新法在即，数据合规的核心要点？

对于数据合规，我们已经写了数篇文章和PPT，咱们继续这个话题，带动大家一起学习研究。今天飒姐将文字版分享给大家，关键词是侵犯公民个人信息罪、数据刑事合规、肖飒，用于搜索使用。好，现在我们开始谈今天的话题。

前提

数据权到底是谁的？

个人信息的所属问题之所以复杂，其主要原因是数据主体和数据控制者的分离。也就是说，个人信息确实是来源于自然人的人格权，但是其一旦被互联网企业抓取、爬取或使用后生产处来的“加权数据”实际上并不由自然人控制而是由互联网企业这样的数据控制者真正支配。

从欧盟《一般数据保护条例》来看，其强调个人信息归属于自然人本身，因此给予多种民事权利，例如：遗忘权、撤回权、修改权等。而美国的司法实践是个人信息以“隐私权”为请求权基础，其更侧重对儿童等特殊群体的立法保护，其他数据多数有行业自律方式完成规制。

我国对个人信息的保护经历了漫长的摸索阶段，自山东徐玉玉案件后，对于公民个人信息的保护提到了很高的层面，近期公开征求意见的《个人信息保护法》（草案）其法律位阶就表明了我国立法者的态度。从草案中对于“被采集人同意”后允许相关企业处理信息，我们清晰地看到，对于自然人个人信息的权属实质上还是归还给了个人本身。也就是说，我们每个人是自己信息的“拥有者”，倘若有人要借用，必须经过明确告知，我们要同意后方可进行。

然而，我国人口众多也必然是数据大国，对于数据这种“生产要素”不可能不开发使用，因此，我们在欧盟和美国之外走出了自己的道路，那就是在承认公民个人信息属于个人的基础上，对于匿名化的信息可以进行市场运用。我认为，这种折中的做法符合当下中国国情。当然，在未来这部法律实施过程中，很可能会出现个人人格权保护与数据财产权保护之争，这几乎是必然会出现的，到那时就会有纠纷甚至刑事案件出现，为了减少侵犯公民个人信息罪对于数据行业的影响，有必要未雨绸缪对公民个人信息法与刑法相结合的要点进行阐述。

一、

公民个人信息的内涵与外延

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定：

公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证号码、通讯联系方式、住址、账户密码、财产状况、行踪轨迹等。

但未来《个人信息保护法》对于个人信息的定义是：以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

个人信息就是公民个人信息，且《个人信息保护法》一旦出台就是效力颇高的法律显然比司法解释位阶更高。飒姐认为，还是应该遵从个人信息保护法对于个人信息的定义，坚决将收集、存储、使用、加工、传输、提供、公开“匿名化处理后的信息”从涉刑的风险中剥离出去。不要小瞧这个点，未来实践中大概率会出现此类争议。认定匿名化的标准指引可参见：《GB/T 37964-2019 信息安全技术 个人信息去标识化指南》。

二、

委托处理个人信息，容易形成信息沉淀

飒姐经手的江苏某市涉嫌侵犯公民个人信息罪的案件中，存在客户委托支付机构从事支付业务，后第三方支付平台沉淀信息，并将信息进行处理流入社会。

三、

对于“提供"公民信息的理解

根据飒姐的办案经验和咨询反馈，我们发现赤裸裸地售卖数据虽然还存在，但相较于之前还是有所收敛。如今使用数据的方式主要集中在利用数据制作“评分类产品”，根据自己沉淀的数据库有偿提供YES or No的类征信服务。

实践中，各地对于有偿提供评分业务的法律定性不一，金融监管部门倾向于宽容，公安办案机关倾向于严格规制。

飒姐认为，在委托处理个人信息的场合，经常出现数据沉淀，根据沉淀多年的数据库进行有偿输出评分类产品还是违法行为，一旦有5000元以上违法所得，即可能构成2017年两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条的定罪标准。（所谓违法所得即从事违法行为的全部实际收入。）

四、

信息处理者向第三方提供匿名化信息是否构成帮助犯?

按照新法规定，个人信息处理者向第三方提供匿名化信息的，第三方不得利用技术等手段重新识别个人身份。但是，个人信息处理者提供的匿名化信息到底能不能被“回溯”为特定自然人，这是有可能的。

实践中，可能会引发这样的刑法问题，向第三方提供匿名化信息到底是中性帮助行为还是帮助犯，详见周光权论文。

五、

经常被忽略的公共场所监控摄像头

以前刑法第253条之一很少提及公共场所的摄像头录像问题，也容易被大家忽视。现在可以明确此种录像录音也属于个人信息，不得被随意公开或出售。一旦违反就是违法，继而进入犯罪圈。

六、

数据合规策略

根据法秩序统一性原则，只需做好数据合规，就能有效避免个人信息的犯罪。

具体做法：

《个人信息保护法》（草案）

第五十条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等，采取必要措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除：

(一)制定内部管理制度和操作规程；

(二)对个人信息实行分级分类管理；

(三)采取相应的加密、去标识化等安全技术措施；

(四)合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

(五)制定并组织实施个人信息安全事件应急预案；

(六)法律、行政法规规定的其他措施。

第五十四条 个人信息处理者应当对下列个人信息处理活动在事前进行风险评估，并对处理情况进行记录：

(一)处理敏感个人信息；

(二)利用个人信息进行自动化决策；

(三)委托处理个人信息、向第三方提供个人信息、公开个人信息；

(四)向境外提供个人信息；

(五)其他对个人有重大影响的个人信息处理活动。

风险评估的内容应当包括：

(一)个人信息的处理目的、处理方式等是否合法、正当、必要；

(二)对个人的影响及风险程度；

(三)所采取的安全保护措施是否合法、有效并与风险程度相适应。

风险评估报告和处理情况记录应当至少保存三年。

第五十五条 个人信息处理者发现个人信息泄露的，应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：

(一)个人信息泄露的原因；

(二)泄露的个人信息种类和可能造成的危害；

(三)已采取的补救措施；

(四)个人可以采取的减轻危害的措施；

(五)个人信息处理者的联系方式。

个人信息处理者采取措施能够有效避免信息泄露造成损害的，个人信息处理者可以不通知个人；但是，履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的，有权要求个人信息处理者通知个人。

注意：若无法履行第五十五条规定的义务，还可能触犯拒不履行信息网络安全管理义务罪。（刑法第二百八十六条之一）

七、

行政调查与刑事侦查的无缝连接

《个人信息保护法》（草案）

第五十九条 履行个人信息保护职责的部门履行个人信息保护职责，可以采取下列措施：

(一)询问有关当事人，调查与个人信息处理活动有关的情况；

(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料；

(三)实施现场检查，对涉嫌违法个人信息处理活动进行调查；

(四)检查与个人信息处理活动有关的设备、物品；对有证据证明是违法个人信息处理活动的设备、物品，可以查封或者扣押。

履行个人信息保护职责的部门依法履行职责，当事人应当予以协助、配合，不得拒绝、阻挠。

写在最后

《个人信息保护法》（草案）最有杀伤力的一句话：

第六十七条　违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。