文/新浪財經意見領袖專欄作家 肖颯

　　一旦信息保護法在某些領域開了口子，大數據行業就要敏銳地捕捉到機會，從合法的業務切入盡快開展新業務。

　　九月份，對于大數據行業而言，是個嚴峻的挑戰。颯姐的同學、朋友在其中也感受到了瑟瑟涼意。

　　自返京后，幾乎每天都要接待來自數據行業的來訪、來電，大家共同關注的話題是：什么情況下會被警方帶走？怎樣就算是涉嫌犯罪了呢？哪些產品有問題？今天為大家分析一下，大數據行業繞不開的“原罪”--侵犯公民個人信息罪。

　　本文脈絡：

　　1． 刑法明文規定

　　2． 入罪標準

　　3． 如何規避涉刑風險

　　1 

　　刑法明文規定

　　與很多城市知識分子一樣，颯姐也是喜歡讀《人類簡史》《未來簡史》的中青年。

　　我們想象的未來是數據大量流動的時代，冰箱發現雞蛋的數量不足，自動通知超市采購，超市將采購信息傳遞給雞舍，雞下蛋，蛋被人類消費，消費數據繼續回傳擴散，社會各機構根據數據進行供求調節等。

　　個人的行蹤軌跡、口味偏好、婚否、買房否等信息也許不再是秘密，而是被采集、脫敏然后利用的有效信息。

　　想象是美好的，現實是骨感的。法律是人類社會的規矩，具有穩定性，必然帶來滯后性。但是，在當下，我們必須尊重現行法的規定，才能為future保留一飛沖天的機會。

　　我國《刑法》對于公民個人信息的規制有一個明確的罪名：《刑法》第253條之一侵犯公民信息罪，“違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。”

　　其中，關于“個人信息”“公民個人信息”的概念，《網絡安全法》與《刑法》規定略有不同，我們建議從業者采用刑法里的外延和內涵進行把握。

　　即：以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映自然人活動情況的各種信息，包括姓名、身份證號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。

　　可以看出，我國刑法“紅線”對于公民個人信息的保護非常全面，一個“等”字有增加了無限可能，未來生物指標也會成為公民個人信息的重要組成部分。

　　2 

　　入罪標準

　　2017年5月8日最高法院、最高檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，將我國刑法對于本罪的“入罪門檻”闡述得清清楚楚：

　　非法獲取、出售或者提供公民個人信息，具有下列情形之一的，應當認定為刑法第253條之一的“情節嚴重”：

　　（一）出售或者提供行蹤軌跡信息，被他人用于犯罪的。 

　　（二）知道或者應當知道他人利用公民個人信息實施犯罪，向其出售或者提供的； 

　　（三）非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的；

　　（四）非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的； 

　　（五）非法獲取、出售或者提供第三項、第四項規定以外的公民個人信息五千條以上的； 

　　（六）數量未達到第三項至第五項規定標準，但是按相應比例合計達到有關數量標準的； 

　　（七）違法所得五千元以上的；

　　（八）將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人，數量或者數額達到第三項至第七項規定標準一半以上的；

　　（九）曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰，又非法獲取、出售或者提供公民個人信息的； 

　　（十）其他情節嚴重的情形。

　　3 

　　如何規避涉刑風險

　　1． 真命題還是偽命題？

　　我們要考慮大數據行業完全杜絕刑事風險，是否是“偽命題”？

　　原則上講，大數據行業只要數據采集的渠道合法，脫敏到位，合同條款嚴謹，應該可以完全杜絕侵犯公民個人信息的問題。

　　然而，現實中，可能性不大，劣幣驅逐良幣，在全行業都在攫取便宜數據的時候，我為何要苦哈哈地挨個征得被采集人的書面同意呢；當一個“概括授權”就能把數據順利轉移給第三方合作機構，又何必重復取得授權呢。

　　實務里，大家會更經濟、更有效率，而不是更合規、更合法。本身兩者就是矛盾的，平衡點很難尋找。

　　2． 你的閾值是多少？

　　每位企業家、每個企業都有自己的法律偏好，有的比較激進，有的比較保守，沒有對錯之分，只需為自己的選擇買單。

　　我們只是提醒諸位，你能接受的法律懲罰，最大的閾值是多少，請務必在做事之前掂量清楚。

　　如果無法接受任何刑法處罰，那么，在大數據行業中也許只能做周邊服務業務，而不能直接從事大數據的處理（例如大數據風控）等業務。

　　如果閾值在3年以下有期徒刑，那么，可以做的事情會增多，但應當頭腦清醒地認識到未來可能會有牢獄之災。

　　如此類推，侵犯公民個人信息罪的上限為7年，也就是說無論怎么折騰，只要不涉詐騙等重罪，倒騰公民個人信息、數據這點事，最多也就是判7年。

　　3． 是否需要與監管溝通？

　　我們當然希望諸位保持與監管機構的順暢溝通，按照法理，只要在合規范圍內，就不構成違法，更談不上犯罪。

　　然而，法理總歸是法理，現實依然是現實。善意提醒諸位，在研究一種行為、商業模式是否具有法律風險時，颯姐認為的正確順序是：先看有沒有觸及刑法紅線，再看有沒有違反合規要求，最后看是否可以尋找到“試點機會”。

　　當然，也有案例表明：行政機關的首肯，不能替代刑法的定罪量刑。因此，核心要點是把握刑法的規定。

　　4． 是否需要提前請律師？

　　雖然中國律師的社會地位一般，但是大數據行業對于律師的依仗是顯而易見的。

　　我們建議大數據行業的民事律師與刑事律師組成團隊，由民事律師對企業各個業務條線進行梳理，發現風險點后，與刑事律師溝通確認是否已涉刑，然后想辦法如何排雷，確保客戶安全無虞。

　　當然，我們不可能讓大家銷毀證據，這些都是徒勞的，警方很快可以恢復。力氣還是要花在“如何解釋某一商業模式或行為是合乎常理、合法的”，而不是試圖毀滅證據、拉攏證人等。

　　5．時間窗口問題

　　自2015年至今，幾乎每年都有侵犯公民個人信息的案子找來，好像這幾年打擊侵犯公民信息的活動一直沒有停止過。

　　各地公安機關的辦案經驗也逐漸豐富和精湛，警情通報不斷，順藤摸瓜，發現了更多黑產數據源。

　　我們認為，大數據行業的秋天會一直持續，直到明年（據傳）《個人信息保護法》及相關司法解釋的落地。

　　一旦信息保護法在某些領域開了口子，大數據行業就要敏銳地捕捉到機會，從合法的業務切入盡快開展新業務。

　　在此之前，颯姐不建議大數據行業在今年發力，可以等待更好的時機。

　　(本文作者介紹：北京大成律師事務所執業律師，兼任北京市網貸協會法律顧問，主要從事互聯網金融法律工作。)