2017年6月1日,最高人民法院和最高人民检察院联合出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》正式生效,对于非法收集、出售、提供等侵犯公
民信息的行为,规定了诸如“对外提供50条”就可构成犯罪等极为严苛的入罪标准和严厉的量刑规则。所谓“一石激起千层浪”,针对该《解释》,拍手叫好者有之,胆战心惊者有之,茫然疑惑者有之,尤其是互金平台这类客户信息密集的机构,手中所掌握的大量信息似乎一瞬之间恍若“烫手山芋”,唯恐一着不慎,动辄得咎——大家极度想要知道的是:我如何在合法获取和利用客户信息的同时,还能妥妥地保护自己,以免触碰刑法的红线?
别着急,别惊慌,网信研究院将为您进行详细分析和解读。
个人信息关乎其人身、财产安全,互联网时代甚至还可能波及区域性社会稳定,因此国家历来重视从立法层面进行保护。截至目前,形成了横向有“民事-行政-刑法”、纵向有“法律-行政法规-政府规章”的监管制度体系:
本次《解释》的出台,就是在既有制度框架里面,再增加一把“利器”。
一、《解释》板着脸孔说了啥?
《解释》共13条,属对《刑法》“侵犯公民信息罪”的细化。《刑法》第二百五十三条之一规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。这意味着,互金平台如果涉嫌该罪,不单公司会被科处罚金,主管领导和直接负责的员工也会被关起来,果然够可怕!但是这里面并没有说清楚公民信息的范围、非法提供怎么界定、具体入罪标准如何确认和计算等实践中遇到的关键问题,《解释》就是为了补充:
(一)公民信息
《解释》第一条规定:刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。可见,几乎所有我们日常接触到的客户信息均在刑法保护的范围之内,例如:(1)客户的身份证号、姓名、电话、住所等身份类信息;(2)客户在平台或存管银行的注册账号、交易记录、操作日志、资金记录、抵押财产、申请资料、借款合同、行踪轨迹等所有活动类信息。看到这么广的保护范围,如果从互金平台经营者和从业者的角度来看,每一个人的内心恐怕都是崩溃的,似乎一不留神就能逛到刑罚的“朋友圈”里了!
(二)非法情形
《解释》第三、四、六条规定了人肉搜索等未经被收集人同意擅自收集或提供客户信息、为合法经营而非法获取客户信息等行为都是非法的,看着很繁杂,但实际上有三个关键因素可以把握:一是未经被收集者同意,二是获得手段非法,三是用于非法目的,这也是互金平台应该注意避开的雷区。
(三)入罪标准
侵犯公民信息犯罪,不是有了行为就构成,必须满足法定的情节,《解释》第五、六条专门予以规定,对于互金平台来说,以下标准显得极其可怕:(1)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(2)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(3)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;(4)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;(5)违法所得五千元以上的;(6)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的。不得不说,这样的标准简直就是so easy,互金平台绝对分分钟即可满足,更何况《解释》还要求“向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算;对批量公民个人信息的条数,根据查获的数量直接认定”。
(四)量刑标准
如果单位涉及该罪名,将面临着双罚的风险:法院会对单位科处违法所得的一倍以上五倍以下的罚金,同时对诸如法定代表人、CEO、分管副总等主管领导和直接责任人员判处拘役或者1年到3年的有期徒刑(情节严重的直接升级为3年-7年)。
二、互金平台有什么办法能够避免刑事风险?
从前面的规定可以看到,客户信息的收集使用过程,确实既关系到互金平台的合规存续,同时也关乎每一个从业人员的执业安全。那么,有没有什么措施可以破解这一风险呢?
从《解释》来看,侵犯公民信息犯罪主观上必须是故意,所以即便互金平台日常经营中出现特殊原因导致客户信息泄露的情形,只要互金平台能够证明自己不是故意的,便可以免祸。而所谓证明,网信研究院认为就是要证明互金平台履行了法规政策要求的必尽义务,包括:
技术和系统。根据《网络安全法》,互金平台必须按照网络安全等级保护制度要求制定内部安全管理制度和操作规程,确定网络安全负责人,采取数据分类、重要数据备份和加密、防范计算机病毒和网络攻击、监测记录网络运行状态和网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
信息收集使用。一是收集客户信息必须得到其同意和授权;二是收集使用的规则必须在平台公开;三是建立投诉处理机制;四是脱敏到不能复原程度。基于上述要求,互金平台可以在注册协议或客户服务协议之类的文件中明确信息收集的种类细目、用途、分享场景和对象以及保护政策等,让客户事先确认同意,同时在平台页面显眼位置专门公开这些规则;建立投诉渠道和答复处理机制;获取信息谨慎核查其来源和可复原性。
内部控制。“谁收集谁保护”是《网络安全法》明确的客户信息保护原则,互金平台对此应该做的事情包括:一是制度与流程建设,确定各部门、岗位和分支机构的客户信息安全管理责任,建立客户信息收集、使用及其相关活动的工作流程和安全管理制度。二是数据权限分级,对工作人员及代理人实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施;对储存客户信息的信息系统实行接入审查,并采取防入侵、防病毒等措施;记录对客户信息进行操作的人员、时间、地点、事项等信息。三是员工教育,培训和宣贯可以起到提升员工意识和提示风险的效果,而劳动合同中增加客户信息保密义务与法律责任并和劳动关系基础挂钩也会是一个可行之策。
对外提供。互金平台经常会面临被公检法(或号称此类机构人员)或行业自律组织要求提供客户信息的问题,针对上述情况,应该设置统一的对接窗口(最好是法律合规或风险控制部门),严格按照信息披露的标准层层审核,守住信息出口。还有,如果是业务合作过程中,交易对手要求提供客户信息的,必须签署保密协议,既是对合作伙伴的显性约束,也可以为后续可能的客户信息泄露纠纷预留兜底后路。
总之,通过上述分析和探讨,网信研究院认为:《解释》并非洪水猛兽,互金平台也没必要谈之色变,只要能够按照法规政策要求履行应尽义务,就可以远离“侵犯公民信息罪”这个巨坑,做到“常在井边走,就是不湿鞋”。
