随着數字經濟不斷發展,涉及個人資訊保護的違法犯罪數量快速增長。面對嚴峻的形勢,大陸立法機關和司法機關加大了對個人資訊的保護力度。在2022年9月6日召開的最高人民法院新聞釋出會上,最高人民法院相關部門負責人介紹,“從司法實踐來看,一些企業、機構存在違法擷取、過度使用、非法交易個人資訊的問題。人民法院要支援行業主管部門和有關機關采取切實有效措施,健全個人資訊日常監管和内部管理機制,為行業有效監管提供有力司法保障”。
個人資訊保護的刑事合規是現代企業治理體系在數字經濟時代的必然要求,企業應積極防範個人資訊刑事法律風險,用嚴密的管理與法律合規機制杜絕個人資訊相關犯罪的發生。與個人資訊保護相關的企業刑事合規主要涉及三個場景:網絡爬蟲、資料采買和資料對外提供。
一、網絡爬蟲場景中個人資訊保護刑事合規風險與完善建議
1.網絡爬蟲場景中個人資訊保護刑事合規風險。通過網絡爬蟲技術,企業可以根據實際需要經由計算機自動地抓取網際網路資訊,進而實作對網絡資訊的高效讀取和收集。雖然對網絡爬蟲技術的合理利用有利于工作效率的提高,但其利用是有合法邊界的。從爬蟲的司法規制看,已有的司法判決主要關切兩方面的問題:一方面是規範爬蟲技術的使用規則,另一方面是對爬蟲擷取對象的資料權益進行确權。總體來看,法院在司法判決中一般以技術中立為原則,不否定爬蟲技術的合法性,但為其使用設定嚴格的邊界或限定條件。
作為一種自動化程式,網絡爬蟲在運作過程中較難直接獲得被收集個人資訊主體的同意,可能會存在侵犯公民個人資訊等刑事風險。例如,9人利用爬蟲違規擷取企業注冊資訊,因構成侵犯公民個人資訊罪而獲刑。又如,利用爬蟲技術擷取2.1億條履歷資料,被法院以侵犯公民個人資訊罪判刑七年、個人罰金1000萬元。企業要結合網絡安全法、資料安全法和個人資訊保護法等法律規定,形成與自身業務規則相融合且行之有效的爬蟲管控機制,将個人資訊保護的合規義務納入内部的審批和管理流程中,避免技術濫用。
2. 網絡爬蟲場景下的刑事合規。網絡爬蟲場景下個人資訊保護的刑事合規,可以從是否遵守robots協定和是否設定抓取内容的限制政策兩個方面分析。若網站設定有robots協定,則應嚴格遵守。盡管目前違反此類協定的抓取是否違法尚有一定争議,但仍應謹慎對待,不宜突破目标網站的反爬技術措施。除遵守robots協定外,設定抓取内容的限制政策也是必要的,并在抓取後對所獲内容及時進行審查。如發現資料屬于使用者的個人資訊,則應及時停止抓取,并完整删除已經爬取的資料。
值得注意的是,在與爬蟲相關的個人資訊保護刑事案件中,仍有一些問題需要明确,并進而統一類案裁判标準。比如,如何界定“侵入計算機系統”,爬蟲繞過密碼、技術措施, 抑或違反網站上公開的使用聲明,是否都屬于“侵入”?前述問題的認定,關系到爬蟲使用的邊界以及具體場景下行為的合法性問題,需要在司法實踐中予以明确或統一認定标準。
二、資料采買場景中個人資訊保護刑事合規風險與完善建議
1.資料采買場景中個人資訊保護刑事合規風險。根據《關于辦理侵犯公民個人資訊刑事案件适用法律若幹問題的解釋》第四條的規定,違反國家有關規定,通過購買、收受、交換等方式擷取公民個人資訊,或者在履行職責、提供服務過程中收集公民個人資訊的,屬于刑法第二百五十三條之一第三款規定的“以其他方法非法擷取公民個人資訊”。這就要求企業在擷取資料階段,保證自行收集資料的合規以及從第三方擷取資料的合規。而且,企業還需要加強對自己之前獲得個人資訊行為的自查,在涉及收集、使用個人資訊的部門衆多、環節複雜時,尤其應重視自查工作,如發現存在超過授權範圍或違反其他合法性基礎的行為,應及時予以糾正。
基于同意處理個人資訊時,應遵循合法、正當、必要原則。這就意味着,并不是擷取使用者的同意就可以任意處理使用者的個人資訊,還需要對個人資訊處理本身的合法性進行審查,是否符合最小必要原則。但在具體個案中,資料采買場景下,如何了解最小必要,需要通過司法實踐的個案裁判予以回應。
2.資料采買場景下的刑事合規。“非法擷取”行為的核心特點之一是未經資訊主體“同意”且無其他合法依據,據此,企業通過第三方擷取資料時,有義務對第三方供應商資料的合法性進行審查并留存證據,避免因第三方資料來源的不合法而引發刑事法律風險。例如,企業要審查供應商資料來源合法的證明檔案,查明供應商與使用者簽訂的協定是否明确授權,以及授權使用的範圍、用途等,要求供應商提供并簽署資料未侵犯他人個人資訊和其他合法權益的承諾書。
然而,目前對于資料接收方審查所要達到的程度,法律規定不夠具體、明确,造成了實踐中做法的不統一,甚至是沖突。是以,資料接收方對資料提供方獲得使用者授權的審查要達到何種程度,宜通過司法裁判予以明确:資料接收方對使用者授權承擔形式審查義務,還是承擔實質審查義務、審查每條授權的實際情況,抑或是按比例抽查等其他方式?
三、資料對外提供場景中個人資訊保護刑事合規風險與完善建議
1.資料對外提供場景中個人資訊保護刑事合規風險。對資料密集型企業而言,資料是重要的生産資源,在技術研發、算法優化、使用者拓展、産品或服務更新與營銷推廣等方面有不可替代的作用。由于企業難以掌握生産經營各領域的全部資料,通常會選擇通過資料交易來擷取對其有價值的資料并将該資料投入運用。在資料交易的過程中,必然涉及資料的對外提供,企業可能是以而承擔個人資訊保護的刑事法律風險。
2.資料對外提供場景下的刑事合規。企業在對外提供個人資訊的過程中,應當明确資料授權與使用的界限,使資料的使用具有合法性基礎。具體來看,企業應做到以下三點:第一,對業務端在不同場景下對外提供個人資訊進行合規教育訓練。第二,對外提供個人資訊時應取得使用者的充分授權,合法合規進行,并與接收方約定處理目的、範圍、處理方式及資料安全保障措施,并通過簽訂合同明确雙方的資料安全義務與責任。同時,根據雙方簽署的合作協定,對資料接收方的處理活動進行監督。第三,建立最小授權的通路控制政策,對個人資訊的重要操作需設定内部審批流程,對安全管理人員、資料操作人員、審計人員進行角色分離,超越權限處理個人資訊的,應經個人資訊保護責任人或者個人資訊保護工作機構審批并記錄。
大陸數字經濟向前發展,必然涉及資料的使用與處理,以及立足大資料的算法訓練。就司法審判實踐來說,對個人資訊進行保護具有保護個人資訊權益和促進個人資訊合理使用的雙重目的。如何在承認商業用途中合理使用的合法性前提之下,進一步完善相關權利義務的配置,建構個人資訊合理使用的外在制度限制,進而協調個人資訊保護與技術發展的關系,是對司法的一個挑戰。
目前,個人資訊保護與資料安全方面的立法仍處于發展之中,企業一方面要遵守現行法律法規,另一方面亦應加強對最新司法案例、行政執法的研究、跟進,防止出現因對法律法規了解不到位而引發合規風險的情況。建構個人資訊保護刑事合規體系是一個系統性的工程,行之有效的個人資訊保護刑事合規體系要求企業結合自身現有和将要開展的業務實際制定可行性方案,建立法定義務識别及個人資訊保護的風險控制機制,并有計劃地開展落地工作,實作頂層設計和落地執行合一,進而確定個人資訊保護制度發揮實效。此外,企業還需要對資料安全和個人資訊保護情況定期進行“合規審計”,并與相關主管部門、專業第三方組織建立穩定、暢通的溝通、咨詢管道,以加強外部監督。
[本文系最高人民法院2022年度司法研究重大課題“個人資訊保護司法路徑研究”(ZGFYZDKT202212-02)的階段性成果]
![擷取個人資訊,這些法律邊界要知道![圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)