在信息合规培训中,公民个人信息历来是关注重点。收集与提供公民个人信息的刑事合规,简单来讲,就是让行为合符刑事法律的规定,避免触犯公民个人信息罪。 根据刑法第二百五十三条之一的规定,收集与提供公民个人信息构成侵犯公民个人信息罪,须以“违反国家有关规定”为前提。换言之,如果收集与提供行为没有违反国家有关规定的,那么,不构成侵犯公民个人信息罪。 《网络安全法》第四十四条,禁止的是非法的获取、出售、提供个人信息的行为。换言之,合法的获取、出售、提供公民个人信息行为是被允许的。
因此,收集与提供公民个人信息的刑事合规,讨论就是在符合何种条件之下的收集、提供公民个人信息是合法的问题。 一、何种条件下的收集是合法的1、经被收集者同意。 根据《网络安全法》第四十一条第一款,经被收集者同意,经营者可以收集个人信息,换言之,在征得被收集者同意的情况下,收集个人信息的行为是不违法的。
被收集着的同意,既包括针对特定人的同意,也包括概况的同意。针对特定人的同意,是指明确同意特定人收集;概况的同意,是指权利人自愿公开、甚至主动公开。 2、获得许可或法律规定。 特定行业,经营者在取得许可之后,收集特定公民个人信息的行为是合法行为,如人力资源机构,在取得人力资源服务许可证并办理相关备案之后,收集求职者的个人信息就是合法的。
二、何种条件下的提供是合法的1、经被收集者同意或者匿名化处理。 《网络信息安全法》第四十二条第一款规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。 采用相反解释的方法可以得出以下结论:经被收集者同意,向他人提供是允许的,经匿名化处理后,向他人提供也是允许的。 《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条第二款规定,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。 采用相反解释的方法可以得出以下结论:经被收集者的同意,将合法收集的公民个人信息向他人提供或者经过处理无法识别特定个人且不能复原的,均不属于刑法第二百五十三条之一规定的“提供公民个人信息”,不构成侵犯公民个人信息罪。 特定行业,经营者在取得许可之后,提供公民个人信息的行为是合法行为。这种情况,与获得许可后收集公民个人信息具有合法性的依据是一样,不再累述。 |
|
来自: 邓世运刑事律师 > 《侵犯公民个人信息罪》