天元律师事务所

文丨天元律师事务所广州分所常跃全、肖荣、陈蔚

近年来，随着《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》等相关法律法规的相继制定和实施，相关部门对个人信息保护以及数据安全方面的监管逐渐加强，司法部门对于涉及到刑事犯罪层面的侵犯公民个人信息和数据安全类行为的打击力度也更甚从前。
2022年8月10日，最高人民检察院（以下简称“最高检”）于其官方网站发布了第三批涉案企业合规典型案例[1]，这也是2022年4月最高检部署在全国范围全面推开涉案企业合规改革试点工作之后，首次发布涉案企业合规典型案例。
本批典型案例共5件，分别涉及互联网企业数据合规、证券犯罪内幕信息保密合规、中介机构简式合规、矿区非法采矿行业治理、高科技民营企业合规等方面。最高检第四检察厅负责人表示：“2021年3月至2022年6月底，全国各地检察机关累计办理涉企业合规案件2382件，其中适用第三方监督评估机制案件1584件，对整改合规的606家企业、1159人依法作出不起诉决定，较改革试点全面推开前增长明显。”
为了协助涉及数据处理业务的企业提前防范风险，本文将梳理刑事数据合规所涉法律法规规定以及案例，就数据处理者在日常经营中可能会面临的刑事风险做出提示，并就企业数据合规工作提出意见、建议。

一、可能触及的犯罪以及所涉法律法规规定
数据处理者违反《中华人民共和国刑法》规定，可能被追究以下刑事责任：侵犯公民个人信息罪、破坏计算机信息系统罪、非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪、拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪、侵犯商业秘密罪等。
本部分将仅对侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪、非法获取计算机信息系统数据罪这三个罪名进行展开。
（一）侵犯公民个人信息罪
●《中华人民共和国刑法》
第二百五十三条之一第一款：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”
第二百五十三条之一第三款：“窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。”
●最高院、最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
第一条：“刑法第二百五十三条之一规定的‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
第五条第一款：“非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的‘情节严重’：（一）出售或者提供行踪轨迹信息，被他人用于犯罪的；（二）知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；（四）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；（五）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；（六）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；（七）违法所得五千元以上的；（八）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；（九）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；（十）其他情节严重的情形。”
第五条第二款：“实施前款规定的行为，具有下列情形之一的，应当认定为刑法第二百五十三条之一第一款规定的‘情节特别严重’：（一）造成被害人死亡、重伤、精神失常或者被绑架等严重后果的；（二）造成重大经济损失或者恶劣社会影响的；（三）数量或者数额达到前款第三项至第八项规定标准十倍以上的；（四）其他情节特别严重的情形。”
（二）拒不履行信息网络安全管理义务罪
●《中华人民共和国刑法》
第二百八十六条之一第一款第二项：“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：（一）致使违法信息大量传播的；（二）致使用户信息泄露，造成严重后果的；（三）致使刑事案件证据灭失，情节严重的；（四）有其他严重情节的。”
●最高院、最高检《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》
第四条：“拒不履行信息网络安全管理义务，致使用户信息泄露，具有下列情形之一的，应当认定为刑法第二百八十六条之一第一款第二项规定的‘造成严重后果’：（一）致使泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以上的；（二）致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上的；（三）致使泄露第一项、第二项规定以外的用户信息五万条以上的；（四）数量虽未达到第一项至第三项规定标准，但是按相应比例折算合计达到有关数量标准的；（五）造成他人死亡、重伤、精神失常或者被绑架等严重后果的；（六）造成重大经济损失的；（七）严重扰乱社会秩序的；（八）造成其他严重后果的。”
（三）非法获取计算机信息系统数据罪
●《中华人民共和国刑法》
第二百八十五条第二款：“违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”
●最高院、最高检《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》
第一条：“非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的‘情节严重’:（一）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；（二）获取第（一）项以外的身份认证信息五百组以上的；（三）非法控制计算机信息系统二十台以上的；（四）违法所得五千元以上或者造成经济损失一万元以上的；（五）其他情节严重的情形。实施前款规定行为，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的‘情节特别严重’:（一）数量或者数额达到前款第（一）项至第（四）项规定标准五倍以上的；（二）其他情节特别严重的情形。”
二、相关案例
●“大数据行业第一股”数据堂员工侵犯公民个人信息案
（2018）鲁1325刑初63号/   （2018）鲁13刑终549号
数据堂（北京）科技股份有限公司（以下简称“数据堂”）成立于2011年，被称为“国内首家大数据交易平台”、“大数据行业第一股”，是大数据行业内的先行者。2014年11月，数据堂在新三板上市，高管团队来自明星互联网公司和知名院校，2016年，其市值一度达21亿元。
自2017年起，数据堂就深陷出卖个人信息刑事案件风波，该案系公安部、最高检察院督办的特大侵犯个人信息专案，数据堂的6名员工涉及其中。不同岗位的员工负责信息搜集、处理、交易各环节，并根据用户兴趣、爱好等分别打上不同标签，之后依据客户需求向其精准营销。检方的起诉书称，“数据堂共向金时公司交付包含公民个人信息的数据60余万条。金时公司共计向客户发送公民个人信息168万余条。”
终审法院认为，涉案被告人均构成“侵犯公民个人信息罪”，并处以十个月至四年六个月不等的刑期；在侦查阶段由侦查机关依法追缴的数据堂违法所得人民币七十万元，由追缴机关依法上缴国库。虽然数据堂未被作为单位起诉，但是本案6名涉案人员中有4人为数据堂的高管或者部门负责人，数据堂的CEO齐红威、联合创始人肖永红在内的多名高管也均曾接受过调查。
风险提示
1、   未经个人同意的数据交易涉嫌构成侵犯公民个人信息罪。《个人信息保护法》第二十三条规定：“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。
2、   涉案企业员工的职位越高（比如企业高管），可能面临的刑事责任越大。即使是从事技术性工作的人员，也并不必然免除其刑事责任。
●“爬虫涉刑第一案”——摩羯科技
（2020）浙0106刑初437号
杭州摩羯数据科技有限公司（以下简称“摩羯科技”）成立于2016年，是金融大数据领域领先的数据采集、分析、挖掘与机器学习SaaS服务提供商，其主要方式是摩羯科技将其开发的前端插件嵌入上述网贷平台APP中，在网贷平台用户使用网贷平台的APP借款时，贷款用户需要在摩羯科技提供的前端插件上，输入其通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等网站的账号、密码，经过贷款用户授权后，摩羯科技的爬虫程序代替贷款用户登录上述网站，进入其个人账户，利用各类爬虫技术，爬取（复制）上述企、事业单位网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据，并按与用户的约定提供给网贷平台用于判断用户的资信情况，并从网贷平台获取每笔0.1元至0.3元不等的费用。
根据摩羯科技在和个人贷款用户签订的《数据采集服务协议》，魔蝎科技明确告知贷款用户“不会保存用户账号密码，仅在用户次单独授权的情况下采集信息”，但在实际使用过程中未经用户许可，仍采用技术手段长期保存用户隐私信息并存于租用的阿里云服务器中。截至2019年9月案发时，法院等部门对摩羯科技租用的阿里云服务器进行勘验检查，发现以明文形式非法保存的个人贷款用户各类账号和密码条数多达21,241,504条。其中大部分账号密码无法二次使用，仅有邮箱等部分账号密码存在未经用户授权被摩羯科技二次使用的情况。
法院认为，被告单位杭州魔蝎数据科技有限公司以其他方法非法获取公民个人信息，情节特别严重，其行为已构成侵犯公民个人信息罪。判决摩羯科技犯侵犯公民个人信息罪，判处罚金人民币30,000,000元；其法定代表人周某翔犯侵犯公民个人信息罪，判处有期徒刑三年，缓刑四年，并处罚金人民币500,000元；负责编写具有保存用户账户密码功能的网关程序的被告人袁某犯侵犯公民个人信息罪，判处有期徒刑三年，缓刑三年，并处罚金人民币300,000元。
风险提示
1.   网络爬虫技术的使用存在较大风险，应谨慎处理，利用该技术非法抓取公民个人信息，用于出售牟利，可能涉嫌侵犯公民个人信息罪。
2.   使用网络爬虫技术抓取用户数据时，应当经过用户的授权，且应当避免超出数据访问授权的权限，否则也会涉嫌侵犯公民个人信息罪。

●李小全拒不履行信息网络安全管理义务
（2020）云0103刑初1206号
被告人李小全系远特（北京）通信技术有限公司的高级运营总监。2016年12月21日，远特（北京）通信技术有限公司因违反《电话用户真实身份信息登记规定》第六条被辽宁省通信管理局处以三万元人民币罚款，并责令立即改正；2017年1月10日工业和信息化部网络安全管理局在《关于电话用户真实身份信息登记违规行为的通报》中，对抽查远特（北京）通信技术有限公司部分网点违反实名制问题进行了通报，提出立即进行整改并严格落实电话用户登记工作的有关规定；2017年2月21日工业和信息化部办公厅《关于防范打击通信信息诈骗工作专项督导检查情况的通报》中对远特（北京）通信技术有限公司检查存在的“电话实名工作落实情况”问题进行了通报，并要求进行整改。以上相关部门的处罚及责令改正情况均与违反实名制规定有关。
被告人李小全负有查验、评估、审核行业卡使用情况的职责，在明知违反实名制管理规定的情况下，仍然将大量带有公民个人信息的回收卡交给亚飞达信息科技股份有限公司，违反用户实名制进行挑卡，造成严重后果，且在两年内经监管部门多次责令改正而拒不改正。2020年7月14日，经工业和信息化部网络安全管理局出具《关于涉及远特（北京）通信技术有限公司相关咨询的复函》证实，远特（北京）通信技术有限公司将绑定个人微信号的移动电话卡回收制作成行业卡销售给其他公司，为落实行业卡短信功能限制要求，未认真履行行业用户安全评估责任，违反了电话用户实名制、行业卡安全管理等相关规定。
法院认为，被告人李小全无视国家法律，作为网络服务提供管理者，拒不履行信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，其行为已构成拒不履行信息网络安全管理义务罪，判处有期徒刑一年零三个月，并处罚金5000元。
风险提示
网络服务提供者开展数据处理活动时应当履行数据安全保护义务，若未尽此义务，经监管部门责令采取改正措施应当积极及时整改，否则若导致用户数据泄露或违法信息传播或致使刑事案件证据灭失等等危害结果，则涉嫌拒不履行信息网络安全管理义务罪。
●上海晟品网络科技有限公司、侯明强等非法获取计算机信息系统数据罪
（2017）京0108刑初2384号
被告单位上海晟品网络科技有限公司主管人员，在上海市共谋采用技术手段抓取被害单位北京字节跳动网络技术有限公司服务器中存储的视频数据，并由被告人侯明强指使被告人郭辉破解北京字节跳动网络技术有限公司的防抓取措施，实施视频数据抓取行为，造成被害单位北京字节跳动网络技术有限公司损失技术服务费人民币2万元。
法院认为，被告单位上海晟品网络科技有限公司犯非法获取计算机信息系统数据罪，判处罚金人民币二十万元；上海晟品网络科技有限公司法定代表人张洪禹被判决构成非法获取计算机信息系统数据罪，判处有期徒刑一年，缓刑一年，罚金人民币五万元；其他被告人均被认定为构成非法获取计算机信息系统数据罪判处九个月至十个月不等的刑期。
风险提示
企业在进行网络爬虫抓取行为时，应当遵守目标网站Robots协议，若采取对抗“反爬虫”措施的技术行为，突破访问限制抓取数据信息，可能涉嫌非法获取计算机信息系统数据罪。

三、律师建议
基于上述法律法规规定以及案例分析所揭示的刑事法律风险，我们提示涉及数据处理的企业一定要重视数据刑事合规，加强风险监控、识别、规避的意识和能力。参考上海市杨浦区人民检察院、上海市杨浦区工商业联合会、上海市信息服务业行业协会联合发布的《企业数据合规指引》，我们建议相关企业建立内部的数据合规体系，以降低企业及其员工涉数据类违法犯罪的风险。
（一）   设立企业合规责任人。企业的最高管理者是数据合规的第一责任人。最高管理者应当承担以下职责：（1）分配足够和适当的资源来建立、发展、实施、评估、维护和改进数据合规管理体系；（2）确保建立举报数据违规的有效机制；（3）确保战略和运营目标与履行数据合规义务之间的一致性；（4）建立和维护问责机制，包括纪律处分和后果；（5）确保将数据合规落实情况和效果纳入企业内部人员绩效考核体系。
（二）   设置专门的数据合规管理部门。该部门应当与法务部门区分开，各自履行不同的职能。企业应当向数据合规管理部门负责人提供足够的授权、人力、财力来支持数据合规管理体系的运行。一般由董事会直接设立企业合规部门，下设数据合规管理部门等各类专业合规部门。
（三）   制定数据合规计划。数据合规部门负责人应结合企业自身的经营范围、行业特征、监管政策、风险识别等因素制定并不断完善数据合规计划。数据合规计划应当根据企业内部环境和外部环境的变化不断调整，以帮助企业应对各种风险的挑战。
（四）   识别风险。企业开展数据合规管理应当准确识别风险。常见的数据风险包括数据全生命周期各阶段中可能存在的未授权访问、数据滥用、数据泄漏等风险，以及侵犯个人信息、非法获取计算机信息系统数据、传播违法信息、侵犯知识产权、非法跨境提供数据等刑事犯罪风险，企业应根据识别出的风险评估相关经营管理和业务行为是否合规。
（五）   建立健全数据安全事件应急预案与风险处置机制。在识别数据风险内容的基础上，可根据自身经营规模、组织体系、业务内容以及市场环境，分析和评估数据风险的来源、发生的可能性、后果的严重性等，并对数据风险进行分级。对识别和评估的各类数据风险设置恰当的控制和应对措施来降低风险，必要时停止相关风险行为。发生个人信息等数据泄露、篡改、丢失等事件的，数据处理者应当立即采取补救措施，并通知所在地区的数据监管部门。安全事件涉嫌犯罪的，应当及时向公安机关报案。
（六）   积极应对数据监管部门的调查。当企业受到数据监管部门调查时，应通知管理层、法务负责人、数据合规负责人和相关业务工作负责人等，按照企业内部受调查操作流程妥善应对，进行内部初步调查，分析相关法律法规并评估数据违法行为成立的可能性与法律后果。
（七）   数据处理者应当建立便捷的数据安全投诉举报渠道，及时受理、处置数据安全投诉举报。
注释：
[1]https://www.spp.gov.cn/spp/xwfbh/wsfbt/202208/t20220810_570413.shtml#1

相关领域: 数字经济合规