「晒客析法③」如何打击个人信息交易的黑产，且看法释〔2017〕10号文

作者：Plucky & William

在日常生活中，我们不乏遭遇这样的场景：刚去物业公司登记了业主信息，就有装修公司、中介公司联系装修和卖房意向；前脚签了购车合同，出了4S店的大门就有保险公司上门推销保险；好不容易考完要命的考试，就要忍受一大堆改分、包过的信息骚扰……个人信息泄露已经成为这个时代不可忽视的问题。

在10亿用户数据=30万美元，除了Facebook，还记得这些灾难级的数据泄露事件么？这篇文章中，我们列举了大量可谓灾难级的数据泄露事件，其中既有“天灾”，更不乏“人祸”。在“灾难性事故”频发与监管机构明令整顿的同时，各地公安均以雷霆之势惩戒犯罪：

• 2017年以来，上海公安破获各类侵犯公民信息案件1300余起。

• 2018年2月以来，辽宁省公安机关开展“猎网”专项行动，累计共侦破侵犯公民个人信息犯罪案件36起，打掉公民个人信息泄露源头30个，冻结赃款2300余万元，涉案资金达6亿元。

• 2018年5月24日以来，深圳警方在全市共查处涉骚扰信息违法犯罪窝点24个，共缴获非法公民个人信息139万余条。侵犯公民个人信息牟利方式转向利润更高的互联网投资类诈骗、债务催收。

• 2018年6月，重庆市公安局渝中区分局破获一起特大侵犯公民个人信息案，涉及全国28个省市，共查获涉案公民个人电子信息超过130GB。

为了进一步打击个人信息交易的黑产，最高人民法院、最高人民检察院于2017年5月9日联合发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号文）。 今天，我们的主题就围绕“侵犯公民个人信息刑事犯罪”这一主题，以五个典型问题说明法释〔2017〕10号文中的重要问题。

法释〔2017〕10号文词频统计图

Q

哪些是公民个人信息？

《解释》第一条对“公民个人信息”作了界定，包括：

1）概括性的规定，即以电子或者其他方式记录的，能够单独或者与其他信息结合，识别特定自然人身份，或者反映特定自然人活动情况的各种信息。

2）具体性的规定，即其中所列举的，包括“姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”信息，并将进一步在司法实践中囊括其他的信息种类。

一个词拎重点，就是“特定”。

Q

规制了哪些信息获取方式？

《刑法》第二百五十三条及《解释》第四条相结合，规范了三类“非法获取公民个人信息”的情形：

1）窃取公民个人信息；

2）违反国家有关规定，以购买、收受、交换等方式获取公民个人信息；

3）在履行职责、提供服务过程中收集与提供的服务无关的个人信息；

需要注意的是，结合《网安法》第四十一条的规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，换言之，公民个人选择公开的信息不等于公民同意被收集，收集使用公民公开的个人信息仍需取得个人同意。

一个词拎重点，就是“同意”。

Q

什么情况下构成“为合法经营而非法购买、收受信息”？

《解释》第六条某种程度上减轻了在“合法经营”情况下“非法购买、收受信息”的刑事责任，具体来讲，如果：

1）为了合法经营活动的目的；

2）非法购买、收受的限于普通公民个人信息（即不包括可能影响人身、财产安全的敏感信息）；

3）信息没有再流出扩散（即行为方式限于购买、收受）

那么在①利用这些信息获利5万元以上；②曾因侵犯公民个人信息遭受过刑事处罚或者两年内受到行政处罚仍然再犯；或者③其他严重情形的情况下，才会被认定为“情节严重”。

一个词拎重点，就是“自用”。

Q

什么情况下构成“合法提供公民个人信息”？

基于大数据发展的现实需要，《网安法》在法律层面为个人信息交易和流通留有一定空间，其第四十四条规定任何个人和组织“不得非法出售或者非法向他人提供个人信息”，即不仅允许合法提供公民个人信息，而且为合法出售公民个人信息留有空间。

同时，《网安法》第四十二条第一款进一步明确了合法提供公民个人信息的情形，规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。”据此，合法提供公民个人信息包含两种情形：

1）经得被收集者同意；

2）经过差分隐私等手段进行匿名化处理（剔除可识别特定个人的信息）；

基于此，《解释》第三条在定义“非法提供公民个人信息”的情形时，也给如上合法情形留了例外。

一个词拎重点，就是“匿名”。

Q

网络服务提供者需要承担什么责任？

当前，一些单位因为履行职责或者提供服务的需要，掌握着海量公民个人信息，这些信息一旦泄露将造成恶劣社会影响和严重危害后果。实际上，侵犯公民个人信息违法犯罪的猖獗，与有关单位保护公民个人信息工作存在疏漏有一定关联，相关管理机制有进一步完善的空间。

这一问题在互联网时代更为突出。为了促进网络运营者采取切实有效的措施加强对公民个人信息的保护，《网安法》明确了网络信息安全的责任主体，确立了“谁收集，谁负责”的原则，将收集和使用个人信息的网络运营者，设定为个人信息保护的责任主体。其中，第四十条明确规定：“网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。”

与之相衔接，《刑法修正案（九）》设立了拒不履行信息网络安全管理义务罪，规定网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户信息泄露，造成严重后果的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。因此，对于网络服务提供者未切实落实个人信息保护措施，符合刑法第二百八十六条之一规定的，可能构成拒不履行信息网络安全管理义务罪。

一个词拎重点，就是“管理”。

后记

《解释》一方面奠定了对于侵犯公民个人信息的违法犯罪行为追究到底的基调，另一方面则给合法使用公民个人信息留了操作空间。模糊的法律才是最危险的法律，在大数据、互联网时代，进一步划清罪与非罪的界限，是促进整个行业发展不可或缺的重要因素。

福利派送：关注并回复数字21，获取完整10号文点评。

「 本文仅代表作者个人观点 」

- END -

系列往期文章：

「晒客析法①」AI助力，新鲜出炉的银保22号文了解下？

    扫码关注，更多精彩！