侵犯公民个人信息罪视角下《个人信息安全规范》的理解与初探
编者按:
随着国家标准《个人信息安全规范》(GB/T 35273-2017)的正式发布【国家标准《个人信息安全规范》全文】,社会各界对该标准的关注在逐渐升温。本公号将陆续邀请一些参与到该标准制定,或者在其工作中实际运用过该标准的朋友撰写文章,请他们和大家分享对该标准的看法,或者转载对该标准的评论文章。本文作者是腾讯网络安全与犯罪研究基地高级研究员田申,其曾担任北京市检察院第二分院主诉检察官,具备非常丰富的刑事司法经验。
侵犯公民个人信息罪视角下
《个人信息安全规范》的理解与初探
国家标准《信息安全技术 个人信息安全规范》(以下简称:《规范》)即将于2018年5月1日实施。《规范》在《网络安全法》等法律法规的框架下,对个人信息的保护提出了具体要求,对企业处理个人信息的活动具有重要规范意义。同时,在我国个人信息保护“刑法先行”的时代背景下,《规范》的颁布对侵犯公民个人信息犯罪的认定与适用也将产生重要影响。厘清《规范》与刑事法的衔接问题对于企业避免相关刑事法律风险也具有积极意义。
核心要点:
1.《规范》对侵犯公民个人信息犯罪的认定具有重要影响。
2.《规范》与刑事法之间存在语境差异,认定犯罪行为时需注意厘清、辨析。
3.《规范》与刑事法的有效衔接重点在对立法与标准制定本意的准确理解。
一、《规范》对侵犯公民个人信息犯罪的认定具有重要影响
侵犯公民个人信息罪采用“空白罪状”立法模式,将犯罪构成要件符合性的部分判断交由刑法以外的其他法律法规完成。根据该罪的构成要件涵射范围,“违反国家有关规定”是构成本罪的前提条件。根据两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)的规定,“国家有关规定”包括:法律、行政法规、部门规章。应当说从形式上看,作为国家推荐标准的《个人信息安全规范》并不在本罪构成要件的范围之内,但是在实质上,《规范》对于本罪的犯罪构成具有十分重要的影响。
1.《规范》是“国家有关规定”的具象化表达
根据《解释》规定,公民个人信息保护的“国家有关规定”包括法律、行政法规与部门规章。不难发现,“国家有关规定”仅对个人信息的收集、保存、使用、共享、转让、公开进行了原则性、概括性的规定。例如,《网络安全法》对于收集个人信息,提出了正当、合法、必要的原则,做出了公开、明示、最少收集、使用个人信息的规定,但是何为“正当、合法、必要”,何为“公开、明示、最少”,在“国家有关规定”的层面中并未做出具体的回答。这就需要通过《规范》对这些原则与规范进行具象化表达。
《规范》属于国家推荐标准,根据《标准化法》的规定,企业并非需强制遵循国家推荐标准,但是《规范》对个人信息的保护做出了详细的规定,并通过列举方式对实践中遇到的具体问题进行了回应,具有很强的实务操作性与指导意义。通过对实务问题的具体规范,使《规范》成为落地“国家有关规定”的重要抓手,并对侵犯公民个人信息罪犯罪构成的认定产生影响。
2.《规范》与侵犯公民个人信息犯罪的构成要件具有广泛映射关系
根据刑法分则的罪状表述以及《解释》的相关规定,侵犯公民个人信息犯罪规制的不法行为聚焦于:非法出售、提供、获取等环节以及窃取公民个人信息的行为。综合刑法与司法解释的规定,侵犯公民个人信息的行为方式可以归纳为以下几个方面:
(1)窃取公民信息。
(2)违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息。
(3)违反国家有关规定,在履行职责、提供服务过程中收集公民个人信息。
(4)违反国家有关规定,向他人出售或者提供公民个人信息。
(5)违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人。
(6)未经被收集者同意,将合法收集的公民个人信息向他人提供(经处理无法识别特定个人且不能复原的除外)。
在上述行为中,除第(1)项与第(2)项主要规制网络黑产行为外,其余相关行为均涉及网络运营者在生产经营过程中收集、使用、共享、转让个人信息等活动。《规范》对个人信息从收集到销毁的完整生命周期的处理做了详细规定。这就决定了在认定侵犯公民个人信息犯罪的各主要环节,均会受到《规范》的影响。二者间相互映射关系明显,关联度极强。
二、《规范》与侵犯公民个人信息犯罪的关联及差异性分析
《规范》对认定侵犯公民个人信息犯罪的构成要件具有重要影响,但也要注意二者分属不同领域,具有不同语境。《规范》从管理、控制风险的角度出发,其核心是在收集、处理个人信息过程中,尽量降低对个人合法权益造成的不利影响。因此,《规范》将具备识别特定自然人或者在一般情况下可以关联到自然人的信息纳入“个人信息范畴”。《解释》从控制犯罪角度出发,在精准打击的同时,还需要防止刑事打击面过度扩张,对相关概念的认定需要更加严谨。由此,二者在“个人信息”等重要概念之间存在一定差异,需要在不同场景中区别对待。
需要指出的是,“个人信息”的范畴不仅在标准与刑事法律领域之间存在差异,就《规范》本身而言,标准正文与附录之间也存在差异。在《规范》正文中,对个人信息的定义及列举采用了与《解释》相同的范围,而在附录中,将cookies、IMEI、MAC地址等具体信息列入个人信息范畴。需要特别强调的是,《规范》的附录属于“资料性附录”,而非“规范性附录。”“规范性附录”是构成标准整体的不可分割的部分,其效力等同于标准的正文。“资料性附录”仅限于提供一些参考的资料,不具备与标准正文同等的效力。因此,开展讨论时,需要注意《规范》附录中所列举的“个人信息”与“敏感个人信息”是一个参考标准,需要结合具体场景进行认定,不宜直接援引比附。
1.“公民个人信息”的辨析与认定
《规范》与《解释》就“个人信息”采取了相同的定义,即个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。这是判断个人信息的重要依据。其中,“可以识别特定自然人身份”与“反映特定自然人活动情况”又是其中最核心的内容,即“识别—关联”。
在大数据时代,个人信息的识别越来越依取决于其所处的场景与控制者的识别能力。换句话说,还原特定自然人可能性的高低是动态的,而非静态的,是不确定的,而非确定的。这就与法律要求的明确性,与标准所要求的适用性存在着结构矛盾。为了满足法律与标准的适用统一,法律与标准只能将“不确定的”信息通过“概述+列举”的方式予以规定。因此,法律与标准所描述的类型化信息(例如:cookies、IMEI等)需要结合具体场景进一步确定,尤其是在刑事领域。如果简单的将概念化、类型化的信息不加区分地直接根据定义,经行认定为刑法意义上的“公民个人信息”,将导致刑事打击的范围过宽。
以cookies为例,其被广泛应用于追踪用户的网上浏览行为,是对用户进行精准画像的重要基础数据,如果仅从应用于用户画像的场景而言,行为人需要掌握大量的其他相关数据进行匹配,才有可能识别出特定自然人。因此,从这一角度而言,浏览记录的cookies数据一般不属于刑法意义上的“公民个人信息”。但是,cookies并不仅仅在浏览记录的单一场景下应用。例如,在购物网站中,cookies信息只有购物网站可以读取和写入,如果攻击者获取到了某个用户的购物网站cookies,通过将该段数据导入浏览器或者使用工具携带该cookies,即可以用该用户身份(无需账号、密码)直接登录购物网站,可以用该用户的身份购买商品,修改和获取用户的隐私信息和店铺信息,获取用户的交易订单信息,查看用户在第三方支付平台中余额。这时,此类cookies信息无疑就应当属于刑法意义上的“公民个人信息”。
综上,由于“个人信息”边界的不确定性与刑事法的特殊性,需要对相关信息进行多角度的认定。最高法喻海松老师曾提出,对于判断某类信息是否属于“公民个人信息”,需要结合以下三方面判断:一是需要结合的其他信息的程度。二是信息本身的重要程度。三是行为人主观目的。笔者认为这种判断模式是非常贴合大数据应用实践的,因此在这一理论基础上做进一步的细化理解:
第一,该信息与其他数据关联后重新标识信息主体的复杂程度
单一或者单组信息需要借助其他信息参与的情况下去标识特定自然人。如果需要大量其他信息参与,而行为人又不具备掌握或者匹配大量数据的能力。在这种情况下,通常认为该信息被用于重新标识信息主体的复杂程度很高。信息被用于精准诈骗等“下游网络犯罪活动”的可能性较低。
第二,利用相关信息后对个人信息主体可能造成的损害
相关信息被利用后,在可预见的范围内是否会对信息主体合法权益造成严重损害是识别刑事领域中“公民个人信息”的另一重要因素。对信息主体造成的损害,需要结合具体的场景进行判断,即:当这些信息被利用时,使信息主体遭受的侵害是“信息骚扰”、“歧视性对待”,还是遭受网络盗窃、诈骗或者其他更严重的不法侵害(例如:绑架、故意杀人、故意伤害等)。
第三,获取与利用个人信息的目的
行为人利用信息的目的是进行判断的另一重要维度。虽然对于信息属性的判断属于客体对象认知范畴,但是信息处理目的也决定了信息在使用环节是否被滥用的风险,例如:如果仅用于精准营销,仅需要对相关人员的兴趣、偏好等特征行为进行画像,而不必识别具体的个人,则对信息主体影响相对较小,重标识具体个人的风险也因目的所限相对较低。但是如果获取个人信息是基于黑灰产的目的,则信息主体被重标识的风险就会极高。因此,在刑事领域对“公民个人信息”的融入主观要素判断,是比较恰当的。
对此,我们尝试建立一个判断刑事领域“公民个人信息”评估模型:以“(1)重标识可能性、(2)对信息主体的损害影响程度、(3)信息使用目的”为坐标基点,构建评估模型的基本架构。
信息被重标识的可能性越高、影响损害越大、使用目的越恶劣,则评价基点越向高维拓展。当某一信息在这一模型中进行评价后,根据上述三个维度所构建的三角形面积越大的,越可能被认定为刑事领域的“公民个人信息”。此外,对于某一项或者两项维度较低,而另一项维度很高的,例如:虽然应用目的恶意程度较低,但是信息被重新标识的可能性很高,则通常也应当认定为刑事领域的“公民个人信息”。
当然,建立这一评价模型的目的不是单纯的进行量化评估,而是提示我们需要对信息的属性进行多维度的评价。对于刑事领域的“公民个人信息”认定在关注“信息”本身的同时,应当结合对信息主体的影响与信息处理目的,在具体场景中进行动态评估,审视信息回溯到个人的可能性,以及对个人造成影响尤其是负面影响的可能性。由此可见,界定刑事领域的“公民个人信息”是一种价值判断, 而非单纯的技术判断。
2.“敏感个人信息”的辨析与认定
《规范》对“敏感个人信息”的定义是:一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
在刑事范畴中,《解释》中虽然并未直接提及“敏感个人信息”定义,但是在定罪量刑的标准中,仍体现出对通信内容、行踪轨迹等可能影响人身、财产安全的公民个人信息采取“梯度性保护”的特征,即通常提到的50条、500条、5000条入罪标准。
《解释》中规定的行踪轨迹信息、通信内容、征信信息、财产信息(50条以上入罪)与住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息(500条以上入罪)等个人信息(刑法意义上的公民个人信息)与《规范》中“敏感个人信息”基本重合,但有所差异。其中,在《规范》中“个人生物识别信息”、“网络身份标识信息”、“个人身份信息”、“网页浏览记录”等其他敏感个人信息,是否等同于刑法意义上的敏感个人信息,需要进一步厘清。具体而言,可以分为三种类型考虑:
第一类是整体可以归入刑法范畴的“敏感个人信息”。这主要包括“网络身份标识信息”与“个人生物识别信息”。“网络身份标识信息”主要包括帐号密码、数字证书等信息。“个人生物识别信息”主要包括指纹、虹膜、面部特征等信息,当前生物识别特征已经被广泛用于身份验证场景。这两类信息与信息主体的财产安全关联度很高,一旦泄露极易直接造成财产损失与隐私泄露,或者被黑产团伙用于撞库攻击。
第二类是根据具体情况对相关个人信息进行区别对待。这主要是指“网页浏览记录”与“14周岁(含)以下自然人的信息”。在网页浏览记录中,可能被保存的信息包括:帐号密码等身份认证信息(例如:保存登录的用户名与密码)、支付信息、访问页面信息。对于前两种信息可以分别归入“网络身份标识信息”与“支付信息”范畴,属于刑法意义上的“敏感个人信息”,对于最后一类个人信息,虽然有可能涉及个人隐私,但是通常不会造成刑法意义上的重大损失,因此在刑事领域宜归入普通个人信息范畴。 对于“14周岁(含)以下自然人的信息”,基于对儿童的特殊保护,除该信息本身属于敏感信息(例如:儿童的健康信息)外,对于可能影响儿童人身安全的信息,例如教育信息,也可以作为刑法意义上的敏感信息对待。除此以外,其他类型的儿童信息一般宜做普通个人信息对待。
第三类是整体宜归入刑法范畴的“普通个人信息”。这类信息主要包括“电话号码”、“婚史”、“性取向”、“宗教信仰”等个人信息。虽然个人身份信息、电话号码等信息一旦泄露也可能会导致财产损失等风险,但仍不宜认定为刑法意义上的“敏感个人信息”。主要基于以下考虑:
第一,此类信息属于个人信息的最传统类型,一旦纳入刑法意义上的的“敏感个人信息”,将直接挤压普通个人信息认定的空间,从法律适用层面架空“5000条入罪标准”规定,导致法律评价畸重的风险。
第二,对于“婚史”、“性取向”、“宗教信仰”等个人信息,一旦泄露后对信息主体所造成的影响主要在于隐私风险,与刑法领域所保护安全风险有所区别。
因此上述在《规范》中属于敏感个人信息的数据,从整体上宜归入刑法范畴的“普通个人信息”。
3.“非法获取公民个人信息”的辨析与认定
《解释》第四条规定,违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法规定的“以其他方法非法获取公民个人信息”。
根据《网络安全法》规定,网络运营者在提供服务过程中收集公民个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。同时,网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。《规范》进一步就收集个人信息的原则与规范进行了细化。根据《规范》的要求,一个合规的收集个人信息的行为应当同时满足下列条件:
第一,在合法性、正当性方面,收集的信息不属于法律法规明令禁止收集的个人信息。收集信息应公开收集,不得秘密收集或者通过欺诈、诱骗、强迫个人信息主体提供其个人信息。此外,不得从非法渠道获取个人信息。
第二,在必要性方面,收集的信息应遵循最小化原则。收集的个人信息的类型应与实现产品或服务的业务功能有直接关联,且采集与获取的个人信息应当满足业务与功能的最低频率与最少数量。
第三,除特殊情况外,收集个人信息应当经过信息主体的明示同意。一个合格的明示同意,包括:清晰、准确且便于用户发现、阅读的隐私政策、保障用户充分了解收集信息的类型、数量、用途等措施、用户在充分理解被收集信息的类型与用途后,通过主动动作做出的清晰表达。
《规范》对《网络安全法》在收集个人信息的规定进行了细化,并提出了较为具体的合规标准,但是不能直接作为刑事领域中判断是否“违反国家有关规定”的依据。具体而言可以分为以下三种情况进行判断:
一是通常不宜认定为“非法收集”行为。如果网络运营者收集的个人信息超过了“为实现业务所必须”而收集个人信息,只要行为人为将其用于违法犯罪活动,则不宜认定为属于刑法意义上的“非法收集”行为。
二是需要结合具体情况认定是否属于“非法收集”行为。对于行为人采用“欺诈、诱骗、强迫”手段收集个人信息的行为,应当视具体情节判断,如果行为人仅仅是采用“诱导、误导”等手段或者以“不提供个人信息就不能使用服务”等手段收集个人信息的,在相关个人信息未被用于违法犯罪活动时,通常不宜认定为“非法收集”行为。当然,如果行为人采取“静默收集”的手段,且收集的信息为敏感个人信息,则可以考虑认定为“非法收集”。
三是通常应认定为“非法收集”行为。如果行为人收集法律明令禁止收集的公民个人信息,或者从非法渠道通过购买、交换等方式收集个人信息,则通常可以认定为“非法收集”公民个人信息。
三、小结:《规范》与侵犯公民个人信息犯罪的衔接路径
《规范》的颁布实施,对准确认定“公民个人信息”提供了有益的指引。在以往的刑事司法实践中,对于类似于cookies、IMEI、MAC地址等信息是否属于公民个人信息的争议,而通过《规范》的指引,可以帮助我们结合具体实践场景做出判断。另一方面,《规范》对准确理解“合法的收集、使用、共享”等行为提供了重要参考,使相关法律、法规、部门规章中原则性的规定具象化为具体的标准。
需要指出的是,虽然《规范》与《解释》的出发点都是对个人信息进行保护,但是二者应用的场景不同、视角不同,决定了二者在衔接过程中需要进行协调。如前文所述,《规范》对于个人信息的认定与处理要求,并不能原封照搬,不宜直接将其作为认定刑事违法性的依据,否则将导致刑事打击范围过大的现实问题。如果当行为人在生产经营活动中,动辄触碰“非法收集个人信息”的刑事违法要件,必然促使其通过非法购买、交换等更为简单粗暴的手段去获取个人信息。这反而不利于个人信息的保护。
《规范》与刑事法的有效衔接,关键在于准确理解与把握二者的立法与制定本意。《规范》从建立与完善行业规则的角度出发,对个人信息的定义与保护策略进行规范。由此,《规范》中所涵盖与规制的范围更广,对个人信息处理的行为要求更高。在这个层面上《规范》并不是个人信息合规的“最小安全基线”。两高的《解释》从惩治犯罪活动的角度出发,打击与制裁侵犯公民个人信息的犯罪活动。由此,《解释》所涵盖与规制的内容,必须是“刑法所关心的核心利益”。在这个层面上《解释》给出的是个人信息保护的“最低容忍基线”。这就是在“个人信息”的认定与“非法收集”行为的判断上,二者进行区分的重要标准。
“刑行衔接”长期以来是刑法适用的难点,而在国家标准对法律法规影响愈加显著的当前,“刑标衔接”的问题也将愈发突出,特别是在大数据蓬勃发展的今天,技术、管理、市场、伦理、法律等问题相互叠加,单一的认知体系已经远远不能做到准确理解“立法精神”与“制定本意”。这就需要法律、技术、业务等领域的专业人员进行更多的跨界、交流与合作,通过沟通协作去弥合认知体系的局限性。我们也欣喜地看到,《个人信息安全规范》就是跨领域、跨学科的专业人才共同努力的结晶。当然,个人信息的保护也是动态的,在这一过程中,更需要各方专家加强协作,打通各个领域的知识壁垒,确保法律与标准的准确适用。
本公号此前发布的对《个人信息安全规范》的评论文章如下: