近年�,隨著大數據信息化技術的快速發展����,越來越多的企業持有大量個人信息�,企業將該信息轉化為財富的同時����,亦存在非法收集�、濫用��、泄露等問題。本文就從侵犯公民個人信息罪出發�,淺談持有個人信息的企業如何把握刑法上的“個人信息”及如何合法處置個人信息�,進而規避刑事犯罪風險����,為企業日常實務的開展保駕護航。
一���、侵犯公民個人信息罪的概念
《刑法》第二百五十三條之一規定:“侵qin犯fan公gong民min個ge人ren信xin息xi罪zui是shi指zhi違wei反fan國guo家jia有you關guan規gui定ding�,向xiang他ta人ren出chu售shou或huo者zhe提ti供gong公gong民min個ge人ren信xin息xi�����,情qing節jie嚴yan重zhong的de���,處chu三san年nian以yi下xia有you期qi徒tu刑xing或huo者zhe拘ju役yi�����,並bing處chu或huo者zhe單dan處chu罰fa金jin;情qing節jie特te別bie嚴yan重zhong的de�����,處chu三san年nian以yi上shang七qi年nian以yi下xia有you期qi徒tu刑xing�����,並bing處chu罰fa金jin。違wei反fan國guo家jia有you關guan規gui定ding��,將jiang在zai履lv行xing職zhi責ze或huo者zhe提ti供gong服fu務wu過guo程cheng中zhong獲huo得de的de公gong民min個ge人ren信xin息xi����,出chu售shou或huo者zhe提ti供gong給gei他ta人ren的de��,依yi照zhao前qian款kuan的de規gui定ding從cong重zhong處chu罰fa。竊qie取qu或huo者zhe以yi其qi他ta方fang法fa非fei法fa獲huo取qu公gong民min個ge人ren信xin息xi的de���,依yi照zhao第di一yi款kuan的de規gui定ding處chu罰fa。”
由此可見�����,侵犯的行為不僅包括獲取利益的出售行為�,亦包括向他人提供信息不論是否獲取利益。而對於企業者最需要把握的是“個人信息”的概念。
二���、個人信息的概念
最高人民法院��、最高人民檢察院發布了《關於辦理侵犯公民個人信息刑事案件適用法律若幹問題的解釋》�,根據該解釋����,《刑法》第253條(tiao)之(zhi)一(yi)規(gui)定(ding)的(de)公(gong)民(min)個(ge)人(ren)信(xin)息(xi)����,是(shi)指(zhi)以(yi)電(dian)子(zi)或(huo)者(zhe)其(qi)他(ta)方(fang)式(shi)記(ji)錄(lu)的(de)能(neng)夠(gou)單(dan)獨(du)或(huo)者(zhe)與(yu)其(qi)他(ta)信(xin)息(xi)結(jie)合(he)識(shi)別(bie)特(te)定(ding)自(zi)然(ran)人(ren)身(shen)份(fen)或(huo)者(zhe)反(fan)映(ying)特(te)定(ding)自(zi)然(ran)人(ren)活(huo)動(dong)情(qing)況(kuang)的(de)各(ge)種(zhong)信(xin)息(xi)���,包(bao)括(kuo)姓(xing)名(ming)����、身份證件號碼��、通信通訊聯係方式����、住址����、賬號密碼�、財產狀況��、行蹤軌跡等。
(一)個人信息的內涵
1. 具有可識別性
個(ge)人(ren)信(xin)息(xi)要(yao)能(neng)夠(gou)單(dan)獨(du)或(huo)者(zhe)與(yu)其(qi)他(ta)信(xin)息(xi)結(jie)合(he)識(shi)別(bie)特(te)定(ding)自(zi)然(ran)人(ren)身(shen)份(fen)或(huo)者(zhe)反(fan)映(ying)特(te)定(ding)自(zi)然(ran)人(ren)活(huo)動(dong)情(qing)況(kuang)�����,因(yin)此(ci)�����,經(jing)過(guo)匿(ni)名(ming)化(hua)處(chu)理(li)後(hou)無(wu)法(fa)識(shi)別(bie)特(te)定(ding)個(ge)人(ren)且(qie)不(bu)能(neng)複(fu)原(yuan)的(de)信(xin)息(xi)����,雖(sui)然(ran)也(ye)可(ke)能(neng)反(fan)映(ying)自(zi)然(ran)人(ren)的(de)活(huo)動(dong)情(qing)況(kuang)�����,但(dan)與(yu)特(te)定(ding)的(de)自(zi)然(ran)人(ren)無(wu)直(zhi)接(jie)關(guan)聯(lian)�,不(bu)屬(shu)於(yu)公(gong)民(min)個(ge)人(ren)信(xin)息(xi)的(de)範(fan)疇(chou)。
需要注意的是���,單看難以識別特定主體的信息���,比如出行方式�、興趣愛好��、飲yin食shi偏pian好hao等deng����,都dou可ke能neng通tong過guo大da數shu據ju畫hua像xiang的de手shou段duan指zhi向xiang到dao特te定ding的de個ge人ren。但dan是shi需xu要yao耗hao費fei大da量liang資zi源yuan經jing過guo無wu數shu次ci技ji術shu處chu理li後hou才cai能neng指zhi向xiang特te定ding的de個ge人ren的de���,在zai實shi務wu中zhong��,這zhe些xie信xin息xi不bu具ju有you“可識別特定自然人”的屬性。[1]
2. 屬於有效的信息
比如����,重複信息���,虛假信息�����,無效信息(身份證號缺號)����,該信息由於其不能對應到具體公民���,不屬於本罪的個人信息。
(二)個人信息的外延
《關於依法懲處侵害公民個人信息犯罪活動的通知》(2013年4月23日)中關於個人信息的界定比較寬泛����,個人身份之外的“公民個人隱私”可以成為個人信息。
根據《網絡安全法》第76條第5項的規定����,網絡安全法將其界定為能夠識別個人身份的信息����,沒有明確提到個人信息包括“涉及公民個人隱私的信息”。
根據《民法典》第1034條第2款的規定�,個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息��,包括自然人的姓名�、出生日期�����、身份證件號碼���、生物識別信息�、住址���、電話號碼�、電子郵箱���、健康信息����、行蹤信息等。《個人信息保護法草案(二審稿)》第4條第1款規定��,個人信息是以電子或者其他方式記錄的與已識別或可識別的自然人有關的各種信息���,不包括匿名化處理後的信息。
2020年3月6日發布的新版《信息安全技術個人信息安全規範》(GB/T 35273—2020����、以下簡稱“《安全規範》”)�����,該《安全規範》列舉了大量個人敏感信息的參考類型。
由此可見��,刑法中個人信息的外延與民法典以及個人信息保護法草案(二審稿)有(you)所(suo)差(cha)異(yi)��,且(qie)程(cheng)度(du)分(fen)類(lei)亦(yi)有(you)差(cha)別(bie)��,但(dan)在(zai)實(shi)務(wu)操(cao)作(zuo)中(zhong)�,該(gai)差(cha)異(yi)沒(mei)有(you)太(tai)大(da)的(de)影(ying)響(xiang)。因(yin)為(wei)符(fu)合(he)個(ge)人(ren)信(xin)息(xi)概(gai)念(nian)內(nei)涵(han)的(de)信(xin)息(xi)大(da)都(dou)是(shi)民(min)事(shi)上(shang)的(de)個(ge)人(ren)信(xin)息(xi)��,雖(sui)然(ran)刑(xing)法(fa)司(si)法(fa)解(jie)釋(shi)沒(mei)有(you)具(ju)體(ti)列(lie)入(ru)�,但(dan)不(bu)影(ying)響(xiang)對(dui)行(xing)為(wei)人(ren)的(de)定(ding)罪(zui)。[2]例如����,雖然《民法典》將“個人生物特征”���、“健康信息”納入個人信息範圍�����,而刑法司法解釋沒有將健康信息列入個人信息�����,但實務上對與非法獲取�、提供慢性病監測係統病人信息的案件��,仍然以本罪論處[3]���,對獲取個人人臉信息在提供給他人的���,仍屬於“個人信息”。
三���、信息持有企業對個人信息處理規則
根據《刑法》及其司法解釋���,個人信息持有企業����,需要謹慎獲取�、提供���、處理個人信息�����,避免因疏忽構成犯罪。2020年3月6日發布的新版《信息安全技術個人信息安全規範》(GB/T 35273—2020�、以下簡稱“《安全規範》”)����,該《安全規範》當中列舉的敏感信息大部分內容在符合條件的情況下都屬於刑法上的“個人信息”����,故企業在規避本罪的刑事風險時�����,應當遵守該《安全規範》的相關規則。
1.“明示同意”基本原則
“明示同意”是指個人信息主體通過書麵��、koutoudengfangshizhudongzuochuzhizhihuodianzixingshideshengming�,huozhezizhuzuochukendingxingdongzuo�����,duiqigerenxinxijinxingtedingchulizuochumingqueshouquandexingwei。kendingxingdongzuobaokuogerenxinxizhutizhudonggouxuan�、主動點擊“同意”“注冊”“發送”“撥打”�����、主動填寫或提供等。不論是收集����、儲存還是處理�����,都應當得到用戶的同意。
2. 處理個人敏感信息的特別規則
《安全規範》除(chu)規(gui)定(ding)了(le)一(yi)般(ban)個(ge)人(ren)信(xin)息(xi)的(de)處(chu)理(li)規(gui)則(ze)之(zhi)外(wai)�����,還(hai)著(zhe)重(zhong)強(qiang)調(tiao)了(le)對(dui)個(ge)人(ren)敏(min)感(gan)信(xin)息(xi)的(de)特(te)別(bie)處(chu)理(li)要(yao)求(qiu)。個(ge)人(ren)信(xin)息(xi)持(chi)有(you)企(qi)業(ye)應(ying)當(dang)參(can)照(zhao)相(xiang)關(guan)規(gui)則(ze)處(chu)理(li)個(ge)人(ren)信(xin)息(xi)。
(1)收集���、存儲與傳輸
企業在通過手機APPdengshoujigerenxinxiqian����,yingzhengdegerenxinxizhutidemingshitongyi�,qieshoujixinxizhinengmanzuzuixiaobiyao�����,shoujidegerenxinxideleixingyingyushixianchanpinhuofuwudeyewugongnengyouzhijieguanlian(直接關聯是指沒有上述個人信息的參與�,產品或服務的功能無法實現)�;個人信息存儲期限應為實現個人信息主體授權使用的目的所必需的最短時間�����,�����;傳輸和存儲個人敏感信息��,應采用加密等安全措施(采用密碼技術時應遵循密碼管理相關國家標準)。
(2)共享����、轉讓
企業在向第三方共享及轉讓其控製的個人敏感信息前���,應向個人信息主體告知共享����、轉讓個人信息的目的�、數據接收方的類型以及可能產生的後果����、涉及的個人敏感信息類型���、數據接收方的身份和數據安全能力���,並事先取得個人信息主體的明示同意。
個人生物識別信息原則上不應共享�����、轉讓。因業務需要��,確需共享��、轉讓的�, 應單獨向個人信息主體告知目的���、涉及的個人生物識別信息類型����、數據接收方的具體身份和數據安全能力等��,並征得個人信息主體的明示同意。
(3)訪問控製
企業對個人敏感信息的訪問���、修(xiu)改(gai)等(deng)操(cao)作(zuo)行(xing)為(wei)���,應(ying)在(zai)對(dui)角(jiao)色(se)權(quan)限(xian)控(kong)製(zhi)的(de)基(ji)礎(chu)上(shang)���,按(an)照(zhao)業(ye)務(wu)流(liu)程(cheng)的(de)需(xu)求(qiu)觸(chu)發(fa)操(cao)作(zuo)授(shou)權(quan)。例(li)如(ru)�����,不(bu)是(shi)主(zhu)動(dong)訪(fang)問(wen)�,而(er)是(shi)當(dang)收(shou)到(dao)用(yong)戶(hu)投(tou)訴(su)時(shi)���,投(tou)訴(su)處(chu)理(li)人(ren)員(yuan)才(cai)可(ke)訪(fang)問(wen)該(gai)個(ge)人(ren)信(xin)息(xi)主(zhu)體(ti)的(de)相(xiang)關(guan)信(xin)息(xi)。
(4)內部機構設置����、人員管理及安全事件處置
處理超過10萬人的個人敏感信息的企業���,應設立專職的個人信息保護負責人和個人信息保護工作機構�����,負責個人信息安全工作����;對(dui)於(yu)從(cong)事(shi)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)崗(gang)位(wei)上(shang)的(de)相(xiang)關(guan)人(ren)員(yuan)�,企(qi)業(ye)應(ying)當(dang)與(yu)其(qi)簽(qian)署(shu)保(bao)密(mi)協(xie)議(yi)�����,並(bing)對(dui)大(da)量(liang)接(jie)觸(chu)個(ge)人(ren)敏(min)感(gan)信(xin)息(xi)的(de)人(ren)員(yuan)進(jin)行(xing)背(bei)景(jing)審(shen)查(zha)�,以(yi)了(le)解(jie)其(qi)犯(fan)罪(zui)記(ji)錄(lu)�����、誠信狀況等��,防止出現個人敏感信息違法行為�����;萬一企業發生個人敏感信息泄露事件時�,應及時將事件相關情況以郵件���、信函����、電話�����、推送通知等方式告知受影響的個人信息主體。
3. 對個人生物識別信息的加重保護
由於基因����、指紋����、麵部等個人生物識別信息可直接確認身份信息�、支付密碼等�,若發生篡改����、盜取等情況將給個人帶來嚴重損害��,對此《安全規範》專門列出了應當遵守的加重保護要求。
(1)收集環節:單獨告知����、明示同意
企業在收集個人生物識別信息前��,應單獨向個人信息主體告知收集���、使用個人生物識別信息的目的��、方式和範圍���,以及存儲時間等規則����,征得個人信息主體的明示同意���;
(2)原則上禁止存儲
企業原則上不應存儲原始個人生物識別信息(如樣本����、圖像等)���,可采取的措施包括但不限於:a)僅存儲個人生物識別信息的摘要信息�����;b) 在采集終端中直接使用個人生物識別信息實現身份識別�、認證等功能����;c)在使用麵部識別特征����、指紋�����、掌紋���、虹膜等實現識別身份�、認證等功能後刪除可提取個人生物識別信息的原始圖像。
傳輸和存儲企業確需存儲個人敏感信息時�,應采用加密等安全措施�,且個人生物識別信息應當與個人身份信息分開存儲。
(3)禁止共享�、轉讓����、公開披露
企業原則上不應共享或轉讓��、公開披露個人生物識別信息����,確需共享和轉讓的�����,仍應當單獨向用戶告知目的�����、信息類型等內容����,並征得個人信息主體的明示同意。
四����、律師建議
我wo們men建jian議yi企qi業ye及ji時shi製zhi定ding並bing完wan善shan個ge人ren信xin息xi保bao護hu製zhi度du��,根gen據ju最zui新xin規gui範fan的de要yao求qiu配pei置zhi相xiang應ying的de個ge人ren信xin息xi保bao護hu部bu門men或huo負fu責ze人ren員yuan��,建jian立li並bing完wan善shan相xiang應ying的de操cao作zuo規gui範fan��,對dui員yuan工gong進jin行xing相xiang應ying培pei訓xun��,健jian全quan企qi業ye內nei部bu網wang絡luo安an全quan建jian設she。
注釋:
[1][2]周光權.侵犯公民個人信息罪的行為對象.《清華法學》,2021(3)
[3]參見重慶市忠縣人民法院(2017)渝0233刑初字第198號刑事判決書。
