内容提要：《个人信息保护法》第21条对个人信息处理者委托处理个人信息时双方的权利义务作出相应规定。就刑事司法而言，在第三方受委托处理信息、数据共享过程中，大数据相关应用技术给放贷方提供了金融数据支撑和风险防控服务，金融平台如果缺乏这些支持，其在反欺诈、风险防控业务运作上势必会面临极大考验。当委托人是灰色领域的从业者时，个人信息取得未必符合知情同意要求，且如果其对受托人处理后的个人信息使用不当，委托处理个人信息的委托人、受托人都有涉罪可能，但罪与非罪的界限并不明晰。对此，需要对个人信息保护法的相关规定以及侵犯公民个人信息罪的保护法益、客观构成要件等进行仔细梳理，从而对刑事司法实务和企业合规提供指导。考虑到委托处理个人信息时受托人的义务相对较轻，受托人的业务具有中立性特征，在受托人采取了合理保护措施的前提下，不宜轻易认定其构成侵犯公民个人信息罪。

《中华人民共和国民法典》第111条规定，“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”为其提供保障的是作为“最后手段”和“二次性法”的刑法。《刑法》第253条之一规定了侵犯公民个人信息罪，行为人违反国家有关规定，向他人出售、提供或者非法获取公民个人信息，情节严重的，即构成侵犯公民个人信息罪。法律保护的社会利益是多元的，其保护手段也是多种多样的，而刑罚手段具有局限性，所以刑法并没有保护所有社会利益的功能与效力。对于侵犯公民个人信息行为而言，刑法的惩罚和民法、行政法的保护之间相互协调、形成合力，在运用行政法或民法予以保护即为已足的场合，刑法并不需要出面。换言之，在实务中，并不是定罪越多越好，而是处罚越妥当越好。所以，刑法的介入也需要寻找适当的时机，遵守适当的界限。

委托处理个人信息，是指个人信息处理者将处理个人信息的事务委托给其他组织和个人，双方成立委托合同关系，一方是委托人，另一方是受托人，由受托人为委托人处理个人信息的情形。委托人可以特别委托受托人对某一种类的个人信息实施某种处理活动（如仅仅是储存或者加工），也可以委托受托人对某些种类的个人信息实施多种处理活动（如既储存，同时也加工、分析等）。对此，《个人信息保护法》第21条明确规定：“个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。未经个人信息处理者同意，受托人不得转委托他人处理个人信息。”

实践中，在民事领域，因委托处理个人信息引发民事争议的情形大量存在，但解决相对容易，因为民法典合同编对委托合同及其履行有详尽规定，将《民法典》第919条至第936条的相关规定与《个人信息保护法》第21条相结合，准确理解委托合同的成立条件，就能够为民事案件的解决提供指引。但是，在刑事领域，当委托人是“灰色领域”（如高利放贷、“套路贷”等）的从业者时，信息来源正当性存疑；或者当委托人、受托人对委托处理的个人信息使用不当时，双方罪与非罪的界限不清，此时就容易出现争议。由此可见，刑事和民事领域的个人信息委托处理无论从表现形式或是认定难度上都存在一定程度的差异。基于此，本文结合《个人信息保护法》的相关规定及立法精神，对个人信息处理者委托处理个人信息时的刑法界限，尤其是侵犯公民个人信息罪的适用问题进行分析，以期对刑事司法实务和企业合规有所裨益。

摘自：周光权《委托处理个人信息与侵犯公民个人信息罪——结合《个人信息保护法》第21条的分析》