本文共字，预计阅读时间。

本月，刑法第253条之一侵犯公民个人信息罪，不再是头上悬着的刀，现在已经正式成为响在耳边的雷。

大量案件从南方诸省逐渐蔓延到北方，警方十分认真地观察市场，积极接受群众举报，我国公民个人信息被肆意买卖的乱象，是改好好整治了。

以大数据风控为主线的助贷机构，山雨欲来，风满楼......

为防范未然，咱们先来看看如何抵御法律风险，未雨绸缪。

无论是互联网企业还是新金融机构，都面临公民个人信息数据使用问题，数据来源主要有俩：自身平台产生+购买其他公司信息。

前者需被采集人同意，后者风险更多。

因此，我们需要：

1. 建立健全“用户信息保护”制度

首先要“有制度”，行政机关、司法机关来审查，信息保护制度都没有，怎么说都说不过去；

其次是“制度有效”，牛栏关猫，明眼人一看就知道有问题，还是应该达到有效的程度，谨防数据外泄；

再次“制度对内不对外”，从业人员应当知悉，公司制度仅能规制内部员工，不能对抗善意第三人，也就是说我们不能拿着内部规定去规制外人。

2. 目的，公开规制

网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

不得违规、违约收集与服务无关的个人信息。

3. 使用个人信息遵从原则

根据国标GB/Z 28828-2012《信息安全技术公共及商用服务信息系统个人信息保护指南》规定，个人信息管理者在使用信息系统对个人信息进行使用时，宜遵循以下原则：

目标明确原则——处理个人信息具有特定、明确、合理的目的，不扩大使用范围，不在个人信息主体不知情的情况下改变处理个人信息的目的。

最少够用原则——只处理与处理目的有关的最少信息，达到处理目的后，在最短时间内删除个人信息。

公开告知原则——对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。

个人同意原则——处理个人信息前要征得个人信息主体的同意。

质量保证原则——保证处理过程中的个人信息完整、准确、可用，并处于最新状态。

安全保障原则——采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段，保证个人信息安全，防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。

诚信履行原则——按照收集时的承诺，或基于法定事由处理个人信息，在达到既定目的后不再继续处理个人信息。

责任明确原则——明确个人信息处理过程中的责任，采取相应的措施落实相关责任，并对个人信息处理过程进行记录以便于追溯。

4. 数据脱敏，原则明确

数据脱敏，实际上就是“匿名化”处理数据，也就是达到两个标准：

一是无法识别特定个人；

二是不能复原。

也就是说，以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等，都要处置到“无法识别”+“不能复原”的程度。

5. 应急补救方案

黑客不是盖的，内鬼也是有的，一旦出现信息泄露、损毁、丢失，应当立即采取补救措施，确保被泄露人的知情权，另外向注册地网信办汇报情况。

6. 监管部门是国家网信部门

由于网络安全监管归口到网信部门，电信、公安等部门配合，因此要重视与网信部门的沟通。

在出现公民个人信息收集、使用、过失损毁等情形，主动要求主管部门给予警告、没收违法所得、罚款等行政处罚，谨防“可控”的行政案件演变成“失控”的刑事案件。

7. 个人信息和重要数据出境，要小心

由于中外合作或在海外上市等因素，个人数据“出海”不可避免，为防范风险2017年4月11日，国家互联网信息办公室发布《个人信息和重要数据出境安全评估办案（征求意见稿）》。

其中，对于出境数据存在以下情况之一的，网络运营者应报请行业主管或监管部门组织安全评估：

（一）含有或累计含有50万人以上的个人信息；

（二）数据量超过1000GB；

（三）包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；

（四）包括关键信息基础设施的系统漏洞、安全防护等网络安全信息；

（五）关键信息基础设施运营者向境外提供个人信息和重要数据；

（六）其他可能影响国家安全和社会公众利益，行业主管或监管部门认为应该评估。

如上诸项完成后，还要注意谨防信息流转过程中带来的刑事问题。

刑事风险

1. 刑法第253条之一侵犯公民个人信息罪

这是2009年2月刑法修正（七）增设，2015年8月修订，2017年5月又修订的重要罪名，违法国家有关规定，向他人出售或者提供公民个人信息，情节严重或特别严重构成犯罪。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款规定从重处罚。

单位也可以构成本罪。

2. 核心在于对“提供”的理解

违法“出售”公民个人信息，自然有问题，那么，不要钱也属于犯罪吗？很多金融控股公司并不知晓。

母公司、子公司之间个人信息交互，实际上有隐忧。

所谓本罪名项下的“提供”是指未经被收集者同意，将合法收集的公民信息向他人提供的，一旦提供，则面临刑事风险。

因此，虽然来源合法，也没有营利目的，但是未经公民同意，转移其信息给他人，即为刑法风险事件，应立刻停止。

3. 情节严重是入罪的最后一根稻草

具备非法获取、出售或者提供公民个人信息，然后加之“情节严重”则入刑，具体情形如下：

（一）出售或者提供行踪轨迹信息，被他人用于犯罪的；

（二）知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；

（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；

（请诸位互金平台关注：征信和财产信息是烫手山芋，切忌外放）

（四）非法获取、出售或者提供住宿信息、通信记录、征信信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；

（五）非法获取、出售或提供第三项、第四项规定以外的公民个人信息五千条以上的；

（六）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；

（七）违法所得五千元以上的；

（八）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；

（九）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；

（十）其他严重情形。

应该说，情节严重的标准并不高，只要违反上述十项的任何一项，结合非法获取、出售或者提供公民个人信息的行为，即构成犯罪。

4. 购买别人售卖的个人信息用于合法用途，属于犯罪吗？

2017年6月1日之前，我们一般理解购买他们售卖的公民个人信息不属于犯罪行为。

但是，新司法解释已经明确，违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

简言之，作为买受人也存在刑法风险,但要求达到“情节严重”才构成犯罪。

如果为合法经营活动而非法购买、收受上述第三项、四项以外的公民个人信息，“情节严重”的标准适当放宽，具体是：

（一）利用非法购买、收受的公民个人信息获利五万元以上的；

（二）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民信息的；

（三）其他情节严重的情形。

5. 买了信息又买出，公民个人信息的条数不重复计算

对于将公民个人信息买入后再卖出的行为，认为对此类信息的侵害不能重复累计计算，因此不予以重复计算。

6. 向不同单位或者个人分别出售、提供同一公民个人信息的，公民个人信息的条数累计计算

将同一公民的个人信息向不同的主体出售、提供的，是对同一个人信息的反复多次的侵害，因此解释规定了对与此类信息进行累计计算。

7. 对批量公民个人信息的条数的认定

对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。

请数据公司、金融科技公司特别注意，批量流转数据，容易被有权机关定为情节特别严重，有必要把重复数据作记录，以备用。

8. 坐牢还要罚钱

侵犯公民信息罪有罚金刑，也就是相关人员领刑，还要罚违法所得的1-5倍，请注意罚金是罚本人或单位的合法财产，那些非法所得当然要被追缴。

结语

信息科技的发展所带来的除了极大的便利性外，还带来了对公民个人信息侵害风险的陡然提升。

那么，伴随着信息技术的发展而诞生成长的互联网企业与新金融机构，在其经营活动中，也自然而然会有着这样或那样的公民个人信息相关问题。

公民信息，不卖不换，够用即可，明示他人，取得同意，造福社会。

[Source]

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！

本文为作者授权未央网发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！

本文版权归原作者所有，如有侵权，请联系删除。