Details

企业数据处理中的刑事风险及合规建议

近年来,随着数字经济的发展,涉及数据违法刑事案件呈现快速增长的局面。据有关部门统计,最近十年,相关案件年增长量保持在400件案件以上。面对严峻形势,公安机关和检察机关加大了数据违法刑事打击的力度。企业做好相应合规工作显得尤为重要。《个人信息保护法》、《数据安全法》及《网络安全法》构筑了数据合规的基本法律体系,多部司法解释构成了有效补充,例如最高人民法院、最高人民检察院2017年5月发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,最高人民检察院2021年8月发布的《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》和最高人民法院2021年7月发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等。数据刑事合规是现代企业治理体系在数字经济时代的必然要求,强调企业以自身的努力积极防范数据刑事安全风险,用严密的管理与法律合规机制杜绝数据相关犯罪的发生。刑事合规还可以成为刑事免责事由,并产生不起诉或暂缓起诉的法律效果。例如,在公司内部员工实施犯罪的情况下,刑事合规建设可以成为单位犯罪出罪或刑罚减免的抗辩事由;此外,2020年以来,最高人民检察院部署启动企业合规不起诉试点工作,企业合规可能产生不起诉或暂缓起诉的法律效果。本文将以数据在企业内的收集、存储及使用全周期为线索,以典型案例为引导,全面呈现企业数据合规中的刑事风险,并提出相应的合规建议。


一、数据收集阶段///


(一)行为类型一:网络爬虫收集数据


使用网络爬虫技术收集数据是目前刑法的主要规制领域之一,在使用爬虫技术收集数据的过程中,若突破目标网站的反爬技术则可能构成非法获取计算机信息系统数据罪;若爬取数据量过大或者访问过于频繁影响目标网站正常使用甚至造成瘫痪时可能构成破坏计算机信息系统罪;若爬取到目标网站的著作权意义上“作品”、商业秘密以及重要信息等,则可能构成侵犯著作权罪、侵犯商业秘密罪、侵犯公民个人信息罪。除前述刑事风险外,还可能存在被控不正当竞争等其他风险。


1. 典型案例


(1)“爬虫”技术侵入计算机系统犯罪第一案:使用爬虫技术破解防抓取措施构成非法获取计算机信息系统数据罪


上海某网络科技有限公司,经营计算机网络科技领域内的技术开发、技术服务、电子商务、电子产品等业务。该公式法定代表人兼CEO张某、产品负责人宋某、技术负责人侯某经共谋,于2016年至2017年间采用技术手段抓取被害单位北京某网络技术有限公司服务器中存储的视频数据,并由侯某指使被告人郭某破解北京某网络技术有限公司的防抓取措施,使用“tt_spider”文件实施视频数据抓取行为,造成被害单位北京某网络技术有限公司损失技术服务费2万元。


最终海淀区法院以非法获取计算机信息系统数据罪分别判处被告单位罚金20万元,判处公司相关责任人等四人有期徒刑九个月至一年不等的刑罚及3万元至5万元不等的罚金。


(2)某科技公司未经授权爬取个人信息并出售,构成侵犯公民个人信息罪


某科技公司成立于2014年,主要经营招聘工具软件和大数据分析等业务。2015年至2019年间,该公司组建专门爬虫技术团队,在未取得求职者和平台直接授权的情况下,秘密爬取国内主流招聘平台上的求职者简历数据。案件审查过程中,从涉案数据中发现具有爬虫特征的2.1亿余条个人信息。经查,某科技公司获取上述数据后,对数据进行重整,并用于开发产品意图谋利。期间,某科技公司爬虫技术团队负责人欧某某,私自将公司窃取的简历数据对外出售,个人非法获利人民币30余万元。被告单位某科技公司被判处罚金人民币四千万元,被告人王某某被判处有期徒刑七年,罚金人民币一千万元,其他被告人均被判处相应刑罚。


(3)快鸽互联科技有限公司:使用爬虫技术时抓取过度破坏目标网站构成破坏计算机信息系统罪

  

2018年1月,深圳市快鸽互联科技有限公司技术总监杨杰明授权公司员工张国栋开发一款名为“快鸽信贷系统"的软件,该软件内的“网络爬虫"功能可与深圳市居住证网站链接,查询到房产地址、房屋编码等对应的资料。2018年3月份起,张国栋等人利用改良后的“快鸽信贷系统"内的“网络爬虫"功能在深圳市居住证系统查询房屋信息。2018年5月2日10时至5月2日12时许两小时内,该软件对深圳市居住证系统查询访问量为每秒183次,共计查询信息1510140条次并将查询的信息以阿某云网络云盘的形式保存,深圳市公安局居住证服务平台服务器遭受了该爬虫软件的自动化程序攻击,在该时段内造成深圳市居住证系统服务器阻塞,无法正常运行,深圳市公安局居住证服务平台无法正常对外提供服务,其他用户无法正常使用平台业务,极大地影响了该居住证系统使用方深圳市公安局人口管理处的日常运作。


法院判决被告人杨杰明和张国栋触犯犯破坏计算机信息系统罪,分别处以有期徒刑三年、一年六个月。


(4)北京鼎阅文学信息技术有限公司:网络爬虫非法抓取电子书构成侵犯著作权罪


北京鼎阅文学信息技术有限公司(简称鼎阅公司)自2018年开始,在覃某某等12名被告人负责管理或参与运营下,未经掌阅科技股份有限公司、北京幻想纵横网络技术有限公司等权利公司许可,利用网络爬虫技术,爬取正版电子图书后,在其推广运营的“鸿雁传书”“TXT全本免费小说”等10余个App中展示,供他人访问并下载阅读,通过广告收入、付费阅读等方式进行牟利。

法院判决:鼎阅公司及覃某某等12名被告人均犯侵犯著作权罪,判处鼎阅公司罚金150万元;判处覃某某等四人有期徒刑三年,罚金80至20万元不等;判处陈某等五人有期徒刑一年十个月,罚金15万元;判处陈某某、梁某某二人有期徒刑一年六个月、缓刑二年,罚金分别为8万元、5万元;判处王某某有期徒刑一年三个月、缓刑一年六个月,罚金3万元。


(5)全国首例非法获取地理信息数据刑事案


2019年9月至2020年8月期间,被告人张某、陈某未经Q公司允许,利用被告人陈某编写的XCORS.GwServer程序等技术手段获取Q公司等精确定位差分系统的数据用于转发,由被告人李某提供售后、维护,从而销售CORS服务账号,销售数额人民币52万余元。法院认定:被告人张某、陈某、李某违反国家规定,采用技术手段,获取计算机信息系统中存储、处理或者传输的数据,情节特别严重。三被告人的行为均已构成非法获取计算机信息系统数据罪,分别被判处有期徒刑三年六个月至一年四个月、缓刑一年十个月不等,并处罚金十万元至两万元不等。


2.合规建议


根据前述刑事风险和其他一般违法风险,本处给出具体合规建议如下:(1)识别数据是否为开放数据,数据是否开放是合法性判断的标准。a)如果目标网站有反爬虫协议,应严格遵守网站设置的 robots协议,不予爬取或更换目标网站。尽管目前违反网站的此类协议抓取是否违法尚有争议,但应当谨慎对待;绝对不可突破目标网站的反爬取技术措施,避免触犯非法获取计算机信息系统数据罪如果一般的个人网站或商业网站、APP既未设置反爬技术措施,也未公开反爬声明,则该网站的公开数据一般是可以爬取的。但要注意,可能出现目标网站已经有公开反爬声明,但自己没发现的情形;b)企业的半公开数据或内部数据经授权后方可爬取;(2)合法爬取数据后说明数据来源。一方面,可以表明非恶意爬取;另一方面,预防数据本身存在问题;(3)爬虫行为不应妨碍目标网站的正常运行。根据《中华人民共和国刑法》286条规定“违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的”,可能构成破坏计算机信息系统罪。又根据《数据安全管理办法》16条网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行;此类行为严重影响网站运行,如自动化访问收集流量超过网站日均流量三分之一,网站要求停止自动化访问收集时,应当停止”。故应当谨慎评估网站的流量,访问流量不能超过网站日均流量的三分之一,对爬虫代码进行妥善设置,最好设置为网站日均流量的四分之一或以下,如无法预估网站流量,可以设置访问人数较少的时段进行爬取,单日爬取时间不超过2小时;(4)设置抓取内容的限制策略。爬取时应注意编码禁止抓取视频、音乐等可能构成作品的、明确的著作权作品数据,避免触犯侵犯著作权罪的刑事风险;(5)抓取后及时审查。及时审查所抓取的内容,如发现数据属于用户的个人信息、隐私、涉及他人的商业秘密、著作权作品的,可能相应地构成侵犯公民个人信息罪、侵犯著作权罪、侵犯商业秘密罪,应及时停止抓取,并完整删除已经爬取的信息;(6)如双方商业模式相同或近似,爬虫获取对方的信息很可能会对对方造成直接损害或者减损其可期待利益,为避免不正当竞争的法律风险,应不予抓取;如果系对方的核心化、批量式主营业务商业数据,应尽量避免以爬虫方式搜集,以免伤害到其实质性商业利益,违反《反不正当竞争法》相关规定,从而引发法律纠纷。

(二)行为类型二:非法获取公民个人信息

侵犯公民个人信息罪是数据交易领域内的高频罪名,非法获取公民个人信息是该罪的类型之一,单位可构成该罪。要构成非法获取型的侵犯公民个人信息罪,构成要件为“非法获取行为+情节严重”。

根据《中华人民共和国刑法》和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,“如果在收集过程中存在窃取、或者违反国家规定的交换、购买、收受和其他非法手段获取个人信息的行为,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。以下情形属于情节严重:(1)非法获取行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(2)非法获取住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(3)非法获取前两条规定以外的公民个人信息五千条以上的;(4)数量未达到规定标准,但是按相应比例合计达到有关数量标准的;(5)违法所得五千元以上的;(6)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;(7)其他情节严重的情形。

此外,若在非法获取公民个人信息的过程中,有设立专门用于非法收集个人信息的网站、发布违法犯罪的信息等行为,可能触犯非法利用信息网络罪和帮助非法利用信息网络罪

1.典型案例

(1)“数据堂”员工侵犯公民个人信息罪案:通过从第三方购买非法获取公民个人信息

数据堂(北京)科技股份有限公司,该公司于2014年在新三板挂牌,系国内第一家人工智能大数据上市企业。

2016年9月,数据堂公司与华讯公司签订技术服务合同,自华讯公司购进数据,数据字段含有Telephone、LAC(位置区代码)、CELL(基站号)、IMEI(手机串号)、时间(精确至秒)、URL(上网地址),饱和度均要求95%以上。而经查明华讯公司的上线为联通一家合作商的两名“内鬼”员工,这个链条上的信息涉及全国15个省份联通机主的上网数据和偏好,包括手机号、姓名、上网数据、浏览网址等,均为原始未脱敏数据,平均正确率为99.99%。

之后数据堂公司将数据非法出售给专门成立以售卖公民个人信息的金时公司,截至案发,数据堂公司共向某时公司交付包含公民个人信息的数据60余万条。

在审判过程中,法院曾向检察院提出以单位犯罪对“数据堂”公司提起公诉,检察院未采纳[1] 。后一审法院根据数据堂公司6名被告在公司的不同岗位职能及具体工作内容,分别对6人在该案中的犯罪作用和地位进行了认定。
上诉中,多名被告人分别根据自己的实际工作内容、职级提出了上诉理由,包括对犯罪不知情、仅完成工作交付内容等,二审法院认为涉案人员均属于责任人员,最终,涉案相关人员被处以一年半到三年有期徒刑不等,均被处以罚金5万元到70万元不等。

(1)张某某、姚某某侵犯公民个人信息案利用恶意程序批量非法获取网站用户个人信息的,构成侵犯公民个人信息罪

2015年6月,被告人张某某在登录浏览“魅力惠”购物网站时发现,通过修改该网站网购订单号可以查看到包含用户姓名、手机号、住址等内容的订单信息。为谋取利益,张某某委托他人针对上述网站漏洞编制批量扒取数据的恶意程序,在未经网站授权的情况下,进入该网站后台管理系统,从中非法获取客户订单信息12503条,通过QQ等联络方法将上述客户信息分数次卖给被告人姚某某,获利人民币5359元。被告人姚某某购得上述订单信息后,又在网络上分别加价倒卖从中牟利。2016年3月29日,黄浦区法院以侵犯公民个人信息罪,判处张某某有期徒刑一年零九个月,并处罚金人民币5万元,判处姚某某有期徒刑一年零六个月,并处罚金人民币2万元。

(4)私家侦探案:跟踪、拍照、录像、安装GPS定位装置等方式获取个人信息属于“以其他方法非法获取公民个人信息。

李某和郑某在广州经营一家侦探市场调查公司,公司经营项目是接受客户委托后,通过跟踪、拍照、录像、安装GPS定位装置等方式,调查相关人员的生活交往、行踪轨迹等情况。2020年8月至2021年3月期间,李某和郑某接受三名女性客户的有偿委托,雇请王某调查该3名客户丈夫的生活交往、行踪轨迹等情况并出售,达50条以上。法院认为,李某、郑某、王某违反国家有关规定,以其他方法非法获取公民个人信息并向他人提供,情节严重,均已构成侵犯公民个人信息罪。

(5)通过”暗网“平台购买个人信息并出卖构成侵犯公民个人信息罪

2019年间,田某在某“暗网”交易平台上以比特币支付的方式,购买了其他匿名黑客通过技术手段非法获取的某科技公司的账户数据库。之后田某利用非法获取的同类型数据,通过多种技术途径完善涉案数据库的真实性与完整性,再通过某“暗网”交易平台,以加密通讯工具联络、比特币结算的方式多次贩卖牟利。经查,该数据库包含公民个人信息6亿余组。2021年4月2日,北京市海淀区人民法院依法判决被告人田某犯侵犯公民个人信息罪,判处有期徒刑三年六个月,并处罚金人民币一万元。

(6)“颜值检测”软件窃取个人信息案:利用APP窃取个人信息构成侵犯公民个人信息罪

2020年6月至9月间,被告人李某制作一款具有非法窃取安装者相册照片的手机“黑客软件”,并伪装成“颜值检测”软件发布于网络论坛提供免费下载,窃取安装者相册照片共计1700余张,其中部分照片含有人脸信息、自然人姓名、身份证号码、联系方式、家庭住址等100余条公民个人信息。同年9月,李某在某暗网论坛购买“XX库资料”并转存于网盘。2021年2月,李某将含有户籍信息、QQ账号注册信息、京东账号注册信息、车主信息、借贷信息等的资料包分享至QQ群,提供给群成员免费下载。经鉴定,“XX库资料”包含公民个人信息1.5亿余条,经去除无效数据并进行合并去重后共计8100万余条。

法院审理后认为,李某违反国家有关规定,非法获取并向他人提供公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。判决被告人李某犯侵犯公民个人信息罪,判处有期徒刑三年,宣告缓刑三年,并处罚金人民币一万元;扣押在案的犯罪工具予以没收;在国家级新闻媒体上对其侵犯公民个人信息的行为公开赔礼道歉;删除“颜值检测”软件及相关代码,并删除涉案公民个人信息。

(7)抖音撞库案:利用“撞库”攻击收集公民个人信息,构成非法获取计算机系统数据罪


本案中,被告人汪某某使用专门用于侵入计算机信息系统的程序及包含大量用户名密码的样本数据,对抖音公司的计算机信息系统实施撞库攻击,非法获取了抖音公司储存的用户身份认证信息177万余组。海淀法院一审法院认定:被告人汪某某违反国家规定,侵入计算机信息系统,获取计算机信息系统中储存的数据,情节特别严重,其行为已构成非法获取计算机信息系统数据罪,应予惩处。二审法院驳回上诉,维持原判。

2.合规建议

企业在获取信息阶段,应当保证企业数据收集行为合规,包括自行收集合规和从第三方获取合规。

企业自行收集数据时,应当遵守合法原则。合法原则是企业获取数据规避刑事风险的底线。刑法中规定的非法获取的方式包括“窃取和其他方式”,其违法行为的核心特点是未经信息主体“同意”且无其他合法依据。故取得同意至关重要,此前刑法界就有人认为个人信息主体的概括同意并不能一概成为阻却违法的理由,随着《个人信息保护法》的出台生效,“同意”的内涵更加丰富,企业或个人在收集个人信息时应当注意以下几点:一是同意的形式。根据《个人信息保护法》规定,“公开收集”和“收集个人敏感信息”时应当取得“单独同意”;二是应当明示同意。根据《个人信息告知同意指南(征求意见稿)》3.7条明示同意指个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为,如用户主动勾选,主动点击“同意”“注册”的行为。三是同意的前提是充分知情。这要求个人信息处理者在征求同意时应当根据《个人信息保护法》17条2款规定明确告知个人信息的处理目的、处理方式,处理的个人信息种类、保存期限等应当告知的内容,保证个人信息处理的透明度问题;四是同意应当是自愿作出。这意味着不可以强制或者变相强制同意。常见的变相强制手段包括:用户拒绝同意非必要权限后影响到正常功能的使用;捆绑同意等。《个人信息保护法》中规定的其他处理个人信息的合法性基础可以在此作为参考:(1)基于订立、履行作为一方当事人的合同所必需。此处的“合同”与“必需”的定义有待进一步明确,其中“必需”可参考《常见类型移动互联网应用程序必要个人信息范围规定》,“合同”的范围一般认为不包括个人隐私协议、隐私政策或者服务协议等文件;(2)为履行法定职责或者法定义务所必需;(3)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(4)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(5)在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。

为了进一步规避一般违法风险,还应遵循必要性原则和目的明确原则。必要性原则合规要求的落实和尺度的把握,是企业收集数据尤其是自行收集的“重灾区”。根据《个人信息保护法》第6条第2款规定:收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息;根据《移动互联网应用程序(App)收集使用个人信息自评估指南》评估点4中对必要性标准的进一步明确,企业应当做到以下几点:(1)不收集与业务功能无关的个人信息;(2)允许用户拒绝收集非必要信息或打开非必要权限;(3)不以非正当方式强迫收集用户个人信息,如通过在用户拒绝收集后限制部分功能的方式;(4)收集个人信息的频度不超出业务功能实际需要;目的明确原则,具体而言,依照《APP收集使用个人信息自评估指南》2.1a规定,企业应当完整、清晰、区分说明各业务功能所收集的个人信息。宜根据用户使用习惯逐项说明各业务功能收集个人信息的目的、类型、方式,避免使用“等、例如”等方式不完整列举。需要注意的是,当收集个人信息的目的变更后应当重新取得同意(合法性基础为“个人同意”时)。  

从第三方收集个人信息。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息属于非法获取公民个人信息”。由此可见企业通过第三方获取数据时,有义务对第三方供应商数据的合法性进行审查并留存证据,以避免因第三方数据来源的不合法招致刑事风险。本篇建议可从以下方面入手。(1)对供应商资质进行审核。在向第三方采购数据时,要确保供应商具有合法资质且未受过行政处罚,同时应综合评估供应商数据安全管理能力、前期数据交易经验及能力、服务质量等,留存审核记录;(2)注意查看供应商数据来源合法的证明文件,查明供应商与用户签订的协议是否明确授权、授权使用范围、用途等;(3)要求供应商提供并签署数据未侵犯他人个人信息和其他合法权益的承诺书,并约定发生纠纷由供应商承担企业因此遭受的一切损失;(4)建立供应商管理制度,对供应商合同签订状态、采购数据类型、数据范围、供应商背景资质审查情况等及时记录、更新、管理,留存交易记录。



二、数据存储阶段///


(一)行为类型一:非法缓存个人信息


正如前文提到,信息主体的同意在处理个人信息过程中至关重要,但概括的同意并不能一概阻却违法,未经同意或者超出个人信息主体同意范围存储个人信息同样可能构成侵犯公民个人信息罪。


1.典型案例


(1)某大数据风控公司非法缓存数据侵犯公民个人信息案


2016年初某大数据风控公司由周某等人出资成立,被告人周某系公司法定代表人,总经理,负责公司整体运营,被告人袁冬系公司技术总监,系技术负责人,负责相关程序设计。公司主要与各网络贷款公司小型银行进行合作,为网络贷款公司、银行提供需要贷款的用户的个人信息及多维度信用数据,方式是公司将其开发的前端插件嵌入上述网贷平台A**中,在网贷平台用户使用网贷平台的APP借款时,贷款用户需要在公司提供的前端插件上,输入其通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等网站的账号、密码,经过贷款用户授权后,公司程序代替贷款用户登录上述网站进入其个人账户利用各类爬虫技术,爬取(复制)上述企、事业单位网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据,并按与用户的约定提供给网贷平台用于判断用户的资信情况,并从网贷平台获取每笔0.1元至0.3元不等的费用。期间,公司在和个人贷款用户签订的《数据采集服务协议》中明确告知贷款用户“不会保存用户账号密码,仅在用户每次单独授权的情况下采集信息”,但未经用户许可仍采用技术手段长期保存用户各类账号和密码在自己租用的阿里云服务器上。被告人周某明知公司存在保存用户账户密码的行为,未尽管理职责;被告人袁冬负责编写具有保存用户账户密码功能的程序。截至2019年9月案发时,对公司租用的阿里云服务器进行勘验检查,发现以明文形式非法保存的个人贷款用户各类账号和密码条数多达21241504条。


2021年法院判决该公司构成侵犯公民个人信息罪单位犯罪,单位处罚金3000万,相关责任人员判处3年有期徒刑(缓刑),并处罚金30万-50万,退缴违法所得3000万。


2.合规建议


保存个人信息同样需要遵守合法性原则,获得个人信息主体的授权,若储存个人信息的行为超出之前个人信息主体授权范围,应当重新获得授权。具体的合法性规则与前述收集个人信息时要求相同,请参见非法获取型侵犯公民个人信息罪合规建议部分,此处不再赘述。


(二)行为类型二:未履行信息网络安全管理义务


在数据收集结束后,网络服务提供者可能由于未履行网络安全管理义务构成未履行信息网络安全管理义务罪。根据《中华人民共和国刑法》二百八十六条之一规定:网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:致使违法信息大量传播的;致使用户信息泄露,造成严重后果的;致使刑事案件证据灭失,情节严重的;有其他严重情节的。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。


此条适用对象是网络服务提供者,且构成此罪有前置条件,即“经监管部门责令采取改正措施而拒不改正”。故实践中因为履行信息安全管理义务构成此罪的案例数量不多,但企业亦应根据《个人信息保护法》以及其他相关法律法规的规定进一步信息管理义务,防范一般违法风险乃至刑事风险。


1.典型案例:全国首起电信运营商拒不履行信息网络安全管理义务案


李小全2014年8月任远特公司高级运营总监,2019年3月离职。2018年9月,山东亚飞达公司向远特公司董事长王磊要求将用户停机三个月后被回收的卡进行重新制卡后发送给亚飞达公司,王磊对此予以同意,并安排李小全负责与亚飞达公司对接相关的具体事项。2018年9月,李小全经亚飞达公司自行挑出4000张带有公民个人微信的卡号并并根据挑选的回收卡安排人员进行制卡和发卡工作。亚飞达公司在拿到该批回收卡后,将该批回收卡违规实名在济南甲午新能源科技有限公司、济南仕通信息科技有限公司名下,并将回收卡卖出用于盗取回收卡上绑定的用户微信账号,导致回收卡上绑定的微信号被大量盗取。


经查,2016年-2017年,远特公司已因违反实名制规定被相关部门处罚3次。法院认为,作为单位主管人员,负有查验、评估、审核行业卡使用情况的职责,在明知违反实名制管理规定的情况下,仍然将大量带有公民个人信息的回收卡交给亚飞达公司,造成严重后果,且在两年内经监管部门多次责令改正而拒不改正,已构成拒不履行信息网络安全管理义务罪,被判处有期徒刑一年零三个月,并处罚金5000元。


2.合规建议


网络服务提供者在收集到信息后进行处理的过程中,具有保证信息安全的管理义务,避免数据发生泄露事件。若企业持续违反法律法规以及行业相关的信息安全管理规定,且已收到监管部门的责令改正,应当立即整改,避免发生数据泄露事件,承担刑事责任;若无前述情形,亦可从以下方面不断完善数据存储的安全保障措施,避免一般违法责任。


(1)数据存储方式。1)去标识化处理。根据《信息安全技术 个人信息安全规范》6.2条:在收集个人信息后,立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,加强访问和使用的权限管理;2)使用加密存储方式。根据《信息安全技术 个人信息安全规范》6.3a规定:对个人敏感信息采用加密措施(个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等);3)建立备份措施。根据《互联网个人信息安全保护指南》6.2e规定:企业保存信息的主要设备,应对个人信息数据提供备份和恢复功能,确保数据备份的频率和时间间隔,并使用不少于以下一种的备份手段:①具有本地数据备份功能;②将备份介质进行场外存放;③具有异地数据备份功能。


(2)数据存储期限。根据《个人信息保护法》19条规定,应满足“个人信息存储时间最小化”原则,即“个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间”,同时在“超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理”。


(3)数据存储地点。应根据《个人信息保护法》36条,遵循数据境内存储的规定,如确有境外存储需要的,应履行相应的安全评估手续。


(4)个人生物识别信息存储的特别规定。根据《信息安全技术个人信息安全规范》6.3c规定:原则上企业不应存储原始个人生物识别信息,具体可采取以下合规措施:1)仅存储个人生物识别信息的摘要信息;2)在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;3)在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。


(5)采取数据访问控制措施——访问控制可以分为人员控制和流程控制两方面。根据《信息安全技术 个人信息安全规范》7.1条规定:对被授权访问个人信息的人员,应建立最小授权的访问控制策略,使其只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限;对个人信息的重要操作设置内部审批流程,如进行批量修改、拷贝、下载等重要操作;对安全管理人员、数据操作人员、审计人员的角色进行分离设置;确因工作需要,需授权特定人员超权限处理个人信息的,应经个人信息保护责任人或个人信息保护工作机构进行审批,并记录在册;对个人敏感信息的访问、修改等操作行为,宜在对角色权限控制的基础上,按照业务流程的需求触发操作授权,如当收到客户投诉,投诉处理人员才可访问该个人信息主体的相关信息。


三、数据使用阶段///


(一)行为类型一:非法出售、提供公民个人信息


在司法实践中大多数犯罪主体在非法获取数据后均会通过出售或提供他人牟利,触犯侵犯公民信息罪。


根据《中华人民共和国刑法》和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中对侵犯公民个人信息罪的规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金;违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。


以下情形属于构成要件中的情节严重:(1)出售或者提供行踪轨迹信息,被他人用于犯罪的;(2)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;(3)非法出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(4)非法出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(5)非法出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;(6)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;(7)违法所得五千元以上的;(8)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到规定标准一半以上的;(9)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;(10)其他情节严重的情形。


此外,若在非法出售、提供公民个人信息的过程中,有设立专门用于非法处理个人信息的网站、发布有关于违法犯罪的信息等行为,可能触犯非法利用信息网络罪和帮助非法利用信息网络罪。


1.典型案例


(1)柯某非法获取并出售公民个人信息案(最高检指导性案例)


柯某系安徽某信息技术有限公司经营者,开发了“房利帮”网站。2016年1月起,柯某开始运营“房利帮”网站并开发同名手机APP,以对外售卖上海市二手房租售房源信息为主营业务。运营期间,柯某对网站会员上传真实业主房源信息进行现金激励,吸引掌握该类信息的房产中介人员(另案处理)注册会员并向网站提供信息,有偿获取了大量包含房屋门牌号码及业主姓名、电话等非公开内容的业主房源信息。柯某在获取上述业主房源信息后,安排员工冒充房产中介人员逐一电话联系业主进行核实,将有效的信息以会员套餐形式提供给网站会员付费查询使用。上述员工在联系核实信息过程中亦未如实告知业主获取、使用业主房源信息的情况。自2016年1月至案发,柯某通过运营“房利帮”网站共非法获取业主房源信息30余万条,以会员套餐方式出售获利达人民币150余万元。2019年12月31日,金山区人民法院作出判决,以侵犯公民个人信息罪判处柯某有期徒刑三年,缓刑四年,并处罚金人民币一百六十万元。


(2)疾控中心人员侵犯公民个人信息案:将履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人,数量数额达到规定标准一半以上即构成犯罪


2014年初至2016年7月期间,上海市疾病预防控制中心工作人员韩某利用其工作便利,进入他人账户窃取上海市疾病预防控制中心每月更新的全市新生婴儿信息(每月约1万余条),并出售给黄浦区疾病预防控制中心工作人员张某某,再由张某某转卖给被告人范某某。直至案发,韩某、张某某、范某某非法获取新生婴儿信息共计30万余条。


2015年初至2016年7月期间,范某某通过李某向王某某、黄某出售上海新生婴儿信息共计25万余条。2015年6月至7月,吴某某从王某某经营管理的大犀鸟公司内秘密窃取7万余条上海新生婴儿信息。2015年5月至2016年7月期间,龚某某通过微信、QQ等联系方式,向吴某某出售新生婴儿信息8000余条,另分别向孙某某、夏某某二人出售新生儿信息共计7000余条。


上海市浦东新区检察院于2016年8月18日以韩某等8人涉嫌侵犯公民个人信息罪将其批准逮捕,同年11月25日提起公诉。2017年2月8日,上海市浦东新区法院以侵犯公民个人信息罪分别判处韩某等8人有期徒刑二年零三个月至七个月不等。


(3)浙江余姚一银行行长利用职务便利将个人信息提供他人构成侵犯公民个人信息罪被判刑。


沈某,原系某银行余姚城建支行行长。2017年3月,余姚某装饰公司的负责人周某(另案处理)主动联系沈某,希望能帮忙搜集一些潜在的装修客户信息资料。因双方常有业务往来且早年就相识,沈某虽明知该行为不符合银行规定,但却难以拒绝朋友的请求。此时又恰逢沈某所在的银行在电话营销业务上也有拓展需求,因此两人一拍即合,由沈某将办理过房贷的银行客户信息提供给周某,作为交换,周某在装修设计的过程中,遇到客户需要办理装修贷款时,则将其推荐至沈某所在的银行。之后,沈某利用工作之便,将包括姓名、电话、购买房屋地址、贷款数额等财产信息在内的127条银行贷款客户信息提供给周某用于其装修公司招揽业务。为了继续扩大贷款业务,沈某又主动联系了余姚某在售小区所在房产公司的会计,向其索要该小区购房业主的财产信息,并最终将1100余条信息提供给周某。


法院审理后认为,被告人沈某违反国家有关规定,向他人提供公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。其中部分公民个人信息系被告人在履职过程中获得并提供给他人,依法应从重处罚。最终,法院判处沈某有期徒刑三年,缓刑三年,并处罚金6000元,宁波银保监局对沈某处以从业禁止五年的行政处罚。


(4)设立用于买卖个人信息的网站构成非法利用信息网络罪,使用该网站买卖个人信息构成侵犯公民个人信息罪


2019年8月份,王明以“成都奇缘展梦科技有限公司”名义,在互联网设立“发卡么”虚拟卡密自动发货平台,并通过百度投放广告等方式吸引虚拟物品销售商到其平台销售含有公民个人信息的虚拟物品从中牟利。截止到2021年7月9日,“发卡么”平台共计销售各类含有公民个人信息的账号密码4917689条,被告人王明非法获利1105414.62元。王明堂哥王强,在“发卡么”平台运营期间是该平台的唯一客服,负责解决平台商户之间交易投诉及平台的日常维护。


谭血金、张鸿超是“发卡么”平台注册商户,自2020年10月份开始分别在该平台及QQ群、微信群中买卖含有公民个人信息的京东账户密码获利。


法院认为,王明设立“发卡么”平台并雇佣王强为他人用于买卖公民个人信息等违法犯罪活动并从中牟利,其行为已经构成了非法利用信息网络罪,判处王明犯判处有期徒刑一年,并处罚金5万元;王强判处有期徒刑十个月缓刑一年,并处罚金3万元;谭血金、张鸿超非法买卖公民个人信息,其行为已经构成了侵犯公民个人信息罪,判处谭血金有期徒刑三年缓刑四年,并处罚金5万元,张鸿超有期徒刑一年缓刑一年六个月,并处罚金2万元。


2.合规建议


一方面,不论是企业还是个人,与收集、存储数据要求一致,数据处理者在销售、提供个人信息过程中应当明确数据使用的界限和范围,使数据的使用同样具有合法性基础(见非法获取个人信息合规建议),否则即可能触犯侵犯公民个人信息罪。


同时,根据对刑事案例的梳理可知,在此类非法出售、提供个人信息的案件中,单位工作人员利用职务便利进行违法犯罪活动的情形屡见不鲜,随着对个人信息保护力度的加强,企业采取相应的积极措施防范此类行为的义务势必逐渐加重,如上述疾控中心人员非法提供个人信息案中,检察院就对该疾控中心提出了相应的管理建议。故涉及处理个人信息的企业应当注意以下几点,以防范因员工利用职务便利的犯罪行为继而导致的企业不作为犯罪风险。


一是控制个人信息访问权限。首先应对个人信息采取授权访问制度,未经授权的工作人员不应当有接触权限;其次根据《信息安全技术 个人信息安全规范》7.1条规定:对被授权访问个人信息的人员,应建立最小授权的访问控制策略,使其只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限;最后,对涉及到个人信息的工作人员如安全管理人员、数据操作人员、审计人员的角色进行分离设置,避免单个主体权限过大;二是控制个人信息处理的流程。对个人信息的重要操作设置内部审批流程,如进行批量修改、拷贝、下载等重要操作确因工作需要,需授权特定人员超权限处理个人信息的,应经个人信息保护责任人或个人信息保护工作机构进行审批,并记录在册;对个人敏感信息的访问、修改等操作行为,宜在对角色权限控制的基础上,按照业务流程的需求触发操作授权,如当收到客户投诉,投诉处理人员才可访问该个人信息主体的相关信息。


四、企业的合规管理义务///


通过对涉及数据处理的刑事案件梳理,有一点值得注意,在部分案件中,企业员工并非经单位授意或超出权限范围侵犯公民信息,但由于其利用了工作便利,企业和相关负责人是否尽到足够的管理义务以及承担责任时有争议。虽然有部分企业通过足够的证据表明其已尽到管理义务而抗辩成功,但随着数据合规制度的逐渐完善,企业的数据合规义务逐渐明晰,部分刑法学者主张:“应当以企业合规计划完善与否,是否得到有效贯彻未标准判断企业是否犯罪”。此外,随着最高人民检察院合规不起诉试点工作的开展,部分情节轻微的单位犯罪认罪认罚并采取积极的合规措施后,产生相对不起诉、附条件不起诉的法律效果。企业数据合规制度的必要性以及重要性,可见一斑。


1.典型案例:雀巢员工侵犯公民个人信息案件(公司合规抗辩第一案)


2016 年兰州市城关区人民法院一审认定雀巢公司 6 名员工为抢占市场份额,推销雀巢奶粉,通过拉关系、支付好处费等手段多次从多家医院医务工作人员手中非法获取十余万条公民个人信息,构成侵犯公民个人信息罪。一审判决后,各被告人均以其行为是公司行为、本案应属单位犯罪为由上诉。在本案一审过程中,雀巢公司援引了合规作为抗辩事由。雀巢公司抗辩称,其从不允许员工以非法方式收集消费者个人信息,并且从不为此向员工、医务人员提供资金,其在《雀巢合规宪章》、《雀巢指示》(取自雀巢公司员工培训教材)、《关于与保健系统关系的图文指引》等文件中明确规定“对医务专业人员不得进行金钱、物质引诱”,对于这些规定要求,其还要求所有营养专员接受培训并签署承诺函,已建立了有效的合规计划,本案中员工行为应属个人行为。法院经审理认为以上合规文件充分证明雀巢公司已尽到合规管理的义务,具有规避、防范合规风险的意识,并进行了合规培训,本案被告人违反雀巢公司的合规管理规定,应属个人行为。最终二审法院兰州市中级人民法院对此也予以认可,裁定驳回上诉,维持原判。


2.合规建议


雀巢公司的抗辩成功为数据处理者的刑事合规提供了基本路径,即将法律法规赋予的法定义务转化为公司内部制度,实现网络平台内控机制与法律法规尤其是刑法的统一。本处认为企业应当结合《个人信息保护法》《数据安全法》以及其他相关法律法规的规定进一步完善管理体系与制度,积极承担数据合规管理的义务,保障企业数据安全,规避企业因未尽到管理义务而陷入不作为犯罪的刑事风险或者一般违法风险。


数据合规管理体系具体包括:数据合规负责人、数据合规管理部门、数据合规制度规范。


企业的最高管理者是数据合规的第一责任人,总体而言,数据合规责任人是企业整个数据合规体系和制度的统筹者,负责根本性、全局性的工作。具体来讲,应当承担以下职责:一方面应当把握企业战略和运营的方向,确保其与履行数据合规义务之间的一致性;而另一方面则是要分配足够和适当的资源来建立、发展、实施、评估、维护和改进系统、完备的企业数据合规机制。


数据合规管理部门是企业内部的以预防和降低涉数据的违法犯罪为目的,以企业及其员工的经营管理行为为对象,开展合规管理活动的部门。企业可以设置专门的数据合规管理部门或者将数据合规管理职能融入现有的企业合规管理体系。


数据合规管理制度。具体包括:(1)数据安全管理制度。企业应当建立数据处理的具体制度规范,为员工具体实行数据处理活动提供指引,并明文规定禁止“窃取、出售……”等违法活动;(2)推进企业数据合规内部培训制度。企业应当对涉及数据处理流程的员工进行培训,使其明确第(1)条的制度规范,避免员工个人的违法犯罪活动波及企业;(3)企业数据分类分级管理制度。首先,企业应优先根据所属行业相关标准对核心业务数据进行分类分级,无明确标准的企业可自行建立相关分类及分级标准。其中数据分级标准应参考及遵循国家数据安全等相关法律法规。在进行分级分类管理时,关系国家安全、国民经济命脉、重要民生、重大公共利益、个人敏感信息等数据需要实施更加严格的管理制度,应根据相关法律法规的具体要求进行重点保护和管理。其次,数据的分级分类应具有全面性。应根据标准对现有数据进行全面分类分级,并通过技术手段落实安全管理要求,定期对新增数据进行梳理,确保所有数据分类及分级管控。最后,数据的分级分类应具有时效性。应根据相关法律法规或行业标准的变化,及时更新企业内部数据分类分级的相关标准。(4)数据处理的权限管理制度。建立适当的用户权限管理机制,根据岗位设置相关账户权限,明确相关数据所涉及的账户管理流程,减少数据滥用情况,提高数据安全合规水平。(5)数据安全风险较高的监管企业,应建立数据安全合规评估及审计机制制度。应自行或委托有相关信息安全检查评估资质的机构,定期进行网络安全监测和风险评估,定期或不定期对企业整体数据使用情况、数据全生命周期安全及合规性、基础安全等情况进行评估及审计,并对发现的问题及时整改。(6)数据安全风险较高的企业,应建立数据安全应急响应制度。明确数据安全事故管理和应急响应职责,制定各类数据安全事故的处置流程及应急预案,并定期进行演练,对各类安全事件进行及时响应和处置,降低企业因数据安全事故而引发的损失。(7)数据安全风险较高的企业,应建立重大数据安全合规风险事件报告制度。对影响或可能影响国家安全的数据处理活动,发现数据安全威胁时,应按规定向公安机关、国家安全机关报告,可能关系到重大经营风险的应同步及时向市国资委报告,并积极采取措施防止危害,减少损失。企业应积极配合公安机关、国家安全机关依法维护国家安全或者侦查犯罪需要,及时配合提供相关数据。


Back Next