关注网络安全 保护个人信息

一、《中华人民共和国个人信息保护法》第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。第五条 处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。第六条 处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。第七条 处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。

二、有关网络安全及个人信息保护的刑法条文及司法解释

1、2009年《中华人民共和国刑法修正案（七）》

非法侵入计算机信息系统罪（刑法修正案七第285条，最高法定刑3年）

非法获取计算机信息系统数据罪（刑法修正案七第285条，最高法定刑7年）

2、2015年《中华人民共和国刑法修正案（九）》

侵犯公民个人信息罪（刑法修正案九第253条修改为一般主体，包含非法获取、出售或者提供的行为，最高法定刑7年）

非法利用信息网络罪（刑法修正案九第287条，最高法定刑3年）

拒不履行信息网络安全管理义务罪（刑法修正案九第286条，最高法定刑3年）

3、最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》2011.8

4、最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》2017.5

注：刑法修正案及司法解释对个人信息的定义，比对网安法有更大范围的列举，包括个人身份信息及个人活动信息，体现了对诸如个人IP轨迹等的突出保护。

三、举例：此罪与彼罪，犯罪竞合及数罪并罚

1、涉事主体：

A公司：网络经营者

甲：入侵者

乙：购买者

2、基本事实：

A公司为网络经营者平台，在提供互联网经营过程中合法收集了大量公民个人信息，但未建立完善安全管理制度，未采取有效安全保密措施，经主管部门责令采取改正措施而拒不改正。

采取技术手段入侵了A公司的计算机信息系统，获取了A公司信息系统中储存的数据，其中包括大量公民个人信息。

甲将获取的大量公民个人信息出售与乙，乙建立某专门实施诈骗或其他违法活动的网站，并定向向被泄露的信息主体发布诈骗信息，导致多人受害。

3、罪名适用：

整个行为链条中，

A公司

因拒不履行信息安全管理义务，导致用户信息泄露，并导致严重后果，可能触犯刑法第286条，拒不履行信息网络安全管理义务罪，对主管人员或直接责任人员可处以最高法定刑3年的刑事处罚。

甲

采取技术手段非法获取A公司信息信息系统中储存的数据，其中有关公民个人的身份信息达到500组以上（获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息只需10组以上的），属于情节严重，可能触犯刑法第285条规定，非法获取计算机信息系统数据罪，3年以下有期徒刑；如身份信息达到500组5倍以上，即2500组以上或其他特别严重情节，最高法定刑为7年；如A公司为涉及国家事务、国防建设、尖端科学技术领域的计算机信息系统的，则不需要任何严重情节及后果，甲的行为构成非法侵入计算机信息系统罪，最高法定刑为3年；

同时，甲将获取的公民个人信息出售予乙，达到情节严重（他人用于犯罪的，50-500-5000条标准，违法所得5000元标准），构成刑法第253条侵犯公民个人信息罪，处于3年以下有期徒刑；如达到情节特别严重标准（被害人死亡、重伤、精神失常或被绑架等严重后果，重大经济损失或恶劣社会影响，数量达到50-500-5000标准的十倍以上），最高法定刑为7年。

所以对甲的行为，应以非法获取计算机信息系统罪和侵犯公民个人信息罪，进行数罪并罚。

乙购买公民个人信息的行为，情节严重，同样构成侵犯公民个人信息罪；同时，乙设立违法网站的行为，还违反刑法287条的规定，构成非法利用信息网络罪，应以侵犯公民个人信息罪和非法利用信息网络罪数罪并罚；乙建立违法网站进行诈骗的行为如达到诈骗罪的追诉标准，应以侵犯公民个人信息罪和诈骗罪进行数罪并罚。

注：上述举例及罪名适用仅为阐述在典型及理想情形下这几类犯罪适用的逻辑关联，司法实践中应根据不同个案及证据情况进行具体分析。

一、“一个简单日常的房屋租赁行为,就让消费者的个人信息面临被窃取的风险,真是没有安全感。”全国人大代表、北京市保安服务总公司海淀分公司总经理助理兼企业管理部主任李勇注意到最高检在今年2月发布的指导性案例。

案例中,柯某开发并运营“房利帮”网站及同名手机App,非法获取业主房源信息30余万条,获利150余万元。法院以侵犯公民个人信息罪判处柯某有期徒刑三年,缓刑四年,并处罚金人民币160万元。

“房地产经纪属于信息密集型行业,尤其大数据、人工智能等数字信息技术在行业内被广泛应用,极易发生个人信息泄露事件。”李勇代表说,检察机关用“身边的事、身边的人”警示经纪机构和从业人员,积极回应人民群众对个人信息保护的期盼。

记者了解到,3月2日,房地产相关行业组织召开警示教育会,部分房地产经纪租赁行业头部企业及部分房地产估价机构主要负责人参会,集中学习了最高检新闻发布会会议精神以及相关典型案例,要求各企业进一步健全内部管理制度,加强风险防控,依法规范个人信息处理活动,切实维护个人信息安全。

二、滴滴被处80.26亿元罚款！

7月21日，国家网信办依据相关法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

在16项违法事实面前，滴滴被严惩，一点都不冤。一件件、一桩桩，情节都极其严重。就拿过度收集乘客人脸识别信息来说，过度收集信息高达1.07亿条，实属惊人。特别是，“在监管部门责令改正情况下，仍未进行全面深入整改，性质极为恶劣。”

这样的企业，置法律法规而不顾，置公共利益而不顾，置用户的合法权益而不顾，相关部门依照《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等有关规定作出处罚，维护了法律尊严，也给亿万用户讨回了公道。

处罚决定出来后，滴滴回应称：“全面深入自查，积极配合监管，认真完成整改”。基于滴滴此前阳奉阴违、恶意逃避监管等行为，如今更要听其言观其行。所谓的整改不能流于表面，所谓的自查不能走过场。更重要的是，要真正坚持安全与发展并重，进一步加强网络安全、数据安全建设，加强个人信息保护，切实履行社会责任。

维护网络安全、保护个人信息，兹事体大，不能儿戏，更不能反其道而行之。法律明确规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息。作为一家体量较大、掌握较多用户信息的企业，滴滴更有责任履行网络安全、数据安全、个人信息保护义务。这是底线问题，滴滴应牢记心间。

“查处一案、警示一片”，依法依规处理滴滴，给滴滴敲响了警钟，也给相关企业发出了警示：所有的互联网企业都要依法合规运营，都要守住底线、健康有序发展。如果价值观跑偏了，发展方向走歪了，把法律法规碾在脚下，不仅法律不答应，人民群众也不会答应。

三、2018年8月，国内出现号称史上最大数据泄露案，新三板上市公司“瑞智华胜”（872382.OC ），涉嫌非法窃取用户个人信息30亿条，非法牟利超千万元，涉及百度、腾讯、阿里、京东等全国96家互联网公司产品，警方已从该公司及其关联公司以涉嫌非法获取计算机信息系统数据罪抓获6名犯罪嫌疑人。

根据公开披露的消息，这家新三板上市公司的“业务模式”为，先和运营商签订正规合同、拿到登录凭证，然后将非法程序置入用于自动采集用户cookie、手机号等信息，最后将非法获取的用户数据储存在境内和境外的服务器上，用于给微博、微信公众账号加粉及精准营销等广告业务，业务收入及利润率均相当可观。

这个案件就像一门窗户一样，打开了互联网数据地下产业链的世界，互联网黑色产业链从过去的赌博、色情、诈骗等传统方式，已经进化到非法获取及经营数据的“高级阶段”。

作者在腾讯工作期间，也曾处理过数据泄露的行政处罚，或者侵犯个人信息的自然人犯罪，但如此大规模的上市公司行为窃取个人信息，无疑也是前所未有；作者认为，这一事件的出现，标志着数据信息类犯罪的升级，同时也给正在经营的数据企业敲响了一门警钟。

根据作者的统计，个人信息的泄露事件在近年内也频繁爆发，如“华住旗下酒店5亿条信息泄露事件”、“顺丰快递3亿用户信息外泄事件”、“国泰航空940万用户隐私泄露事件”等等，与此相对应的国内刑事立法，也在加大对网络安全及侵犯个人信息的规制力度，作者整理了自2009年《刑法修正案（七）》颁布以来至今，有关网络安全及个人信息保护的几个重要相关罪名，并以简单案例关系展示，以作普及。