場景
公司業務部門為了增加營銷線索或自身業務需求,讓技術部門去企業信息查詢平臺爬取公開的企業聯系電話號碼或向第三方收購前述聯系電話號碼,加以清洗與分析,用于自身或者交由第三方進行電話銷售。
爭議焦點
1、企業法定代表人的手機號碼是否構成公民個人信息?
在司法實踐中,證實 在企業工商登記并公開的手機號碼 是否 屬于公民個人信息還是由公司購買、歸公司使用的非公民個人信息,是否經授權公開,主要靠公安機關的電話核實或調查筆錄,具體方式見下文“經典案例二”(“經查,公安機關抽樣進行查詢并電話聯系企業法人核實,未發現有企業法人授權“XX查”等在網上公布法人的手機號碼,經公安機關隨機抽取公司或商戶的手機號碼,被核實對象均表示手機號碼為本人私人號碼且未授權網上公開,應認定為公某個人信息。徐國成及其辯護人提出的訴辯理由不能成立,不予采納”)。
但 令人吊詭的是,爬取某企業信息查詢平臺中的企業法定代表人電話號碼并未經授權同意予以公開屬于侵犯公民個人信息,那么被爬取公民個人信息的企業信息查詢平臺本身亦......
2、個人自行公開的個人信息,如何可豁免個人同意且合法合規地處理?
《個人信息保護法》第十三條第(六)款規定:“依照本法規定在 合理的范圍內 處理個人自行公開或者其他已經合法公開的個人信息”。但何為“在合理的范圍內”存在一定的價值判斷,即在處理“個人自行公開”以及“其他已經合法公開”的個人信息且豁免個人授權同意的情形暫無列舉式規定,如何出罪論證更為重要,相關案例見下文“經典案例三”。
雖然很多侵犯公民個人信息的情形/案例因違規而僅作行政處罰,但鑒于各地司法實踐以及對法律法規的理解存在一定的差異,即使“舉重以明輕”,仍有構罪入刑的刑事風險(被何地刑事立案,運氣很重要)。
風險審查
處理網絡公開的個人信息的刑事風險審查要點(來源端與應用端)
(1)數據來源端: a. 網絡公開的個人信息是否為個人自行公開的 ? 相關公開 來源及方式是否為個人的真實 意思表示以及 是否能追溯相關公開 鏈路? b.其他已經合法公開的個人信息,其 “合法公開 ” 的相 關情形 、公開 的 渠道 或途徑 、公開的目的或 用途 、 公 開 的信息類型與內容等是否符合現行有效的法律法規,是否 存在 例 外的 情形? c .第三方提供的 網絡公開的 個人 信息(數據供應商), 其信息 來源及方式 是否合法合規, 對外提供行為是否符合個人信息公開的目的或用途 ,對外 提 供的 目的 是 否明確合 理?
(2)數據應用端:a.對公開的個人信息的處理行為是否超出個人信息公開的目的及用途,是否屬于合理范圍內?b.處理行為本身是否違法違規或者是否為違法違規行為提供與信息處理有關的幫助?c.向第三方提供網絡公開的個人信息(合作方風險轉移的風險),該第三方對相關信息的處理是否符合個人信息公開的目的或用途,該第三方是否處于敏感負面的行業或業務領域,該第三方的處理行為是否風險較高、難以控制?
相關法律法規、政策文件
《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第三 條: 向特定人提供公民個人信息,以及通過信息網絡或者其他途徑發布公民個人信息的,應當認定為刑法第二百五十三條之一規定的“提供公民個人信息”。 未經被收集者同意,將合法收集的公民個人信息向他人提供的,屬于刑法第二百五十三條之一規定的“提供公民個人信息”,但是經過處理無法識別特定個人且不能復原的除外。
《檢察機關辦理侵犯公民個人信息案件指引》 (一)對“公民個人信息”的審查認定 根據《解釋》的規定,公民個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。經過處理無法識別特定自然人且不能復原的信息,雖然也可能反映自然人活動情況,但與特定自然人無直接關聯,不屬于公民個人信息的范疇。
對于企業工商登記等信息中所包含的手機、電話號碼等信息,應當明確該號碼的用途。對由公司購買、使用的手機、電話號碼等信息,不屬于個人信息的范疇,從而嚴格區分“手機、電話號碼等由公司購買,歸公司使用”與“公司經辦人在工商登記等活動中登記個人電話、手機號碼”兩種不同情形。
《個人信息保護法》第十三條 符合下列情形之一的,個人信息處理者方可處理個人信息:(一)取得個人的同意;(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;(三)為履行法定職責或者法定義務所必需;(四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;(五)為公共利益實施新聞報道、輿論監督等行為,在合理的范圍內處理個人信息;( 六)依照本法規定在 合理的范圍內 處理個人自行公開或者其他已經合法公開的個人信息; (七)法律、行政法規規定的其他情形。
《信息安全技術 個人信息安全規范》 9.5 共享、轉讓、公開披露個人信息時事先征得授權同意的例外 以下情形中,個人信息控制者共享、轉讓、公開披露個人信息不必事先征得個人信 息主體的授權同意: a) 與個人信息控制者履行法律法規規定的義務相關的; b) 與國家安全、國防安全直接相關的; c )與公共安全、公共衛生、重大公共利益直接相關的; d)與刑事偵查、起訴、審判和判決執行等直接相關的; e)出于維護個人信息主體或其他個人的生命、財產等重大合法權益但又很難得到 本人授權同意的; f)個人信息主體自行向社會公眾公開的個人信息; g) 從合法公開披露的信息中收集個人信息的,如合法的新聞報道、政府信息公開等渠道。
經典案例(案例一、二為入罪,案例三為出罪)
【案例一】 一 審判決書 (2020)粵0605刑初2812號
公訴機關指控,被告人李漢森以互換方式,非法獲取1萬余條公民個人信息,包括公 民的姓名、聯系電話、公司名稱、公司地址等信息。 李漢森明知陳某(已判刑)購買信息用于出售,仍于2019年7月6日在佛山市南海區大瀝鎮以600元的價格向陳某銷售了一組共9681條公民個人信息; 于同年7月11日,以 200元的價格向陳某銷售了兩組公民個人信息合計1220條。
經審理查明,公訴機關指控被告人李漢森向他人出售、提供公民個人信息五千條以上的事實清楚,證據確實、充分,本院予以確認。 關于被告人李漢森的行為是否構成侵犯公民個人信息罪的問題。 經查,國家企業信用信息公示系統通過合法渠道收集工商企業信息并進行網絡公開,目的是方便民眾查詢以確認企業信息是否真實有效,可見權利人同意的內容僅限于在該系統公開,而不包括同意其他人收集其信息并提供給他人,且《關于辦理侵害公民個人信息刑事案件適用法律若干問題的解釋》對公民個人信息的定義也沒有限定個人隱私信息,可見穩私性不是公民個人信息的的必要性條件,故李漢森通過網上系統查詢收集的信息,且未經被收集者同意的情況下收集整理,未進行匿名處理的情況下提供給他人,其行為應構成侵犯公民個人信息罪, 李漢森的辯解及辯護人的辯護意見理據不足,本院不予采納。
二審刑事裁定書 (2021)粵06刑終345號
對于上訴人李漢森的上訴意見及辯護人的辯護意見,本院綜合評判如下:
1.關于上訴人李漢森及辯護人所提的其中10009條涉案信息是否屬于刑法第二百五十三條之一規定的“公民個人信息”。經查,在案證據證實,上述10009條信息的內容為載有企業名稱及其地址、法定代表人(企業聯系人)姓名及其聯系電話等的綜合信息,根據上述內容能夠識別相應的企業法定代表人(企業聯系人)的姓名和通訊聯系方式等特定自然人的身份信息,根據《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(法釋[2017]10號)第一條的規定,該信息屬于相應法定代表人(企業聯系人)的公民個人信息。
2.關于提供、出售工商信息登記網絡上可公開查詢的公民個人信息的行為是否屬于刑法第二百五十三條之一規定的“出售、提供公民個人信息”。經查,在案證據證實,上訴人李漢森出售、提供的涉案相關企業的法定代表人(企業聯系人)的公民個人信息是其通過與他人互換的方式非法獲取的。工商企業向市場監管部門提供相關企業信息的目的是履行法定義務,接受社會監管,不能據此推定相關企業的法定代表人(企業聯系人)同意上訴人李漢森以互換的方式非法獲取其相關公民個人信息并向他人出售和提供。上訴人李漢森出售、提供涉案公民個人信息的行為不符合相關工商企業及公民的意愿,已超出涉案公民個人信息合理使用的目的和范圍,并且有對對應的公民(法定代表人、企業聯系人)的安全、生活安寧等造成危害的可能,屬于出售、提供公民個人信息的行為。
綜上,上訴人李漢森違反國家有關規定,向他人出售、提供公民個人信息,情節嚴重,其行為已構成侵犯公民個人信息罪。故對上訴人李漢森及其辯護人提出的上述意見不予采納。
【案例二】 二審裁定書 (2020)閩05刑終155號
上訴人徐國成訴稱......二、其所出售的信息是公開的企業信息,并非公某個人信息,關于包含企業法定代表人及其履行職務所公示的聯系方式在內的信息能否作為公某個人信息來處理,國家相關法律、司法解釋及行政法規已早有論斷。《征信業管理條例》第十三條規定,采集個人信息應當經信息主體本人同意,未經本人同意不得采集。但是,依照法律、行政法規規定公開的信息除外。企業的董事、監事、高級管理人員與其履行職務相關的信息,不作為個人信息。《企業信息公示暫行條例》第八條規定,企業應當于每年1月1日至6月30日,通過企業信用信息公示系統向工商行政管理部門報送上一年度報告,并向社會公示。第九條規定,企業年度報告內容包括:(一)企業通信地址、郵政編碼、聯系電話、電子郵箱等信息。……前款第一項至第六項規定的信息應當向社會公示,第七項規定的信息由企業選擇是否向社會公示。經企業同意,公某、法人或者其他組織可以查詢企業選擇不公示的信息。根據《最高人民法院、最高人民檢察院關于辦理侵犯公某個人信息刑事案件適用法律若干問題的解釋》第一條規定,“公某個人信息”是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。也就是說,公某針對的主體是自然人,不包含單位(企業)與死者在內。三、一審判決適用法律錯誤,關于公開的公某個人信息獲取后出售或者提供的行為,是否需要權利人“二次授權”,目前法律法規和部門規章缺乏明確規定。最高人民法院喻海松在《侵犯公某個人信息罪司法解釋理解與適用》一書中認為,在此背景下,除相關權利人要求“二次授權”的外,宜推定存在概括同意,不宜對收集后出售或者提供的行為要求“二次授權”,也就不應認為行為人出售或者“違反國家有關規定”。《信息安全技術個人信息安全規范》規定,個人信息控制者所收集、使用的個人信息系個人信息主體自行向社會公眾公開的、從合法公開披露的信息中收集的無需征得個人信息主體的授權同意。四、其在本案中存在不可回避的違法性認知錯誤,最高人民法院核心刊物《人民法院報》刊載了《公某個人信息刑法保護的例外》一文指出“企業公開信息中的自然人信息不受刑法保護”。《征信業管理條例》第十三條規定,采集個人信息應當經信息主體本人同意,未經本人同意不得采集。但是,依照法律、行政法規規定公開的信息除外。企業的董事、監事、高級管理人員與其履行職務相關的信息,不作為個人信息。張明楷教授在其《刑法學》一書中也指出,行為人遵從最高人民法院的判例產生了違法性的錯誤時,或者在判例有分歧,行為人遵從了上級法院的判例而產生了違法性的錯誤時,以及行為人信賴了主管機關的見解產生了違法性的錯誤時,均應認定為不可避免的錯誤。其是一家征信公司的老板,對《人民法院報》刊載的案例及《征信業管理條例》第十三條規定產生了合理信賴,其缺乏違法性的認識具有“相當的理由”,可以阻卻責任的成立。綜上,其不構成非法侵犯公某個人信息罪,請求二審法院對其改判無罪。
出庭檢察員提出......關于徐國成及其辯護人稱一審法院錯誤認定事實,徐國成所出售的信息是公開的企業信息,并非公某個人信息的問題。經審查,公安機關抽樣進行查詢并電話聯系企業法人核實,未發現有企業法人授權“企查查”等在網上公布法人的手機號碼,經公安機關隨機抽取公司或商戶的手機號碼,被核實對象均表示手機號碼為本人私人號碼且未授權網上公開。因此,該部分信息非行為人主動公開的公某個人信息,屬于被核實對象的私人手機號碼,應認定為公某個人信息,即便是公開的信息,公開性也并非公某個人信息的排除事由,國家企業信用信息公示系統通過合法渠道收集工商企業信息并進行網絡公開,其設立目的是方便民眾查詢以確認該企業信息是否真實有效。可以推斷,在該系統進行公開之前,需要經過被收集者(企業法定代表人)的同意,同意的內容應該僅限于在該系統公開,而不包括同意其他人收集其信息并提供給他人,也就是說,行為人可以通過國家企業信用信息公示系統來查詢收集相關信息供自己使用,但并不允許行為人在未征得被收集者同意的情況下收集整理,未進行匿名處理的情況下提供給他人。關于徐國成稱一審判決引用的司法解釋錯誤的問題。經審查,徐國成引用最高人民法院喻海松的觀點認為,個人信息控制者所收集、使用的個人信息系個人信息主體自行向社會公眾公開的、從合法公開披露的信息中收集的無需征得個人信息主體的授權同意。但《最高人民法院、最高人民檢察院關于辦理侵犯公某個人信息刑事案件適用法律若干問題的解釋》規定,未經被收集者同意合法收集,向他人提供的屬于刑法第二百五十三條之一規定的“提供公某個人信息”,并未區分該信息是否已向社會公開,一審判決對司法解釋的適用準確。關于徐國成稱在本案中存在不可回避的違法性認知錯誤的問題。經審查,人民法院報的文章僅是個別法官關于該理論的個人觀點,并非最高人民法院的判例,不具有普遍適用性,該文章中所涉案件明確并未查實信息是否屬于應該公開的信息,而將案件發回重審。而本案中,經公安機關隨機抽取公司或商戶的手機號碼,被核實對象均表示手機號碼為本人私人號碼且未授權網上公開,該部分信息屬于被核實對象的私人手機號碼,應認定為公某個人信息。綜上,本案一審判決認定的犯罪事實清楚,證據確實充分,法律適用正確,審判程序合法,建議二審法庭維持原判。
經審理查明,原審判決認定上訴人徐國成、原審被告人范海林、李柏林、李瑞強犯侵犯公某個人信息罪事實清楚,認定該事實的證據均經原審庭審舉證、質證,查證屬實,能相互印證,且確實充分,足以認定,本院予以確認...... 關于徐國成及其辯護人提出的其所出售的信息是公開的企業信息,并非公某個人信息的問題。 經查,公安機關抽樣進行查詢并電話聯系企業法人核實,未發現有企業法人授權“企查查”等在網上公布法人的手機號碼,經公安機關隨機抽取公司或商戶的手機號碼,被核實對象均表示手機號碼為本人私人號碼且未授權網上公開,應認定為公某個人信息。 徐國成及其辯護人提出的訴辯理由不能成立,不予采納。
【案例三】 一審判決書 (2018)蘇0508刑初40號
本院認定意見:...... 其次,從在案證據來看,涉案信息提取自公開的商業網站中企業介紹自己生產、經營、銷售產品狀況的廣告信息,其中包含的法定代表人或聯系人姓名、手機號碼應當是相關當事人自愿公開的,相關人員在將此類信息公開時,必然會預見有被他人使用甚至不當使用的可能性。 “未經被收集者同意”不能籠統、狹隘的理解為只要權利人不同意,不管信息已公開與否,不論是否合法途徑獲取,都不能被使用; 在相關信息已經合法對外公開的情況下,要求行為人的收集、整理、交換等行為仍需得到“被收集者同意”的要求過于苛刻也不合理。 故在《中華人民共和國刑法修正案(九)》施行之后,根據以上理由,涉案的第二類信息也不應認定為屬于《中華人民共和國刑法》第二百五十三條之一侵犯公民個人信息罪所調整的“公民個人信息”范圍。
另外,根據最高人民檢察院于2018年11月9日發布的《檢察機關辦理侵犯公民個人信息案件指引》,其中對“公民個人信息的審查認定”一節指出:對于企業工商登記等信息中所包含的手機、電話號碼等信息,應當明確該號碼的用途。對由公司購買、使用的手機、電話號碼等信息,不屬于個人信息的范疇,從而嚴格區分“手機、電話號碼等由公司購買,歸公司使用”與“公司經辦人在工商登記等活動中登記個人電話、手機號碼”兩種不同情形。依照該規定,如果認為涉案的手機、電話號碼是公民個人信息,就應當由公訴機關進一步舉證涉案手機、電話號碼系歸屬于個人。當前,公訴機關未作進一步舉證,從上述“指引”的角度考查,認定本案相關信息屬于“公民個人信息”的證據亦顯不足。
綜合上述認定,本院認為,在認定侵犯公民個人信息罪所涉及的信息數量時,涉案的第二類信息不應被計入在內。據此,扣除該類信息數量,應認定涉及犯罪的公民個人信息為9.2萬余條(即按前述分類的第一類信息)。
