侵犯公民个人信息罪「授权即合法」？ 第1页

仅就标题中个人信息是否“授权即合法”的问题简单说一下个人看法：

目前数据安全领域对于个人信息安全合规的要求是：数据的收集、存储、使用、处置均须合法合规。即数据行为各个环节都要保证合规性。

比如：收集环节：有没有提前取得用户的明确同意？是否符合最小必要原则？不能一次性概括同意后就收集所有个人信息。存储环节：个人信息是否已进行去标识化处理？是否本地存储？涉及数据跨境传输的，需要进行审批或评估。使用环节：收集的用户信息拿来做什么、有没有超范围不合理使用？处置环节：委托第三方处理时有没有超越用户授权范围？共享或转让时有没有开展安全影响评估、有没有获得用户同意，等等。

因此绝不仅仅只是收集时获取同意就万事大吉。

说回这个case，因表述的细节内容不是很清楚，是否违法或者犯罪、尤其是判定犯罪，需要严格符合刑事要件，所以不好判断，但可以参考类似案件，比如之前的考拉征信、51信用卡出事，也是类似的情况，案件还在侦查中尚未判决，但已经严重影响到两家公司本身的经营。所以强烈建议从事数据处理、尤其是大数据公司，一定要做好数据合规管理，该做的认证（如等保、ISO）都尽快做，最好请专业第三方做个完整的专项，梳理数据合规漏洞。

最后附上《个人信息安全规范》全文链接供参考查阅：