利用关联关系非法获取个人信息数据的司法认定

【案情】

某征信公司、被告单位某科技公司均由被告人黄某某担任首席执行官，与某网络公司系关联公司。

2017年起，被告人黄某某安排某征信公司人员抽取某网络公司存储的公民姓名和身份证号码、交易时间、交易金额、交易状态、商户ID等信息（以下简称“五要素信息”）数据，经过模型计算后转变为标签存储。商户购买雷达产品后，将被查询人姓名、身份证号码提交给某征信公司，某征信公司在其数据库中抽取相应标签形成包含有公民交易信息、信用信息等内容的雷达产品报告，通过数据接口反馈给商户。某征信公司陆续研发出申请雷达、行为雷达等10余种评估类产品，命名为系列雷达产品，于2017年10月上线销售。2018年7月，被告单位某科技公司成立后，接续某征信公司雷达产品数据、人员及客户等。经鉴定，被告单位某科技公司涉案数据库中“五要素信息”去重后数据为8000余万条。截至案发，评估类产品总查询次数近9亿次。

【评析】

本案争议焦点为：被告单位某科技公司及被告人黄某某利用关联关系，获取某网络公司储存的个人信息数据又对外提供的行为，是合法的数据共享行为，还是构成侵犯公民个人信息罪。

笔者认为，本案被告单位某科技公司及被告人黄某某的行为构成侵犯公民个人信息罪。具体理由如下：

首先，未匿名化、去标识化的标签数据，如能单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，仍属于公民个人信息。个人信息保护法第四条将个人信息界定为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”本案中，某科技公司非法获取包含姓名、身份证号码、交易时间、交易金额、交易状态、商户ID等内容的“五要素信息”后，出于便利检索的目的而使用MD5方式进行加密和标签化模型处理。但从身份识别性上看，某科技公司对外出售、提供的雷达报告包含姓名、身份证号码等信息，能够直接指向特定自然人；从内容关联性上看，雷达报告内容能够反映出特定自然人的交易频率、对象、数额等金融活动习惯。故涉案信息数据仍应认定为刑法二百五十三条规定的“公民个人信息”。

其次，违反有关规定，复制关联公司经营过程中依法收集、储存的个人信息数据，属于非法获取公民个人信息行为。网络安全法和个人信息保护法明确要求，法定情形以外的处理个人信息一般应取得个人在充分知情的前提下自愿、明确的同意。本案中，某网络公司对其基于经营需要和用户授权收集、储存的个人信息数据依法享有处理权，某科技公司虽系关联公司，但属不同法人主体，其不能依据关联关系在没有法定事由或未取得个人同意的情况下直接获取、处理相关数据。此外，某科技公司获取关联公司储存的个人信息数据的根本目的在于将数据整合编译成评估报告后对外出售、提供以获取经济利益，也不具有目的合法性。综上，应当认定某科技公司的行为属于非法获取公民个人信息行为。

最后，“原始数据不出域”前提下，将个人信息数据整合编译成征信分析报告对外出售或提供，仍属于非法出售或提供公民个人信息。本案中，从处理方式看，某科技公司使用MD5方式对其从某网络公司获得的“五要素信息”数据进行加密处理，意在确保信息数据完整性和便于标签化分类处理，而并非通过此方式对数据进行脱敏处理。某科技公司并未对“五要素信息”设置专门的隐私计算方法，以确保其中的个人信息不被直接利用。从处理结果看，涉案公民个人信息原始数据在物理空间上虽未发生转移，但某科技公司在商户通过API接口发起查询请求后，就可将标签化数据库中有关特定自然人信息转换成征信评估报告回传商户，实质上已经将公民个人信息标识化、可读化地向他人提供，应当认定为侵犯公民个人信息的犯罪行为。

综上所述，法院以侵犯公民个人信息罪判处被告单位某科技公司罚金五千万元，被告人黄某某有期徒刑一年六个月，缓刑二年，并处罚金五十万元。