17　网站擅自保存用户身份认证信息是否构成犯罪？

沈先生注册了一家网站，主营业务为个人身份认证。所谓的个人身份认证就是在运营的网站上，用户输入姓名、身份证号码、照片请求进行同一认证并进行付费。之后，该网站可以将输入的数据在该网站数据库中进行查询、比对得出输入身份证号是否与姓名一致等信息。由于沈先生创建的网站数据库并不完备，他与其他四家公司合作，通过接口，让用户的信息同样可以在其他四家公司的数据库进行查询，得出姓名、身份证号、照片是否一致的结论。如果结论一致，为了获得更多数据，沈先生将用户查询输入的身份信息以缓存的方式编写建成数据库放入公司的服务器中。该案被法院判定为侵犯公民个人信息罪。

沈先生主要实行了哪些处理个人信息的行为？《个人信息保护法》第4条规定了“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”。在该案中，用户为了进行身份验证，自行输入了个人信息。而沈先生为了将该数据与数据库的数据进行比对，收集了用户输入的信息；进行数据比对的时候，使用了用户个人信息；在比对完成和向用户反馈后，沈先生将缓存的个人信息编写进自己的数据库，进行数据存储。(https://www.daowen.com)

沈先生的个人信息处理行为都合法吗？判定沈先生对于个人信息的处理是否合法关键看沈先生是否有正当的理由处理个人信息。《网络安全法》第41条将个人信息主体的同意作为个人信息处理的唯一合法性基础，也就是说只有取得用户同意个人信息处理者才可以处理个人信息。《民法典》第1035条、1036条和第999条规定了同意原则的三个例外，包括法律、行政法规另有规定的；为维护公共利益或该自然人合法权益而处理个人信息；个人信息系自然人自行公开或已合法公开的（但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外）。《个人信息保护法》第13条借鉴了欧盟的《通用数据保护条例》的规定，只有在七种情况下，个人信息处理者才可以处理个人信息。逐一分析这七种情况，我们发现第四种情况“为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需”和第五种情况“为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息”都指的是处于特殊时期、具有特殊理由的特殊情况，个人信息处理者可以不用获得个人信息主体的同意处理个人信息，并不能证明个人信息处理者在日常处理个人信息是合法的。而第三种情形“为履行法定职责或者法定义务所必需”和第七种情形“法律、行政法规规定的其他情形”则需要个人信息处理者具备特殊的法律义务或者法律法规明确规定，一般的个人信息处理者不具备这样的资格适用这两种情形。而第六种情况“在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”则要求个人信息的状态为已经公开，此案中用户的个人信息并未公开，此种情况不可适用。

综上所述，一般的个人信息处理者日常处理个人信息是否合法的关键在于判断个人信息处理者是否满足第一种情况“取得个人同意”或第二种情况“为订立、履行个人作为一方当事人的合同所必需”。在该案中，公民的个人信息是由公民个人自主填写，也就是说用户同意将个人信息交付给沈先生进行信息的认证。同时，网站与用户订立的合同要求沈先生为用户提供身份核验服务，这一服务要求网站收集、使用个人信息，这一行为就是沈先生为了履行合同所必需的。因此，网站收集、使用个人信息的行为既获得了用户同意，又属于“为履行个人作为一方当事人的合同所必需”。然而网站在身份核验服务完成之后缓存个人信息这一行为就缺少合理依据，因为用户参加核验之前并不知晓这一情况，即网站没有获得用户的同意。因此网站在服务完毕之后依旧存储用户个人信息的行为既非获得用户同意也非履行合同所必需，丧失了处理用户信息的合法性基础。因此法院认为沈先生未经用户许可在提供服务过程中缓存用户输入的个人信息的行为，系《刑法》第253条之一第3款规定的以其他方法获取公民个人信息的行为，沈先生犯了侵犯公民个人信息罪。