在大数据时代,快速的数据传播刺激着经济社会的发展,作为基础数据的公民个人信息所蕴含的价值不言而喻,但与此同时,个人信息也成为网络犯罪的关键要素,对数据的滥用、非法获取、利用数据实施的“精准”犯罪等行为也成为近年来司法实践所打击的重点。其中,据检察办案统计,有1/4的网络诈骗是在获取公民个人信息后“精准出手”。最高人民检察院指出,要着力推动源头治理。也即针对涉公民个人信息的犯罪进行严厉打击。
图源自最高人民检察院公众号
“公民个人信息”属于数据的一种,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。近年来,对于涉公民个人信息犯罪,最高检持严肃处理的态度,2020年,最高检向工业和信息化部发出第六号检察建议,围绕网络黑灰产业链条整治、APP违法违规收集个人信息、未成年人网络保护等问题,提出治理建议,并抄送公安部等。互联网、电子商务等领域的企业由于自身业务必须依托于网络,常常积累了大量的公民个人信息。做好数据合规,防范数据犯罪,成为此类企业所必须关注的议题。本文对现有有关个人信息的刑事立法进行了梳理,并在此基础上提出合规措施建议。针对个人信息保护的刑事立法主要包括了《刑法》和于2017年发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(后称《解释》)。
根据《刑法》第二百五十三条之一的规定,侵犯公民个人信息罪,是指违反国家有关规定,向他人出售或者提供公民个人信息,或者将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人,以及窃取或者以其他方法非法获取公民个人信息,情节严重的行为。《解释》规定,在刑法上针对非法获取、出售或者提供公民行踪轨迹信息、通信内容、征信信息、财产信息与非法获取、出售或者提供公民住宿信息、通信记录、健康生理信息、交易信息的入罪数量标准就完全不一致,分别是50条和500条。因此需要根据数据与个人关联的紧密程度设计相应的安全保障体系,将有限的资源合理分配,做到风险等级差异化管理。另外还应当指出的是,随着《网络安全法》、《数据安全法(征求意见稿)》、《个人信息保护法(征求意见稿)》、《个人信息安全规范》、《个人金融信息保护技术规范》等外围网络安全及数据相关的立法和标准趋于完善,作为保障法的刑法,其解释外延也将进一步延伸,对于各类数据相关犯罪行为的规制将更加全面,也给企业数据合规工作提出了更高的要求。(一)建立数据安全专项部门或小组,明确其工作职责与独立性。小组应当由组织领导层成员担任领导,负责安全应急响应并组织推进和保障个人信息安全。小组的主要工作包括了评估当前组织内数据保护与相应法律法规在合规要求上存在着的差距,明确作为数据来源的用户所允许的数据使用许可范围以及是否存在过度收集的情况,追踪数据在获取、保存、备份、销毁等全部环节的安全措施。此外,小组还应当承担的职能包括了一旦发生数据安全事件,及时向数据提供方及监管部门报告,报告内容包含安全事件的基本情况和可能的影响、已采取或将要采取的处置措施、降低风险的建议及补救措施。
(二)建立严格的数据使用和访问制度、以及数据安全的培训与考核制度。在对于目前侵犯公民个人信息类刑事案件的数据分析后,我们发现部分案件系被告人利用职务之便,侵入计算机信息系统窃取了公民个人信息。此情形下,企业刑事合规的重点在于预防内部犯罪。对此,技术上,应当依照最小需求原则,确立通过控制数据访问的权限和设定多重身份认证技术保护个人信息和对工作人员处理数据的行为进行系统监控,采取专门的数据和技术安全审计,设立日志审计和行为审计多项措施等。管理上,应当在入职培训和岗位培训中均加入相应的培训内容、定期举办安全和隐私保护培训课程并做好培训与考核记录以供查验,这样可以在单位本身被认定为犯罪时,作为单位不具备犯罪故意的证据,以达到使单位出罪的可能(见(2017)甘 01 刑终 89 号刑事裁定书)。(三)与第三方进行数据合作的合规管控,包括了与母公司、合作伙伴之间。企业机构在和第三方合作时,在第三方也能够获得数据的情况下,企业机构应严格审查第三方的资质,并与之约定对于数据相关法律法规的遵从和对于数据存储安全、防护、应急措施、销毁等措施的承诺,并将相应内容作为合规条款加入标准合同。数据合规是企业合规里的一项重要内容。本文对于数据合规中的刑事合规部分做了初步解析。实际上,近年来,网络犯罪成为高发犯罪,涉数据、信息网络的犯罪行为也不仅只有触犯侵犯公民个人信息罪的风险。而企业合规更是一项综合性的工程,需要企业整体治理理念和治理体系的改变,其中数据合规工作亦不止于本文所指出的几个要点。在信息网络犯罪高发,国家不断增大打击力度的当下,企业应当不断改进自身数据安全水平,以应对不断变化的网络环境与监管态势。
郭彬 广州中医药大学管理学学士、广东外语外贸大学法律硕士 ,现为德恒广州张元龙律师团队成员,电商企业经营合规项目组组员。
•曾任职于国药控股有限公司、上海康程管理咨询有限公司,持有法律执业资格、ISO-9001管理体系内审员资格、会计从业资格等。
•曾为京东方集团、成美医疗产业集团、华润健康等客户提供医院合规管理咨询工作;参与刘某森涉黑案、香港某黄金期货平台诈骗案、某车贷企业涉诈骗案法律服务、天*生物刑事合规项目。
•擅长领域:风险管理、刑事合规