• <output id="qgjlo"><strong id="qgjlo"><xmp id="qgjlo"></xmp></strong></output>

      1. <p id="qgjlo"></p>

        <object id="qgjlo"></object>
        <table id="qgjlo"><strike id="qgjlo"><b id="qgjlo"></b></strike></table>
      2. 個人信息刑法保護與網絡企業風控思維
        2021/7/23 15:09:18  點擊率[243]  評論[0]
        【法寶引證碼】
          【學科類別】刑法學
          【出處】《人民檢察》2018年第18期
          【寫作時間】2018年
          【中文摘要】當前,聚焦個人信息處理領域,一方面,網絡企業獲得了新的技術支持,產生了新的應用內容。另一方面,其也面臨新的技術要素、組織管理、在線內容等領域的風險。加強網絡企業的個人信息保護,應在梳理相關政策規范框架體系的基礎上,以具體的司法解釋為指引,建立健全刑事風險管理機制,在個人信息的收集、保存、使用與對外提供等方面注重維護信息主體的個人信息安全。
          【中文關鍵字】個人信息;刑法保護;政策規范;網絡企業;風險管理
          【全文】

            開欄語 2018年1月,在國務院打擊治理網絡新型違法犯罪聯席會議辦公室指導下,螞蟻金服聯合公安部刑偵局、媒體等多方推出“天朗計劃”,旨在通過協同打擊、技術賦能、宣傳震懾等方面實現網絡空間真正的“天朗”。為進一步對互聯網黑灰產實現事前預警、事中打擊、事后宣傳教育的全鏈路治理,共建網絡安全生態體系,本刊與螞蟻金服聯合開設“互聯網金融犯罪及相關問題研究專欄”,就相關理論與實踐問題展開研究,敬請關注。
           
            當前,新一代網絡信息科學技術正系統地改造著社會經濟生活的各個方面,與云計算、大數據、人工智能等相關的新技術新應用的發展普及,讓廣大民眾與網絡企業日益擁抱更多的發展機遇,同時也日漸面對來源更為廣泛、程度更為深刻的安全風險。
           
            一、個人信息治理的政策規范框架體系
           
            聚焦個人信息處理領域,機遇與安全風險同在,時代呼喚與時俱進的個人信息治理進路。細加審視,可以認為我國當下有關個人信息保護與個人信息處理規制的政策規范整體框架主要體現在以下三個主干層面。
           
            (一)涉及個人信息治理的政策戰略
           
            自2015年7月4日國務院發布《關于積極推進 “互聯網+”行動的指導意見》(以下簡稱《指導意見》)以來,黨和國家涉及網絡空間治理、個人信息治理等系列政策戰略的系統化建構呈現明顯提速態勢:首先,《指導意見》以及2015年國務院發布的《關于促進大數據發展行動綱要》等要求減少各種壁壘,推動數據信息資源的優化配置與集成作用,發揮其最大的乘數效應,進而加深產業融合,真正服務于包括傳統產業在內的所有行業發展,同時革新理念思維,強化能力建設以求消除伴生的各類風險。其次,“中國制造2025”以及“‘十三五’國家信息化規劃”等強調通過推進信息化與工業化深度融合、信息化引領全面創新,憑借數據信息資源的優化配置提高國家在制造業以及其他諸多領域的創新能力,構筑國家競爭優勢,促進我國從網絡大國邁向網絡強國,成長為全球互聯網引領者。再次,2016年國家互聯網信息辦公室發布的《國家網絡空間安全戰略》以及2017年外交部、國家互聯網信息辦公室發布的《網絡空間國際合作戰略》等以總體國家安全觀為指導,強調貫徹落實創新、協調、綠色、開放、共享的發展理念,增強風險意識和危機意識,統籌國內國際兩個大局,統籌發展安全兩件大事,積極防御、有效應對,推進網絡空間和平、安全、開放、合作、有序,維護國家主權、安全、發展利益,實現建設網絡強國的戰略目標,可謂對數據信息的治理水平提出了更高要求。此外,2017年國務院《新一代人工智能發展規劃》等以構建開放協同的智能科技創新體系、培育高端高效的智能經濟和建設安全便捷的智能社會為重點建設任務,明確將制定促進發展的法律法規和倫理規范作為重點保障措施,凸顯了國家對于新技術新應用的包容發展立場。
           
            應當強調的是,這些與個人信息治理相關的系列政策戰略實質上確立了我國有關個人信息保護與個人信息處理法律規制的核心價值立場,也即發展與安全并重、保護與流轉并舉的基本價值取向。
           
            (二)涉及個人信息治理的法律規范
           
            隨著網絡安全法于2017年6月1日起施行,有關網絡空間治理的制度設計有了更為體系化的全面建構,在此圖景下,涉及個人信息治理的法律規范也日益得到豐富和充實:
           
            一方面,以網絡安全法第四十條至第五十條規定為核心的系列制度設計奠定了我國個人信息治理的根本價值導向,即合法、正當、必要、透明和同意,同時也規定了從收集、使用到更正、刪除等涉及個人信息處理各個環節的全鏈條動態規則,而且配置了從民事、行政到刑事多層次的立體責任。另一方面,在網絡空間治理的特定部門例如電子商務領域,以即將于2019年1月1日正式施行的電子商務法為代表的諸多特別法也為個人信息保護與流轉等問題提供了更為具體、明確的規范指引,而后續個人信息保護法、數據安全法等立法動議將為個人信息的法律治理勾勒出清晰、更具可操作性的行為規則。
           
            與此同時,與網絡治理專項立法幾乎同步推進的傳統法律部門的修改完善同樣昭示著個人信息治理新時代的全面到來。作為典型示例,刑法修正案(九)通過修改侵犯公民個人信息罪(第二百五十三條之一),增補拒不履行信息網絡安全管理義務罪(第二百八十六條之一)、非法利用信息網絡罪(第二百八十七條之一)以及幫助信息網絡犯罪活動罪(第二百八十七條之二)有效呼應了新技術新應用的發展態勢,為促進個人信息自由有序流轉、抗御處置包括網絡黑產在內的各類新型威脅提供了更為全面的保障。而民法總則通過補充規制自然人個人信息(第一百一十一條)以及數據、網絡虛擬財產(第一百二十七條),在民事法層面第一次確立了個人信息保護權,并且明確了數據與信息的法律地位,從而為數據權屬等個人信息治理的核心問題提供了更為扎實的制度基礎。
           
            總體而言,可以認為,現階段我國有關個人信息治理的法律規范在技術要素、組織管理和在線內容三個層次對于個人信息治理作出了系統性制度設計,這既反映了我國立法機關對于個人信息流轉治理整體框架的深刻認識與特殊路徑選擇,也為網絡企業開展與個人信息相關的風險控制(以下簡稱“風控”)合規工作劃定了核心要素圈層。
           
            (三)涉及個人信息治理的其他規范
           
            在個人信息治理制度價值體系的基礎上,不同部門、不同領域涉及個人信息治理的其他規范建設工作也在近年取得了長足的發展,這反映在國家網絡信息管理部門所發布或者主導的各類部門規章、規范性文件以及國家標準等文件之中,也體現在最高司法機關漸次通過的諸多司法解釋文件中。
           
            1.就國家網絡信息管理部門而言,包括以2014年“微信十條”、2015年“約談十條”以及2016年“直播規定”[1]等為代表的側重指向在線內容的垂直規范;以2016年與國家質量監督檢驗檢疫總局、國家標準化管理委員會聯合印發的《關于加強國家網絡安全標準化工作的若干意見》、2017年《網絡產品和服務安全審查辦法(試行)》等為典型的側重指向技術要素的特別規范;以2017年《互聯網新聞信息服務管理規定》《互聯網信息內容管理行政執法程序規定》等為代表的側重指向組織管理的專項規范;以2017年《個人信息和重要數據出境安全評估辦法(征求意見稿)》和2018年5月1日實施的全國信息安全標準化技術委員會《信息安全技術個人信息安全規范》等為典型的專門規范。這一系列規范共同為個人信息的有效治理作出了順應新技術快速演進變革的制度化、常態化應對方案。
           
            2.就最高司法機關而言,現階段具有突出指引價值的司法解釋包括2016年最高人民法院、最高人民檢察院、公安部《關于辦理電信網絡詐騙等刑事案件適用法律若干問題的意見》(以下簡稱《意見》)、2017年最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《個人信息解釋》)、2017年最高人民法院、最高人民檢察院《關于辦理擾亂無線電通訊管理秩序等刑事案件適用法律若干問題的解釋》(以下簡稱《無線電解釋》)等。
           
            一方面,《意見》從依法嚴懲電信網絡詐騙犯罪切入,客觀上也就個人信息刑事治理的諸多核心問題包括關聯犯罪懲處、共同犯罪甄別、司法管轄界定、證據審查判斷以及涉案財物處理等提供了一系列司法指引。另一方面,《個人信息解釋》《無線電解釋》在澄清個人信息刑法保護若干基本范疇、厘定有罪行為模式判定規則以及明確定罪量刑標準的同時,還更多地體現了司法機關對于嚴厲打擊個人信息領域網絡黑產的立場。
           
            隨著國家網絡信息管理部門以及司法機關等持續推進個人信息治理其他規范體系的建設,個人信息治理規則體系的實踐指引水平日益提升,為網絡企業涉個人信息風控工作的科學合理開展提供了更多、更有效的操作性參考。
           
            二、個人信息刑法保護與風險管理思維
           
            2017年《個人信息解釋》的發布是個人信息刑法保護的里程碑事件,構成了網絡安全法的重要制度配套,體現了兩者內在的邏輯互動,深刻反映了網絡安全法對刑事司法走向的重大影響,其中若干基本問題具有高度的理論與實踐意義。
           
            (一)個人信息定義等基本問題的系統化設計
           
            一方面,《個人信息解釋》基于司法實務的迫切需要和民眾認知水平的客觀實際,對于反映特定自然人活動情況的信息例如行蹤軌跡作了特別的提示性規定,強調公民個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。這一定義進一步厘定了公民個人信息的范圍,明確提示身份識別信息也包括特定自然人的活動情況信息,有效反映了網絡技術的發展態勢,順應了打擊犯罪的實踐需求,也有利于受網絡安全法約束的各單位主體正確判定合規對象。
           
            另一方面,《個人信息解釋》對于刑法第二百五十三條之一“國家有關規定”作出了列舉式說明,明確“違反法律、行政法規、部門規章有關公民個人信息保護的規定的”,應當認定為刑法所規定的“違反國家有關規定”。這一解釋明確將部門規章納入刑事評價得以依據的規范范圍,旨在應對個人信息保護領域現行規范供給相對短缺的實際情況,呼應了網絡安全法有關技術要素、組織管理和在線內容三維整體安全觀的精神內核,有利于受網絡安全法約束的各單位主體在當代罪刑法定主義精神的指引下,對于可能產生刑事法意義的部門規章進行甄別追蹤,提高風險管理的工作質量。
           
            (二)單位主體刑事風險管理機制的圖譜指南
           
            在網絡安全法總體制度的指引下,司法解釋成為網絡企業管理日常運營工作、處理個人信息相關刑事問題更具針對性的法律指南。
           
            首先,司法解釋對于刑法條文具體概念的明確定性,有助于各類單位主體精確厘定業務對象的范圍。根據《個人信息解釋》第一條對于“公民個人信息”的范圍框定和第二條對于“國家有關規定”的規范確認,各類單位主體可以確定業務運營中涉及的個人信息類型以及評估相應的信息處理操作要求,從而對明確的業務對象開展有針對性、符合網絡安全法的業務活動。其次,《個人信息解釋》對于相關犯罪定罪量刑標準的精確規定,有助于各類單位主體提高業務模式的風險管理水平。《個人信息解釋》第三條明確“提供公民個人信息”包括“向特定人提供公民個人信息,以及通過信息網絡或者其他途徑發布公民個人信息”和“未經被收集者同意,將合法收集的公民個人信息向他人提供的”等行為模式;第四條指出“以其他方法非法獲取公民個人信息”包含“違反國家有關規定,通過購買、收受、交換等方式獲取公民個人信息,或者在履行職責、提供服務過程中收集公民個人信息”等行為方式;第五條和第六條分別規定了“非法獲取、出售或者提供公民個人信息”和“為合法經營活動而非法購買、收受本解釋第五條第一款第三項、第四項規定以外的公民個人信息”這兩種行為的情節嚴重情形。
           
            上述內容與網絡安全法有關個人信息處理的制度規則有著高度的邏輯銜接,有助于各類單位主體在網絡安全法一般制度要求的基礎上進一步構建與公民個人信息的提供、購買、收受以及交換等行為相關的風險管理機制,在刑事法律底線內合理使用個人信息、開展業務活動。
           
            三、個人信息刑法保護與流程管控思維
           
            毋庸置疑,當下各種新的網絡業務模式造就了新的數據信息流轉樣態,與此同時,個人信息刑法保護呈現出圍繞數據信息流轉全生命周期的流程式動態保護趨勢。不難發現,現階段的多層次法律規范為個人數據信息的流轉提供了一系列實在法依據。
           
            (一)保護個人信息安全的基本原則
           
            在保護個人信息安全的過程中,需要堅持多方共同參與,積極發揮公民以及其他主體的能動性,個人信息控制者(網絡企業)應當遵循的基本原則和安全要求包括:權責一致、目的明確、選擇同意、最少夠用、公開透明、確保安全、主體參與等。其間尤其應當尊重個人信息主體的真實意愿,保障個人信息主體的訪問、更正以及刪除其個人信息的權利,并且采取適當的管理措施和技術手段保護個人信息的保密性、完整性和可用性,切實承擔相應的義務與責任。
           
            (二)個人信息的收集環節
           
            在信息收集方面,網絡企業需要時刻檢視以下幾點業務要旨:一是合法性,也即在法律法規規定的范圍內采用合法的手段,在征得個人信息主體同意的前提下收集個人信息或者要求個人信息主體提供個人信息。二是最小化,也即個人信息的收集類型、頻率和數量應在必要性的最小要求之內,即符合最少夠用原則。在能達到所需目的前提下,只處理最少的個人信息類型和數量。三是授權同意,也即處理個人信息時的目的、方式、范圍以及相關規則,均應經過個人信息主體的授權同意。事實上,這一要求貫穿個人信息處理全鏈條,涵蓋對個人信息的保存、使用以及委托處理、共享、轉讓、公開披露等。
           
            (三)個人信息的保存環節
           
            針對個人信息的保存,網絡企業需要特別注意信息保存的時間最小化要求與去標識化處理要求,有義務采取技術措施和其他必要措施,確保其收集的個人信息足夠安全,防止信息泄露、毀損、丟失。一是時間最小化,也即信息的保存時間應與使用目的保持程度上的一致,應滿足一定的必要性,在超過保存期限后,即應對信息作出刪除或匿名化處理。二是去標識化處理,是對信息主體的技術性保護,也即將收集到的信息去除識別性特征,并避免該數據被二次復原,妥善地保管收集到的各類數據。
           
            (四)個人信息的使用與對外提供環節
           
            一方面,在個人信息使用過程中,需要充分履行各項主體責任,諸如數據訪問控制、個人信息的展示限制以及使用限制等,同時切實尊重各項主體權利,尤其是個人信息主體的訪問、更正、刪除、撤回同意、注銷賬戶以及獲取個人信息副本的權利。
           
            另一方面,在向外提供個人信息也即委托處理、共享、轉讓以及公開披露等過程中,應當嚴格限制在法律以及信息主體授權的范圍內,并且不僅要對個人信息安全進行評估,也要對相關第三人實施一定方式的監督,對個人信息提供情況如實加以記錄,其間還需要切實尊重個人信息主體的知情、同意、選擇權。

          【作者簡介】
          吳沈括,北京師范大學刑事法律科學研究院暨法學院副教授、中國互聯網協會研究中心秘書長。
          【注釋】
          **本文是國家社會科學基金項目(編號:15CFX035)的階段性研究成果。
          [1]即國家互聯網信息辦公室發布的《即時通信工具公眾信息服務發展管理暫行規定》《互聯網新聞信息服務單位約談工作規定》《互聯網直播服務管理規定》。

          本網站文章僅代表作者個人觀點,不代表本網站的觀點與看法。
          轉載請注明出自北大法律信息網
        0
        北大法律信息網
        www.chinalawinfo.com
        法律動態
        網站簡介
        合作意向
        網站地圖
        隱私政策
        版權聲明
        北大法寶
        www.pkulaw.cn
        法寶動態
        法寶優勢
        經典客戶
        免費試用
        產品服務
        專業定制
        購買指南
        郵件訂閱
        法律會刊
        北大英華
        www.pkulaw.com
        英華簡介
        主要業務
        產品列表
        英華網站
        聯系我們
        用戶反饋
        返回頂部
        二維碼
        不要添了,我高潮了视频