2017年3月20日，“两高(最高人民法院、最高人民检察院)”通过了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。5月9日，这项文件正式与公众见面，并且将于2017年6月1日起正式实施。

这份文件并不长，一共只有13条，主要内容落在了“公民个人信息”的范围、非法“提供公民个人信息”的认定标准，以及侵犯公民个人信息罪的定罪量刑标准等等。

值得注意的是，这份轻飘飘的文件，牵动了很多征信行业从业者，或者说的更宽泛一点，许多金融科技从业者的神经。

在新金融行业里，其实很多人都了解，尽管在法律意义上《征信业管理条例》规定我国个人征信监管实行牌照制，但是实际上，在个人征信牌照“难产”的情况下，许多从事消费金融、大数据等业务的公司其实一直在法律的灰色空间里起舞。用户数据的采集、留存、处理和买卖虽然鲜有公开的媒体报道，但却是大家的默契。

一个做消费金融的朋友跟我说，做消费金融模型、大数据的这些公司，大家的数据互相买卖是很正常的交易，还有一些提供贷后催收、坏账的公司也需要类似的服务。“这个行业本就需要靠大量的数据驱动，买可能是一种最快的方式。”

当然，除了这些想做业务的公司之外，还有一些手段越来越成熟的黑产把这个行业的水搅的越来越浑。在此前馨金融分享的一篇文章《新金融“无间道”：黑产军团与反欺诈的激烈博弈》中已经勾勒出了一副完整的画像，黑产军团骗取信息、搭建中介和最终贩卖是一条严密、完整的产业链。

行业现状如此，监管即便滞后，也不可能缺席。

在此次“两高”发布的文件中，首先明确了“公民个人信息的”概念：

刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

而在量刑方面，违法获取、出售公民个人信息获利5000元以上即被认为情节严重，可判3年以下有期徒刑或拘役;造成被害人死亡、重伤、精神失常或者被绑架等严重后果的，造成重大经济损失或者恶劣社会影响的，即被认为情节特别严重，可判3-7年有期徒刑，并处以罚金等。

如果按照这样的标准来界定，其实已经把个人信息的方方面面都纳入进来，各家公司的业务会不会从“灰色地带”走到“禁止地带”，现在还没有一个统一的结论。在这个庞大的市场里，这份文件可能只是标志着监管发力的开始，具体的排查和整治可能是一个更加长远的规划。

不过在这场金融监管的风暴之下，在一个更加直接可控的领域，央行已经出手了。