更深入的数据合规与保护要求：敏感个人信息与刑事合规风险及案例

更深入的数据合规与保护要求：敏感个人信息与刑事合规风险及案例

IXCDC

敏感个人信息与刑事合规风险及案例

一、敏感个人信息定义

相比于一般的个人信息，敏感个人信息一旦遭到泄露或滥用，可能对个人人身或财产安全造成更大的损害，因此敏感个人信息亦应受到更加严格的保护。

《个人信息保护法》第二十八条规定，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

结合《信息安全技术 个人信息安全规范》（GB/T 35273-2020）附录B，判定是否属于敏感个人信息的核心是：该信息若被泄露、非法提供或滥用，是否极易导致信息主体陷入人身、财产、名誉、健康等风险。其中，“泄露”是指个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力，造成个人信息扩散范围和用途的不可控。此种情况下，个人信息可能被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析，可能对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。“非法提供”指若某些个人信息仅因在个人信息主体授权同意范围外扩散，即可对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，性取向、存款信息、传染病史等。“滥用”是指若某些个人信息在被超出授权合理界限时使用（如变更处理目的、扩大处理范 围等），可能对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，在未取得个人信息主体授权时，将健康信息用于保险公司营销和确定个体保费高低。

个人财产信息

银行账户、鉴别信息（口令）、存款信息（包括资金数量、支付收款记录等）、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息

人健康生理信息

个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等

个人生物识别信息

个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等

个人身份信息

身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等

其他信息

性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等

《信息安全技术——个人信息安全规范》（GBT 35273-2020）

附录B 个人敏感信息列举

二、企业应如何处理敏感个人信息

作为中国个人信息保护领域的首部综合性法律，基于个人信息保护要求和实践中的监管经验，《个人信息保护法》第二节中对于敏感个人信息的处理提出了更高的要求。

1.取得相关行政许可

《数据安全法》第三十四条即对此项内容作出规定：法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。在《个人信息保护法》第二节第三十二条中，对该项再度进行了强调。

根据《互联网信息服务管理办法》第三条、第四条的规定，互联网信息服务分为经营性和非经营性两类。经营性互联网信息服务实行许可制度，指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。非经营性互联网信息服务实行备案制度，指向用户无偿提供具有公开性、共享性信息的服务活动，根据工信部《电信业务分类目录》，一般的，电商平台申请B21类许可证，又称“EDI证”(Electronic Data Interchange)；经营性的论坛、社交平台申请B25类许可证，又称“ICP证”(Internet Content Provider)。如果公司同时经营以上两类增值电信业务，也可以同时申请。

其中，含外资的许可证由工信部审批，申请流程相对内资许可证会比较复杂。判定是否涉及外资应一直追溯到自然人、国有资本或境外法人，如果判定不涉及外资，应确保追溯到公司任何一级股东均无外资。根据工信部2015年公布的《工业和信息化部关于放开在线数据处理与交易处理业务[经营类电子商务]外资股比限制的通告》，目前B21类电商平台的外资股比已放宽至100%；其他经营B21类、B25类业务的公司需满足《外商投资电信企业管理规定》的要求，外资比例不超过50%。

如未获得相关数据处理行业许可证，违反准入许可制度从事相关经营活动的，则可能构成《刑法》第二百二十五条的非法经营罪。

2.信息处理具有特定的目的和充分的必要性

根据《个人信息保护法》第二十八条的规定，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。由此可见，与处理一般个人信息相比，处理敏感个人信息受到更严格的限制。该等限制突出地体现在处理目的应当具有充分的必要性。

例如，在“中国人脸识别第一案”中，郭某购买某野生动物园的双人年卡，该动物园要求其进行人脸激活，否则将无法正常入园。郭某认为人脸信息属于高度敏感个人隐私，不同意接受人脸识别入园方式，双方遂产生争议。最终法院认为被告某野生动物园在采用指纹识别作为入园方式的前提下，却收集原告郭某的照片等人脸信息，该等行为违反了必要性原则。

3.取得个人的单独同意

根据《个人信息保护法》第二十九条的规定，处理敏感个人信息应当取得个人的单独同意。处理一般个人信息只需取得个人的同意，而处理敏感个人信息应当取得个人的单独同意。这一要求亦是《个人信息保护法》对处理敏感个人信息的做出严格限制的表现之一。《个人信息保护法》没有对单独同意的基本概念做出具体说明。目前实践中的主流观点认为，单独同意可以解释为单项同意，其含义有别于概括性同意或一揽子同意。实务可以参照《信息安全技术 个人信息安全规范》（GB/T 35273-2020）第5.4条，收集个人敏感信息前应征得个人信息主体的明示同意，并确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示；收集个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。

特别地，对于处理员工的敏感个人信息，只要在基于法律许可的适用条件得到满足的情形下（比如基于实施人力资源管理所必需），用人单位就无需取得员工的同意。但同时，用人单位需要注意：①在基于实施人力资源管理所必需而收集和处理员工的敏感个人信息时，应持谨慎态度，把充分的必要性作为划定处理范围首要因素；②行政主管机关和司法机关出于加强保护敏感个人信息之目的，有可能在执行层面对《个保法》中的前述规定做出不同解释，将处理敏感个人信息的法律基础限定为基于个人同意。

4.注意额外的告知事项

根据《个人信息保护法》第三十条的规定，个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。根据该等规定，例如用人单位在处理个人敏感个人信息时，无论是基于法律许可还是基于个人同意，都应当履行更加充分的告知义务，包括向员工告知需要处理的个人信息属于敏感个人信息，处理敏感个人信息的必要性，和处理敏感个人信息对个人权益可能产生的影响。

5.采取更严格的传输、存储措施

《个人信息保护法》要求个人信息处理者在处理敏感个人信息时采取更加严格的安全保护措施。实践中企业可以从以下两方面着手。

（1）数据加密

公司应建立数据加密、解密处理策略和密钥管理规范，采用符合《信息安全技术 信息系统密码应用基本要求》（GB/T 39786-2021）等国家相关标准规定的密码技术，对包括敏感个人信息在内的敏感数据加密保护。

（2）数据脱敏

数据脱敏又称数据的去隐私化。公司应建立数据脱敏安全策略，明确数据脱敏规则、脱敏方法、处理流程和使用限制、涉及部门及人员的职责分工。按照脱敏规则对敏感数据进行技术处理，并对数据脱敏操作过程进行记录，记录内容至少包括操作时间、操作人、操作对象等。同时，应设立敏感数据检查工具，对数据库进行实时监测，及时发现敏感数据。

对于敏感个人信息，具体可参照《信息安全技术 个人信息安全规范》（GB/T 35273-2020）6.3条规定：①个人生物识别信息应与个人身份信息分开存储；②原则上不应存储原始个人生物识别信息（如样本、图像等），可采取的措施包括但不限于：1）仅存储个人生物识别信息的摘要信息；2）在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能；3）在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

三、侵犯敏感个人信息的刑事风险

就企业来讲，侵犯敏感个人信息的刑事风险主要来源于两方面：一方面是企业掌握的个人信息被侵害，其中包括来自外部的侵害，也包括企业内部人员不法行为引起的侵害，例如己方掌握的数据被非法盗取、企业或企业内部人员利用己方便利或职务非法使用、转卖公民敏感个人信息等；另一方面是企业或其员工侵害公民个人信息，例如非法获取第三方掌握的敏感个人信息、或向他人出售、提供敏感个人信息。

以上行为涉及的刑事风险主要如下：

1.拒不履行信息网络安全管理义务罪

若企业对己方所掌握的敏感个人信息保护不力，根据《刑法》第二百八十六条之一，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：（一）致使违法信息大量传播的；（二）致使用户信息泄露，造成严重后果的；（三）致使刑事案件证据灭失，情节严重的；（四）有其他严重情节的。单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。

在李小全拒不履行信息网络安全管理义务[14]一案中，被告人远特通信的高级运营总监李小全在明知违反实名制管理规定的情况下，将大量带有公民个人信息的回收卡交给亚飞达信息科技公司，供其进行挑卡，盗取回收卡上绑定的用户微信账号，造成严重后果，且在两年内经监管部门多次责令改正而拒不改正，最终被法院判决犯拒不履行信息网络安全管理义务罪，判处有期徒刑一年零三个月，并处罚金5000元。

另，根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第八条，设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组，情节严重的，应当依照刑法第二百八十七条之一的规定，以非法利用信息网络罪定罪处罚；同时构成侵犯公民个人信息罪的，依照侵犯公民个人信息罪定罪处罚。

2.侵犯公民个人信息罪

若企业违反国家有关规定，向他人出售或者提供包括敏感个人信息在内的公民个人信息，根据《刑法》第二百五十三条规定，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

结合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，不论获取公民个人信息的途径是非法的还是合法的，只要对公民个人信息进行转售或未经信息主体同意而提供给他人，都可以满足该罪的行为要件。但是经过处理无法识别特定个人且不能复原的除外。

并且其中第五条规定，非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：（一）出售或者提供行踪轨迹信息，被他人用于犯罪的；（二）知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；（四）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；（五）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；（六）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；（七）违法所得五千元以上的；（八）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；（九）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；（十）其他情节严重的情形。实施前款规定的行为，具有下列情形之一的，应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”：（一）造成被害人死亡、重伤、精神失常或者被绑架等严重后果的；（二）造成重大经济损失或者恶劣社会影响的；（三）数量或者数额达到前款第三项至第八项规定标准十倍以上的；（四）其他情节特别严重的情形。

若企业为合法经营活动而非法购买、收受上述第五条第一款第三项、第四项规定以外的公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：（一）利用非法购买、收受的公民个人信息获利五万元以上的；（二）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的；其他情节严重的情形。实施前款规定的行为，将购买、收受的公民个人信息非法出售或者提供的，定罪量刑标准适用本解释第五条的规定。

对于单位犯刑法第二百五十三条之一规定之罪的，依照相应自然人犯罪的定罪量刑标准，对直接负责的主管人员和其他直接责任人员定罪处罚，并对单位判处罚金。

在爬虫获刑第一案[15]——魔蝎数据科技有限公司侵犯公民个人信息案中，魔蝎数据科技有限公司以其他方法非法获取公民敏感个人信息2亿多条，违法所得人民币3000万元。最终法院判决直接负责的主管人员周某判处有期徒刑三年，缓刑四年，并处罚金人民币50万元。其他直接责任人员袁某判处有期徒刑三年，缓刑三年，并处罚金人民币30万元。

3.非法获取计算机信息系统数据、非法控制计算机信息系统罪

若企业违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，根据《刑法》第二百八十五条第二款规定，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

结合《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》，“情节严重”包括：①获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；②获取第①项以外的身份认证信息五百组以上的；③违法所得五千元以上或者造成经济损失一万元以上的；④其他情节严重的情形。“情节特别严重”包括：①数量或者数额达到前述①②③项规定标准五倍以上的；②其他情节特别严重的情形。另外，明知是他人非法控制的计算机信息系统，而对该计算机信息系统的控制权加以利用的，依照前两款的规定定罪处罚。

在北京瑞智华胜科技股份有限公司非法获取计算机信息系统数据、非法控制计算机信息系统罪案[16]中，瑞智公司通过邢某成立的其他关联公司与运营商签订精准广告营销协议，获取运营商服务器登录许可，并通过部署SD程序，从运营商服务器抓取采集网络用户的登录数据，并非法登录网络用户的淘宝、微博等账号，进行强制加粉、订单爬取等行为，从中牟利。2018年4月17日至18日期间，瑞智公司爬取被害人1在内的淘宝订单共计22万条，瑞智公司向指定加粉淘宝账号恶意加淘好友共计13.7万个。最终法院判决：单位北京瑞智华胜科技股份有限公司及其主要负责人犯非法获取计算机信息系统数据罪，判处单位罚金人民币一千万元；主要负责人有期徒刑两年至三年六个月不等，并处罚金六万至十万元不等。

[14]（2020）云0103刑初1206号刑事判决书。

[15]（2020）浙0106刑初437号刑事判决书。

[16]（2019）浙0602刑初636号刑事判决书。