我国基于2012年全国人大常委会《关于加强网络信息保护的决定》、13年修改《消费者权益保护法》、16年出台《网络安全法》等一系列法律法规，对公民个人信息形成了以知情同意为基本原则的私权利保护进路。在私权思维和占有观念的指导下，大数据公司容易招致的与个人信息数据安全相关的法律责任，通常在于获取个人信息数据方式不合法，使用数据未取得信息主体的充分授权，或对外提供个人信息数据违法等情形。轻则涉及民事侵权、行政违法，重则触及刑事犯罪。“侵犯公民个人信息”就是大数据应用中侵犯私权利导致入罪的代表性罪名。

《网络安全法》、《刑法》及相关司法解释的规定将侵犯公民个人信息罪的风险主要集中在涉及公民个人信息的获取（“进口”）和对外提供（“出口”）两个方面。

刑法第253条规定：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

2017年6月1日起施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，个人信息根据敏感程度分为三类：高度敏感信息、一般敏感信息和普通信息。

1.高度敏感信息：包括“行踪轨迹、通信内容，征信信息、财产信息”，这些信息与人身安全、财产安全直接相关。非法获取、出售或者提供此类高度敏感信息50条以上（含），即可构成侵犯公民个人信息罪。

2.一般敏感信息：包括“住宿信息、通讯记录、健康生理信息、交易信息”等其他可能影响人身、财产安全的公民个人信息。对于此类信息，非法获取、出售或者提供500条以上的，即可构成侵犯公民个人信息罪。

3.普通信息：除了前述两种信息之外的公民个人信息。非法获取、出售或者提供5000条以上的，也会构成侵犯公民个人信息罪。

另外需要注意的是，根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条的规定，非法出售或者提供行踪轨迹信息，被他人用于犯罪的，没有条数限制，并且不需要明知对方将信息用于犯罪行为。意即：如果非法出售或者对外提供公民行踪轨迹，被用于犯罪的，哪怕对犯罪行为并不知情，也可能构成侵犯公民个人信息罪。这里的第一个关键词是“行踪轨迹”，因为行踪轨迹对公民人身安全、财产安全有显著影响，高度敏感，故此法律对其采取了特别保护。第二个关键词是“非法”出售或提供，如果是合法提供，则无犯罪之虞。第三个是被他人“用于犯罪”，如果他人是用于合法行为，则不存在本条司法解释的适用空间。

此外，如果明知他人利用公民个人信息实施犯罪，而向其出售或者提供的，即便不是敏感个人信息，也可能根据刑法总则的规定，被认定为具体犯罪的帮助犯。

当然，如果大数据公司不明知下游客户会将个人信息用于犯罪，且公司也已采取了必要的合规风控措施，则下游客户因为滥用这些信息而涉嫌侵犯公民个人信息罪的，除去非法提供公民行踪轨迹的特殊情形，大数据公司对外提供数据的行为也不应当被认定为构成侵犯公民个人信息罪。

据央视网报道，去年11月下旬，江苏淮安警方依法打击了7家涉嫌侵犯公民个人信息犯罪的公司，涉嫌非法缓存公民个人信息1亿多条，包括拉卡拉支付旗下的考拉征信涉嫌非法提供身份证返照查询9800多万次，获利3800万元。警方将考拉征信服务有限公司及北京黑格公司的法定代表人、董事长、销售、技术等20余名涉案人员抓获。使其成为大数据业务因侵犯公民个人信息罪而遭到刑事追诉的典型案例。

  刑法第二百八十五及二百八十六条集中规定了此类罪名，即非法侵入计算机信息系统罪，非法获取计算机信息系统数据、非法控制计算机信息系统罪，提供侵入、非法控制计算机信息系统程序、工具罪和破坏计算机信息系统罪。

第二百八十五条 【非法侵入计算机信息系统罪】违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。

第二百八十六条 【破坏计算机信息系统罪】违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役;后果特别严重的，处五年以上有期徒刑。

违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。

故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。

在不法使用网络爬虫技术的行为中，集中体现出了此类犯罪“类型化”的关联性和复杂性。从数据抓取的“非法”层面来看，抓取对象的非法可能导向侵犯公民个人信息罪。从获得数据的手段行为上看，抓取时空环境的非法和抓取过程破坏网络运行安全的非法可能导向非法获取计算机信息系统数据和破坏计算机信息系统罪。从数据抓取的后续行为上看，缓存和发行特定类型的数据可能涉及侵犯著作权类犯罪；销售和供他人使用特定类型的数据则可能导向侵犯公民个人信息罪；而披露和公布特定类型的数据可能导向侵犯国家秘密或商业秘密类型的犯罪。而后续行为如果具有刑事违法性，就可能反向“污染”利用爬虫技术获取数据这个行为本身，继而令使用爬虫的企业沾染刑事风险。

某信用卡公司涉嫌的即是此类犯罪。2019年10月21日，这家信用卡公司遭到杭州警方调查。据公开信息，很可能与旗下业务“信用卡管家”利用爬虫技术非法获取用户个人隐私信息有关，此即前述由于抓取对象非法带来的刑事违法性。

同时据警方调查，很多大数据公司非法获取的个人隐私数据被提供给“套路贷”平台用于暴力催收，此即前述后续非法使用行为带来的刑事违法性。尤其扫黑除恶的大环境，客观上加剧了此类刑事风险的到来，催化了被列入犯罪调查对象的速度。

不过，提供的数据是否界定为“被下家滥用”，以及下家滥用数据的行为是否就必然说明数据提供商构成犯罪，存在一定争议，需要根据案件事实具体分析。

刑法第二百八十六条中【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：

(一)致使违法信息大量传播的；

(二)致使用户信息泄露，造成严重后果的；

(三)致使刑事案件证据灭失，情节严重的；

(四)有其他严重情节的。

首先值得注意的是：义务来源必须是法律、行政法规规定。法律由全国人大制定颁行；而行政法规是指国务院根据宪法和法律，按照法定程序制定的有关行使行政权力，履行行政职责的规范性文件的总称。行政法规的制定主体是国务院，效力仅次于宪法和法律。刑法第二百八十六条的义务来源必须是法律或国务院制定的行政法规，而国家各部委制定的部门规章，地方人大制定的地方性法规，地方政府制定的规章，以及其他规定，都不能成为该罪名规定的义务来源。

其次是本罪是行政前置的犯罪，必须先经监管部门责令采取改正措施而拒不改正的才能以犯罪论处。未经行政监管部门指令之前，不能因涉嫌犯罪而被立为刑事案件进行调查。

再次，可能涉嫌本罪的主体应当是监管部门责令做出改正措施的的主体，即行政命令直接指向的主体，不宜扩大理解。例如母公司与子公司，总公司与分公司就应当作出区分。因为子公司和母公司均为独立法人，对母公司或子公司中一家的行政处罚结果，并不及于其他公司。而如果是总公司和分公司的关系，则有一定争议。因为分公司并非独立法人，只是在所在地有单独的营业执照而已。有人认为，对总公司的行政命令，效力应当及于所有分公司，而对分公司的一家实施的行政处罚，也可以及于总公司以及其他分公司。因为总公司和分公司之间的关系相较母、子公司而言，在管理上要紧密很多，对其中一家公司的行政处罚，同一个公司的其他分公司应当引以为戒。但笔者认为，根据刑法的谦抑性，不宜扩大解释，即便是对管理关系较为紧密的总、分公司，也应当以行政处罚针对的直接对象作为义务主体，不应随意扩大。

最后，必须达到情节严重的程度，才能构成此罪名。在该法条中，做了具体列举和概括列举。