网络的快速发展不断凸显”个人信息”的商业价值，对于互联网金融机构来说，“个人信息”具有更直接的经济意义，一方面

，互金机构需要获取潜在客户资料开拓、发展业务，另一方面
，互金机构通过撮合交易取得的客户数据本身就是一笔关键财富。也正因为此，不少互金机构习惯于通过QQ等网络平台向房产
、金融、保险
、汽车4S点等渠道获取个人信息，亦有互金机构本身从事客户信息出售、转售的行为。

但是，从2012年12月《全国人民代表大会常务委员会关于加强网络信息保护的决定》出台到2015年11月《中华人民共和国刑法修正案（九）》生效，涉及个人信息保护的法律、法规、规章不断增加、公民隐私保护和维权意识大幅提升，互金机构若不能在合规框架内获取、使用个人信息，将可能面临沉重的法律责任
。

一
、哪些个人信息属于法律保护范围？

根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（2014）
、《电信和互联网用户个人信息保护规定》（2013）等相关规定，受法律保护的个人信息包括：

1、自然人姓名、出生日期、身份证件号码
、住址

、联系方式
、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。

2、基因信息、病历资料
、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息

。

对于金融消费者来说
，根据国家工商行政管理总局的相关规定
，消费者的性别
、职业、收入和财产状况

、健康状况
、消费情况等能够单独或者与其他信息结合识别消费者的信息的都属于法律保护范围。

二
、非法收集、使用个人信息会引发哪些法律后果？

（一）侵权方可能被受侵害人向人民法院提起民事诉讼

根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（2014），非法收集、使用个人信息，造成他人损害的，受侵害人可以向人民法院起诉侵权的网络用户和网络服务提供者
。

值得注意的是，相关司法解释已明确
，有管辖权的人民法院包括侵权行为实施地（如实施被诉侵权行所在地）、侵权结果发生地（如被侵权人住所地）或者被告住所地
，这将大大减轻受侵害人的维权成本。

（二）侵权方可能面临来自工商行政管理部门的相关处罚

根据《中华人民共和国消费者权益保护法》（2013）、《工商行政管理部门处理消费者投诉办法》（2014）
、《侵害消费者权益行为处罚办法》（2015）等相关规定
，对未经消费者同意
，收集、使用消费者个人信息或泄露
、出售或者非法向他人提供所收集的消费者个人信息的行为，除侵权方应承担相应的民事责任外
，将面临的处罚有
：

由工商行政管理部门或者其他有关行政部门责令改正，可以根据情节单处或者并处警告、没收违法所得
、处以违法所得一倍以上十倍以下的罚款，没有违法所得的，处以五十万元以下的罚款
；情节严重的
，责令停业整顿
、吊销营业执照

。

以2015年的上海地区为例
，笔者从公开渠道查询到三起与非法收集、使用个人信息相关的《行政处罚决定书》，仅因非法收集、使用个人信息这一项遭受罚款的金额从10万到40万不等
。

（三）侵权方可能面临来自电信管理部门的相关处罚

根据《电信和互联网用户个人信息保护规定》（2013），对超过提供服务所必需收集的用户个人信息或者将信息用于提供服务之外的目的
、以欺骗
、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息、泄露、篡改或者毁损，不得出售或者非法向他人提供等行为的
，由电信管理机构依据职权责令电信业务经营者、互联网信息服务提供者限期改正，予以警告，可以并处一万元以上三万元以下的罚款，向社会公告
；构成犯罪的，依法追究刑事责任。

（四）侵权方可能面临最高刑期七年的刑事责任

根据2015年11月1日生效的《中华人民共和国刑法修正案（九）》规定：”违反国家有关规定，向他人出售或者提供公民个人信息
，情节严重的，处三年以下有期徒刑或者拘役
，并处或者单处罚金
；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的
，依照前款的规定从重处罚
。窃取或者以其他方法非法获取公民个人信息的

，依照第一款的规定处罚
。单位犯前三款罪的，对单位判处罚金
，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚

。”也即，《中华人民共和国刑法修正案（九）》进一步扩大追责主体范围、增加了量刑级别（最高刑期从三年提高至七年。）

简言之，非法收集
、使用个人信息涉及的刑事罪名有非法获取公民个人信息罪和出售、非法提供公民个人信息罪。对窃取、购买或出售
、非法提供公民个人信息数量较大
，或者违法所得数额较大的，均应当依法以非法获取公民个人信息罪或出售、非法提供公民个人信息罪追究刑事责任。同时，单位实施侵害公民个人信息犯罪的，应当追究直接负责的主管人员和其他直接责任人员的刑事责任。

三、互联网金融企业如何避免由”个人信息”收集、使用带来的法律风险？

（一）互金机构应首先完善平台规则和用户协议中的相关内容

互金机构应首先完善平台规则和用户协议的相关内容是指：互金机构应遵循合法
、正当、必要的原则从成文的制度层面向用户明示个人信息收集和使用规则
、明确告知用户收集、使用信息的目的、方式和范围
、隐私保护、风险提示等事项
。

（二）互金机构应在合规框架内获得、处理个人信息

互金机构应在合规框架内获得
、处理个人信息是指
：

一方面互金机构不得以”地下产业”或非获授权的中间商处获取
、非法使用信息
，如一些互金机构通过网络平台购买个人信息后进行电话营销等，应通过合法渠道（如征信机构）处或用户本人授权的方式获取信息；

另一方面互金机构不得向第三方出售信息
，成为非法信息产业链的一环
，特别注意不要被他人将互金机构的个人信息用以实施犯罪，造成受害人人身伤害或者死亡，或者造成重大经济损失
、恶劣社会影响的
，如网络诈骗、暴力追债等，以免得不偿失。

（三）互金机构应建立内部安全管理制度

，避免用户信息被窃取

互金机构建立内部安全管理制度是指


：通过综合明确机构内部各部门
、岗位和分支机构的用户个人信息安全管理责任、实行权限管理、签署保密协议、妥善保管用户信息载体、重视并落实网络安全技术等方式，建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度
，避免用户信息被窃取
。

综上所述
，在相关立法不断完善
、法律责任不断强化的背景之下，互金机构应着力细化完善互联网金融个人信息保护的原则、标准和操作流程，避免”个人信息”成为企业的法律达摩克里斯之剑
。