​助贷机构提供用户个人信息的刑法定性与合规要求

​助贷机构提供用户个人信息的刑法定性与合

前 言

2021年7月7日，人民银行征信管理局下发“征信断直连”的通知，其中要求助贷机构不得将用户个人信息直接向金融机构提供，并要求了整改期限。2021年8月20日，《中华人民共和国个人信息保护法》（以下简称“个信法”）出台，为助贷机构处理个人信息提供基础性、颠覆性的合规指引。2021年9月30日人民银行正式发布了《征信业务管理办法》，实际上将助贷机构传输用户“信用信息”界定为征信业务并要求进行持牌监管。此前据知情人士透露，近期监管将出台中国首份关于助贷机构的监管文件，拟明确助贷机构导流需通过个人征信机构等，被业内视为助贷业务领域即将进行的最后一次监管大洗牌。

2021年以来，助贷业务监管风云变幻，诸多中小平台陷入经营和合规危机，其中不少机构甚至因涉嫌侵犯公民个人信息罪而陷入刑事诉讼。笔者认为，在监管趋严、机构清退的当下，司法机关明确刑法入罪口径、避免打击面过分扩大、保障中小平台顺利转型或退出具有重要意义。本文以一份笔者接触到的一起2021年的未公开判决书的案例为例，分析助贷机构向贷款机构提供用户个人信息的刑法定性并给予助贷机构合规建议。

一

案例节选

“……经查，有贷款意向的用户在“XX”平台页面填写包括姓名、身份信息、财产信息、联系方式等信息后必须同意页面的“用户注册协议”方能注册成为该平台的用户，其中用户注册协议中注明要求注册用户授权该平台将用户个人信息提供给合作机构使用。

本院认为，被告单位利用经营的“XX”平台获取公民个人信息，将符合条件的公民个人信息推送给相关贷款公司，以推送的有效公民个人信息条数与贷款公司等机构结算货款，实为出售公民个人信息的行为。“XX”平台用户注册协议虽与用户就向合作机构提供公民个人信息的内容进行了约定、授权，但对相关出售公民个人信息的内容并未进行约定，被告人擅自扩大用户注册协议中约定的使用范围，客观上实施了非法出售公民个人信息的行为；被告单位、被告人以为注册用户服务的名义，通过出售公民的个人信息谋取非法利益，主观上亦具有侵犯公民个人信息的故意，因其非法出售的行为造成公民个人信息的泄露，侵犯了公民的基本权益，具有社会危害性。”

二

案例分析

【定性1】助贷机构向放贷机构有偿提供个人信息是“出售”还是“提供”？

《中华人民共和国刑法》第二百五十三条之一 违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

一、理论上，对于本罪罪状中“出售”和“提供”二者的关系存在不同理解

有观点认为，所谓的出售，是指以获得对价为目的的提供行为；提供，是指不以获得对价为目的的提供行为，出售与提供两者是并列关系。该观点值得肯定的地方在于其认为出售亦是一种提供行为，但对于提供须具有不以获得对价的目的的看法，笔者认为，该观点值得商榷。

另一种观点认为，从语义上分析，“出售”是指将自己掌握的公民信息卖给他人，自己从中牟利的行为；“提供”是指不应将自己掌握的公民信息提供给他人（包括单位和个人）而予以提供的行为。易言之，提供并非指不以获得对价为目的的提供行为，立法上对其主观目的并无限制；而出售是指以谋取对价后将某物提供给他人，其亦属提供行为的一种。笔者比较赞同这一种说法。故单纯从语义角度看，助贷机构向放贷机构有偿提供个人信息的行为无疑属于“提供”，但是否属于“出售”尚且存在疑点。

二、依据目前个人信息保护和处理的法律体系，“出售”的概念应当参考《网络安全法》《个信法》《民法典》等中有关个人信息的禁止性规定

除从语义上进行分析以外，《刑法》中该罪名既然使用了空白罪状的罪状阐述方式，那么依据目前个人信息保护和处理的法律体系，“出售”的概念应当参考《网络安全法》《个信法》《民法典》等中有关个人信息的禁止性规定。其中，《网络安全法》中的用语与刑法基本保持一致，均在相关禁止性规定中使用了“出售”、“提供”等概念，而《个信法》中则对处理个人信息的行为类型和概念内涵作出了较为系统的规定，可以作为参考依据。

《中华人民共和国个人信息保护法》第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

《个信法》创新之一是使用“处理”一词涵盖针对个人信息的行为种类，包括“收集、存储、使用、加工、传输、提供、公开、删除”，弃用了《刑法》和《网络安全法》表述中的“出售”和“获取”。《个信法》在保留了“提供”的情况下用“收集”替代了“获取”，将“公开”从“提供”的原有语义中分离出来。

除此以外，《个信法》在第十条的禁止性规定中承接了《民法典》第一百一十一条规定：

《中华人民共和国民法典》第一百一十一条 自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

《个信法》第十条规定了“买卖”这一不包含在个人信息处理的种类之中却规定在《民法典》第一百一十一条中的较为规范的概念，一方面明确了“购买”行为可以构成“以其他方法非法获取”，另一方面避免使用“出售”这一在理论上存在争议的概念。由于该词语义被涵盖在“收集”和“提供”的语义之中，从而“不得非法买卖”实际上成为了一种注意性规定。在侵犯公民个人信息罪的立法背景和司法实践中，买卖个人信息一直是侵犯公民个人信息的最主要方式，常见情形是犯罪嫌疑人使用QQ群等社交软件直接购买、出售公民个人信息，故立法机关在立法过程中将出售、买卖作为一种最常见的情形进行注意性的规定，这种情况是符合常理的。

三、应当体系化的理解侵犯公民个人信息罪中的“出售”，依照《个信法》《民法典》的相关表述将其限定在“买卖”的概念中予以理解

从体系性视角下对上述立法现象进行解读，《个信法》在相关禁止性规定中使用“买卖”而非“出售”，实际上摒弃了原有《刑法》和《网络安全法》中的争议化表达，转而与规定了个人信息权益的《民法典》相承接，使得前文所述的刑法中“出售”系以获得对价为目的的提供行为这一采取实质化理解的理论观点再难以成立，对侵犯公民个人信息罪中的“出售”应当按照《民法典》中的“买卖”予以理解。这一结论带来的实践意义是，由于《刑法》侵犯公民个人信息罪中“出售”一词的理解应当遵从个人信息保护领域的基础性法律即《个信法》的相关规定，将其理解为《民法典》中“买卖”中的“卖”，故在实践中可以区分其他以获得对价为目的的“提供”行为，如居间服务。

综上可以得出一个结论，“出售”是“提供”的一种方式，对“出售”的理解应当遵从“买卖合同”中“卖”的理解，也即标的为标的物的交付，而非服务的提供。故以提供服务的方式提供个人信息的行为不能理解为刑法中的“出售”，助贷机构应当在经营中提供实质化的贷款撮合服务，以避免被认定为单纯的出售公民个人信息。故在前述案例中，司法机关简单认定被告人出售公民个人信息，擅自扩大用户注册协议中约定的使用范围的观点有失偏颇。

【定性2】助贷机构未就“有偿”提供个人信息获得用户授权是否合法？

《中华人民共和国个人信息保护法》第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

一、《个信法》未要求个人信息处理者就提供信息是否有偿向个人进行告知

从上述规范的角度进行分析，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。但《个信法》并未明确规定个人信息处理者向其他个人信息处理者提供其处理的个人信息时应当向个人进行告知提供行为本身是否有偿，且“提供”在语义上包含了“有偿”和“无偿”两种方式，故在仅获得“提供”的授权的情况下有偿提供不属于私自扩大了个人的授权范围，不能认定为非法提供个人信息。

二、过分扩大个人信息处理者的告知义务不具有可行性

此外，从处罚的可行性角度进行分析，目前市场上的助贷机构，较大的如已经上市的融3*0等，其在规定用户隐私政策时，同样没有明确用户授权平台实施所谓“出售”公民个人信息的条款，而是表述为在用户授权的情形下“共享”、“转让”、“提供”用户个人信息（上述表述均存在无偿和有偿的情形，用户并未明确授权平台有偿“出售”其个人信息），如果否定“提供”与“出售”之间包含与被包含的关系，则目前市面上的大多数助贷机构甚至涉个人信息企业如智*招聘、Bo**直聘等企业均系非法处理个人信息，涉嫌侵犯公民个人信息罪，如此大的打击面也是立法和司法机关不愿意看到的。

三

合规建议

综上所述，助贷机构在日常经营应当建立有体系的、可视化的服务流程，及时有效的获取用户的个人信息处理授权，当机构（包括贷款超市或抢单平台类型的助贷机构）在个案中以“居间服务”、“中介服务”否认非法出售公民个人信息时，应当提供完整的服务流程和其他相关证据，以区分机构系单纯出售个人信息还是提供居间中介服务。具体可以包括：

1、平台如何确保将用户个人信息提供给资金方且用于信贷用途

2、平台具体提供了哪些风控初筛服务

3、平台是否建立有效的用户撤回同意处理机制和个人信息删除机制

4、平台向资金方提供个人信息后是否立刻下架信息展示防止二次提供

5、平台是否针对自身未能有效提供服务的情形设立了退款机制

6、平台提供个人信息后是否开展贷后管理服务等

最后，由于助贷业务系通过互联网开展，地域限制又容易被突破，用户可能散布在全国不同地域，故平台企业除参考本地区的监管口径外同时也应当关注其他地区的判例和司法口径，以最严格的标准开展合规审查。结合本文所述案例，笔者建议，助贷企业提供用户隐私政策或服务协议时，除明确可能将用户的个人信息提供给第三方并取得用户授权外，可以在授权条款中增加有关“有偿提供”、“服务费用由实际放贷机构承担”等类似的表述，并采取醒目方式提示和强制阅读等方式确保用户授权的有效性，从而避免陷入部分地区司法机关的入罪口径。