清华大学金融科技研究院孵化
金融科技与金融创新全媒体

扫描分享

本文共字,预计阅读时间

以短信营销公司的手机号码数据问题为例。通过公开信息获取手机号码的一般方式为:根据《电信网码号资源管理办法》及其附件《电信网码号资源分类管理目录》,我国电话号码为11位,其中各段有不同的编码方式,前3位为移动通信网号(MAC),第4-7位为归属位置识别码(H0),第8-11位为用户号码。我国移动通信网号用于区分三大运营商,归属位置识别码按照地域进行分配,用户号码则随机生成。基于电话号码编制规则,电话号码段获取具体过程如下:(1)MAC为网络公开信息,通过公开检索即可获得,并能区分出运营商;(2)H0也为公开信息,通过公开检索可获得所有号段及归属位置识别码;(3)用户号码可通过序列号段进行补充。如已知MAC为137,四位H04509,即可自动序列生成13745090000、13745090001、13745090002........13745099999,共10,000个手机号码。

业内普遍的手机号码数据获取方式包括算法随机生成(上述所例)、公共网络爬取、脱敏数据批量采购,但也存在例如通讯录越权爬取、黑客攻击、内部员工泄露等以及相关黑灰产等。由于合规路径获取数据的成本较高,业内存在大量违法获取/交易/交换与手机号码相关的公民个人信息。

在流量行业,短信/电话营销属于基本操作,手机号码是基础生产资料;为提升精准营销,有目的性地选择带有标签的手机号码(如二手车用户、买房用户、租客用户等),是营销行业司空见惯的标准动作,但也是违法犯罪的高发地。

但如企业明知数据供应商的数据来源违法依然非法获取/购买的,则将涉嫌构成侵犯公民个人信息罪或掩饰、隐瞒犯罪所得罪。且即使企业不明知上述情形,但经黑灰产多次转手的数据一般污染严重,如为提高卖价,往数据里添加大量假数据以增加数量并使其混淆无法区分。

而没有机主姓名信息的单独手机号码,是否属于刑法意义上的公民个人信息,无论是对数据理解还是司法实践上,均存有争议。

相关法律规定

《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》:

第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

第三条 向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。

未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。

经典案例

认为不属于公民个人信息的

【1】案号:(2017)粤0304刑初1716号

“经审理查明,自2016年9月,被告人刘超与梁娉婷(另案处理)在深圳福田区金地工业区141栋601B房雇佣人员以电话营销的方式进行手表等产品的销售,并利用非法获取的平安银行信用卡客户信息进行推销,至2017年2月累计销售产品牟利已超人民币5万元。2017年2月17日,民警将梁娉婷等人抓获,并缴获涉案电脑等物品,从涉案电脑中查获大量公民个人信息(经鉴定,共计292279条,已扣除纯号码信息331077条)。”

【2】案号:(2018)粤0304刑初448号

“关于辩护人及被告人认为起诉书指控的信息条数有部分重复计算,应去除重复计算部分的意见。经查,文件名为“任务导入模板333.csv1”、“任务导入模板.csv22.csv”、“电话号码(1).csv”、“电话号码.csv文件”中记载有公民的电话号码信息,该电话号码信息由严某从其他excel文件中复制生成csv文件用于导入拔号系统,其内容重复,且这些文件中单一的电话号码亦不属于“公民个人信息”,应在计算时予以去除,故辩护人及被告人的相关意见,本院予以采纳。

关于辩护人认为文件名为“book1.xlsx”、“副本观澜豪园二期.xlslll”记载的均为连号的单一电话号码信息,应从总条数中予以去除的意见。经查,文件名称为“book1.xlsx”、“副本观澜豪园二期.xlslll”均记载单一的电话号码信息,该部分信息并不能单独识别特定自然人身份或反映特定自然人活动情况,不应认定为“公民个人信息”,故辩护人的相关意见,本院予以采纳。关于辩护人认为文件中的公民信息有部分对应的电话号码是空号,不属于真实的信息,计算时应去除该部分的意见。经查,未有相关证据证明相应的电话号码是空号、信息不真实,故辩护人的相关意见,本院不予采纳。”

认为属于公民个人信息的

【3】案号:(2018)浙07刑终1183号

“根据被告人张亚军、周志刚在二审庭审中的供述及两被告人的聊天记录,可以证实周志刚将单独的手机号码卖给张亚军系因张亚军购买手机号码信息用于群发短信进行推广不需要其他内容,但张亚军明知周志刚卖给其的手机号码系通过脚本进行支付宝验证获得,而非随机获取,故周志刚卖给张亚军的单独手机号码能反映特定自然人活动情况,可认定为公民个人信息。被告人张亚军、周志刚及辩护人所提单独手机号码不构成公民个人信息及张亚军向周志刚购买的信息只有单独手机号码的意见均不能成立,本院不予采纳。”

【4】案号:(2018)鲁1321刑初89号

“对辩护人提出的涉案电话号码不具有司法解释规定的“公民个人信息”基本特征的辩护意见,经审理认为,公民个人信息最初在《网络安全法》中被规定为“能够识别自然人个人身份的各种信息”,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条在上述规定的基础上,进一步明确公民个人信息包括身份识别信息和活动情况信息,可见伴随着信息时代、大数据时代的逐步发展,立法对“公民个人信息”的概念赋予更丰富的内涵和外延。该条规定,“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”据此,无论是识别特定自然人身份,还是反映特定自然人活动情况,都应当是能够单独或者与其他信息结合所具有的功能,不应要求是相应个人信息单独所具有的功能。涉案电话号码虽然无法单独识别公民个人身份,但本身能够与特定自然人直接关联,且结合其他信息能够识别公民个人身份,属于公民个人信息的范畴。故该辩护意见不能成立,本院不予采纳。”

【5】《青年时报》在一篇报道中《售卖不含机主姓名的手机号码也是侵犯公民个人信息》 载述:

“案件承办人、浙江省检察院公诉二处员额检察官王亮介绍,他跟检察官助理赵戬认为,售卖不含机主名字的手机号,同样属于侵犯公民个人信息。 王亮说:“两高司法解释以定义加列举的方式,将手机号码等通讯联系方式明确认定为公民个人信息。我国已全面实行手机实名制,手机号码具有专属性和隐私性。且涉案手机号码针对台州地区有贷款意向的金融类人群,被用于精准营销,更属于公民个人信息无疑。”王亮认为,在大数据时代,侵犯公民个人信息犯罪被称为“百罪之源”。如果将涉案手机号码机械解释为单纯的11位号码数字,对收集、销售这类号码资源的行为作出不是犯罪的结论,那是偏离了立法意图,客观上会纵容此类行为的泛滥,不利于社会秩序的构建。”

互联网合规君风险提示:

1、在从严惩治侵犯公民个人信息类犯罪的法治环境下,没有机主姓名信息的单独手机号码,将倾向于被认定为构成刑法意义上的公民个人信息。

2、手机号码作为互联网世界的类通行证(电话短信触达、各类社交账户支付账户注册、实名认证、密码找回等),通过手机号码进行各类数据活动是互联网企业无法舍弃的基操,而企业应做好充分的加密脱敏措施与数据安全治理,防止企业各类内部与外部的风险。

3、数据虽好,可不要贪多哦~如果没有完善数据合规机制与风险防范措施,企业很有可能会引火上身。

[Source]

本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!首图来自图虫创意。

本文为作者授权未央网发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!首图来自图虫创意。

本文版权归原作者所有,如有侵权,请联系删除。首图来自图虫创意。

评论


猜你喜欢

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。