【专栏】肖飒:再谈数据刑事合规问题
肖飒 · 零壹财经 2020-12-03 14:57:12 阅读:7636
数据重要性,在如今的时代更加凸显。通过大数据技术处理,大型电商平台等“信息控制者”借助数据揭示的相关性,提前预测客户潜在需求,为抢占市场创造先机。因此越来越多的企业借助所开发的App挖掘个人信息。与此同时,App过度采集使用个人信息、不合理索取用户权限、泄露个人信息等问题层出不穷,对此工信部、公安部等相关部门已多次亮剑,点名要求相关企业整改。除行政责任、涉及隐私侵权等民事责任外,企业采集使用个人信息也面临着刑事风险。
在此,飒姐团队对侵犯公民个人信息罪构成要件作简明分析,以帮助各相关企业明确并预防潜在的刑事风险点。
有什么潜在刑事风险?
我国刑法第二百五十三条规定了侵犯公民个人信息罪:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
由于法律规定较为原则,企业在预防入罪时往往面临行为违法性程度判断困难、个人信息种类与数量认定模糊等诸多疑难问题。
哪些行为可能“触礁”?
依据刑法二百五十三条的规定,侵害公民个人信息的行为方式包括“非法提供、非法获取、出售”三类。在《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)中对这些行为进行具体细化:
1、非法提供的形式不做限定:既包括向特定人非法提供,也包括通过信息网络或其他途径向不特定人发布;
2、非法获取的类型多样:包括窃取、购买、收取、交换等方式,还包括在履职或提供服务过程中违法收集。
哪些个人信息属于高度敏感信息?
依据《解释》第五条(三)至(五)的规定可看出我国刑法对公民个人信息采取分级保护的态度:
1、对行踪轨迹信息、通信内容、征信信息、财产信息等直接关联个人财产、信用、行踪的高敏感度信息采取最为严格的保护措施,只要非法获取、出售或者提供高敏感度信息超过50条即构成犯罪;
2、对住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的个人敏感信息保护力度次之,非法获取、出售或提供达500以上的构成犯罪;
3、对其他个人一般信息保护力度最弱,非法获取、出售或者提供个人一般信息5000条以上的才构成犯罪。
特殊主体间信息共享行为如何定性?
实务中大型企业各部门、团队间因业务需要往往会共享所采集的用户信息,这种情况是否会被认定为“非法获取和提供”?
飒姐团队认为,企业需要换位思考,站在监管角度考虑这一问题。通常就公安机关办案角度而言主要考虑是否为“同一主体”。若共享信息的各主体属于同一单位,一般认为信息共享提供方和接收方不构成“非法提供和获取”。而若超出同一单位进行信息提供或共享,信息提供和接收方企业都应告知信息主体并经过其同意,以规避事后潜在的诉讼风险。
如何实现数据刑事合规?
1、关于信息采集:企业在采集公民个人信息前应采取显著标识符号提请公民注意其个人信息正在被收集,告知公民采集用途,以保护公民知情同意权;
2、关于信息处理:企业在采集信息过程中应注意区分信息等级、规避高敏感度信息(行踪轨迹信息、通信内容、征信信息、财产信息),或采取技术手段将个人信息“脱敏、匿名化”,以契合法律的等级规制、呼应公民强烈的自我保护心理需求;
3、关于信息使用:企业应妥善保存本单位所采集信息并注意数据流向,尤其应避免信息的后续不当滥用,流向可能涉及利用数据进行互联网电信诈骗等犯罪的领域;
4、关于信息流通:由于个人信息数据的采集方、提供方和使用方通常不在同一单位、同一系统内,存在信息数据跨域流通的情况。在此种场景下应注意数据资产确权问题和数据泄露溯源问题。可利用区块链防篡改特性,实现数据流通记录的可信存证;也可采用数字水印技术,将数据的供需双方身份信息嵌入原始数据中,实现用户身份和数据资产的关联;通过水印提取并还原用户身份信息,达到对数据所有权和使用权鉴别并追溯数据使用的目的;
5、关于信息定价:企业采集个人信息经过数据挖掘、脱敏技术处理后转化为采集方数据资产,并被广泛用于商业交易,而对数据如何定价成为交易主体在流通环节重点考量的问题。现阶段国内大数据交易市场已初见规模,主要包括贵阳大数据交易所、中关村数海交易平台、武汉东湖大数据交易平台、湖北大数据交易中心、北京大数据交易服务平台、数据堂、中国爬盟等。这些数据交易平台大多依托政府,常见收费模式为“一口价”模式,数据定价权由数据提供者主导,也存在撮合定价模式,由购买者报价后平台协商议价、撮合交易。因数据商品技术含量高、价值量主观性强,导致数据定价程序较复杂漫长。针对此问题,数据提供企业可先通过效用价格论确定最高定价、通过成本价格论确定最低价格,在理论价格区间内借助预处理策略、拍卖策略或协商策略对数据定价作精细化处理。
写在最后
大数据时代数据信息成为财富密码,采集使用公民个人信息成为行业惯例。而我国在公民个人信息保护的相关法律规范总体呈现“刑法先行”的特点,因此从业企业数据刑事合规应是规避风险的首要切入点。
参考文献
【1】饶明党.侵犯公民个人信息犯罪的司法认定.河南警察学院学报,2011.
【2】上海市人民检察院研究室.新时期侵犯个人信息罪探讨.检察风云,2020.
【3】刘朝阳.大数据定价问题分析.图书情报知识,2016.
【4】裴超,范东媛,倪明鉴.一种改进的大数据流通共享安全方案.网络空间安全,2020.
相关文章
用户评论
所有评论
他的文章 ( 866 )
资讯排行
- 48h
- 7天
专题推荐
more
第四届中国零售金融发展峰会(共15篇)
《陆家嘴》交流会第6期(共14篇)
2022第一届中国数字科技投融资峰会(共43篇)
2019年数字信用与风控年会(共15篇)
-
首页
-
评论
-
回顶部
游客
自律公约