【202406045】提供公民地理位置核验服务又存储使用有关数据的行为如何定性


首页>>司法实务>>人民检察(2021-2030)>>正文


 

 

【202406045】提供公民地理位置核验服务又存储使用有关数据的行为如何定性
文/皮勇;李小东;战捷

  ■主持人:庄永廉(人民检察杂志社社长)
  ■点评专家:欧阳本祺(东南大学法学院教授、博士生导师,东南大学网络安全法治研究中心研究员)
  ■特邀嘉宾:皮勇(同济大学上海国际知识产权学院教授、博士生导师)
  李小东(广东省深圳市人民检察院检察长,法学博士)
  战捷(广东省人民检察院第一检察部主任、三级高级检察官)
  ■文稿统筹:王小飞(《人民检察》编辑)

  基本案情
  A公司是一家主要为消费金融、小额贷公司,第三方数据服务公司和银行提供风控产品和数据服务的公司,张某任该公司CEO。作为一项业务内容,A公司向掌握大数据信息的甲公司(主营业务为数字地图、导航和位置服务)、电信运营商乙公司等购买信息核验接口,进行技术封装后提供给客户使用。下游客户输入信息后提交核验,核验请求经过A公司服务器提交到上游数据源公司,上游数据源公司在数据库中进行匹配、计算,反馈核验结果。A公司的信息核验服务包含工作地、居住地、手机号实时城市等方面的地理位置核验。手机号实时城市核验即验证手机号当前是否在某城市,核验反馈内容为“是”或者“否”。工作地和居住地核验需输入公民的姓名、手机号、工作地和居住地的地理位置经纬度,上游数据源公司根据收集的手机用户行踪轨迹数据计算分析出白天和夜晚热点位置,分别对应工作地、居住地,反馈内容为“0~5”的一个数值。如,“0”代表手机号离这个参照地址的距离在1~2公里以内,“1”代表5~10公里的距离偏差,“2”代表10~20公里的距离偏差,“3”代表20~50公里的距离偏差,“4”代表50公里以外。不同数值代表偏离核验地理位置的距离区间,但其并非依据即时定位信息,而是对过往一年的手机轨迹加以综合分析的结果。消费金融、小额贷公司,第三方数据服务公司和银行据此判断信用卡或贷款业务申请人填写的个人信息是否真实。与此同时,A公司在其公司数据库中把下游客户输入的姓名、手机号、身份证等数据作为单独列来存储,并把下游提交核验的参数拼接后再作为一列保存。经鉴定,A公司成功调用地理位置核验接口700余万次,存储下游客户发起查询的公民个人数据7000余万条。但张某辩称收集该类数据仅用于对账目的。
  B公司没有实际经营场所,仅由实际控制人方某联系业务、支配收益,吴某兼职做技术开发和维护。B公司向A公司购买了地理位置信息核验接口,进行技术封装后在某市场向不特定人员售卖,从中赚取差价。同时,B公司在自身的服务器数据库中加密缓存不特定人员输入的身份证、姓名、手机号、银行卡号等个人数据,并在后续提供服务时直接作为信息核验结果,从而不用再付费给上游公司进行核验。经鉴定,B公司成功调用地理位置核验接口3万余次,存储下游客户发起查询的公民个人数据19万余条。赵某系所谓的“私家侦探”,通过B公司购买了A公司提供的信息核验接口,并通过多次、反复输入地理位置进行核验,经数据碰撞,分析得出被查询人相对准确的地理位置,并将信息卖给客户,至案发获利约1.6万元人民币。
  分歧意见
  关于A公司提供的公民地理位置核验结果是否属于刑法上的个人信息,第一种意见认为,刑法上的个人信息应当具有可识别性。A公司仅是在用户提供原始信息的前提下,运用大数据技术给出地理位置核验结果,或者判断某一手机号是否在某城市,或者提供一个模糊的地理位置区间(精度低于1~2公里),对于识别特定自然人缺乏实质意义。同时,该核验结果也并非行踪轨迹信息,将其评价为民法上的个人信息即可,不应作为刑法上的个人信息。第二种意见认为,刑法上的个人信息不要求具备可识别性。侵犯公民个人信息罪不仅保护身份信息,也保护隐私信息,即便单靠A公司提供的地理位置核验结果难以识别特定自然人,但也侵犯了个人隐私,并在结合其他信息的情况下可能妨害公民相应的行为自由。因此,该核验结果系刑法上的个人信息。
  关于A公司和B公司存储提交核验的公民个人数据是否属于刑法第253条之一中的非法获取公民个人信息,第一种意见认为,单纯的存储不是获取,而类似于持有,但刑法没有规定持有个人信息是犯罪行为。第二种意见认为,A公司、B公司存储有关信息行为系在履行职责、提供服务过程中收集个人信息,属以其他方法非法获取公民个人信息。第三种意见认为,A公司虽有存储个人信息的行为,但系用于对账的目的,没有进一步出售、非法提供这部分信息,不构成犯罪。B公司利用所存储的个人信息进行信息核验,实施了出售或提供给他人的行为,构成侵犯公民个人信息罪。
  研讨问题
  问题一:关于侵犯公民个人信息罪保护的法益
  主持人:关于侵犯公民个人信息罪保护的法益,理论上有“公共信息安全”“个人信息自决权”“个人信息所体现的公民隐私权”等观点,对此您怎么看?该案中,A公司提供公民地理位置核验服务的行为是否侵害了侵犯公民个人信息罪所保护的法益?
  皮勇:有观点认为,侵犯公民个人信息罪保护的主要法益是自然人的人身权利,这种观点值得商榷。第一,关于我国法律中个人信息权(益)的性质存在争议。相关法律规范主要来自个人信息保护法和民法。个人信息保护法规定信息主体有知情权、决定权、查阅权、复制权、转移权、更正补充权、删除权、要求解释规则权,民法典也有类似规定。关于这些“权利”属于权益、权利或者权能,是物权、债权还是人格权,在民法学界存在争议。其实,个人信息保护法保护的是个人信息权益而非权利,权利必须由法律授予,权利的性质和内容由法律确定。个人信息保护法第1条在该法的任务中提到保护个人信息权益,第2条规定不得侵害自然人的个人信息权益,可见,该法保护的是个人信息权益而非权利。但是,该法规定信息主体在个人信息处理活动中有前述8种权利,关于以上权利与个人信息权益的关系,存在个人信息赋权肯定论和否定论的观点,然而,即使是肯定论者也认为,以上权利“虽名之为‘权’,实则只是为了称呼方便而已。”[1]民法典分别保护隐私权和个人信息,但是没有规定保护个人信息权。民法典第990条第1款列举的包括隐私权在内的9种人格权,并不包括个人信息权,第2款规定自然人享有前述人格权之外的“基于人身自由、人格尊严产生的其他人格权益”。可见,民法典保护的是作为人格权益的个人信息权益,其不属于隐私权,故有民法学者认为“个人数据权利的内容不同于隐私权所保护的内容”。[2]
  其实,法律中的个人信息权(益)是人格权益下的个人信息保护权,除了关联超个人法益的情形,单纯侵犯个人信息权益的民事、行政责任较为有限。对于隐私权,刑法并未设置侵犯隐私权罪。将侵犯隐私权和个人信息的行为进行对比,侵犯公民个人信息罪的法定最高刑是七年有期徒刑并处罚金,属于重罪。除个人信息权益外,如不考虑其他重要法益,难以说明该罪法定刑的设置理由。
  第二,侵犯公民个人信息罪保护的个人信息权益包括个人信息保护权和个人信息相关其他权益。个人信息保护权是信息主体在个人信息处理过程中保护个人信息的权利。这种权利是防御性权利,不产生对个人信息的占有权,也不应将其定性为个人信息自决权,否则会使该权利绝对化,损害其他个人信息相关方的利益。个人信息保护权不仅受到民法、行政法保护,也受到刑法保护,这是因为,侵犯个人信息犯罪必然侵犯个人信息保护权,而相关人身、财产权益等是被间接侵犯的选择客体,并非在所有犯罪中必然遭受侵害,所以个人信息保护权是该罪的基础保护法益。
  个人信息相关权益是指个人信息关联的人身、财产和其他权益。各类信息系统处理的个人信息关联到信息主体的人身、财产安全、受教育和工作机会等权益,侵犯公民个人信息犯罪行为可间接侵犯信息主体的以上某方面权益,并引起现实的危险,如非法提供的行踪信息或被他人用于故意伤害、杀人犯罪。相较于直接侵犯人身、财产安全的犯罪,侵犯个人信息相关权益行为的危害相对较轻,如果被侵犯的个人信息关联权益不是重要法益时,单次侵犯行为可能达不到应受刑罚处罚的严重程度。如果被侵犯的个人信息相关权益系重要法益如人身或重大财产安全,或者其间侵犯了大量个人信息,则具有刑罚处罚必要性。
  第三,侵犯公民个人信息罪保护的主要法益是个人信息安全管理秩序。个人信息保护立法主要不是保护信息主体个人权益,而是维护个人信息安全管理秩序(在有关法律法规中,涉及个人信息安全管理制度、个人信息处理规则的规范比涉及个人信息保护权的规范占比要大)。作为个人信息保护立法的保障法,刑法同样服务于前述目标。侵犯公民个人信息罪的法益具有集体法益和个人法益二重性,集体法益是主要法益。侵犯公民个人信息罪将“违反国家有关规定”作为入罪前提,这是对个人信息权益作为该罪法益地位的限制。如个人信息保护法第10条规定,不得从事危害国家安全、公共利益的个人信息处理活动。此外,2017年最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)将“造成重大经济损失或者恶劣社会影响的”规定为特别严重情节,且司法实践中单纯侵犯个人信息保护权的刑事案件绝大多数是涉众性案件,都表明该罪保护的并非仅是个人信息权益。
  个人信息安全管理秩序的维护与个人信息权益的保护具有一致性。信息主体无论是凭借自身的控制能力还是主张法律权利,都不足以充分保护个人权益,只有通过让渡部分权益给国家,借助刑法保护个人信息安全管理秩序,才能实际获得强大的国家保护。维护个人信息安全管理秩序涵盖对信息主体个人权益的保护。但是,将个人信息权益作为该罪的主要法益则不符合事实与法律,特别是在个人权益与国家利益相冲突的情形下,会使得信息主体的个人信息权益及其与个人信息处理者的合同权益凌驾于国家利益之上。如,信息主体同意信息处理者跨境转移个人信息,但后者行为危害到国家安全与利益。如果个人信息权益是主要法益,因其没有侵犯信息主体的个人信息权益,不能按侵犯公民个人信息罪定罪处罚。同时,由于这些个人信息通常不构成国家秘密或商业秘密,导致以上信息处理者的行为也不能按其他犯罪处罚,可能会使国家安全和公共利益面临严重威胁。
  该案中,如果A公司获取个人信息并非信息主体知情同意下提供或授权他人提供,或者其经信息主体同意的获取行为违反了国家有关规定,则侵害了侵犯公民个人信息罪保护的法益。如果A公司保存信息主体的个人信息及其处理结果取得了信息主体的知情同意,且系为了向信息主体继续提供服务,则属于合法处理个人信息行为。但是,合法获取个人信息之后,未经同意的存储行为不是侵犯公民个人信息罪中的行为类型,不侵犯该罪保护的法益。
  李小东:有关学术争论体现了个人信息个人属性和公共属性的角力。基于个人信息的双重属性,以个人信息自决权作为侵犯公民个人信息罪保护的法益更为恰当,但应受到相应限制。一方面,侵犯公民个人信息罪属于侵犯公民人身权利、民主权利罪,相关出售、提供或非法获取行为可能对公民人身、财产构成严重侵害或威胁;个人信息保护法是该罪前置法之一,其强调对个人知情同意权利的拓展,故个人信息自决权的法益观与该前置法更为契合。但是,单纯的个人信息自决权法益观是有疏漏的,它过分强调个人信息的个体属性,忽视了个人信息的公共流通属性,排斥日常生活中的合理利用,易导致侵犯公民个人信息罪的适用范围不当扩张。因此,司法者有必要将权利还原到具体语境、场景中进行判断。
  该案中,首先要看A公司的信息核验行为是否输出了具有可识别性的个人信息。从信息核验的特性来看,大部分情况下信息核验不会增加实质的信息内容,有关信息因充分模糊而缺乏识别性,无法关联特定人。但当输出的地理位置精确度达到法定标准时,输出的内容结合用户输入的信息就可能具备可识别性。目前信息核验服务广泛应用于各种金融风控场合。如果A公司与下游客户签订的相关风控服务协议中明确约定下游客户在使用信息核验服务时,必须获得特定信息主体充分授权,则A公司有理由相信下游客户所输入用以核验的信息均经过合法授权。据此,A公司尽到了其应尽的合同审查义务,不存在监督过失,不应认定其具有侵犯公民个人信息的犯罪故意。在该场景下获得的具有可识别特征的信息,目的不是去识别特定人,而是确认信息的真伪,对于维护社会公共秩序和经济秩序有很大帮助,有其合理性和必要性,故信息核验服务具有社会通常意义上的可接受性。在上述风控场景下,A公司的信息核验行为没有侵害侵犯公民个人信息罪所保护的法益。
  战捷:关于侵犯公民个人信息罪保护的法益,从集体法益和个人法益视角出发存在超个人法益说和个人法益说两大类观点。从司法实践和个人信息全面保护的角度出发,对侵犯公民个人信息罪保护的法益不能仅从公共利益或隐私权保护的维度来考量。相对而言,“个人信息自决权说”较为适应对于个人信息范围的差异化解读和信息形式多样化的发展趋势。该案中,A公司提供的公民地理位置核验服务未经信息主体许可,且收集、使用和保存其姓名、手机号、工作地和居住地等具有隐私性的个人信息,这不但侵害了信息主体的个人信息自决权和隐私权,而且其行为指向不特定的信息主体,对公共信息安全造成危害。所以,A公司的行为侵害了侵犯公民个人信息罪所保护的法益。
  问题二:如何界定刑法第253条之一中的“公民个人信息”
  主持人:如何界定刑法第253条之一中“公民个人信息”的内涵和外延?有观点认为,数据化的个人信息具有一定的公共产品属性,需重点考察对其是否存在滥用行为。该案中,A公司提供的地理位置核验结果是否属于刑法上的个人信息?
  皮勇:在我国法律体系中,“公民个人信息”概念应当是统一的,即刑法中“公民个人信息”应当与民法典和个人信息保护法中“公民个人信息”的内涵与外延一致。可识别性是个人信息的基本特性,是认定个人信息时最重要的限制条件。A公司提供的地理位置核验结果是被核验人手机信号离居住地和工作地的距离评价数据,即使在被核验人提供真实的位置信息的情况下,以上评价数据并不足以唯一确定被核验人的身份,可能有其他人处于居住地和工作地相同距离范围内的情形,更不是准确确定被核验人居住位置或者行踪轨迹信息,故不属于个人信息。
  李小东:根据《解释》第1条和个人信息保护法第4条的规定,可识别性是个人信息的核心特征,因为只有可识别特定自然人的身份或反映其活动的信息才有可能被作为个人信息使用,并对特定自然人产生危害。从外延上看,刑法上的信息包括敏感信息、重要信息、一般信息,《解释》第5条对上述三种类别的信息作出细化规定。对于侵犯公民个人信息罪的定罪,司法上坚持“定性+定量”的逻辑,一般情况下个人信息越重要,定罪的数量标准就越低。
  该案中,A公司提供的信息核验服务主要有三个特点:一是信息源掌握在用户手中。只有在用户输入原始信息并同意用以核验的情况下,大数据公司才能够整理加工反馈这些信息。二是反馈输出的内容本身单独不具有可识别性。反馈结果有三种可能:否认信息的一致性(否);确认信息的一致性(是);反馈区间(“0~5”,代表若干公里),其单独不具有可识别性。三是反馈的结果一般没有增加实质内容。无论是哪种结果,都仅是对输入的一组信息是否与数据库相互一致给予验证,没有直接提供具体数据。除非核验结果区间落入法定精准度范围内,其他情况下没有增加进一步提高已有信息精确度的内容,因得到“充足模糊化处理”而缺乏个人信息中与特定人关联并可识别的属性,不宜认定为个人信息。如果信息核验输出的地理位置精确度达到法定标准,输出的内容结合用户输入的信息就具备可识别性,可能被认定为个人信息,但此时应考虑到个人信息的多重属性,结合信息核验服务的使用场景予以综合判断。
  战捷:关于个人信息,《解释》要求能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况,并在列举的信息种类里增加了行踪轨迹、财产信息等具有一定隐私性但无法单独识别自然人身份的信息形式。个人信息保护法也采用了与已识别或可识别的自然人有关的各种信息这一较为宽泛的表述。数据化的个人信息是否具有公共产品属性,要根据其具有的可识别性程度来判断。如果个人信息未经完全的匿名化、去识别化处理,虽以数据形式表现但仍包含个性化内核和鲜明的身份指向性,则信息主体仍对其具有自主决定权利。该案中,A公司提供的地理位置核验结果虽难以直接识别特定个人,但其与其他信息相结合能一定程度辨识、反映信息主体的活动情况,属于刑法意义上的“公民个人信息”。
  问题三:如何理解“以其他方法非法获取公民个人信息”
  主持人:“以其他方法非法获取公民个人信息”是侵犯公民个人信息罪规制的一种行为类型。此处的“其他方法”主要包括哪些,如何理解其非法属性?该案中,A公司和B公司在提供公民地理位置核验服务时存储并运用有关公民个人数据的行为是否属于“以其他方法非法获取公民个人信息”?皮勇:“以其他方法非法获取公民个人信息”是指除窃取之外的、违反国家有关规定的获取个人信息的方法,“其他方法”是一种兜底性规定,主要从行为方式的非法性来界定。这里的非法性表现为两个方面:一是权益侵犯性,即未经信息主体的知情同意,导致其获取行为是侵犯信息主体个人信息权益的行为;二是秩序违反性,表现为违反国家有关规定,主要是违反个人信息保护法中关于合法处理个人信息的规定,如该法第5条至第10条的规定等。需要注意的是,以上权益侵犯性与秩序违反性的关系——前者是基础性质,而后者是必要性质,具有后者必然具有前者,而不符合前者仍然可能符合后者。换言之,即使取得信息主体同意,如果违反国家有关规定,如个人信息保护法第6条规定的“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”、第10条规定的“不得从事危害国家安全、公共利益的个人信息处理活动”,仍属于非法获取个人信息行为。该案中,如果A公司合法取得信息主体的个人信息,其存储的个人信息和处理结果数据不属于非法获取个人信息。但是,如果该存储行为违反国家有关规定,可能构成非法处理个人信息行为;如果其向其他人提供信息主体的个人信息未经信息主体的同意或者违反国家有关规定,可能构成非法提供个人信息行为。B公司有关行为性质的分析思路与A公司类似。
  李小东:根据《解释》第4条,违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第253条之一第3款规定的“以其他方法非法获取公民个人信息”。侵犯公民个人信息罪是典型的法定犯,对于“非法”的判断应当以个人信息保护法等前置法为依据。需要指出的是,犯罪行为的认定最终仍取决于刑法的有关规定和理论。根据罪刑法定原则,可认定为此处“非法获取”的“其他方法”应当小于前置法中的范围。同时,还应当考虑相关行为是否在实质上具有应受刑罚处罚的法益侵害程度。
  该案中,A、B公司在提供公民地理位置核验服务时存储并运用有关公民个人数据的行为属于“以其他方法非法获取公民个人信息”。第一,从行为对象看,二公司在服务器中存储的信息具有可识别性。第二,从行为方式看,这种“存储”行为不是静态的保存信息行为。A公司在提供服务的过程中,未经用户同意,违反正当、必要的原则,在其数据库中拦截并有意识地整理存储大量个人信息,该行为符合《解释》第4条关于“在履行职责、提供服务过程中收集公民个人信息”的规定。第三,从法益侵害角度看,上述行为实际上是一种积极的收集行为,对于催生犯罪链条存在潜在风险。诸如此类的大数据公司对用户输入的信息及请求上游反馈的情况进行整理存储,产生了一种新的数据结构模型,会逐渐形成一个数据库,既降低再次调用上游数据源的费用成本,也为下游犯罪提供了可能,且行为人对此存在主观故意,其行为具有较大社会危害性。
  战捷:从法秩序统一性原理和体系解释的原则出发,“其他方法”应为与窃取手段具有相当性的行为。此类行为违反国家有关规定,系未经权利人同意而处分个人信息,与窃取等方法一样损害了信息主体的人身权利和财产利益。其行为模式主要分为两类:一是为牟取非法利益,通过购买、收受、交换等方式获取个人信息;二是在履行职责、提供服务过程中逾越权限,收集个人信息或者收集与提供的服务无关的个人信息。相对于出售、提供、窃取等主动作为形式,“其他方法”在信息获取途径上可能具有一定受让性、被动性,可表现为经营者在业务活动中对掌握的个人信息未尽安全管理义务。根据个人信息保护法第47条的规定,信息处理目的已实现时,信息处理者应当主动删除其存储的个人信息。该案中,A公司和B公司在提供的核验服务完成后,本应及时删除提交核验的公民个人信息,但其未经信息主体同意,将相关信息入库存档,该行为不具有合法性、必要性,属于“以其他方法非法获取公民个人信息”。
  问题四:关于侵犯公民个人信息罪的主观要素
  主持人:构成侵犯公民个人信息罪要求行为人具有哪些主观要素?该案中,张某辩称收集个人信息仅用于对账目的,这是否影响有关行为的定性?
  皮勇:构成侵犯公民个人信息罪只需具有犯罪故意即可,不需要满足其他犯罪目的、动机条件,合法经营目的不是阻却犯罪故意的理由。《解释》第6条规定了为合法经营活动而非法购买、收受部分公民个人信息行为的入罪门槛,合法经营目的否定不了行为的违法性。该案中,尽管张某辩解收集个人信息只用于对账目的,该目的改变不了其非法存储他人个人信息的行为性质,但他实施了明知系他人个人信息而加以存储的行为,且存储他人个人信息对于实现对账并非必要,完全可以有其他不侵犯信息主体权益的选择。A公司存储高达7000万条个人信息不仅违反个人信息保护法,也违反网络安全法中关于个人信息保护的相关规定,对公共安全、网络安全构成严重威胁,属于不法行为。
  李小东:侵犯公民个人信息罪是故意犯罪。从犯罪构成看,主观目的、动机和非法获取信息的用途等不影响该罪的成立。侵犯公民个人信息罪没有目的要件,意味着只要违反国家相关规定,实施了出售、提供、窃取或者以其他方法非法获取公民个人信息的行为,同时达到情节严重的程度,即触犯侵犯公民个人信息罪。值得注意的是,《解释》第5条第1款第2项以“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的”作为“情节严重”的一种情形,也即可以行为人主观上较大的罪责为依据,调整客观上入罪所需的罪量标准。该案中,张某所称的对账目的只能作为量刑情节来考虑。
  战捷:侵犯公民个人信息罪的主观方面为故意,包括直接故意和间接故意。根据《解释》第5条第1款第2项的规定,如果行为人知道或应当知道他人利用其出售或提供的公民个人信息实施犯罪,对下游犯罪的发生至少存在概括故意,视为达到该罪“情节严重”入罪标准,无须再满足信息种类、数量等方面的要求。侵犯公民个人信息罪构成要件并未对犯罪动机和主观目的作出要求。该案中,A公司未经信息主体许可,擅自存储在核验过程中获取的个人信息,无论是否用于对账,均不影响侵犯公民个人信息罪的认定,且地理位置核验涉及的公民并非A公司的交易对象,其身份证号码等个人信息并非财务对账所必需核对的信息。因此,张某的辩解不影响对其行为的定性。
  问题五:该案如何定性
  主持人:该案中,A公司和B公司的行为是否构成单位犯罪?对A公司、B公司和各个自然人的行为应如何定性?
  皮勇:如果A公司明知其获取的个人信息未经信息主体知情同意,构成非法获取个人信息行为。如果A公司未经信息主体的真实同意或者违反国家有关规定,故意向他人提供信息主体的个人信息,构成非法提供个人信息行为。涉案的姓名、手机号、身份证等数据属于《解释》第5条第5项规定的个人信息,非法获取、提供的以上数据达到5000条以上的,可构成侵犯公民个人信息罪。该行为系单位行为,构成单位犯罪,根据刑法第253条之一的规定,应当对A公司判处罚金,并对张某、其他直接负责的主管人员和其他直接责任人员,依照该条相应款的规定处罚。如果B公司名义上是公司,实质上以非法获取、提供他人个人信息为主要业务,有关行为实质为其控制人方某的个人犯罪而非单位犯罪,在符合前述条件的情况下,应当依法追究方某侵犯公民个人信息罪的刑事责任。否则,应当比照前述A公司的认定标准,认定为单位犯罪,并依照单位犯罪的处罚规定追究B公司和相关人员的刑事责任。
  李小东:其一,A公司的行为构成侵犯公民个人信息罪。 A公司存在两个行为需要评价,一个是提供信息核验服务行为,在该案中不宜认定构成犯罪。另一个是拦截并整理存储信息的行为。A公司对用户输入的信息及请求上游反馈的情况整理汇总,存储了7000余万条个人信息,其行为属违反国家规定,在提供服务的过程中收集个人信息,系“以其他方法非法获取公民个人信息”。若A公司的信息核验业务经公司内部审批决定,收益归于公司,则应属于单位犯罪。张某作为A公司的实际控制人,须承担侵犯公民个人信息罪的刑事责任。其二,B公司虽然也是购买和出售信息核验接口,但其通过互联网向不特定人员出售,对于服务的下游客户身份不审核,对于购买者可能用于违法犯罪持放任态度,并且其整理存储信息的目的是建立数据库以备下一次核验时直接使用,收集个人信息的主观故意明显,属于“以其他方法非法获取公民个人信息”。但B公司没有实际经营场所,仅由方某负责联系业务和支配业务收益,不构成单位犯罪。对方某应当以侵犯公民个人信息罪追究刑事责任。其三,赵某未经公民个人同意,通过B公司购买信息核验接口并通过核验反馈的距离分析推算出公民活动的地理位置,并将信息出售给他人从中获利,其行为系违反国家规定,向他人出售个人信息,构成侵犯公民个人信息罪。
  战捷:A公司收集、使用个人信息的行为系以单位名义开展的公司业务,一般基于单位意志和单位决策,违法所得归公司所有,从现有信息判断,很可能构成单位犯罪。B公司没有实际经营场所,仅由实际控制人方某联系业务、支配收益,虽然方某的行为系以B公司的名义实施,但其行为仍应作为自然人犯罪为宜。此外,A公司及其主管人员张某、B公司主管人员方某未征得信息主体同意,在提供服务过程中使用、存储个人信息,其中包括身份证号等与其提供服务无关的个人信息,违反个人信息保护法第13条、网络安全法第41条的相关规定,属于“以其他方法非法获取公民个人信息”的行为,且均已达到入罪标准,构成侵犯公民个人信息罪。赵某未经公民个人同意,通过购买信息核验接口分析被查询者的地理位置,并将此类个人信息出售给他人,违法所得约1.6万元,也构成侵犯公民个人信息罪。
  【注释】
  [1]申卫星:《论个人信息权的构建及其体系化》,载《比较法研究》2021年第5期。
  [2]程啸:《论大数据时代的个人数据权利》,载《中国社会科学》2018年第3期。