刑事保護(hù)是我國目前在個人信息保護(hù)領(lǐng)域應(yīng)用最為活躍的法律機(jī)制。2017年6月1日，《網(wǎng)絡(luò)安全法》以及最新刑事司法解釋正式施行，我國個人信息保護(hù)刑事立法適用主體廣、入刑門檻低、適用刑罰嚴(yán)厲的特點(diǎn)更為明確。在此背景下，準(zhǔn)確理解立法制度與適用，對企業(yè)有效防范刑事風(fēng)險至關(guān)重要。

一、 加速推進(jìn)的個人信息保護(hù)刑事立法

有關(guān)公民個人信息保護(hù)的刑事規(guī)定，主要在《刑法》第二編分則，第四章：侵犯公民人身權(quán)利、民主權(quán)利罪中。1997年《刑法》中僅規(guī)定了侵犯通信自由罪（第252條）以及私自開拆、隱匿、毀棄郵件、電報罪（第253 條）。隨著近幾年公民個人信息受侵害現(xiàn)象越演越烈，在近年來刑事立法活動中，都將個人信息保護(hù)作為其中重要的修法內(nèi)容。

2009年，《刑法修正案（七）（以下簡稱《刑七》）首次引入了個人信息保護(hù)新罪名。在《刑法》第253條中增加“出售、非法提供公民個人信息罪”以及“非法獲取公民個人信息罪”。犯罪主體限定為特殊主體，包括：國家機(jī)關(guān)、金融、電信、交通、教育、醫(yī)療等單位及工作人員。

2015年，《刑法修正案（九）》（以下簡稱《刑九》）再次對刑法第253條作出修改完善：（1）擴(kuò)大犯罪主體范圍。任何單位和個人只要實(shí)施違法行為，情節(jié)嚴(yán)重的，都可構(gòu)成犯罪；（2）量刑增加一檔。在原有的“處三年以下有期徒刑或者拘役，并處或者單處罰金”基礎(chǔ)上，針對“情節(jié)特別嚴(yán)重的”，量刑提升至“三年以上七年以下有期徒刑，并處罰金”。（3）增加從重處罰的情形。“將履行職責(zé)或者提供服務(wù)過程中獲得的個人信息，非法出售、提供給他人的，適用從重刑?！毙薷暮蟮淖锩y(tǒng)一稱為“侵犯公民個人信息罪”。

2017年5月，兩高發(fā)布《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（法釋〔2017〕10號，以下簡稱《解釋》）。在個人信息保護(hù)刑事司法近十年實(shí)踐經(jīng)驗(yàn)的系統(tǒng)總結(jié)之上，《解釋》對困擾司法實(shí)踐的定罪量刑熱點(diǎn)問題作出明確回應(yīng)。

《刑（九）》第253條與《解釋》是我國針對個人信息侵害行為，獨(dú)立發(fā)展出的刑事規(guī)范完整體系，包括了個人信息罪的罪名罪狀、定罪量刑標(biāo)準(zhǔn)、相關(guān)法律適用、甚至涉及訴訟中的舉證責(zé)任分配問題。這在全球刑事立法及司法領(lǐng)域也數(shù)少見。在該領(lǐng)域，我國已然形成了具有鮮明國情特色的“中國樣本”。

二、 我國個人信息刑事保護(hù)的主要特點(diǎn)

(一) 刑事司法最活躍

民事救濟(jì)、行政監(jiān)管、刑事打擊是個人信息法律保護(hù)體系的三大支柱。我國在民、行、刑三領(lǐng)域的個人信息保護(hù)立法也均有建樹。然而在法律適用領(lǐng)域，與民、行相比，我國個人信息保護(hù)刑事司法實(shí)踐更為活躍。據(jù)統(tǒng)計，自2009年《刑（七）》引入個人信息刑事罪名到2016年12月，全國法院共審結(jié)出售、非法提供公民個人信息、非法獲取公民個人信息刑事案件1433起，生效判決人數(shù)2112人。特別是2015年11月《刑（九）》生效以來，我國對侵犯公民個人信息犯罪呈高壓態(tài)勢，案件量顯著增長，僅一年間審結(jié)464件，生效判決人數(shù)697人[1]。

刑事追責(zé)是我國當(dāng)前個人信息保護(hù)領(lǐng)域應(yīng)用最廣泛深入的法律手段，這與歐洲推崇行政監(jiān)管，美國倚重民事救濟(jì)相比，具有鮮明特色。

?(二) 適用主體廣

?刑事責(zé)任是最嚴(yán)厲的法律責(zé)任，只規(guī)制嚴(yán)重侵害或威脅法益的行為，適用也往往更加謹(jǐn)慎。這也是《刑（七）》在最初引入相關(guān)罪名時，僅把犯罪主體限定為國家機(jī)關(guān)及特定行業(yè)單位及個人的主要出發(fā)點(diǎn)。實(shí)際上，從全球范圍看，在建立有個人信息刑事追懲機(jī)制的國家，一般也會通過不同方式對罪名適用加以限制。例如：美國個人信息保護(hù)立法分散在金融、健康、征信以及兒童隱私等敏感信息領(lǐng)域，其中僅僅針對個人健康信息違法行為建立了刑事處罰。美國《健康保險隱私及責(zé)任法案》（Health Insurance Portability and Accountability Act，HIPAA）對犯罪主體限定為醫(yī)療機(jī)構(gòu)及工作人員，并特別強(qiáng)調(diào)主觀惡意，只有在明知故意、或欺詐、虛假陳述方式獲得非法利益的情形下，才會被追究刑事責(zé)任。

相比而言，為進(jìn)一步打擊個人信息違法活動，我國《刑（九）》在適用主體范圍上做出重要突破，“侵害個人信息罪”不再局限于國家機(jī)關(guān)、重點(diǎn)行業(yè)領(lǐng)域。任何個人、單位都有可能因非法獲取、提供個人信息而被追究刑責(zé)。

(三) 入罪門檻低

“情節(jié)嚴(yán)重”是我國將“違法提供、獲取個人信息”行為入罪的核心標(biāo)準(zhǔn)。《解釋》從信息數(shù)量、違法所得、信息用途、主觀惡性、違法主體五個方面，對“情節(jié)嚴(yán)重”做了具象化的描述。從《解釋》對五方面的界定標(biāo)準(zhǔn)看，我國對侵害個人信息罪的入罪門檻設(shè)定較低。以信息數(shù)量為例，對高度敏感個人信息——“行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息”非法提供、獲取的，數(shù)量達(dá)到50條即可入罪；如若是將履行職責(zé)或者提供服務(wù)過程中獲得的此類信息出售或者非法提供給他人的，數(shù)量標(biāo)準(zhǔn)減半，25條即可入罪。

(四) 適用刑罰較嚴(yán)厲

我國對個人信息罪的適用刑罰包括了人身自由刑和罰金兩類。其中，第一檔量刑在“處三年以下有期徒刑或者拘役，并處或者單處罰金；”，第二檔量刑為“三年以上七年以下有期徒刑，并處罰金?！?。

從國際比較而言，上述刑罰是較為嚴(yán)厲的。首先，目前仍有部分國家并沒有就個人信息保護(hù)設(shè)立專門的刑事責(zé)任體系，而是仍停留在侵犯公民通信自由罪、非法入侵信息系統(tǒng)罪階段。即使是針對個人信息保護(hù)，建立有刑事機(jī)制的國家，也通過不同方式對適用作出了限定。例如：（1）通過適用范圍予以限定，如上述美國情形，僅針對醫(yī)療健康行業(yè)；（2）刑罰中僅包括罰金刑，不包括人身刑，如加拿大、愛爾蘭；（3）或雖規(guī)定了人身刑，但在司法實(shí)踐中絕大部分適用罰金刑，如英國、新加坡；（4）人身自由刑設(shè)置緩和，不超過1年或2年。如：德國、葡萄牙、荷蘭等大部分歐盟成員國的刑法設(shè)定。我國近鄰日本最高刑期不超過6個月[2]。

綜上，我國的個人信息保護(hù)刑事政策是較為嚴(yán)苛的，在此背景下，準(zhǔn)確理解刑事立法制度與適用，對企業(yè)有效防范刑事風(fēng)險至關(guān)重要。

三、 我國個人信息刑事保護(hù)制度

要點(diǎn)指引

結(jié)合《刑（九）》、《解釋》以及兩高發(fā)布的個人信息罪典型案例，理解我國個人信息保護(hù)刑事制度可從以下問題入手。

(一) 哪些個人信息納入刑法保護(hù)？

第一、 《解釋》對個人信息的界定做出了重要擴(kuò)展，在“身份識別信息”基礎(chǔ)上，新增“個人活動情況信息”。 從2012年《全國人大常委會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息安全的決定》（以下簡稱2012年《人大決定》）到2016年《網(wǎng)絡(luò)安全法》，我國立法對個人信息的界定一直限定為身份識別信息。此次《解釋》對個人信息做廣義理解，明確：“公民個人信息”，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。“個人活動情況的信息”首次列入刑事保護(hù)的個人信息范圍。

需要明確的是：定義中界定部分與列舉部分的關(guān)系。并不是列舉信息都必然是個人信息。例如：所列舉的“財產(chǎn)狀況、行蹤軌跡”只有在能夠識別特定人身份或者反映特定人活動情況時，才屬于個人信息。群體的財產(chǎn)狀況、行蹤軌跡（如春運(yùn)熱力圖）并不是個人信息。

第二、根據(jù)個人信息與人身、財產(chǎn)安全的敏感程度，《解釋》將個人信息區(qū)分為三類，并設(shè)置相應(yīng)入罪梯度[3]。第一類：高度敏感信息，包括四種信息：行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息。涉及高度敏感信息的違法活動，由于定罪門檻最低，因此嚴(yán)格限制在此四類，不做任何擴(kuò)展；第二類：敏感信息，即住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息。與第一類相比較，《解釋》對第二類信息的界定仍留有空間，意味著在司法實(shí)踐中，仍有可能會出現(xiàn)目前所列舉之外的第二類信息類型；第三類：其他個人信息。即上述第二、三類以外的個人信息。個人信息的類型是定罪量刑的重要依據(jù)。越敏感信息，達(dá)到定罪門檻的信息數(shù)量越少。

第三、新增加的“行蹤軌跡”僅指個人實(shí)際物理位置信息?！督忉尅饭己?，有觀點(diǎn)認(rèn)為“行蹤軌跡”不僅包括實(shí)際物理位置信息，還可能會包括個人在虛擬網(wǎng)絡(luò)中的活動軌跡，例如cookie中信息記錄。這種理解并不準(zhǔn)確。從立法部門對《解釋》的說明看，列入“行蹤軌跡”信息類型的主要目的是打擊利用此類信息的綁架、詐騙等危害人身安全犯罪行為，且“行蹤軌跡”被列入高度敏感信息類，有關(guān)此類信息的入罪門檻低，因此嚴(yán)格限定為四類，不做任何擴(kuò)展解釋，用戶的網(wǎng)絡(luò)活動軌跡不屬于此類“行蹤軌跡”。

第四、新增加的“財產(chǎn)狀況”不僅包括傳統(tǒng)銀行賬戶信息，也包括互聯(lián)網(wǎng)金融業(yè)務(wù)中的賬戶財產(chǎn)信息。如：第三方支付結(jié)算帳戶、金融服務(wù)賬戶及財產(chǎn)信息。

第五、“公民個人信息”，并不限定在中國公民?；谄降冗m用刑法原則，對侵害我國境內(nèi)外國人、無國籍人個人信息的案件，以及我國境內(nèi)行為侵害境外外國人、無國籍人個人信息的案件，我國都予以刑事保護(hù)。這一理解也符合《網(wǎng)絡(luò)安全法》立法精神?！毒W(wǎng)絡(luò)安全法》從一審草案到最終稿也刪去了“公民”表述，個人信息并不以中國公民為限定。

?(二) 哪些行為會被追究刑事責(zé)任？

?1.“非法提供”和“非法獲取”兩大類行為

我國刑事立法主要打擊個人信息犯罪鏈條兩端行為，即非法提供和非法獲取兩大類。而在個人信息保護(hù)的中間環(huán)節(jié)，如個人數(shù)據(jù)的留存、更正、刪除、加工、分析等處理行為，更多留給民事、行政領(lǐng)域立法調(diào)整。?

2.“違反國家有關(guān)規(guī)定”是認(rèn)定“非法”的重要依據(jù)

《刑（九）》并沒有列明哪些行為屬于非法獲取或非法提供、而是給出了一個籠統(tǒng)的前提——“違反國家有關(guān)規(guī)定”。

而《刑（七）》到《刑（九）》的重要變化之一，是將“非法”這一前提 ，從“違反國家規(guī)定”擴(kuò)展為“違反國家有關(guān)規(guī)定”。兩字之差體現(xiàn)了重大變化。

依照刑法總則第九十六條：本法所稱違反國家規(guī)定，是指違反全國人民代表大會及其常務(wù)委員會制定的法律和決定，國務(wù)院制定的行政法規(guī)、規(guī)定的行政措施、發(fā)布的決定和命令。由此刑法中的“國家規(guī)定”排除了地方性法規(guī)、地方規(guī)章和國務(wù)院各部委制定的部門規(guī)章。

此次《解釋》在《刑九》基礎(chǔ)上，對“國家有關(guān)規(guī)定”進(jìn)一步明確為法律、行政法規(guī)和部門規(guī)章。部門規(guī)章自此成為個人信息刑事定罪的重要基準(zhǔn)之一。而從我國的立法實(shí)踐看，有關(guān)個人信息保護(hù)的規(guī)定，大量分散在部委規(guī)章中。特別是隨著“互聯(lián)網(wǎng)+”的快速發(fā)展，互聯(lián)網(wǎng)對傳統(tǒng)行業(yè)、領(lǐng)域的滲透加速，傳統(tǒng)監(jiān)管部門對信息安全、數(shù)據(jù)保護(hù)的關(guān)注加大，新制定的部門規(guī)章中往往會嵌有個人信息保護(hù)條款。例如：2016年交通部等七部委頒發(fā)的部門聯(lián)合規(guī)章《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營服務(wù)管理暫行辦法》對個人數(shù)據(jù)的獲取、對外提供制定了更為細(xì)致的規(guī)定。其中部分規(guī)定比《網(wǎng)絡(luò)安全法》更為嚴(yán)格。?

?(三) “非法提供”如何認(rèn)定

1.“出售”是“非法提供”的典型行為方式

從《刑（七）》到《刑（九）》，“出售”行為都從“非法提供”行為中單獨(dú)列出，概因“出售”行為的主觀惡意最為明顯，也是現(xiàn)實(shí)中個人信息黑產(chǎn)的主要形態(tài)。但仍需要注意的是，對于“出售”行為，刑法并沒有“一刀切”的禁止，仍然限定在“違反國家有關(guān)規(guī)定”的情形下。這與《網(wǎng)絡(luò)安全法》一脈相承，也是對2012年《人大決定》中一刀切禁止“出售行為”的修正。

2.“非法發(fā)布”行為也屬于“非法提供”

“提供”既包括向特定人提供，也包括向不特定人提供。此次《解釋》明確：通過信息網(wǎng)絡(luò)或者其他途徑發(fā)布公民個人信息的，屬于“提供公民個人信息”。這在一定程度上回應(yīng)了備受爭議的“人肉搜索”是否入刑的問題[4]。即違法發(fā)布他人個人信息，情節(jié)嚴(yán)重，可被納入“非法提供”情形。

3. 不屬于非法提供的情形

?合法提供個人信息，主要包括兩種情形：

（1）經(jīng)被收集者同意?！毒W(wǎng)絡(luò)安全法》第四十二條第一款規(guī)定：未經(jīng)被收集者同意，不得向他人提供個人信息。因此，獲得個人同意，屬于合法提供的情形。且《網(wǎng)絡(luò)安全法》中并沒有就同意的形式作出限定。但需要注意的是，在一些行業(yè)特別法中對同意的形式提出了具體要求，如《征信業(yè)管理?xiàng)l例》對于“提供”的規(guī)定，部分情形下要求信息主體的“書面同意”，《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營服務(wù)管理暫行辦法》規(guī)定：要求獲得信息主體的“明示同意”。

（2）數(shù)據(jù)經(jīng)過處理無法識別個人，也無法復(fù)原。同樣是《網(wǎng)絡(luò)安全法》上述條款中的但書規(guī)定，對提供匿名化數(shù)據(jù)的行為予以了豁免。該條款科學(xué)平衡了安全與發(fā)展二者關(guān)系，為數(shù)據(jù)合理流動、創(chuàng)新提供了合法路徑。

上述兩種情形，是我國立法中明確規(guī)定的數(shù)據(jù)提供行為的合法情形，也是當(dāng)前企業(yè)實(shí)務(wù)應(yīng)用的最為主要的合法抗辯理由。當(dāng)然，除了以上合法情形外，從對“非法”的法理理解出發(fā)，對外提供個人信息仍可以有以下合法理由：（1）為保護(hù)信息主體、或其他第三方生命、財產(chǎn)的重大利益而需要提供的；（2）為履行向國家機(jī)關(guān)、司法機(jī)關(guān)執(zhí)法協(xié)助義務(wù)而需要提供的。但顯然，此類情形并非企業(yè)日常經(jīng)營中數(shù)據(jù)提供的常見情形。

?(四) “非法獲取”如何認(rèn)定

1.“竊取”是“非法獲取”的典型行為方式

與“出售”行為始終在“非法提供”類行為中單獨(dú)列出類似，“竊取”也一直作為“非法獲取行為”的典型方式單列。這強(qiáng)調(diào)了獲取方式手段自身的非法性，以此類推，以“欺騙”、“搶奪”等非法手段方式獲取的當(dāng)然也屬于非法獲取。但這并不意味“非法獲取”僅考慮獲取手段的非法性[5]。

2.無法提供獲取信息的正當(dāng)性，可被認(rèn)定為“非法獲取”

即只要違反國家規(guī)定獲取個人信息，信息獲取者無法主張其獲取信息的正當(dāng)理由的，無論是以“竊取”等本身非法的手段來獲取，還是以“購買、收受、交換”等其他手段，都可被認(rèn)為“非法獲取”。這有利于直接打擊個人信息黑產(chǎn)中的買賣交易，但同時也對大數(shù)據(jù)開發(fā)利用中的商務(wù)合作帶來更高合規(guī)風(fēng)險，特別是通過第三方渠道獲取個人信息的，需要在事前履行更加審慎的合規(guī)義務(wù)。

以上兩類情形，更多指向了不同主體之間對于數(shù)據(jù)的獲取、流轉(zhuǎn)行為，除此之外，此次《解釋》對“非法獲取”的含義做進(jìn)一步擴(kuò)展，深入到收集環(huán)節(jié)。

3.“在提供服務(wù)過程中，違反國家有關(guān)規(guī)定收集個人信息的，視作“非法獲取”

盡管《網(wǎng)絡(luò)安全法》主要適用于網(wǎng)絡(luò)運(yùn)營者，但它是目前最能完整體現(xiàn)我國個人信息保護(hù)制度的主要立法，確立了個人信息的收集原則及具體要求。參考其第四十一條規(guī)定，以下情形下的收集活動，都可被視為“非法獲取”：

（1）未遵循合法、正當(dāng)、必要原則收集信息；

（2）未公開收集信息的規(guī)則，使用目的、方式和范圍；

（3）未經(jīng)過被收集者同意；

（4）收集了與所提供服務(wù)無關(guān)的個人信息；

（5）收集了法律、行政法規(guī)禁止收集的信息；

（6）收集了超出約定范圍的信息；

以上可見，我國對“非法獲取個人信息”的行為認(rèn)定已覆蓋到實(shí)務(wù)中的個人信息收集環(huán)節(jié)。況且，除《網(wǎng)絡(luò)安全法》之外，我國仍有相當(dāng)數(shù)量法律、行政法規(guī)、部門規(guī)章涉及到關(guān)于個人信息收集的具體要求，“違法收集個人信息”的刑事風(fēng)險點(diǎn)顯著增多。

?(五) 如何“定罪量刑”

《解釋》第五條規(guī)定了“情節(jié)嚴(yán)重”“情節(jié)特別嚴(yán)重”的兩檔量刑標(biāo)準(zhǔn)。

?1.符合“情節(jié)嚴(yán)重”，適用第一檔量刑（最高刑3年）的情形：

① 出售或者提供行蹤軌跡信息，被他人用于犯罪的；?

② 知道或者應(yīng)當(dāng)知道他人利用公民個人信息實(shí)施犯罪，向其出售或者提供的；?

③ 非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息五十條以上的；

④ 非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息五百條以上的；

⑤ 非法獲取、出售或者提供第三項(xiàng)、第四項(xiàng)規(guī)定以外的公民個人信息五千條以上的；

⑥ 數(shù)量未達(dá)到第三項(xiàng)至第五項(xiàng)規(guī)定標(biāo)準(zhǔn)，但是按相應(yīng)比例合計達(dá)到有關(guān)數(shù)量標(biāo)準(zhǔn)的；

⑦ 違法所得五千元以上的；

⑧ 將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息出售或者提供給他人，數(shù)量或者數(shù)額達(dá)到第三項(xiàng)至第七項(xiàng)規(guī)定標(biāo)準(zhǔn)一半以上的；

⑨ 曾因侵犯公民個人信息受過刑事處罰或者二年內(nèi)受過行政處罰，又非法獲取、出售或者提供公民個人信息的；

⑩ 其他情節(jié)嚴(yán)重的情形。

以上10方面，覆蓋了犯罪構(gòu)成的主體、主觀方面、客體、客觀方面的要素。其中③、④、⑤項(xiàng)，根據(jù)信息的敏感程度，分別設(shè)定了50條、500條、5000條的入刑標(biāo)準(zhǔn)。特殊主體（將履行職責(zé)或提供服務(wù)過程中獲得的個人信息出售、非法提供給他人的）入刑標(biāo)準(zhǔn)減半。第⑥項(xiàng)查缺補(bǔ)漏，對同一案件中涉及到不同類型的，可按照數(shù)量比例累計入刑。

?2.符合“情節(jié)特別嚴(yán)重”，適用加重刑的情形：

① 造成被害人死亡、重傷、精神失?；蛘弑唤壖艿葒?yán)重后果的；

② 造成重大經(jīng)濟(jì)損失或者惡劣社會影響的；

③ 數(shù)量或者數(shù)額達(dá)到前款第三項(xiàng)至第八項(xiàng)規(guī)定標(biāo)準(zhǔn)十倍以上的；

④ 其他情節(jié)特別嚴(yán)重的情形。

在《解釋》出臺之前，盡管《刑（九）》中已將最高刑提升至7年，但實(shí)務(wù)中由于審判人員對個人信息犯罪的危害性并不確定，大部分法院審結(jié)案件是作出法定刑三年以下的判決[6]?！督忉尅穼χ匦糖楣?jié)予以明確，其中從信息數(shù)量因素看，盡管將重刑門檻定于普通量刑定罪數(shù)量的十倍以上，但由于普通量刑本身起點(diǎn)低，十倍之后也仍然不高。如依違法所得標(biāo)準(zhǔn)，違法所得在5萬以上的，即可構(gòu)成重刑。因此有學(xué)者預(yù)測，《解釋》正式實(shí)施后，侵害個人信息犯罪適用重刑可能會出現(xiàn)激增現(xiàn)象。

3.為合法經(jīng)營活動購買、收受公民個人信息定罪量刑的特殊標(biāo)準(zhǔn)：

① 利用非法購買、收受的公民個人信息獲利五萬元以上的；

② 曾因侵犯公民個人信息受過刑事處罰或者二年內(nèi)受過行政處罰，又非法購買、收受公民個人信息的；

③ 其他情節(jié)嚴(yán)重的情形。

特殊適用標(biāo)準(zhǔn)是《解釋》為大數(shù)據(jù)創(chuàng)新活動而做出的相對寬容的處理。即如果企業(yè)是出于合法經(jīng)營活動的目的，例如因廣告營銷目的，而購買、收受個人信息的，量刑適用于第一檔刑（3年以下或罰金刑），并不適用從重刑。且定罪的考量因素也有所區(qū)別，并不再參考信息數(shù)量標(biāo)準(zhǔn)，而是主要結(jié)合兩方面：一是違法收益（且收益標(biāo)準(zhǔn)也有所提升，達(dá)到5萬元以上）；二是是否重復(fù)犯。當(dāng)然，適用此類寬容標(biāo)準(zhǔn)，有著嚴(yán)格的限制：

（1）必須為合法經(jīng)營活動。如廣告推銷，或者被告方能夠舉證證明合法經(jīng)營活動的其他情形。

（2）只能限定在獲取行為，對外提供行為并不適用。

（3）只能限定為普通個人信息，并不包括《解釋》中所列的高度敏感信息和敏感信息兩類。

此類相對寬松的量刑標(biāo)準(zhǔn)，反映了立法者在“安全與發(fā)展”之間的平衡。在信息用途上，將合法經(jīng)營活動區(qū)分出來，此類活動中的非法獲取行為并不具有明顯的社會危害性，入刑門檻適度放寬。

四、 企業(yè)的刑事風(fēng)險防范策略

嚴(yán)厲的個人信息保護(hù)刑事規(guī)范，對打擊個人信息違法犯罪活動會將起到更大威懾作用，也將為企業(yè)數(shù)據(jù)資產(chǎn)構(gòu)筑法律安全屏障。但同時，高企的刑事責(zé)任，對于企業(yè)來說，特別以數(shù)據(jù)處理為核心業(yè)務(wù)，或日常運(yùn)營中處理敏感數(shù)據(jù)的企業(yè)，如互聯(lián)網(wǎng)、電信、金融、征信、醫(yī)療、教育等行業(yè)領(lǐng)域的經(jīng)營者而言，所面臨的法律風(fēng)險不容低估。特別是，我國“侵害個人信息罪”適用于單位犯罪。單位可作為違法主體被追究刑事責(zé)任，判處罰金，同時，單位直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員也承擔(dān)相應(yīng)刑責(zé)。對此，企業(yè)應(yīng)建立完備的數(shù)據(jù)管理安全體系，制定系統(tǒng)的風(fēng)險防范策略予以應(yīng)對。

(一) 個人信息分類分級管理

《解釋》出臺之前，我國有關(guān)個人信息保護(hù)的相關(guān)立法中并沒有直接體現(xiàn)出對數(shù)據(jù)的分類思路，僅僅在2013年指導(dǎo)性標(biāo)準(zhǔn)中，提出將個人信息區(qū)分為個人敏感信息和個人一般信息，并推薦適用不同的收集同意標(biāo)準(zhǔn)。

此次《解釋》明確將數(shù)據(jù)自身的敏感程度作為定罪量刑的直接依據(jù)后，在企業(yè)實(shí)踐中實(shí)施數(shù)據(jù)分類分級管理的必要性將更為突出。實(shí)際上，數(shù)據(jù)分級分類管理已是實(shí)務(wù)普遍做法，但根據(jù)《解釋》，企業(yè)需要在現(xiàn)有做法基礎(chǔ)上，對個人信息類別再行細(xì)分，同時也需要結(jié)合業(yè)務(wù)場景，與用戶個人利益的相關(guān)度、數(shù)據(jù)自身安全威脅強(qiáng)弱等維度，系統(tǒng)梳理數(shù)據(jù)類別、安全級別，針對不同級別，實(shí)施強(qiáng)弱有別的安全防護(hù)。特別是在個人信息獲取、對外提供環(huán)節(jié)，加大合規(guī)投入。 ??

(二) 信息獲取，“取之有道”

本文并不討論竊取、騙取等明顯具有非法性的數(shù)據(jù)獲取行為，而是企業(yè)正常經(jīng)營活動中，涉及合規(guī)重點(diǎn)的兩類情形：

1.提供服務(wù)過程中面向用戶，直接收集個人信息的情形，需完成以下合規(guī)工作：

（1）保障用戶知情權(quán)。公開信息收集規(guī)則、收集的目的、收集的方式和范圍，例如通過公告、隱私政策、業(yè)務(wù)協(xié)議等方式公開法定要求公開的信息。

（2）獲得用戶的同意。這是決定收集“合法與否”的關(guān)鍵點(diǎn)。需要結(jié)合業(yè)務(wù)所適用的具體法規(guī)、規(guī)章，滿足其具體合規(guī)要求。如上所述，《征信管理?xiàng)l例》中的“書面同意”要求，網(wǎng)約車規(guī)范中的“明示同意”要求等。通過業(yè)務(wù)協(xié)議等格式條款獲取用戶同意的，需要滿足合同法中關(guān)于格式條款的具體要求。

（3）審查所收集信息與業(yè)務(wù)提供的相關(guān)性。以滿足收集信息的合法、正當(dāng)、必要原則。其中《網(wǎng)絡(luò)安全法》明確禁止收集與所提供服務(wù)無關(guān)的信息。當(dāng)然從《網(wǎng)絡(luò)安全法》表述來看，對收集活動仍然采取的是相對寬松標(biāo)準(zhǔn)，即與業(yè)務(wù)的相關(guān)度來評判，為收集信息的范圍仍留有彈性空間。

（4） 不得超出用戶協(xié)議范圍收集信息。在用戶協(xié)議中，應(yīng)盡可能明確所收集個人信息的主要類別、類型，以完整覆蓋提供服務(wù)所必需的數(shù)據(jù)，并保障用戶的知情同意權(quán)。

（5）不得收集法律禁止收集的用戶個人信息。如《征信業(yè)管理?xiàng)l例》明確禁止征信機(jī)構(gòu)采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息；

做到以上合規(guī)點(diǎn)，避免落入“違反國家規(guī)定收集個人信息”情形，是防范刑事責(zé)任風(fēng)險的根本。

?2.從第三方獲取個人信息的合規(guī)審查：

《解釋》將“違反國家規(guī)定，購買、收受、交換個人信息”納入到“非法獲取情形”，在實(shí)踐中主要涉及企業(yè)與第三方合作場景。目前來看，合規(guī)仍有模糊地帶。但從企業(yè)所扮演的兩種角色出發(fā)，可提出如下探討思路：

（1）企業(yè)僅作為受托者提供技術(shù)服務(wù)時，并不負(fù)擔(dān)數(shù)據(jù)收集活動是否合法的義務(wù)。例如：電信企業(yè)為第三方提供短信息發(fā)送服務(wù)，從而“收受”第三方提供的電話號碼信息。在此情形下，若短信息服務(wù)自身合法，電信企業(yè)并不負(fù)有審查第三方獲取個人信息是否合法的義務(wù)。電信企業(yè)所負(fù)主要義務(wù)，是依據(jù)與第三方的“服務(wù)協(xié)議”所承擔(dān)數(shù)據(jù)安全義務(wù)。類似的，云計算服務(wù)也屬此類情形。云服務(wù)提供者并不負(fù)有審查云客戶個人信息收集活動是否合法的義務(wù)，而主要依據(jù)服務(wù)協(xié)議承擔(dān)數(shù)據(jù)安全責(zé)任。

（2）企業(yè)從第三方獲取數(shù)據(jù)，是為了實(shí)現(xiàn)自身業(yè)務(wù)目的。此類情形是刑法規(guī)范的重點(diǎn)。即企業(yè)與第三方的合作，并不僅僅是為第三方提供服務(wù)，特別是通過“購買、交換”方式獲得的數(shù)據(jù)，已帶有明顯的自身目的。此類情形下，為保證合規(guī)，避免刑事責(zé)任風(fēng)險，建議企業(yè)在第三方收集個人信息的環(huán)節(jié)，就能夠通過第三方向個人披露關(guān)于個人信息收集、交換、對外提供的信息，并征得用戶的同意。?

(三) 對外提供，遵循合規(guī)高標(biāo)準(zhǔn)

與“非法獲取”相比，“非法提供”的認(rèn)定更明朗些。因?yàn)榻箤ν馓峁┦且话阈栽瓌t，少數(shù)合法提供的情形，立法已有明確規(guī)定。最為主要的合法依據(jù)有兩方面，一是征得了個人的同意，二是進(jìn)行了數(shù)據(jù)匿名化。征得個人同意，并無太多認(rèn)識分歧。相比而言，匿名化是新近提出的合規(guī)渠道，無論在學(xué)界、司法實(shí)務(wù)界都還存在不同看法。

但總體而言，數(shù)據(jù)匿名化是兼顧隱私保護(hù)與數(shù)據(jù)利用的有效手段，企業(yè)可以采取技術(shù)、合同、審計等多種手段，努力實(shí)現(xiàn)數(shù)據(jù)不再能夠具有身份可識別性，并在此基礎(chǔ)上，實(shí)現(xiàn)數(shù)據(jù)的交易流轉(zhuǎn)，加工利用。

需要澄清的是，數(shù)據(jù)匿名化并不是一個絕對狀態(tài)，因?yàn)闆Q定數(shù)據(jù)是否處于匿名狀態(tài)的兩個主要因素：數(shù)據(jù)算法和可獲得的數(shù)據(jù)資源始終時刻處于動態(tài)變化之中，算法日益強(qiáng)大，數(shù)據(jù)資源不斷豐富，當(dāng)前的匿名化并不代表永久的匿名化，因此在將數(shù)據(jù)匿名化作為可對外提供的例外情形時，在具體的司法裁量中也應(yīng)遵循相對標(biāo)準(zhǔn)，而不是絕對標(biāo)準(zhǔn)，即在特定的案例中，企業(yè)是否采取了相對充分的匿名化措施，以使得獲得數(shù)據(jù)的第三方采取一般可能的措施，也無法將數(shù)據(jù)關(guān)聯(lián)到特定個人。

因此，企業(yè)是否否采取了相對充分的匿名化措施，決定了其是否可以適用對外提供的例外條款，而在這一方面，企業(yè)至少可以從以下方面開展合規(guī)，預(yù)防可能的法律風(fēng)險：

（1）在對外提供的業(yè)務(wù)場景中，開展隱私風(fēng)險評估。包括評估合作方的數(shù)據(jù)利用目的，個人隱私的敏感度，合作方所掌握的數(shù)據(jù)資源、數(shù)據(jù)分析能力等。

（2）根據(jù)隱私風(fēng)險評估結(jié)果，選擇有針對性的數(shù)據(jù)匿名策略，包括不同的匿名技術(shù)方式、加密手段等。

（3）通過合作協(xié)議加以限制及明確責(zé)任，例如：對數(shù)據(jù)的使用場景、目的進(jìn)行約束；限制關(guān)聯(lián)數(shù)據(jù)進(jìn)入特定數(shù)據(jù)場景；對數(shù)據(jù)訪問的技術(shù)限制：做出不再試圖重新回復(fù)身份屬性的法律承諾；對隨機(jī)情況下再識別數(shù)據(jù)做出破壞處理的約定；對數(shù)據(jù)的返還、銷毀等做出協(xié)議安排。

(四) 嚴(yán)格履行網(wǎng)絡(luò)信息管理義務(wù)

如上述，我國“侵害公民個人信息罪”僅指向針對個人信息的非法獲取、非法提供這兩端行為，并不覆蓋其他環(huán)節(jié)。但對于電信、互聯(lián)網(wǎng)企業(yè)等“網(wǎng)絡(luò)服務(wù)提供者”而言，刑法第286條之一“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”也與企業(yè)在用戶個人信息方面的刑事責(zé)任風(fēng)險強(qiáng)相關(guān)。

按照《刑（九）》及《解釋》規(guī)定：網(wǎng)絡(luò)服務(wù)提供者拒不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，致使用戶的公民個人信息泄露，造成嚴(yán)重后果的，應(yīng)當(dāng)依照刑法第二百八十六條之一的規(guī)定，以拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪定罪處罰。

盡管從本罪的表述來看，已對構(gòu)成犯罪的情況作了極大限定，必須同時滿足三個前提“不履行網(wǎng)絡(luò)信息安全管理義務(wù)”；“經(jīng)監(jiān)管部門責(zé)令改正而拒不改正的”；“致使信息泄露，造成嚴(yán)重后果的”。如此限定，似乎刑事風(fēng)險已相對可控。

但事實(shí)上，由于目前我國網(wǎng)絡(luò)信息安全管理立法分散，在大量的法律、行政法規(guī)中均有涉及安全管理義務(wù)設(shè)定，相關(guān)監(jiān)管部門，不僅包括網(wǎng)信、公安、工信部等日常監(jiān)管機(jī)構(gòu)，在特定領(lǐng)域也涉及到國安、保密等機(jī)構(gòu)，此外傳統(tǒng)監(jiān)管部門央行、工商總局、交通部、衛(wèi)計委也有針對特定行業(yè)的網(wǎng)絡(luò)信息安全管理要求。尤其關(guān)注到“拒不履行信息網(wǎng)絡(luò)安全義務(wù)罪”中并沒有限定監(jiān)管部門的行政級別，這意味著除了中央一級的監(jiān)管部門，省級甚至省以下的監(jiān)管部門都可能發(fā)出“責(zé)令改正”要求[7]。本罪的刑事風(fēng)險顯然并不比想象中小。

因此，對于企業(yè)來說，為有效防范此類情形的刑事責(zé)任風(fēng)險，應(yīng)當(dāng)全面梳理企業(yè)所負(fù)有的信息網(wǎng)絡(luò)安全管理義務(wù)，并與監(jiān)管部門就安全管理工作保持密切溝通，特別是在個人信息安全防護(hù)方面，杜絕因未履行信息安全管理要求而造成信息泄露事件。

結(jié)語

業(yè)界預(yù)測，2017年6月1日《解釋》正式實(shí)施后，我國個人信息罪刑事訴訟將出現(xiàn)激增現(xiàn)象。這是該罪名適用范圍廣，入刑門檻低所帶來的必然結(jié)果。同時，由于《解釋》對重刑情形規(guī)定十分明確，實(shí)踐中本罪量刑也將會出現(xiàn)加重特點(diǎn)。

除了被規(guī)范的主體：企業(yè)、政府機(jī)構(gòu)以及普通個人需要加強(qiáng)法律意識，適應(yīng)法律要求外，對于執(zhí)法者而言，理解和適用新規(guī)范也會面臨新挑戰(zhàn)。如所述，我國個人信息保護(hù)刑事體系是在民事、行政機(jī)制尚未及時跟上的背景下，在刑事領(lǐng)域的先行探索?？紤]到社會民眾尚未形成對個人信息保護(hù)規(guī)則的成熟認(rèn)知，為避免刑事追責(zé)帶來過大沖擊，期待司法實(shí)踐能夠充分利用“初犯免于起訴、處罰”等緩沖機(jī)制。

此外，法律適用中值得進(jìn)一步思考的問題是：在利用刑法嚴(yán)厲打擊數(shù)據(jù)黑產(chǎn)的同時，如何避免對合理創(chuàng)新活動的誤傷。盡管《解釋》部分考慮了主觀惡意因素，但并未將其作為定罪核心標(biāo)準(zhǔn)。建議在司法實(shí)踐中能夠加大對主觀惡意成分的考慮，從而區(qū)分出更具有社會危害性的個人信息侵害行為，為市場創(chuàng)新留有空間。

參考文獻(xiàn)

[1]周加海 鄒濤 喻海松 ，《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》的理解與適用 ，2017,5

[2]Baker & McKenzie，2016 Global Data Protection?Enforcement Report - Enforcement by regulators: penalties, powers and risks，January 2016

[3]林哲駿，《侵犯公民個人信息罪定罪標(biāo)準(zhǔn)研究——以“個人信息”和“情節(jié)嚴(yán)重”認(rèn)定標(biāo)準(zhǔn)構(gòu)建為視角》，《尊重司法規(guī)律與刑事法律適用研究（下）——全國法院第27屆學(xué)術(shù)討論會獲獎?wù)撐募???

[4]北京大興區(qū)人民檢察院《侵犯公民個人信息犯罪研究》課題組，侵犯公民個人信息犯罪的實(shí)踐應(yīng)用探究———從人肉搜索行為的入罪規(guī)制疑難來考察，凈月學(xué)刊，2015年底2期

[5]趙秉志，公民個人信息刑法保護(hù)問題研究，《華東政法大學(xué)學(xué)報》 ?, 2014 , 17 (1) :117-127

[6]李玉萍，侵犯公民個人信息罪的實(shí)踐與思考 ，《法律適用》 ?, 2016 (9) :11-16

[7]喻海松，網(wǎng)絡(luò)犯罪的立法擴(kuò)張與司法適用，《法律適用》 ?, 2016 (9) :2-10

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。