作者：王希

注：本文首发于LexisNexis《中国法律透视》

 

近年来，公民个人信息安全已经成为一个全社会高度关注的问题。为加大对公民个人信息的保护力度，国家立法机关不断出台、修订相关法律，2009年2月《刑法修正案（七）》增设“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”； 2015年11月，《刑法修正案（九）》进一步修改完善：一是扩大犯罪主体的范围；二是明确对履行职责或者提供服务过程中获取信息的人员，从重处罚；三是加重法定刑；四是“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”；2016年11月7日，全国人大常委会第二十四次会议表决通过《中华人民共和国网络安全法》（以下简称《网络安全法》）。

 

2017年5月9日，为了进一步强化公民个人信息的刑事保护，便于司法实践中正确理解和适用，最高人民法院与最高人民检察院联合发布《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号，以下简称《解释》）及相关典型案例，该《解释》将于2017年6月1日起施行。

 

本文将对该司法解释的核心内容进行全面解读，并对相关行业内企业在新规出台后，针对数据信息处理过程中的刑事合规性审查要点提出建议。

 

一、《解释》的主要内容及其影响

 

（一）“公民个人信息”的界定

 

根据《解释》第一条规定，“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

 

需要注意的是，该《解释》除保留了《网络安全法》中对于“个人信息”的定义，还将“反映特定自然人活动情况的各种信息”（如行踪轨迹）以及账号密码列入刑法保护的公民个人信息的范畴。

 

（二） “违反国家有关规定”的界定

 

《解释》将“违反国家有关规定”的范围限于违反法律、行政规章、部门规章，这与一般刑法中“违反国家规定”是指违反法律、行政规章的规定有所区别，将部门规章首次列入刑法中“国家有关规定”的范畴。

 

（三）非法“提供公民个人信息”的认定标准

 

根据刑法第二百五十三条之一的规定，违反国家有关规定，向他人出售或者提供公民个人信息，是侵犯公民个人信息罪的客观行为方式。《解释》第三条将“提供公民个人信息”进行细化，明确了除向特定人提供之外，通过信息网络或者其他途径发布公民个人信息的同样属于刑法第二百五十三条之一规定的“提供公民个人信息”。该条规定为“人肉搜索”等网络不良行为的入刑提供了法律依据。

 

对于合法收集的公民个人信息，未经被收集者同意就向他人提供的，也明确为刑法第二百五十三条之一规定的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。

 

在此，司法解释为合法提供信息数据留下了两条通道，一是经过被收集人同意，二是经过处理无法识别特定个人且不能复原的信息。

 

（四）“非法获取公民个人信息”的认定标准

 

《解释》第四条明确，违反国家有关规定，购买、收受、交换等方式获取公民个人信息的或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

 

需要注意的是，《解释》将违反国家有关规定，“购买”、“收受”、“交换”以及履行职责、提供服务中获取等手段均定义为“以其他方法非法获取公民个人信息”，基本上涵盖了所有数据信息取得的方式。那么，获取信息的行为是否触犯刑法，就需要审查获取信息的行为是否违反了法律、行政法规以及部门规章的相关规定，这大大提高了信息获取者对于自身行为进行合规性审查的要求。

 

（五）公民个人信息的分类以及入罪量刑标准

 

《解释》基于不同类型公民个人信息的重要程度，对于公民个人信息进行了分类，并分别设置了“五十条以上”“五百条以上”“五千条以上”以及“零条”的入罪标准，以实现罪责刑相适应。

 

1、非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息四类公民个人信息；该类信息与人身、财产安全息息相关，属于高度敏感信息。因此，《解释》第五条第一款第三项将入罪标准设置为“五十条以上”，入罪门槛较低；

 

2、非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息；该类公民个人信息虽然在重要程度上弱于行踪轨迹信息、通信内容、征信信息、财产信息，但也与人身安全、财产安全直接相关，往往被用于“精准”诈骗等违法犯罪活动；因此，《解释》第五条第一款第四项将入罪标准设置为“五百条以上”；

 

3、非法获取、出售或者提供一般公民个人信息的；该类公民个人信息包括姓名、身份证号码、电话号码等一般信息，相对前两种信息而言，重要程度上略弱，实践中非法出售、提供的数量较大。因此，《解释》第五条第一款第五项设置较低的入罪标准，将非法获取、出售或者提供公民个人信息五千条以上的规定为“情节严重”；

 

4、非法出售、提供的信息被用于犯罪的，或知道或者应当知道他人利用公民个人信息实施犯罪，仍然向其出售、提供的，不论数量，均被认定为“情节严重”，定罪处罚。

 

（六）降低入罪门槛，从重处罚的两类特殊情形

 

《解释》第五条第一款中，对于利用职务便利获取信息和屡次实施同类违法犯罪这两类情形，单独作出规定，降低入罪门槛，进行处罚。

 

1、《解释》第五条第一款第八项对将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的，认定“情节严重”的数量、数额标准减半计算；

 

2、《解释》第五条第一款第九项对曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的，直接认定为“情节严重”

 

（七）“情节特别严重”的认定标准

 

《解释》第五条第二款主要从两个层面规定了“情节特别严重”的情形：一是是否造成严重后果。《解释》将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”“造成重大经济损失或者恶劣社会影响的”规定为“情节特别严重”。二是数量数额标准。《解释》将“情节特别严重”的标准确定为“情节严重”的数量或数额标准的十倍。

 

（八）为合法经营活动购买、收受公民个人信息定罪量刑的特殊标准

 

《解释》并未因为信息被合法经营所使用而将该类行为做出罪处理。《解释》第六条第一款的规定：“为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的’情节严重’：（一）利用非法购买、收受的公民个人信息获利五万元以上的；（二）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的；（三）其他情节严重的情形。” 根据上述规定，《解释》对于该类购买、收受非敏感类公民个人信息用于合法经营活动的行为，仍然作为犯罪来处理，仅仅将其量刑设定在“情节严重”一档，不做升档量刑。

 

该条解释需要注意的是，该特殊标准适用的范围仅限于《解释》第五条第一款第三项、第四项规定以外的公民个人信息，并且行为仅限于购买、收受，信息并未再流出扩散。

 

（九）设立网站、通讯群组侵犯公民个人信息行为的定性

 

《解释》对于向实施非法获取、出售或者提供公民个人信息违法犯罪活动提供支持的平台（网站、通讯组群）的刑事责任进行了明确，情节严重的，应以刑法第二百八十七条之一的非法利用信息网络罪定罪处罚；同时构成侵犯公民个人信息罪的，依照侵犯公民个人信息罪定罪处罚。

 

（十）拒不履行公民个人信息安全管理义务行为的处理

 

去年出台的《网络安全法》明确了网络信息安全的责任主体，确立了“谁收集，谁负责”的原则，将收集和使用个人信息的网络运营者，设定为个人信息保护的责任主体。与之相对应，《刑法修正案（九）》设立了拒不履行信息网络安全管理义务罪，规定网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户信息泄露，造成严重后果的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。

 

据此，《解释》第九条规定，网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。

 

二、企业合规风险点提示以及刑事合规性审查要点分析

 

（一）准确把握“公民个人信息”的外延，明确企业数据业务合规审查的对象

 

目前，我国关于“个人信息”的定义，散见于大量法律法规中，但最权威的解释应属《网络安全法》中的定义。《网络安全法》第七十六条第五款规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”由此可见，《网络安全法》对于“个人信息”认定的唯一要素为“能够单独或者与其他信息结合识别自然人个人身份的各种信息”。而此次《解释》对于“个人信息”的外延进行了扩大，不但包括《网络安全法》中的概念范围，同时将体现特定自然人活动情况的信息即行踪轨迹信息，也纳入了“个人信息”的范畴。

 

其中，如何理解能够与其他信息结合识别自然人身份的各种信息，该信息是否具备能够结合其他信息对自然人身份进行识别的能力，很可能会取决于信息持有人处理信息的技术能力。在这种情况下，对该信息是否属于“个人信息”该如何进行认定？例如，网页浏览器中保留的Cookie数据，其中包含大量的个人网络行为轨迹、以及数据访问记录，该数据是否会被认定为属于《解释》中界定的“个人信息”。如果一旦被认定，大量的互联网公司均将面临刑事追诉的风险。我们认为，对于“能够与其他信息结合识别自然人身份的各种信息”的理解，不应无限扩大化，应当遵守结合相关信息可以直接确定公民个人身份的原则。

 

（二）增加对于部门规章的审查

 

《刑法修正案（九）》将侵犯公民个人信息罪的前提要件由“违反国家规定”修改为“违反国家有关规定”。而《解释》进一步将“违反国家有关规定”界定为违反法律、行政法规和部门规章。这就意味着，企业在对数据业务进行刑事合规性审查时，需要投入大量时间，对于相关行业领域内的部门规章进行全面审查。

 

（三）收集信息的合规性审查

 

依据《网络安全法》第四十一条之规定，“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”“网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”

 

因此，企业在运营过程中，如需要收集、使用个人信息的，应当遵循两点原则，一是公开、明示收集、使用信息的目的、方式和范围，并经被收集者同意；二是不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。

 

（四）提供、出售信息的合规性审查

 

依据《网络安全法》第四十四条之规定，任何个人和组织“不得非法出售或者非法向他人提供个人信息”；第四十二条第一款之规定，“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。”

 

因此，企业在对外提供数据信息时，首先应当审查提供数据的行为是否违反法律、行政法规、部门规章的相关规定；其次，应当遵守经过被收集者同意的原则，与被收集者签订授权使用文件，获取授权；再者，如果没有条件获取被收集者的授权，则应当对于个人信息进行技术处理，并达到无法识别特定个人且不能复原的标准。

 

在这里，需要注意一点，即集团公司内部的数据信息提供、使用的问题。集团公司旗下一家子公司合法获取个人信息后，是否可以直接向包括集团公司在内的各个子公司进行交换使用？我们认为，如果集团公司内部各个子公司均为独立经营的法人，则也应当遵守上述提供数据信息的审查规则。

 

（五）为了合法经营而获取信息的合规性审查

 

从《解释》第六条可以看出，为了合法经营而购买、获取数据，并仅仅为自己合法经营所用，已经不能够成为合法性抗辩的理由。那么，企业在需要向其他第三方获取数据时，就必须对第三方数据信息提供方的提供数据信息的合法、合规性进行审查。该项合规性审查包括但不限于以下三方面内容，一是第三方提供数据的行为是否违反法律、行政法规、部门规章的相关规定；二是第三方提供数据的行为是否获得信息被收集人的授权以及第三方有无搜集与其服务无关的个人信息；三是如果没有获取被收集者的授权，第三方是否对于个人信息进行技术处理，并达到无法识别特定个人且不能复原的标准。