對於數據合規,我們已經寫了數篇文章和PPT,咱們繼續這個話題,帶動大家一起學習研究。今天颯姐將文字版分享給大家,關鍵詞是侵犯公民個人信息罪、數據刑事合規、肖颯,用於搜索使用。好,現在我們開始談今天的話題。

前提

數據權到底是誰的?

個人信息的所屬問題之所以復雜,其主要原因是數據主體和數據控制者的分離。也就是說,個人信息確實是來源於自然人的人格權,但是其一旦被互聯網企業抓取、爬取或使用後生產處來的“加權數據”實際上並不由自然人控製而是由互聯網企業這樣的數據控制者真正支配。

從歐盟《一般數據保護條例》來看,其強調個人信息歸屬於自然人本身,因此給予多種民事權利,例如:遺忘權、撤回權、修改權等。而美國的司法實踐是個人信息以“隱私權”為請求權基礎,其更側重對兒童等特殊群體的立法保護,其他數據多數有行業自律方式完成規制。

我國對個人信息的保護經歷了漫長的摸索階段,自山東徐玉玉案件後,對於公民個人信息的保護提到了很高的層面,近期公開徵求意見的《個人信息保護法》(草案)其法律位階就表明了我國立法者的態度。從草案中對於“被採集人同意”後允許相關企業處理信息,我們清晰地看到,對於自然人個人信息的權屬實質上還是歸還給了個人本身。也就是說,我們每個人是自己信息的“擁有者”,倘若有人要藉用,必須經過明確告知,我們要同意後方可進行。

然而,我國人口眾多也必然是數據大國,對於數據這種“生產要素”不可能不開發使用,因此,我們在歐盟和美國之外走出了自己的道路,那就是在承認公民個人信息屬於個人的基礎上,對於匿名化的信息可以進行市場運用。我認為,這種折中的做法符合當下中國國情。當然,在未來這部法律實施過程中,很可能會出現個人人格權保護與數據財產權保護之爭,這幾乎是必然會出現的,到那時就會有糾紛甚至刑事案件出現,為了減少侵犯公民個人信息罪對於數據行業的影響,有必要未雨綢繆對公民個人信息法與刑法相結合的要點進行闡述。

一、

公民個人信息的內涵與外延

《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規定:

公民個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證號碼、通訊聯繫方式、住址、賬戶密碼、財產狀況、行踪軌蹟等。

但未來《個人信息保護法》對於個人信息的定義是:以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理後的信息。

個人信息就是公民個人信息,且《個人信息保護法》一旦出台就是效力頗高的法律顯然比司法解釋位階更高。颯姐認為,還是應該遵從個人信息保護法對於個人信息的定義,堅決將收集、存儲、使用、加工、傳輸、提供、公開“匿名化處理後的信息”從涉刑的風險中剝離出去。不要小瞧這個點,未來實踐中大概率會出現此類爭議。認定匿名化的標準指引可參見:《GB/T 37964-2019 信息安全技術個人信息去標識化指南》。

二、

委託處理個人信息,容易形成信息沉澱

颯姐經手的江蘇某市涉嫌侵犯公民個人信息罪的案件中,存在客戶委託支付機構從事支付業務,後第三方支付平台沉澱信息,並將信息進行處理流入社會。

三、

對於“提供"公民信息的理解

根據颯姐的辦案經驗和諮詢反饋,我們發現赤裸裸地售賣數據雖然還存在,但相較於之前還是有所收斂。如今使用數據的方式主要集中在利用數據製作“評分類產品”,根據自己沉澱的數據庫有償提供YES or No的類徵信服務。

實踐中,各地對於有償提供評分業務的法律定性不一,金融監管部門傾向於寬容,公安辦案機關傾向於嚴格規制。

颯姐認為,在委託處理個人信息的場合,經常出現數據沉澱,根據沉澱多年的數據庫進行有償輸出評分類產品還是違法行為,一旦有5000元以上違法所得,即可能構成2017年兩高《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第五條的定罪標準。 (所謂違法所得即從事違法行為的全部實際收入。)

四、

信息處理者向第三方提供匿名化信息是否構成幫助犯?

按照新法規定,個人信息處理者向第三方提供匿名化信息的,第三方不得利用技術等手段重新識別個人身份。但是,個人信息處理者提供的匿名化信息到底能不能被“回溯”為特定自然人,這是有可能的。

實踐中,可能會引發這樣的刑法問題,向第三方提供匿名化信息到底是中性幫助行為還是幫助犯,詳見周光權論文。

五、

經常被忽略的公共場所監控攝像頭

以前刑法第253條之一很少提及公共場所的攝像頭錄像問題,也容易被大家忽視。現在可以明確此種錄像錄音也屬於個人信息,不得被隨意公開或出售。一旦違反就是違法,繼而進入犯罪圈。

六、

數據合規策略

根據法秩序統一性原則,只需做好數據合規,就能有效避免個人信息的犯罪。

具體做法:

《個人信息保護法》(草案)

第五十條個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人的影響、可能存在的安全風險等,採取必要措施確保個人信息處理活動符合法律、行政法規的規定,並防止未經授權的訪問以及個人信息洩露或者被竊取、篡改、刪除:

(一)制定內部管理制度和操作規程;

(二)對個人信息實行分級分類管理;

(三)採取相應的加密、去標識化等安全技術措施;

(四)合理確定個人信息處理的操作權限,並定期對從業人員進行安全教育和培訓;

(五)制定並組織實施個人信息安全事件應急預案;

(六)法律、行政法規規定的其他措施。

第五十四條個人信息處理者應當對下列個人信息處理活動在事前進行風險評估,並對處理情況進行記錄:

(一)處理敏感個人信息;

(二)利用個人信息進行自動化決策;

(三)委託處理個人信息、向第三方提供個人信息、公開個人信息;

(四)向境外提供個人信息;

(五)其他對個人有重大影響的個人信息處理活動。

風險評估的內容應當包括:

(一)個人信息的處理目的、處理方式等是否合法、正當、必要;

(二)對個人的影響及風險程度;

(三)所採取的安全保護措施是否合法、有效並與風險程度相適應。

風險評估報告和處理情況記錄應當至少保存三年。

第五十五條個人信息處理者發現個人信息洩露的,應當立即採取補救措施,並通知履行個人信息保護職責的部門和個人。通知應當包括下列事項:

(一)個人信息洩露的原因;

(二)洩露的個人信息種類和可能造成的危害;

(三)已採取的補救措施;

(四)個人可以採取的減輕危害的措施;

(五)個人信息處理者的聯繫方式。

個人信息處理者採取措施能夠有效避免信息洩露造成損害的,個人信息處理者可以不通知個人;但是,履行個人信息保護職責的部門認為個人信息洩露可能對個人造成損害的,有權要求個人信息處理者通知個人。

注意:若無法履行第五十五條規定的義務,還可能觸犯拒不履行信息網絡安全管理義務罪。 (刑法第二百八十六條之一)

七、

行政調查與刑事偵查的無縫連接

《個人信息保護法》(草案)

第五十九條履行個人信息保護職責的部門履行個人信息保護職責,可以採取下列措施:

(一)詢問有關當事人,調查與個人信息處理活動有關的情況;

(二)查閱、複製當事人與個人信息處理活動有關的合同、記錄、賬簿以及其他有關資料;

(三)實施現場檢查,對涉嫌違法個人信息處理活動進行調查;

(四)檢查與個人信息處理活動有關的設備、物品;對有證據證明是違法個人信息處理活動的設備、物品,可以查封或者扣押。

履行個人信息保護職責的部門依法履行職責,當事人應當予以協助、配合,不得拒絕、阻撓。

寫在最後

《個人信息保護法》(草案)最有殺傷力的一句話:

第六十七條違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。