您的位置 : 环球研究 / 环球评论 / 新闻详情
侵犯公民个人信息罪的刑事合规路径
2023年03月31日戴书晖 | 冯佳成

2023年3月15日,公安部公布了《公安机关依法严厉打击侵犯公民个人信息犯罪 公安部公布8起典型案例》,进一步贯彻落实 “净网2022”专项行动,以“追源头、打内鬼、端平台”为宗旨,持续对侵犯公民个人信息的犯罪行为进行打击。相关案例中,嫌疑人以组建技术团伙利用技术手段获取公民个人信息;勾结快递公司“内鬼”,以木马软件窃取物流信息;利用技术手段入侵停车场收费平台系统;利用技术手段非法获取中老年人信息等方式,进而完成犯罪。对内沟通内鬼窃取信息,渗透进物业公司、银行、保险公司、房屋中介、电信运营商等公民信息密集的行业内,对外组建团队技术入侵,获取身份信息、行踪轨迹,最终将公民个人信息进行出售或者为完成其他刑事犯罪提供帮助,此类犯罪行为正受到公安机关的严厉打击。

 

正本清源,信息是大数据时代的生产资料,对于任何企业来说,锚定用户群体、精描用户绘像、把握市场动态都是涉及商业决策的重要步骤,也正因用户信息格外重要,才会有不法分子为攫取利益不断铤而走险。对于合法经营的企业亦然,若企业存在用户信息采集、存储、加工、使用的,制定数据专项刑事合规制度,自查经营风险,避免公司陷于可能的刑事风险也是极为重要的一环。

 

本文意在以用户信息在企业流传的流程为脉络,为存在此类隐患的企业提示刑事合规的路径和要点。

 

一、用户信息数据获取

 

(一)用户信息采集的基本原则

 

从法律规范的角度出发,企业作为个人信息的收集者,在收集过程中需要遵守由《网络安全法》《数据安全法》《个人信息保护法》、国家标准《GB/T 35273-2020 信息安全技术 个人信息安全规范》《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》等法律规范共同编织的规范体系,把控好个人信息流通的每一道关口。

 

根据上述法律规范,在信息采集的过程中,为避免责任发生企业应当保证自身采集行为符合下述原则:权责一致原则,企业需采取技术和其他必要的措施保障个人信息的安全,对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任;目的明确原则,企业应当具有明确、清晰、具体的个人信息处理目的;选择同意原则,企业在采集信息前应向个人信息主体明示个人信息处理目的、方式、范围等规则,征求其授权同意,经过许可后方能在许可范围内进行采集;最小必要原则,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量,在目的预设达成后,应及时删除个人信息;公开透明原则,企业以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督;确保安全原则,企业需要具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性;主体参与原则,企业应向个人信息主体提供能够查询、更正、删除其个人信息,以及撤回授权同意、注销账户、投诉等方法。

 

企业在数据采集的过程中需严格遵照以上原则,充分保证信息主体的知情权、许可权、修改权,为采集行为制定明确的范围和目的,并加强信息储存的安全等级,不为违法人员提供可乘之机。

 

(二)以网络爬虫方式获取数据的典型案件

 

最高人民检察院印发的《涉案企业合规典型案例(第三批)》 中便收录了一则因使用网络爬虫获取用户数据最终招致刑事风险的案件。

 

上海Z网络科技有限公司成立于2016年1月,系一家为本地商户提供数字化转型服务的互联网大数据公司。2019年至2020年,在未经上海E信息科技有限公司授权许可的情况下,Z公司为了以提供超范围数据服务吸引更多的客户,通过“外爬”“内爬”等爬虫程序,非法获取E公司运营的外卖平台数据。该公司技术团队实施“外爬”,以非法技术手段,或利用E平台网页漏洞,突破、绕开E公司设置的IP限制、验证码验证等网络安全措施,通过爬虫程序大量获取E公司存储的店铺信息等数据。另有技术团队实施“内爬”,利用掌握的登录E平台商户端的账号、密码及自行设计的浏览器插件,违反E平台商户端协议,通过爬虫程序大量获取E公司存储的订单信息等数据。

 

Z公司通过外爬和内爬等方式非法采集其他公司所运营的线上平台内的数据,已经构成《刑法》第二百五十三条窃取或者以其他方法非法获取公民个人信息的客观要件,业已构成刑事犯罪。对于企业而言,数据采集获取是发挥信息效用的前提,然而由于我国尚未在数据交易方面形成规模化的市场,企业获取数据的方式并不顺畅,于是以方便、低价、隐蔽等方式作为标签的非法获取方式才能大行其道。在公安部于本年公布的《公安机关依法严厉打击侵犯公民个人信息犯罪 公安部公布8起典型案例》中,全部八起案件的起因均是因为对个人信息的非法获取,非法侵入、网络爬虫、联络内鬼等方式仍是个人信息获取的主流,也是公安机关重点打击的对象。确保信息采集流程的合法性,是个人信息刑事合规的第一步。

 

(三)审查信息获取来源的合法性

 

《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第六条明确,即便购买的目的实为合法经营,但若在购买和收受的过程中存在违法行为,亦可以构成侵犯公民个人信息罪,属于“情节严重”的行为。因此企业无法以合法经营形成抗辩理由,而是应当以尽到审慎调查的义务带来责任豁免的有效防御。

 

当企业出于正常经营需要而查询用户信息时,应当以正轨渠道获取。对于需要自行收集用户信息的,应当首先确保已经充分告知了用户采集个人信息的明确内容、范围及使用方式,在获得用户充分许可后,才可以在不超出该范围的情况下进行采集。

 

若企业向其他信息采集主体进行数据交互要求,则应当保证对用户信息提供方进行充分的背景调查(KYC)。企业应当以调查问卷、资料收集、实情确认等多种方式验证该数据提供方是否具有相关资质,是否获得授权以及此前是否存在违法行为。在调查完成后,企业应当要求该数据提供方出具书面承诺,保证所提供的全部用以背景调查的信息均符合客观事实。对于不愿意提供相关信息的公司,企业可以选择其他方式对该信息提供方进行必要的调查,并要求该第三方调查单位或者本企业调查员工提供书面承诺以保证调查结论没有受到干扰和扭曲。

 

需要注意的是,出于其他合规系统或者内部调查的需要,部分企业或许会聘用资质并不健全的第三方中介机构进行背景调查和核实(如部分私家侦探)。而根据《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件使用法律若干问题的解释》的规定,姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等均属于刑法保护的个人信息,属于以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,私家侦探在调查时不可避免会触及上述信息。而这种调查必然是不存在授权和许可的,因此企业应当在协议中明确调查的方式不应当包含任何涉嫌违法犯罪的手段,以避免调查方所采取的不当方式给企业带来不必要的连带责任。

 

二、信息存储和处理

 

(一)信息处理前应取得用户授权

 

企业信息收集、存储、和使用的前提是符合用户授权的范畴,一切超出授权的行为都会为企业带来风险。

 

1. 获取授权应采用明示告知的方式

 

在处理个人信息前,企业应当以显著方式、清晰易懂的语言向个人告知注意个人信息处理者的身份和联系方式、处理目的、处理方式,处理的个人信息种类等事项。

 

《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》第六条明确规定,APP 应当通过弹窗、文本链接、附件、常见问题(FAQs)等界面或形式向信息主体公开展示隐私政策等信息采集活动规则文本,以完成明示告知。例如,软件开发者可以在 App 登录注册页面及 App 首次运行时,通过弹窗及文本链接及附件等简洁明显且易于访问的方式,向用户告知个人信息处理规则。

 

在告知方式上,向用户进行明示告知并获取授权同意时,应当注意所提供的隐私协议应当做到:单独成文,隐私政策以单独成文的形式发布,不应当作为用户协议、用户说明等文件中的一部分存在;易于访问,进入软件功能界面后,通过 4 次以内的点击,能够访问到隐私政策,且隐私政策链接位置突出、无遮挡;易于阅读,隐私政策文本文字显示方式不会造成阅读困难,提供简体中文版本,使用标准化的数字、图示,采用通用的语言习惯,避免误用概念、术语或存在有歧义的语句等;内容完整,所提供的隐私政策内容应当完整有效。

 

2. 获取授权应明示告知的内容

 

依据《GB/T 35273-2020 信息安全技术 个人信息安全规范》及其他相关法律规范,向用户提供的个人信息采集活动规则的文本中应当包括:1. APP 及运营公司的基本情况;2. 个人信息收集的目的、方式、范围;3. 对信息的存储、使用及保护的规定;4. 关于个人敏感信息收集的独立申请规定;5. 关于未成年人个人信息收集的独立申请规定;6. 对外进行信息交互的规范 (若有);7. 说明第三方代码、插件(如SDK)的类型或名称,及收集个人信息的目的、类型、方式(若有);8. 隐私政策适用及变更条款;9. 对于个人信息的更正、修改和删除的渠道;10. 个人信息主体的询问、投诉渠道和机制(主要为联系方式及操作步骤)。

 

同时,对于涉及敏感信息、责任申请、第三方使用或获取信息的情况及其他重要事项,应当加粗字体进行突出显示。在隐私政策中应当将收集个人信息的业务功能逐项列举,避免使用“等”、 “例如”字样。

 

3. 获取授权应给予信息主体自主选择权利

 

向用户提供个人信息收集活动规则以获取用户同意时,企业不得设计强制同意、捆绑同意等功能来获得用户授权,而是应当确保用户系在自主、自愿的前提之下作出同意。因此,企业应当做到:将个人信息主体自主作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件。例如:提供“同意”“下一步”“进入”的按钮等方式供用户作出同意的选项,同时具备“退出”“上一步” “关闭”“取消”的按钮等方式供用户作出不同意的选项。其次,企业不得默认为用户勾选同意选项。最后,为达到提醒用户确认之目的,企业可设置阅读时的强制停留,时间为 15~30秒不等。

 

4. 应严格遵照用户授权进行信息处理:魔蝎公司侵犯公民个人信息案

 

2016年初,魔蝎公司成立,主营业务系与各网络贷款公司、小型银行进行合作,为网络贷款公司、银行提供需要贷款的用户的个人信息及多维度信用数据,方式是魔蝎公司将其开发的前端插件嵌入上述网贷平台软件中,在网贷平台用户使用网贷平台的APP借款时,贷款用户需要在魔蝎公司提供的前端插件上,输入其通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等网站的账号、密码,经过贷款用户授权后,魔蝎公司的爬虫程序代替贷款用户登录上述网站,进入其个人账户,利用各类爬虫技术,爬取(复制)上述企、事业单位网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据。

 

期间,魔蝎公司在和个人贷款用户签订的《数据采集服务协议》中明确告知贷款用户“不会保存用户账号密码,仅在用户每次单独授权的情况下采集信息”,但其未经用户许可仍采用技术手段长期保存用户各类账号和密码在自己租用的阿里云服务器上。

 

魔蝎公司之所以会涉案,正是因为其在实际存储和处理信息的过程中并未以用户授权为其行为的红线,超越了用户授权,违反了与用户签订的《数据采集服务协议》,最终才会获刑。

 

(二)信息处理前应进行风险评估

 

企业在处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息或向他人提供个人信息、向境外提供个人信息以及其他对个人有重大影响的个人信息处理活动前,应当进行风险评估。评估的主要内容为个人信息的处理目的、处理方式等是否合法、正当、必要;信息处理对个人的影响及风险程度;所采取的安全保护措施是否合法、有效并与风险程度相适应。只有评估通过,企业才能开展信息处理加工活动。

 

《移动互联网应用程序信息服务管理规定(2022)》也明文确定,应用程序提供者开展应用程序数据处理活动时,应当履行数据安全保护义务,建立健全全流程数据安全管理制度,采取保障数据安全技术措施和其他安全措施,加强风险监测,不得危害国家安全、公共利益,不得损害他人合法权益。

 

企业应当建立符合自身经营模式和监管特点的评估体系,对上述问题展开评估,并设立专门的负责人对于评估结果进行保存,相关保存期限不应低于三年。

 

三、用户信息的出售和提供

 

《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件使用法律若干问题的解释》第五条明确规定,对于出售或者提供行踪轨迹信息,被他人用于犯罪的,或知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的,将构成侵犯公民个人信息罪,属于“情节严重”的行为。因此对于企业而言,确保信息流转过程的安全亦不可松懈。

 

企业在将自行收集的个人信息对外出售或提供前,亦应当保证该出售行为已经获得用户授权,若未取得用户授权,企业无权擅自出售和提供用户个人信息。同时,即便已经获得授权,相关信息也应当进行脱敏处理,以确保该项处理不可恢复,无法追踪到具体个人。此外,并非所有个人信息都可以提供和出售,在信息分级的前提下, 企业应避免银行账号、行踪轨迹等敏感信息外流。

 

在确定出售和提供用户信息的权限后,企业也应当对信息获取方进行充分的背景调查,采用相同的方式确定该企业符合相关资质和法律规定,且不存在可能涉及刑事犯罪的风险。企业还应当要求信息获取公司提供书面承诺保证所提供材料的真实性,以及信息使用的合法性。

 

数据刑事合规要点甚多,对于数据企业来说,建立独立于经营业务条线的合规部门,设立数据合规专员,设立内部违规检举以及奖惩机制均十分重要,本文碍于篇幅不作展开。相较于传统企业,使用用户信息的新型企业面临更多涉刑风险,建立专项预防机制,隔绝风险,保护企业势在必行。