2020年3月下旬，上海汉盛律师事务所吴承栩律师作为辩护人的某数据公司涉嫌侵犯公民个人信息一案，公诉机关依法对该公司涉嫌收受公民个人信息一节未予起诉。

引言

2019年下半年起，在打黑除恶专项斗争开展的大背景下，网贷公司涉嫌套路贷案件呈高发状态。2019年11月，公安部召开新闻发布会通报全国公安机关开展“净网2019”专项行动工作情况及典型案例¹，其中特别提及对网络套路贷犯罪涉及的技术服务商、数据支撑服务商、支付服务商、推广服务商等进行生态式、全链条打击。

在上述专项行动背景下，数据行业面临重大洗牌。为高炮网贷平台提供类征信服务的数据公司成为重点打击对象。网络公开信息显示，截至2019年底，已有数家头部企业涉“爬虫业务”被立案调查。与此同时，为高炮平台提供贷后催收的公司，因涉非法获取公民个人信息、“软暴力”或伪造司法机关文书等违法行为，也成为侦查机关重点打击对象。

基本案情

经匿名群众举报，某区分局（下称“侦查机关”）对某数据公司（下称“A公司”）立案侦查。经查，2017年至2018年间，A公司收受某信息科技公司（下称“B公司”）近十万条公民个人信息数据以开展催收工作。侦查机关以侵犯公民个人信息罪移送审查起诉。

另，因A公司系在扫黑除恶专项斗争中被举报到案，A公司主要负责人员在侦查阶段被定性为“扫黑除恶专项斗争涉恶团伙”。

争议焦点

一、A公司主要负责人员被定性为“涉恶团伙”是否恰当？

二、对A公司收受公民个人信息的行为入罪应满足什么条件？

辩护要旨

一、针对争议焦点一：认定“涉恶团伙”应严格依照相关规范

在扫黑除恶专项斗争背景下，因侦查机关前期掌握信息和证据尚不全面，基于部分举报人不甚准确的举报信息，存在涉案主体在侦查初期被冠以“涉黑涉恶”案件办理的情况。这其中，不能排除存部分“撸贷人”群体为逃避还贷，利用扫黑除恶斗争进行恶意举报。而一旦相关案件被打上“涉黑涉恶”标签，则依据从快从严从重的刑事政策，涉案主体可能将面临与其本身行为不相匹配的畸重处理结果。

就本案而言，针对A公司主要负责人员被定性为“涉恶团伙”问题，辩护人围绕以下两方面发表意见：

首先，A公司涉嫌的侵犯公民个人信息罪，并非涉恶类犯罪。根据“两高两部”《关于办理黑恶势力犯罪若干问题的指导意见》，“恶势力”是指以暴力、威胁或者其他手段，在一定区域或者行业内多次实施违法犯罪活动，为非作恶，欺压百姓，扰乱经济、社会生活秩序的违法犯罪组织。违法犯罪活动主要为强迫交易、故意伤害、非法拘禁、敲诈勒索、故意毁坏财物、聚众斗殴、寻衅滋事等。

其次，A公司开展的数据催收业务本身尚不构成“软暴力”涉恶行为。举报人提及的多次骚扰、语气较重甚至辱骂等行为，不足以造成举报人产生心理恐惧而形成心理强制，不符合两高两部《关于办理实施“软暴力”的刑事案件若干问题的意见》对“软暴力”行为的认定标准。同时，举报人拒不归还贷款行为进而进行举报的行为本身，也存在一定的主观恶意。

鉴于涉恶案件的刑事政策为从严、从快、从重，对案件量刑存在较大影响，公诉机关经审查依法撤销了侦查机关对A公司主要负责人员系“涉恶团伙”成员的定性。应当说，本案前期公诉机关依法撤销本案“涉恶团伙”定性，是本案有效辩护的第一步。

二、针对争议焦点二：收受公民个人信息不能直接认定为“非法获取”

“两高”《侵犯公民信息解释》第4条将违反国家有关规定，购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，认定为刑法第254条之一第3款规定的“以其他方法非法获取公民个人信息”。

本案的争议焦点二在于，A公司为B公司提供电话催收服务，必然要接收B公司提供的个人信息才能开展。而这一“接收”个人信息的行为，是否应直接被认定为前述收受方式非法获取个人信息的行为进而入罪？

侵犯公民个人信息罪所保护的法益为公民个人信息权或隐私权，信息收集者接收个人信息应当遵循“透明原则”，即公开收集使用规则，明示收集使用信息的目的、方式和范围，被收集者授权同意（《网络安全法》第41条）。信息收集者但凡违背被收集者意愿就可能面临刑事法律风险。

因而，收受公民个人信息行为被认定为“非法获取”个人信息行为的前提包括：1.信息提供方未经被收集人同意或超出被收集人同意的授权范围将个人信息非法提供给信息接收方；2.信息接收方未对信息提供方的信息来源合法性、授权同意范围进行审查。这两个前提系对合关系，缺一不可。

本案中，侦查机关用于证实A公司以收受方式“非法获取”个人信息的证据有：A公司法定代表人和业务负责人的供述、A公司员工证言、数据提供方B公司对接人员证言及A公司委案数据表格。

结合上述证据综合分析，相关供述和证言只能证实，涉案个人信息是由B公司以excel表的形式发送给A公司的，但无任何证据证明B公司未经客户授权而非法提供给A公司。此外，B公司系某直辖市金融办批准的持牌机构，具备放贷资质，其与A公司签订的《催收告知合同》中，还明确约定了A公司在开展业务过程中的个人信息保护条款。在现有证据证实B公司所开展业务系合规，且又无证据证实B公司未经授权非法提供个人信息的情况下，不应直接认定A公司接收相关个人信息数据的行为系“非法获取”。

此外，本案侦查机关从B公司取得的个人信息数量准确性也存疑。因A公司在完成B公司合作业务后出于信息保护的要求对委案的个人信息进行了删除处理，侦查机关据以认定个人信息数量的证据为从B公司处调取的电子数据。而相关电子数据的来源是B公司对接人员经过人工整理筛选后提供给侦查机关的，相关电子数据存放载体未第一时间封存提取，也未经A公司业务人员核实，不能排除B公司对接人员整理过程中发生多计入的可能性。

最终，公诉机关未将A公司接收公民个人信息的行为定性为以收受方式非法获取个人信息的行为提起公诉。

对数据公司的刑事合规建议

对于数据源公司和数据使用公司而言，除了本案分析的涉刑风险，笔者在提供刑事合规服务及刑事辩护的案件中，还涉及到如下常见的涉刑风险：

（一）拆分提供、复原使用公民个人信息的涉刑风险

有的数据公司对外提供个人信息时，未经被收集者授权，将涉及公民信息拆分成不同部分，每段信息不具备个体信息识别性，但数据使用方通过再行整合方式形成完整的公民个人信息并开展业务。对于该等情形，有可能构成变相的“非法获取”行为。根据“两高”《侵犯公民信息解释》，“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。故对于能够融合复原的数据信息，也属于本罪客体。拆分提供，复原使用的行为，可能涉嫌违反《刑法》第253条之一、“两高”《侵犯公民信息解释》第5条规定的“提供”和“非法获取”公民信息。

（二）基于其他业务目的汇聚融合个人信息的涉刑风险

有的数据公司将经用户授权后爬取的数据信息，或者数据使用公司将该等信息根据其他业务目的需要进行信息汇聚融合开展二次业务。对于该等情形，由于开展二次业务时汇聚融合的信息未经用户授权即使用，违反了《网络安全法》41条“明示收集、使用信息的目的、方式和范围，并经被收集者同意”的规定和GB/T 35273-2020《信息安全技术个人信息安全规范》7.3条的标准（注：《信息安全技术个人信息安全规范》虽并非强制性规范，但对于司法机关办案具有参考价值），进而可能涉嫌违反《刑法》第253条之一的规定。

（三）数据使用公司要求上游企业出具《合法承诺书》等文件的涉刑风险

有的数据使用公司为规避“两高”《侵犯公民信息解释》“购买、收受、交换”等方式“非法获取”个人信息行为的入刑风险，采取要求数据提供方对其出具《合法承诺书》等文件。在本轮整顿中，有的公司甚至采取的是事后补签的方式。该等情形下，并不能完全规避刑事风险。结合《信息安全技术个人信息安全规范》5.4（e），数据使用方对数据提供方的数据来源的合法性、授权同意范围等具有审查义务。因而数据使用公司在与数据提供方合作前和合作过程中，应当就数据提供方与被收集者之间的协议内容进行审查，并将审查全过程进行“留痕”处理，以应对将来可能面临的被调查风险。

对于数据源公司而言，尤其对于开展“爬虫业务”的数据公司，在开展业务的过程中，除了上述列举的部分侵犯公民个人信息罪刑事风险外，还应注意防范非法获取计算机信息系统数据罪和破坏计算机信息系统罪等计算机犯罪、侵犯商业秘密罪、侵犯著作权罪等犯罪。

本轮针对数据公司的治理风暴虽有其特定背景，但可以得到的启示是，数据刑事合规审查制度必须得到足够的重视。我们建议数据公司在开展业务的过程中，要建立从刑事司法认定的视角进行刑事合规审查，将“辩护前移”。避免触及刑事红线，确保公司业务正常开展，才是保障数据服务行业稳定繁荣发展的基本前提。

注释：1.公安部新闻发布会通报“全国公安机关开展‘净网2019’专项行动工作情况及典型案例”，见网址http://legal.people.com.cn/GB/223276/51656/430763/index.html。