近期发布并生效的《网络安全法》[1]、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“《解释》”)[2]均涉及了大量保护公民个人信息的条款,较之以往更为细化和具体、入罪门槛较低,体现了国家不断加大保护公民个人信息的力度、严厉打击侵犯公民个人信息行为的趋势。

相关法律法规

1. 侵犯公民个人信息罪

《刑法》第二百五十三条之一规定了侵犯公民个人信息罪[3]

  • 定义:侵犯公民个人信息罪指违反国家有关规定,向他人出售或者提供公民个人信息;窃取或者以其他方法非法获取公民个人信息的,达到情节严重的行为。
  • 从重处罚的情节:如果是违反国家规定,将在履行职责或者提供服务过程中获取的公民个人信息,出售或者提供给他人的,则从重处罚。
  • 量刑幅度:情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
  • 单位犯罪:单位犯本罪,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第二百五十三条之规定处罚。

2. 《解释》

《解释》,遵循了从严惩处的一贯精神,进一步细化了相关规定,量化了入罪标准,主要体现为:

  • 个人信息范围进一步明确及扩大;
  • 明确限定“违反国家有关规定”;
  • 明确了“提供公民个人信息”和“以其他方法非法获取公民个人信息”的含义;
  • 量化了“情节严重”、“情节特别严重”的内容,降低入罪门槛;
  • 单位犯罪与自然人犯罪同一入罪标准;
  • 特殊主体实施侵犯公民个人信息的行为入罪标准适用减半原则。

3. 《网络安全法》对个人信息的保护

《网络安全法》第三十七条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

银行业务中的涉刑风险点

在此背景下,有鉴于银行在日常业务中会发生较多与操作公民个人信息有关的行为,操作不当则有面临刑责的可能性。如下述问题,体现了涉刑的高风险点:

  • 在个人业务过程中收集到个人信息(身份证号码、住址等),是否可以因业务需要而提供给第三方使用?如何提供?是否需要信息主体的书面同意?同意的内容是否需要具体明确?
  • 为了开拓市场,需要和一些大数据方合作,获取一些潜在客户的信息。在此类业务中,如何把握避免、降低涉刑风险?
  • 在对公业务中,收集、使用公司相关人员,比如董事、监事、高管等个人信息,是否需要获得该些人员的书面授权?如何操作才能避免涉刑风险而又高效办理对公业务?
  • 如何计算个人信息的条数?是以信息主体为依据,还是以信息内容为依据?
  • 在涉及个人信息出境的问题上,如何做到符合“国家有关规定”从而避免涉刑风险?
  • 在核实客户信息、信用状况时,如何才能合法地与信息供应商合作,避免非法提供、获取客户个人信息?

当前,无论是最高人民法院、最高人民检察院还是银行的监管部门央行、银监会都在强调对公民(金融消费者)个人信息的保护;而银行无论是在对公业务还是在个人业务、无论是既有业务还是开拓市场中都会有大量操作个人信息的行为存在,避免涉嫌侵犯公民个人信息罪的刑事风险显得尤为重要。

如果您想更多了解如何避免此类行为涉刑风险点并从制度层面和操作层面实现合法合规,请随时联系我们。