处理网络公开的个人信息,是否构成侵犯公民个人信息罪
发布时间:2022-06-03 | 发布者: 东东工作室 | 浏览次数: 次(原标题:处理网络公开的个人信息,是否构成侵犯公民个人信息罪)
场景
公司业务部门为了增加营销线索或自身业务需求,让技术部门去企业信息查询平台爬取公开的企业联系电话号码或向第三方收购前述联系电话号码,加以清洗与分析,用于自身或者交由第三方进行电话销售。
争议焦点
1、企业法定代表人的手机号码是否构成公民个人信息?
在司法实践中,证实在企业工商登记并公开的手机号码是否属于公民个人信息还是由公司购买、归公司使用的非公民个人信息,是否经授权公开,主要靠公安机关的电话核实或调查笔录,具体方式见下文“经典案例二”(“经查,公安机关抽样进行查询并电话联系企业法人核实,未发现有企业法人授权“XX查”等在网上公布法人的手机号码,经公安机关随机抽取公司或商户的手机号码,被核实对象均表示手机号码为本人私人号码且未授权网上公开,应认定为公某个人信息。徐国成及其辩护人提出的诉辩理由不能成立,不予采纳”)。
但令人吊诡的是,爬取某企业信息查询平台中的企业法定代表人电话号码并未经授权同意予以公开属于侵犯公民个人信息,那么被爬取公民个人信息的企业信息查询平台本身亦......
2、个人自行公开的个人信息,如何可豁免个人同意且合法合规地处理?
《个人信息保护法》第十三条第(六)款规定:“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”。但何为“在合理的范围内”存在一定的价值判断,即在处理“个人自行公开”以及“其他已经合法公开”的个人信息且豁免个人授权同意的情形暂无列举式规定,如何出罪论证更为重要,相关案例见下文“经典案例三”。
虽然很多侵犯公民个人信息的情形/案例因违规而仅作行政处罚,但鉴于各地司法实践以及对法律法规的理解存在一定的差异,即使“举重以明轻”,仍有构罪入刑的刑事风险(被何地刑事立案,运气很重要)。
风险审查
处理网络公开的个人信息的刑事风险审查要点(来源端与应用端)
(1)数据来源端:a.网络公开的个人信息是否为个人自行公开的?相关公开来源及方式是否为个人的真实意思表示以及是否能追溯相关公开链路?b.其他已经合法公开的个人信息,其“合法公开”的相关情形、公开的渠道或途径、公开的目的或用途、公开的信息类型与内容等是否符合现行有效的法律法规,是否存在例外的情形?c.第三方提供的网络公开的个人信息(数据供应商),其信息来源及方式是否合法合规,对外提供行为是否符合个人信息公开的目的或用途,对外提供的目的是否明确合理?
(2)数据应用端:a.对公开的个人信息的处理行为是否超出个人信息公开的目的及用途,是否属于合理范围内?b.处理行为本身是否违法违规或者是否为违法违规行为提供与信息处理有关的帮助?c.向第三方提供网络公开的个人信息(合作方风险转移的风险),该第三方对相关信息的处理是否符合个人信息公开的目的或用途,该第三方是否处于敏感负面的行业或业务领域,该第三方的处理行为是否风险较高、难以控制?
相关法律法规、政策文件
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条:向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
《检察机关办理侵犯公民个人信息案件指引》(一)对“公民个人信息”的审查认定根据《解释》的规定,公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。经过处理无法识别特定自然人且不能复原的信息,虽然也可能反映自然人活动情况,但与特定自然人无直接关联,不属于公民个人信息的范畴。
对于企业工商登记等信息中所包含的手机、电话号码等信息,应当明确该号码的用途。对由公司购买、使用的手机、电话号码等信息,不属于个人信息的范畴,从而严格区分“手机、电话号码等由公司购买,归公司使用”与“公司经办人在工商登记等活动中登记个人电话、手机号码”两种不同情形。
《个人信息保护法》第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。
《信息安全技术个人信息安全规范》9.5共享、转让、公开披露个人信息时事先征得授权同意的例外 以下情形中,个人信息控制者共享、转让、公开披露个人信息不必事先征得个人信息主体的授权同意:a)与个人信息控制者履行法律法规规定的义务相关的;b)与国家安全、国防安全直接相关的;c)与公共安全、公共卫生、重大公共利益直接相关的;d)与刑事侦查、起诉、审判和判决执行等直接相关的;e)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;f)个人信息主体自行向社会公众公开的个人信息;g)从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。
经典案例(案例一、二为入罪,案例三为出罪)
【案例一】一审判决书(2020)粤0605刑初2812号
公诉机关指控,被告人李汉森以互换方式,非法获取1万余条公民个人信息,包括公民的姓名、联系电话、公司名称、公司地址等信息。李汉森明知陈某(已判刑)购买信息用于出售,仍于2019年7月6日在佛山市南海区大沥镇以600元的价格向陈某销售了一组共9681条公民个人信息;于同年7月11日,以200元的价格向陈某销售了两组公民个人信息合计1220条。
辩护人的辩护意见为:1、本案10009条涉案信息中的地址是企业的经营地址,电话是企业的对外营业号码,无法识别特定自然人,是公司依法对社会主动公示的基本工商信息,应不列入该罪保护的“公民个人信息。该10009条涉案信息均可于国家市场监督总局的国家企业信用信息网、企查查、天眼查等网站中随意查询获取,不具有任何的私密性,不具有值得刑法保护的法益,故该10009条信息应从本案排除,不应作为本案定案的依据,排除以上信息后,本案的公民个人信息数量未达到入罪标准。2、对于权利人主动公开的企业信息或个人信息,且从被告人李汉森获取渠道、行为方式及过程、事后的影响等角度来看,均未造成重大危害。综上,本案公民个人信息数量未达到司法解释所规定的入罪标准,且社会危害性极小,李汉森依法不负刑事责任。
经审理查明,公诉机关指控被告人李汉森向他人出售、提供公民个人信息五千条以上的事实清楚,证据确实、充分,本院予以确认。关于被告人李汉森的行为是否构成侵犯公民个人信息罪的问题。经查,国家企业信用信息公示系统通过合法渠道收集工商企业信息并进行网络公开,目的是方便民众查询以确认企业信息是否真实有效,可见权利人同意的内容仅限于在该系统公开,而不包括同意其他人收集其信息并提供给他人,且《关于办理侵害公民个人信息刑事案件适用法律若干问题的解释》对公民个人信息的定义也没有限定个人隐私信息,可见稳私性不是公民个人信息的的必要性条件,故李汉森通过网上系统查询收集的信息,且未经被收集者同意的情况下收集整理,未进行匿名处理的情况下提供给他人,其行为应构成侵犯公民个人信息罪,李汉森的辩解及辩护人的辩护意见理据不足,本院不予采纳。
二审刑事裁定书(2021)粤06刑终345号
对于上诉人李汉森的上诉意见及辩护人的辩护意见,本院综合评判如下:
1.关于上诉人李汉森及辩护人所提的其中10009条涉案信息是否属于刑法第二百五十三条之一规定的“公民个人信息”。经查,在案证据证实,上述10009条信息的内容为载有企业名称及其地址、法定代表人(企业联系人)姓名及其联系电话等的综合信息,根据上述内容能够识别相应的企业法定代表人(企业联系人)的姓名和通讯联系方式等特定自然人的身份信息,根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释[2017]10号)第一条的规定,该信息属于相应法定代表人(企业联系人)的公民个人信息。
2.关于提供、出售工商信息登记网络上可公开查询的公民个人信息的行为是否属于刑法第二百五十三条之一规定的“出售、提供公民个人信息”。经查,在案证据证实,上诉人李汉森出售、提供的涉案相关企业的法定代表人(企业联系人)的公民个人信息是其通过与他人互换的方式非法获取的。工商企业向市场监管部门提供相关企业信息的目的是履行法定义务,接受社会监管,不能据此推定相关企业的法定代表人(企业联系人)同意上诉人李汉森以互换的方式非法获取其相关公民个人信息并向他人出售和提供。上诉人李汉森出售、提供涉案公民个人信息的行为不符合相关工商企业及公民的意愿,已超出涉案公民个人信息合理使用的目的和范围,并且有对对应的公民(法定代表人、企业联系人)的安全、生活安宁等造成危害的可能,属于出售、提供公民个人信息的行为。
综上,上诉人李汉森违反国家有关规定,向他人出售、提供公民个人信息,情节严重,其行为已构成侵犯公民个人信息罪。故对上诉人李汉森及其辩护人提出的上述意见不予采纳。
【案例二】二审裁定书(2020)闽05刑终155号
上诉人徐国成诉称......二、其所出售的信息是公开的企业信息,并非公某个人信息,关于包含企业法定代表人及其履行职务所公示的联系方式在内的信息能否作为公某个人信息来处理,国家相关法律、司法解释及行政法规已早有论断。《征信业管理条例》第十三条规定,采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。《企业信息公示暂行条例》第八条规定,企业应当于每年1月1日至6月30日,通过企业信用信息公示系统向工商行政管理部门报送上一年度报告,并向社会公示。第九条规定,企业年度报告内容包括:(一)企业通信地址、邮政编码、联系电话、电子邮箱等信息。……前款第一项至第六项规定的信息应当向社会公示,第七项规定的信息由企业选择是否向社会公示。经企业同意,公某、法人或者其他组织可以查询企业选择不公示的信息。根据《最高人民法院、最高人民检察院关于办理侵犯公某个人信息刑事案件适用法律若干问题的解释》第一条规定,“公某个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。也就是说,公某针对的主体是自然人,不包含单位(企业)与死者在内。三、一审判决适用法律错误,关于公开的公某个人信息获取后出售或者提供的行为,是否需要权利人“二次授权”,目前法律法规和部门规章缺乏明确规定。最高人民法院喻海松在《侵犯公某个人信息罪司法解释理解与适用》一书中认为,在此背景下,除相关权利人要求“二次授权”的外,宜推定存在概括同意,不宜对收集后出售或者提供的行为要求“二次授权”,也就不应认为行为人出售或者“违反国家有关规定”。《信息安全技术个人信息安全规范》规定,个人信息控制者所收集、使用的个人信息系个人信息主体自行向社会公众公开的、从合法公开披露的信息中收集的无需征得个人信息主体的授权同意。四、其在本案中存在不可回避的违法性认知错误,最高人民法院核心刊物《人民法院报》刊载了《公某个人信息刑法保护的例外》一文指出“企业公开信息中的自然人信息不受刑法保护”。《征信业管理条例》第十三条规定,采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。张明楷教授在其《刑法学》一书中也指出,行为人遵从最高人民法院的判例产生了违法性的错误时,或者在判例有分歧,行为人遵从了上级法院的判例而产生了违法性的错误时,以及行为人信赖了主管机关的见解产生了违法性的错误时,均应认定为不可避免的错误。其是一家征信公司的老板,对《人民法院报》刊载的案例及《征信业管理条例》第十三条规定产生了合理信赖,其缺乏违法性的认识具有“相当的理由”,可以阻却责任的成立。综上,其不构成非法侵犯公某个人信息罪,请求二审法院对其改判无罪。
出庭检察员提出......关于徐国成及其辩护人称一审法院错误认定事实,徐国成所出售的信息是公开的企业信息,并非公某个人信息的问题。经审查,公安机关抽样进行查询并电话联系企业法人核实,未发现有企业法人授权“企查查”等在网上公布法人的手机号码,经公安机关随机抽取公司或商户的手机号码,被核实对象均表示手机号码为本人私人号码且未授权网上公开。因此,该部分信息非行为人主动公开的公某个人信息,属于被核实对象的私人手机号码,应认定为公某个人信息,即便是公开的信息,公开性也并非公某个人信息的排除事由,国家企业信用信息公示系统通过合法渠道收集工商企业信息并进行网络公开,其设立目的是方便民众查询以确认该企业信息是否真实有效。可以推断,在该系统进行公开之前,需要经过被收集者(企业法定代表人)的同意,同意的内容应该仅限于在该系统公开,而不包括同意其他人收集其信息并提供给他人,也就是说,行为人可以通过国家企业信用信息公示系统来查询收集相关信息供自己使用,但并不允许行为人在未征得被收集者同意的情况下收集整理,未进行匿名处理的情况下提供给他人。关于徐国成称一审判决引用的司法解释错误的问题。经审查,徐国成引用最高人民法院喻海松的观点认为,个人信息控制者所收集、使用的个人信息系个人信息主体自行向社会公众公开的、从合法公开披露的信息中收集的无需征得个人信息主体的授权同意。但《最高人民法院、最高人民检察院关于办理侵犯公某个人信息刑事案件适用法律若干问题的解释》规定,未经被收集者同意合法收集,向他人提供的属于刑法第二百五十三条之一规定的“提供公某个人信息”,并未区分该信息是否已向社会公开,一审判决对司法解释的适用准确。关于徐国成称在本案中存在不可回避的违法性认知错误的问题。经审查,人民法院报的文章仅是个别法官关于该理论的个人观点,并非最高人民法院的判例,不具有普遍适用性,该文章中所涉案件明确并未查实信息是否属于应该公开的信息,而将案件发回重审。而本案中,经公安机关随机抽取公司或商户的手机号码,被核实对象均表示手机号码为本人私人号码且未授权网上公开,该部分信息属于被核实对象的私人手机号码,应认定为公某个人信息。综上,本案一审判决认定的犯罪事实清楚,证据确实充分,法律适用正确,审判程序合法,建议二审法庭维持原判。
经审理查明,原审判决认定上诉人徐国成、原审被告人范海林、李柏林、李瑞强犯侵犯公某个人信息罪事实清楚,认定该事实的证据均经原审庭审举证、质证,查证属实,能相互印证,且确实充分,足以认定,本院予以确认......关于徐国成及其辩护人提出的其所出售的信息是公开的企业信息,并非公某个人信息的问题。经查,公安机关抽样进行查询并电话联系企业法人核实,未发现有企业法人授权“企查查”等在网上公布法人的手机号码,经公安机关随机抽取公司或商户的手机号码,被核实对象均表示手机号码为本人私人号码且未授权网上公开,应认定为公某个人信息。徐国成及其辩护人提出的诉辩理由不能成立,不予采纳。
【案例三】一审判决书(2018)苏0508刑初40号
本院认定意见:......其次,从在案证据来看,涉案信息提取自公开的商业网站中企业介绍自己生产、经营、销售产品状况的广告信息,其中包含的法定代表人或联系人姓名、手机号码应当是相关当事人自愿公开的,相关人员在将此类信息公开时,必然会预见有被他人使用甚至不当使用的可能性。“未经被收集者同意”不能笼统、狭隘的理解为只要权利人不同意,不管信息已公开与否,不论是否合法途径获取,都不能被使用;在相关信息已经合法对外公开的情况下,要求行为人的收集、整理、交换等行为仍需得到“被收集者同意”的要求过于苛刻也不合理。故在《中华人民共和国刑法修正案(九)》施行之后,根据以上理由,涉案的第二类信息也不应认定为属于《中华人民共和国刑法》第二百五十三条之一侵犯公民个人信息罪所调整的“公民个人信息”范围。
另外,根据最高人民检察院于2018年11月9日发布的《检察机关办理侵犯公民个人信息案件指引》,其中对“公民个人信息的审查认定”一节指出:对于企业工商登记等信息中所包含的手机、电话号码等信息,应当明确该号码的用途。对由公司购买、使用的手机、电话号码等信息,不属于个人信息的范畴,从而严格区分“手机、电话号码等由公司购买,归公司使用”与“公司经办人在工商登记等活动中登记个人电话、手机号码”两种不同情形。依照该规定,如果认为涉案的手机、电话号码是公民个人信息,就应当由公诉机关进一步举证涉案手机、电话号码系归属于个人。当前,公诉机关未作进一步举证,从上述“指引”的角度考查,认定本案相关信息属于“公民个人信息”的证据亦显不足。
综合上述认定,本院认为,在认定侵犯公民个人信息罪所涉及的信息数量时,涉案的第二类信息不应被计入在内。据此,扣除该类信息数量,应认定涉及犯罪的公民个人信息为9.2万余条(即按前述分类的第一类信息)。
本文系未央网专栏作者:张豪 发表,内容属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!转载请标注:我爱技术网——处理网络公开的个人信息,是否构成侵犯公民个人信息罪