2022年8月10日,最高人民检察院(以下简称“最高检”)于其官方网站发布了第三批涉案企业合规典型案例[1],这也是2022年4月最高检部署在全国范围全面推开涉案企业合规改革试点工作之后,首次发布涉案企业合规典型案例。
本批典型案例共5件,分别涉及互联网企业数据合规、证券犯罪内幕信息保密合规、中介机构简式合规、矿区非法采矿行业治理、高科技民营企业合规等方面。最高检第四检察厅负责人表示:“2021年3月至2022年6月底,全国各地检察机关累计办理涉企业合规案件2382件,其中适用第三方监督评估机制案件1584件,对整改合规的606家企业、1159人依法作出不起诉决定,较改革试点全面推开前增长明显。”
为了协助涉及数据处理业务的企业提前防范风险,本文将梳理刑事数据合规所涉法律法规规定以及案例,就数据处理者在日常经营中可能会面临的刑事风险做出提示,并就企业数据合规工作提出意见、建议。
一、可能触及的犯罪以及所涉法律法规规定
数据处理者违反《中华人民共和国刑法》规定,可能被追究以下刑事责任:侵犯公民个人信息罪、破坏计算机信息系统罪、非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪、拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪、侵犯商业秘密罪等。
本部分将仅对侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪、非法获取计算机信息系统数据罪这三个罪名进行展开。
(一)侵犯公民个人信息罪
●《中华人民共和国刑法》
第二百五十三条之一第一款:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”
第二百五十三条之一第三款:“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。”
●最高院、最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
第一条:“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
第五条第一款:“非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的‘情节严重’:(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;(七)违法所得五千元以上的;(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;(十)其他情节严重的情形。”
第五条第二款:“实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的‘情节特别严重’:(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;(二)造成重大经济损失或者恶劣社会影响的;(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;(四)其他情节特别严重的情形。”
(二)拒不履行信息网络安全管理义务罪
第二百八十六条之一第一款第二项:“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。”
●最高院、最高检《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》
第四条:“拒不履行信息网络安全管理义务,致使用户信息泄露,具有下列情形之一的,应当认定为刑法第二百八十六条之一第一款第二项规定的‘造成严重后果’:(一)致使泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以上的;(二)致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上的;(三)致使泄露第一项、第二项规定以外的用户信息五万条以上的;(四)数量虽未达到第一项至第三项规定标准,但是按相应比例折算合计达到有关数量标准的;(五)造成他人死亡、重伤、精神失常或者被绑架等严重后果的;(六)造成重大经济损失的;(七)严重扰乱社会秩序的;(八)造成其他严重后果的。”
(三)非法获取计算机信息系统数据罪
第二百八十五条第二款:“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”
●最高院、最高检《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》
第一条:“非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的‘情节严重’:(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;(二)获取第(一)项以外的身份认证信息五百组以上的;(三)非法控制计算机信息系统二十台以上的;(四)违法所得五千元以上或者造成经济损失一万元以上的;(五)其他情节严重的情形。实施前款规定行为,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的‘情节特别严重’:(一)数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的;(二)其他情节特别严重的情形。”
●“大数据行业第一股”数据堂员工侵犯公民个人信息案(2018)鲁1325刑初63号/(2018)鲁13刑终549号
数据堂(北京)科技股份有限公司(以下简称“数据堂”)成立于2011年,被称为“国内首家大数据交易平台”、“大数据行业第一股”,是大数据行业内的先行者。2014年11月,数据堂在新三板上市,高管团队来自明星互联网公司和知名院校,2016年,其市值一度达21亿元。
自2017年起,数据堂就深陷出卖个人信息刑事案件风波,该案系公安部、最高检察院督办的特大侵犯个人信息专案,数据堂的6名员工涉及其中。不同岗位的员工负责信息搜集、处理、交易各环节,并根据用户兴趣、爱好等分别打上不同标签,之后依据客户需求向其精准营销。检方的起诉书称,“数据堂共向金时公司交付包含公民个人信息的数据60余万条。金时公司共计向客户发送公民个人信息168万余条。”
终审法院认为,涉案被告人均构成“侵犯公民个人信息罪”,并处以十个月至四年六个月不等的刑期;在侦查阶段由侦查机关依法追缴的数据堂违法所得人民币七十万元,由追缴机关依法上缴国库。虽然数据堂未被作为单位起诉,但是本案6名涉案人员中有4人为数据堂的高管或者部门负责人,数据堂的CEO齐红威、联合创始人肖永红在内的多名高管也均曾接受过调查。
风险提示
1、未经个人同意的数据交易涉嫌构成侵犯公民个人信息罪。《个人信息保护法》第二十三条规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。
2、涉案企业员工的职位越高(比如企业高管),可能面临的刑事责任越大。即使是从事技术性工作的人员,也并不必然免除其刑事责任。
●“爬虫涉刑第一案”——摩羯科技(2020)浙0106刑初437号
法院认为,被告单位杭州魔蝎数据科技有限公司以其他方法非法获取公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。判决摩羯科技犯侵犯公民个人信息罪,判处罚金人民币30,000,000元;其法定代表人周某翔犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑四年,并处罚金人民币500,000元;负责编写具有保存用户账户密码功能的网关程序的被告人袁某犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑三年,并处罚金人民币300,000元。
1.网络爬虫技术的使用存在较大风险,应谨慎处理,利用该技术非法抓取公民个人信息,用于出售牟利,可能涉嫌侵犯公民个人信息罪。
●李小全拒不履行信息网络安全管理义务(2020)云0103刑初1206号
法院认为,被告人李小全无视国家法律,作为网络服务提供管理者,拒不履行信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,其行为已构成拒不履行信息网络安全管理义务罪,判处有期徒刑一年零三个月,并处罚金5000元。
网络服务提供者开展数据处理活动时应当履行数据安全保护义务,若未尽此义务,经监管部门责令采取改正措施应当积极及时整改,否则若导致用户数据泄露或违法信息传播或致使刑事案件证据灭失等等危害结果,则涉嫌拒不履行信息网络安全管理义务罪。
●上海晟品网络科技有限公司、侯明强等非法获取计算机信息系统数据罪(2017)京0108刑初2384号
被告单位上海晟品网络科技有限公司主管人员,在上海市共谋采用技术手段抓取被害单位北京字节跳动网络技术有限公司服务器中存储的视频数据,并由被告人侯明强指使被告人郭辉破解北京字节跳动网络技术有限公司的防抓取措施,实施视频数据抓取行为,造成被害单位北京字节跳动网络技术有限公司损失技术服务费人民币2万元。
法院认为,被告单位上海晟品网络科技有限公司犯非法获取计算机信息系统数据罪,判处罚金人民币二十万元;上海晟品网络科技有限公司法定代表人张洪禹被判决构成非法获取计算机信息系统数据罪,判处有期徒刑一年,缓刑一年,罚金人民币五万元;其他被告人均被认定为构成非法获取计算机信息系统数据罪判处九个月至十个月不等的刑期。
企业在进行网络爬虫抓取行为时,应当遵守目标网站Robots协议,若采取对抗“反爬虫”措施的技术行为,突破访问限制抓取数据信息,可能涉嫌非法获取计算机信息系统数据罪。
三、律师建议
(一)设立企业合规责任人。企业的最高管理者是数据合规的第一责任人。最高管理者应当承担以下职责:(1)分配足够和适当的资源来建立、发展、实施、评估、维护和改进数据合规管理体系;(2)确保建立举报数据违规的有效机制;(3)确保战略和运营目标与履行数据合规义务之间的一致性;(4)建立和维护问责机制,包括纪律处分和后果;(5)确保将数据合规落实情况和效果纳入企业内部人员绩效考核体系。
(三)制定数据合规计划。数据合规部门负责人应结合企业自身的经营范围、行业特征、监管政策、风险识别等因素制定并不断完善数据合规计划。数据合规计划应当根据企业内部环境和外部环境的变化不断调整,以帮助企业应对各种风险的挑战。
(七)数据处理者应当建立便捷的数据安全投诉举报渠道,及时受理、处置数据安全投诉举报。