2017.05.31 董潇 袁琼
虽然我国尚无统一的个人信息保护法,但相关规定散见于各法律、行政法规和部门规章,违反相关法律法规,可能引起相应的民事责任、行政责任。从刑事责任的角度,2009年2月28日起施行的《刑法修正案(七)》增设了刑法第253条之一,规定了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。2015年《刑法修正案(九)》将两罪合并为“侵犯公民个人信息罪”,并扩大了其适用范围,不再将犯罪主体限定于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,并提高了量刑标准。但是,实践之中对该等罪名的构成要件如何理解仍不明确,特别是信息化时代,各类企业在经营活动之中收集、使用、分享信息的相关实践是否可能构成刑事犯罪,在实践之中仍处于灰色地带。
在《网络安全法》2017年6月1日正式生效前,最高人民法院与最高人民检察院于2017年5月9日发布《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(简称“《两高解释》”)1及相关典型案例2,并将与《网络安全法》同时生效。《两高解释》第一次对“侵犯公民个人信息罪”的犯罪要件做出了较为明确的规定,对于明确刑事责任的范畴和判断具有重要意义。以下我们将重点分析几条对企业信息合规有重要影响的规定。
一、明确“违反国家有关规定”范围
“侵犯公民个人信息罪”的犯罪行为包括“违反国家有关规定,向他人出售或者提供公民个人信息”、“窃取或者以其他方法非法获取公民个人信息”。就“向他人出售或者提供公民个人信息”的行为,“违反国家有关规定”是构成犯罪的前提条件。我国目前关于个人信息的规定散见于大量的法律、行政法规、部门规章及规范性文件之中。“国家有关规定”的范围实质性影响罪与非罪的判断。
《刑法》第96条规定,“本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。”其并未将地方性法规和部门规章包括在“国家规定”的范围内。而《两高解释》第二条明确规定,“违反国家有关规定”是指“违反法律、行政法规、部门规章有关公民个人信息保护的规定”,将部门规章也包括在内,较宽的包括了目前法律法规对不同行业、不同类别的个人信息的保护要求。这从实质上提高了企业在信息保护方面合规的最低标准。实践之中司法机关将如何认定国家有关规定值得关注。
二、明确未经同意提供公民个人信息构成犯罪
《两高解释》出台之前,《刑法》第253条之一第一款在司法实践中通常被理解为非法出售。例如与《两高解释》同时发布的七则侵犯公民个人信息犯罪典型案例均为非法买卖公民个人信息之情形。企业在正常经营活动中合法获取的个人信息以无偿、合作或转让等方式对外提供的情形并不清楚是否构成刑事责任。
《两高解释》第三条明确规定,“未经被收集者同意,将合法收集的公民个人信息向他人提供”,也属于刑法第253条之一规定的“提供公民个人信息”。实践之中,对于同意的内容、形式必将带来很多的争议。同时,《两高解释》第三条延续了《网络安全法》的规定,明确规定在向他人提供个人信息时,“经过处理无法识别特别个人且不能复原的除外”。因此,合法提供公民个人信息的情形,除事先征得同意外,还可以选择匿名化处理的方式。企业在难以补充获取信息主体同意时,或难以证明事先曾获得信息主体同意时,采取匿名化处理是降低法律风险的一条途径,但匿名化的标准仍不清楚。
三、“以其他方式非法获取公民个人信息”的概念扩宽
以往的侵犯公民个人信息犯罪案例之中,被认为构成犯罪的提供方式通常为非法出售的情形,而常见的非法获取的方式是购买个人信息。《两高解释》第四条进行了更为明确的界定,除购买以外,将收受、交换、履行职责提供服务过程中的收集也明确纳入非法获取个人信息的范畴。
四、简评
《两高解释》将于2017年6月1日与《网络安全法》同时生效,《网络安全法》将网络运营安全和信息安全的保护提升到法律层面,而《两高解释》则进一步从刑事责任层面确立了关于个人信息保护最基本的法律责任的界限。然而,《两高解释》对《刑法》第253条之一较为宽泛的解释,导致在罪与非罪的区分上依然存在一些不清晰的地方,例如,信息收集前关于“同意”的具体要求,关于“行踪轨迹”定义为个人信息的一部分的解释,具体执行和量刑将如何确定等,这些问题仍有待于司法实践中解释和解决。
我们理解,《两高解释》和《网络安全法》的生效,将大大提高企业在数据保护、网络安全保护等方面的合规义务,企业有必要加强内部管理,提高员工的合规意识,密切关注数据保护法律法规的进一步发展和实施情况。
1. http://www.chinacourt.org/law/detail/2017/05/id/149396.shtml
2. http://www.chinacourt.org/article/detail/2017/05/id/2852365.shtml