近年,随着大数据信息化技术的快速发展,越来越多的企业持有大量个人信息,企业将该信息转化为财富的同时,亦存在非法收集、滥用、泄露等问题。本文就从侵犯公民个人信息罪出发,浅谈持有个人信息的企业如何把握刑法上的“个人信息”及如何合法处置个人信息,进而规避刑事犯罪风险,为企业日常实务的开展保驾护航。
一、侵犯公民个人信息罪的概念
《刑法》第二百五十三条之一规定:“侵犯公民个人信息罪是指违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。”
由此可见,侵犯的行为不仅包括获取利益的出售行为,亦包括向他人提供信息不论是否获取利益。而对于企业者最需要把握的是“个人信息”的概念。
二、个人信息的概念
最高人民法院、最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,根据该解释,《刑法》第253条之一规定的公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
(一)个人信息的内涵
1. 具有可识别性
个人信息要能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况,因此,经过匿名化处理后无法识别特定个人且不能复原的信息,虽然也可能反映自然人的活动情况,但与特定的自然人无直接关联,不属于公民个人信息的范畴。
需要注意的是,单看难以识别特定主体的信息,比如出行方式、兴趣爱好、饮食偏好等,都可能通过大数据画像的手段指向到特定的个人。但是需要耗费大量资源经过无数次技术处理后才能指向特定的个人的,在实务中,这些信息不具有“可识别特定自然人”的属性。[1]
2. 属于有效的信息
比如,重复信息,虚假信息,无效信息(身份证号缺号),该信息由于其不能对应到具体公民,不属于本罪的个人信息。
(二)个人信息的外延
《关于依法惩处侵害公民个人信息犯罪活动的通知》(2013年4月23日)中关于个人信息的界定比较宽泛,个人身份之外的“公民个人隐私”可以成为个人信息。
根据《网络安全法》第76条第5项的规定,网络安全法将其界定为能够识别个人身份的信息,没有明确提到个人信息包括“涉及公民个人隐私的信息”。
根据《民法典》第1034条第2款的规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《个人信息保护法草案(二审稿)》第4条第1款规定,个人信息是以电子或者其他方式记录的与已识别或可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
2020年3月6日发布的新版《信息安全技术个人信息安全规范》(GB/T 35273—2020、以下简称“《安全规范》”),该《安全规范》列举了大量个人敏感信息的参考类型。
由此可见,刑法中个人信息的外延与民法典以及个人信息保护法草案(二审稿)有所差异,且程度分类亦有差别,但在实务操作中,该差异没有太大的影响。因为符合个人信息概念内涵的信息大都是民事上的个人信息,虽然刑法司法解释没有具体列入,但不影响对行为人的定罪。[2]例如,虽然《民法典》将“个人生物特征”、“健康信息”纳入个人信息范围,而刑法司法解释没有将健康信息列入个人信息,但实务上对与非法获取、提供慢性病监测系统病人信息的案件,仍然以本罪论处[3],对获取个人人脸信息在提供给他人的,仍属于“个人信息”。
三、信息持有企业对个人信息处理规则
根据《刑法》及其司法解释,个人信息持有企业,需要谨慎获取、提供、处理个人信息,避免因疏忽构成犯罪。2020年3月6日发布的新版《信息安全技术个人信息安全规范》(GB/T 35273—2020、以下简称“《安全规范》”),该《安全规范》当中列举的敏感信息大部分内容在符合条件的情况下都属于刑法上的“个人信息”,故企业在规避本罪的刑事风险时,应当遵守该《安全规范》的相关规则。
1.“明示同意”基本原则
“明示同意”是指个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。不论是收集、储存还是处理,都应当得到用户的同意。
2. 处理个人敏感信息的特别规则
《安全规范》除规定了一般个人信息的处理规则之外,还着重强调了对个人敏感信息的特别处理要求。个人信息持有企业应当参照相关规则处理个人信息。
(1)收集、存储与传输
企业在通过手机APP等收集个人信息前,应征得个人信息主体的明示同意,且收集信息只能满足最小必要,收集的个人信息的类型应与实现产品或服务的业务功能有直接关联(直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现);个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间,;传输和存储个人敏感信息,应采用加密等安全措施(采用密码技术时应遵循密码管理相关国家标准)。
(2)共享、转让
企业在向第三方共享及转让其控制的个人敏感信息前,应向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果、涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先取得个人信息主体的明示同意。
个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的, 应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。
(3)访问控制
企业对个人敏感信息的访问、修改等操作行为,应在对角色权限控制的基础上,按照业务流程的需求触发操作授权。例如,不是主动访问,而是当收到用户投诉时,投诉处理人员才可访问该个人信息主体的相关信息。
(4)内部机构设置、人员管理及安全事件处置
处理超过10万人的个人敏感信息的企业,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作;对于从事个人信息处理岗位上的相关人员,企业应当与其签署保密协议,并对大量接触个人敏感信息的人员进行背景审查,以了解其犯罪记录、诚信状况等,防止出现个人敏感信息违法行为;万一企业发生个人敏感信息泄露事件时,应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。
3. 对个人生物识别信息的加重保护
由于基因、指纹、面部等个人生物识别信息可直接确认身份信息、支付密码等,若发生篡改、盗取等情况将给个人带来严重损害,对此《安全规范》专门列出了应当遵守的加重保护要求。
(1)收集环节:单独告知、明示同意
企业在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,征得个人信息主体的明示同意;
(2)原则上禁止存储
企业原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:a)仅存储个人生物识别信息的摘要信息;b) 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;c)在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
传输和存储企业确需存储个人敏感信息时,应采用加密等安全措施,且个人生物识别信息应当与个人身份信息分开存储。
(3)禁止共享、转让、公开披露
企业原则上不应共享或转让、公开披露个人生物识别信息,确需共享和转让的,仍应当单独向用户告知目的、信息类型等内容,并征得个人信息主体的明示同意。
四、律师建议
我们建议企业及时制定并完善个人信息保护制度,根据最新规范的要求配置相应的个人信息保护部门或负责人员,建立并完善相应的操作规范,对员工进行相应培训,健全企业内部网络安全建设。
注释:
[1][2]周光权.侵犯公民个人信息罪的行为对象.《清华法学》,2021(3)
[3]参见重庆市忠县人民法院(2017)渝0233刑初字第198号刑事判决书。
