摘要：超范围使用形式上并不完全等于“违规出售”、“违法提供”。需要结合授权范围是否明确、是否超服务范围、是否造成严重侵害用户的数据权，去实质判断超范围使用是否具有刑法上的社会危害性。超范围收集也并不等同于“以其他方法非法获取”。

关键词：数据合规   个人信息  超范围使用  超范围收集

       数据的刑事合规是指企业或者个人对数据的收集、使用以及管理等活动，符合刑事法律规范。相对于数据的行政合规，数据刑事合规更为重要，这涉及企业的生死存亡与企业高管的人身自由，应该引起互联网企业经营者的充分重视。

       数据的刑事合规涉及的罪名主要包括侵犯公民个人信息罪、拒不履行网络安全管理义务罪、侵犯商业秘密罪、涉国家秘密犯罪等等，但较为常见的是侵犯公民个人信息罪。限于篇幅，本文着重讨论侵犯公民个人信息罪的几个小问题。

一、我国个人信息保护“先刑后民”的立法模式

       从我国立法实践上看，我国数据以及个人信息的保护遵循着“先刑后民”的立法模式。刑法有关数据及个人信息的立法规定早于民法、行政法规。这也从立法侧面说明互联网企业的数据刑事合规，是一个需要提高到公司经营战略高度的问题。民事以及行政法规对数据及个人信息规定的滞后，涉及诸多因素，其中一个因素在于数据权（个人信息权）的概念界定和权利主体等相关问题均存在着争议。目前，较为广泛的共识认为个人享有数据权。从主体角度可以将数据权分为数据公权与数据私权。数据公权的权利主体是互联网企业平台，数据私权的权利主体是用户（个人）。数据公权与数据私权的权利边界与利益平衡，成为民法、行政法规的立法难点。而对刑法而言，似乎并不需要考虑那么多，从中选取最为严重的侵权行为，按照入罪标准，纳入刑法调整即可。故而，数据保护的“先刑后民”貌似奇怪，实则有其背后的立法逻辑性。

二、个人信息保护的行刑界限

       互联网数据产业法治环境处于不断完善和健全的过程中，刑法的谦抑精神应得到充分重视。数据保护广泛存在行刑界限问题，以及刑法介入的正当性与边界问题。在诸多争议问题没有理清楚之前，不宜仓促定罪。

       从刑法相关侵犯公民个人信息罪的规定看，行为类型包括违规出售、违规提供、窃取、以其他方法非法获取。其中，窃取相对来说比较容易认定，对于违规出售、违规提供、以其他方法非法获取，需要结合文义解释、目的解释，并从行刑衔接角度去实质地理解其内涵与外延。

     （一）超范围使用并不完全等于“违规出售”、“违法提供”

       1.形式上看，超范围使用与违规出售、违规提供属于不同的行为类型。

       违规出售是指违反国家规定，未经授权，有偿向他人提供公民个人信息。违规提供是指违反国家规定，未经授权，无偿向他人提供公民个人信息。而超范围使用则是指超出授权范围使用公民个人信息。超范围使用并不能当然地解释为违规出售、违规提供。

       网络平台公司根据服务需要向用户收集个人手机号码、姓名、位置、照片等个人信息，并向用户索要使用其个人信息的授权。这个授权往往针对个人信息本身，但对于信息使用范围一般进行原则性的描述。那么，何谓超范围，便是需要进一步界定的问题。不宜肆意扩大授权范围，也不宜过于狭隘的理解用户的授权外延。超范围的界定需要结合公司的营业模式、服务内容、信息使用环节、行业规范、行政监管底线等诸多方面进行判定。超范围的认定需要谨慎，尤其是行业惯例普遍存在的情况下，不宜过分苛求平台公司，更不宜轻易将其解释为刑法上的“违规出售”、“违法提供”。

       即便是超范围使用，也需要讨论超出什么范围，具体与授权范围有何不同。并非只要超出授权范围，便是违规出售、违规提供。比如说平台关联公司、合作伙伴公司使用了平台方因服务依法获取的公民个人信息。此情况下，貌似属于“未经被收集者同意，向他人提供的”，但并不应认定为违反国家规定，提供公民个人信息。这里需要对超出范围进行界定，需要对刑法介入的范围进行限定。超范围并不能被狭隘地解释为与用户签约的平台公司，也应当排除提供网络服务必须的关联方和合作方对个人信息的合理使用。这种信息分享和共用是提供网络服务所必需，也在服务目的范围内，符合用户的利益需求，不应断然解释为违规出售或者违规提供。

       2.实质上看，超范围使用不一定具有刑法上的社会危害性。

       侵犯公民个人信息罪，是一个情节犯。其犯罪的成立需要有情节严重的要素。何谓情节严重？司法解释主要聚焦于信息的种类与数量，并试图通过不同种类信息的数量去具体量化情节严重。但实际上，本罪中的“情节严重”，并不仅仅体现在信息数量上，也体现在信息的传播范围、传播对象，以及是否对用户的信息权有实质上的严重侵害。

       一般来说，需要结合以下几种情况，实质地判断超范围使用是否具有严重的社会危害性，是否符合情节严重要素。

       一是存在用户部分授权。正规的网络平台一般会向用户索要授权，但由于授权范围设定的不合理、授权条款不明确、新的业务发展超出既有授权且未及时补充扩大授权等情况，导致用户原有的授权已经不能涵盖现行的使用，即所谓的超出授权范围。但这其中毕竟有用户的授权，平台虽有过错，但不能完全界定为违规违法。其中的社会危害性有多大，是否属于刑法上的情节严重，需要具体评估。

       二是超授权范围但并未超服务范围。平台向用户索要信息使用的授权，是为了向用户提供服务。根据用户服务需要，有时候平台会在超授权范围搜集服务提供方，并向合作方提供用户信息，进而更好更快地满足用户服务需求。也就是说，这里虽然超出了信息使用的授权范围，但是却还是为了满足用户的服务需求，仍在用户需求服务的范围之内，并不存在为了别的目的（如：牟利）而出售、提供用户个人信息。这种服务信息的提供，对用户来说，也是需要的，符合其交易目的，并没有超出其服务需求范围。这种尽管超出授权范围，但是没有超服务范围，不能断定服务方式和服务结果一定违背用户的授权意愿。其中的社会危害性以及是否属于情节严重，需要具体衡量。

       三是以提供服务为主与单纯出售、非法提供行为存在质的区别。多数平台公司一般还是以提供网络服务为主营业务，并非简单地获取用户信息而另行进行出售或者非法提供。这种经营行为内容客观上符合市场经济规律，是有价值的经营活动，并不能直接等同于犯罪行为看待。对于具有一定社会正当性的经营行为，一般并没有明显的社会危害性，入罪时不宜一律简单地认定为情节严重的犯罪行为。

       四是是否严重侵害用户的数据权。个人信息的超范围使用，并不意味着用户数据权的严重侵犯。用户数据权主要指用户对其个人信息享有占有、使用、收益、处分等权益。应该根据侵权程度，区分一般侵权与严重侵权。不宜将一般侵权纳入刑法调整范围。只有严重侵犯用户数据权的行为，才符合情节严重这一要素，具有上升为侵犯公民个人信息犯罪行为的可能。例如，平台对用户个人信息的占有、使用、收益以及处分，虽然表面上未经用户明确授权（而非没有授权），但是仍基于用户的服务需求，能不能算作侵权，也会有争议。我们观点认为，即便是侵权，也不能视为严重的侵权，更没有达到犯罪行为所要求的社会危害性。

     （二）超范围收集并不等同于“以其他方法非法获取”

       对于公民一些个人信息的收集，则非必要，且未经用户同意，涉嫌超范围收集用户信息，涉嫌行政违法违规，但并不能一律上升为刑法上的“以其他方法非法获取”行为，原因在于一些个人信息并不属于刑法上的公民个人信息。

       根据2013年、2017年的司法解释，公民个人信息概念界定为能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。可见，刑法所要规制的不是全部的个人信息，而是有关身份及其活动情况的信息。司法解释对一些信息作了列举，对其他信息却并未明确。比如用户的录音、交易习惯，这个是否属于刑法中的个人信息，会产生争议。我们倾向于认为，录音、交易习惯不属于刑法上的个人信息。因为，录音、交易习惯并不能直接锁定人的身份，与其他一般的辅助信息也不能锁定人的身份，因而还不能与已经列举的通信方式、财产账号之类的信息作相当性的解释。

       互联网企业数据合规主要的风险点在于数据采集环节、数据存储环节与数据使用环节。这些数据是企业经营的根本，涉及企业业态和经营模式的选择，应当说是需要进行全面优化和数据合规审查的。需要具体结合企业的运营内容和模式进行全面细致的合规排查，并在此基础上作出刑事合规整改。这个问题需要在全面了解公司经营细节后，进行针对性的合规整改辅导，才能最大化降低刑事法律风险。