您现在的位置是:首页 > 贷款

贷款

案例|侵犯公民个人信息罪与新法对比

2020-12-23 08:49:10 fx358财富网
伴随着企业互联网化、数字化进程不断加快,企业所面临的的法律风险也在不断提升。数据刑事合规则是互联网企业预防法律风险、及时规避刑事责任的重要内控制度之一。所谓“前

伴随着企业互联网化、数字化进程不断加快,企业所面临的的法律风险也在不断提升。数据刑事合规则是互联网企业预防法律风险、及时规避刑事责任的重要内控制度之一。所谓“前车之鉴、后车之师”,今天飒姐团队通过盘点刑事合规过程中企业触雷经典案例,为诸位互联网企业提前排雷,未雨绸缪。

数据是信息时代的生命之泉,是企业深挖市场盈利增长点的关键。而规模化采集个人信息、技术化处理以剥离敏感信息,形成去标识化数据,这一过程中合规采集个人信息与侵犯个人隐私权、乃至触犯侵犯公民个人信息罪的界限时常模糊。是否构成侵犯公民个人信息罪的首要判断点:何谓刑法意义上的公民个人信息?

一、案情回顾

基本案情:——王某、张某侵犯公民个人信息案 (2018)辽0191刑初418号

2016年10月至2018年5月期间,被告人王某利用曾供职于某市工商部门,能够通过二级密码登陆进入该省工商行政管理一体化办公系统的职务便利,使用案件相关人李某为其制作的抓取软件,从该系统中批量获取企业相关工商登记信息(包括企业注册号、企业名称、地址、法定代表人、企业类型、成立时间、注册电话、法人电话、经营范围)共计2万余条。王某将其中十万余条信息经过处理后(删除注册号、法人电话两项)通过QQ、微信等网络形式贩卖给被告人张某,共获利人民币1万多元。

争议焦点:市场主体登记信息是否属于公民个人信息?

王某辩护人辩称:市场主体信息属于依法应当公开的信息,不属于公民个人信息的范畴。

法院认为:公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。经该省有关部门证实,市场监管部门依法通过公示系统公示市场主体登记备案等基础信息、行政许可信息、行政处罚信息,但所有公示的信息均不包含自然人的身份信息、联系电话等,也不包括市场主体的联系电话,王某非法获取的信息中虽然大部分属于企业信息,依法应当公开,但注册电话(移动电话号码)并不在依法公开信息之列,且根据其同时窃取的法定代表人姓名与注册电话(移动电话号码)能够相匹配,具备识别特定自然人身份的效能,因此王某非法获取的信息系公民个人信息,理应受到刑法的保护。

二、案例评析

企业作为市场经营的最小单元,其登记信息类似自然人的身份识别信息。登记信息既包括依法应当公示公开的信息,也包括不在依法公开之列的登记信息。单独的公开登记信息不在公民个人信息保护范围内;公开信息与非公开的登记信息相结合,一旦具备于不特定群体中识别回溯至特定主体的功能的,即可认为属于公民个人信息概念范畴。

判断是否属于公民个人信息概念范畴的标准:该信息是否能回溯、识别到特定个体?能,则属于刑法意义上的公民个人信息。反之则不属于公民个人信息。

此外,飒姐团队结合办案经验,对上述案件的法院观点提出一项疑问:虽注册电话不在依法公开的登记信息之列,但各企业信息查询平台都存有市场主体的一项甚至多项联系方式,其信息来源如何值得探究。倘若联系方式的信息源于主体的主动公开,那么实践中以严苛的刑法来保护市场主体主动公开的信息的合理性,尚有待论证。

三、新法对比

对比《个人信息保护法》(草案)内容,目前我国关于公民个人信息保护的法律规则散见于《民法典》《刑法》《网络安全法》等部门法中。而为了更系统、专门地实现对公民个人信息的保护,今年第十三届全国人大常委会第二十二次会议已经对《中华人民共和国个人信息保护法》进行了审议。下面飒姐团队带您梳理这部新法有什么核心亮点。

亮点一

明确适用范围,规范域外适用情形

《个人信息保护法》(草案)第三条规定:在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:

(一)以向境内自然人提供产品或者服务为目的;

(二)为分析、评估境内自然人的行为;

(三)法律、行政法规规定的其他情形。

可以预见,为衔接境外信息的处理,以及细化本条规定的需求,相关部门将制定我国公民信息出境的可执行规范,事实上,国家互联网信息办公室已于2019年6月13日发出关于《个人信息出境安全评估办法(征求意见稿)》公开征求意见的通知,飒姐团队推断,办法的正式施行时间与《个人信息保护法》(草案)的通过会十分相近。

亮点二

明确个人信息概念,类型化个人信息

《个人信息保护法》(草案)将个人信息分为一般个人信息与敏感个人信息,分别规定各自的处理规则。草案第二十九条明确了敏感个人信息的概念:

敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。

草案第三十条至三十二条分别规定了敏感个人信息的处理规则,强调个人信息处理者必要且满足特定目的时才可以处分敏感个人信息。

对于敏感个人信息的保护,特定领域有其特殊之处,故而近年有关监管部门陆续出台了细化特定领域个人信息保护的规范性文件。仅以个人金融信息的保护为例,2020年2月13日实施的《个人金融信息保护技术规范》、2020年11月1日生效的《中国人民银行金融消费者权益保护实施办法》都在草案基础上,对个人金融信息的保护问题予以突出,添加了大量信息处理者的义务性规范。这一趋势将促成类型化的个人信息被分门别类纳入法律保护体系,并使其获取更好的权利基础。

亮点三

明确个人信息处理者义务

草案设专章明确了个人信息处理者的信息合规义务。如个人信息处理者应当制定内部管理制度和操作规程,对个人信息采取分级分类管理,采取相应的加密、去标识化等安全技术措施,合理确定个人信息处理的操作权限,定期对个人信息活动进行合规审计等。具体义务见草案第五章第五十条至第五十五条。

亮点四

增强对个人信息违规行为的惩处力度

草案强调个人信息处理者在处理信息过程中侵害他人个人信息权利的,要承担相应的民事损害赔偿责任;对于未按本草案采取必要安全保障措施,情况严重的,可责令其暂停相关业务、停业整顿,更有甚者吊销营业执照;违规更甚者甚至可以追究刑事责任。详见草案第第七章第六十二条至六十七条。

写在最后

信息数据是21世纪的财富源泉,谁掌握的信息,谁就掌握了核心竞争力。但快速挖掘财富商机时仍要谨防潜在的刑事风险。数据刑事合规是数据处理企业预防风险的第一道屏障。