《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（“司法解释”）于2017年6月1日施行，而《中华人民共和国网络安全法》（“网络安全法”）也于同日施行。

在网络时代来临之前，中国社会对于个人隐私保护、个人信息保护的意识非常薄弱，相关的立法严重滞后。2009年颁布的《刑法修正案（七）》修改了刑法第二百五十三条，增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。2015年颁布的《刑法修正案（九）》用统一的“侵犯公民个人信息罪”取代了此前的“出售、非法提供公民个人信息罪和非法获取公民个人信息罪”。该司法解释是对《刑法》第二百五十三条及《刑法修正案（九）》中“侵犯公民个人信息罪”的解释，对侵犯个人信息罪的主体、个人信息的界定、法定情节等方面作出了细致的规定，结合网络安全法的颁布施行，可以说国家对公民个人信息的保护实现了一个飞跃。

在保护内容方面，司法解释界定的公民个人信息包括了以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或反映特定自然人活动情况的各种信息，包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等，其保护范围相当广泛。

根据刑法第二百五十三条的规定，违反国家规定，非法出售、向他人提供、窃取或以其他方式非法获取公民个人信息，情节严重的构成侵犯公民个人信息罪。以刑法为基础，司法解释进一步细化了犯罪行为的范围：“向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的”、“未经被收集者同意，将合法收集的公民个人信息向他人提供的”、“通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的”均可入罪。

司法解释亦将“违反法律、行政法规、部门规章有关公民个人信息保护的规定”定义为刑法中的“违反国家规定”，没有“违反国家规定”不会构成“侵犯公民个人信息罪”。常见的法规例如《居民身份证法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《网络商品交易及有关服务行为管理暂行办法》、《第三方电子商务交易平台服务规范》、《个人信用信息基础数据库管理暂行办法》中都对保护公民个人信息有禁止性规定。未来侵犯公民个人信息和合理使用的边界，仍有待相关的法律规定的进一步完善。

笔者认为，司法解释的出台和网络安全法的实施，一方面加大了对公民个人信息的保护力度，另一方面会对部分互联网行业构成较大的冲击，冲击体现在如下几个方面：

首先，民间的互联网征信平台、互联网调查公司既有业务将直接受到新法影响。以各种方法收集和利用互联网信息，包括各类特定化的公民个人信息，是这些经营者的主要业务。这些企业收集和利用互联网信息的行为，在新法施行后将受到更多的限制。其巨大的风险来源于司法解释第四条中“以其他方式非法获取公民个人信息”的相关规定。

其次，互联网金融企业和其他依托互联网概念的金融企业，依赖或者期望收集和交换大量个人网络信息用于了解客户的风险系数，包括通过社交网络和O2O服务平台在客户不知情的情况下收集的大量用户信息。如果严格执行相关法规，除非常有限的合理收集和使用范畴，很多行为将受到限制。上述经营者将只能更多地依赖央行的官方征信系统。互联网金融行业依托互联网大数据来更好的管控风险的概念，会受到相当的冲击。互联网金融企业的交易链条中的其他服务，包括外包催帐服务等不可避免的涉及客户信息的收集和转移，不仅涉及合法性的问题，可能还涉及刑事犯罪。解释和网络安全法的实施，也对互联网金融企业妥善保存用户信息提出了更高的要求，不可避免的提高了互联网金融企业的成本和行业门槛。

最后，在整个互联网行业中，经常被业界推崇的用户画像、精准营销等概念，也很可能要重新考虑其商业模式边界的问题。根据互联网安全法的规定，企业收集的用户信息，只能用于合法、正当和必要原则，公开收集和使用的方式、目的和范围并经客户同意。而司法解释又规定了违法获取或提供公民个人信息的，将可能承担严重的刑事责任。合法使用公民个人信息的路径将更加狭窄，企业的利用公民个人信息的行为需要更加谨慎。

目前的司法解释对于互联网企业集团内部不同法人主体之间共用和交换公民特定个人信息的行为尚未有明确规定，但是如果按最严的尺度解释新法，即便在同一企业集团内的不同成员公司之间违反相关法律规定交换公民特定信息，仍有可能构成侵犯个人信息的刑事犯罪。我们相信这一点对于几乎所有大型互联网集团而言，对其未来战略将造成深远的影响。

我们建议相关的从业者需要投入资源研究新法的规定，认识到未来加强个人信息保护的立法趋势，重新审视其目前的收集、交换和使用公民个人信息的流程和机制，更谨慎的应对相关的挑战。