5月9日,最高人民法院、最高人民檢察院首次就打擊侵犯個人信息犯罪出臺《關於辦理侵犯公民個人信息刑事案件適用法律若幹問題的解釋》(下稱司法解釋)。其對侵犯公民個人信息罪、非法購買和收受公民個人信息的定罪量刑標準以及相關法律適用問題進行了系統規定。
“該司法解釋在一定程度上會影響金融業格局,尤其對於經營‘與個人信息相關’業務的金融企業,包括大數據、個人征信企業等產生重大影響”,大成律師事務所合夥人肖颯律師對第一財經記者表示。
空前保護個人信息
該司法解釋對《刑法》二百五十三條作出了詳細說明,並從“公民個人信息範圍”、“情節嚴重認定標準”、“嚴打內鬼”、“非法購買”、“收受個人信息獲利”等方面對該條款作出詳細解釋。
“由於近幾年電信詐騙等利用個人信息欺詐案件頻發,此次司法解釋出臺是對規範行業、打擊信息犯罪、維護個人信息權利提供了進一步保障,” 中倫律師事務所(上海)非權益合夥人肖波律師對記者表示。
根據我國刑法規定,違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。竊取或者以其他方法非法獲取公民個人信息的,依照前款的規定處罰。
此次發布的司法解釋首先明確了“公民個人信息”的範圍,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。
最高人民法院研究室主任顏茂昆表示,“對於列舉以外的個人信息還有很多,司法實踐中要根據司法解釋第一條的規定,把握‘公民個人信息’的要件特征,準確作出判斷。”
對於刑法中“情節嚴重”的認定標準,此次司法解釋也明確規定了十種情形。包括非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的;非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的;非法獲取、出售或者提供前兩項規定以外的公民個人信息五千條以上的;違法所得五千元以上的等。
司法解釋同時對買賣信息的“內鬼”和“購買者”入罪標準進行了詳細規定。“公民個人信息泄露,目前造成危害最大的,主要是銀行、教育、工商、電信、快遞、證券、電商等行業的內部人員泄露數據。”公安部網絡技術研發中心主任許劍卓表示。
為了嚴打“內鬼”,本次出臺的司法解釋規定,在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人,數量或者數額達到司法解釋規定的相關標準一半以上的,即可認定為刑法規定的“情節嚴重”,構成犯罪。
肖颯律師認為,此項規定表明針對某些銀行、保險公司、網絡貸款公司、培訓學校等販賣消費者個人信息問題,法律已經註意到了,而且采取了更為嚴格的認定標準,制造“伸手必被捉”的高壓環境,減少市面上信息的“增量”,減少類似風險的高發。
而對於那些購買個人信息搞推銷的行為,司法解釋也規定,為合法經營活動而非法購買、收受敏感信息以外的公民個人信息,具有利用非法購買、收受的公民個人信息獲利五萬元以上等情形的,應當認定為“情節嚴重”,構成犯罪。
同時,司法解釋還進一步明確了網絡服務提供者的義務。其中規定,網絡服務提供者拒不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,致使用戶的公民個人信息泄露,造成嚴重後果的,應當依照刑法相關規定,以拒不履行信息網絡安全管理義務罪定罪處罰。
在侵犯公民個人信息犯罪的罰金刑適用規則方面,司法解釋規定,對於侵犯公民個人信息犯罪,應當綜合考慮犯罪的危害程度、犯罪的違法所得數額以及被告人的前科情況、認罪悔罪態度等,依法判處罰金。罰金數額一般在違法所得的一倍以上五倍以下。
打擊大數據、征信行業亂象
此項司法解釋的發布,對於經營“與個人信息相關”的企業或機構將產生很大影響,尤其是大數據和征信類企業。
目前市場上有很多所謂的大數據公司,會倒賣來源於黑市的數據,這些數據很多涉及公民個人信息。棱鏡大數據研究院首席科學家廖辰瀚博士對記者表示,“在販賣的數據中,有些數據是合法的,有些數據是違法的。線上消費的、網銀的、pos機的、信用卡的、運營商的、甚至是工商的數據都有人賣。此次司法解釋出臺為有關部門嚴打大數據征信行業亂象提供法律依據。”
“這次出臺的司法解釋細化了刑法中涉及侵犯個人信息的相關條款,例如定義了刑法第253條規定的“公民個人信息”,列舉了哪些信息可以被定義為個人信息(如姓名、身份證號碼、住址等),這些都將為規範征信業務提供更加具體和完善的法律依據,”一位征信業內人士告訴記者。
而一些相對合規的大數據企業其實早在此解釋頒布之前就已經對刑法中的有關規定及其他有關保護個人信息的法律,如網絡安全法進行了深入研究,並制定了應對措施以確保各項業務符合法律規定。
同盾科技技術部門負責人告訴記者,其服務必須經用戶授權,對於未經授權的則一律拒絕,同時還會對數據進行脫敏處理等。記者也從前海征信處了解到,其在防止客戶信息泄露的過程中,會遵循PDCA原則(計劃、實施、檢查、行動循環管理原則),使數據在生產、流轉、加工、處理中都符合對應的管控要求,設立防火墻和單獨的機房等隔離、鎖開,也會對內部員工進行權限管控、數據加密、數據脫敏,謹防數據泄密。
在肖颯律師看來,大數據企業想要擺脫刑法風險,除卻當事人認可之外,只有“經過處理無法識別特定人且不能複原”。一般的做法是,取得對方授權,或者進行匿名處理。然而,由於商業化運作中,很難對信息進行全面匿名或每次都取得被采集人同意,對個人信息進行徹底清洗的難度在增加。
鑒於此,他認為,此項司法解釋會給區塊鏈產業帶來發展機遇。“我國相關自律組織對網絡借貸平臺進行自律管理時,就采用“區塊鏈技術”將數據打散,一方面符合我國保護公民個人信息的法律法規政策;另一方面也讓會員放心,其提供的“借貸信息流”不會被人隨意截取,即便是截取了也無法知悉具體內容,可以最大程度保護商業秘密”。他稱。