实践中，个别App运营商会通过隐私授权条款，规避法律试图逃避惩罚。比如有App概括授权的隐私条款规定，在本产品使用中，如用户输入自己的信息、账号名及密码等，即表示同意和授权本公司查看并读取用户的相应信息，在该条款“保护”下，运营商大量买卖公民个人信息。显然，该授权条款在公民个人信息授权范围上是不明确的概括授权。对此，若运营商通过关联第三方数据公司“购买”上述协议中的公民个人信息，情节严重，其能否以行为经过授权，属于合法获取或购买等进而阻却行为的不法？笔者认为，不明确的概括授权条款不能阻却行为不法，上述行为达到立案标准则构成侵犯公民个人信息罪。
　　第一，从构成要件看，行为具有形式违法性。在刑法第253条之一第1款和第2款中均有“违反国家有关规定”的规范性要素，第3款虽未明确规定，但从体系解释出发，这一规范性要素显然是需要的。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第2条规定，上述“违反国家有关规定”即违反法律、行政法规、部门规章有关公民个人信息保护的规定，而民法典第1035条规定，“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：……（三）明示处理信息的目的、方式和范围；……”；网络安全法第41条也规定，“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意”。因此，虽然被害人同意可以阻却侵害公民个人信息罪的构成要件事实成立，但“同意”至少必须具有在“目的、方式和范围”上的明确性要求，而概括授权至少在公民个人信息处理上未能满足处理范围和方式的明确性。同时，笔者认为，此处也难以用推定的（被害人）承诺为违法性背书，因为，实践中通常认为“为被害人利益”行事是刑法推定的承诺成立的重要条件之一，而未经被害人同意的买卖等非法处理公民个人信息，很难说是为“被害人利益”。
　　第二，从保护法益看，行为具有实质违法性。刑法的目的是保护法益，犯罪是侵害或威胁法益的行为。笔者认为，侵害公民个人信息罪保护的法益是以个人信息自决权为核心的人格法益，属于个人法益。个人信息保护在民法典人格权编的第六章“隐私权和个人信息保护”中第1034条第1款明确规定“自然人的个人信息受法律保护”；同时，第3款规定，“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定”。在相关个人信息保护的规定中，除民法典已就信息保密、信息查询等进行规定外，结合《个人信息保护法（草案）》相关规定，自然人拥有个人信息权。可见，个人信息属于人格利益范畴，系个人法益。
　　第三，民法上非明确性的个人信息概括授权条款无效。从法秩序的统一原理而言，民法上的合法行为，在刑法上却构成犯罪，这有悖于法秩序统一原则，也不利于国民预测可能性的实现。问题是对公民个人信息处理的“概括授权”本身在民法上是否一定有效？答案是否定的。其一，概括授权使用的协议并未明确授权“买卖”，因此合法有效的买卖个人信息的授权协议本来就不存在；其二，所谓的授权协议，本身亦不符合关于个人信息合法、正当、必要的要求。民法典第153条规定，“违反法律、行政法规的强制性规定的民事法律行为无效”。网络安全法第41条强调了“明示范围”“并经被收集者同意”。可见，信息收集非明确的概括授权条款因违反法律强制性规定而本身无效，非法收集个人信息符合刑法规定构成犯罪时，并不违反法秩序统一原理。
（文章来源于网络，如有侵权，请联系删除）