本文根据陕西云善律师事务所主任吴科律师在“第三届厚启商事犯罪论坛”上的发言整理而成
背景:
近年来,随着互联网不断向人们的生活、工作等各个方面渗透,侵犯公民个人信息犯罪案件数量急剧增加,实务界面临大量的新问题、新情况亟待解决。
侵犯公民个人信息罪也是现阶段非常高发的一个罪名,特别是它的犯罪手段,从传统的线下的EXCEL表格,或者是公民个人信息表单买卖已经逐步的实现了互联网化,更多的是依靠我们大数据分析、大数据技术等新类型的方式来实施侵犯公民个人信息类的行为。
它虽然是一个侵犯人身财产权利的犯罪,但依然是典型的计算机网络犯罪,因为它的实施主要是依靠网络来实现的,那么也是我们计算机网络犯罪需要注意的一部分。
特别是随着《数据安全法》《个人信息保护法》等等关于数据安全和个人隐私保护的相关法律、法规和相关政策出台之后,侵犯公民个人罪在未来必然会有一大批的案件的增长量,因此也是一个值得我们关注的罪名。
(吴科律师在厚启论坛直播时发言照片)
2009年2月,《刑法修正案(七)》增设侵犯公民个人信息犯罪。九年多来,各级司法机关依据修正后刑法的规定,坚决依法惩处侵犯公民个人信息犯罪活动,取得了明显成效。
2017年5月,两高发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。该解释在明确侵犯公民个人信息犯罪定罪、量刑标准的基础上,还对具体法律适用问题作了专门规定,为司法机关办理侵犯公民个人信息罪时提供了明确、具体的依据。但是,该《解释》自2017年6月1日施行以来,随着侵犯公民个人信息犯罪案件的爆发式增长,涌现出新的情况、新的问题,导致司法机关办理这类案件时遇到新的难题,亟待解决。
首先,我们先来看一下侵犯公民个人信息罪的罪状。刑法第二百五十三条之一,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照钱款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
可以看到的是,侵犯公民个人信息在过去更多的是以个人犯罪的形式出现,但是未来特别是互联网企业、数据服务企业的责任更重,更多的会出现一个单位犯罪的趋势。而这样的一个具有合规意义的案件又与我们未来的合规整改、合规不起诉等制度能够进行一个很好的对接和协调,成为我们辩护律师可采用的策略之一。看到法条罪状之后,我们需要分析和判断以下,这个罪名有哪些值得我们注意和在实践中供我们利用的辩护要素呢?我们来做一个核心要素的拆解。
首先第一个,侵犯公民个人信息,自然最重要的是如何判断哪些信息是公民的个人信息。这个问题是在司法解释中有规定的。侵犯公民个人信息第一条就对公民个人信息进行了界定,可见公民个人信息的界定是这个罪名的重中之重。所谓公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。在这里作了一个列举。
而《个人信息保护法》里面也对个人信息作了一个界定,与司法解释的界定既有趋同也有差异。它也是说以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。因此,在公民个人信息认定的时候,特别是涉案的信息能不能够作为我们的个人信息,是否匿名化,将是我们在未来辩护中一个核心的判断标准。另外一个重要的标准,它的可识别是否能够识别为特定的自然人,这也是我们需要重视的。
总体而言,对于公民个人信息的认定的核心要素,是它的可识别性。也就是这些信息能够识别到特定的个人的时候,是公民的个人信息。如果没有这个可识别性,则不是。而可识别性分为两个方面,直接识别和间接识别。间接识别是需要与其他信息相结合,那么与其他信息相识别如何界定它的尺度呢?比如说一条无关紧要的信息,单独不能识别为特定的人,但是它只要结合了这些可直接识别的信息要素,那自然就可识别为特定的人。但是可识别出特定人的原因是什么?原因来源于直接识别的这些要素。所以在实践中我们有怎样的标准?
简单总结下来是三个方面,这个结合了我们实践的案例、最高人民法院喻海松大法官的一些观点,我们做了一个重新的总结和梳理。
所谓的间接识别判断,实际上要做三个方面的判断,不是任何与个人有关的信息都与其他信息结合能够识别为特定的人,因为只要信息无限量的大,每一条信息都会不重要,也有可能会还原出特定的人,这也是我们大数据分析的基础。所以我们本身判断这些单独信息的时候,第一个很重要,就是这个信息本身它是一个重要信息还是次要信息。
而我们知道《个人信息保护法》里的相关标准里面,将信息本身作了一个区分,分为敏感信息和非敏感信息,也就是说对于敏感信息而言,可保护的价值更多,能够与个人之间的关联度更高,它的可识别性更强。
而非敏感信息,往往与个人的关联度较小,可识别性较低,因此在我们判断这些信息的可识别性的时候,第一个核心要素是判断信息的重要程度。如果是属于标准所列举的敏感信息,具有基本的可识别性。
如果是标准所列举的非敏感信息,或一些非重要个人信息,往往这些信息不能更好地识别特定的人,针对非敏感信息我们首先要做一个排除。
而针对一些敏感信息,第二层我们需要判断的是需要与其他信息的结合程度。即便这些信息属于敏感信息,比如说性别、年龄之类的,但是,这些信息本身它的“去标识化”程度高,那么它的可识别性就弱。
那这里我们需要引入两个概念,第一个叫匿名化的概念,第二个叫“去标识化”的概念。那我们知道,个人信息本质是什么?是属于个人的信息,分为个人要素和信息要素两个层面。个人用来识别特定的人,信息用来反映特定人员的状况。而所谓的匿名化后的个人信息不再是个人信息它的核心,匿名其实就是“去主体化”。也就是当我把个人信息中与个人相关的要素全部隐去的时候,这些特定的信息再没有一个主体与它相匹配,那么这种就要匿名化的信息。所以信息行为或者内容本身并不是我们个人信息所保护的。我们所保护的是对于个人的识别性的保护,这也就是匿名化。
但是我们知道在《个人信息保护法》及个人信息的行业标准里面还提出了一个去标识化的概念。匿名化的个人信息不属于个人信息,可以自由地提供交易、处置和使用没有任何的风险和障碍。
但是对于“去标识化”的个人信息它要求的是我们在使用之前进行合规风险评估。所谓的评估内容是什么?就是在评估这些信息被利用的过程之中能不能与其他信息相结合,和与多少信息相结合能够识别为特定的人,而这个结合的过程叫“重标识”的判断。
那什么叫做“去标识化”的个人信息呢?这个问题是要与匿名化信息相匹配来看待的。匿名化是去主体化,去标识化所谓的去的这些标识是什么?也就是与主体能够相关的内容,我对它进行去标识。
比如说我们的姓名加星号,陈先生,张女士这样的将姓名隐去,或者说我们的手机号码中间的字段加星号,这样的一些措施就是去标识化的。标识去的是与主体相关的标识,而特定的一些行为信息和一些操作记录等信息本身,它与个人没有更高的关联。
这里涉及的一个问题就是重标识攻击阈值的判断。如果我这个信息的使用能够轻易地结合其他信息,也就是重标识攻击的可能性比较高的时候,那么这些信息就属于可识别的信息。或者是当我们这些信息本身不能确定为特定的人,但我们风险评估的时候,它已经突破了重标识信息攻击的阈值,那么这些信息本身所能特定的人的范围已经过小的时候,如同样的一些信息,跟这些信息相符合的人群有上万人,那么当然不是一个可识别的信息。
但是我同样的行为要素和信息的结合符合这些信息可识别出的人到了几十人甚至几百人的时候,这个就突破了重标识攻击的阈值,具体的阈值它在具体技术标准里面有其具体的算法和判断。当它可识别范围过小的时候,超过法律规范所保护的阈值范围,那么就直接可以认为与其他信息能够相结合,属于公民个人信息。
第三个层面,也是最重要的一个层面。侵犯公民个人信息,属于故意犯罪。
所以,行为人获取特定信息的目的,也与它是否能够识别有关。如果行为人获取这些信息,即便它是属于敏感信息,或者是去标识化之后可能会突破阈值的信息,但是他获取信息的目的并不是识别于特定的人,而只是利用其中的行为信息的要素,那即便这些信息是敏感信息,也不能够认定为与其他信息相结合,这是从主观方面排除。
比如说我们在互联网做纯定向广告推送和用户画像的时候,那这些企业为了对特定的设备进行标记时,他往往会获取设备唯一识别号,就是这个IMEI(手机设备的身份证),而这个IMEI在个人信息保护法和相关的标准里面,被认定为个人的敏感信息,因为手机的IMEI与个人的使用情况相结合,能够识别出特定的人,而且是唯一标识。但是这些做用户画像或纯定向广告推送的企业,他获取这些IMEI的目的是什么?是为了特定的标记相应的手机设备,并非利用这些可识别要素特定到人,所以不能认定为可识别到人的个人信息。
最后,个人信息不等于个人数据。个人信息是归属于个人的,而个人数据是被这些信息的记载着所记录下来的数据信息。因此,个人对于自己的信息,可以享有无限的权限,随意的授权。而个人信息授权他人记录之后形成的个人数据的记录者,也就是数据权益的所有者,对于他们而言是受制于这些信息主体的权利的,同时,对于他们所形成的个人数据的利用并不是没有限制的。必须在授权的范围内和法律法规的要求之下使用自己所记录的带有个人信息之类的个人数据。
所以,对于个人数据的保护,将要遵守两部法律,就是《数据安全法》和《个人信息保护法》。《数据安全法》保护的是个人数据使用过程中的一些规范性要素,而《个人信息保护法》保护的是对于这些信息取得、数据记录及数据利用之间的权属关系的界分。
第二个问题,既然是侵犯公民个人信息,那么他的行为肯定具有非法性。
那么非法性如何判断,核心叫做“违反国家有关规定”。那什么叫国家有关规定,注意它不是国家规定。国家有关规定在个人信息保护法司法解释里面作了非常大范围的罗列,就是违反法律、行政法规、部门规章有关公民个人信息保护的规定的,也就是所有的规范性法律文件都可以称之为国家有关规定。
那么基本上我们在判断有关规定是什么的时候,这些规定本身并不特别重要,因为涵盖的面太广了,但是综合而言这些规定本身核心确定的一个要素就是对于公民个人信息的侵犯关键点是在于对于信息权利人的授权同意的侵犯。
也就是说这些个人信息你取得了个人的授权,但你在授权的范围内使用,自然不具有违反国家的规定。如果一旦违背了权利人授权的要求,或者授权具有瑕疵,那么这种情况就可以认定你是一个侵犯的行为。
具体而言,在实践中判断这个行为非法性的时候,判断的是什么?就是他这个授权有没有效力,有没有在授权的范围内应用。那具体的授权标准简单总结下来就是三个方面:第一个就是要明示告知并取得授权主体的同意。也就是我要运用、收集个人信息并且使用的时候必须要以明示的方式取得授权同意。第二个就是我们信息处理的时候,我们能够对个人信息的应用和处理的范围一定是局限于信息主体的授权范围,同时我们还结合新的《个人信息保护法》的相关标准的变动,这样的授权并不是无限制的,而且你必须在授权的范围之内还需要进一步符合最小必要原则。
我们都知道,现在有一个行业标准,叫做《常见类型APP应用个人信息最小必要原则规范》,这个就是确定了常见app最小必要原则,当然其他类型最小必要原则的判断在法律规范上没有明确的识别标准的,这需要我们结合同类型案例进行分析和判断。这个判断除了刚才我们所说的常见类型的,还有非常见类型的,执法机关和司法机关都是通过一个个个案分析的方式在摸这个界限,那么我们律师也应当关注。核心的关注要点是什么,我们看网信办处罚的那些app侵犯公民个人信息领域大部分的都是因为违反最小必要原则,而这些处罚的实例所涉及的最小必要原则的界限标准也是我们律师来判断是否超过最小必要原则归纳总结的案例基础。
第三个就是对于个人信息的授权,应当由信息主体自主选择。这个自主选择非常重要,我们有很多强制授权和强制勾选的情形,那么这些即便取得了授权,也会被认定为无效的。所以我们要求现在在个人信息授权的时候,对于授权协议、隐私协议不得以预先勾选或者是诱导用户点击的方式来获得,也不应当因一次获得授权之后对于后面新增信息的获取有新的权限。因此,我们每一次看到现在的手机app有所改版,都会重新要求我们再次同意一遍他的隐私协议,这个就是判断你的每一次同意都是自主选择的,这样他才能实施对于个人信息的收集等一系列行为。
第三个问题是,既然是这样的一个个人信息,那个人信息在司法解释中它也是具有不同的类别的,分为一类信息、二类信息和三类信息。而我们可以看到的是,这个情节严重的量刑标准会随着获得公民个人信息内容的不同而有所变化。那么司法解释第五条明确规定的非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的,就是情节严重;而其他的住宿类、通信、身体健康、交易信息等可能影响人身、财产安全的公民个人信息五百条以上的,构成情节严重,这是二类信息;而三类信息需要五千条,这个数据数量就差很多了。具体而言一二三类信息我们如何判断和识别它呢?这也是非常重要的。
对于一类信息而言,法律以列举的方式列举了四类,所以一类信息,也就是重大敏感的公民个人信息,应当局限于行踪轨迹、通信内容、征信信息、财产信息四类。而其中,通信内容和征信信息它的含义相对比较明确,而行踪轨迹信息它主要要体现的内容是什么?是GPS定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息,而这个坐标,必须是要有一定的精度。比如说我获取了其他人的一些高铁票信息和飞机出行信息,我知道了他从西安去了杭州,那西安到杭州是不是一个轨迹在移动?但这样的信息能不能认定为行踪轨迹信息?那显然是不行的,因为它没有坐标信息,定位不了精度,不能够确定这个人具体位置的时候,就不应当属于轨迹信息。因为轨迹信息的核心是能够确认这个人所在位置,而且具有一定的精度。
那么第二个争议比较大的是财产信息。财产信息它要求既反映特定财产的权属关系,又反映特定财务状况的信息。如他的存款、房产价值等。而单纯的反映权属关系,并不能体现这个人的财产状况,也就是我们简单来说这个人有没有钱不能通过这些信息判断出来的时候,这一类信息就不应当认定为财产信息。这个识别也是非常严格的,而且是通过相应的裁判的案例总结出来的规则。
那么第二个争议,一类个人信息列举式的,争议不大就是二类信息和三类信息的争议往往就比较大了。在于二类信息它有一个罗列式的解释。具体而言二类信息中的住宿信息,一般为酒店入住的信息,也就是住宿时间和地点。这样的信息它是不够精确的,因为酒店都是按天入住的,所以能够确认这个人在特定的时间居住的点位。
第二个是通信记录,包含了对象、时间和方式。也就是我在什么时间联系了谁,但是没有具体的通信内容。因为没有具体的通信内容所以他的侵犯程度较弱,所以是二类信息。那么交易信息,交易信息最大的问题是要与财产信息相区别,那么这个交易信息至少要包括交易双方、标的、数量,那么对于交易金额、价款、价值等信息不需要有所涵盖,如果特定的交易信息涵盖了具体的价值能够反映出个人的财产能力的情况下,他有可能被识别为财产信息,而单纯的交易信息只是二类信息。
那除了这些典型的之外,它最后作了一个列举,包括其他可能影响人身、财产安全的公民个人信息,那么这个问题变成了一个兜底条款,核心的识别要素是要用前面的这些信息进行比较,要比较它们重要程度的“相当性”,也就是与前面的这些信息有相当性的重要程度或同类型的信息有相当的危害性,可能会被认定为影响人身、财产安全,如果不是的话,那自然要做一个区分,同时这一条判断也会带有主观判断的要素。
第三个问题我们涉及到的是什么?就是涉公开的个人信息行为的认定问题。这个在实践当中是有争议的,既有认为有罪的观点也有无罪的观点。那么我们具体而言,网络犯罪在司法实务中,尽可能采纳喻海松大法官的观点。因为他是这方面司法系统的专家,同时他也是相关立法和司法解释的起草者,立法者的观点值得我们重视。通常认为,自愿公开甚至主动公开个人信息,行为人获取相关信息后出售、提供的行为,不宜认定为侵犯公民个人信息罪。
比如说在微博或者公开的其他互联网空间发布的与个人信息相关的信息资料,如我在微博公开了我的通讯录账号等,其他的人将这些信息获取后进行第二次提供,因为我已经主动公开在全网的范围,那他们再提供的行为,原则上不应以侵犯公民个人信息罪来认定。
那么对于非自愿公开或非主动公开的,行为人获取相关信息后出售、提供的行为,视情况认定为侵犯公民个人信息罪,因为这里的空间有所限定。同样的例子,我将上述通讯录账号发在我的朋友圈微信里,我朋友圈的朋友看到之后,他提供给了第三人甚至在互联网公开,那这种情况就是侵犯了公民的个人信息了。
因为朋友圈是私密的,他扩大了我特定信息的公开范围,而且对于特定的对象,全网公开这件事情,超出了我的意愿,所以就可以追究他侵犯公民个人信息罪的责任。也就是说在已公开的范围内传播的,不认为是侵犯,而超越了公开范围或公开限度的,可以用这个罪名来追究,这也是实践中判例观点运用最高的一个观点。
那么我们看实践中侵犯公民个人信息罪有哪些既有的可直接运用的裁判规则。首先是这个苏某信用卡诈骗、侵犯公民个人信息案。这个案例的裁判规则是什么呢?
数罪并罚比较重要,我们看到这个《关于办理危害计算机信息系统安全司法解释》的规定里面明确了,非法使用获取的公民个人信息,实施电信网络诈骗犯罪的,构成数罪的,应当予以并罚。
所以这个案例中,裁判规则是侵犯公民个人信息后,利用侵犯的公民个人信息实施其他犯罪的,他不是手段与目的之间的牵连关系,而是直接侵害了两种法益,构成两种犯罪,应当数罪并罚。因为你获取的行为本身就已经单独构成了犯罪,而再使用又构成了其他的犯罪,行为之间没有任何关联,非法获取公民个人信息并不一定意味着你必然会实施其他违法犯罪行为,所以这是一个数罪并罚的裁判规则。
........
最后,在案件办理中与检察机关沟通过程中,以合规整改的方式完善内部的管理体制,然后交由检察院进行合规监管,同时验收合格之后做一个相对不起诉的处理。特别是针对互联网企业,除了罪与非罪的辩护之外,合规整改合规不起诉针对现在而言都是一个较为不错的策略(数据合规)。
感谢大家!
发表评论