大数据行业最怕的法律风险是啥?

肖飒 2019-09-30 16:41 评论(2)

  一旦信息保护法在某些领域开了口子,大数据行业就要敏锐地捕捉到机会,从合法的业务切入尽快开展新业务。

  九月份,对于大数据行业而言,是个严峻的挑战。飒姐的同学、朋友在其中也感受到了瑟瑟凉意。

  自返京后,几乎每天都要接待来自数据行业的来访、来电,大家共同关注的话题是:什么情况下会被警方带走?怎样就算是涉嫌犯罪了呢?哪些产品有问题?今天为大家分析一下,大数据行业绕不开的“原罪”--侵犯公民个人信息罪

  本文脉络:

  1. 刑法明文规定

  2. 入罪标准

  3. 如何规避涉刑风险

  1 

  刑法明文规定

  与很多城市知识分子一样,飒姐也是喜欢读《人类简史》《未来简史》的中青年。

  我们想象的未来是数据大量流动的时代,冰箱发现鸡蛋的数量不足,自动通知超市采购,超市将采购信息传递给鸡舍,鸡下蛋,蛋被人类消费,消费数据继续回传扩散,社会各机构根据数据进行供求调节等。

  个人的行踪轨迹、口味偏好、婚否、买房否等信息也许不再是秘密,而是被采集、脱敏然后利用的有效信息。

  想象是美好的,现实是骨感的。法律是人类社会的规矩,具有稳定性,必然带来滞后性。但是,在当下,我们必须尊重现行法的规定,才能为future保留一飞冲天的机会。

  我国《刑法》对于公民个人信息的规制有一个明确的罪名:《刑法》第253条之一侵犯公民信息罪,“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”

  其中,关于“个人信息”“公民个人信息”的概念,《网络安全法》与《刑法》规定略有不同,我们建议从业者采用刑法里的外延和内涵进行把握。

  即:以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映自然人活动情况的各种信息,包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

  可以看出,我国刑法“红线”对于公民个人信息的保护非常全面,一个“等”字有增加了无限可能,未来生物指标也会成为公民个人信息的重要组成部分。

  2 

  入罪标准

  2017年5月8日最高法院、最高检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,将我国刑法对于本罪的“入罪门槛”阐述得清清楚楚:

  非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第253条之一的“情节严重”:

  (一)出售或者提供行踪轨迹信息,被他人用于犯罪的。 

  (二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的; 

  (三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;

  (四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的; 

  (五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的; 

  (六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的; 

  (七)违法所得五千元以上的;

  (八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;

  (九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的; 

  (十)其他情节严重的情形。

  3 

  如何规避涉刑风险

  1. 真命题还是伪命题?

  我们要考虑大数据行业完全杜绝刑事风险,是否是“伪命题”?

  原则上讲,大数据行业只要数据采集的渠道合法,脱敏到位,合同条款严谨,应该可以完全杜绝侵犯公民个人信息的问题。

  然而,现实中,可能性不大,劣币驱逐良币,在全行业都在攫取便宜数据的时候,我为何要苦哈哈地挨个征得被采集人的书面同意呢;当一个“概括授权”就能把数据顺利转移给第三方合作机构,又何必重复取得授权呢。

  实务里,大家会更经济、更有效率,而不是更合规、更合法。本身两者就是矛盾的,平衡点很难寻找。

  2. 你的阈值是多少?

  每位企业家、每个企业都有自己的法律偏好,有的比较激进,有的比较保守,没有对错之分,只需为自己的选择买单。

  我们只是提醒诸位,你能接受的法律惩罚,最大的阈值是多少,请务必在做事之前掂量清楚。

  如果无法接受任何刑法处罚,那么,在大数据行业中也许只能做周边服务业务,而不能直接从事大数据的处理(例如大数据风控)等业务。

  如果阈值在3年以下有期徒刑,那么,可以做的事情会增多,但应当头脑清醒地认识到未来可能会有牢狱之灾

  如此类推,侵犯公民个人信息罪的上限为7年,也就是说无论怎么折腾,只要不涉诈骗等重罪,倒腾公民个人信息、数据这点事,最多也就是判7年。

  3. 是否需要与监管沟通?

  我们当然希望诸位保持与监管机构的顺畅沟通,按照法理,只要在合规范围内,就不构成违法,更谈不上犯罪。

  然而,法理总归是法理,现实依然是现实。善意提醒诸位,在研究一种行为、商业模式是否具有法律风险时,飒姐认为的正确顺序是:先看有没有触及刑法红线,再看有没有违反合规要求,最后看是否可以寻找到“试点机会”。

  当然,也有案例表明:行政机关的首肯,不能替代刑法的定罪量刑。因此,核心要点是把握刑法的规定

  4. 是否需要提前请律师?

  虽然中国律师的社会地位一般,但是大数据行业对于律师的依仗是显而易见的。

  我们建议大数据行业的民事律师与刑事律师组成团队,由民事律师对企业各个业务条线进行梳理,发现风险点后,与刑事律师沟通确认是否已涉刑,然后想办法如何排雷,确保客户安全无虞。

  当然,我们不可能让大家销毁证据,这些都是徒劳的,警方很快可以恢复。力气还是要花在“如何解释某一商业模式或行为是合乎常理、合法的”,而不是试图毁灭证据、拉拢证人等。

  5.时间窗口问题

  自2015年至今,几乎每年都有侵犯公民个人信息的案子找来,好像这几年打击侵犯公民信息的活动一直没有停止过。

  各地公安机关的办案经验也逐渐丰富和精湛,警情通报不断,顺藤摸瓜,发现了更多黑产数据源。

  我们认为,大数据行业的秋天会一直持续,直到明年(据传)《个人信息保护法》及相关司法解释的落地。

  一旦信息保护法在某些领域开了口子,大数据行业就要敏锐地捕捉到机会,从合法的业务切入尽快开展新业务。

  在此之前,飒姐不建议大数据行业在今年发力,可以等待更好的时机

返回列表
发表评论