何宝明：滴滴案看平台过度收集个信的出罪路径与风险防范——兼与张洪铭博士商榷

7月21日，国家网信办公布了对滴滴全球股份有限公司涉嫌违法行为的调查结果，认为滴滴公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣，国家网信办依法对滴滴公司处人民币80.26亿元罚款，对滴滴公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

天价罚单瞬间产生轰动效应，登顶热搜。该案不仅对互联网行业产生重大影响，而且引发全社会讨论，不少网友对该案的处理方式提出了疑问：

为何对这种定性“情节严重、性质恶劣”的行为不直接追究刑事责任？滴滴公司严重侵害用户个人信息权益等行为是否应构成侵犯公民个人信息罪？ 

早前分析，可见 “张洪铭：从滴滴网络安全审查谈侵犯个人信息刑法规制的问题”（点击可读）

这里笔者根据国家网信办有关负责人就案件相关问题回答记者提问时所介绍的案情，试就舆论关注的滴滴公司是否应以侵犯公民个人信息罪追究刑责的问题进行分析，并针对互联网企业处理个人信息的刑事风险防范问题提出建议。

全文共： 5463字   预计阅读时间： 12分钟 

滴滴公司所涉个人信息是否均

属于刑法保护的公民个人信息

在分析滴滴公司未履行个人信息保护义务，侵犯用户隐私和个人信息权益等行为是否涉嫌侵犯公民个人信息罪时，首要问题是明确其行为所涉及的个人信息是否属于刑法保护的公民个人信息。

个人信息的不同法律概念

根据《个人信息保护法》第四条的规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

根据《网络安全法》第七十六条的规定，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

而根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《侵犯公民个人信息解释》）第一条的规定：刑法第二百五十三条之一规定的公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

从上述三个规定可以看出，《个人信息保护法》所规定的个人信息从文义上可理解为所有与可识别的自然人有关的信息，其保护范围最为广泛；《网络安全法》所规定的个人信息的范围相对较小，限定为可识别自然人个人身份的各种信息；《侵犯公民个人信息解释》所规定的公民个人信息所涵盖的范围则处于前述两部法律规定之间，即在可识别特定自然人身份的信息基础上，增加保护了能够反映特定自然人活动情况的信息，但没有扩张至全部个人信息。

虽然三者都强调“可识别性”这一本质特征，但刑法意义上的公民个人信息更侧重于对人身安全和财产安全等重要信息权益的保护，即不仅要求信息须与特定的自然人关联，而且要求与自然人的身份情况或活动情况关联。

滴滴公司过度收集的个人信息属于刑法保护的公民个人信息

根据案情介绍，滴滴公司过度收集的个人信息包括人脸识别信息、年龄段信息、职业信息、亲情关系信息、打车地址信息、精准位置信息、学历信息等。

其中，年龄段信息、职业信息、学历信息、亲情关系信息、打车地址信息属于常见的个人身份信息，精准位置信息则可归类行踪轨迹信息，都明显属于《侵犯公民个人信息解释》所规定的公民个人信息。

人脸识别信息按照《个人信息保护法》的规定可以划分为生物识别信息，虽然《侵犯公民个人信息解释》所列举的信息类型并不包括生物识别信息，但生物识别信息作为敏感个人信息，其重要意义在大数据时代愈发凸显。其不仅凭借密码属性关乎移动支付的财产安全，而且具备唯一性和不可更改性，直接影响人身安全等重要利益，其重要性完全不亚于行踪轨迹信息、通信内容、征信信息、财产信息等个人信息。因此，人脸识别信息也应认定为刑法所保护的公民个人信息。

滴滴公司其余涉案信息不涉及刑事评价

对于滴滴公司违法收集的用户手机相册中的截图信息、用户剪切板信息、应用列表信息，虽然信息来源于个人移动通信设备，涉及用户的个人隐私，但在监管部门未作进一步说明的情况下，该些信息是否具备“可识别性”尚不明确，而且无法判断对个人人身安全或财产安全的影响，故不能认定为刑法意义上的公民个人信息。

此外，以明文形式存储的身份证号信息以及分析乘客出行意图等信息的行为属于信息存储、使用行为，不属于侵犯公民个人信息罪所规制的行为类型；关于频繁索取无关的“电话权限”以及未准确、清晰说明个人信息处理目的等其他行为，也不属于侵犯公民个人信息罪规制的范围。

滴滴公司的过度收集行为是否

等同于刑法意义上的“非法获取”行为

根据《侵犯公民个人信息解释》第四条，违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

但作为互联网平台，滴滴公司在提供服务过程中实施的过度收集公民个人信息行为，是否能等同于上述刑法意义上的“非法获取”这一犯罪行为？

过度收集行为确属违反国家有关规定

根据《侵犯公民个人信息解释》第二条，侵犯公民个人信息罪的“违反国家有关规定”是指违反法律、行政法规、部门规章有关公民个人信息保护的规定。

在国家网信办于2021年7月对滴滴公司启动审查程序时，虽然《个人信息保护法》尚未颁布和实施，但根据《网络安全法》的规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意；网络运营者不得收集与其提供的服务无关的个人信息。

此外，国家网信办作为国务院授权的行政监管部门，也制定了《移动互联网应用程序信息服务管理规定》等涉及个人信息保护内容的部门规章，要求移动互联网应用程序提供者收集、使用用户个人信息应当遵循合法、正当、必要的原则，明示收集使用信息的目的、方式和范围，并经用户同意。

基于上述“国家有关规定”，滴滴公司在通过应用程序（APP）收集用户个人信息时，理应遵循合法、正当、必要的原则，不得收集与服务无关的个人信息，即不得过度收集个人信息。因此，对于监管部门依法认定的过度收集行为，显然是属于违反国家有关规定。

互联网平台过度收集的违法行为不能直接等同于“非法获取”的刑事犯罪

根据刑法第二百五十三条之一第三款的规定，“窃取或以其他方法非法获取公民个人信息”，构成侵犯公民个人信息罪。基于对该条文罪状的理解，“以其他方法非法获取”的违法性和危害性程度应等同于“窃取”。

因此，在认定过度收集公民个人信息行为是否属于“以其他方法非法获取公民个人信息”时，还需要进一步考量该行为的刑事违法性和社会危害性，并结合行业发展对其刑事可罚性作出审慎评价。

▶ 1.过度收集行为发生在用户知情和同意的基础上，刑事违法性程度较低。

根据法律和规范的要求，互联网平台的应用程序在收集个人信息时必须经过用户同意，否则即应认定为违法收集或强制收集行为。因此，过度收集行为本身是在经过用户知情和同意的情况下进行的，基于应用程序隐私政策的合同属性，用户的知情和同意能够在一定程度上阻却刑事违法。

在刑法理论和实践中，被害人同意具有重要的出罪功能。当被害人对受侵害的法益具有处分权限，且对其同意的事项具有相应的认知能力时，独立作出的同意行为能够阻却法益侵害行为的违法性。

例如，同样是在侵犯公民个人信息犯罪中，根据《侵犯公民个人信息解释》第三条规定，在经被收集者同意的情况下，将合法收集的公民个人信息向他人提供的，不属于刑法第二百五十三条之一规定的“提供公民个人信息”。

虽然司法解释未设置“非法获取”行为中被害人同意的出罪条款，但基于刑法谦抑性原则，对于过度收集行为的理解也存在被害人同意的理论基础，即在用户知情和同意的情况下，其刑事违法性程度相对较弱，存在出罪的可能性。

▶ 2.企业合规能够有效防范过度收集行为的社会风险，降低实质危害。

对于互联网平台而言，其经由用户同意的过度收集行为虽然违反了国家有关规定，即使形式上具备违法性的要件，但作为合法设立的互联网企业，其主观目的仍是通过大数据分析等技术手段获取信息价值，从而在市场竞争中实现优势地位，最终通过经营活动创造更多的合法利益，这与网络黑产犯罪有着本质区别。

在此基础上，只要互联网企业能够依法建立合规体系，严格落实信息安全管理责任，建立和健全用户信息保护制度，通过制度和技术手段打造用户信息的安全堡垒，则其过度收集个人信息的行为及后续的存储、使用等行为不会对个人信息所承载的人身安全、财产安全等刑法所保护的法益造成现实危险，即能够有效防范过度收集行为的社会风险。

此时，该过度收集行为只是违反了《网络安全法》《个人信息保护法》等法律规定，侵害了用户的个人信息不被过度收集等信息权益，但未对用户的人身、财产权利形成实害或危险，这与窃取等非法获取行为的社会危害性相比具有显著区别。

▶ 3.数字经济行业发展与个人信息保护须寻求利益平衡，应审慎评价过度收集行为的刑事可罚性。

当前，数字经济已成为国家重要发展战略，国务院专门出台《“十四五”数字经济发展规划》提出全力推动我国数字经济健康发展。数字经济依赖信息和数据的高效流通和共享，既充分体现了市场经济的效率和活力，也面临着与个人信息保护等个人权益、社会秩序等利益之间的权衡。

对于个人而言，互联网平台用户一边享受着个人信息被算法充分利用所带来的生活便利，也一边感受着个人信息被过度收集所造成的“大数据杀熟”等困扰和信息泄露的风险。

对于社会而言，数字经济所创造的社会价值无需多言，其在发展过程中出现的违法违规行为，也逐渐显现其负面影响。

因此，对于互联网平台过度收集行为的法律评价，应统筹兼顾，在行业良性发展和个人信息保护之间寻找利益平衡，综合应用多种法律规制手段实现最佳治理方案，护航数字经济持续健康发展。

在这过程中，应结合宽严相济刑事政策，审慎认定其刑事可罚性，尽量避免刑事处罚对企业和行业造成毁灭式打击。

本案中，行政监管部门认定滴滴公司过度收集人脸识别信息等个人信息的数量巨大，行为持续时间长，严重侵犯用户隐私，严重侵害用户个人信息权益，但如此“情节严重、性质恶劣”的行政违法行为并不能直接等同于刑事犯罪。

启动刑事处罚仍需要立足刑事谦抑原则，结合刑事政策因素，充分考量其过度收集行为的刑事违法性和社会危害性，并基于行业发展与权利保护的利益平衡对刑事可罚性持审慎态度，在全面保护公民个人信息的法益内涵和社会秩序同时，充分维护企业合规经营的法价值基础和数字经济行业的持续健康发展。

互联网企业处理个人信息

的刑事风险防范

当前，互联网行业已然面临诸多挑战，滴滴公司天价罚单案定会对行业产生极其深远的影响，尤其是在个人信息保护方面，将产生“查处一案、警示一片”的效果，促进行业的合规经营。

基于刑事法律风险防范的目的，互联网企业在处理个人信息时应注意从以下四个方面落实合规治理。

加强源头治理，重塑个人信息保护的经营理念

长期以来，不少互联网企业一味追逐市场经济利益，通过信息数据和网络技术的结合来寻求竞争优势，在经营理念层面缺乏对个人信息保护的重视。

但随着《网络安全法》《个人信息保护法》的颁布和实施，互联网企业的决策层应加快重塑其经营理念，将个人信息保护工作纳入各个经营环节，在个人信息处理的全过程严格遵守合法、正当、必要原则，从企业战略层面防范侵犯公民个人信息的刑事风险。

完善合规管理，建立健全个人信息保护制度

自最高检、司法部等多部门于2021年6月发布《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》以来，企业合规的重要意义进一步凸显，发挥着预防企业违法犯罪，保障经济社会高质量发展的积极作用。

对于互联网企业而言，尤其是对于重要互联网平台而言，应严格履行《个人信息保护法》第五十八条规定的义务，建立和完善合规管理体系。

互联网企业应从内部规章制度、产品规则设计、员工行为规范等多个层面建立健全个人信息保护制度，对个人信息实施分级分类管理，保障合规管理体系的有效运行。

尤其是针对应用程序的隐私条款等产品设计和运维问题，应全面落实国家网信办、工信部多个规范性文件的要求，防止企业出现侵犯公民个人信息的违法犯罪行为。

提升合规能力，不断强化信息网络安全技术

在建立和完善合规管理制度的基础上，互联网企业必须通过技术手段提升合规治理的能力。在网络时代，个人信息的收集、存储、使用、加工等处理过程均发生在虚拟空间，因此技防措施对于个人信息保护尤为重要。

互联网企业应专注技术创新，不断强化企业信息网络安全技术，如采取相应的加密、去标识化等安全技术措施，重点加强敏感个人信息的安全保护，进一步打造个人信息的安全堡垒，防止出现个人信息被泄露、窃取、篡改、丢失等重大安全事故，给企业带来刑事犯罪风险。

增强危机意识，积极落实行政监管问题整改

滴滴公司天价罚单案宣示了行政监管力度的加强，类似案件随时有可能再次发生。而行政监管和刑事处罚往往是量变和质变的过程，一旦遭到监管部门的调查，说明企业存在由违法转变为犯罪的风险。

因此，互联网企业应增强危机应对意识，对监管部门开展的执法调查工作要高度重视，针对执法发现的问题，应委托刑事律师等专业团队，研究企业在处理个人信息过程中可能存在的刑事风险点，积极制定全面整改措施并充分落实，全力纠正违法违规问题，将刑事风险消弥于萌芽阶段。