宋雷昌 刘笛 | 大数据企业常涉的“三宗罪”——企业家刑事风险防控研究(三)
倡导对法律人的人文关怀,促进法律人的新知新方法
电子数据,人工智能,信息化,大数据,区块链,技术侦查,网络安全,个人信息权利;法医、物证、生化、DNA等鉴定科学;心理学、经济学、管理学、统计学、侦查学等对刑事程序的分析;公检法内部管理;证据法、程序法新进展;复杂经济案件、新型案件、宪法案件;偶尔涉及其他。
(感谢山西省法律援助研究院院长高卫庭题字)
近年来,随着移动互联网、物联网、云计算产业的深入发展,大数据国家战略的加速落地,数据显示:2017年中国大数据产业规模达到4800亿元,2018年突破6000亿元,2019年预计达到8080亿元,数据挖掘、机器学习、产业转型、数据资产管理、信息安全等大数据技术及应用领域已经渗透到日常生活和商业经营的方方面面。
虚拟数字世界似乎无边无际,但数据生产者、使用者、管理者的行为却有其边界。如果不能把握好方向和尺度,就很可能在这场闯荡数字瀚海的远航中被卷入违法甚至犯罪的漩涡。
分析近两年大数据企业涉刑情况,“侵犯公民个人信息”、“非法获取计算机系统数据类”和“拒不履行网络监管义务”成为了呈现出行业特点的常见和代表罪名,可谓大数据企业常见的“三宗罪”。例如去年下半年某信用卡公司被杭州全面调查,公司数十人面临刑事追诉;拉卡拉旗下的考拉征信被江苏淮安警方调查,数十名公司领导和员工被采取强制措施,均是“三宗罪”的典型。
本文针对大数据企业常见的“三宗罪”进行分析、解读,供大家参考。
一 、三宗罪之“侵犯公民个人信息罪”
我国基于2012年全国人大常委会《关于加强网络信息保护的决定》、13年修改《消费者权益保护法》、16年出台《网络安全法》等一系列法律法规,对公民个人信息形成了以知情同意为基本原则的私权利保护进路。在私权思维和占有观念的指导下,大数据公司容易招致的与个人信息数据安全相关的法律责任,通常在于获取个人信息数据方式不合法,使用数据未取得信息主体的充分授权,或对外提供个人信息数据违法等情形。轻则涉及民事侵权、行政违法,重则触及刑事犯罪。“侵犯公民个人信息”就是大数据应用中侵犯私权利导致入罪的代表性罪名。
《网络安全法》、《刑法》及相关司法解释的规定将侵犯公民个人信息罪的风险主要集中在涉及公民个人信息的获取(“进口”)和对外提供(“出口”)两个方面。
刑法第253条规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
2017年6月1日起施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,个人信息根据敏感程度分为三类:高度敏感信息、一般敏感信息和普通信息。
1.高度敏感信息:包括“行踪轨迹、通信内容,征信信息、财产信息”,这些信息与人身安全、财产安全直接相关。非法获取、出售或者提供此类高度敏感信息50条以上(含),即可构成侵犯公民个人信息罪。
2.一般敏感信息:包括“住宿信息、通讯记录、健康生理信息、交易信息”等其他可能影响人身、财产安全的公民个人信息。对于此类信息,非法获取、出售或者提供500条以上的,即可构成侵犯公民个人信息罪。
3.普通信息:除了前述两种信息之外的公民个人信息。非法获取、出售或者提供5000条以上的,也会构成侵犯公民个人信息罪。
另外需要注意的是,根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条的规定,非法出售或者提供行踪轨迹信息,被他人用于犯罪的,没有条数限制,并且不需要明知对方将信息用于犯罪行为。意即:如果非法出售或者对外提供公民行踪轨迹,被用于犯罪的,哪怕对犯罪行为并不知情,也可能构成侵犯公民个人信息罪。这里的第一个关键词是“行踪轨迹”,因为行踪轨迹对公民人身安全、财产安全有显著影响,高度敏感,故此法律对其采取了特别保护。第二个关键词是“非法”出售或提供,如果是合法提供,则无犯罪之虞。第三个是被他人“用于犯罪”,如果他人是用于合法行为,则不存在本条司法解释的适用空间。
此外,如果明知他人利用公民个人信息实施犯罪,而向其出售或者提供的,即便不是敏感个人信息,也可能根据刑法总则的规定,被认定为具体犯罪的帮助犯。
当然,如果大数据公司不明知下游客户会将个人信息用于犯罪,且公司也已采取了必要的合规风控措施,则下游客户因为滥用这些信息而涉嫌侵犯公民个人信息罪的,除去非法提供公民行踪轨迹的特殊情形,大数据公司对外提供数据的行为也不应当被认定为构成侵犯公民个人信息罪。
据央视网报道,去年11月下旬,江苏淮安警方依法打击了7家涉嫌侵犯公民个人信息犯罪的公司,涉嫌非法缓存公民个人信息1亿多条,包括拉卡拉支付旗下的考拉征信涉嫌非法提供身份证返照查询9800多万次,获利3800万元。警方将考拉征信服务有限公司及北京黑格公司的法定代表人、董事长、销售、技术等20余名涉案人员抓获。使其成为大数据业务因侵犯公民个人信息罪而遭到刑事追诉的典型案例。
二 、“三宗罪”之非法获取信息数据类犯罪
刑法第二百八十五及二百八十六条集中规定了此类罪名,即非法侵入计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪和破坏计算机信息系统罪。
第二百八十五条 【非法侵入计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。
第二百八十六条 【破坏计算机信息系统罪】违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
在不法使用网络爬虫技术的行为中,集中体现出了此类犯罪“类型化”的关联性和复杂性。从数据抓取的“非法”层面来看,抓取对象的非法可能导向侵犯公民个人信息罪。从获得数据的手段行为上看,抓取时空环境的非法和抓取过程破坏网络运行安全的非法可能导向非法获取计算机信息系统数据和破坏计算机信息系统罪。
从数据抓取的后续行为上看,缓存和发行特定类型的数据可能涉及侵犯著作权类犯罪;销售和供他人使用特定类型的数据则可能导向侵犯公民个人信息罪;而披露和公布特定类型的数据可能导向侵犯国家秘密或商业秘密类型的犯罪。而后续行为如果具有刑事违法性,就可能反向“污染”利用爬虫技术获取数据这个行为本身,继而令使用爬虫的企业沾染刑事风险。
某信用卡公司涉嫌的即是此类犯罪。2019年10月21日,这家信用卡公司遭到杭州警方调查。据公开信息,很可能与旗下业务“信用卡管家”利用爬虫技术非法获取用户个人隐私信息有关,此即前述由于抓取对象非法带来的刑事违法性。
同时据警方调查,很多大数据公司非法获取的个人隐私数据被提供给“套路贷”平台用于暴力催收,此即前述后续非法使用行为带来的刑事违法性。尤其扫黑除恶的大环境,客观上加剧了此类刑事风险的到来,催化了被列入犯罪调查对象的速度。
不过,提供的数据是否界定为“被下家滥用”,以及下家滥用数据的行为是否就必然说明数据提供商构成犯罪,存在一定争议,需要根据案件事实具体分析。
三 、“三宗罪”之拒不履行信息网络安全管理义务罪
刑法第二百八十六条中【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
首先值得注意的是:义务来源必须是法律、行政法规规定。法律由全国人大制定颁行;而行政法规是指国务院根据宪法和法律,按照法定程序制定的有关行使行政权力,履行行政职责的规范性文件的总称。行政法规的制定主体是国务院,效力仅次于宪法和法律。刑法第二百八十六条的义务来源必须是法律或国务院制定的行政法规,而国家各部委制定的部门规章,地方人大制定的地方性法规,地方政府制定的规章,以及其他规定,都不能成为该罪名规定的义务来源。
其次是本罪是行政前置的犯罪,必须先经监管部门责令采取改正措施而拒不改正的才能以犯罪论处。未经行政监管部门指令之前,不能因涉嫌犯罪而被立为刑事案件进行调查。
再次,可能涉嫌本罪的主体应当是监管部门责令做出改正措施的的主体,即行政命令直接指向的主体,不宜扩大理解。例如母公司与子公司,总公司与分公司就应当作出区分。因为子公司和母公司均为独立法人,对母公司或子公司中一家的行政处罚结果,并不及于其他公司。而如果是总公司和分公司的关系,则有一定争议。因为分公司并非独立法人,只是在所在地有单独的营业执照而已。
有人认为,对总公司的行政命令,效力应当及于所有分公司,而对分公司的一家实施的行政处罚,也可以及于总公司以及其他分公司。因为总公司和分公司之间的关系相较母、子公司而言,在管理上要紧密很多,对其中一家公司的行政处罚,同一个公司的其他分公司应当引以为戒。但笔者认为,根据刑法的谦抑性,不宜扩大解释,即便是对管理关系较为紧密的总、分公司,也应当以行政处罚针对的直接对象作为义务主体,不应随意扩大。
最后,必须达到情节严重的程度,才能构成此罪名。在该法条中,做了具体列举和概括列举。
上述三类罪名,均可由单位构成,单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
当下,数据与信息已然成为推动经济增长的基本生产资料和关键要素,控制数据已经成为获得市场优势的新型“杀手锏”。而大数据市场连接着消费者、企业、政府或者说连接着公民、市场主体和社会。三方主体的利益与平衡,又需要网络安全、私权保护和竞争法等多重领域的配套法律供给。刑事法律作为大数据市场自身调节机制失灵时的最后手段,承担着坚守底线、划清标线的重大使命。但当下刑事法律规制大数据市场却仍面临着外层缺少其他部门法支撑,内层法理所以然与法条所然接洽融合不充分的双重理论和实践困难。
“数字中国”在摸索中前进,既表现在市场主体的大胆开拓中,也表现在立法、司法和行政机关积极探索中。宏观上看二者相互促进又互相挑战。但就微观层面,任何一家大数据企业或从业者个人,在面对严厉却尚未完全成熟的大数据领域刑事司法时,无疑都是弱势的。充分认识大数据行业刑事法律风险,注意可能面临的“三宗罪”,紧跟国家刑事立法、司法工作的进步脚步,重视企业刑事合规工作,是十分必要的。
关联阅读:
1.《企业家为什么总在去监狱的路上——企业家刑事风险防控研究(一)》作者:宋雷昌、郑凯方、朱萧
2. 《企业家如何对刑事风险说“不”——企业家刑事风险防控研究(二)》 作者:宋雷昌、郑凯方
3. 《大数据企业信息核验服务合法性分析》 作者:宋雷昌
作者简介
宋雷昌
上海靖予霖律师事务所
副主任
靖霖刑事律师机构企业家刑事风险研究与防范部 主任
中国刑警学院理学学士,中国人民公安大学诉讼法学硕士。华东师范大学法学院实务导师,上海大学法学院兼职教授。
曾在某直辖市公安局刑事侦查总队重案支队、涉枪涉爆案件调查办公室工作十余年,曾主办或参与大量重大、疑难刑事案件,其中部分案件在全国有较大影响。在公安部某局工作,参加跨国暴力侵犯中国公民权益专案、全国反拐专项行动等。从事律师职业后,专门从事刑事辩护、刑事风险防控工作,主办和参与办理的案件中,不乏知名、经典案例。
学术研究——
撰写了文章《企业家如何避免踏入“雷区”——谈企业刑事合规与危机管控》、《大数据企业信息核验服务合法性分析》《律师办理刑事控告业务十大要点》《涉财类拒不执行判决、裁定罪的控告与辩护要点》《“黄金救援37天”之辩护攻略》《侦查阶段的辩护——论侦查思维的逆运用》《我国刑拘规定存在的问题及完善之思考》等。
刘笛
上海靖予霖律师事务所
青年律师工作委员会
副主任
同济大学硕士学位。上海新闻广播《问律师》栏目嘉宾。靖霖刑辩道场《面向企业的专门业务拓展》主讲人。
曾为华为、京东等知名CT、IT企业服务多年,积累了大量B2B专业服务履历。熟悉现代企业经营管理模式,具有丰富的通信及互联网专业知识和行业经验。擅长面向企业的刑事风险防控、合规流程设计和合规方案落地。善于结合企业业务需求匹配服务方案,并通过谈判、调解、诉讼等方式进行危机处理,保障委托人的合法权益。
靖霖刑事律师机构,由上海靖予霖律师事务所、浙江靖霖律师事务所及其分所共同设立,专门从事刑事业务(刑事辩护、刑事代理、刑事合规),总部设在上海靖予霖律师事务所。机构已在北京、上海、杭州、南京、宁波、济南、昆明、武汉、贵阳、广州、温州、绍兴、义乌、天津、福州设有办公室,长春、西安办公室正在设立中,拥有律师300余人。
出版专业书籍十本,有大量刑案及项目积累,办案经验丰富,技术精湛,奉行“专业、优质、兢业”服务理念,攻刑以专,相靖予霖。
以下点击可读:梁坤:论初查中收集电子数据的法律规制——兼与龙宗智、谢登科商榷完整版 | 朱桐辉、王玉晴:电子数据取证的正当程序规制——《公安电子数据取证规则》评析侯爱文:电子证据质证攻略——案例、要义、原理朱桐辉、张旭华:再论远程勘验中取证要受和搜查、扣押一样的程序规制尚权“云课堂”第十场回顾,朱桐辉讲授《电子证据的取证规范和质证要点》朱桐辉:远程勘验,还取证,还是现场勘验吗?| 衡宁法律公开课全课程
编辑:南开大学法学院研究生 秦泽文