互联网刑事系列 | 企业处理用户个人信息的合规之道

- 互联网企业刑事风险分析 第1期 -

毋庸置疑,在互联网信息时代用户信息是互联网企业的最为重要的商业资源,企业通过深入分析用户信息,可以分析用户偏好,精准推出契合用户需求的产品,提升用户活跃度,发掘无限的商机。但企业在开挖用户信息这座商业金矿时,常容易触及刑事风险红线,如何避免刑事法律风险并合法合规地开发利用用户信息,是互联网企业亟待解决的问题。

本文将通过对企业因用户信息涉刑事风险的态势及个人信息定义 的外延变化分析,以个人信息处理的常见流程(收集、使用、提供)为主轴,通过判例解读的方式,分析企业处理个人信息的典型风险及其防范。

企业因用户信息涉刑事风险的态势分析

我们以侵犯公民个人信息罪为案由,添加“公司”关键词进行二次筛选,一共检索到1648份裁判文书,且自2016年开始,公司涉侵犯个人信息犯罪就呈现指数增长的态势。

2016-2019年企业涉侵犯公民个人信息犯罪

案件数量

何为“公民个人信息”?

我国主要有四部法律规范对个人信息使用进行规制。从法律生效的时间来看,公民个人信息的定义范围逐步放宽,彰显了未来对个人信息扩大化保护的趋势。

我国相关法律对个人信息外延的界定

深入了解公民个人信息外延的变化,是企业进行合规审查的前提。当前,立法机关不断加强对公民个人信息的保护力度,企业不能因循守旧,必须待时而动,根据法律法规对公民信息的外延变化对原工作进行合规审查,否则将面临刑事追诉的风险。

企业处理用户个人信息全流程风险探析

-以判例分析为视角

(一)源头浊水

收集信息过程中的风险

根据《侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“解释”)第4条规定,非法获取个人信息的方式包括购买、收受、交换,或者在履行职责、提供服务过程中收集公民个人信息。通过检索案例,笔者梳理出三种常见法院认定为属于非法获取个人信息方式的行为:

行为一

购买企业工商、税务登记信息

用于推销公司业务

公民个人信息的本质特征是可识别性,是否公开不影响其性质认定。在企业购买用户信息时,企业用户的信息常被误认为不属于公民个人信息,但是由于营业登记执照上的信息,可以识别企业负责人身份,在购买此类企业用户信息时,也面临着侵犯公民个人信息罪的刑事处罚。

通过购买用户信息侵犯公民个人信息

相关刑事判例

值得注意的是,根据《解释》第6条,为合法经营活动而非法购买、收受公民个人信息,也构成侵犯公民个人信息罪。因此,在使用他方提供的公民个人信息时,必须留意其来源与授权信息,避免风险。

行为二

互联网APP超越必要经营范围、

未取得有效授权提取用户信息

APP提取用户个人信息,以业务经营所必要为界限,且必须取得用户的有效授权。互联网APP使用前设置的格式条款往往包含着隐私信息提取的事项,且同意格式条款是使用APP的前提。但并非用户点击“同意以上条款”,企业就可免除责任。用户信息的有效授权,需要满足经营所需、用户明示同意两个要件。

APP不当收集公民个人信息相关刑事判例

以上判例涉案公司虽为借贷软件,本身即蕴含着非法经营的性质,但不免给广大互联网企业敲响警钟,审慎审查用户信息采集格式条款,是否涉及过度收集用户信息

《网络安全法》第41条、第42条对企业收集用户信息的范围以及保护用户信息义务均作出规定,以小说阅读软件为例,用户声音并非营业所必需的信息,如果强加入格式条款中要求采纳,也会面临民事责任或者行政处罚的风险,更甚于面临刑事责任。

APP不当收集公民个人信息

相关行政处罚决定

行为三

通过技术软件抓取用户信息

即使通过技术软件抓取用户信息,也需要以取得用户有效授权为前提。当前抓取计算机系统用户信息的插件层出不穷,不少经营者认为技术中立,利用技术手段所获取的用户信息应当无罪,但实践中,通过“爬虫”等插件侵入同行计算机系统套取对方客户信息用于自身牟利的案件高发,案件所涉行为不仅触及侵犯公民个人信息罪,还面临着非法侵入计算机系统罪的刑事处罚。

通过第三方插件技术收集用户信息

相关刑事判例

(二)暗流涌动

保存信息过程中的风险

尽管企业确保了采集信息的源头可靠,但是用户信息的管控流程复杂,处理用户信息往往要经过多重人手,在这过程中则险象迭生,出现在职、离职员工利用职务便利和熟悉的业务环境侵犯企业保存的信息的现象。   

企业员工窃取用户信息相关刑事判例

在对内部员工的规制与管控中,企业不可松懈。根据《刑法》第286条第1款,企业不履行法律法规的监管义务,造成用户信息泄露的,构成拒不履行信息安全管理义务罪,处以三年以下有期徒刑或者罚金。因此,即使内部人害企业,企业也不可能独善其身,必须加强对员工保密工作。

(三)边缘试探

使用信息过程中的风险

信息共享已经是同类型行业间合作的常见方式,但是用户信息是否能够成为共享的对象?现行法律对此并没有明确规定,但从《网络安全法》所规定的企业对保护用户信息的义务可知,有两条红线是不能逾越的,第一,必须取得被收集者的有效授权才能进行信息流转;第二,根据公民信息的可识别性本质特征,如果在不能取得用户授权的条件下,必须对信息进行“脱敏”处理,祛除其可识别性特征。

笔者在检索过程中,尚未发现企业间共享信息所涉刑事案件,但以下民事纠纷案件则给企业提供了共享信息合规的角度,首先,即使是同一集团旗下的子公司共享信息,也需要取得独立授权,不能随意交换使用。其次,收集信息,不能以收集者的商业视角、为了确保进准推送商业信息去确定信息收集的范围,往往逾越信息收集必要的界限。

企业之间共享用户信息涉及民事侵权

民事判例

从信息控制者(信息收集企业)的角度来说,将信息共享给其他主体,是信息控制者对信息使用范围的扩张。从信息共享者(第三方企业)的角度来说,其接收他人共享的信息的行为本质上是对信息的收集行为。可见,信息共享涉及到个人信息的再利用,可能导致个人信息的反复收集、利用,如不对此进行规制,导致个人信息遭受不当使用,给企业也带来侵犯公民个人信息的刑事风险。

企业如何化解用户信息的刑事风险

(一)收集过程的合规建议

第一,企业直接收集信息。首先,取得用户的有效授权。除了在用户协议的格式条款中进行规定外,更要用明显的“单独提示”等方式履行提醒义务,以取得有效授权。其次,信息收集以必要性为原则。企业确定自身经营目标,用户信息的收集精细化,且必须站在用户享受服务的立场出发,圈定收集信息的范围。

第二,企业间接收集信息。通过第三方收集信息,企业更要谨慎。首先,确保第三方信息流转取得有效的授权与合法的来源,避免信息收集违法性的“传染”。其次,使用第三方技术(如爬虫技术)收集信息,同样需要遵守有效授权的规制。

(二)保存过程的合规建议

第一,企业必须开展对内部员工的保密工作培训。通过建立企业内部规章,要求员工遵守保密义务,对其进行法制宣传教育,避免出现“内部人害公司”所带来的重大损失。

第二,企业对信息处理的流程进行优化。对信息按照敏感程度分类处理,避免信息流转的人数过多,增加泄露风险。

(三)使用过程的合规建议

第一,对信息流转第三方要取得有效授权或者“脱敏”处理。首次签署的用户协议,并非企业一劳永逸的资本。在企业对信息进行共享时,必须再次取得授权,或者对信息进行深度加工,祛除可识别性,以此规避刑事风险。

第二,对合作方进行合规调查。确定信息使用目的,避免他方利用信息进行违法犯罪活动。

互联网时代,用户信息是各家企业夺取商业领地的独家秘方。但是对于用户信息的正确处理,国内互联网企业尚未跟上当前严格的法律规制。对用户信息处理的轻视,使得市场经济中涉及侵犯个人信息的犯罪频发,遭受刑事处罚的企业也在此过程中元气大伤。在信息时代,企业更要刷新用户信息保护的安全观,重建用户信息的合规之墙,既要避免自己触碰刑事红线,也要避免他方通过不法途径侵害自身利益,才能在互联网市场行稳致远。

·作者简介·

苏丽云律师

广东卓信律师事务所合伙人

刑事法律事务部负责人

ALB2015中国十五佳律师新星

李成秀

苏丽云律师团队律师助理

广东财经大学法学院2017级卓越法律人才培养实验区学生

(0)

相关推荐