[ 5月9日，最高人民法院、最高人民檢察院首次就打擊侵犯個人信息犯罪出臺司法解釋，將在一定程度上影響大數(shù)據(jù)、個人征信企業(yè) ]

5月9日，最高人民法院、最高人民檢察院首次就打擊侵犯個人信息犯罪出臺《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（下稱“司法解釋”）。其對侵犯公民個人信息罪、非法購買和收受公民個人信息的定罪量刑標準以及相關法律適用問題進行了系統(tǒng)規(guī)定。

“該司法解釋在一定程度上會影響金融業(yè)格局，尤其對于經(jīng)營‘與個人信息相關’業(yè)務的金融企業(yè)，包括大數(shù)據(jù)、個人征信企業(yè)等產(chǎn)生重大影響。”大成律師事務所合伙人肖颯律師對第一財經(jīng)記者表示。

空前保護個人信息

“由于近幾年電信詐騙等利用個人信息欺詐案件頻發(fā)，此次司法解釋出臺是對規(guī)范行業(yè)、打擊信息犯罪、維護個人信息權(quán)利提供了進一步保障。” 中倫律師事務所（上海）非權(quán)益合伙人肖波律師對記者表示。

根據(jù)我國刑法規(guī)定，違反國家有關規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。竊取或者以其他方法非法獲取公民個人信息的，依照前款的規(guī)定處罰。

此次發(fā)布的司法解釋首先明確了“公民個人信息”的范圍，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。

最高人民法院研究室主任顏茂昆表示，“列舉以外的個人信息還有很多，司法實踐中要根據(jù)司法解釋第一條的規(guī)定，把握‘公民個人信息’的要件特征，準確作出判斷。”

對于刑法中“情節(jié)嚴重”的認定標準，此次司法解釋也明確規(guī)定了十種情形。包括非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息五十條以上的；非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息五百條以上的；非法獲取、出售或者提供前兩項規(guī)定以外的公民個人信息五千條以上的；違法所得五千元以上的等。

司法解釋同時對買賣信息的“內(nèi)鬼”和“購買者”入罪標準進行了詳細規(guī)定。“公民個人信息泄露，目前造成危害最大的，主要是銀行、教育、工商、電信、快遞、證券、電商等行業(yè)的內(nèi)部人員泄露數(shù)據(jù)。”公安部網(wǎng)絡技術(shù)研發(fā)中心主任許劍卓表示。

而對于那些購買個人信息搞推銷的行為，司法解釋也規(guī)定，為合法經(jīng)營活動而非法購買、收受敏感信息以外的公民個人信息，具有利用非法購買、收受的公民個人信息獲利五萬元以上等情形的，應當認定為“情節(jié)嚴重”，構(gòu)成犯罪。

同時，司法解釋還規(guī)定，網(wǎng)絡服務提供者拒不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡安全管理義務，經(jīng)監(jiān)管部門責令采取改正措施而拒不改正，致使用戶的公民個人信息泄露，造成嚴重后果的，應當依照刑法相關規(guī)定，以拒不履行信息網(wǎng)絡安全管理義務罪定罪處罰。

在侵犯公民個人信息犯罪的罰金刑適用規(guī)則方面，司法解釋規(guī)定，對于侵犯公民個人信息犯罪，應當綜合考慮犯罪的危害程度、犯罪的違法所得數(shù)額以及被告人的前科情況、認罪悔罪態(tài)度等，依法判處一倍以上五倍以下罰金。

將規(guī)范大數(shù)據(jù)、征信行業(yè)

此項司法解釋的發(fā)布，對于經(jīng)營“與個人信息相關”的企業(yè)或機構(gòu)將產(chǎn)生影響，尤其是大數(shù)據(jù)和征信類企業(yè)。

目前市場上有很多所謂的大數(shù)據(jù)公司，會倒賣來源于黑市的數(shù)據(jù)，這些數(shù)據(jù)很多涉及公民個人信息。棱鏡大數(shù)據(jù)研究院首席科學家廖辰瀚博士對記者表示，“在販賣的數(shù)據(jù)中，有些數(shù)據(jù)是合法的，有些數(shù)據(jù)是違法的。線上消費的、網(wǎng)銀的、pos機的、信用卡的、運營商的，甚至是工商的數(shù)據(jù)都有人賣。此次司法解釋出臺為有關部門嚴打大數(shù)據(jù)征信行業(yè)亂象提供法律依據(jù)。”

而一些相對合規(guī)的大數(shù)據(jù)企業(yè)其實早在此解釋頒布之前就已經(jīng)對刑法中的有關規(guī)定及其他有關保護個人信息的法律，進行了深入研究，以確保各項業(yè)務符合法律規(guī)定。

同盾科技技術(shù)部門負責人告訴記者，其服務必須經(jīng)用戶授權(quán)，對于未經(jīng)授權(quán)的則一律拒絕，同時還會對數(shù)據(jù)進行脫敏處理等。

記者還從前海征信處了解到，其在防止客戶信息泄露的過程中，會遵循PDCA原則（計劃、實施、檢查、行動循環(huán)管理原則），使數(shù)據(jù)在生產(chǎn)、流轉(zhuǎn)、加工、處理中都符合對應的管控要求，設立防火墻和單獨的機房等隔離、鎖開，也會對內(nèi)部員工進行權(quán)限管控、數(shù)據(jù)加密、數(shù)據(jù)脫敏，謹防數(shù)據(jù)泄密。

在肖颯律師看來，大數(shù)據(jù)企業(yè)想要擺脫刑法風險，除卻當事人認可之外，只有“經(jīng)過處理無法識別特定人且不能復原”。一般的做法是，取得對方授權(quán)，或者進行匿名處理。然而，由于商業(yè)化運作中，很難對信息進行全面匿名或每次都取得被采集人同意，對個人信息進行徹底清洗的難度在增加。

鑒于此，他認為，此項司法解釋會給區(qū)塊鏈產(chǎn)業(yè)帶來發(fā)展機遇。“我國相關自律組織對網(wǎng)絡借貸平臺進行自律管理時，就采用‘區(qū)塊鏈技術(shù)’將數(shù)據(jù)打散，一方面符合我國保護公民個人信息的法律法規(guī)政策；另一方面也讓會員放心，其提供的借貸信息流不會被人隨意截取，即便是截取了也無法知悉具體內(nèi)容，可以最大程度保護商業(yè)秘密。”他稱。