非法获取公民个人信息一审刑事判决书

2. (2018)川01刑终454号 吕某、周某侵犯公民个人信息二审刑事判决书

3.(2018)京0108刑初745号 洪某某侵犯公民个人信息罪一审刑事判决书

4.(2018)渝0113刑初88号 胡某某陈买卖等侵犯公民个人信息罪一审刑事判决书