《个保法》对侵犯公民个人信息罪

“个人信息”之定义影响

在司法实践中，侵犯公民个人信息罪关于“个人信息”的认定在《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（“《个信犯罪司法解释》”）进行了明确规定。而《个保法》关于“个人信息”之定义参考了欧盟《一般数据保护条例》（GDPR），并在《网络安全法》《民法典》等法律规范的基础上进一步予以完善。相关法律条文主要如下：

从上述条文看出，虽然《个保法》关于“个人信息”的规定与《个信犯罪司法解释》相比，实质上未有较大改变，但也作出了部分调整，其确立了“与已识别或者可识别的自然人有关”的认定标准，同时排除了匿名化处理信息，与欧盟《一般数据保护条例》基本保持一致，顺应了个人信息保护的国际趋势。

在刑事司法实践中，侵犯公民个人信息罪隶属于刑事法律体系，通常情况下仍应以《个信犯罪司法解释》作为认定“个人信息”的依据。但是，由于《个保法》是规范公民个人信息的新法、专门法，在个人信息规范上更加精细，在《个信犯罪司法解释》未有明确规定时，出于办案科学化、精准化的考虑，不排除司法实践中参考《个保法》相关规定来认定“个人信息”，并以此作为定罪的标准。

《个保法》增加了

侵犯公民个人信息罪的出罪依据

《个保法》颁布之前，司法实践中，公民知情同意成为侵犯公民个人信息罪出罪的依据，而《个保法》增设了其他处理公民个人信息的合法性依据，从而也增加了侵犯公民个人信息罪的出罪依据：

根据《个保法》上述规定，在处理个人信息时增加了五项不需取得个人同意的情形。尤其是第二项：“为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”这一规定，为用人单位获取劳动者信息提供了合法依据，降低了用人单位非法获取个人信息的刑事法律风险。

个保法严格规范

获取个人信息和向他人提供个人信息行为

针对APP、小程序中普遍存在的“一揽子授权”、“强制授权”乱象，《个保法》29条规定，处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

当前通过APP开展业务的个人信息处理者大多通过统一的《个人信息保护政策》获得信息主体处理敏感个人信息的同意，实践中该等方式可能不符合“单独同意”的要求。在《个保法》生效后，个人信息处理者若需处理敏感个人信息，可能需要在触发处理动作之前，通过单独弹窗、单独告知等方式获得个人的同意。[1]例如，某自然人在注册为某互联网购物平台APP用户时，在注册过程中商家应当询问用户是否同意获取其地理位置，在用户注册页面以单独页面方式告知《敏感个人信息隐私政策》，并且在页面最下端设置“同意”、“不同意”两个按钮，如果用户点击“不同意”的，商家不得处理该用户的敏感个人信息，亦不得在“不同意”后强制用户退出应用、拒绝提供服务。

《个保法》第23条规定：个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。

在《个保法》生效前，多数个人信息处理者仅会向信息主体概括性告知接收方的类型，而较少精确到具体接收方的名称或者姓名，该等做法可能无法满足《个保法》的要求。[2]例如，某商家准备向他人提供个人信息时，应明确告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，通过单独弹窗、单独告知等方式获得个人的同意。

基于此，各网络交易经营者要提高合规意识，严格规范获取个人信息和向他人提供个人信息行为。

防止用户信息泄漏：

避坑“拒不履行信息网络安全管理义务罪”

《个保法》第四章和第五章详细规定了个人信息处理者采取妥善措施防止个人信息泄漏的义务，同时要求个人信息处理者在法定情形下及时删除个人信息。在日常运营过程中，企业对于收集到的公民个人信息应当妥善处理和保管，否则造成泄漏的，可能构成拒不履行信息网络安全管理义务罪：

值得一提的是，本罪的客观后果是致使信息泄漏而非主动提供，从这个角度来看，构罪标准显然比侵犯公民个人信息罪更低，因此，企业应当加强做好个人信息管理工作，以先进的技术手段有效避免个人信息被窃取、泄漏，有效防范“无意识”违法犯罪的风险。