倡導對法律人的人文關懷,促進法律人的新知新方法
電子數據,人工智能,信息化,大數據,區塊鏈,技術偵查,網絡安全,個人信息權利;法醫、物證、生化、DNA等鑑定科學;心理學、經濟學、管理學、統計學、偵查學等對刑事程序的分析;公檢法內部管理;證據法、程序法新進展;複雜經濟案件、新型案件、憲法案件;偶爾涉及其他。
(感謝山西省法律援助研究院院長高衛庭題字)
近年來,隨著移動互聯網、物聯網、雲計算產業的深入發展,大數據國家戰略的加速落地,數據顯示:2017年中國大數據產業規模達到4800億元,2018年突破6000億元,2019年預計達到8080億元,數據挖掘、機器學習、產業轉型、數據資產管理、信息安全等大數據技術及應用領域已經滲透到日常生活和商業經營的方方面面。
虛擬數字世界似乎無邊無際,但數據生產者、使用者、管理者的行為卻有其邊界。如果不能把握好方向和尺度,就很可能在這場闖蕩數字瀚海的遠航中被捲入違法甚至犯罪的漩渦。
分析近兩年大數據企業涉刑情況,“侵犯公民個人信息”、“非法獲取計算機系統數據類”和“拒不履行網絡監管義務”成為了呈現出行業特點的常見和代表罪名,可謂大數據企業常見的“三宗罪”。例如去年下半年某信用卡公司被杭州全面調查,公司數十人面臨刑事追訴;拉卡拉旗下的考拉徵信被江蘇淮安警方調查,數十名公司領導和員工被採取強制措施,均是“三宗罪”的典型。
本文針對大數據企業常見的“三宗罪”進行分析、解讀,供大家參考。
一 、三宗罪之“侵犯公民個人信息罪”
我國基於2012年全國人大常委會《關於加強網絡信息保護的決定》、13年修改《消費者權益保護法》、16年出臺《網絡安全法》等一系列法律法規,對公民個人信息形成了以知情同意為基本原則的私權利保護進路。在私權思維和佔有觀念的指導下,大數據公司容易招致的與個人信息數據安全相關的法律責任,通常在於獲取個人信息數據方式不合法,使用數據未取得信息主體的充分授權,或對外提供個人信息數據違法等情形。輕則涉及民事侵權、行政違法,重則觸及刑事犯罪。“侵犯公民個人信息”就是大數據應用中侵犯私權利導致入罪的代表性罪名。
《網絡安全法》、《刑法》及相關司法解釋的規定將侵犯公民個人信息罪的風險主要集中在涉及公民個人信息的獲取(“進口”)和對外提供(“出口”)兩個方面。
刑法第253條規定:違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規定處罰。
2017年6月1日起施行的《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,個人信息根據敏感程度分為三類:高度敏感信息、一般敏感信息和普通信息。
1.高度敏感信息:包括“行蹤軌跡、通信內容,徵信信息、財產信息”,這些信息與人身安全、財產安全直接相關。非法獲取、出售或者提供此類高度敏感信息50條以上(含),即可構成侵犯公民個人信息罪。
2.一般敏感信息:包括“住宿信息、通訊記錄、健康生理信息、交易信息”等其他可能影響人身、財產安全的公民個人信息。對於此類信息,非法獲取、出售或者提供500條以上的,即可構成侵犯公民個人信息罪。
3.普通信息:除了前述兩種信息之外的公民個人信息。非法獲取、出售或者提供5000條以上的,也會構成侵犯公民個人信息罪。
另外需要注意的是,根據《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第五條的規定,非法出售或者提供行蹤軌跡信息,被他人用於犯罪的,沒有條數限制,並且不需要明知對方將信息用於犯罪行為。意即:如果非法出售或者對外提供公民行蹤軌跡,被用於犯罪的,哪怕對犯罪行為並不知情,也可能構成侵犯公民個人信息罪。這裡的第一個關鍵詞是“行蹤軌跡”,因為行蹤軌跡對公民人身安全、財產安全有顯著影響,高度敏感,故此法律對其採取了特別保護。第二個關鍵詞是“非法”出售或提供,如果是合法提供,則無犯罪之虞。第三個是被他人“用於犯罪”,如果他人是用於合法行為,則不存在本條司法解釋的適用空間。
此外,如果明知他人利用公民個人信息實施犯罪,而向其出售或者提供的,即便不是敏感個人信息,也可能根據刑法總則的規定,被認定為具體犯罪的幫助犯。
當然,如果大數據公司不明知下游客戶會將個人信息用於犯罪,且公司也已採取了必要的合規風控措施,則下游客戶因為濫用這些信息而涉嫌侵犯公民個人信息罪的,除去非法提供公民行蹤軌跡的特殊情形,大數據公司對外提供數據的行為也不應當被認定為構成侵犯公民個人信息罪。
據央視網報道,去年11月下旬,江蘇淮安警方依法打擊了7家涉嫌侵犯公民個人信息犯罪的公司,涉嫌非法緩存公民個人信息1億多條,包括拉卡拉支付旗下的考拉徵信涉嫌非法提供身份證返照查詢9800多萬次,獲利3800萬元。警方將考拉徵信服務有限公司及北京黑格公司的法定代表人、董事長、銷售、技術等20餘名涉案人員抓獲。使其成為大數據業務因侵犯公民個人信息罪而遭到刑事追訴的典型案例。
二 、“三宗罪”之非法獲取信息數據類犯罪
刑法第二百八十五及二百八十六條集中規定了此類罪名,即非法侵入計算機信息系統罪,非法獲取計算機信息系統數據、非法控制計算機信息系統罪,提供侵入、非法控制計算機信息系統程序、工具罪和破壞計算機信息系統罪。
第二百八十五條 【非法侵入計算機信息系統罪】違反國家規定,侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的,處三年以下有期徒刑或者拘役。
【非法獲取計算機信息系統數據、非法控制計算機信息系統罪】違反國家規定,侵入前款規定以外的計算機信息系統或者採用其他技術手段,獲取該計算機信息系統中存儲、處理或者傳輸的數據,或者對該計算機信息系統實施非法控制,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
【提供侵入、非法控制計算機信息系統程序、工具罪】提供專門用於侵入、非法控制計算機信息系統的程序、工具,或者明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為而為其提供程序、工具,情節嚴重的,依照前款的規定處罰。
第二百八十六條 【破壞計算機信息系統罪】違反國家規定,對計算機信息系統功能進行刪除、修改、增加、干擾,造成計算機信息系統不能正常運行,後果嚴重的,處五年以下有期徒刑或者拘役;後果特別嚴重的,處五年以上有期徒刑。
違反國家規定,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作,後果嚴重的,依照前款的規定處罰。
故意製作、傳播計算機病毒等破壞性程序,影響計算機系統正常運行,後果嚴重的,依照第一款的規定處罰。
在不法使用網絡爬蟲技術的行為中,集中體現出了此類犯罪“類型化”的關聯性和複雜性。從數據抓取的“非法”層面來看,抓取對象的非法可能導向侵犯公民個人信息罪。從獲得數據的手段行為上看,抓取時空環境的非法和抓取過程破壞網絡運行安全的非法可能導向非法獲取計算機信息系統數據和破壞計算機信息系統罪。
從數據抓取的後續行為上看,緩存和發行特定類型的數據可能涉及侵犯著作權類犯罪;銷售和供他人使用特定類型的數據則可能導向侵犯公民個人信息罪;而披露和公佈特定類型的數據可能導向侵犯國家秘密或商業秘密類型的犯罪。而後續行為如果具有刑事違法性,就可能反向“汙染”利用爬蟲技術獲取數據這個行為本身,繼而令使用爬蟲的企業沾染刑事風險。
某信用卡公司涉嫌的即是此類犯罪。2019年10月21日,這家信用卡公司遭到杭州警方調查。據公開信息,很可能與旗下業務“信用卡管家”利用爬蟲技術非法獲取用戶個人隱私信息有關,此即前述由於抓取對象非法帶來的刑事違法性。
同時據警方調查,很多大數據公司非法獲取的個人隱私數據被提供給“套路貸”平臺用於暴力催收,此即前述後續非法使用行為帶來的刑事違法性。尤其掃黑除惡的大環境,客觀上加劇了此類刑事風險的到來,催化了被列入犯罪調查對象的速度。
不過,提供的數據是否界定為“被下家濫用”,以及下家濫用數據的行為是否就必然說明數據提供商構成犯罪,存在一定爭議,需要根據案件事實具體分析。
三 、“三宗罪”之拒不履行信息網絡安全管理義務罪
刑法第二百八十六條中【拒不履行信息網絡安全管理義務罪】網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令採取改正措施而拒不改正,有下列情形之一的,處三年以下有期徒刑、拘役或者管制,並處或者單處罰金:
(一)致使違法信息大量傳播的;
(二)致使用戶信息洩露,造成嚴重後果的;
(三)致使刑事案件證據滅失,情節嚴重的;
(四)有其他嚴重情節的。
首先值得注意的是:義務來源必須是法律、行政法規規定。法律由全國人大制定頒行;而行政法規是指國務院根據憲法和法律,按照法定程序制定的有關行使行政權力,履行行政職責的規範性文件的總稱。行政法規的制定主體是國務院,效力僅次於憲法和法律。刑法第二百八十六條的義務來源必須是法律或國務院制定的行政法規,而國家各部委制定的部門規章,地方人大制定的地方性法規,地方政府制定的規章,以及其他規定,都不能成為該罪名規定的義務來源。
其次是本罪是行政前置的犯罪,必須先經監管部門責令採取改正措施而拒不改正的才能以犯罪論處。未經行政監管部門指令之前,不能因涉嫌犯罪而被立為刑事案件進行調查。
再次,可能涉嫌本罪的主體應當是監管部門責令做出改正措施的的主體,即行政命令直接指向的主體,不宜擴大理解。例如母公司與子公司,總公司與分公司就應當作出區分。因為子公司和母公司均為獨立法人,對母公司或子公司中一家的行政處罰結果,並不及於其他公司。而如果是總公司和分公司的關係,則有一定爭議。因為分公司並非獨立法人,只是在所在地有單獨的營業執照而已。
有人認為,對總公司的行政命令,效力應當及於所有分公司,而對分公司的一家實施的行政處罰,也可以及於總公司以及其他分公司。因為總公司和分公司之間的關係相較母、子公司而言,在管理上要緊密很多,對其中一家公司的行政處罰,同一個公司的其他分公司應當引以為戒。但筆者認為,根據刑法的謙抑性,不宜擴大解釋,即便是對管理關係較為緊密的總、分公司,也應當以行政處罰針對的直接對象作為義務主體,不應隨意擴大。
最後,必須達到情節嚴重的程度,才能構成此罪名。在該法條中,做了具體列舉和概括列舉。
上述三類罪名,均可由單位構成,單位犯前三款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。
當下,數據與信息已然成為推動經濟增長的基本生產資料和關鍵要素,控制數據已經成為獲得市場優勢的新型“殺手鐧”。而大數據市場連接著消費者、企業、政府或者說連接著公民、市場主體和社會。三方主體的利益與平衡,又需要網絡安全、私權保護和競爭法等多重領域的配套法律供給。刑事法律作為大數據市場自身調節機制失靈時的最後手段,承擔著堅守底線、劃清標線的重大使命。但當下刑事法律規制大數據市場卻仍面臨著外層缺少其他部門法支撐,內層法理所以然與法條所然接洽融合不充分的雙重理論和實踐困難。
“數字中國”在摸索中前進,既表現在市場主體的大膽開拓中,也表現在立法、司法和行政機關積極探索中。宏觀上看二者相互促進又互相挑戰。但就微觀層面,任何一家大數據企業或從業者個人,在面對嚴厲卻尚未完全成熟的大數據領域刑事司法時,無疑都是弱勢的。充分認識大數據行業刑事法律風險,注意可能面臨的“三宗罪”,緊跟國家刑事立法、司法工作的進步腳步,重視企業刑事合規工作,是十分必要的。
閱讀更多 司法蘭亭會 的文章
