干货 | 企业使用“公民信息”之刑事合规要点

“21世纪，要么电子商务，要么无商可务。---比尔盖茨”

近年来，由于电子商务深入人们的生活，泄露数据、倒卖数据、交换数据等事件频发，互联网企业出现了大量的相关刑事案件。在这些刑事案件中，经常会出现企业法定代表人也被羁押的情形，很多企业家是因为对我国公民个人信息等法律缺乏常识，导致悲剧。今天我们通过真实案例，给大家厘清企业使用公民个人信息的法律边界。本文会给出些许刑事“红线”合规要点，请涉事企业或有相关业务的企业，认真对待，未雨绸缪。

2017年年底至2019年7月30日期间，杭州某教育咨询有限公司为牟利，由被告人何某取得“名师讲堂”软件代理权限，从网上购买学生信息（姓名、学校、家长电话号码、住址等）27万余条，并雇佣他人使用购买的学生信息，以打电话、上门免费授课等方式推销某软件。期间，被告单位累计销售额至少人民币30万元，获利至少人民币6万元。

法院认为：“被告单位杭州某教育科技有限公司及法定代表人即被告人何某以牟利为目的，非法购买公民个人信息，情节严重，其行为均已构成侵犯公民个人信息罪，应依法惩处。”

本案涉及数据采集过程中的刑事合规问题。

企业采集个人信息的渠道可以大致分为三种类型：1.个体信息主动提供；2.通过与个体信息交互自动采集信息；3. 通过共享、转让公开信息等间接获取个人信息。本案属于第3种类型，通过向第三方购买间接获取个人信息，因其违反国家有关规定，非法获取公民的个人信息，情节严重，符合《中华人民共和国刑法》第二百五十三条之一规定的构成要件，依法以侵犯公民个人信息罪论处。

依据2018年11月9日最高人民检察院颁布的《检察机关办理侵犯公民个人信息案件指引》，构成侵犯公民个人信息罪的要件主要有以下几个要点：一是“公民个人信息”的审查认定；二是对“违反国家有关规定”的审查认定；三是对“非法获取”的审查认定；四是对“情节严重”和“情节特别严重”的审查认定；五是对关联犯罪的审查认定。

针对以上五个要点，飒姐团队对企业在数据获取利用方面提出以下建议

1.尽量干净的数据来源。

我们知道，数据不可能100%来源清爽，但企业必须以当下中等技术以上的数据清洗技术，让数据池子尽量干净。谨慎对待通过共享、转让公开信息等间接获取的个人信息，要求数据持有方提供数据来源的合法性证明，企业做好合法性证明的初步审查。着重审查数据持有方是否未经他人同意收集公民个人信息，或者收集与提供的服务无关的公民个人信息。对于可能影响人身、财产安全的敏感信息，无法确定数据来源的合法性的，不使用或经过模糊处理后使用。

2. 第一个关口是不违反行政法规定。

刑法第253条之一侵犯公民个人信息罪，企业涉刑的前提是违反了行政法规定，对于监管机关的要求务必一一完成，不能打折扣。做好数据合规审查，侵犯公民个人信息罪的一大构成要件即为“违反国家有关规定”，因而在企业获取利用数据时，建议建立或聘请专门的刑事合规审查团队，做好数据的刑事合规性审查，具体包括明确国家有关规定的具体内容，数据的获取利用是否违反法律、行政法规、部门规章有关公民个人信息保护规定，从而防患于未然。

3. 坚持电子证据留存，以备不时之需。

电子数据的修改是留痕的。不要妄图删库，保存原始介质、原始数据，对于还原事情真相大有裨益。我们建议企业提前做好电子数据留存，甚至是鉴定，以便在相关部门审查时拿出客观证据，缩小风险敞口。

4. 分级授权管理，让更少人接触数据源。

在企业内部设置授权层级，读取数据和使用数据的“密级”与岗位和职位相对应。飒姐在服务银行客户时发现，大型银行对于这方面的管理非常到位，屏保都会设置成“非公勿视”，不同级别的管理者有不同的权限。互联网企业更要有这种意识，并将这样的意识贯穿到各个业务环节，杜绝因小失大。