个人信息刑法保护与网络企业风控思维

　　个人信息刑法保护与网络企业风控思维

　　[摘 要] 当前,聚焦个人信息处理领域,一方面,网络企业获得了新的技术支持,产生了新的应用内容。另一方面,其也面临新的技术要素、组织管理、在线内容等领域的风险。加强网络企业的个人信息保护,应在梳理相关政策规范框架体系的基础上,以具体的司法解释为指引,建立健全刑事风险管理机制,在个人信息的收集、保存、使用与对外提供等方面注重维护信息主体的个人信息安全。

　　　　当前,新一代网络信息科学技术正系统地改造着社会经济生活的各个方面,与云计算、大数据、人工智能等相关的新技术新应用的发展普及,让广大民众与网络企业日益拥抱更多的发展机遇,同时也日渐面对来源更为广泛、程度更为深刻的安全风险。

　　一、个人信息治理的政策规范框架体系(略)

　　二、个人信息刑法保护与风险管理思维

　　2017年最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息解释》)的发布是个人信息刑法保护的里程碑事件,构成了网络安全法的重要制度配套,体现了两者内在的逻辑互动,深刻反映了网络安全法对刑事司法走向的重大影响,其中若干基本问题具有高度的理论与实践意义。

　　(一)个人信息定义等基本问题的系统化设计

　　一方面,《个人信息解释》基于司法实务的迫切需要和民众认知水平的客观实际,对于反映特定自然人活动情况的信息例如行踪轨迹作了特别的提示性规定,强调公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。这一定义进一步厘定了公民个人信息的范围,明确提示身份识别信息也包括特定自然人的活动情况信息,有效反映了网络技术的发展态势,顺应了打击犯罪的实践需求,也有利于受网络安全法约束的各单位主体正确判定合规对象。

　　另一方面,《个人信息解释》对于刑法第二百五十三条之一“国家有关规定”作出了列举式说明,明确“违反法律、行政法规、部门规章有关公民个人信息保护的规定的”,应当认定为刑法所规定的“违反国家有关规定”。这一解释明确将部门规章纳入刑事评价得以依据的规范范围,旨在应对个人信息保护领域现行规范供给相对短缺的实际情况,呼应了网络安全法有关技术要素、组织管理和在线内容三维整体安全观的精神内核,有利于受网络安全法约束的各单位主体在当代罪刑法定主义精神的指引下,对于可能产生刑事法意义的部门规章进行甄别追踪,提高风险管理的工作质量。

　　(二)单位主体刑事风险管理机制的图谱指南

　　在网络安全法总体制度的指引下,司法解释成为网络企业管理日常运营工作、处理个人信息相关刑事问题更具针对性的法律指南。

　　首先,司法解释对于刑法条文具体概念的明确定性,有助于各类单位主体精确厘定业务对象的范围。根据《个人信息解释》第一条对于“公民个人信息”的范围框定和第二条对于“国家有关规定”的规范确认,各类单位主体可以确定业务运营中涉及的个人信息类型以及评估相应的信息处理操作要求,从而对明确的业务对象开展有针对性、符合网络安全法的业务活动。其次,《个人信息解释》对于相关犯罪定罪量刑标准的精确规定,有助于各类单位主体提高业务模式的风险管理水平。《个人信息解释》第三条明确“提供公民个人信息”包括“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息”和“未经被收集者同意,将合法收集的公民个人信息向他人提供的”等行为模式;第四条指出“以其他方法非法获取公民个人信息”包含“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息”等行为方式;第五条和第六条分别规定了“非法获取、出售或者提供公民个人信息”和“为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息”这两种行为的情节严重情形。

　　上述内容与网络安全法有关个人信息处理的制度规则有着高度的逻辑衔接,有助于各类单位主体在网络安全法一般制度要求的基础上进一步构建与公民个人信息的提供、购买、收受以及交换等行为相关的风险管理机制,在刑事法律底线内合理使用个人信息、开展业务活动。

　　　三、个人信息刑法保护与流程管控思维

　　毋庸置疑,当下各种新的网络业务模式造就了新的数据信息流转样态,与此同时,个人信息刑法保护呈现出围绕数据信息流转全生命周期的流程式动态保护趋势。不难发现,现阶段的多层次法律规范为个人数据信息的流转提供了一系列实在法依据。

　　(一)保护个人信息安全的基本原则

　　在保护个人信息安全的过程中,需要坚持多方共同参与,积极发挥公民以及其他主体的能动性,个人信息控制者(网络企业)应当遵循的基本原则和安全要求包括:权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与等。其间尤其应当尊重个人信息主体的真实意愿,保障个人信息主体的访问、更正以及删除其个人信息的权利,并且采取适当的管理措施和技术手段保护个人信息的保密性、完整性和可用性,切实承担相应的义务与责任。

　　(二)个人信息的收集环节

　　在信息收集方面,网络企业需要时刻检视以下几点业务要旨:一是合法性,也即在法律法规规定的范围内采用合法的手段,在征得个人信息主体同意的前提下收集个人信息或者要求个人信息主体提供个人信息。二是最小化,也即个人信息的收集类型、频率和数量应在必要性的最小要求之内,即符合最少够用原则。在能达到所需目的前提下,只处理最少的个人信息类型和数量。三是授权同意,也即处理个人信息时的目的、方式、范围以及相关规则,均应经过个人信息主体的授权同意。事实上,这一要求贯穿个人信息处理全链条,涵盖对个人信息的保存、使用以及委托处理、共享、转让、公开披露等。

　　(三)个人信息的保存环节

　　针对个人信息的保存,网络企业需要特别注意信息保存的时间最小化要求与去标识化处理要求,有义务采取技术措施和其他必要措施,确保其收集的个人信息足够安全,防止信息泄露、毁损、丢失。一是时间最小化,也即信息的保存时间应与使用目的保持程度上的一致,应满足一定的必要性,在超过保存期限后,即应对信息作出删除或匿名化处理。二是去标识化处理,是对信息主体的技术性保护,也即将收集到的信息去除识别性特征,并避免该数据被二次复原,妥善地保管收集到的各类数据。

　　(四)个人信息的使用与对外提供环节

　　一方面,在个人信息使用过程中,需要充分履行各项主体责任,诸如数据访问控制、个人信息的展示限制以及使用限制等,同时切实尊重各项主体权利,尤其是个人信息主体的访问、更正、删除、撤回同意、注销账户以及获取个人信息副本的权利。

　　另一方面,在向外提供个人信息也即委托处理、共享、转让以及公开披露等过程中,应当严格限制在法律以及信息主体授权的范围内,并且不仅要对个人信息安全进行评估,也要对相关第三人实施一定方式的监督,对个人信息提供情况如实加以记录,其间还需要切实尊重个人信息主体的知情、同意、选择权。

　　本文是国家社会科学基金项目(编号:15CFX035)的阶段性研究成果。

　　(作者:北京师范大学刑事法律科学研究院暨法学院副教授、中国互联网协会研究中心秘书长吴沈括)

　　(摘自《人民检察》2018年第18期)