上一篇文章《侵犯公民个人信息下的单位犯罪》提到,非法获取是当前最为高发的侵犯公民个人信息的行为方式。对此,我们进一步研究了相关法律法规及案例,期待从刑法角度为个人信息收集划定法律边界。
一、何为"公民个人信息"
在明确个人信息收集的法律边界之前,有必要首先明确公民个人信息的认定范围。当前我国《个人信息保护法》已提上立法日程。在《个人信息保护法》正式出台之前,我国现行法律法规关于个人信息的定义散见于《网络安全法》、《民法典》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称"《解释》")等不同部门法规范及司法解释中,目前主要采用描述与列举两种方式定义个人信息。
1. 在描述式定义中,以"可识别性"作为个人信息的根本特性
2016年《网络安全法》认为个人信息是"能够单独或者与其他信息结合识别自然人个人身份的各种信息";2017年《解释》进一步扩大了公民个人信息的识别范围,包括"识别特定自然人身份或者反映特定自然人活动情况",同时《解释》第三条第二款规定:"……经过处理无法识别特定个人且不能复原的除外",从侧面反映出本罪所中的公民个人信息必须可以识别特定个人。而即将于2021年生效的《民法典》取消了"身份"或"活动情况"的限定,只需要能够"识别特定自然人"即可。
最新发布的国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》(下称"《个人信息安全规范》")就认定某项信息是否属于个人信息提出了两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人;二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。
2. 相关规定对"个人信息"进行了非穷尽式列举,具体认定逐渐扩张
《网络安全法》中,个人信息包括但不限于"姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等",《解释》将"电话号码"改为"通信通讯联系方式",并增加了"账号密码、财产状况、行踪轨迹"等信息类型,《民法典》又加入了"健康信息"。近年来在实践中存在较多争议的信息类型均被纳入个人信息保护范围,法律对个人信息的认定存在逐步扩张趋势,个人信息类型的细化程度也越来越高。
从企业运营角度来讲,如何全面地核查个人信息范围,可以参考最新发布《个人信息安全规范》。其中附表A.1中对个人信息做了极为详尽的举例,几乎包括可能构成个人信息的一切信息。
综上所述,对公民个人信息的理解不应仅关注法律法规所做的形式上的列举,更要牢牢把握公民个人信息"可识别性"的本质特征
例如,虽然QQ、支付宝等账号密码与电信宽带账号密码,均属于《解释》列举的"账号密码"范畴,但前者往往与注册人的姓名、手机号码、身份证号等信息相关联,最终指向具体的个人;后者则是数字和字母的随机组合,行为人获取后,虽然能使用宽带,但无法由此获知账号所有人的其他信息,无法用其识别特定个人,因此宽带账号密码不属于"公民个人信息"
又例如,企业工商登记信息中所包含的手机号码,属于《解释》列举的"通信通讯联系方式"范畴,但是否构成公民个人信息,也需要结合号码用途具体判断。最高人民检察院印发的《检察机关办理侵犯公民个人信息案件指引》(下称"《指引》")明确:对由公司购买、使用的手机、电话号码等信息,不属于个人信息的范畴,从而严格区分"手机、电话号码等由公司购买,归公司使用"与"公司经办人在工商登记等活动中登记个人电话、手机号码"两种不同情形。
二、 个人信息收集的行为边界
2013年7月,工信部《电信和互联网用户个人信息保护规定》首次提出了"电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。"自此,"合法、正当、必要"原则成为了我国个人信息收集使用的基本原则,并在《网络安全法》和《民法典》中正式确立。在此基础上,《民法典》、《网络安全法》等法律法规也要求收集个人信息应征得被收集者或其监护人同意。具体征得同意的方式和告知内容均在《个人信息安全规范》中加以详细规定,本文不再赘述。下文将结合近年的刑事案例及相关规定,重点梳理个人信息收集行为的涉刑风险。
1."窃取"行为内涵扩张,未经授权使用账号获取信息构成"窃取"
在没有授权的情况下,使用他人账号密码,登录计算机信息系统收集其中的公民个人信息,也被认为是"窃取"。在北京市海淀区人民法院(2018)京0108刑初1873号"侯某某等侵犯公民个人信息案"中,被告单位江西某公司、被告人金某使用某公司员工,被告人侯某某提供的某公司内部计算机信息系统的账号及验证码,登录某公司"专快mis系统",并将系统中司机的姓名、手机号、车牌号等个人信息复制粘贴保存。由于上述司机信息在公司内部属于涉密信息,严格禁止外泄,且公司规定只有员工本人能够使用账户登录,法院将该行为评价为"窃取公民个人信息",构成侵犯公民个人信息罪。
2. "其他方法"的兜底规定,为"非法获取"扩大认定留足空间
根据《解释》第4条,违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的"以其他方法非法获取公民个人信息"。
时至今日,网络运营者过度收集个人信息几乎成为了普遍现象。2019年11月28日,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局正式联合印发《APP违法违规收集使用个人信息行为认定方法》,明确6大类违规行为,其中3类违规行为与个人信息收集有关,包括:"未公开收集使用规则","未明示收集使用个人信息的目的、方式和范围","违反必要原则,收集与其提供的服务无关的个人信息"。在此背景下,尽管目前实践中并无网络运营者因未经授权或越权收集数据而承担刑事责任的案例,但未来信息收集行为可能会面临更为严格的监管趋势,根据侵犯公民个人信息罪有关《解释》与《指引》,不排除违规收集行为构成犯罪的可能。
3. 利用爬虫收集个人信息的定性
网络爬虫是一种通过网址获得网络数据、然后根据目标解析数据、存储目标信息的自动化技术。该技术因促进信息共享而被广泛应用。但伴随2019年全国范围内打击"套路贷"的深入展开,金融信息公司通过爬虫技术法收集个人信息数据并出售的黑色产业链逐渐浮出水面。由此引发了"爬虫入刑"的讨论。
关于利用爬虫技术抓取个人信息是否构成犯罪,实务中存在分歧。在"余某某侵犯公民个人信息案" 中,被告人系某公司员工,根据公司《数据安全规范》,员工个人数据属于敏感数据,敏感数据的提取、使用行为须经授权,但被告人违法上述规定,编写自动获取数据功能的脚本程序,并通过该程序在内部论坛网站上秘密窃取某集团员工的个人信息共计2万余条,于离职时存储于电脑硬盘并带走。法院认为其"窃取公民个人信息,情节严重,其行为已构成非法获取公民个人信息罪"。但在"周某侵犯公民个人信息案" 中,被告人周某在公司内,私自编写脚本文件自动抓取某公司快车司机数据,并将上述公民个人信息提供给关联公司同事徐某。北京市海淀区人民法院仅认为周某提供个人信息的行为构成犯罪,而并未将抓取司机数据的行为认定为"窃取"或者"非法获取"。
从上述案例可以推知,仅使用爬虫软件爬取个人信息是否构成"非法获取"存在争议。法院在对爬虫行为进行定性时,还会进一步考虑行为人的身份、获取的个人信息类型、是否具有相关个人信息的访问权限,是否将相关个人信息提供给他人等情况。
另外,国家互联网信息办公室《数据安全管理办法(征求意见稿)》第16条规定:网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行;此类行为严重影响网站运行,如自动化访问收集流量超过网站日均流量三分之一,网站要求停止自动化访问收集时,应当停止。从中可以看出,只要以不妨碍网站正常运行为前提,爬虫行为本身不受禁止。但考虑到爬虫程序是一种自动化程序,在运行过程中较难直接询问被收集个人信息的主体,因此,在所收集的数据涉及个人信息时应当尤为谨慎。
综上,随着保护公民个人信息的意识与执法力度不断提高,企业及个人在处理个人信息时应尤为慎重。从个人信息的识别与认定,到个人信息的接触与获取,除了遵守相关行政法规,市场主体对于实务中司法机关的执法趋势也应保持关注。
上一篇文章《侵犯公民个人信息下的单位犯罪》提到,非法获取是当前最为高发的侵犯公民个人信息的行为方式。对此,我们进一步研究了相关法律法规及案例,期待从刑法角度为个人信息收集划定法律边界。
