公安部拟规定：窃取个人信息不构成犯罪也处罚

齐欢畅

公安部拟规定：窃取个人信息不构成犯罪也处罚
2018年04月06日 09:27:41 来源：北京日报 记者 高健
　　《公安机关互联网安全监督检查规定》征求意见——
　　窃取个人信息即使不构成犯罪也处罚
资料图：2018年1月18日，广东省公安厅通报缴获被泄露、窃取、买卖的公民个人信息7.1亿余条。<span target='_blank' href='http://www.chinanews.com/'>中新社</span>记者 陈骥旻 摄
　　资料图：2018年1月18日，广东省公安厅通报缴获被泄露、窃取、买卖的公民个人信息7.1亿余条。中新社记者 陈骥旻 摄
　　互联网服务提供者窃取、非法出售、非法提供个人信息，即使尚不构成犯罪，没有违法所得，也将被处以最高一百万元的罚金。由公安部起草的《公安机关互联网安全监督检查规定》4日起向社会征求意见：在重大网络安全保卫任务期间，公安机关可对互联网安全情况实行专项检查。
　　“入网”不满一年要重点抽查
　　《规定》提出，公安机关应当根据网络安全防范需要和网络安全风险隐患的具体情况，重点对下列互联网服务提供者和联网使用单位组织开展监督抽查：开办互联网接入、数据中心、内容分发、域名服务，或者变更互联网服务种类、内容未满一年的；开办互联网信息服务，或者变更互联网信息服务内容未满一年的；开设上网服务场所，或者联网单位接入互联网未满一年的；两年内曾发生过网络安全事件、违法犯罪案件，或者因未履行法定网络安全责任义务被公安机关依法给予行政处罚的。
　　在国家重大网络安全保卫任务期间，公安机关对与国家重大网络安全保卫任务相关的互联网服务提供者和联网使用单位，可以组织开展专项检查，检查重点包括：提供的互联网接入服务、信息服务和上网服务等是否符合网络安全要求；是否制定重大网络安全保卫任务所要求的工作方案、明确网络安全责任分工并确定安全管理人员；是否组织开展网络安全风险评估，并采取相应风险管控措施，堵塞网络安全漏洞隐患；是否制定网络安全应急处置预案并组织开展应急演练，应急处置相关设施是否完备有效；是否依法采取了重大网络安全保卫任务所需要的其他网络安全防范措施。
　　公安机关执法检查须告知
　　互联网安全监督检查可以采取现场检查或者远程检测的方式进行。其中，现场检查，监督检查人员不得少于二人，并应当出示人民警察证和《执法检查通知书》；公安机关对互联网服务提供者和联网使用单位是否存在网络安全漏洞等网络安全风险隐患，可以开展远程检测。
　　《规定》要求，公安机关利用检查工具开展现场检查或远程检测，应当告知被检查对象或者公开检查事项，不得干扰、破坏被检查对象网络的正常运行。此外，公安机关开展现场检查或远程检测可以委托由省级以上公安机关授权的网络安全服务机构提供技术支持。
　　公安机关开展现场检查，应当制作检查记录，并由两名以上检查人员和被检查对象负责人或者网络安全管理人员签名。被检查对象负责人或者网络安全管理人员对检查记录有异议的，应当允许其作出说明；拒绝签名的，检查人员应当在检查记录中注明。
　　公安机关开展远程检测，应当制作并留存检查记录，并由两名以上检查人员在检查记录上签名。网络安全服务机构的工作人员参与远程检测的，应当一并在检查记录上签名。
　　个人信息泄露即处罚
　　《规定》提出，公安机关在互联网安全监督检查中，发现互联网服务提供者和联网使用单位，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，应当依照网络安全法予以处罚，即由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。
　　网络经营者在提供互联网信息发布、即时通讯等服务中，未要求用户提供真实身份信息，或者对不提供真实身份信息的用户提供相关服务的，公安机关也要依法处罚，拒不改正或者情节严重的，可处五万元以上五十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
　　网络经营者拒绝、阻碍公安机关互联网安全监督检查，或者在提供的互联网服务中设置恶意程序的，以及拒不为公安机关依法维护国家安全、侦查犯罪提供技术支持和协助等情形，都要依法处罚。
　　同时，公安机关及其工作人员对依法履行互联网安全监督检查职责中知悉的个人信息和商业秘密，应当严格保密，不得泄露、出售或者非法向他人提供，构成犯罪的，要依法追究刑事责任。把获取的信息用于其他用途的，要对直接负责的主管人员和其他直接责任人员依法给予处分。
标签：公安部;互联网;安全;监督

齐欢畅

个人信息保护的规范趋势：走向客观综合主义保护

2018-04-03 10:17:54  来源： 中国信息安全抢沙发

摘要：在大数据、云计算、物联网以及人工智能等新一代信息技术迅速普及推广的当下，网络安全语境下的个人信息与数据治理日益凸显其战略意义，包括2018年《信息安全技术个人信息安全规范》（GB/T 35273-2017）（以下简称《个人信息安全规范》）在内的一系列政策战略、法律法规以及其他规范相继颁布施行，充分反映了主管机关对民众权益、产业发展和国家利益的高度重视，也折射了当下中国个人信息保护所追求的多元价值集合的鲜明路径特色，反映了新时代客观综合保护的规范趋势。
关键词： 个人信息
　　在大数据、云计算、物联网以及人工智能等新一代信息技术迅速普及推广的当下，网络安全语境下的个人信息与数据治理日益凸显其战略意义，包括2018年《信息安全技术个人信息安全规范》（GB/T 35273-2017）（以下简称《个人信息安全规范》）在内的一系列政策战略、法律法规以及其他规范相继颁布施行，充分反映了主管机关对民众权益、产业发展和国家利益的高度重视，也折射了当下中国个人信息保护所追求的多元价值集合的鲜明路径特色，反映了新时代客观综合保护的规范趋势。

　　作为我国个人信息保护体系建设的最新进展，总体而言，在网络安全法治框架下，立足信息安全的维度，《个人信息安全规范》立足客观保护主义立场厘定、阐明了个人信息安全保护领域的诸多重要问题，例如“个人信息”这一术语的基本定义、个人信息安全的基本要求等等，并且突出了个人信息全生命周期动态调节的机制特色。在目前我国个人信息处理规范相对不足的情况下，可以认为，《个人信息安全规范》的出台在技术性实操层面填补了诸多规则空白，为提升公民意识、企业合规和国家监管水平提供了新的业务参照、新的行为指引。

　　标准是从管理、控制风险的角度出发，其核心是在收集、处理个人信息过程中，尽量降低对个人合法权益造成的不利影响。因此，《个人信息安全规范》将具备识别特定自然人或者在一般情况下可以关联到自然人的信息纳入“个人信息范畴”，是给了参考列表。

　　此外，在《个人信息安全规范》的附录中，将Cookies、IMEI、MAC地址等具体信息列入个人信息范畴。《个人信息安全规范》的附录属于“资料性附录”，而非“规范性附录”。需要注意的是，“规范性附录”是构成标准整体的不可分割的部分，其效力等同于标准的正文。“资料性附录”仅限于提供一些参考的资料，不具备与标准正文同等的效力。

　　总体而言，作为国家推荐性标准，国标的适用主体不仅仅限于网络企业，而是可以覆盖所有的个人、企事业单位和国家机关等等。事实上，《个人信息安全规范》更恰当的功能定位应当是一种有关个人信息处理业务合规指引的一揽子推荐性解决方案，属于公共产品的范畴。除非行为主体主动承诺、有权机关明确援引或者法律规范直接认可，其本身不直接产生行为约束力，也并非行政性规范，更不应在刑事责任层面产生实质性意义。尤其应当强调的是，个案思维和总体风险可控是两个维度的问题，在《个人信息安全规范》的个案运用中，特别需要注意行为边界的精准厘定。

　　《个人信息安全规范》的实际价值需要在2018年5月1日正式施行后结合政府机关以及龙头企业的示范效应尤其是有权机关的执法实践做出进一步的跟踪研判，在此过程中，还应当特别注意数据跨境语境下的国际博弈可能产生的反向影响。

　　另一方面，如果说《个人信息安全规范》更多体现了客观主义保护的路径趋向，同样值得关注的个人信息保护规范演进态势便是综合主义保护趋向，这一点尤其明显地反映在刑事介入领域。

　　从当下从刑事司法实务来看，公民个人信息泄露、买卖位于整个网络灰黑产业链的上游，是导致部分犯罪“变异”甚至“严重”的重要因素，比如促使电信网络诈骗逐渐向精准诈骗发展。因此，从刑事政策上讲，从严打击侵犯公民个人信息犯罪，从源头上治理网络灰黑产业链，坚持全面惩处原则，才能有效实现刑罚目的。

　　关于行为人非法获取公民个人信息后，又将这些信息用于实施电信网络诈骗犯罪的情形下，是定一罪还是数罪并罚，2017年两高“侵犯公民个人信息刑事司法解释”对此未做明确规定，理论和司法实务中争议较大。一种观点认为，应当从一重罪处断。理由是，在法无明文规定按照数罪处理的情况下，应当遵循刑法中关于牵连犯的要求，从一重罪进行处罚，即当行为人通过非法获取公民个人信息实施其他犯罪时，获取公民个人信息行为就成为其他犯罪的手段行为，此时虽然行为人实施了两个行为，但是仍应按照从一重罪处罚原则定罪处罚。另一种观点认为，依照相关规范性法律文件，此种情形应当数罪并罚。2013年4月23日，两高一部《关于依法惩处侵害公民个人信息犯罪活动的通知》明确规定，对于窃取或者以购买等方法非法获取公民个人信息数量较大，或者违法所得数额较大，或者造成其他严重后果的，应当依法以非法获取公民个人信息罪（注：现改为侵害公民个人信息罪）追究刑事责任。对使用非法获取的个人信息，实施其他犯罪行为，构成数罪的，应当依法予以并罚。2016年12月20日，两高一部《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》重申了上述观点。因此，使用非法获取的公民个人信息实施电信网络诈骗犯罪的，依法予以数罪并罚，具有法理依据和实践基础。

　　我们认为，行为人非法获取公民个人信息后，又将这些信息用于实施电信网络诈骗犯罪的，应当数罪并罚。首先，非法获取公民个人信息的行为与诈骗行为之间是否属于牵连关系，值得进一步研究。一般而言，牵连犯是指数行为之间有手段和目的、原因和结果关系，其中手段行为或者结果行为触犯了其他罪名的场合，成立牵连犯。因此，牵连犯分为手段牵连和结果牵连。如何认定牵连关系，应根据社会相当性的一般标准以及一望而知的普通生活经验中的认识标准来确定（经验上的类型）。如果只是一种偶然的手段与目的、原因与结果的关系，则不是牵连犯，因此必须对牵连关系类型化。在非法获取公民个人信息后利用上述信息实施电信诈骗犯罪，由于侵犯公民个人信息与电信网络诈骗之间不具有经验意义上的手段与目的之间的关联，因此不宜认定为牵连犯。即便认定为牵连犯，对于牵连犯采用数罪并罚亦有国内和国外立法先例。更重要的是，目前我国司法实践对侵犯公民个人信息罪进行独立评价有更为积极的意义。我国公民对个人信息保护意识不强，个人信息长期被滥用，收集、倒卖个人信息已经形成庞大产业链，侵犯公民个人信息犯罪具有严重的社会危害性，必须从严打击。同时，对公民个人信息所包括的身份信息、个人信息及敏感信息的法律保护尤其是刑法保护，在公民个人主体权利意识不断强化的今天，更具现实意义。

　　应当强调的是，随着未来新技术的不断革新应用，数据尤其是具有核心价值的个人信息成为信息社会建设和网络产业发展战略要素的趋势不断得到强化。与此同时，与个人信息相关的网络犯罪迅速蔓延，构建更为全面的综合防治策略已然成为国家、产业和公众高度关切的重大命题，面对纷繁交织的权益格局，如何在刑事司法层面确保侵害个人信息网络犯罪的有效惩治，对公民权利的全面保障和网络空间的综合治理有着深远的重大影响，在此意义上更需要我们进一步及时转变应对思路、理性阐释规范体系以及科学创新裁断机制，进而真正提升刑事法治的法益保护水平。

1960215

保护隐私利器！

齐欢畅

不错