近日,一篇题为《P2P客户资料打包价95万互联网金融成信息泄露重灾区》的文章受到广泛关注。依照文章的内容,互联网金融领域内用户信息泄露情况较为普遍。
侵犯公民个人信息的“产业链”现象
有读者不禁感慨:“个人信息买卖已成产业链!”实际上,有关部门早已关注到该“产业链”现象。早在2013年,最高人民法院、最高人民检察院、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》便指出:“当前,一些犯罪分子为追求不法利益,利用互联网大肆倒卖公民个人信息,已逐渐形成庞大‘地下产业’和黑色利益链。买卖的公民个人信息包括户籍、银行、电信开户资料等,涉及公民个人生活的方方面面。部分国家机关和金融、电信、交通、教育、医疗以及物业公司、房产中介、保险、快递等企事业单位的一些工作人员,将在履行职责或者提供服务过程中获取的公民个人信息出售、非法提供给他人。获取信息的中间商在互联网上建立数据平台,大肆出售信息谋取暴利。非法调查公司根据这些信息从事非法讨债、诈骗和敲诈勒索等违法犯罪活动。此类犯罪不仅危害公民的信息安全,而且极易引发多种犯罪,成为电信诈骗、网络诈骗以及滋扰型‘软暴力’等信息犯罪的根源,甚至与绑架、敲诈勒索、暴力追债等犯罪活动相结合,影响人们群众的安全感,威胁社会和谐稳定。”2015年,《刑法修正案(九)》第十七条将刑法第二百五十三条之一修改为“侵犯公民个人信息罪”。
侵犯公民个人信息涉嫌犯罪
更有读者意识到,用户信息实为企业核心竞争力,能否通过“成熟”的产业链购置个人信息供自己的企业使用以开拓业务呢?
我们在此郑重提示:非法提供或非法获取公民信息涉嫌犯罪!
我国《刑法》第二百五十三条之一规定了侵犯公民个人信息罪:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
公民个人信息的范围
依照《关于依法惩处侵害公民个人信息犯罪活动的通知》,公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。
依照《电信和互联网用户个人信息保护规定》,用户个人信息是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
依照《信息安全技术公共及商用服务信息系统个人信息保护指南》,个人信息(personal information)是可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。个人敏感信息(personal sensitive information)是指一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等;个人一般信息(personal general information)是指除个人敏感信息以外的个人信息。
互金企业保护公民个人信息的合规方案
保护公民信息制度化是破解公民信息泄露引发合规纠纷的关键所在。
互金企业应依照国家质量监督检验检疫总局、国家标准化管理委员会颁布的《信息安全技术公共及商用服务信息系统个人信息保护指南》、工信部颁布的《电信和互联网用户个人信息保护规定》制定用户信息保护制度。必要时,可以聘用律师制定相关制度以确保合规性。
同时,保护公民信息制度化既是互金企业经营行为的合规标志,也是互金企业陷入侵犯公民个人信息指控之时的免责证据之一。小结在大数据时代,“数据是核心竞争力”已经成为互金企业之共识。但是,互金企业在获取公民个人信息时,一定要注意合规性,要通过合法途径收集、整理、调研数据,切忌侵害公民个人信息,以防止刑事法律风险。
互金法律专家,全球共享金融100人论坛首批成员,微金融50人论坛(WF50)成员,大成律师事务所互金委员会副主任。