王 融 腾讯研究院
刑事保护是我国目前在个人信息保护领域应用最为活跃的法律机制。
2017年6月1日,《网络安全法》以及最新刑事司法解释正式施行,我国个人信息保护刑事立法适用主体广、入刑门槛低、适用刑罚严厉的特点更为明确。
在此背景下,准确理解立法制度与适用,对企业有效防范刑事风险至关重要。
有关公民个人信息保护的刑事规定,主要在《刑法》第二编分则,第四章:侵犯公民人身权利、民主权利罪中。1997年《刑法》中仅规定了侵犯通信自由罪(第252条)以及私自开拆、隐匿、毁弃邮件、电报罪(第253 条)。
随着近几年公民个人信息受侵害现象越演越烈,在近年来刑事立法活动中,都将个人信息保护作为其中重要的修法内容。
2009年,
《刑法修正案(七)(以下简称《刑七》)首次引入了个人信息保护新罪名。在《刑法》第253条中增加“出售、非法提供公民个人信息罪”以及“非法获取公民个人信息罪”。犯罪主体限定为特殊主体,包括:国家机关、金融、电信、交通、教育、医疗等单位及工作人员。
2015年,
《刑法修正案(九)》(以下简称《刑九》)再次对刑法第253条作出修改完善:(1)扩大犯罪主体范围。任何单位和个人只要实施违法行为,情节严重的,都可构成犯罪;(2)量刑增加一档。在原有的“处三年以下有期徒刑或者拘役,并处或者单处罚金”基础上,针对“情节特别严重的”,量刑提升至“三年以上七年以下有期徒刑,并处罚金”。(3)增加从重处罚的情形。“将履行职责或者提供服务过程中获得的个人信息,非法出售、提供给他人的,适用从重刑。”修改后的罪名统一称为“侵犯公民个人信息罪”。
2017年5月,
两高发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号,以下简称《解释》)。在个人信息保护刑事司法近十年实践经验的系统总结之上,《解释》对困扰司法实践的定罪量刑热点问题作出明确回应。
《刑(九)》第253条与《解释》是我国针对个人信息侵害行为,独立发展出的刑事规范完整体系,包括了个人信息罪的罪名罪状、定罪量刑标准、相关法律适用、甚至涉及诉讼中的举证责任分配问题。
这在全球刑事立法及司法领域也数少见。在该领域,我国已然形成了具有鲜明国情特色的“中国样本”。
▌
(一) 刑事司法最活跃
民事救济、行政监管、刑事打击是个人信息法律保护体系的三大支柱。我国在民、行、刑三领域的个人信息保护立法也均有建树。然而在法律适用领域,与民、行相比,我国个人信息保护刑事司法实践更为活跃。据统计,自2009年《刑(七)》引入个人信息刑事罪名到2016年12月,全国法院共审结出售、非法提供公民个人信息、非法获取公民个人信息刑事案件1433起,生效判决人数2112人。特别是2015年11月《刑(九)》生效以来,我国对侵犯公民个人信息犯罪呈高压态势,案件量显著增长,仅一年间审结464件,生效判决人数697人
【1】
。
刑事追责是我国当前个人信息保护领域应用最广泛深入的法律手段,这与欧洲推崇行政监管,美国倚重民事救济相比,具有鲜明特色。
▌
(二) 适用主体广
刑事责任是最严厉的法律责任,只规制严重侵害或威胁法益的行为,适用也往往更加谨慎。这也是《刑(七)》在最初引入相关罪名时,仅把犯罪主体限定为国家机关及特定行业单位及个人的主要出发点。实际上,从全球范围看,在建立有个人信息刑事追惩机制的国家,一般也会通过不同方式对罪名适用加以限制。例如:美国个人信息保护立法分散在金融、健康、征信以及儿童隐私等敏感信息领域,其中仅仅针对个人健康信息违法行为建立了刑事处罚。美国《健康保险隐私及责任法案》(Health Insurance Portability and Accountability Act,HIPAA)对犯罪主体限定为医疗机构及工作人员,并特别强调主观恶意,只有在明知故意、或欺诈、虚假陈述方式获得非法利益的情形下,才会被追究刑事责任。
相比而言,为进一步打击个人信息违法活动,我国《刑(九)》在适用主体范围上做出重要突破,“侵害个人信息罪”不再局限于国家机关、重点行业领域。任何个人、单位都有可能因非法获取、提供个人信息而被追究刑责。
▌
(三) 入罪门槛低
“情节严重”是我国将“违法提供、获取个人信息”行为入罪的核心标准。《解释》从信息数量、违法所得、信息用途、主观恶性、违法主体五个方面,对“情节严重”做了具象化的描述。从《解释》对五方面的界定标准看,我国对侵害个人信息罪的入罪门槛设定较低。以信息数量为例,对高度敏感个人信息——“行踪轨迹信息、通信内容、征信信息、财产信息”非法提供、获取的,数量达到50条即可入罪;如若是将履行职责或者提供服务过程中获得的此类信息出售或者非法提供给他人的,数量标准减半,25条即可入罪。
▌
(四)适用刑罚较严厉
我国对个人信息罪的适用刑罚包括了人身自由刑和罚金两类。其中,第一档量刑在“处三年以下有期徒刑或者拘役,并处或者单处罚金;”,第二档量刑为“三年以上七年以下有期徒刑,并处罚金。”。
从国际比较而言,上述刑罚是较为严厉的。首先,目前仍有部分国家并没有就个人信息保护设立专门的刑事责任体系,而是仍停留在侵犯公民通信自由罪、非法入侵信息系统罪阶段。即使是针对个人信息保护,建立有刑事机制的国家,也通过不同方式对适用作出了限定。例如:(1)通过适用范围予以限定,如上述美国情形,仅针对医疗健康行业;(2)刑罚中仅包括罚金刑,不包括人身刑,如加拿大、爱尔兰;(3)或虽规定了人身刑,但在司法实践中绝大部分适用罚金刑,如英国、新加坡;(4)人身自由刑设置缓和,不超过1年或2年。如:德国、葡萄牙、荷兰等大部分欧盟成员国的刑法设定。我国近邻日本最高刑期不超过6个月
【2】
。
综上,我国的个人信息保护刑事政策是较为严苛的,在此背景下,准确理解刑事立法制度与适用,对企业有效防范刑事风险至关重要。
结合《刑(九)》、《解释》以及两高发布的个人信息罪典型案例,理解我国个人信息保护刑事制度可从以下问题入手。
▌
(一) 哪些个人信息纳入刑法保护?
第一、 《解释》对个人信息的界定做出了重要扩展,在“身份识别信息”基础上,新增“个人活动情况信息”。
从2012年《全国人大常委会关于加强网络信息安全的决定》(以下简称2012年《人大决定》)到2016年《网络安全法》,
我国立法对个人信息的界定一直限定为身份识别信息。
此次《解释》对个人信息做广义理解,明确:“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合
识别特定自然人身份或者反映特定自然人活动情况
的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
“个人活动情况的信息”首次列入刑事保护的个人信息范围。
需要明确的是:定义中界定部分与列举部分的关系。并不是列举信息都必然是个人信息。例如:所列举的“财产状况、行踪轨迹”只有在能够识别特定人身份或者反映特定人活动情况时,才属于个人信息。群体的财产状况、行踪轨迹(如春运热力图)并不是个人信息。
第二、根据个人信息与人身、财产安全的敏感程度,《解释》将个人信息区分为三类,并设置相应入罪梯度
【3】
。第一类:高度敏感信息,
包括四种信息:行踪轨迹信息、通信内容、征信信息、财产信息。涉及高度敏感信息的违法活动,由于定罪门槛最低,因此严格限制在此四类,不做任何扩展;
第二类:敏感信息,
即住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息。与第一类相比较,《解释》对第二类信息的界定仍留有空间,意味着在司法实践中,仍有可能会出现目前所列举之外的第二类信息类型;
第三类:其他个人信息。
即上述第二、三类以外的个人信息。个人信息的类型是定罪量刑的重要依据。越敏感信息,达到定罪门槛的信息数量越少。
第三、新增加的“行踪轨迹”仅指个人实际物理位置信息。
《解释》公布后,有观点认为“行踪轨迹”不仅包括实际物理位置信息,还可能会包括个人在虚拟网络中的活动轨迹,例如cookie中信息记录。这种理解并不准确。从立法部门对《解释》的说明看,列入“行踪轨迹”信息类型的主要目的是打击利用此类信息的绑架、诈骗等危害人身安全犯罪行为,且“行踪轨迹”被列入高度敏感信息类,有关此类信息的入罪门槛低,因此严格限定为四类,不做任何扩展解释,用户的网络活动轨迹不属于此类“行踪轨迹”。
第四、新增加的“财产状况”不仅包括传统银行账户信息,也包括互联网金融业务中的账户财产信息。
如:第三方支付结算帐户、金融服务账户及财产信息。
第五、“公民个人信息”,并不限定在中国公民。
基于平等适用刑法原则,对侵害我国境内外国人、无国籍人个人信息的案件,以及我国境内行为侵害境外外国人、无国籍人个人信息的案件,我国都予以刑事保护。这一理解也符合《网络安全法》立法精神。《网络安全法》从一审草案到最终稿也删去了“公民”表述,个人信息并不以中国公民为限定。
▌
(二) 哪些行为会被追究刑事责任?
1.“非法提供”和“非法获取”两大类行为
我国刑事立法主要打击个人信息犯罪链条两端行为,即非法提供和非法获取两大类。而在个人信息保护的中间环节,如个人数据的留存、更正、删除、加工、分析等处理行为,更多留给民事、行政领域立法调整。
2.“违反国家有关规定”是认定“非法”的重要依据
《刑(九)》并没有列明哪些行为属于非法获取或非法提供、而是给出了一个笼统的前提——“违反国家有关规定”。
而《刑(七)》到《刑(九)》的重要变化之一,
是将“非法”这一前提 ,
从“违反国家规定”扩展为“违反国家有关规定”。两字之差体现了重大变化。
依照刑法总则第九十六条:本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。由此刑法中的
“国家规定”
排除了地方性法规、地方规章和国务院各部委制定的部门规章。
此次《解释》在《刑九》基础上,对“国家有关规定”进一步明确为法律、行政法规和部门规章。
部门规章自此成为个人信息刑事定罪的重要基准之一。
而从我国的立法实践看,有关个人信息保护的规定,大量分散在部委规章中。特别是随着“互联网+”的快速发展,互联网对传统行业、领域的渗透加速,传统监管部门对信息安全、数据保护的关注加大,新制定的部门规章中往往会嵌有个人信息保护条款。例如:2016年交通部等七部委颁发的部门联合规章《网络预约出租汽车经营服务管理暂行办法》对个人数据的获取、对外提供制定了更为细致的规定。其中部分规定比《网络安全法》更为严格。
▌
(三) “非法提供”如何认定
1.“出售”是“非法提供”的典型行为方式
从《刑(七)》到《刑(九)》,“出售”行为都从“非法提供”行为中单独列出,概因“出售”行为的主观恶意最为明显,也是现实中个人信息黑产的主要形态。但仍需要注意的是,对于“出售”行为,刑法并没有“一刀切”的禁止,仍然限定在“违反国家有关规定”的情形下。这与《网络安全法》一脉相承,也是对2012年《人大决定》中一刀切禁止“出售行为”的修正。
2.“非法发布”行为也属于“非法提供”
“提供”既包括向特定人提供,也包括向不特定人提供。
此次《解释》明确:通过信息网络或者其他途径发布公民个人信息的,属于“提供公民个人信息”。这在一定程度上回应了备受争议的“人肉搜索”是否入刑的问题
【4】
。即违法发布他人个人信息,情节严重,可被纳入“非法提供”情形。
3. 不属于非法提供的情形
合法提供个人信息,主要包括两种情形:
(1)经被收集者同意。
《网络安全法》第四十二条第一款规定:未经被收集者同意,不得向他人提供个人信息。因此,获得个人同意,属于合法提供的情形。且《网络安全法》中并没有就同意的形式作出限定。但需要注意的是,在一些行业特别法中对同意的形式提出了具体要求,如《征信业管理条例》对于“提供”的规定,部分情形下要求信息主体的“书面同意”,《网络预约出租汽车经营服务管理暂行办法》规定:要求获得信息主体的“明示同意”。
(2)数据经过处理无法识别个人,也无法复原。
同样是《网络安全法》上述条款中的但书规定,对提供匿名化数据的行为予以了豁免。该条款科学平衡了安全与发展二者关系,为数据合理流动、创新提供了合法路径。
上述两种情形,是我国立法中明确规定的数据提供行为的合法情形,
也是当前企业实务应用的最为主要的合法抗辩理由。
当然,除了以上合法情形外,从对“非法”的法理理解出发,对外提供个人信息仍可以有以下合法理由:(1)为保护信息主体、或其他第三方生命、财产的重大利益而需要提供的;(2)为履行向国家机关、司法机关执法协助义务而需要提供的。但显然,此类情形并非企业日常经营中数据提供的常见情形。
▌
(四) “非法获取”如何认定
1.“窃取”是“非法获取”的典型行为方式
与“出售”行为始终在“非法提供”类行为中单独列出类似,“窃取”也一直作为“非法获取行为”的典型方式单列。这强调了获取方式手段自身的非法性,以此类推,以“欺骗”、“抢夺”等非法手段方式获取的当然也属于非法获取。但这并不意味“非法获取”仅考虑获取手段的非法性
【5】
。
2.无法提供获取信息的正当性,可被认定为“非法获取”
即只要违反国家规定获取个人信息,信息获取者无法主张其获取信息的正当理由的,无论是以“窃取”等本身非法的手段来获取,还是以“购买、收受、交换”等其他手段,都可被认为“非法获取”。这有利于直接打击个人信息黑产中的买卖交易,但同时也对大数据开发利用中的商务合作带来更高合规风险,特别是通过第三方渠道获取个人信息的,需要在事前履行更加审慎的合规义务。
以上两类情形,更多指向了不同主体之间对于数据的获取、流转行为,除此之外,此次《解释》对“非法获取”的含义做进一步扩展,深入到收集环节。
3.“在提供服务过程中,违反国家有关规定收集个人信息的,视作“非法获取”
尽管《网络安全法》主要适用于网络运营者,但它是目前最能完整体现我国个人信息保护制度的主要立法,确立了个人信息的收集原则及具体要求。参考其第四十一条规定,以下情形下的收集活动,都可被视为“非法获取”:
(1)未遵循合法、正当、必要原则收集信息;
(2)未公开收集信息的规则,使用目的、方式和范围;
(3)未经过被收集者同意;
(4)收集了与所提供服务无关的个人信息;
(5)收集了法律、行政法规禁止收集的信息;
(6)收集了超出约定范围的信息;
以上可见,我国对“非法获取个人信息”的行为认定已覆盖到实务中的个人信息收集环节。况且,除《网络安全法》之外,我国仍有相当数量法律、行政法规、部门规章涉及到关于个人信息收集的具体要求,
“违法收集个人信息”的刑事风险点显著增多。
▌
(五) 如何“定罪量刑”
《解释》第五条规定了“情节严重”“情节特别严重”的两档量刑标准。
1.符合“情节严重”,适用第一档量刑(最高刑3年)的情形:
① 出售或者提供行踪轨迹信息,被他人用于犯罪的;
② 知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
③
非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息
五十条以上的;
④
非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息
五百条以上的;
⑤
非法获取、出售或者提供第三项、第四项规定以外的公民个人信息
五千条以上的;
⑥
数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
⑦
违法所得五千元以上的;
⑧
将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定
标准一半以上的;
⑨
曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
⑩
其他情节严重的情形。
以上10方面,覆盖了犯罪构成的主体、主观方面、客体、客观方面的要素。其中
③
、④、⑤项,根据信息的敏感程度,分别设定了50条、500条、5000条的入刑标准。特殊主体(将履行职责或提供服务过程中获得的个人信息出售、非法提供给他人的)入刑标准减半。第⑥项查缺补漏,对同一案件中涉及到不同类型的,可按照数量比例累计入刑。
2.符合“情节特别严重”,适用加重刑的情形:
①
造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
②
造成重大经济损失或者恶劣社会影响的;
③
数量或者数额达到前款
第三项至第八项规定标准十倍以上的;
④
其他情节特别严重的情形。
在《解释》出台之前,尽管《刑(九)》中已将最高刑提升至7年,但实务中由于审判人员对个人信息犯罪的危害性并不确定,大部分法院审结案件是作出法定刑三年以下的判决
【6】
。《解释》对重刑情节予以明确,其中从信息数量因素看,尽管将重刑门槛定于普通量刑定罪数量的十倍以上,但由于普通量刑本身起点低,十倍之后也仍然不高。如依违法所得标准,违法所得在5万以上的,即可构成重刑。因此有学者预测,《解释》正式实施后,侵害个人信息犯罪适用重刑可能会出现激增现象。
3.为合法经营活动购买、收受公民个人信息定罪量刑的特殊标准:
①
利用非法购买、收受的公民个人信息获利五万元以上的;
②
曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;
③
其他情节严重的情形。
特殊适用标准是《解释》为大数据创新活动而做出的相对宽容的处理
。即如果企业是出于合法经营活动的目的,例如因广告营销目的,而购买、收受个人信息的,量刑适用于第一档刑(3年以下或罚金刑),并不适用从重刑。且定罪的考量因素也有所区别,
并不再参考信息数量标准,而是主要结合两方面
:一是违法收益(且收益标准也有所提升,达到5万元以上);二是是否重复犯。当然,适用此类宽容标准,有着严格的限制:
(1)必须为合法经营活动。如广告推销,或者被告方能够举证证明合法经营活动的其他情形。
(2)只能限定在获取行为,对外提供行为并不适用。
(3)
只能限定为普通个人信息,并不包括《解释》中所列的高度敏感信息和敏感信息两类。
此类相对宽松的量刑标准,反映了立法者在“安全与发展”之间的平衡。在信息用途上,将合法经营活动区分出来,
此类活动中的非法获取行为并不具有明显的社会危害性,入刑门槛适度放宽。
严厉的个人信息保护刑事规范,对打击个人信息违法犯罪活动会将起到更大威慑作用,
也将为
企业数据资产构筑法律安全屏障
。但同时,高企的刑事责任,对于企业来说,特别以数据处理为核心业务,或日常运营中处理敏感数据的企业,如互联网、电信、金融、征信、医疗、教育等行业领域的经营者而言,所面临的法律风险不容低估。特别是,我国“侵害个人信息罪”适用于单位犯罪。单位可作为违法主体被追究刑事责任,判处罚金,同时,单位直接负责的主管人员和其他直接责任人员也承担相应刑责。对此,企业应建立完备的数据管理安全体系,制定系统的风险防范策略予以应对。
▌
(一) 个人信息分类分级管理
《解释》出台之前,我国有关个人信息保护的相关立法中并没有直接体现出对数据的分类思路,仅仅在2013年指导性标准中,提出将个人信息区分为个人敏感信息和个人一般信息,并推荐适用不同的收集同意标准。
此次《解释》明确将数据自身的敏感程度作为定罪量刑的直接依据后,在企业实践中实施数据分类分级管理的必要性将更为突出。实际上,数据分级分类管理已是实务普遍做法,但根据《解释》,
企业需要在现有做法基础上,对个人信息类别再行细分,
同时也需要结合业务场景,与用户个人利益的相关度、数据自身安全威胁强弱等维度,系统梳理数据类别、安全级别,针对不同级别,实施强弱有别的安全防护。特别是在个人信息获取、对外提供环节,加大合规投入。
▌
(二) 信息获取,“取之有道”
本文并不讨论窃取、骗取等明显具有非法性的数据获取行为,而是企业正常经营活动中,涉及合规重点的两类情形:
1.提供服务过程中面向用户,直接收集个人信息的情形,需完成以下合规工作:
(1)保障用户知情权。
公开信息收集规则、收集的目的、收集的方式和范围,例如通过公告、隐私政策、业务协议等方式公开法定要求公开的信息。
(2)获得用户的同意。
这是决定收集“合法与否”的关键点。需要结合业务所适用的具体法规、规章,满足其具体合规要求。如上所述,《征信管理条例》中的“书面同意”要求,网约车规范中的“明示同意”要求等。通过业务协议等格式条款获取用户同意的,需要满足合同法中关于格式条款的具体要求。
(3)审查所收集信息与业务提供的相关性。
