高端视野|吴沈括:《企业涉个人信息刑事风险合规风控》研究报告

2021年8月20日，历经三次审议，十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》（以下简称：《个人信息保护法》），并于2021年11月1日起正式施行。《个人信息保护法》总计8章74条，根据宪法，在总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任以及附则等八个方面建构制度体系，在条文设计上吸收国际立法、回应中国实际，覆盖全行业全部门以及个人信息流转利用全生命周期，旨在实现保护个人信息权益、规范个人信息处理活动和促进个人信息合理利用的三重立法目的。

整体而言，《个人信息保护法》的法律责任和处罚强度位列全球前列，备受各业关注。特别是在刑事责任和刑事处罚层面明确规定“构成犯罪的，依法追究刑事责任”（第71条），使中国和意大利、法国并列成为动用刑法惩治个人信息相关违法行为的三大主要国家。并且中国《刑法》和《网络安全法》等法律结合规定的剥夺自由刑罚（最高有期徒刑7年）、剥夺资格刑罚（最长终生禁止从业）以及特有的单位犯罪制度（单位和个人双重处罚），实质上决定了《个人信息保护法》具备全球最严厉的刑事处罚效力。

《个人信息保护法》全面施行背景下，各大企业面临的最直接刑事风险聚集在《刑法》第253条之一所规定的侵犯公民个人信息罪。从该罪名规定的历史沿革看：

（1）该罪名源自2009年《刑法修正案（七）》增加规定的出售、非法提供公民个人信息罪和非法获取公民个人信息罪；

（2）而后经过2015年《刑法修正案（九）》的整合形成侵犯公民个人信息罪，扩大了犯罪主体和侵犯公民个人信息犯罪行为的范围。

（3）2017年最高人民法院、最高人民检察院联合出台《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，进一步细化侵犯公民个人信息罪的司法适用规则，并就外国人个人信息、行踪轨迹等个人信息特别种类、涉案个人信息计算规则以及从宽处罚等司法焦点问题做出全面回应。

（4）2018年最高人民检察院出台《检察机关办理侵犯公民个人信息案件指引》，对侵犯公民个人信息罪的具体罪状进行了明确，对公民个人信息的具体内容、非法获取、出售或提供公民个人信息的具体涉罪行为、涉罪情节等进行了规定。

（5）2020年最高人民检察院就整治网络黑灰产业链、提升移动互联网监管执法能力、加大未成年人网络保护力度向工业和信息化部发出第六号检察建议。

（6）2021年《个人信息保护法》的颁布施行，对公民个人信息收集、处理的合法程序，以及信息收集处理主体的法律责任等进行了明确的规制，厘定了公民个人信息商业化利用的边界，在刑事司法领域将全面重塑侵犯公民个人信息罪各项构成要件的内涵外延和各级司法裁判活动的运行逻辑。

本报告立足《个人信息保护法》出台施行的现实背景，通过法律法规梳理、文献著述洞察、司法案例分析，结合本团队参与支撑上述法律法规和司法文件制定工作的经历，并访谈中央和地方各级公安机关、检察机关以及人民法院资深司法工作人员，着眼企业涉个人信息刑事风险的合规风控，结合各地区各层级司法机关有关侵犯公民个人信息罪的刑事裁判实践，梳理企业涉侵犯公民个人信息罪的司法态势、司法焦点和司法走向，分析企业涉侵犯公民个人信息罪的行为特征、人员特征和责任特征，并就企业涉侵犯公民个人信息罪的技术风控、组织风控和人员风控提出合理化建议。在此特别鸣谢团队成员黄诗亮、贠佳启和郝博等卓富价值的专业贡献！—— 吴沈括，北京师范大学互联网发展研究院院长助理、博导、中国互联网协会研究中心副主任。