■ 中共四川省委党校副教授 彭洪毅
数据作为信息时代的生产要素,经济价值愈发显著。随着个人信息数据的财产性属性日渐明显,侵犯公民个人信息的犯罪案件也相应增加。目前在各类侵犯公民个人信息案件中,侵犯公民个人信息的刑事案件占比较大,并且涵盖金融、教育、交通、通信、物流、求职、法律等诸多行业。而企业牵涉进入个人信息犯罪不少与企业员工有关,如企业员工违反法律规定,通过购买、收受、交换等方式获取公民个人信息;或将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人;或以窃取或者以其他方法非法获取公民个人信息的种种行为,往往与其履职行为重叠。由于我国刑法主客观一致定罪原则的限定,这样就不可避免地带来企业刑事责任与企业员工刑事责任的区分问题。对此,《个人信息保护法》关于企业个人信息处理法定合规义务的规定,为此类涉及个人信息刑事案件的企业刑责判定提供了新的解决思路。
一、侵犯公民个人信息刑事案件相关法律规范及发案特点
目前,我国已经基本形成保护公民个人信息的法律体系。2015年11月施行的《中华人民共和国刑法修正案(九)》,在刑法第253条首次规定了侵犯公民个人信息罪。2017年5月最高人民法院最高人民检察院颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对侵犯公民个人信息罪的构成及量刑进行了详细解释。但对侵犯公民个人信息罪中违反国家规定以及公民个人信息等要素的内涵界定,该解释不太明确清晰。2021年11月《个人信息保护法》颁布实施以后,前述问题得以解决。违反国家有关规定是指违反国家法律、行政法规、部门规章等。个人信息则可以分为敏感信息(包括行踪轨迹、通信内容、征信和财产状况等)、重要信息(包括住宿、健康生理、交易情况、通信记录及其他可能影响认识、财产安全的等等信息)、一般信息等。因此,侵犯公民个人信息的刑事案件涵括了与公民个人信息的收集、存储、使用、传输、删除等相关环节的全部过程。与传统刑事案件相比,呈现行为类型多样化、隐蔽化、行为目的扩张化等特点。涉及公民个人信息黑产业链的诸多环节;涉及类型丰富的个人信息,既包括敏感个人信息,如人脸信息,又包括法律法规列明的手机号、身份证号、行踪信息等,还包含大量法律未明确列举的信息,如视频浏览记录、职业信息、交易信息、位置信息等。同时,还涉及众多数字经济场景领域,例如,超市餐饮购物点餐个人信息泄露、金融企业信息泄露引发电信诈骗风险,在线教育APP强制收集个人信息用于用户画像,电商平台频繁拨打用户电话等。可以说,在数字经济数字贸易日益高速发展的互联网时代,陷入个人信息数据汪洋大海的企业,客观现实迫切要求企业具备全周期个人信息保护思维,并将其贯彻于企业日常生产经营或者提供服务的全过程。
二、侵犯公民个人信息犯罪涉案企业刑事免责的主观判断依据
《个人信息保护法》第五十一条规定的企业个人信息保护的法定义务将成为企业个人信息保护刑事免责的主要依据,企业制定个人信息保护的专项合规计划成为必然趋势。专项合规计划是一种具有针对性的合规管理,重视具体的、现实的和迫在眉睫的合规风险。根据《个人信息保护法》规定,公民个人信息保护专项合规计划应该包括以下内容:(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全实践应急预案等措施。根据刑法单位犯罪之规定,单位犯罪系为本单位谋取非法利益之目的,在客观上实施了由本单位集体决定或由负责人决定的行为。如果在企业经营活动中,企业员工以企业名义实施了侵犯公民个人信息的行为,并且也确实为了实现企业利益。企业是否因此构成侵犯公民个人信息罪,取决于前述员工行为是否体现企业的主观意志。此时,如果企业已经按照《个人信息保护法》第五十一条规定,制定了企业个人信息保护专项合规计划,就可以证明企业主观上可能不具备犯罪主观意识因素,即企业管理层对员工具体行为既可能没有授权,也可能毫不知情。反而可能证明企业是明令禁止员工实施侵犯公民个人信息的行为的,员工违反企业个人信息保护管理规定,系为提升个人业绩而实施犯罪的个人行为。据此,企业因企业个人信息保护合规计划的存在,可能获得刑法上因主观故意不成立,进而免于刑事追责的依据。
三、侵犯公民个人信息犯罪涉案企业刑事免责的客观支撑证据
从刑事诉讼证据角度,在具体案件中,企业个人信息保护专项合规计划仅仅可能证明了企业不存在侵犯公民个人信息犯罪的主观故意。但是要充分证明犯罪主观故意的不存在,还必须要求企业专项合规计划的有效实施行为。根据《个人信息保护法》规定,除前述制定内部管理制度和操作规程、个人信息实行分类管理、采取安全技术措施、确定操作权限、安全教育和培训以外,还包括实施以下行为:(一)定期对其处理个人信息遵守法律法规的情况进行合规审计;(二)在处理敏感个人信息、利用个人信息进行自动化决策、向境外提供个人信息等情形下,事前进行个人信息保护影响评估并记录;(三)发生或者可能发生个人信息泄露、篡改、丢失的,企业应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人;(四)对于通过重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理企业,规定更严格的合规义务,如要求建立更全面的个人信息保护合规体系,并有外部独立机构进行监督,定期发布个人信息保护社会责任报告,接受监督等法定义务。对此,在具体案件中企业可以进一步通过提供企业公司章程、公司文件、员工手册等企业规范性文件来证明企业遵守了法律法规、部门规章规定的相关个人信息保护措施,并且纳入了对员工的培训内容之中。如此可以证明企业履行了对员工的管理、监督、教育、培训责任。这样,企业员工在履职过程中,其违反企业个人信息保护管理相关规定的行为,并非体现企业主观意志,企业自然不应承担刑事责任。因此,从国家视角出发,如果说《个人信息保护法》规定的企业个人信息保护的法定合规义务,具有旨在保证企业守法的、促进法益保护的主观目的,那么,从企业视角出发,企业有效合规计划具体实施的客观行为,则是旨在保证企业所有员工行为合法的整体性组织措施,因其符合国家法律的预期要求,从而将企业履行法定合规义务行为与企业员工在履职过程中完全体现其个人意志的犯罪行为切割开来,进而转变为企业刑事免责的客观证据。
