吉致汽车金融｜从两高解释看汽车金融公司的个人信息保护

1.犯罪主体：一般主体，达到刑事责任年龄且具备刑事责任能力的自然人以及单位均可构成本罪。 

2.主观方面：只能由故意构成，过失不构成本罪。

3.客体：公民的个人信息权。《解释》第1条将公民个人信息扩大到身份识别信息和活动情况信息，既包括了如姓名、身份证件号码、通信通讯联系方式、住址等公民身份识别信息，也包括与特定自然人活动相关的活动情况信息，如账号密码、财产状况和行踪轨迹等。

4.客观方面: 一是违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的行为；二是违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的行为；三是采取窃取或者以其他方法非法获取公民个人信息的行为。

《解释》第3条明确了“非法提供公民个人信息”的方式，即（1）直接提供，即向特定人提供公民个人信息；（2）通过信息网络或者其他途径发布公民个人信息的；和（3）合法收集公民个人信息后非法提供，即未经被收集者同意，将合法收集的公民个人信息向他人提供（经过处理无法识别特定个人且不能复原的除外）。

《解释》第4条明确“非法获取公民个人信息”的认定标准。即（1）违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息；（2）违反国家有关规定，在履行职责、提供服务过程中收集公民个人信息。

5.定罪量刑标准：根据《刑法》规定，构成“侵犯公民个人信息罪”需以“情节严重”为前提。《解释》区分不同行为方式分别从信息类型、信息数量、信息用途、主体身份、主观恶性等不同方面详细规定了“情节严重”的认定标准：

a)信息类型和数量

b)违法所得数额：五千元以上为“情节严重”。

c)信息用途：一是，出售或者提供行踪轨迹信息，被他人用于犯罪；二是，知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的。

d)主体身份：将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的，认定“情节严重”的数量、数额标准减半计算；

e)前科情况：曾因侵犯公民个人信息受过刑事处罚；或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的。

f)特殊规定：非法购买、收受公民个人信息从事广告推销等活动的情形较为普遍。《解释》第六条专门针对此种情形设置了入罪标准，规定为合法经营活动而非法购买、收受敏感信息以外的公民个人信息，具有下列情形之一的，应当认定为“情节严重”：（1）利用非法购买、收受的公民个人信息获利五万元以上的；（2）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的。

随着实践中不断出现的个人信息被泄露的问题，我国在过去5年中颁布的含有个人信息保护相关规定的法律、法规、规章和司法解释多达20多项，以加强对个人信息的保护。 我国目前没有统一的个人信息保护法，与个人信息保护的规定散见于法律、法规、规章和司法解释中。本文下一部分力求在准确把握个人信息保护相关法律法规内涵的基础上，浅析汽车金融公司如何做到合法收集和使用个人信息。

1.汽车金融公司收集消费者的信息需要遵循合法、正当和必要的原则。有以下义务：（1）公布信息收集的规则，按照规则收集消费者信息；（2）明示收集、使用信息的目的、方式和范围，并经消费者同意。

• 信息收集规则的公布义务

汽车金融公司应在经营或者服务场所、网站公布对信息收集的规则。对于拥有官方网站的公司来说，如果其通过该网站收集用户的个人信息（例如，收集用户的姓名、联系地址、手机号码或电子邮箱等），国际上通行的做法是在其官方网站上公布相应的收集和使用规则，该类规则通常名为“隐私政策”（英文通常称为Privacy Policy或者Privacy Statement）。此外，公司网站应当公布有效的联系方式，接受与用户个人信息保护有关的投诉，并自接到投诉之日起15日内答复投诉人。最后，实践中有不少涉及到收集个人信息的手机App（例如，很多App注册时需要提供手机号码）并没有在App中加入隐私政策内容或者链接，也没有在用户注册时提示相关隐私政策或者使用条款，这种做法可能存在一定的合规风险。

• 消费者的同意是前提

汽车金融公司收集个人信息需要事先获得信息主体的同意。我国目前的法律没有明确“同意”的方式，根据相关国家标准，收集个人一般信息可以默示同意，但收集敏感信息（包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等），需要得到信息主体的明示同意。

• 信息收集的范围以必要为原则

关于个人信息收集和使用的范围，应当遵守“必要”原则。根据相关法律法规的规定，汽车金融公司不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的；此外相关国家标准中明确了“最少够用原则”，即“只处理与处理目的有关的最少信息，达到处理目的后，在最短时间内删除个人信息”。目前实践中存在较多问题是很多公司收集的个人信息范围远远超过了必要的范围。为降低法律风险，汽车金融公司需要严格遵守“必要”原则。

2.针对收集信息施加保护措施

汽车金融公司作为经营者，对消费者的个人信息有以下保护义务：（1）严格保密，不得泄露、篡改或者毁损，出售或者非法向他人提供；（2）采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。

为确保合规，汽车金融公司在实践中需要重点加强对手机号码、身份证号以及银行卡信息等敏感个人信息的保护，可采取的措施包括对工作人员实行权限管理，监督批量导出和复制行为。

3.合法使用个人信息

根据相关法律法规的规定，汽车金融公司对外提供个人信息，应遵循的基本原则有：（1）经被收集者同意；（2）提供的信息经过处理无法识别特定个人且不能复原；（3）确定信息接收方的合法使用目的，避免个人信息被用于违法犯罪。

值得注意的是，实践中，公司将用户个人信息分享给业务合作的第三方操作非常多，汽车金融公司可能也存有类似操作。一般而言，分享时应获得用户的事先同意，否则存在违法风险。

如分享确有必要，建议汽车金融公司对用户的个人信息提前进行匿名化处理，避免提供给第三方的信息可单独或者结合地识别用户身份信息，从而构成违法泄露个人信息。与此相对应地，实践中汽车金融公司从第三方收购大数据时，为降低相关民事、刑事和行政法律责任风险，有必要进行事先调查和筛选，确保接收的数据有来源合法或者已经进行了必要的匿名化处理。

4.防范内部人员犯罪

汽车金融公司特定岗位的员工会接触到客户个人信息，客户因申请贷款、进行信贷审核等原因而提供的个人信息可能被员工出售或提供给他人，虽然该等行为一般会被认为是员工个人犯罪，而不影响公司；但是在（1）行为人是单位的直接负责主管人员或由其授意的其他人员或（2）犯罪行为为单位业务经营的情况下，公司也有可能被认定构成犯罪，依据《解释》，在符合其他犯罪构成要件的情况下，数额标准减半计算，将更易被视为情节严重。

因此，防范内部人员犯罪显得格外重要。建议：汽车金融公司一方面应与员工签署保密协议，通过政策、员工手册等禁止员工违法收集公民个人信息并违法出售、提供给他人；另一方面在技术上对于数据的访问、邮件的管理等等要保证可回溯，以便发生数据泄露时，能够通过审计日志找到对应的泄露人员。在司法实践中，公司通过提供强制性规范中禁止行为人的行为等证据证明行为人的行为并非公司意志体现，可以降低被认定为单位犯罪的可能性。