百科问答小站 logo   百科问答小站
问题

侵犯公民个人信息罪「授权即合法」?

回答
“授权即合法”?我们来聊聊侵犯公民个人信息罪里这个有趣的说法。

听起来是不是挺带劲?好像只要被“授权”了,那侵犯个人信息这件事就一下子变得光明正大,没事儿了。但仔细想想,这话里的“授权”到底是个啥?谁来授权?授权了什么?这背后可比表面上复杂多了。

咱们先说这侵犯公民个人信息罪,它是个啥罪名呢?简单来说,就是那些非法获取、出售、提供公民个人信息,情节严重的行为。比如,你个人的电话号码、身份证号、银行账号、住址,这些都是个人信息。有人没经过你的同意,到处搜集这些信息,然后卖给别人,或者用来干坏事,那可能就触犯了法律。

那么,这个“授权即合法”到底从何而来?通常,这个说法会跟我们生活中一些常见的场景联系起来。

场景一:注册APP时的“我已阅读并同意服务条款”

你是不是经常在注册一个新APP,或者使用某个服务的时候,看到一个长篇大论的“用户协议”或者“隐私政策”?最下面往往有个选项,让你打个勾,然后才能继续。很多人看都不看,直接就点了“同意”。

从法律上来说,你点了那个勾,就等于你同意了对方按照协议里的内容去收集、使用你的个人信息。如果协议里明确说了,“我们将收集您的手机号码、联系人信息,用于为您提供个性化推荐服务”,那么理论上,你的这种“同意”,就构成了对方合法获取和使用信息的依据。

问题来了:

“同意”是真同意吗? 很多协议写得像天书一样,谁能真正读懂并理解其中的每一个条款?这种“一刀切”的同意方式,真的能代表用户内心深处的真实意愿吗?
同意的范围有多大? 协议里可能写着“为了提升用户体验,我们可能会收集您的使用习惯数据”。但这“使用习惯”有多广?是不是包含了你所有的上网行为?而你的“授权”是否明确知道这些信息会被用到什么程度?
信息的安全保障呢? 即使我授权了,但如果对方没能妥善保管我的信息,导致信息泄露,那责任谁负?是用户的“授权”就能免去他们的责任吗?

场景二:公司内部的授权

有时候,在一个公司里,为了工作需要,有些部门可能需要访问其他部门员工的个人信息,比如人事部门需要查看员工的联系方式,或者财务部门需要核对银行信息。这时候,公司内部会有相应的规章制度,规定哪些人、在什么情况下、可以访问哪些信息。

这种情况下,员工入职时签署的劳动合同或者公司内部的管理规定,在一定程度上可以被视为一种“授权”。只要这种授权在法律允许的范围内,并且有明确的限制和监督,那么这种信息访问就是合法的。

但这里也存在隐患:

越权和滥用: 即使有制度,但总有人会打擦边球,或者利用职务之便进行越权访问,把不该看的信息看了,甚至传出去。这种情况下,再多的制度和“授权”也是纸上谈兵。
内部知情同意的界限: 这种内部授权更多的是基于劳动合同和公司管理,和个人对隐私的独立自主的决定,还是有区别的。

那么,回到那个“授权即合法”的说法。

它并不是一个万能的金钟罩,也不是法律条文的直接表述。它更像是大家在讨论隐私保护时,对“同意”这个行为的一种简化理解。

真正关键的是“合法性”的来源和边界。

法律规定,侵犯公民个人信息罪是非法获取、出售、提供。这里的“非法”是核心。那么,什么才算“合法”呢?

1. 明确的、真实的同意: 用户的同意必须是基于充分的告知,知道对方会收集什么信息,怎么用,用于何种目的。而且这个同意应该是主动的、清晰的,而不是“被动式”的默认同意,更不是被欺骗或误导的同意。
2. 正当的目的和最小化原则: 即使获得了授权,信息的收集和使用也应该有明确的、正当的目的,并且遵循“最小化”原则,即只收集完成目的所必需的最少信息。不能因为用户同意了就肆无忌惮地收集一切信息。
3. 合法的程序和安全保障: 即使获得授权,信息的收集、存储、使用都必须遵守相关的法律法规,采取必要的安全措施,防止信息泄露和滥用。
4. 撤销权: 用户通常应该有权撤销其同意,一旦撤销,对方就应该停止收集和使用该用户的个人信息。

所以,“授权即合法”这句话,如果理解成“在符合法律规定的前提下,经过用户真实、明确的同意,对方就可以合法地收集和使用个人信息”,那勉强说得过去。

但如果把它当成一种“免死金牌”,认为只要用户在某个协议上打了个勾,对方就可以为所欲为,那绝对是错误的,也是对法律的严重误读。

现实中,因为技术发展快,信息获取渠道多,很多人并没有真正意识到自己的个人信息有多值钱,或者被如何被利用。很多时候,我们所谓的“授权”,不过是在信息时代洪流中,被动地交出了自己的数字身份的“一部分”。而法律,也一直在努力跟上这种变化,试图划定清晰的界限,保护我们的个人信息安全。

所以,“授权即合法”这件事,就像一把双刃剑,用得好可以方便我们的生活,用不好,就可能成为侵犯我们个人信息权益的幌子。我们每个人,都得擦亮眼睛,多一份警惕,少一份麻木。

网友意见

user avatar

仅就标题中个人信息是否“授权即合法”的问题简单说一下个人看法:

目前数据安全领域对于个人信息安全合规的要求是:数据的收集、存储、使用、处置均须合法合规。即数据行为各个环节都要保证合规性。

比如:收集环节:有没有提前取得用户的明确同意?是否符合最小必要原则?不能一次性概括同意后就收集所有个人信息。存储环节:个人信息是否已进行去标识化处理?是否本地存储?涉及数据跨境传输的,需要进行审批或评估。使用环节:收集的用户信息拿来做什么、有没有超范围不合理使用?处置环节:委托第三方处理时有没有超越用户授权范围?共享或转让时有没有开展安全影响评估、有没有获得用户同意,等等。

因此绝不仅仅只是收集时获取同意就万事大吉。

说回这个case,因表述的细节内容不是很清楚,是否违法或者犯罪、尤其是判定犯罪,需要严格符合刑事要件,所以不好判断,但可以参考类似案件,比如之前的考拉征信、51信用卡出事,也是类似的情况,案件还在侦查中尚未判决,但已经严重影响到两家公司本身的经营。所以强烈建议从事数据处理、尤其是大数据公司,一定要做好数据合规管理,该做的认证(如等保、ISO)都尽快做,最好请专业第三方做个完整的专项,梳理数据合规漏洞。

最后附上《个人信息安全规范》全文链接供参考查阅:

类似的话题

本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度google,bing,sogou

© 2025 tinynews.org All Rights Reserved. 百科问答小站 版权所有

服务条款
联系我们
关于我们
隐私政策
友情链接
知乎
百度问答
搜狐
新浪