大数据企业刑事合规：如何面对侵犯公民个人信息

2019年10月，一篇 《祸起套路贷：违规爬虫被查，大数据风控公司遭遇生死劫》的网文刷爆朋友圈，文中将9月以来公安机关对浙江杭州等地的多家数据公司开展刑事调查称为“席卷大数据风控行业的风暴”，由此也提出了一个严峻的问题，大数据行业到底如何才能合法生存？

对大数据行业普遍的工作模式进行简单的概括，即利用爬虫等各种技术手段通过互联网等多元渠道获取指向目标单元的各类直接或者间接的信息，通过一定的算法或者模型，对数据进行汇总和分析，从而得出目标单元的行为模式或具体行为预判的结果并加以应用。单纯从定义上来看，大数据行业是一个中性的技术主导的行业，并无任何违法犯罪的原罪。那么，为何会面临刑事调查的风暴呢？问题就出在几个关键词：技术手段、渠道和信息这三者上。

以常用的爬虫技术来说，通过爬虫程序在互联网上按照一定的规则获取信息，虽然爬虫技术看起来是中立技术，无罪，但是，对爬虫程序的设计决定了其获取的渠道和信息种类，从而也就决定了爬虫程序的合法与否，通过公开渠道获取公开信息当然只是获取，在这个阶段显然是无罪的，如果是利用爬虫程序绕过监管、获取私密信息，从一开始就涉嫌违法犯罪也是显而易见的。

当然，公开渠道获取公开信息虽然在信息获取这个阶段是无罪的，如果获取信息之后加以非法利用也有可能涉嫌犯罪。2017年6月1日起施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下称《司法解释》）第三条第二款规定：未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的“提供公民个人信息”。该条款直接将合法收集和犯罪连接到了一起，虽然有个前置条件“未经被收集者同意”，但是爬虫程序显然不可能设置申请被收集者同意这一环节。

是否爬虫获取公开信息必然有罪？显然也不是。法律是精确的，该条款仅适用于收集“公民个人信息“这一范围，并且要“向他人提供”，同时，“但是经过处理无法识别特定个人且不能复原的除外”。也就是说，如果利用爬虫程序获取公开信息并非公民个人信息，或者获取之后并未向他人提供，或者提供的公民个人信息已经经过处理而失真且不能复原，自然不必担心涉嫌犯罪。

但真这么简单就可以回避？不可能。看一下被调查的大数据企业的盈利模式就可以发现，直接打包出售数据或者出售直接调用数据库的“风控系统”最为普遍。而其中所包含的数据，其实就是公民个人信息。再回过头看《司法解释》第一条所规定的公民个人信息：刑法第二百五十三条之一规定的“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。这些公民个人信息就是最直接和最有价值的数据，隐私程度越高，越能产生价值。

如何才能合法生存？我国的法律是否已经关上了大数据行业利用个人信息的大门？当然不是。我国互联网经济能够发展到今天，其中少不了大数据行业的功劳，没有大数据分析和利用，就不会有各种精准营销，以服务业为代表的第三产业就面临市场开拓和发展的茫然和浪费，政府社会调控也无法实现精准化精细化，乃至犯罪预防和打击也无法提升至目前安全感满意度较高的水平。放眼世界，除了欧洲于2018年5月25日正式出台了新隐私保护法《通用数据保护条例》(General Data Protection Regulation, 简称GDPR)，其他国家的数据隐私保护均仅仅散见于一些判例和司法解释，并未出现普遍严刑峻法的形势。出现这样的局面，其实很容易理解，只要看看前二十大互联网企业有哪些：

玛丽·米克尔《2018互联网趋势报告》

其实，欧盟的通用数据保护条例可以看作对自己在互联网行业乃至背后的大数据行业丢失掌控权的行政挽救手段。这也是欧盟面对互联网产业为代表的弱势产业采用的惯常做法，典型的案例有：

★ 2013年3月6日，欧盟对微软开出5.61亿欧元的罚单。

★ 2014年9月，飞利浦、三星电子和英飞凌科技公司因串谋操控SIM卡价格，欧盟对其开出1.38亿欧元的罚单。

★ 2015年11月6日，欧盟以反垄断为由，对英特尔开出10.6亿欧元的罚单。

★ 2015年9月，欧盟对高通进行反垄断调查；2018年，高通被罚款9.97亿欧元。

★ 2017年6月，欧盟以反垄断为由对谷歌处以24.2亿欧元罚款。

★ 2018年7月，欧盟宣布对谷歌处以43.4亿欧元罚款。

★ 2019年7月，欧盟宣布对高通处以2.42亿欧元罚款。

因此，抛开欧盟的特例，依据我国的现行法律制度再结合美国的案例来看大数据企业合规更有实际指导意义。

我国是采用民法、刑法、行政法结合的方式来进行公民个人信息保护。相应的法规为：

☑《民法典》草案：人格权编第六章，隐私权和个人信息保护，第一千零三十二条至第一千零三十九条。

☑《网络安全法》：第四章第四十条至第四十五条等。

☑《刑法》第二百五十三条之一；《最高人民法院、最高人民检察院〈关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释〉》。

上述法律法规将公民个人信息的保护分别从平等主体之间调整上升到行政机关和行政相对人之间管理以及最终国家司法机关强制力的保障，基本形成了多层次、全面化的保护体系。而大数据企业合规就是要在这样的保护体系中找准定位，在法律允许的范围之内进行合法利用。这不仅仅要对法律法规进行精准解析，也要对其中最为体现司法行政风向标的行政管理行为进行判断。

以上海公安网安部门对APP运营企业的整治行动情况来看，2019年11月以来上海公安网安部门根据《中华人民共和国网络安全法》对13家违法违规APP运营企业予以依法查处。其中，行政警告并限期改正9家，停机整顿4家。（摘自上海市公安局官方微信）

上海公安机关处罚针对的现象是：存在超范围采集用户设备信息、采集用户精准定位信息、采集用户个人通讯录，以及未明示收集使用个人信息的目的、方式和范围等情况。

随后提出的管理重点是：APP不得存在“不公开使用规则就收集个人信息”的情形；APP不得存在“收集时未明示个人信息的目的、方式和范围”的情形；APP不得存在“未经用户同意收集使用个人信息”的情形；APP不得存在“收集与提供服务无关的个人信息”的情形；APP不得存在“非法获取公民个人信息”的情形。

由此可见，目前公安机关的保护重点还是在于保障公民个人的知情权和隐私权，结合《司法解释》第五条可以看出，对于涉及隐私程度越高的公民个人信息，入罪门槛越低，第五条第五项规定的普通个人信息5000条入罪，而且还有第六条合法利用的非罪化条款，而第五条第三第四项规定的隐私类信息不但仅仅涉案最低50条即可入罪，而且第六条的合法经营非罪化条款特意排除了上述隐私类信息。

近期，美国的互联网企业最为醒目的事件就是Facebook因涉及总统大选而接受的一系列调查，其中主要的几个关键点就是：漠视剑桥公司获取8700万脸书用户数据、法律文件显示曾利用用户数据打压竞争对手帮助合作伙伴、第三方合作商在亚马逊的网盘服务中上传大量公开未加密状态的用户信息。

以上三起事件以及相应美国政府和舆论对Facebook公司的质疑显示出对于当今美国社会而言，互联网企业对于用户信息的保护至少应当遵循尽责保护和有限合理利用的原则，漠视数据被收集以及未能采取加密这种合理有效的保护措施的企业显然应当被苛责，而将用户数据作为筹码营造壁垒或者数据霸权当然也不能被公众所接受。

结合上述情况来看，国内的大数据行业的合规建设至少应当关注以下几个重点：

1、工作模式合规

排除直接利用公民个人信息和将信息直接或间接用于犯罪的工作模式。

2、人员管理合规

排除工作人员对收集的信息不必要的接触。

3、信息来源合规

通过合法渠道合法授权获取信息。

4、信息保护合规

采用加密等合理保护措施避免信息泄露。

5、信息利用合规

在授权范围内合理利用、合法经营。

6、应急措施合规

在出现信息泄露等意外情况后及时采取合理合法措施开展应急补救、防止损失扩大。

7、监管应对合规

在面对行政部门监管或司法部门调查时及时对自身的制度和工作进行审视总结汇报，避免单纯被动调查造成损失。

作者：徐科峰

来源：大成辩护人

小编微信：Crocso 如欲就法务与合规管理进行交流、培训、咨询等，可与我联系，将为您推荐大咖老师、资深专家和律师。