四、 企业的刑事风险防范策略
严厉的个人信息保护刑事规范,对打击个人信息违法犯罪活动会将起到更大威慑作用,也将为企业数据资产构筑法律安全屏障。但同时,高企的刑事责任,对于企业来说,特别以数据处理为核心业务,或日常运营中处理敏感数据的企业,如互联网、电信、金融、征信、医疗、教育等行业领域的经营者而言,所面临的法律风险不容低估。特别是,我国“侵害个人信息罪”适用于单位犯罪。单位可作为违法主体被追究刑事责任,判处罚金,同时,单位直接负责的主管人员和其他直接责任人员也承担相应刑责。对此,企业应建立完备的数据管理安全体系,制定系统的风险防范策略予以应对。
▌(一) 个人信息分类分级管理
《解释》出台之前,我国有关个人信息保护的相关立法中并没有直接体现出对数据的分类思路,仅仅在2013年指导性标准中,提出将个人信息区分为个人敏感信息和个人一般信息,并推荐适用不同的收集同意标准。
此次《解释》明确将数据自身的敏感程度作为定罪量刑的直接依据后,在企业实践中实施数据分类分级管理的必要性将更为突出。实际上,数据分级分类管理已是实务普遍做法,但根据《解释》,企业需要在现有做法基础上,对个人信息类别再行细分,同时也需要结合业务场景,与用户个人利益的相关度、数据自身安全威胁强弱等维度,系统梳理数据类别、安全级别,针对不同级别,实施强弱有别的安全防护。特别是在个人信息获取、对外提供环节,加大合规投入。
▌(二) 信息获取,“取之有道”
本文并不讨论窃取、骗取等明显具有非法性的数据获取行为,而是企业正常经营活动中,涉及合规重点的两类情形:
1.提供服务过程中面向用户,直接收集个人信息的情形,需完成以下合规工作:
(1)保障用户知情权。公开信息收集规则、收集的目的、收集的方式和范围,例如通过公告、隐私政策、业务协议等方式公开法定要求公开的信息。
(2)获得用户的同意。这是决定收集“合法与否”的关键点。需要结合业务所适用的具体法规、规章,满足其具体合规要求。如上所述,《征信管理条例》中的“书面同意”要求,网约车规范中的“明示同意”要求等。通过业务协议等格式条款获取用户同意的,需要满足合同法中关于格式条款的具体要求。
(3)审查所收集信息与业务提供的相关性。以满足收集信息的合法、正当、必要原则。其中《网络安全法》明确禁止收集与所提供服务无关的信息。当然从《网络安全法》表述来看,对收集活动仍然采取的是相对宽松标准,即与业务的相关度来评判,为收集信息的范围仍留有弹性空间。
(4) 不得超出用户协议范围收集信息。在用户协议中,应尽可能明确所收集个人信息的主要类别、类型,以完整覆盖提供服务所必需的数据,并保障用户的知情同意权。
(5)不得收集法律禁止收集的用户个人信息。如《征信业管理条例》明确禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息;
做到以上合规点,避免落入“违反国家规定收集个人信息”情形,是防范刑事责任风险的根本。
2.从第三方获取个人信息的合规审查:
《解释》将“违反国家规定,购买、收受、交换个人信息”纳入到“非法获取情形”,在实践中主要涉及企业与第三方合作场景。目前来看,合规仍有模糊地带。但从企业所扮演的两种角色出发,可提出如下探讨思路:
(1)企业仅作为受托者提供技术服务时,并不负担数据收集活动是否合法的义务。例如:电信企业为第三方提供短信息发送服务,从而“收受”第三方提供的电话号码信息。在此情形下,若短信息服务自身合法,电信企业并不负有审查第三方获取个人信息是否合法的义务。电信企业所负主要义务,是依据与第三方的“服务协议”所承担数据安全义务。类似的,云计算服务也属此类情形。云服务提供者并不负有审查云客户个人信息收集活动是否合法的义务,而主要依据服务协议承担数据安全责任。
(2)企业从第三方获取数据,是为了实现自身业务目的。此类情形是刑法规范的重点。即企业与第三方的合作,并不仅仅是为第三方提供服务,特别是通过“购买、交换”方式获得的数据,已带有明显的自身目的。此类情形下,为保证合规,避免刑事责任风险,建议企业在第三方收集个人信息的环节,就能够通过第三方向个人披露关于个人信息收集、交换、对外提供的信息,并征得用户的同意。
▌(三) 对外提供,遵循合规高标准
与“非法获取”相比,“非法提供”的认定更明朗些。因为禁止对外提供是一般性原则,少数合法提供的情形,立法已有明确规定。最为主要的合法依据有两方面,一是征得了个人的同意,二是进行了数据匿名化。征得个人同意,并无太多认识分歧。相比而言,匿名化是新近提出的合规渠道,无论在学界、司法实务界都还存在不同看法。
但总体而言,数据匿名化是兼顾隐私保护与数据利用的有效手段,企业可以采取技术、合同、审计等多种手段,努力实现数据不再能够具有身份可识别性,并在此基础上,实现数据的交易流转,加工利用。
需要澄清的是,数据匿名化并不是一个绝对状态,因为决定数据是否处于匿名状态的两个主要因素:数据算法和可获得的数据资源始终时刻处于动态变化之中,算法日益强大,数据资源不断丰富,当前的匿名化并不代表永久的匿名化,因此在将数据匿名化作为可对外提供的例外情形时,在具体的司法裁量中也应遵循相对标准,而不是绝对标准,即在特定的案例中,企业是否采取了相对充分的匿名化措施,以使得获得数据的第三方采取一般可能的措施,也无法将数据关联到特定个人。
因此,企业是否否采取了相对充分的匿名化措施,决定了其是否可以适用对外提供的例外条款,而在这一方面,企业至少可以从以下方面开展合规,预防可能的法律风险:
(1)在对外提供的业务场景中,开展隐私风险评估。包括评估合作方的数据利用目的,个人隐私的敏感度,合作方所掌握的数据资源、数据分析能力等。
(2)根据隐私风险评估结果,选择有针对性的数据匿名策略,包括不同的匿名技术方式、加密手段等。
(3)通过合作协议加以限制及明确责任,例如:对数据的使用场景、目的进行约束;限制关联数据进入特定数据场景;对数据访问的技术限制:做出不再试图重新回复身份属性的法律承诺;对随机情况下再识别数据做出破坏处理的约定;对数据的返还、销毁等做出协议安排。
▌(四) 严格履行网络信息管理义务
如上述,我国“侵害公民个人信息罪”仅指向针对个人信息的非法获取、非法提供这两端行为,并不覆盖其他环节。但对于电信、互联网企业等“网络服务提供者”而言,刑法第286条之一“拒不履行信息网络安全管理义务罪”也与企业在用户个人信息方面的刑事责任风险强相关。
按照《刑(九)》及《解释》规定:网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。
尽管从本罪的表述来看,已对构成犯罪的情况作了极大限定,必须同时满足三个前提“不履行网络信息安全管理义务”;“经监管部门责令改正而拒不改正的”;“致使信息泄露,造成严重后果的”。如此限定,似乎刑事风险已相对可控。
但事实上,由于目前我国网络信息安全管理立法分散,在大量的法律、行政法规中均有涉及安全管理义务设定,相关监管部门,不仅包括网信、公安、工信部等日常监管机构,在特定领域也涉及到国安、保密等机构,此外传统监管部门央行、工商总局、交通部、卫计委也有针对特定行业的网络信息安全管理要求。尤其关注到“拒不履行信息网络安全义务罪”中并没有限定监管部门的行政级别,这意味着除了中央一级的监管部门,省级甚至省以下的监管部门都可能发出“责令改正”要求【7】。本罪的刑事风险显然并不比想象中小。
因此,对于企业来说,为有效防范此类情形的刑事责任风险,应当全面梳理企业所负有的信息网络安全管理义务,并与监管部门就安全管理工作保持密切沟通,特别是在个人信息安全防护方面,杜绝因未履行信息安全管理要求而造成信息泄露事件。
结语
业界预测,2017年6月1日《解释》正式实施后,我国个人信息罪刑事诉讼将出现激增现象。这是该罪名适用范围广,入刑门槛低所带来的必然结果。同时,由于《解释》对重刑情形规定十分明确,实践中本罪量刑也将会出现加重特点。
除了被规范的主体:企业、政府机构以及普通个人需要加强法律意识,适应法律要求外,对于执法者而言,理解和适用新规范也会面临新挑战。如所述,我国个人信息保护刑事体系是在民事、行政机制尚未及时跟上的背景下,在刑事领域的先行探索。考虑到社会民众尚未形成对个人信息保护规则的成熟认知,为避免刑事追责带来过大冲击,期待司法实践能够充分利用“初犯免于起诉、处罚”等缓冲机制。
此外,法律适用中值得进一步思考的问题是:在利用刑法严厉打击数据黑产的同时,如何避免对合理创新活动的误伤。尽管《解释》部分考虑了主观恶意因素,但并未将其作为定罪核心标准。建议在司法实践中能够加大对主观恶意成分的考虑,从而区分出更具有社会危害性的个人信息侵害行为,为市场创新留有空间。
参考文献
1.周加海 邹涛 喻海松 ,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的理解与适用 ,2017,5
2.Baker & McKenzie,2016 Global Data Protection Enforcement Report - Enforcement by regulators: penalties, powers and risks,January 2016
3.林哲骏,《侵犯公民个人信息罪定罪标准研究——以“个人信息”和“情节严重”认定标准构建为视角》,《尊重司法规律与刑事法律适用研究(下)——全国法院第27届学术讨论会获奖论文集》
4.北京大兴区人民检察院《侵犯公民个人信息犯罪研究》课题组,侵犯公民个人信息犯罪的实践应用探究———从人肉搜索行为的入罪规制疑难来考察,净月学刊,2015年底2期
5.赵秉志,公民个人信息刑法保护问题研究,《华东政法大学学报》 , 2014 , 17 (1) :117-127
6.李玉萍,侵犯公民个人信息罪的实践与思考 ,《法律适用》 , 2016 (9) :11-16
7.喻海松,网络犯罪的立法扩张与司法适用,《法律适用》 , 2016 (9) :2-10
(责任编辑:安博涛)
