《中华人民共和国个人信息保护法》(“个人信息保护法”)自2019年3月被列入立法规划以来,先后经历三次审议后终于在2021年8月20日颁布并将于2021年11月1日正式实施。伴随着酝酿两年之久的个人信息保护法的诞生,我国在立法层面正式形成了针对网络安全保护的《中华人民共和国网络安全法》(“网络安全法”)、围绕数据安全保护的《中华人民共和国数据安全法》(“数据安全法”)以及聚焦个人信息保护的个人信息保护法“三法鼎立”“三驾齐驱”的全方位保护的局面和体系。
在此背景下,我们将重点从个人信息保护的角度出发,分析个人信息保护法的颁布与实施,与我国《刑法修正案(九)》(“刑法”)以及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(“侵犯公民个人信息刑事司法解释”)所确立的个人信息刑法保护体系之间的衔接适用以及所产生的影响问题。
重点一:实现个人信息保护法与刑法的衔接适用
焦点一:监管机关对于发现涉嫌犯罪的线索,可以直接移送公安机关处理
为保障个人信息保护法和刑法的衔接适用问题,作为刑法前置法之一的个人信息保护法,重点强调了履行个人信息保护职责的监管部门在发现涉嫌侵犯公民个人信息等犯罪行为时的移送义务。以中共中央网络安全和信息化委员会办公室(“网信部门”)为例,在个人信息保护法颁布前,其针对APP违法收集个人信息的处罚情形包括要求整改、下架等,但在个人信息保护法实施后,相关监管机构有权在行政执法的过程中进一步判断违法处理个人信息的行为是否构成刑法所规制的“非法获取”行为并进行移送,从一定程度上扩大了行政监管部门的权限,进而增强了个人信息刑法保护的力度。
焦点二:个人信息定义的变化,表现出不同立法所侧重保护的不同法益
2017年侵犯公民个人信息刑事司法解释确定侵犯公民个人信息罪中“个人信息”的含义,与同日生效实施的网络安全法关于“个人信息”的定义大体一致,均表述为“能够单独或者与其他信息结合识别特定自然人身份”,但侵犯公民个人信息刑事司法解释额外增加了“反映特定自然人活动情况”这一表述。而个人信息保护法区别于以上法律,表述为“与已识别或者可识别的自然人有关的各种信息”。详见下表:
综合以上立法条文表述,不同法律的关注重点并不一致。就个人信息的定义而言,个人信息保护法强调与个人信息主体的相关性,关注围绕个人信息这一客体的处理活动对于个人信息处理活动所造成的影响,包括但不限于生活安宁等;而刑法更强调信息对于自然人身份的识别以及自然人活动情况反映的作用,关注对于个人信息主体本身的影响,意在保护其最基本的人身、财产安全。由于两部法律具有不同的立法目的,所以体现在条文内容设置上也会有所区别,但就其条文本身所涉及的个人信息所涵盖的内容而言,并无本质性差异。
焦点三:个人信息保护法所规制的违法处理行为与刑法所规制的非法获取、提供行为是否一致?
个人信息保护法从个人信息生命全周期的角度规定了违法处理个人信息的行为,并且规定了个人信息处理者处理个人信息所应当遵守的原则及基本规则。相较于个人信息保护法的全面性,考虑到刑法的谦抑性,刑法目前仅就个人信息获取与对外提供两个行为侵害公民个人信息的行为进行规制,并通过司法解释确定非法获取、非法提供的具体表现形式。而刑法所规制的非法获取和非法提供,是否覆盖个人信息保护所规制的所有违法处理个人信息的行为,仍有待有关立法或司法判例予以明示。例如侵犯公民个人信息刑事司法解释明确规定不得实施“违反国家有关规定,在履行职责、提供服务过程中收集公民个人信息”这一非法获取行为;个人信息保护法则规定不得采取误导、欺诈、胁迫等方式收集个人信息,不得过度收集个人信息,那么信息处理者违反必要原则而过度收集个人信息的情况,是否属于“违反国家规定,在提供服务过程中收集个人信息”这一刑法所规制非法获取行为,则有待进一步观察和思考。同样,个人信息处理中多涉及转让、委托处理、共享的情形,刑法规制的非法提供行为中的“提供”概念的外延是否包含了上述转让、委托处理、共享,也需要个人信息处理者在接下来业务开展过程中予以重点关注。
重点二:应当关注个人信息保护法,但不能仅仅关注个人信息保护法
侵犯公民个人信息罪属于规定在刑法分则第四章的自然犯,但由于刑法第253条之一[1]的规定,使得侵犯公民个人信息罪又属于典型的自然犯行政犯化,因此个人信息保护法关于个人信息认定和范围的调整以及授权同意等个人信息保护规则的修改,将直接决定我国个人信息刑法保护的改变。
但应当注意的是,侵犯公民个人信息罪的“前置行政法”,不仅仅包括网络安全法和个人信息保护法等法律,根据侵犯公民个人信息刑事司法解释第二条的规定,刑法第253条之一规定的“违反国家有关规定”这一前置条件中的“国家有关规定”,还包括行政法规和部门规章。个人信息保护法成为个人信息保护层面效力层级最高的文件之一,在法律内容上更多地是对个人信息保护原则、规则、方向以及基调的确立,在横向保护维度上是我国个人信息保护规则当中最为全面的,但在纵向保护维度上,受限于立法体例、立法技术、立法篇幅以及立法时代背景,对于其中较为原则性规定的理解和把握,仍需要通过国务院、工业和信息化部、中国银行保险监督管理委员会、国家市场监督管理总局等部门出台或更新的针对不同行业、不同场景、不同类型个人信息的更为细化的行政法规、部门规章。因此,对于我国个人信息保护规则的遵守,不应当仅仅局限于个人信息保护法,上述行政法规以及部门规章中所涉及的个人信息保护规则,仍是我国个人信息保护规则的重要依据和来源,也应当予以高度重视,同样构成我国个人信息的刑法保护体系的重要组成部分。
重点三:个人信息保护法对我国个人信息刑法保护的影响不仅仅体现在具体的法律条文
个人信息保护法这一新法的实施往往伴随着监管层面对个人信息保护的高度重视和关注倾斜。对于企业而言,为了避免在个人信息保护法出台后引起不同类型的法律风险与声誉风险,应当对企业内部的个人信息保护规则和措施进行全面的审查,并着重关注个人信息的认定规则的变化、个人信息授权同意的最新要求、避免刑事风险传导以及加强个人信息风险管理等四个维度的焦点任务。
任务一:全面审查企业涉及的个人信息范围,审慎把握个人信息的判断标准
企业应当在个人信息保护法出台但尚未正式实施前,依据个人信息保护法中所确立的个人信息保护规则,重点审查本企业经营活动、商业模式、业务条线、产品服务、人员管理中所涉及的信息是否属于个人信息。在不确定是否属于个人信息的情况下,可以通过研究相关司法案例、法律规定、学者研究、立法动态以及咨询专家的方式,评估该信息可能构成个人信息的可能性并采取相应的保护措施。
例如,以出行服务企业、交通服务企业、位置服务企业、旅行服务企业为例,难以把握的是个人行踪轨迹信息认定的问题。根据侵犯公民个人信息刑事司法解释的规定,行踪轨迹信息是我国刑法保护力度最为严格的个人信息类型之一,对外提供的行政轨迹信息一旦被他人用于犯罪,或非法获取、提供条数达到五十条,即可能构成侵犯公民个人信息罪,因此对行踪轨迹信息的定义和范围,需要有一个清晰、明确的判断标准,而不能简单地把行踪轨迹信息理解为GPS定位信息、车辆轨迹信息、车辆卡口信息、航班车票信息。
通过对2017年至2021年3月发布的侵犯公民个人信息罪刑事裁判案例的分析和梳理,我们认为,企业在处理行踪轨迹信息时可以重点关注如下内容:
- 行踪轨迹信息的定义和范围在我国法律中并没有明确的规定,多靠人民法院在实务中裁量判断,但在实务中也存在不同的观点;
- 从目前法院对行踪轨迹信息的认定来看,无法将行踪轨迹信息具象化,但一项信息是否属于行踪轨迹信息,可以从是否具备识别性、关联性、动态性、确定性、预见性等特征加以判断;
- 司法实务中关注的焦点,往往在单个信息能否反映行踪轨迹,以及过去发生过的信息是否属于行踪轨迹信息;
- 即便是“非个人行踪轨迹信息”,在不同场景、不同应用之下,也可能完成信息类型的转化,变成可以反映特定自然人行踪轨迹的信息。
任务二:重点审查个人信息保护措施是否满足要求,谨慎对待授权同意条件
针对已经确定属于个人信息的信息,应当全面梳理企业在个人信息的获取、使用、共享、披露、提供等处理方面所采取的措施,是否符合、满足我国法律对个人信息的保护规则,尤其是在个人信息的收集方面,是否得到了个人信息主体的充分,并重点关注通过APP、合作渠道方获取的信息、集团内部分享传输的信息以及通过公开渠道获取的信息的合法性问题。
以企业利用爬虫爬取公开信息为例,对于个人信息主体自愿向全社会公众公开或通过其他途径已经合法公开的个人信息,企业在获取后是否还需要征得个人信息主体的授权同意?对此,我们认为,企业在处理公开信息时,应当注意以下几点:
- 需要明确该信息公开的对象是否属于社会不特定主体、对个人信息的使用目的和公开范围是否有明确的相对限制要求,从而判断企业是否属于“被公开的对象”;
- 对于合作渠道方提供给企业的公开信息,应当严格审查该公开信息获取与提供的合法性,明确双方的责任义务;
- 对于个人向社会公开的信息或通过其他途径已经合法公开的个人信息,应当在基于合法手段获取的前提下在合理范围内进行处理。在获取后,应当对该部分个人信息及时进行匿名化处理,完全剔除该信息与特定信息权利主体之间的关联;
- 如需对该个人信息进行进一步的使用、共享、提供等处理活动,应当在及时与特定信息权利主体联系、核实的同时履行告知义务,向信息权利主体告知真实身份、信息的真实用途、使用目的、使用范围以及可能产生的风险等信息。
任务三:加强个人信息保护的培训和宣传,避免风险的传导和关联
从“风险为本”、“合规经营”的理念出发,不仅仅要重视个人信息保护法的出台对企业业务条线、商业模式、产品服务的影响,还要通过开展、组织对个人信息保护法的学习和培训,增强包括企业高管、员工在内的所有人员以及外包人员、商业伙伴及其员工个人信息保护的意识和观念,避免因为个别员工、商业伙伴刑事法律责任和风险的产生,从而导致社会舆论、监管机关对企业个人信息保护力度不足的认识和判断,甚至出现员工、商业伙伴、关联公司刑事风险的传导和扩散并对企业声誉、运营、财务等方面产生消极影响。
对此,我们认为企业可以从以下几个方面加强对个人信息保护的管理:
- 企业内部加强对个人信息保护法以及我国个人信息保护体系的培训和学习,通过线上与线下、统一组织与自主学习、内部培训与外部培训等方式的结合,必要时可以进行对个人信息保护法学习的考核和考察,全面提升企业员工保护个人信息的意识,树立企业个人信息保护文化与氛围;
- 加强对诸如供应方、合作方、渠道方、项目方以及资源共享方等商业伙伴的个人信息保护宣介和要求,要求商业伙伴自身做好个人信息保护的同时,采取合同条款约定个人信息义务与责任、严格审查个人信息处理活动等方式,建立法律风险隔绝机制;
- 加强对集团体系内部、分支机构、子公司、关联公司的监督管理,通过建立集团、总部层面的统一管控和个人信息保护要求,避免因为保护意识、保护措施、重视程度的不一致而带来的系统性传导风险。
任务四:全面梳理个人信息风险管理和内部控制的有效性
除上述针对个人信息保护的具体措施外,我们认为企业可以利用个人信息保护法出台之契机,全面检视、审查企业在个人信息保护方面存在或可能存在的问题,分析和判断企业在个人信息风险识别与评估机制、风险管理的组织架构、风险处置与防控机制、应急计划、个人信息保护的考核与奖惩机制、举报与投诉处理机制等风险管理与内部控制措施和机制的有效性,确保风险管理和内部控制能够覆盖企业的各项活动以及分支机构、附属机构、相关部门、岗位和人员;确保个人信息保护能够融入日常业务和经营管理,对业务经营和管理决策能够保持合理的制衡;确保个人信息保护的资源投入与企业个人信息处理的风险特征、个人信息保护规则相适应,并能够根据情况变化及时调整。
注释:
[1] 《中华人民共和国刑法》
第二百五十三条之一 【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。