作者: 王嘉铭 王倩 常康爽 金杜律师事务所争议解决部

引言

近几年来,互联网技术的高速发展极大改善了人们的生产、生活及工作质量,人们的生活方式从“招手即停”过渡到“一点即达”,从“取整找零”升级到“一键扫码”。同时,互联网产业的巨大商业契机也造就并催生了众多新兴企业的发展,从以往实体经营以币易物的传统商业模式,进化到摆脱实体店铺实现线上流量消费的新型经营模式,使得企业在基于传统销售方式的基础上更加追求多元化的逐利方式。但由于新型经济产业的发展,滋生了对各类数据、信息权益的侵犯,公民个人信息被泄露、滥用的情况屡见不鲜,企业作为数据收集和处理的主体因未能把握明晰的法律边界,而被处以行政甚至刑事处罚的现象也愈发严重。

2021年9月1日,千呼万唤的《数据安全法》终将落地生根,随之而来的还有将于同日生效的《关键信息基础设施安全保护条例》。一“法”一“例”对个人和组织的数据权益提供了层次更深、边界更广的多级别保护机制,同时对关键信息基础设施的全方位保护以及构建并完善国家网络安全体系作出了更为积极的立法进步。

而对于公民个人信息保护的立法举措方面,自2017年最高法、最高检联合出台实施《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》之后,《个人信息保护法》也经历了一次及二次审议稿后重磅落地,将于2021年11月1日起生效施行。此次《个人信息保护法》对公民个人信息收集、处理的合法程序,以及信息收集处理主体的法律责任等进行了明确的界定,使公民信息的社会化使用不再界限模糊、边际不清。

与此同时,基于数据安全与保护的立法大趋势,深圳作为对数据进行合法利用及权益保护的先行先试之地,于2021年7月6日正式通过了《深圳经济特区数据条例》,该条例作为第一部在数据领域的综合性地方立法,以更为前沿和突破的方式对个人数据保护、公共数据利用、以及数据要素市场、数据安全及监督等内容进行了立法先试。由此,关于个人信息、企业数据、国家信息及数据等的保护性立法接踵而至,无一不透露着立法及司法层面对于作为信息数据作为当下个人权益及企业资产、乃至国家利益的日益趋严的保护性态势。

当数据信息成为数字经济时代的生产要素,企业开启数字化盈利模式甚至推动各个行业向数据智能时代迈进的时候,公民权利、企业权益、国家安全等社会要素便因新领域所不断衍生的法律模糊地带而变得更加需要保护,对于公民而言,在各类手机APP的日常使用中如何避免被违规收集个人信息,对于企业而言,在数字发展模式下如何合规化运行,避免踩踏法律红线,都是值得探讨和深思的当下话题。也正是基于此,本文拟从刑事合规化的角度,对近年来数据类犯罪激增的现状进行梳理,并尝试对企业收集、处理、加工、转化信息和数据等过程中的刑事风险点进行剖析,以期对企业规范化收集处理信息数据以及合规化运营提出有效指引。

一、数据类犯罪比率逐年增加,打击数据类犯罪力度逐年加强

从公开可检索到的相关数据来看,自2017年至今,数据和信息类的违法犯罪比率逐年激增,同时也反映出行政处罚和刑事处罚的力度亦不断加大。以“侵犯公民个人信息”和“帮助信息网络犯罪活动”为例,综合年度数据和地域数据,并关注单位犯罪的基础上,自2017年至2021年至今,呈现出如下分布情况:

1. 侵犯公民个人信息的行政处罚和刑事处罚

从总体来看,对侵犯个人信息违法行为的行政处罚集中于江浙沪等经济发达的一线城市,且2019年之后,对此类违法行为的行政处罚数量逐年递增,2021年截止至今的数量已经超过了2020年的整年数量,这也从一定程度上反映了侵犯公民个人信息的违法情况成为当今数字经济时代发展的普遍衍生现象,而从单位主体的增长数据来看,其数量也占据了总体违法行为和行政处罚情况的半数以上,亦间接表明企业投身于数字产业发展的同时未注重对所收集数据的加工和处理进行严格的合法合规性控制,对基于合法渠道所获取的个人数据信息等资料未尽妥善保护、保管义务,导致滥用乱用甚至以此牟利的乱象。

总体来看,侵犯公民个人信息罪主要案发于江浙沪粤等东南沿海发达省份和河南省等人口大省,五个省份的案发数均超过500例,自2017年至2019年,对此类犯罪的裁判数量呈现增长态势,2020年和2021年的裁判案件数虽有所回落,但是仍然保持较高数量。以上数据表明大数据时代侵犯公民个人信息的行为仍然十分猖獗,但是2020年和2021年裁判数量的回落也从另一个角度表明整个社会的个人信息保护意识正在树立。

从单位犯罪的数据来看,其地域分布也集中于经济发达省份和人口大省,自2017至2019年间单位犯侵犯公民个人信息罪的数量呈现出爆发式增长态势,2020年和2021年则有所回落。单位犯罪的时有发生表明了企业未能采取合法的方式获取公民个人信息、未能对收集到的信息尽到妥善保管、使用,以及不肆意泄露、出售的义务,但是近两年单位犯罪数量的回落也让我们看到了企业对数据合规和个人信息保护的逐渐重视。

 

2. 帮助信息网络犯罪活动的行政处罚和刑事处罚

 

从总体来看,帮助信息网络犯罪活动罪主要案发于闽浙粤桂等沿海省份,且2019年之后,此种犯罪数量成爆发式增长态势,2021年截止至今的数量已经超过了2020年的一整年。从地域来看,经济愈发达的地区,此种罪名的发生率愈高;从时间来看,随着信息技术的发展和数字经济的发展,利用信息网络的手段进行的犯罪成为高发现象,与之伴随的为他人利用信息网络犯罪提供技术支持、广告推广等帮助的行为也层出不穷。而从单位犯罪的增长数据来看,单位犯帮助信息网络犯罪活动罪的数量也总体上呈现一个增长的态势。单位犯本罪的表现形式主要为:“在明知他人利用信息网络实施犯罪的情况下,仍然为其提供帮助。”

二、以数据和信息为产业基础的企业——“你”应当把握的红线边界

当数据和信息的获取、处理和加工成为全球经济产业,各国也纷纷推动立法开启数据保护的国际趋势,欧盟《通用数据保护条例》(GDPR)的颁布,成为了对个人数据信息立法条例保护的全球样本,GDPR对数据主体的权利以及对所收集个人数据的使用和控制进行了强化,在个人数据财产性权益和物权性权益方面尝试了有益探索。而从国内视角来看,《数据安全法》的款款而来,《个人信息保护法》的呼之欲出,《民法典》将个人信息纳入“人格权编”所释放的重大信号,以及各地区、各行业“敢为天下先”的大胆尝试,都预示着数据和信息已经完全颠覆过去纯粹工具主义时代下的概念,而已然进化成具有独立权利属性、并在一定条件下具备财产属性的权利类型。从本文第一部分所详述的行政处罚及刑事处罚数据来看,企业作为掌握数据和信息并将其用于生产要素的主体,若在对相关数据信息进行收集、处理、加工、转化及提供、甚至后续保存等方面,稍有不慎,便会产生对数据信息提供者(即数据信息的自然主体)权益的侵犯,继而造成企业面临被行政处罚甚至被刑事定罪的窘迫境地。为此,把握边界、明晰标准是企业进行数据信息处理、合规化运营的必要前提。

根据我国《刑法》及相关法律法规、司法解释等目前的规定,有关数据信息类犯罪行为的发生,主要集中于以下几个高发罪名,下文拟从法律规定和实践模式两个维度,对数据信息网络类犯罪的刑事边界进行梳理概括,以期为企业的数据合规运营提供明确指引。

(一)侵犯公民个人信息罪

根据我国《刑法》第253条之一的规定,构成侵犯公民个人信息罪的方式通常是向第三方出售或提供公民的个人信息,2017年5月8日,最高法、最高检颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》以及2018年11月9日最高检出台的《检察机关办理侵犯公民个人信息案件指引》,均对侵犯公民个人信息罪的具体罪状进行了明确,对公民个人信息的具体内容、非法获取、出售或提供公民个人信息的具体涉罪行为、涉罪情节等进行了规定。同时,将于2021年11月1日生效实施的《个人信息保护法》中亦对个人信息的概念内涵进行了明晰,即“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”

何为“公民个人信息 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等
提供、出售公民个人信息

向特定人提供公民个人信息;

通过信息网络或者其他途径发布公民个人信息;

未经被收集者同意,将合法收集的公民个人信息向他人提供,但经过处理无法识别特定个人且不能复原的除外

非法获取、出售、提供公民个人信息的入罪行为

1)出售或者提供行踪轨迹信息,被他人用于犯罪;

2)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供;

3)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上;

4)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上;

5)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上;

6)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准;

7)违法所得五千元以上;

8)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上;

9)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息;

10)为合法经营活动而非法购买、收受上述第3)、4)以外的公民个人信息,且获利5万元以上;或且曾因侵犯公民个人信息受过刑事处罚或者2年内受过行政处罚,又非法购买、收受公民个人信息

非法获取、出售或者提供公民个人信息的“情节特别严重情形

造成被害人死亡、重伤、精神失常或者被绑架等严重后果;

造成重大经济损失或者恶劣社会影响;

数量或者数额达到10倍以上

 

从实践中的犯罪行为模式来看,我们整理了2017至今涉及侵犯公民个人信息罪的全部单位犯罪,通常为以下几种方式涵盖:

涉罪模式 案例

 

 

 

 

违反国家规定,向他人出售或者提供公民个人信息

(2019)苏0611刑初207号“殷某、卢某华等侵犯公民个人信息罪”

 

被告人卢某华在经营被告单位A公司的过程中,非法获取、出售或者提供公民个人信息非法获取包含公民个人信息用于公司的宣传推广。将其中的4194条公民个人信息提供给B公司的法定代表人殷某。

(2020)苏0691刑初7号“张某焕、张某威等侵犯公民个人信息罪”

 

被告A公司提供有偿身份证返照查询服务,在网上售卖个人信息,非法牟利,并为他人提供了获得公民头像照片的途径或者权限,其行为本质属于侵犯公民个人信息。

 

 

将履行职责或提供服务过程中获得的公民信息,出售或提供给他人

(2018)沪0107刑初906号“杨某某、王某2侵犯公民个人信息罪”

 

2012年至2018年3月,被告单位上海某房地产资讯有限公司经被告人杨某某决定,从事对外非法出售公民房产登记信息的业务,以每条10元至30元不等的价格向上海某投资公司等多家公司出售,非法获利共计人民币171.91万元。经鉴定,被告单位出售公民房产登记信息共计7万余条。

 

 

 

 

窃取或者以其他方法非法获取公民个人信息——违反国家规定,通过交换方式非法获取公民个人信息

(2020)苏0113刑初175号“被告单位枣庄某电子商务有限公司、被告人杜某、李某犯侵犯公民个人信息罪”

 

枣庄某电子商务有限公司为电话销售黑枸杞,该单位负责人杜某将含有公民个人电话、住址等共计13.06万余条公民个人信息提供给被告人李某,作为交换被告人李某提供给对方12.68万余条内含公民个人电话、住址等的公民个人信息。

(2017)苏0116刑初918号“被告单位南京宏某信息科技有限公司、被告人周某1、张某1、蒋某1、沈某1、金某1、李某1、曹某1、张某2犯侵犯公民个人信息罪”

 

宏某公司员工加入相关QQ群,并与他人交换客户资料,提供或交换公民个人信息,合计137358条。

 

 

 

窃取或者以其他方法非法获取公民个人信息——违反国家规定,为合法经营活动而非法购买

(2021)沪0106刑初422号“上海某建筑装潢工程有限公司、王某2侵犯公民个人信息罪”

 

被告单位上海某建筑装潢工程有限公司实际经营人王某2为拓展公司业务,先后多次从他人处非法购买公民个人信息共计700余条,用于被告单位合法经营活动中

(2020)鄂0984刑初606号“江苏某文化发展有限公司、陆某侵犯公民个人信息”

 

江苏某文化发展有限公司陆某负责经营该公司。陆某先后多次通过网络向严某(已判刑)购买大量公民个人信息,分发给公司的销售人员,进行电话定向推销其公司收藏品等商品

 

 

 

 

窃取或者以其他方法非法获取公民个人信息——窃取公民个人信息

(2018)京0108刑初1873号“侯某彪等侵犯公民个人信息罪”

 

江西某实业有限公司、被告人金某伙同被告人侯某彪通过违规登录北京科技发展有限公司“专快mis系统”,窃取该司机公民个人信息11万余条,其行为构成侵犯公民个人信息罪。

(2018)京0108刑初1067号“随州捷某网络文化传媒有限公司等侵犯公民个人信息罪”

 

2015年至2017年间,被告单位随州捷某网络文化传媒有限公司与随州易某网络科技有限公司为开展公司业务,在湖北省随州市共同通过互联网购买上述代码并进行推广植入,期间被告人余某强、刘某、陈某、邱某、何某雄、陈某凤、李某义分别实施购买、植入、推广销售上述代码的行为。经查,被告单位随州捷某网络文化传媒有限公司与随州易某网络科技有限公司共计为300个网站推广植入代码,抓取网站访客信息共计20 656条,其行为构成侵犯公民个人信息罪。

 

 

 

 

 

 

 

 

 

 

窃取或者以其他方法非法获取公民个人信息——以其他方法非法获取公民个人信息

(2019)苏0118刑初98号“被告单位南京艺某文化发展有限公司、被告人杨某甲、翁某犯侵犯公民个人信息罪”

 

被告人杨某甲、翁某共同出资在南京市高淳经济开发区花山路8号1幢注册成立艺某公司,翁某与杨某甲合谋以加入QQ群收集、拷贝等方式非法获取包含有公民个人信息的EXCEL电子表格,分发给公司话务员拨打电子表格中的电话号码,推销工艺品被告单位艺珏公司违反国家有关规定,以其他方法非法获取公民个人信息,获利达五万元以上,情节严重。

(2020)浙0106刑初437号“杭州某数据科技有限公司、周某翔、袁某侵犯公民个人信息罪”

 

该公司主要为网络贷款公司、银行提供需要贷款的用户的个人信息及多维度信用数据,经过贷款用户授权后,该公司的爬虫程序代替贷款用户登陆进入其个人账户,利用各类爬虫技术,爬取(复制)网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据,并按与用户的约定提供给网贷平台用于判断用户的资信情况,从网贷平台获取每笔0.1元至0.3元不等的费用

该公司在和个人贷款用户签订的《数据采集服务协议》中明确告知贷款用户“不会保存用户账号密码,仅在用户每次单独授权的情况下采集信息”,但未经用户许可仍采用技术手段长期保存用户各类账号和密码在自己租用的阿里云服务器上

 

(2019)苏0404刑初184号“江苏某信息咨询服务有限公司、朱某飞等侵犯公民个人信息罪”

 

江苏某信息咨询服务有限公司为牟利,公司经营人员以该公司的名义接受客户委托,采用擅自在他人车辆上秘密安装GPS定位仪、摄像设备,跟踪、偷拍等方式,非法获取被调查人的行踪轨迹信息,先后为他人提供有偿调查服务7起,违法所得共计人民币225000元。

 

(二)非法利用信息网络罪

根据我国《刑法》第287条之一的规定,在出现利用信息网络实施相关行为时,则可能构成非法利用信息网络罪,同时根据《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》的相关规定,涉罪情形主要包括下列内容。

法定行为类型 入罪行为模式
设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组

u  假冒国家机关、金融机构名义,设立用于实施违法犯罪活动的网站

u  设立用于实施违法犯罪活动的网站,数量达到三个以上或者注册账号数累计达到二千以上

u  设立用于实施违法犯罪活动的通讯群组,数量达到五个以上或者群组成员账号数累计达到一千以上

u  发布有关违法犯罪的信息或者为实施违法犯罪活动发布信息,具有下列情形之一:

²  在网站上发布有关信息一百条以上;

²  向二千个以上用户账号发送有关信息;

²  向群组成员数累计达到三千以上的通讯群组发送有关信息;

²  利用关注人员账号数累计达到三万以上的社交网络传播有关信息;

u  违法所得一万元以上

u  二年内曾因非法利用信息网络、帮助信息网络犯罪活动、危害计算机信息系统安全受过行政处罚,又非法利用信息网络

发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的
为实施诈骗等违法犯罪活动发布信息

 

从实践中非法利用信息网络罪的行为模式来看,涉罪企业一般表现为以下几种方式:

涉罪模式 案例
为实施诈骗等违法犯罪活动发布信息

(2020)沪0115刑初4702号“上海数某信息技术有限公司、杜某某非法利用信息网络罪”

数某公司负责人被告人杜某某为牟取非法利益,在明知他人利用信息网络实施犯罪的情况下,仍以数某公司的名义承接并发送大量的疑似电信诈骗短信。

(2020)沪0115刑初3395号“蒲某帅等涉非法利用信息网络罪”

蓝某公司在未核实客户的真实身份及客户的信息内容的情况下,采取修改链接、冒用签名等方式为他人实施违法犯罪活动发布信息。以淘宝兼职刷单、网络贷款等为内容的诈骗短信466,134条,涉及的手机号码460,695个(已去重)。

(2020)沪0115刑初3308号“上海某信息技术有限公司、叶某某等非法利用信息网络罪”

亚某某公司在经营期间,为非法牟利,采取自定义签名等方式为他人实施违法犯罪活动发布信息。2019年11月至2020年3月期间,被告单位亚某某发送签名为【平安新一贷】、内容为短信验证码的诈骗短信24,489条,涉及的手机号码11,078个(已去重)。

(2020)沪0115刑初2693号“上海某通信科技有限公司、祝某山等非法利用信息网络罪”

上海某通信科技有限公司明知代为发送的短信内容可能涉嫌诈骗等违法犯罪内容,仍通过建立免审通道、修改签名等方式,发送带有诈骗内容的短信,致使被害人因点击短信链接或登陆短信内容提示的APP后被骗取财物。

(2020)沪0115刑初2999号“把某银、刘某非法利用信息网络罪”

易某某(北京)科技有限公司上海分公司总经理被告人把某某以非法获利为目的,明知他人利用信息网络实施犯罪,仍公司的名义承接短信发送业务,提供广告推广帮助,并由员工被告人刘某等人发送大量诈骗短信。导致被害人在接收短信后均被骗钱款。

发布有关制作或者销售违禁物品、管制物品或者其他违法犯罪信息

(2020)渝0112刑初252号“王某非等非法利用信息网络罪”

皎某公司经营范围包括互联网广告推销、企业广告推广。营业期间,皎某公司既承接正当广告业务,也承接涉赌网址、关键词推广的非法业务。截至2019年8月,皎月公司非法利用信息网络推广涉赌信息数量为17428条,营业额244540元。

(2019)苏0981刑初310号“被告单位北京新某网络技术有限公司、被告人耿某林、杨某、张某非法利用信息网络罪”

被告人耿某林、杨某经营的新某公司明知“万博体育”系赌博网站,仍在新浪彩票网上发布“万博体育”软文推广稿件,获利573000元,杨另获利36900元。

(2019)苏0981刑初241号“河南傲某网络科技有限公司、张某等非法利用信息网络罪”

被告人张某、韩某兰在明知“万博体育”系赌博网站的情况下,仍以河南傲某公司名义联系多家网站上发布万博体育的宣传文稿、查收部分万博体育发布的更新稿件、接收“万博体育”赌博网站支付的资金、结算门户网站编辑的费用。自2017年1月至2018年6月,河南傲某公司为“万博体育”赌博网站发布万博体育赌博信息的宣传文稿计4054条,该公司非法获利合计人民币72万元。

设立用于实施违法犯罪活动的网站、通讯群组

(2021)京0102刑初134号“龙某等非法利用信息网络罪”

被告单位宣城企某网络有限公司的熊某明、毕某超、龙某仿冒应急管理部、住房和城乡建设部的官方网站设立安全生产资格证书查询系统、全国城乡建筑厅建筑特种作业证书查询备案系统,用于帮助实施伪造、买卖国家机关证件的犯罪活动,

(2017)苏0205刑初789号“孙某旗、庄某等诈骗罪李某敏、李某峰伪造公司、企业、事业单位、人民团体印章罪无锡某文化发展有限公司、姜某峰等非法利用信息网络罪”

被告人姜某峰峰、何某与徐某斌、尤某共同出资成立被告单位纽创公司。二人根据被告人孙某旗的要求,制作仿照国家卫生计生委人才交流服务中心的官网“中国卫生人才网”的 “中国卫生人才评估中心”网站和 “黑龙江省职业技能鉴定中心”的假冒网站,并在两个假冒网站上分别制作二维码以便假证书查询。

 

 

(三)帮助信息网络犯罪活动罪

根据我国《刑法》第287条之二的规定,在明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助的,则涉嫌构成帮助信息网络犯罪活动罪。同时,结合《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》的相关规定,通常的构罪情形包括:

1)为三个以上对象提供帮助;

2)支付结算金额二十万元以上;

3)以投放广告等方式提供资金五万元以上;

4)违法所得一万元以上;

5)二年内曾因非法利用信息网络、帮助信息网络犯罪活动、危害计算机信息系统安全受过行政处罚,又帮助信息网络犯罪活动;

6)被帮助对象实施的犯罪造成严重后果;

7)其他情节严重的情形。

实施前款规定的行为,确因客观条件限制无法查证被帮助对象是否达到犯罪的程度,但相关数额总计达到前款第二项至第四项规定标准五倍以上,或者造成特别严重后果的,应当以帮助信息网络犯罪活动罪追究行为人的刑事责任。

而从实践中的常见犯罪模式来看,此类犯罪的行为方式集中于:

涉罪模式 案例
明知他人利用信息网络实施犯罪,为其犯罪提供技术支持(互联网接入、服务器托管、网络存储、通讯传输等)

(2021)京0114刑初31号“河源市天某传媒有限公司等帮助信息网络犯罪活动罪”

北京鑫某某广告传媒有限公司、河源市天某传媒有限公司在明知他人利用信息网络实施非法集资、诈骗等活动的情况下,仍有偿为他人提供伪造资质证明文件、域名解析、网页自动跳转等技术服务。

(2018)苏0117刑初291号“被告人盐城某公司、武某帮助信息网络犯罪活动罪”

法定代表人武某在闻某未提供融资类网站合法手续的情况下,明知闻某将利用信息网络在融资类网站上针对不特定对象非法吸收公众存款,仍根据闻某的要求指使单位员工搭建融资网站,并将该融资网站放在境外服务器上,且负责网站后期的维护,为闻某等人利用信息网络非法吸收公众存款提供帮助。

(2018)苏0205刑初537号“武汉旭某信息科技有限公司、余某文等帮助信息网络犯罪活动罪”

法定代表人余某文与公司经理被告人魏某勤合谋以旭某公司的名义制作、销售虚假的投资类微盘(手机交易软件),根据购买方需求从事微盘的制作和运行维护、第三方支付平台的接入等技术工作。

(2019)冀0534刑初217号“湖南某软件开发有限责任公司、佘某达帮助信息网络犯罪活动罪一审刑事判决书”

在合作方徐某圆推广过程中,得知存在赌博违法犯罪情况时,仍由被告公司继续提供技术支持,从利用游戏开设赌场所得点卡费用中获取非法利益,构成帮助信息网络犯罪活动罪。

(2020)鄂9004刑初273号“湖北千某网络科技发展有限公司、姜某等帮助信息网络犯罪活动罪”

湖北千某网络科技发展有限公司在经营过程中,以QQ群发广告进行宣传等方式招揽非法网站运营者,为非法网站逃避国家监管提供技术支持、帮助,并收取费用。

 

(2020)川0108刑初586号“成都世某信息技术有限公司、文某锦、曾某顺等帮助信息网络犯罪活动罪”

世某公司从事经营GOIP语音网关设备配套呼叫软件系统的托管服务。在此期间被告人文某锦、曾某顺、梁某生通过对“好玩娱乐财务”、“尊上”大唐网络”等被帮助对象的语音监听,在明知上述被帮助对象利用其公司的GOIP语音网关设备进行电信诈骗、网络赌博等违法犯罪活动的情况下,仍继续为其利用网络系统拨打电话号码提供技术支持,获取违法所得。

(2020)浙0109刑初1573号“杭州某科技有限公司、庞某科帮助信息网络犯罪活动罪”

被告人庞某科作为杭州某科技有限公司的实际经营人,在经营过程中,明知他人可能用于违法犯罪活动的情况下,未采取相关措施,为他人开设在缅甸的清水河金融娱乐、金三角国际、洪门国际等线上赌博平台提供服务器租赁、托管服务。

明知他人利用信息网络实施犯罪,为其犯罪提供广告推广

(2019)鲁1703刑初474号“杭州百某文化传媒有限公司、卢某镇、肖某平等帮助信息网络犯罪活动罪”

杭州百某文化传媒有限公司成立后,开发用于广告推广的“来推”平台,明知推广信用卡和小额贷款等广告可能会导致公民个人信息被非法获取,仍然通过该平台为上述客户提供广告推广等帮助。

(2017)鲁1426刑初77号“叶某锋、曾某红、徐某才、厦门某互联网科技有限公司、黎某、何某春诈骗、非法提供信用卡信息罪、帮助信息网络犯罪活动罪”

被告人黎某、何某春经营厦门某互联网科技有限公司中,明知被告人叶某锋推广的信用卡网络链接涉嫌诈骗的情况下,仍为其提供广告推广。

明知他人利用信息网络实施犯罪,为其犯罪提供支付结算

(2018)苏0303刑初346号“徐州市云龙区人民检察院诉被告人深圳某某网络科技有限公司、张某等帮助信息网络犯罪活动罪”

被告单位深圳某某网络科技有限公司在明知其公司部分结算客户从事违法犯罪活动的情况下,仍采用变换结算接口等形式,继续为私服、外挂、色情网站等提供资金结算服务,并按照一定比例收取费用。

 

(四)拒不履行信息网络安全管理义务罪

根据我国《刑法》第286条之一的规定,对于网络服务提供者,若拒不履行对信息网络安全的管理义务,则在达到特定的情形时会构成拒不履行信息网络安全管理义务罪。结合2019年10月21日最高法、最高检出台实施的《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》中的相关规定,在满足下列情况时,相关网络服务提供主体便会触发刑法红线,构成犯罪。

概括情形 具体情形
不履行信息网络安全管理义务,致使违法信息大量传播

1)致使传播违法视频文件二百个以上;

2)致使传播违法视频文件以外的其他违法信息二千个以上;

3)致使传播违法信息,数量虽未达到第一项、第二项规定标准,但是按相应比例折算合计达到有关数量标准;

4)致使向二千个以上用户账号传播违法信息;

5)致使利用群组成员账号数累计三千以上的通讯群组或者关注人员账号数累计三万以上的社交网络传播违法信息;

6)致使违法信息实际被点击数达到五万以上;

7)其他致使违法信息大量传播的情形

不履行信息网络安全管理义务,致使用户信息泄露,造成严重后果

1)致使泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以上;

2)致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上;

3)致使泄露第一项、第二项规定以外的用户信息五万条以上;

4)数量虽未达到第一项至第三项规定标准,但是按相应比例折算合计达到有关数量标准;

5)造成他人死亡、重伤、精神失常或者被绑架等严重后果;

6)造成重大经济损失;

7)严重扰乱社会秩序;

8)造成其他严重后果

不履行信息网络安全管理义务,致使刑事案件证据灭失,情节严重

1)造成危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪案件的证据灭失;

2)造成可能判处五年有期徒刑以上刑罚犯罪案件的证据灭失;

3)多次造成刑事案件证据灭失;

4)致使刑事诉讼程序受到严重影响;

5)其他情节严重的情形

其他情节严重的情况

1)对绝大多数用户日志未留存或者未落实真实身份信息认证义务;

2)二年内经多次责令改正拒不改正;

3)致使信息网络服务被主要用于违法犯罪;

4)致使信息网络服务、网络设施被用于实施网络攻击,严重影响生产、生活;

5)致使信息网络服务被用于实施危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪或者其他重大犯罪;

6)致使国家机关或者通信、能源、交通、水利、金融、教育、医疗等领域提供公共服务的信息网络受到破坏,严重影响生产、生活;

7)其他严重违反信息网络安全管理义务的情形

 

实践中非法利用信息网络罪的行为模式主要表现为以下两类:

涉罪模式 案例
违反规定,致使用户信息大量泄漏,经监管部门责令采取改正措施而拒不改正

(2020)云0103刑初1206号“李某全拒不履行信息网络安全管理义务罪”

李某全负有查验、评估、审核行业卡使用情况的职责,在明知违反实名制管理规定的情况下,仍然将大量带有公民个人信息的回收卡交给亚某信息科技股份有限公司,两年内经监管部门多次责令改正而拒不改正。

非法提供境外互联网接入服务,经监管部门责令采取改正措施而拒不改正

(2018)沪0115刑初2974号“胡某拒不履行信息网络安全管理义务罪”

胡某为非法牟利,租用国内、国外服务器,自行制作并出租翻墙软件,为境内2000余名网络用户非法提供境外互联网接入服务。经监管部门责令采取改正措施后,胡某拒不改正。

 

 

 

三、拥有数据资产企业的合规化发展——前路灿灿亦“漫漫”

企业在经营发展过程中所形成的数据资产的重要性,自然不言而喻,也正因为数据信息产业价值的日益凸显,导致实践中因经营竞争而产生的数据信息类纠纷高涨,企业对在长期经营过程中,通过人力、物力、财力的付出而积累形成的数据产品,被认为享有竞争性财产权益,虽然对于数据信息的竞争权益并未被现有立法所认定为物权性权利,但其民事权益的权利属性在司法实践中已经得到高度一致认可。但是,作为不同市场活动和多元化产业竞争的主体,企业在保护自身数据类财产利益不被外部主体侵犯的同时,也应当着眼于企业内部在机制建构、程序操作、以及产品外化过程中的合法合规问题,否则稍有不慎,因数据信息的收集、使用、处理或加工等流程中的不当操作,导致触发行政规制或刑事红线,便会使企业多年的经营付之一炬。

1. 数据信息收集程序环节

2021年6月11日,国家互联网信息办公室(下称“网信办”)发布《关于Keep等129款APP违法违规收集使用个人信息情况的通报》,其中涉及Keep等运动健身类APP、点点新闻等新闻资讯类APP、以及其他网络直播、应用商店、女性健康、学习教育、网上购物以及婚恋相亲等多种多款APP类型,该通报中所披露的主要问题涉及违反必要原则,收集与其提供的服务无关的个人信息,或未经用户同意收集使用个人信息。由此可见,此类通过收集用户数据信息为线上产品经营及推广的企业,在收集用户信息时需要格外关注收集程序的合法合规问题。在市场活动中违规私自收集、超范围收集、强制授权收集、频繁次数收集等现象层出不穷,未经同意自动收集地理位置、身份信息、指纹以及读取用户通讯信息等问题也愈发凸显,网信办、工信部等对移动应用软件违规收集用户数据问题持续进行专项整治活动,可见当前数据信息的违规收集问题之严峻。

于企业而言,对于数据信息的“合法、正当”收集方式,至关重要。具体而言,应当在收集数据时征得所收集数据信息合法主体的事先同意,不得进行秘密收集、隐性收集,更不得采取欺诈、胁迫、诱导、误导性的方式进行收集和获取。同时,在收集数据信息时应当明确表明所收集数据信息的用途、目的、范围,并明确向提供数据信息的主体告知使用数据信息的具体规则,秉持“非必要不收集”“非许可不收集”“非相关不收集”“非正当不收集”“非定向不收集”的原则。

2. 数据信息加工、处理及保管处置环节

企业在通过对产品的运营及维护过程中所获取的用户信息、数据资料时,容易高发的合规问题便是对数据信息等内容的保管或处理不当所产生的数据泄露问题。实践中,由于企业对数据信息等内容获取之后,数据信息的泄露风险便极大增加,无论是黑客攻击、网站漏洞,还是员工私自出售数据信息、抑或通过不法渠道购买数据,都导致企业成为数据信息泄露的直接“罪魁祸首”,虽然诸多企业并非有意泄露所收集或获取的用户数据信息,但由于未尽到对数据收集并处理、加工过程中的安全管理义务,而成为受到相关行政甚至刑事处罚的直接“受案”主体。

根据《网络安全法》第21条,“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。”同时,根据2020年4月28日国家市场监督管理总局和国家标准化管理委员会发布的《GBT  22240-2020信息安全技术网络安全等级保护定级指南》中所规定的国家标准,不同的企业网络所对应的等保要求各有所异。因此,不同企业在运营网络或线上服务时,需要关注的是不同数据信息类型所带来的差异性合规化要求。通常而言,企业应当制定具体的内部安全管理制度和操作流程,严格界定数据信息收集主体的权限管理和身份认证,对所获取的数据进行分类定级管理,对重要数据进行二次备份以及加密处理等。另一方面,对人员的管理也是企业对数据信息合规化的一个重要环节,应当相应设置专门的数据信息安全管理机构和安全管理人员,在对关键岗位和关键人员进行充分背调的基础上,签署相应的保密协议,并定期对人员进行合规培训、安全教育及设定技能考核等人员管理项目。此外,企业内部的数据安全应急处置机制也是不可或缺的必要项,如发生任何数据信息泄露的情形,企业应当第一时间形成并启动应急方案,联合多部门、多人员共同处理,展开内部调查,完整记录应对处置流程,评估法律风险,向相关数据信息的用户主体发送通知,并向相关监管部门报告,等等。

3. 数据信息的实际使用环节

通常,企业所收集用户数据的目的在于打造“量体裁衣”式的商业服务,由此对于所收集数据信息的合法合约使用,便是应当注重的合规事项。严格限制在法定或用户协议约定的范围内使用,以及超范围使用的二次授权,均是企业必须严守的合规边界。此外,对以获取的数据信息进行匿名化加工处理,也是维护保证并提高数据使用安全性的有效措施。

在数据信息使用的过程中,委托、共享及转让等均是常见方式,当数据共享的商业需求存在的情况下,则更应当注重获得数据信息主体的授权与允许,在相应的用户协议中亦应当标明共享目的、内容及范围等事项,以避免因共享不当而衍生合规问题。在委托第三方处理数据信息时,除了对受托人应当具有数据信息安全保护能力需要进行全面评估之外,也应当注意委托处理的范围亦仅仅限于与用户主体约定的范围。

然而,在企业日常经营中,除上述环节外,仍然存在着众多应予以关注、可能导致产生数据信息合规高风险的其他业务种类,且不同类型企业的趋重亦应当有所不同,譬如,游戏类行业、汽车类行业、以及互联网行业均因行业特点和业务类型的不同,导致在数据信息收集或使用过程中存在着风险点的各异。因此,如何因“行业”而异,因“企业”制宜,仍然是需要不断探索的数据合规话题。

随着全球各个国家及多个行业对数据产业的深入,个人信息、企业数据也相应被不断的提炼获取,由此对数据信息的保护力度及趋势亦会进一步增大并更加规范,企业作为数据产业下的核心主体,一方面享受数据产业所带的利润商机,但另一方面也承担着因数据信息具备资产价值后的合规风险,完善内部数据安全的合规机制,强化数据信息获取收集、加工利用、保管处置等各个环节的内部监管,严把数据信息的规范化、依约化使用,是企业能够抢占数据商机的必要因素,唯有此,才能在数据产业的蓝海中行稳致远!

感谢实习生刘欢对本文做出的贡献。