毋庸置疑，在互联网信息时代用户信息是互联网企业的最为重要的商业资源，企业通过深入分析用户信息，可以分析用户偏好，精准推出契合用户需求的产品，提升用户活跃度，发掘无限的商机。但企业在开挖用户信息这座商业金矿时，常容易触及刑事风险红线，如何避免刑事法律风险并合法合规地开发利用用户信息，是互联网企业亟待解决的问题。

本文将通过对企业因用户信息涉刑事风险的态势及个人信息定义 的外延变化分析，以个人信息处理的常见流程（收集、使用、提供）为主轴，通过判例解读的方式，分析企业处理个人信息的典型风险及其防范。

深入了解公民个人信息外延的变化，是企业进行合规审查的前提。当前，立法机关不断加强对公民个人信息的保护力度，企业不能因循守旧，必须待时而动，根据法律法规对公民信息的外延变化对原工作进行合规审查，否则将面临刑事追诉的风险。

根据《侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称“解释”）第4条规定，非法获取个人信息的方式包括购买、收受、交换，或者在履行职责、提供服务过程中收集公民个人信息。通过检索案例，笔者梳理出三种常见法院认定为属于非法获取个人信息方式的行为：

购买企业工商、税务登记信息

用于推销公司业务

公民个人信息的本质特征是可识别性，是否公开不影响其性质认定。在企业购买用户信息时，企业用户的信息常被误认为不属于公民个人信息，但是由于营业登记执照上的信息，可以识别企业负责人身份，在购买此类企业用户信息时，也面临着侵犯公民个人信息罪的刑事处罚。

通过购买用户信息侵犯公民个人信息

相关刑事判例

值得注意的是，根据《解释》第6条，为合法经营活动而非法购买、收受公民个人信息，也构成侵犯公民个人信息罪。因此，在使用他方提供的公民个人信息时，必须留意其来源与授权信息，避免风险。

互联网APP超越必要经营范围、

未取得有效授权提取用户信息

APP提取用户个人信息，以业务经营所必要为界限，且必须取得用户的有效授权。互联网APP使用前设置的格式条款往往包含着隐私信息提取的事项，且同意格式条款是使用APP的前提。但并非用户点击“同意以上条款”，企业就可免除责任。用户信息的有效授权，需要满足经营所需、用户明示同意两个要件。

APP不当收集公民个人信息相关刑事判例

以上判例涉案公司虽为借贷软件，本身即蕴含着非法经营的性质，但不免给广大互联网企业敲响警钟，审慎审查用户信息采集格式条款，是否涉及过度收集用户信息？

《网络安全法》第41条、第42条对企业收集用户信息的范围以及保护用户信息义务均作出规定，以小说阅读软件为例，用户声音并非营业所必需的信息，如果强加入格式条款中要求采纳，也会面临民事责任或者行政处罚的风险，更甚于面临刑事责任。

APP不当收集公民个人信息

相关行政处罚决定

通过技术软件抓取用户信息

即使通过技术软件抓取用户信息，也需要以取得用户有效授权为前提。当前抓取计算机系统用户信息的插件层出不穷，不少经营者认为技术中立，利用技术手段所获取的用户信息应当无罪，但实践中，通过“爬虫”等插件侵入同行计算机系统套取对方客户信息用于自身牟利的案件高发，案件所涉行为不仅触及侵犯公民个人信息罪，还面临着非法侵入计算机系统罪的刑事处罚。

通过第三方插件技术收集用户信息

相关刑事判例

尽管企业确保了采集信息的源头可靠，但是用户信息的管控流程复杂，处理用户信息往往要经过多重人手，在这过程中则险象迭生，出现在职、离职员工利用职务便利和熟悉的业务环境侵犯企业保存的信息的现象。   

企业员工窃取用户信息相关刑事判例

在对内部员工的规制与管控中，企业不可松懈。根据《刑法》第286条第1款，企业不履行法律法规的监管义务，造成用户信息泄露的，构成拒不履行信息安全管理义务罪，处以三年以下有期徒刑或者罚金。因此，即使内部人害企业，企业也不可能独善其身，必须加强对员工保密工作。

信息共享已经是同类型行业间合作的常见方式，但是用户信息是否能够成为共享的对象？现行法律对此并没有明确规定，但从《网络安全法》所规定的企业对保护用户信息的义务可知，有两条红线是不能逾越的，第一，必须取得被收集者的有效授权才能进行信息流转；第二，根据公民信息的可识别性本质特征，如果在不能取得用户授权的条件下，必须对信息进行“脱敏”处理，祛除其可识别性特征。

笔者在检索过程中，尚未发现企业间共享信息所涉刑事案件，但以下民事纠纷案件则给企业提供了共享信息合规的角度，首先，即使是同一集团旗下的子公司共享信息，也需要取得独立授权，不能随意交换使用。其次，收集信息，不能以收集者的商业视角、为了确保进准推送商业信息去确定信息收集的范围，往往逾越信息收集必要的界限。

企业之间共享用户信息涉及民事侵权

民事判例

从信息控制者（信息收集企业）的角度来说，将信息共享给其他主体，是信息控制者对信息使用范围的扩张。从信息共享者（第三方企业）的角度来说，其接收他人共享的信息的行为本质上是对信息的收集行为。可见，信息共享涉及到个人信息的再利用，可能导致个人信息的反复收集、利用，如不对此进行规制，导致个人信息遭受不当使用，给企业也带来侵犯公民个人信息的刑事风险。

第一，企业直接收集信息。首先，取得用户的有效授权。除了在用户协议的格式条款中进行规定外，更要用明显的“单独提示”等方式履行提醒义务，以取得有效授权。其次，信息收集以必要性为原则。企业确定自身经营目标，用户信息的收集精细化，且必须站在用户享受服务的立场出发，圈定收集信息的范围。

第二，企业间接收集信息。通过第三方收集信息，企业更要谨慎。首先，确保第三方信息流转取得有效的授权与合法的来源，避免信息收集违法性的“传染”。其次，使用第三方技术（如爬虫技术）收集信息，同样需要遵守有效授权的规制。

第一，企业必须开展对内部员工的保密工作培训。通过建立企业内部规章，要求员工遵守保密义务，对其进行法制宣传教育，避免出现“内部人害公司”所带来的重大损失。

第二，企业对信息处理的流程进行优化。对信息按照敏感程度分类处理，避免信息流转的人数过多，增加泄露风险。

第一，对信息流转第三方要取得有效授权或者“脱敏”处理。首次签署的用户协议，并非企业一劳永逸的资本。在企业对信息进行共享时，必须再次取得授权，或者对信息进行深度加工，祛除可识别性，以此规避刑事风险。

第二，对合作方进行合规调查。确定信息使用目的，避免他方利用信息进行违法犯罪活动。

互联网时代，用户信息是各家企业夺取商业领地的独家秘方。但是对于用户信息的正确处理，国内互联网企业尚未跟上当前严格的法律规制。对用户信息处理的轻视，使得市场经济中涉及侵犯个人信息的犯罪频发，遭受刑事处罚的企业也在此过程中元气大伤。在信息时代，企业更要刷新用户信息保护的安全观，重建用户信息的合规之墙，既要避免自己触碰刑事红线，也要避免他方通过不法途径侵害自身利益，才能在互联网市场行稳致远。

·作者简介·