作者:常俊峰 甘雨来 邓哲 杨杨冬琪

争议解决部 金杜律师事务所

编者按:“当世界开始迈向大数据时代时,社会也将经历类似的地壳运动。”[1]以数据为中心的大数据时代,叠加2020年爆发的全球疫情,给人类社会带来一场生产、交往方式、社会管理的深远变革,大量出现的与大数据相关的新型犯罪手段也对现行法律制度和企业管理造成了不小的挑战和冲击。“数据合规”随之成为法律行业的新兴领域以及企业治理的热门议题。结合近年来不断完善的上层规范与相关数据实务案件,我们将推出一系列关于数据犯罪的实务文章,期与各位同仁交流。

为了有效防控疫情,个人信息采集目前已成为公共区域运营管理者的不二之选。大到城市出入的机场车站,小到日常生活的商场饭店,运营管理者往往要求个人提供包括姓名、联系方式、住址、身份证号等个人信息。该等举措在推动落实新型冠状病毒接触者可追踪化、有效防控遏制疫情的同时,也可能会使个人信息暴露于保护不足的风险之中。大数据时代下的运营主体,如何规范地获取、保存、流转、使用上述信息,是数据合规的重中之重。对此,我们拟从侵犯公民个人信息罪的单位犯罪面向入手展开分析。

以“被告单位、单位犯罪”为关键词,在侵犯公民个人信息罪案由下共检索到44起构成单位犯罪的案例,其中涉及49家公司。从该等公司涉及犯罪的经历,我们梳理了当前企业在数据合规中的疏漏与重点。

一、江浙沪包邮区最为高发,商务服务领域易踩红线

从地域分布情况来看,我国经济发达的省份或直辖市对公民个人信息犯罪的打击力度最为强硬。江苏省、浙江省与上海市为侵犯公民个人信息罪犯罪的高发地区,比例高达55%。就单位犯罪而言,仅江苏省即占据了全国范围内侵犯公民个人信息罪的半数以上。出现上述情况,与江浙沪这一传统“包邮区”已形成发达的商务服务、信息技术服务业聚集群紧密相关。

梳理涉及侵犯公民个人信息的行业领域,我们发现超过40%的涉案企业属于商务服务业,近20%的企业属于软件和信息技术服务业,而批发业与零售业则占据10%位居第三。对此,我们理解,在“流量为王”的互联网大数据时代,如何在短时间内实现最大规模的曝光度和推广效应,一定程度上决定了企业的生死。如何获取目标客户群、如何定点推广即成为了销售的核心问题,由此也导致服务推广成为了侵犯公民个人信息的高发环节。例如助贷机构需要寻找符合资质且有需求的借款人、教育机构需要向特定年龄阶段的学生家长介绍公司开设的课程、部分网络科技公司需要提高微信公众号粘性从而可以获得广告收入等等。在寻求对应客户的过程中,掌握个人信息的主体与需要个人信息的主体一拍即合,为侵犯公民个人信息埋下了种子。

二、警惕网络“流量”源头,非法获取成为黑洞

根据《刑法》第二百五十三条之一,侵犯公民个人信息的行为类型包括向他人出售、向他人提供、将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人、窃取以及以其他方法获取。其中,窃取和以其他方法获取可以统称为“非法获取”。而根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第四条,“以其他方法非法获取公民个人信息”则包括购买、收受、交换等方式,或者在履行职责、提供服务过程中收集公民个人信息。

案例显示,非法获取的行为方式在侵犯公民个人信息单位犯罪中占据了绝大多数。除了网络上曝光的公开买卖、加入微信群或QQ群交换等方式,窃取也是主要的获取手段,例如通过安装软件等技术手段读取、窃取账号以及自动抓取等等。此外,非法获取的新型手段层出不穷,例如将相关读取软件安装在快递扫描的巴枪上,在快递员使用巴枪扫描快递单信息时就可以自动读取快递客户的姓名、手机号码等信息。当然,部分公司也存在复合行为类型,即同时兼具非法获取、非法出售以及非法提供。可以看到,部分公司非法获取到信息后,其并未利用信息从事合法业务,而是将获取的信息继续出售。可见在手握众多数据的情况下,企业如不施以严格规范极易走向违法犯罪的道路。

三、信息类型不断多元,财产信息最为敏感

44起案例中的涉案信息主要可分为基本信息、财产信息、职业信息、征信信息、消费信息以及其他六类。其中基本信息包括公民姓名、电话、身份证号码以及住址;财产信息则涉及公民的住房信息与车辆信息;职业信息包括公民的职业、学历、职位以及是否是学生等情况;消费信息包括订单信息及消费记录;其他信息包括了公民在互联网上的浏览痕迹、IP地址等。数据显示,涉案企业所获取的信息主要集中于基本信息、财产信息与职业信息。需要注意的是,一般情况下基本信息包含了公民的个人电话号码,在当下网银、第三方支付等账户大量与手机号码关联的情况下,电话信息的泄露无疑增加了公民财产遭受电信诈骗等犯罪侵害的风险。同时,在相当多的职业信息中,除了高校在校生的信息被非法获取外,还有诸多涉及未成年人及其家长信息被非法获取的情形,出现了个人信息的扩大泄露。另外,存在很多法定代表人的联系方式、所在公司等与企业相关的个人信息被非法获取,也应当引起足够的重视。

四、全面打击单位犯罪,罚金数额总体偏低

(一)法定代表人风险大,普通员工难逃其咎

在侵犯公民个人信息罪中,除了要对犯罪单位判处罚金,单位直接负责的主管人员和其他直接责任人员也面临刑罚处罚。法定代表人、总(副)经理、公司高级以及中层管理人员组织、参与单位犯罪的,属于“单位直接负责的主管人员”。虽然在个别案例中,法定代表人辩称其未参与侵犯公民个人信息的具体行为、也并不了解具体操作过程,但实践中司法机关可能因为其未尽到必要管理义务、存在放任而认定其构成主要责任人员。案例显示,法定代表人在此类犯罪中被认定为直接负责的主管人员的比例最高。

侵犯公民个人信息案中,在法定代表人等公司领导层作出决策后,通常由公司多名普通员工具体实施犯罪行为,如收集、交换公民个人信息,因此员工也需要就其个人收集、交换的信息范围承担刑罚。尽管个别员工辩称该等行为系公司统一安排,其不知道上述行为涉嫌犯罪,但是该等辩护并不能作为不承担刑事责任的理由。因此,普通员工也需要在日常工作过程中“擦亮双眼”、明辨是非。

就刑罚而言,侵犯公民个人信息罪的刑罚较轻。此类案件中适用缓刑的比例较高,在44起案例中,仅有12起案例中自然人未被判处缓刑。在49家公司中,被处罚的自然人平均刑期为16.43个月,其平均缓刑期为21.42个月,其中最高刑期为3年有期徒刑。

(二)单位犯罪整体罚金偏低

从44个案例来看,近一半案例的罚金数额集中在1-10万,超过三分之一的案件罚金数额不足1万,在44个案例中,罚金最低的案件仅有0.1万。44个案例的平均罚金数额为7.11万,可以看出现有案例中单位触犯侵犯公民个人信息罪普遍的罚金数额较低,仅个别案例罚金达到100万元。整体案件的罚金金额较低的原因可能是绝大多数公司实施犯罪后尚未来得及利用非法获得的公民个人信息牟利。

企业在处理公民个人信息时切不可掉以轻心,在合法合规范围内收集、保存、使用,才能为长远发展铸就坚实之路。


[1] 维克多·迈尔-舍恩伯格、肯尼斯·库克耶:《大数据时代:生活、工作与思维的大变革》,盛杨燕、周涛译,杭州:杭州人民出版社,2013年,第219页。