公司侵犯公民个人信息罪的认定
案例一
2018年安徽合肥市某文化传播公司为了拓展业务,要求业务员广泛收集潜在客户信息(主要为安徽省内各企业管理人员的姓名、单位、职务和电话号码等信息),并授意业务员将所掌握的客户信息通过互联网与他人进行交换以获取更多客户信息。同时,确定业务员按照所发展客户交纳费用的10%计算提成;“战区”经理、总经理分别按照部门或公司业绩计算提成。法院最终认定公司违反国家有关规定,通过交换的方式,非法获取或向他人提供公民个人信息10万余条,情节特别严重,根据《刑法》第253条之一和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法律规定,法院判处公司犯非法获取公民个人信息罪(现已变为“侵犯公民个人信息罪”),单处罚金人民币二万元;判处公司法定代表人王某犯非法获取公民个人信息罪(现已变为“侵犯公民个人信息罪”),有期徒刑三年缓刑三年六个月并处罚金人民币八千元……。
案例二
2020年四川广元市某装饰工程公司总经理陈某、工程部经理李某在发展公司装修业务工作中,购买非法公民个人信息5827条,其中房产信息3860条,个人信息1967条。上述购买信息资金均由公司支付,所购买的个人信息全部用于单位业务发展。根据《刑法》第253条之一等法律规定,法院判处公司犯侵犯公民个人信息罪,单处罚金人民币二万元;判处陈某犯侵犯公民个人信息罪,有期徒刑三年缓刑四年并处罚人民币五千元;判处李某犯侵犯公民个人信息罪,有期徒刑三年缓刑四年并处罚人民币五千元。
公司侵犯公民个人信息罪的认定
一、“公民个人信息”指什么?
2021年11月1日实施的《个人信息保护法》第四条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
2020年10月1日实施的《信息安全技术/个人信息安全规范》3.1条列明,个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
二、公司侵犯公民个人信息罪的法律规定和认定标准
1.法律规定
《刑法》第二百五十三条之一 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
2.认定标准
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第二条 违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。第三条 向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。第四条 违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。第七条 单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。
本罪给公司带来的法律风险防控提示
为有效打击滥用个人信息、非法买卖个人信息、擅自泄漏用户信息等严重违法行为,保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,《个人信息保护法》于11月1日正式实施。本法对个人信息的定义、个人信息的处理、个人信息跨境提供规则、国家机关处理个人信息的特别规定、个人信息处理者的义务、民事/行政/刑事法律责任等方面都进行了明确规定。
有些公司/单位在经营管理过程中可能接触到大量的个人信息或者有的公司/单位就是因为业务和工作需要收集/存储有大量个人信息(例如:医院、商业银行、某些互联网平台服务公司等等)。根据《个人信息保护法》第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。第十三条、第十四条 个人信息处理者处理个人信息应当取得个人的同意,该同意由个人在充分知情的前提下自愿、明确作出。第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。第七十一条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
根据上述规定,公司/单位需要合法收集使用个人信息,制定健全个人信息保护制度和规则,接受社会监督。另外,国家对保护公民个人信息安全已经上升到了刑事责任,对此风险公司/单位应当预见并加以严格防范。
