当前位置:首页 > 国情报告 > 政治与法

游走于犯罪圈内外:大数据企业收集公民静态、动态信息进行核验的合法性分析

2019-11-11 16:41:01 浏览量:

宋雷昌,靖霖上海所执行主任。中国刑警学院理学学士,中国人民公安大学诉讼法学硕士。曾在某直辖市公安局重案支队、涉枪涉爆案调查办公室工作十余年,主办或参与大量重大疑难案件,部分在全国有较大影响。 从业律师前,负责虚假诉讼、拒不执行判决裁定等交叉案件的办理、指导。 从业律师后,专门从事辩护、刑事风险防控工作。

郑凯方,靖霖上海所商事犯罪犯罪研究与辩护部主任。华政法学学士,英国布里斯托大学法学硕士。曾就职某市检公诉部门六年,任经济金融犯罪办案组、毒品犯罪办案组组长,获优秀公诉人、十佳审查报告、最佳辩手等省市级竞赛荣誉。现从事商事犯罪研究与辩护工作。

近年来,大数据经济蓬勃发展,数据已经渗透到生活和工作的各个领域。数据信息作为重要的“无形”资源,也成为互联网企业争相获取的“香饽饽”。但与此同时,因该些数据信息涉及大量公民个人隐私,大数据企业对此类数据信息的运用也存在涉嫌侵犯公民个人信息犯罪的风险。

特别是今年以来,中央相关部门在全国范围内组织开展APP违法违规收集使用个人信息专项治理,各地公安机关在公安部网络安全部门的指挥下,加大了对数据企业涉刑案件的查处力度。

但是目前对于数据信息犯罪的刑事立法和司法解释并不清晰,大数据企业哪些收集、运用数据信息的行为可能涉及犯罪,“红线”到底在哪儿,司法实践中存在着不同的理解,各地实践也不一致。本文针对大数据企业常见的信息准确性核验服务是否涉及犯罪进行分析。

一、信息核验服务的分类及应用场景

大数据信息核验服务主要应用于风控场景,服务于银行、保险、互金公司等金融类机构,在开户、贷款、大额转账(消费)过程中,核验客户填写的居住地、工作地、转账地(消费地)等信息,以防止恶意骗贷、盗刷等情况。

信息准确性核验可分为两类:静态信息准确性核验和动态位置信息核验。

静态信息准确性核验常见于姓名、身份证信息、居住地址、工作地址、手机号码等静态信息的准确性核验。

例如:恶意骗贷风控场景。 当用户向银行申请贷款时,会填写居住地、工作地等信息,银行向合作的大数据企业申请进行贷款用户的居住地、工作地位置核验, 如反馈结果为该信息虚假,或者有很大的位置偏差,则银行可能拒绝该贷款申请。

动态位置信息核验主要为与时间有关的城市核验和实时位置核验。以精确度作为区分,可分为两种:

第一种:互联网科技公司通过GPS实现手机位置定位。如手机地图APP运营公司,打车、外卖等APP经营公司,通过GPS定位实现精准导航、确定车辆或人员位置等。GPS定位信息准确度高,信息精度误差可在5米之内。

第二种:通讯公司通过基站位置计算手机与接入基站的距离。该数据也有一定精确度,但与GPS定位信息相比,精确度明显较低。

精度高可以直接定位特定自然人位置的数据信息,直接涉及特定自然人的人身安全,属于“行踪轨迹”。2017年两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定:未经授权或者法定事由,将“行踪轨迹”信息提供给他人,数量达到50条即构成侵犯公民个人信息罪;如果该些信息被用于犯罪,则没有条数的限制,一条即构成犯罪。

并且,考虑到大数据公司通常是批量操作,一旦涉及侵犯公民个人信息,即会大批量认定,大概率属于“情节特别严重”(500条行踪轨迹即属于“情节特别严重”),直接适用“三年以上七年以下有期徒刑”量刑档次。

可见,相较于静态信息,动态位置信息可反映特定自然人的实时状态,更为敏感,更容易侵犯他人的隐私权,其提供方也更有可能涉嫌侵犯公民个人信息罪。

二、动态位置信息性质的 理论界定与实践观点

(一)司法界关于“行踪轨迹”的权威观点及分析

1、可以直接定位特定自然人具体坐标的信息才属于“行踪轨迹”

动态位置信息通常被作为“行踪轨迹”进行评价。对于“行踪轨迹”,虽然其入罪标准极低,但目前司法解释层面尚未就其内涵和外延作出规定。实务中,部分司法人员认为只要是轨迹信息,无论精度如何,一概认定为“行踪轨迹”,甚至将只是提供“在某一个城市”的信息都认为是侵犯公民个人信息罪意义上的“行踪轨迹”。该理解无疑过于扩大了“行踪轨迹”的适用范围,严重有违立法及司法解释的本意。

2018年4月,中国法制出版社出版的《最高人民法院、最高人民检察院侵犯公民个人信息罪司法解释理解与适用》(最高院研究室喻海松编著)一书发布权威观点,认为:“鉴于行踪轨迹信息的入罪标准已极低,实践中宜严格把握其范围,只宜理解为GPS定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息。对于虽然也涉及公民个人轨迹的其他信息,通常不宜纳入其中。

最高人民法院公布的判例也采用该观点。例如,最高法2017年5月9日发布的邵保明等侵犯公民个人信息案(手机定位)、刑事审判参考指导案例第741号谢新冲出售公民个人信息案(车辆GPS定位)、刑事审判参考指导案例第1009号胡某等非法获取公民个人信息案(跟踪他人行踪)。

2、位置信息精准度应以GPS定位信息、车辆轨迹信息为参照

对于“行踪轨迹”的界定,权威解读以及司法判例均持“可以直接定位特定自然人具体坐标”的标准,但并未明确“什么精度才算是可以直接定位特定自然人的具体坐标”。

笔者认为,权威解释以“GPS定位信息、车辆轨迹信息”为参照标准,即要求只有与“GPS定位信息、车辆轨迹信息”具有相同的精度的位置信息才能认定为“行踪轨迹”。GPS定位信息和导航系统收集的车辆轨迹信息的精度非常高,通常都在几米以内,因此对于其他种类的“行踪轨迹”信息精度也应当限定在“几米”以内,至多“几十米”,如此才能与“GPS定位信息、车辆轨迹信息”相匹配。

对于精准度低的位置信息不能认定为是侵犯公民个人信息罪意义上的“行踪轨迹”,甚至在大部分情形下,都不属于侵犯公民个人信息罪意义上的“普通信息”。提供该类信息,不应认定为侵犯公民个人信息犯罪。

(二)国家规范可作为认定个人信息的参考标准

对于什么精度范围才能算是刑法学意义上的个人信息呢?笔者认为应当参照相关行政规范标准。

2019年8月30日,国家市场监督管理总局、中国国家标准化管理委员会联合发布的《信息安全技术个人信息去标识化指南》GB/T37964-2019即为重要的参照标准。该文件C.2.8“地理位置的去标识化”一节中规定:“对地理位置信息进行去标识化,采用的噪声值很大程度上取决于外界要素。例如在中心区范围内通过加减100m的范围,而偏远地区通过加减5km来得到充足的模糊化结果。”即,在城市中心区域的自然人坐标加减100m,在农村等偏远地区加减5km即可认为该信息已得到充分的模糊处理。

侵犯公民个人信息罪为法定犯,以违反相关的行政法规为前提。国家规定的个人位置信息去标识化标准为市中心100m、偏远地区5km,那么刑事犯罪的评判标准只能比此更为严格,而非更为宽泛。对于这一精度范围以外的位置信息,不能认定为刑法意义上的公民个人信息。

(三)无法直接指向特定自然人的片段化信息也有涉刑风险

2017年司法解释规定,“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

但对于“行踪轨迹”,学界普遍认为应当符合“直接性”要求。例如,《侵犯公民个人信息罪司法适用疑难问题探析》(《人民检察》,期刊年份:2018,作者尹振国,最高人民法院中国应用法学研究所)一文认为,行踪轨迹信息与特定自然人活动高度关联,不需要与其他信息相结合。

最高人民法院、最高人民检察院《侵犯公民个人信息罪司法解释理解与适用》也认为:“行踪信息只宜理解为GPS定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息。” 该观点突出强调了“直接性”的要求,也就是不应将不能单独指向特定自然人的片段信息认定为“行踪轨迹”。

通常情况下,大数据企业掌握的信息或者对外提供的信息,不能直接单独识别具体自然人,但结合客户自己收集的信息或者借助他人提供的信息,将这些信息片段整合起来能够指向特定自然人的,也有可能被认定为是公民个人信息。

虽然该种认定方式在理论界、实务界都存在较大争议,但从大数据企业风险防控角度考虑,为了避免陷入刑事风险,也应注意该种认定方式,不能简单认为对外提供的信息仅属于片段,无法识别到特定自然人,就没有涉嫌刑事犯罪的风险。

三、信息核验服务的合法性分析

取得授权是侵犯公民个人信息罪出罪的重要事由。如果经过信息主体的充分授权,申请对客户信息进行核验的企业以及提供准确性核验服务的大数据企业,都不构成侵犯公民个人信息罪。

那么如果经过客户授权,核验企业的行为是否一概不涉嫌犯罪呢?要分析具体情形:

(一)经过授权后的信息核验服务合法性分析

大数据企业在获取公民个人信息时已经经过授权的,在对外提供核验服务时,是否还需要信息主体的再次授权?

《侵犯公民个人信息罪司法疑难之案解》一文(原载《人民司法(案例)》,作者喻海松)认为:公民个人信息获取后出售或者提供的行为,除相关权利人明确要求或者推定要求二次授权的外,不宜对收集后出售或者提供的行为要求二次授权,也就不应认为行为人出售或者提供公民个人信息的行为系违反国家有关规定。

但是,在信息获取时需要权利人的充分授权,在获取授权时应明示采集信息的范围、信息的用途,并且所采集的信息不应超出大数据企业经营所需要的范围。只有在此情况下,才不需要权利人的二次授权。

(二)未经充分授权情况下的信息核验合法性分析

1、对于静态数据信息核验

静态数据信息核验是对客户提供的信息进行真假核验,仅仅提供“是与否”或“真与假”的结果反馈,并未增加客户提供的信息内容,不构成侵犯公民个人信息罪。

如果在客户提供的信息内容的基础上,增加了信息内容,则看新增加的内容是否与原内容重复,是否增加了新的实质内容,以及是否进一步提高了信息的精准度。如果新增加的内容细化了原来的信息,或者新增加了实质性信息,则可能涉嫌侵犯公民个人信息罪。如果增加的内容与客户提供的内容无任何实质性增加,则不应理解为侵犯公民个人信息。

例如,对于客户提供的“某某人,地址:上海市长寿路”,大数据企业反馈信息为“中国上海市普陀区长寿路”,虽然增加了中国和普陀区,但并没有提供新的实质性内容;而如果反馈信息为“长寿路767号7楼”,则明显新增加了实质性内容,提升了位置精度。

同时,因为公民信息核验服务非常普遍,公安机关相关部门也对外提供信息核验协助,如银行开户或贷款时对居民身份证信息的核验,对于此类并未提供具体公民个人信息,而仅仅对客户提供的信息进行准确性验证的普遍性服务,显然不宜认定为犯罪行为,否则打击面明显过大,也不符合刑法的谦抑性要求。

2、对于动态位置核验

如果大数据企业仅仅是提供实时位置核验服务(仅对客户提供的信息做“是与否”或“模糊距离”的核验反馈),而并未将位置信息直接提供给他人,该情形是否构成犯罪呢?

A.提供模糊位置信息,是否构成犯罪?

需看模糊的程度,是否已达到2017年司法解释规定的“经过处理无法识别特定个人且不能复原”的程度。具体评判标准应该采取国家规范标准——对于城市中心区以100m为边界,农村及偏远郊区以5km为边界。

超出此标准的,不应认定为刑法意义上的公民个人信息,也即不构成侵犯公民个人信息罪。 比如:客户查询“某某人,上海市长寿路767号”的精准度,大数据企业反馈为:“准确度:2km”,则范围过大,不应认定为公民个人信息。

如果在这个标准(100m/5km)以内,则可能涉嫌犯罪。

不过对于仍具有一定模糊性,尚不属于“可以直接定位特定自然人具体坐标的信息”的,只能认定为是普通信息,而不应当认定为 “行踪轨迹”,不构成侵犯公民个人信息罪。

B.增加动态时间要素是否构成犯罪?

动态位置信息的要素与静态数据不同,动态位置除了静态位置要素外,还包括了时间要素,即具体时间+信息主体的位置信息。

对于客户提供的静态信息的同时,增加了时间信息,是否构成犯罪?

首先,如果增加时间要素后的信息没有增加实质上的信息量,其实仍然属于静态信息或准静态信息,无法反映出信息主体的动态行踪轨迹,不宜认定为侵犯公民个人信息罪。比如,每次查询反馈的不同时间点的信息内容均相同,则对时间要素的增加,不应简单认定为刑法意义上的信息内容的增加。

其次,如果增加的时间要素,形成了在一个时间轴上信息主体的活动规律,可分析出信息主体的行踪轨迹,并能根据该信息准确找到该信息主体,并且如果没有增加时间要素,就难以找到该信息主体的,那么这一增加就有可能涉嫌犯罪。

因此,特别需要注意:证据标准应能够同时满足正向要件(因为增加了时间要素,才使他人详细了解到信息主体的活动规律和行踪轨迹)+ 反向要件(如果没有增加这一要素,他人无法或难以识别该信息主体),方可将这一行为认定为侵犯公民个人信息罪。

对于现在的企业而言,用户信息不仅是其高效发展业务的重要帮手,还可能是其未来取之不尽用之不竭的宝贵财富。在这个几乎是数据主宰一切的时代,许多企业都在尽力收集客户信息。

但是, 大数据企业在面临时代机遇的同时,也面临行业洗牌饿刑事风险的挑战。因此,应当积极设立严格的信息管控体系、健全的刑事风险防控体系,甚至在必要的情况下建立新的企业管理体制,以有效防范侵犯公民个人信息犯罪的刑事风险。

标签