網絡的快速發展不斷凸顯”個人信息”的商業價值，對于互聯網金融機構來說，“個人信息”具有更直接的經濟意義，一方面，互金機構需要獲取潛在客戶資料開拓、發展業務，另一方面，互金機構通過撮合交易取得的客戶數據本身就是一筆關鍵財富。也正因為此，不少互金機構習慣于通過QQ等網絡平臺向房產、金融、保險、汽車4S點等渠道獲取個人信息，亦有互金機構本身從事客戶信息出售、轉售的行為。

但是，從2012年12月《全國人民代表大會常務委員會關于加強網絡信息保護的決定》出臺到2015年11月《中華人民共和國刑法修正案（九）》生效，涉及個人信息保護的法律、法規、規章不斷增加、公民隱私保護和維權意識大幅提升，互金機構若不能在合規框架內獲取、使用個人信息，將可能面臨沉重的法律責任。

一、哪些個人信息屬于法律保護范圍？

根據《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》（2014）、《電信和互聯網用戶個人信息保護規定》（2013）等相關規定，受法律保護的個人信息包括：

1、自然人姓名、出生日期、身份證件號碼、住址、聯系方式、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息。

2、基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等個人隱私和其他個人信息。

對于金融消費者來說，根據國家工商行政管理總局的相關規定，消費者的性別、職業、收入和財產狀況、健康狀況、消費情況等能夠單獨或者與其他信息結合識別消費者的信息的都屬于法律保護范圍。

二、非法收集、使用個人信息會引發哪些法律后果？

（一）侵權方可能被受侵害人向人民法院提起民事訴訟

根據《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》（2014），非法收集、使用個人信息，造成他人損害的，受侵害人可以向人民法院起訴侵權的網絡用戶和網絡服務提供者。

值得注意的是，相關司法解釋已明確，有管轄權的人民法院包括侵權行為實施地（如實施被訴侵權行所在地）、侵權結果發生地（如被侵權人住所地）或者被告住所地，這將大大減輕受侵害人的維權成本。

（二）侵權方可能面臨來自工商行政管理部門的相關處罰

根據《中華人民共和國消費者權益保護法》（2013）、《工商行政管理部門處理消費者投訴辦法》（2014）、《侵害消費者權益行為處罰辦法》（2015）等相關規定，對未經消費者同意，收集、使用消費者個人信息或泄露、出售或者非法向他人提供所收集的消費者個人信息的行為，除侵權方應承擔相應的民事責任外，將面臨的處罰有：

由工商行政管理部門或者其他有關行政部門責令改正，可以根據情節單處或者并處警告、沒收違法所得、處以違法所得一倍以上十倍以下的罰款，沒有違法所得的，處以五十萬元以下的罰款；情節嚴重的，責令停業整頓、吊銷營業執照。

以2015年的上海地區為例，筆者從公開渠道查詢到三起與非法收集、使用個人信息相關的《行政處罰決定書》，僅因非法收集、使用個人信息這一項遭受罰款的金額從10萬到40萬不等。

（三）侵權方可能面臨來自電信管理部門的相關處罰

根據《電信和互聯網用戶個人信息保護規定》（2013），對超過提供服務所必需收集的用戶個人信息或者將信息用于提供服務之外的目的、以欺騙、誤導或者強迫等方式或者違反法律、行政法規以及雙方的約定收集、使用信息、泄露、篡改或者毀損，不得出售或者非法向他人提供等行為的，由電信管理機構依據職權責令電信業務經營者、互聯網信息服務提供者限期改正，予以警告，可以并處一萬元以上三萬元以下的罰款，向社會公告；構成犯罪的，依法追究刑事責任。

（四）侵權方可能面臨最高刑期七年的刑事責任

根據2015年11月1日生效的《中華人民共和國刑法修正案（九）》規定：”違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰。單位犯前三款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰。”也即，《中華人民共和國刑法修正案（九）》進一步擴大追責主體范圍、增加了量刑級別（最高刑期從三年提高至七年。）

簡言之，非法收集、使用個人信息涉及的刑事罪名有非法獲取公民個人信息罪和出售、非法提供公民個人信息罪。對竊取、購買或出售、非法提供公民個人信息數量較大，或者違法所得數額較大的，均應當依法以非法獲取公民個人信息罪或出售、非法提供公民個人信息罪追究刑事責任。同時，單位實施侵害公民個人信息犯罪的，應當追究直接負責的主管人員和其他直接責任人員的刑事責任。

三、互聯網金融企業如何避免由”個人信息”收集、使用帶來的法律風險？

（一）互金機構應首先完善平臺規則和用戶協議中的相關內容

互金機構應首先完善平臺規則和用戶協議的相關內容是指：互金機構應遵循合法、正當、必要的原則從成文的制度層面向用戶明示個人信息收集和使用規則、明確告知用戶收集、使用信息的目的、方式和范圍、隱私保護、風險提示等事項。

（二）互金機構應在合規框架內獲得、處理個人信息

互金機構應在合規框架內獲得、處理個人信息是指：

一方面互金機構不得以”地下產業”或非獲授權的中間商處獲取、非法使用信息，如一些互金機構通過網絡平臺購買個人信息后進行電話營銷等，應通過合法渠道（如征信機構）處或用戶本人授權的方式獲取信息；

另一方面互金機構不得向第三方出售信息，成為非法信息產業鏈的一環，特別注意不要被他人將互金機構的個人信息用以實施犯罪，造成受害人人身傷害或者死亡，或者造成重大經濟損失、惡劣社會影響的，如網絡詐騙、暴力追債等，以免得不償失。

（三）互金機構應建立內部安全管理制度，避免用戶信息被竊取

互金機構建立內部安全管理制度是指：通過綜合明確機構內部各部門、崗位和分支機構的用戶個人信息安全管理責任、實行權限管理、簽署保密協議、妥善保管用戶信息載體、重視并落實網絡安全技術等方式，建立用戶個人信息收集、使用及其相關活動的工作流程和安全管理制度，避免用戶信息被竊取。

綜上所述，在相關立法不斷完善、法律責任不斷強化的背景之下，互金機構應著力細化完善互聯網金融個人信息保護的原則、標準和操作流程，避免”個人信息”成為企業的法律達摩克里斯之劍。