随着数字经济不断发展,涉及个人信息保护的违法犯罪数量快速增长。面对严峻的形势,我国立法机关和司法机关加大了对个人信息的保护力度。在2022年9月6日召开的最高人民法院新闻发布会上,最高人民法院相关部门负责人介绍,“从司法实践来看,一些企业、机构存在违法获取、过度使用、非法交易个人信息的问题。人民法院要支持行业主管部门和有关单位采取切实有效措施,健全个人信息日常监管和内部管理机制,为行业有效监管提供有力司法保障”。
个人信息保护的刑事合规是现代企业治理体系在数字经济时代的必然要求,企业应积极防范个人信息刑事法律风险,用严密的管理与法律合规机制杜绝个人信息相关犯罪的发生。与个人信息保护相关的企业刑事合规主要涉及三个场景:网络爬虫、数据采买和数据对外提供。
一、网络爬虫场景中个人信息保护刑事合规风险与完善建议
1.网络爬虫场景中个人信息保护刑事合规风险。通过网络爬虫技术,企业可以根据实际需要经由计算机自动地抓取互联网信息,从而实现对网络信息的高效读取和收集。虽然对网络爬虫技术的合理利用有利于工作效率的提高,但其利用是有合法边界的。从爬虫的司法规制看,已有的司法判决主要关切两方面的问题:一方面是规范爬虫技术的使用规则,另一方面是对爬虫获取对象的数据权益进行确权。总体来看,法院在司法判决中一般以技术中立为原则,不否定爬虫技术的合法性,但为其使用设置严格的边界或限定条件。
作为一种自动化程序,网络爬虫在运行过程中较难直接获得被收集个人信息主体的同意,可能会存在侵犯公民个人信息等刑事风险。例如,9人利用爬虫违规获取企业注册信息,因构成侵犯公民个人信息罪而获刑。又如,利用爬虫技术获取2.1亿条简历数据,被法院以侵犯公民个人信息罪判刑七年、个人罚金1000万元。企业要结合网络安全法、数据安全法和个人信息保护法等法律规定,形成与自身业务规则相融合且行之有效的爬虫管控机制,将个人信息保护的合规义务纳入内部的审批和管理流程中,避免技术滥用。
2. 网络爬虫场景下的刑事合规。网络爬虫场景下个人信息保护的刑事合规,可以从是否遵守robots协议和是否设置抓取内容的限制策略两个方面分析。若网站设置有robots协议,则应严格遵守。尽管目前违反此类协议的抓取是否违法尚有一定争议,但仍应谨慎对待,不宜突破目标网站的反爬技术措施。除遵守robots协议外,设置抓取内容的限制策略也是必要的,并在抓取后对所获内容及时进行审查。如发现数据属于用户的个人信息,则应及时停止抓取,并完整删除已经爬取的数据。
值得注意的是,在与爬虫相关的个人信息保护刑事案件中,仍有一些问题需要明确,并进而统一类案裁判标准。比如,如何界定“侵入计算机系统”,爬虫绕过口令、技术措施, 抑或违反网站上公开的使用声明,是否都属于“侵入”?前述问题的认定,关系到爬虫使用的边界以及具体场景下行为的合法性问题,需要在司法实践中予以明确或统一认定标准。
二、数据采买场景中个人信息保护刑事合规风险与完善建议
1.数据采买场景中个人信息保护刑事合规风险。根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第四条的规定,违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。这就要求企业在获取数据阶段,保证自行收集数据的合规以及从第三方获取数据的合规。而且,企业还需要加强对自己之前获得个人信息行为的自查,在涉及收集、使用个人信息的部门众多、环节复杂时,尤其应重视自查工作,如发现存在超过授权范围或违反其他合法性基础的行为,应及时予以纠正。
基于同意处理个人信息时,应遵循合法、正当、必要原则。这就意味着,并不是获取用户的同意就可以任意处理用户的个人信息,还需要对个人信息处理本身的合法性进行审查,是否符合最小必要原则。但在具体个案中,数据采买场景下,如何理解最小必要,需要通过司法实践的个案裁判予以回应。
2.数据采买场景下的刑事合规。“非法获取”行为的核心特点之一是未经信息主体“同意”且无其他合法依据,据此,企业通过第三方获取数据时,有义务对第三方供应商数据的合法性进行审查并留存证据,避免因第三方数据来源的不合法而引发刑事法律风险。例如,企业要审查供应商数据来源合法的证明文件,查明供应商与用户签订的协议是否明确授权,以及授权使用的范围、用途等,要求供应商提供并签署数据未侵犯他人个人信息和其他合法权益的承诺书。
然而,目前对于数据接收方审查所要达到的程度,法律规定不够具体、明确,造成了实践中做法的不统一,甚至是冲突。因此,数据接收方对数据提供方获得用户授权的审查要达到何种程度,宜通过司法裁判予以明确:数据接收方对用户授权承担形式审查义务,还是承担实质审查义务、审查每条授权的实际情况,抑或是按比例抽查等其他方式?
三、数据对外提供场景中个人信息保护刑事合规风险与完善建议
1.数据对外提供场景中个人信息保护刑事合规风险。对数据密集型企业而言,数据是重要的生产资源,在技术研发、算法优化、用户拓展、产品或服务升级与营销推广等方面有不可替代的作用。由于企业难以掌握生产经营各领域的全部数据,通常会选择通过数据交易来获取对其有价值的数据并将该数据投入运用。在数据交易的过程中,必然涉及数据的对外提供,企业可能因此而承担个人信息保护的刑事法律风险。
2.数据对外提供场景下的刑事合规。企业在对外提供个人信息的过程中,应当明确数据授权与使用的界限,使数据的使用具有合法性基础。具体来看,企业应做到以下三点:第一,对业务端在不同场景下对外提供个人信息进行合规培训。第二,对外提供个人信息时应取得用户的充分授权,合法合规进行,并与接收方约定处理目的、范围、处理方式及数据安全保障措施,并通过签订合同明确双方的数据安全义务与责任。同时,根据双方签署的合作协议,对数据接收方的处理活动进行监督。第三,建立最小授权的访问控制策略,对个人信息的重要操作需设置内部审批流程,对安全管理人员、数据操作人员、审计人员进行角色分离,超越权限处理个人信息的,应经个人信息保护责任人或者个人信息保护工作机构审批并记录。
我国数字经济向前发展,必然涉及数据的使用与处理,以及立足大数据的算法训练。就司法审判实践来说,对个人信息进行保护具有保护个人信息权益和促进个人信息合理使用的双重目的。如何在承认商业用途中合理使用的合法性前提之下,进一步完善相关权利义务的配置,构建个人信息合理使用的外在制度限制,进而协调个人信息保护与技术发展的关系,是对司法的一个挑战。
目前,个人信息保护与数据安全方面的立法仍处于发展之中,企业一方面要遵守现行法律法规,另一方面亦应加强对最新司法案例、行政执法的研究、跟进,防止出现因对法律法规理解不到位而引发合规风险的情况。构建个人信息保护刑事合规体系是一个系统性的工程,行之有效的个人信息保护刑事合规体系要求企业结合自身现有和将要开展的业务实际制定可行性方案,建立法定义务识别及个人信息保护的风险控制机制,并有计划地开展落地工作,实现顶层设计和落地执行合一,从而确保个人信息保护制度发挥实效。此外,企业还需要对数据安全和个人信息保护情况定期进行“合规审计”,并与相关主管部门、专业第三方组织建立稳定、畅通的沟通、咨询渠道,以加强外部监督。
[作者张建肖系理想汽车法规研究院院长 本文系最高人民法院2022年度司法研究重大课题“个人信息保护司法路径研究”(ZGFYZDKT202212-02)的阶段性成果]
来源:人民法院报