基于刑法视角解读《个人信息保护法》
作者:朱光辉 岳宁 张蕾 时间:2022-04-13

2021年8月20日,十三届全国人大常委会第三十次会议通过了《个人信息保护法》(“《个保法》”),该法于2021年11月1日起正式施行。至此,实现了我国首次个人信息保护领域的专门立法,翻开了我国个人信息保护法治事业的新篇章。

 

从《刑法修正案(七)》增加侵犯公民个人信息罪以来,大家都有了一定了解,尤其是在严禁出售和提供方面具有较强的防范意识,但对于非法获取公民个人信息可能构成侵犯公民个人信息罪的认识有所欠缺,如最高人民法院公开的优选案例吴正戈侵犯公民个人信息罪〔(2018)湘07刑终165号〕案评析:“非法获取型侵犯公民个人信息罪是行为犯,不以对公民个人信息的后续使用情况为成立要件。非法获取公民个人信息后,无论是合法使用还是非法使用,只要达到规定的数量,即成立侵犯公民个人信息罪”。

 

《个保法》对于哪些行为属于“非法获取”进行了详细规定,从而对“侵犯公民个人信息罪”非法获取信息行为的认定产生了重大影响。本文旨在着重探讨《个保法》对于刑法规范,尤其是侵犯公民个人信息罪的影响。

 

《个保法》对侵犯公民个人信息罪

“个人信息”之定义影响

 

在司法实践中,侵犯公民个人信息罪关于“个人信息”的认定在《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(“《个信犯罪司法解释》”)进行了明确规定。而《个保法》关于“个人信息”之定义参考了欧盟《一般数据保护条例》(GDPR),并在《网络安全法》《民法典》等法律规范的基础上进一步予以完善。相关法律条文主要如下:

 

 

从上述条文看出,虽然《个保法》关于“个人信息”的规定与《个信犯罪司法解释》相比,实质上未有较大改变,但也作出了部分调整,其确立了“与已识别或者可识别的自然人有关”的认定标准,同时排除了匿名化处理信息,与欧盟《一般数据保护条例》基本保持一致,顺应了个人信息保护的国际趋势。

 

在刑事司法实践中,侵犯公民个人信息罪隶属于刑事法律体系,通常情况下仍应以《个信犯罪司法解释》作为认定“个人信息”的依据。但是,由于《个保法》是规范公民个人信息的新法、专门法,在个人信息规范上更加精细,在《个信犯罪司法解释》未有明确规定时,出于办案科学化、精准化的考虑,不排除司法实践中参考《个保法》相关规定来认定“个人信息”,并以此作为定罪的标准。

 

《个保法》增加了

侵犯公民个人信息罪的出罪依据

 

《个保法》颁布之前,司法实践中,公民知情同意成为侵犯公民个人信息罪出罪的依据,而《个保法》增设了其他处理公民个人信息的合法性依据,从而也增加了侵犯公民个人信息罪的出罪依据:

 

 

根据《个保法》上述规定,在处理个人信息时增加了五项不需取得个人同意的情形。尤其是第二项:“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”这一规定,为用人单位获取劳动者信息提供了合法依据,降低了用人单位非法获取个人信息的刑事法律风险。

 

个保法严格规范

获取个人信息和向他人提供个人信息行为

 

1

严格规范获取个人信息行为

 

针对APP、小程序中普遍存在的“一揽子授权”、“强制授权”乱象,《个保法》29条规定,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

 

当前通过APP开展业务的个人信息处理者大多通过统一的《个人信息保护政策》获得信息主体处理敏感个人信息的同意,实践中该等方式可能不符合“单独同意”的要求。在《个保法》生效后,个人信息处理者若需处理敏感个人信息,可能需要在触发处理动作之前,通过单独弹窗、单独告知等方式获得个人的同意。[1]例如,某自然人在注册为某互联网购物平台APP用户时,在注册过程中商家应当询问用户是否同意获取其地理位置,在用户注册页面以单独页面方式告知《敏感个人信息隐私政策》,并且在页面最下端设置“同意”、“不同意”两个按钮,如果用户点击“不同意”的,商家不得处理该用户的敏感个人信息,亦不得在“不同意”后强制用户退出应用、拒绝提供服务。

 

2

严格规范向他人提供个人信息行为

 

《个保法》第23条规定:个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。

 

在《个保法》生效前,多数个人信息处理者仅会向信息主体概括性告知接收方的类型,而较少精确到具体接收方的名称或者姓名,该等做法可能无法满足《个保法》的要求。[2]例如,某商家准备向他人提供个人信息时,应明确告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,通过单独弹窗、单独告知等方式获得个人的同意。

 

基于此,各网络交易经营者要提高合规意识,严格规范获取个人信息和向他人提供个人信息行为。

 

防止用户信息泄漏:

避坑“拒不履行信息网络安全管理义务罪”

 

《个保法》第四章和第五章详细规定了个人信息处理者采取妥善措施防止个人信息泄漏的义务,同时要求个人信息处理者在法定情形下及时删除个人信息。在日常运营过程中,企业对于收集到的公民个人信息应当妥善处理和保管,否则造成泄漏的,可能构成拒不履行信息网络安全管理义务罪:

 

 

首先,从义务来源来看,拒不履行信息网络安全管理义务罪的构罪前提是网络服务提供者不履行法律、行政法规规定的信息网络安全义务,《个保法》作为我国基本法,其规定的处理和保管义务属于“法律、行政法规规定的信息网络安全义务”;

 

 

第二,从犯罪情节来看,可能与本文相关的本罪入罪情节为:致使用户信息泄漏,造成严重后果的行踪轨迹信息、通信内容、征信信息、财产信息500条以上,或者住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息5000条以上,或者除前述信息以外的公民个人信息5万条以上。

 

值得一提的是,本罪的客观后果是致使信息泄漏而非主动提供,从这个角度来看,构罪标准显然比侵犯公民个人信息罪更低,因此,企业应当加强做好个人信息管理工作,以先进的技术手段有效避免个人信息被窃取、泄漏,有效防范“无意识”违法犯罪的风险。

 

在“互联网+”的背景下,科技的进步既为企业发展带来了信息红利,也埋伏着涉个人信息犯罪的刑事风险。相关企业应当积极应对《个保法》出台后各项全新的法律规定,加强合规管理意识,推进企业合规管理体系建设,方能在时代发展中行稳致远。

 

注释

[1] 刘新宇,《中华人民共和国个人信息保护法重点解读与案例解析》,中国法制出版社,2021年8月,82页

[2] 刘新宇,《中华人民共和国个人信息保护法重点解读与案例解析》,中国法制出版社,2021年8月,61页

微信公众号 ×

使用“扫一扫”即可添加关注