在流量为王的时代，获取新用户的成本越来越高。于是，一条潜滋暗长的灰产链条在科创圈和营销圈里若隐若现。

很多创业者、市场总监甚至技术负责人，依然抱着十年前的旧思维。他们认为，花钱买点行业数据、交换一下用户名单、或者通过爬虫搞点联系方式，最多算是打打擦边球，属于民事纠纷，大不了赔钱了事。

这种认知不仅过时，而且极度危险。

在现行的法律框架下，非法获取、出售或者提供公民个人信息，已经不仅仅是侵权行为，而是触犯了刑法第二百五十三条之一的侵犯公民个人信息罪。

这是一条不容触碰的高压线。不管是买方还是卖方，一旦达到立案标准，面临的将是三年以下有期徒刑或者拘役，情节严重的，处三年以上七年以下有期徒刑。

01立案门槛低到超乎想象

很多创始人以为，只有像贩卖几百万条数据的大案要案才会被抓。其实，司法解释对于入罪标准的规定之低，足以让每一个试图走捷径的人冷汗直流。

根据最高人民法院和最高人民检察院的司法解释，非法获取、出售或者提供公民个人信息，只要达到以下数量，就属于情节严重，应当立案侦查：

第一档：高度敏感信息

包括行踪轨迹信息、通信内容、征信信息、财产信息。

这类信息的入罪门槛仅为五十条。也就是说，如果花钱买了五十个人的实时定位或者银行流水，就可以被立案侦查。

第二档：重要敏感信息

包括住宿信息、通信记录、健康生理信息、交易信息等可能影响人身、财产安全的公民个人信息。

这类信息的入罪门槛为五百条。对于一个想做精准营销的公司来说，五百条数据只是一个很小的Excel表格。

第三档：普通个人信息

包括前面两类以外的公民个人信息，如姓名、手机号码、家庭住址等。

这类信息的入罪门槛为五千条。在灰产交易中，五千条手机号的售价可能只有几百元，但这几百元足以换来一张逮捕令。

02买方和卖方同罪

这是一个必须纠正的误区。很多人认为，只是为了公司业务发展去买数据，又没有把这些数据倒卖赚钱，应该没事。

刑法打击的是非法获取。购买本身就是一种非法获取的行为。只要明知数据来源不合法（例如没有用户授权），且购买数量达到了上述标准，作为买方同样构成犯罪。

03内部人员作案，罪加一等

对于科创企业和互联网公司，最防不胜防的是内鬼。

很多案件的起因是员工利用职务之便，将公司后台的数据导出贩卖。法律对于这类将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的行为，惩罚更为严厉。

上述的五十条、五百条、五千条的入罪数量标准，对于内部人员直接减半。

也就是说，公司的系统管理员只需要倒卖二十五条行踪轨迹信息，或者两千五百条手机号，就构成了犯罪。

04违法所得五千元即入刑

除了条数标准，还有一个金额标准。

无论数据有多少条，只要通过非法出售或者提供公民个人信息，违法所得达到五千元以上，就直接认定为情节严重。

五千元，在商业世界里可能连一台笔记本电脑都买不到，但在刑法里，它足够买断违法者的自由。

05律师总结

数据是数字经济的石油，但来路不明的数据是炸药。

对于企业主而言，必须立即审查公司的数据来源。严禁市场部门通过非正规渠道采购数据，严禁技术部门通过非法爬虫抓取个人隐私。

不要心存侥幸。在公安机关净网行动常态化的今天，每一笔灰色的数据交易，都在为公司埋下一颗不定时的刑事雷。

合规获取用户授权，才是企业生存的唯一正道。

（本文作者：盈科李谦律师 来源：微信公众号 盈科新视野）