一、法律、行政法規(guī)

（一）《網(wǎng)絡(luò)安全法》

1.《網(wǎng)絡(luò)安全法》出臺(tái)背景及其重要意義

從2015年6月26日第十二屆全國(guó)人大常委會(huì)第十五次會(huì)議對(duì)《網(wǎng)絡(luò)安全法（草案）》首次進(jìn)行審議，到2016年11月7日第十二屆全國(guó)人大常委會(huì)第二十四次會(huì)議表決通過，《網(wǎng)絡(luò)安全法》于2016年11月7日正式公布，并于2017年6月1日起施行。作為我國(guó)網(wǎng)絡(luò)安全領(lǐng)域的基本法，《網(wǎng)絡(luò)安全法》的出臺(tái)具有里程碑式的意義。

一方面，隨著信息化時(shí)代的發(fā)展，網(wǎng)絡(luò)早已融入每個(gè)人生活的方方面面，互聯(lián)網(wǎng)在給社會(huì)民眾帶來便利的同時(shí)，也帶來了諸多威脅，諸如網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)詐騙、個(gè)人信息泄露等安全事件層出不窮。因此，急需網(wǎng)絡(luò)安全領(lǐng)域的統(tǒng)一立法以規(guī)制網(wǎng)絡(luò)參與者的行為，保護(hù)各類網(wǎng)絡(luò)主體的合法權(quán)益。另一方面，對(duì)于我國(guó)而言，網(wǎng)絡(luò)安全治理具有戰(zhàn)略性的意義。我國(guó)是一個(gè)網(wǎng)絡(luò)大國(guó)，同時(shí)也面臨著嚴(yán)重的網(wǎng)絡(luò)安全問題。[1]制定《網(wǎng)絡(luò)安全法》有利于建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)，維護(hù)我國(guó)的網(wǎng)絡(luò)主權(quán)，維護(hù)國(guó)家安全和促進(jìn)國(guó)家發(fā)展。

《網(wǎng)絡(luò)安全法》便是在這樣一個(gè)背景下誕生的，其填補(bǔ)了我國(guó)網(wǎng)絡(luò)安全領(lǐng)域?qū)ｉT立法的空白，順應(yīng)了時(shí)代發(fā)展的趨勢(shì)，是我國(guó)在信息網(wǎng)絡(luò)立法進(jìn)程中邁出的重要一步。

2.《網(wǎng)絡(luò)安全法》的主要內(nèi)容

《網(wǎng)絡(luò)安全法》條文上包括總則、網(wǎng)絡(luò)安全支持與促進(jìn)、網(wǎng)絡(luò)運(yùn)行安全、網(wǎng)絡(luò)信息安全、監(jiān)測(cè)預(yù)警與應(yīng)急處置、法律責(zé)任、附則，共7章79條。在具體適用上，凡是在我國(guó)境內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)和使用網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理，均需遵守《網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定。作為我國(guó)網(wǎng)絡(luò)空間治理的框架性、綜合性法律，《網(wǎng)絡(luò)安全法》明確了網(wǎng)絡(luò)空間主權(quán)原則、網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的安全義務(wù)、網(wǎng)絡(luò)運(yùn)營(yíng)者的安全義務(wù)，進(jìn)一步完善了個(gè)人信息保護(hù)規(guī)則，并且提出了關(guān)鍵信息基礎(chǔ)設(shè)施、數(shù)據(jù)出境、安全等級(jí)保護(hù)等多方面制度要求。

其中對(duì)于個(gè)人信息保護(hù)而言，《網(wǎng)絡(luò)安全法》明確了個(gè)人信息的含義，即個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。[2]同時(shí)，《網(wǎng)絡(luò)安全法》第四章用較大的篇幅專章規(guī)定了個(gè)人信息保護(hù)的相關(guān)要求。而在《網(wǎng)絡(luò)安全法》其他章節(jié)處，也零散分布著部分涉及個(gè)人信息保護(hù)的相關(guān)規(guī)定。總體而言，包括了收集、使用個(gè)人信息的規(guī)則，網(wǎng)絡(luò)運(yùn)營(yíng)者維護(hù)網(wǎng)絡(luò)信息安全的相關(guān)義務(wù)，網(wǎng)絡(luò)用戶所享有的個(gè)人信息保護(hù)相關(guān)權(quán)利，國(guó)家網(wǎng)信部門和有關(guān)部門網(wǎng)絡(luò)信息安全監(jiān)督管理職責(zé)以及關(guān)于違反個(gè)人信息保護(hù)規(guī)定的法律責(zé)任承擔(dān)等內(nèi)容。筆者將結(jié)合前述規(guī)定內(nèi)容對(duì)《網(wǎng)絡(luò)安全法》所確定的個(gè)人信息保護(hù)相關(guān)規(guī)則進(jìn)行分析。

3.《網(wǎng)絡(luò)安全法》中個(gè)人信息保護(hù)的相關(guān)規(guī)定

《網(wǎng)絡(luò)安全法》中關(guān)于個(gè)人信息保護(hù)的規(guī)定主要涉及如下內(nèi)容：

（1）明確了個(gè)人信息收集、使用的相關(guān)原則

《網(wǎng)絡(luò)安全法》規(guī)定收集、使用個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則。具體包括：在收集用戶個(gè)人信息時(shí)，應(yīng)當(dāng)公開收集、使用規(guī)則，明示收集、使用的目的、方式和范圍，并經(jīng)被收集者同意。對(duì)于收集個(gè)人信息的范圍，規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供服務(wù)無關(guān)的個(gè)人信息。并且，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)根據(jù)法律、行政法規(guī)的規(guī)定和其與用戶之間的約定收集、使用個(gè)人信息。這也體現(xiàn)了關(guān)于個(gè)人信息保護(hù)的知情同意和特定目的原則，提高了個(gè)人信息收集過程中的透明度。《網(wǎng)絡(luò)安全法》同時(shí)規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息。

在個(gè)人信息對(duì)外提供方面，《網(wǎng)絡(luò)安全法》明確規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。但是，經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的除外。本法中“經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的”所包含的匿名化標(biāo)準(zhǔn)為大數(shù)據(jù)流通和交易環(huán)節(jié)提供了法律依據(jù)和要求。“經(jīng)過處理無法識(shí)別”是保護(hù)個(gè)人信息的一種重要技術(shù)措施，其要求個(gè)人信息經(jīng)過數(shù)據(jù)脫敏等技術(shù)手段處理后，過程必須不可逆，不能再?gòu)拿撁艉蟮男畔⒅凶R(shí)別出個(gè)人。

此外，《網(wǎng)絡(luò)安全法》對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者提出了數(shù)據(jù)本地化的要求，即關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在我國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)進(jìn)行安全評(píng)估。

（2）規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者在維護(hù)網(wǎng)絡(luò)信息安全方面的相關(guān)義務(wù)

包括：1）建立健全相關(guān)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)建立健全用戶信息保護(hù)制度，對(duì)收集的用戶信息嚴(yán)格保密；同時(shí)，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)建立網(wǎng)絡(luò)信息安全投訴、舉報(bào)制度，及時(shí)受理并處理與網(wǎng)絡(luò)信息安全相關(guān)的投訴和舉報(bào)。2）網(wǎng)絡(luò)安全管理義務(wù)。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保收集的個(gè)人信息安全，防止信息泄露、毀損和丟失。《網(wǎng)絡(luò)安全法》同時(shí)提出了實(shí)名制要求，即網(wǎng)絡(luò)運(yùn)營(yíng)者在向用戶提供服務(wù)時(shí)，應(yīng)當(dāng)要求用戶提供真實(shí)身份信息，否則，不得為其提供相關(guān)服務(wù)。同時(shí)，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)加強(qiáng)對(duì)用戶發(fā)布的信息的管理，發(fā)現(xiàn)違法信息的，應(yīng)當(dāng)及時(shí)采取停止傳輸、消除等處置措施。3）監(jiān)管配合義務(wù)。《網(wǎng)絡(luò)安全法》規(guī)定在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。發(fā)現(xiàn)用戶發(fā)布違法信息的，也應(yīng)當(dāng)向有關(guān)部門報(bào)告。對(duì)于網(wǎng)信部門和有關(guān)部門依法實(shí)施的監(jiān)督檢查，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)予以配合。

（3）明確了網(wǎng)絡(luò)用戶享有的個(gè)人信息相關(guān)權(quán)利

網(wǎng)絡(luò)用戶享有個(gè)人信息刪除權(quán)。個(gè)人信息刪除權(quán)，是指信息主體在具備法定理由的情形下，請(qǐng)求刪除個(gè)人信息的權(quán)利，通常包括三種情形：第一，收集使用行為不具有合法性，如在收集伊始就沒有得到用戶的同意且無其他法律依據(jù)、用戶的同意無效或已被撤銷，或收集使用的信息超出了法定或者約定的范圍；第二，收集使用個(gè)人信息的目的消失，使對(duì)個(gè)人信息的保存及處理、利用失去了必要性、正當(dāng)性；第三，約定的收集、使用、保存?zhèn)€人信息的期限屆滿。[3]《網(wǎng)絡(luò)安全法》第43條對(duì)個(gè)人信息刪除權(quán)作出了具體規(guī)定：“個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者刪除其個(gè)人信息……”

網(wǎng)絡(luò)用戶還享有個(gè)人信息更正權(quán)。個(gè)人信息更正權(quán)，是指在個(gè)人信息收集、存儲(chǔ)、使用過程中，若個(gè)人信息不完整或者不準(zhǔn)確時(shí)，個(gè)人有權(quán)要求及時(shí)改正、補(bǔ)充的權(quán)利，保障個(gè)人信息被合法、正確地使用。《網(wǎng)絡(luò)安全法》第43條對(duì)個(gè)人信息更正權(quán)作出了具體規(guī)定：個(gè)人“發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者收集、存儲(chǔ)的其個(gè)人信息有錯(cuò)誤的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者予以更正。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取措施予以刪除或者更正”。

（4）規(guī)定了違反個(gè)人信息保護(hù)相關(guān)要求的法律責(zé)任承擔(dān)

包括：1）民事責(zé)任，有關(guān)主體違反《網(wǎng)絡(luò)安全法》關(guān)于個(gè)人信息保護(hù)相關(guān)規(guī)定，給他人造成損害的，應(yīng)當(dāng)依法承擔(dān)民事責(zé)任。2）行政責(zé)任，網(wǎng)絡(luò)運(yùn)營(yíng)者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者違反個(gè)人信息保護(hù)相關(guān)規(guī)定，侵害個(gè)人信息依法得到保護(hù)的權(quán)利的，有關(guān)部門可以采取責(zé)令改正、警告、沒收違法所得、罰款、責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照等處罰。如果構(gòu)成違反治安管理行為的，依法給予治安管理處罰。3）違反《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，構(gòu)成犯罪的，應(yīng)當(dāng)依法追究刑事責(zé)任。

4.《網(wǎng)絡(luò)安全法》個(gè)人信息保護(hù)相關(guān)規(guī)定的簡(jiǎn)要評(píng)述

在《網(wǎng)絡(luò)安全法》出臺(tái)以前，我國(guó)也有關(guān)于個(gè)人信息保護(hù)的相關(guān)立法，典型如工信部在2013年7月16日發(fā)布的《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等。但該等立法一方面層級(jí)較低，另一方面規(guī)定內(nèi)容存在分散化、碎片化的情況，不足以滿足個(gè)人信息保護(hù)的法律規(guī)范需求。《網(wǎng)絡(luò)安全法》在此基礎(chǔ)上對(duì)于個(gè)人信息保護(hù)進(jìn)行了總括式的規(guī)定，對(duì)于統(tǒng)一個(gè)人信息保護(hù)的規(guī)則適用，保障個(gè)人信息權(quán)利具有重大的意義，也對(duì)后續(xù)個(gè)人信息的其他立法起到了基礎(chǔ)性、導(dǎo)向性的作用。

與此同時(shí)，作為網(wǎng)絡(luò)安全領(lǐng)域整體性、綜合性的法律，《網(wǎng)絡(luò)安全法》對(duì)于個(gè)人信息保護(hù)仍然偏向于原則性的規(guī)定，在具體適用及其配套機(jī)制的規(guī)定上尚不健全，可操作性上有所欠缺。對(duì)于《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定的實(shí)際執(zhí)行而言，仍然有賴于其他細(xì)則規(guī)定的出臺(tái)予以進(jìn)一步的明確。事實(shí)上，在《網(wǎng)絡(luò)安全法》正式發(fā)布之后，有關(guān)部門已經(jīng)接連頒發(fā)了諸多配套規(guī)定及國(guó)家標(biāo)準(zhǔn)，筆者也將在下文中逐一進(jìn)行分析。

（二）《數(shù)據(jù)安全法》

《數(shù)據(jù)安全法》于2021年6月10日由第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十九次會(huì)議表決通過，并將于2021年9月1日正式施行。從2020年6月28日《數(shù)據(jù)安全法（草案）》提交第十三屆全國(guó)人大常委會(huì)第二十次會(huì)議進(jìn)行初次審議，到正式表決通過，歷時(shí)僅1年。《數(shù)據(jù)安全法》全文共7章，合計(jì)55條，規(guī)定了數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護(hù)義務(wù)、政務(wù)數(shù)據(jù)安全與開放等內(nèi)容。作為我國(guó)數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律，《數(shù)據(jù)安全法》基本確立了我國(guó)數(shù)據(jù)安全立法的基本架構(gòu)，其正式施行或?qū)?duì)數(shù)字經(jīng)濟(jì)的發(fā)展產(chǎn)生全方位的影響。

《數(shù)據(jù)安全法》明確了較為寬泛的適用范圍，不僅將在中國(guó)境內(nèi)開展的數(shù)據(jù)處理活動(dòng)納入管轄，亦賦予了《數(shù)據(jù)安全法》必要的域外適用效力，即對(duì)于在中華人民共和國(guó)境外開展的、損害中華人民共和國(guó)國(guó)家安全、公共利益或者公民、組織合法權(quán)益的數(shù)據(jù)處理活動(dòng)，我國(guó)也會(huì)依《數(shù)據(jù)安全法》追究其法律責(zé)任。此舉符合當(dāng)前數(shù)據(jù)競(jìng)爭(zhēng)背景下通過國(guó)內(nèi)立法擴(kuò)張數(shù)據(jù)安全方面管轄權(quán)的國(guó)際潮流，也是國(guó)家提高在數(shù)據(jù)國(guó)際競(jìng)爭(zhēng)中話語(yǔ)權(quán)和控制力的需要。

1.明確了數(shù)據(jù)安全管理工作的頂層設(shè)計(jì)和監(jiān)管分工

《數(shù)據(jù)安全法》對(duì)數(shù)據(jù)安全管理工作的頂層設(shè)計(jì)和監(jiān)管分工進(jìn)行了明確規(guī)劃，在頂層設(shè)計(jì)上，《數(shù)據(jù)安全法》第5條明確將由中央國(guó)家安全領(lǐng)導(dǎo)機(jī)構(gòu)總負(fù)責(zé)，并在此基礎(chǔ)上建立國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制，統(tǒng)籌重要數(shù)據(jù)目錄制定、數(shù)據(jù)安全風(fēng)險(xiǎn)信息的獲取、分析、研判、預(yù)警等職責(zé)。在具體監(jiān)管分工上，《數(shù)據(jù)安全法》明確了在集中領(lǐng)導(dǎo)下各部門、各地區(qū)分工負(fù)責(zé)的管理模式，要求國(guó)家網(wǎng)信部門統(tǒng)籌網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)管，公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)依職責(zé)監(jiān)管數(shù)據(jù)安全，各地區(qū)、各部門承擔(dān)主體責(zé)任，各行業(yè)主管部門承擔(dān)本行業(yè)監(jiān)管職責(zé)。

2.完善了數(shù)據(jù)分類分級(jí)的保護(hù)制度

《數(shù)據(jù)安全法》的一大亮點(diǎn)在于完善了數(shù)據(jù)分類分級(jí)的保護(hù)制度。《網(wǎng)絡(luò)安全法》第21條首次在法律層面提出了“數(shù)據(jù)分類”的要求，而《數(shù)據(jù)安全法》則在此基礎(chǔ)上進(jìn)一步完整地提出了數(shù)據(jù)分類分級(jí)保護(hù)制度，并明確站在國(guó)家角度、自上而下的數(shù)據(jù)分類分級(jí)制度將成為我國(guó)數(shù)據(jù)安全的基本性制度。在此基礎(chǔ)上，《數(shù)據(jù)安全法》明確了由國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌、協(xié)調(diào)重要數(shù)據(jù)目錄的制定工作，并規(guī)定在國(guó)家制定重要數(shù)據(jù)目錄的基礎(chǔ)上，由各地區(qū)、各部門在其職權(quán)范圍內(nèi)確定各自地區(qū)、行業(yè)或領(lǐng)域的具體重要數(shù)據(jù)目錄。同時(shí)，《數(shù)據(jù)安全法》亦強(qiáng)調(diào)將對(duì)關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等國(guó)家核心數(shù)據(jù)，將實(shí)行更加嚴(yán)格的管理制度。

3.確立了數(shù)據(jù)安全審查制度

《數(shù)據(jù)安全法》帶來的另一個(gè)變化是確立了數(shù)據(jù)安全審查制度，對(duì)影響或可能影響國(guó)家安全的數(shù)據(jù)活動(dòng)進(jìn)行國(guó)家安全審查。數(shù)據(jù)安全審查制度的審查范圍和重點(diǎn)是“是否影響或者可能影響國(guó)家安全的數(shù)據(jù)活動(dòng)”。考慮到數(shù)據(jù)在國(guó)際競(jìng)爭(zhēng)中的地位和作用，數(shù)據(jù)安全審查對(duì)于捍衛(wèi)國(guó)家數(shù)據(jù)主權(quán)，維護(hù)數(shù)據(jù)安全有重要意義。此外，《數(shù)據(jù)安全法》亦明確“安全審查決定”為最終決定，這意味著數(shù)據(jù)安全審查決定一經(jīng)作出即告生效，企業(yè)或可能沒有相應(yīng)的救濟(jì)途徑，這也側(cè)面體現(xiàn)了數(shù)據(jù)安全審查的重要性。

4.對(duì)數(shù)據(jù)跨境流動(dòng)加以規(guī)制

跨境數(shù)據(jù)流動(dòng)在數(shù)字時(shí)代越發(fā)常態(tài)化，亦是《數(shù)據(jù)安全法》立法重點(diǎn)關(guān)注的方向。《數(shù)據(jù)安全法》用多個(gè)條文對(duì)跨境數(shù)據(jù)流動(dòng)進(jìn)行了規(guī)制，進(jìn)一步明確了在跨境數(shù)據(jù)流動(dòng)中的監(jiān)管要求，規(guī)定了數(shù)據(jù)安全審查、數(shù)據(jù)出口管制、重要數(shù)據(jù)出境管理、對(duì)等反制措施等，并明確了向境外司法或執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)的監(jiān)管要求。

5.明確了數(shù)據(jù)安全相關(guān)的法律責(zé)任

對(duì)于參與數(shù)據(jù)處理活動(dòng)的主體而言，違反《數(shù)據(jù)安全法》相關(guān)規(guī)定所引發(fā)的法律責(zé)任往往亦是關(guān)注的重點(diǎn)。《數(shù)據(jù)安全法》第六章規(guī)定了相對(duì)嚴(yán)苛的法律責(zé)任和行政處罰標(biāo)準(zhǔn)，這既體現(xiàn)了立法層面對(duì)數(shù)據(jù)安全問題的重視，也對(duì)組織和個(gè)人進(jìn)行了相應(yīng)的威懾。

（三）《個(gè)人信息保護(hù)法》

《個(gè)人信息保護(hù)法》于2021年8月20日由第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議表決通過，于2021年11月1日正式施行。《個(gè)人信息保護(hù)法》共8章，74條，規(guī)定了個(gè)人信息處理規(guī)則、個(gè)人信息跨境提供的規(guī)則、個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利、個(gè)人信息處理者的義務(wù)、履行個(gè)人信息保護(hù)責(zé)任的部門等內(nèi)容。作為我國(guó)個(gè)人信息保護(hù)領(lǐng)域的基礎(chǔ)性法律，《個(gè)人信息保護(hù)法》在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上，進(jìn)一步確立了我國(guó)個(gè)人信息保護(hù)立法的基本框架，其正式施行或?qū)?duì)個(gè)人信息的使用和保護(hù)產(chǎn)生全方位的影響。

1.擴(kuò)張了個(gè)人信息處理的合法性基礎(chǔ)

《個(gè)人信息保護(hù)法》帶來的最大變化在于大范圍擴(kuò)張了個(gè)人信息處理的合法性基礎(chǔ)。從處理個(gè)人信息合法性基礎(chǔ)的演變看，《網(wǎng)絡(luò)安全法》第41條第1款明確了收集使用個(gè)人信息的合法性基礎(chǔ)為“被收集者同意”。自《網(wǎng)絡(luò)安全法》2017年6月1日生效以來，同意成為收集使用個(gè)人信息的唯一合法性基礎(chǔ)。《民法典》第1035條第1款第1項(xiàng)沿用了“同意”作為合法性基礎(chǔ)，同時(shí)增加了“法律、行政法規(guī)另有規(guī)定的除外”的例外規(guī)定。《個(gè)人信息保護(hù)法》即屬于此處“另有規(guī)定”的法律，其與《民法典》第1035第1款相銜接，并基于此增加了多項(xiàng)個(gè)人信息處理的合法性基礎(chǔ)。

從內(nèi)容上看，《個(gè)人信息保護(hù)法》第13條增加了多項(xiàng)合法性基礎(chǔ)，包括“訂立或履行個(gè)人作為一方當(dāng)事人的合同所必需或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”“為履行法定職責(zé)或者法定義務(wù)所必需”“為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需”“為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為在合理的范圍內(nèi)處理個(gè)人信息”以及在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息。

2.明確了個(gè)人信息跨境流動(dòng)的規(guī)則

個(gè)人信息作為數(shù)字經(jīng)濟(jì)時(shí)代具有重要商業(yè)價(jià)值的資產(chǎn)，其商業(yè)價(jià)值僅有在流通中方才能夠體現(xiàn)。而在國(guó)際經(jīng)濟(jì)交流與合作愈發(fā)頻繁和緊密的當(dāng)下，個(gè)人信息的跨境流動(dòng)幾乎不可避免。《網(wǎng)絡(luò)安全法》第37條要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者原則上應(yīng)將收集的個(gè)人信息在境內(nèi)存儲(chǔ)，確需向境外提供的，需進(jìn)行安全評(píng)估。《個(gè)人信息保護(hù)法》在此基礎(chǔ)上進(jìn)一步完善了個(gè)人信息跨境流動(dòng)的相關(guān)規(guī)則。

根據(jù)《個(gè)人信息保護(hù)法》第38條規(guī)定，個(gè)人信息出境的前提是個(gè)人信息處理者因業(yè)務(wù)需要。在滿足該前提的情形下，個(gè)人信息處理者可以在滿足該條規(guī)定情形之一的情況下向境外提供個(gè)人信息：

其一，基于《個(gè)人信息保護(hù)法》第40條規(guī)定，當(dāng)個(gè)人信息處理者為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者或者處理的個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量時(shí)，其應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門組織的安全評(píng)估，方可向境外傳輸個(gè)人信息。而當(dāng)個(gè)人信息處理者并非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者且處理的個(gè)人信息數(shù)量未達(dá)到國(guó)家網(wǎng)信部門規(guī)定的數(shù)量時(shí)，則應(yīng)當(dāng)滿足本條第1款規(guī)定的其他三項(xiàng)條件中的任意一種。

其二，按照國(guó)家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證，對(duì)于認(rèn)證實(shí)施的主體、認(rèn)證實(shí)施的程序以及認(rèn)證的具體內(nèi)容有待國(guó)家網(wǎng)信部門出臺(tái)具體的規(guī)定加以明確。

其三，按照國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)，該條同歐盟的“標(biāo)準(zhǔn)合同條款”（Standard Contractual Clause）相似，旨在通過模板化的合同條款明確雙方權(quán)利義務(wù)，并要求境外接收方提供必要的個(gè)人信息保護(hù)水平。

其四，法律、行政法規(guī)或者國(guó)家網(wǎng)信部門規(guī)定的其他條件。

3.完善了信息主體所享有的權(quán)利

《網(wǎng)絡(luò)安全法》與《民法典》規(guī)定了信息主體所享有的一系列權(quán)利，《個(gè)人信息保護(hù)法》在此基礎(chǔ)上重申了信息主體享有查閱、復(fù)制、更正、刪除等的權(quán)利，并首次從法律層面引入了“可攜帶權(quán)”的概念，明確信息主體在符合規(guī)定條件的情形下可以請(qǐng)求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者。信息主體權(quán)利內(nèi)容的完善不僅意味著信息主體實(shí)現(xiàn)對(duì)個(gè)人信息控制的路徑更加清晰，也意味著個(gè)人信息處理者應(yīng)當(dāng)采取必要的措施，及時(shí)地響應(yīng)信息主體的權(quán)利請(qǐng)求，為信息主體行使權(quán)利提供必要的保障和便利。

4.明確了個(gè)人信息保護(hù)的監(jiān)管框架

《個(gè)人信息保護(hù)法》不僅是一部明確公民個(gè)人信息權(quán)益保護(hù)的權(quán)利法，還是規(guī)定各行政部門個(gè)人信息保護(hù)職責(zé)的管理法，其第六章對(duì)履行個(gè)人信息保護(hù)責(zé)任的部門及其職責(zé)進(jìn)行了規(guī)定，進(jìn)一步明確了個(gè)人信息保護(hù)的監(jiān)管框架。

在中央政府層面，《個(gè)人信息保護(hù)法》明確了國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。國(guó)家網(wǎng)信部門在個(gè)人信息保護(hù)和相關(guān)監(jiān)督管理方面已經(jīng)積累了相當(dāng)豐富的實(shí)踐經(jīng)驗(yàn)，通過本條進(jìn)一步明確其職能有助于建立集中統(tǒng)一高效的個(gè)人信息保護(hù)監(jiān)管體系。同時(shí)，國(guó)務(wù)院各有關(guān)部門，包括工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)督管理總局等主管部門以及中國(guó)人民銀行等行業(yè)主管部門在各自職權(quán)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)管工作，亦兼顧了各部門和各行業(yè)的差異性。

在地方政府層面，《個(gè)人信息保護(hù)法》明確了由縣級(jí)以上地方人民政府有關(guān)部門履行個(gè)人信息保護(hù)和監(jiān)督管理職責(zé)。考慮到個(gè)人信息保護(hù)工作責(zé)任繁雜，事務(wù)眾多，而地方人民政府在前期個(gè)人信息保護(hù)監(jiān)管中已經(jīng)積累了相對(duì)豐富的經(jīng)驗(yàn)，明確地方人民政府監(jiān)管職責(zé)，引導(dǎo)地方人民政府更多參與到個(gè)人信息保護(hù)監(jiān)管中來，能夠更好地促進(jìn)個(gè)人信息保護(hù)工作的協(xié)同開展。

5.回應(yīng)了實(shí)踐中的新情況、新問題

自《網(wǎng)絡(luò)安全法》于2017年施行以來，實(shí)踐中亦出現(xiàn)了很多新問題、新場(chǎng)景，在該等問題或場(chǎng)景下，個(gè)人信息保護(hù)問題呈現(xiàn)出了一定的特殊性。《個(gè)人信息保護(hù)法》回應(yīng)了這些實(shí)踐中出現(xiàn)的新情況或新問題，并對(duì)特定情形下的個(gè)人信息保護(hù)作出了相應(yīng)的規(guī)定。

例如，針對(duì)利用個(gè)人信息進(jìn)行自動(dòng)化決策的情形，《個(gè)人信息保護(hù)法》第24條要求個(gè)人信息處理者應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。如果通過自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷的，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式。如果通過自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定，個(gè)人有權(quán)要求個(gè)人信息處理者予以說明，并有權(quán)拒絕個(gè)人信息處理者僅通過自動(dòng)化決策的方式作出決定。

再如，針對(duì)實(shí)踐中常見的公共場(chǎng)所人臉識(shí)別問題，《個(gè)人信息保護(hù)法》第27條明確，若個(gè)人信息處理者確要在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備的，僅可出于維護(hù)公共安全所必需的目的，且應(yīng)當(dāng)設(shè)置顯著的提示標(biāo)識(shí)。同時(shí)，在未取得個(gè)人單獨(dú)同意的情形下，所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的，不得用于其他目的。

（四）《民法典》

《民法典》于2020年5月28日正式發(fā)布，于2021年1月1日生效。其中，《民法典》第111條沿用了《民法總則》第111條的規(guī)定，強(qiáng)調(diào)自然人的個(gè)人信息受法律保護(hù)。除此之外，《民法典》在第四編人格權(quán)編第六章專章規(guī)定了隱私權(quán)和個(gè)人信息保護(hù)，明確了個(gè)人信息的定義、個(gè)人信息的處理原則和條件、處理個(gè)人信息的免責(zé)事由、自然人查閱、復(fù)制、更正刪除個(gè)人信息的權(quán)利、信息處理者的信息安全保護(hù)義務(wù)、未經(jīng)同意不得對(duì)外提供個(gè)人信息等內(nèi)容。

總體而言，《民法典》中個(gè)人信息保護(hù)的相關(guān)規(guī)定多是在《網(wǎng)絡(luò)安全法》規(guī)定的基礎(chǔ)上加以完善，整體規(guī)定偏原則性，具體適用仍然需要結(jié)合后續(xù)出臺(tái)的個(gè)人信息保護(hù)相關(guān)立法和標(biāo)準(zhǔn)的規(guī)定。接下來，將對(duì)重要變化內(nèi)容進(jìn)行梳理和解析。

1.擴(kuò)張了個(gè)人信息處理行為的規(guī)制范圍

相較于《網(wǎng)絡(luò)安全法》第41條規(guī)制網(wǎng)絡(luò)運(yùn)營(yíng)者的個(gè)人信息收集使用行為，《民法典》第1035條未設(shè)置主語(yǔ)且將規(guī)制的行為范圍擴(kuò)張至包括收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等在內(nèi)的全部個(gè)人信息處理行為，意味著個(gè)人信息全生命周期的處理行為均納入該條的規(guī)制范圍，而各環(huán)節(jié)對(duì)應(yīng)的主體也都受到該條的約束。可以看出，《民法典》對(duì)個(gè)人信息的保護(hù)更加全面，也更加能夠滿足新形勢(shì)下的個(gè)人信息保護(hù)需求。

2.增加了處理個(gè)人信息的免責(zé)事由

相較于《網(wǎng)絡(luò)安全法》，《民法典》新增第1036條作為處理個(gè)人信息的免責(zé)事由。需要強(qiáng)調(diào)的是，免責(zé)事由就意味著該條規(guī)定的三種情形是具有違法性的，只不過通過該條對(duì)其進(jìn)行了免責(zé)。而且，該條規(guī)定的三種情形均有一個(gè)限定語(yǔ)“合理”，具體來說，三種情形分別使用了“合理實(shí)施”和“合理處理”的表述，但如何界定是否“合理”，存在較大的不確定性，可能要根據(jù)個(gè)案進(jìn)行具體判定。因此，企業(yè)要避免對(duì)該條的過分依賴，而應(yīng)主要依據(jù)《民法典》第1035條的規(guī)定處理個(gè)人信息，否則一旦無法適用該條規(guī)定，違法性相對(duì)應(yīng)的后果就是企業(yè)需要承擔(dān)相應(yīng)的責(zé)任。

3.強(qiáng)化了自然人查閱、復(fù)制個(gè)人信息的權(quán)利

相較于《網(wǎng)絡(luò)安全法》第43條規(guī)定了個(gè)人享有刪除、更正個(gè)人信息的權(quán)利，《民法典》第1037條增加規(guī)定了自然人查閱、復(fù)制個(gè)人信息的權(quán)利，意味著信息處理者如果拒絕自然人查閱、復(fù)制個(gè)人信息的要求，可能構(gòu)成對(duì)該條規(guī)定的違反。但從實(shí)踐落地的角度，該條如不加以規(guī)范和限制，可能會(huì)給信息處理者造成額外的負(fù)擔(dān)，有待相關(guān)細(xì)則或司法實(shí)踐進(jìn)一步明確該條的具體適用標(biāo)準(zhǔn)。

（五）《消費(fèi)者權(quán)益保護(hù)法》

1993年發(fā)布的《消費(fèi)者權(quán)益保護(hù)法》中并未對(duì)個(gè)人信息保護(hù)相關(guān)問題作出規(guī)定。但隨著市場(chǎng)經(jīng)濟(jì)和信息化社會(huì)的發(fā)展，一方面經(jīng)營(yíng)者利用收集的消費(fèi)者信息改進(jìn)其生產(chǎn)經(jīng)營(yíng)活動(dòng)，創(chuàng)造了巨大的經(jīng)濟(jì)價(jià)值；另一方面消費(fèi)者個(gè)人信息被濫用、泄露等問題層出不窮，個(gè)人信息保護(hù)問題日益得到重視。

因此，在2013年修訂的《消費(fèi)者權(quán)益保護(hù)法》中對(duì)個(gè)人信息保護(hù)相關(guān)問題作出了明確規(guī)定。明確了消費(fèi)者享有個(gè)人信息依法得到保護(hù)的權(quán)益，同時(shí)，對(duì)經(jīng)營(yíng)者收集、使用消費(fèi)者個(gè)人信息提出了合法、正當(dāng)、必要的原則性要求，明確了經(jīng)營(yíng)者收集使用消費(fèi)者個(gè)人信息的規(guī)則，同時(shí)，要求經(jīng)營(yíng)者及其工作人員對(duì)消費(fèi)者個(gè)人信息予以保密，采取必要的措施保障信息安全。《消費(fèi)者權(quán)益保護(hù)法》進(jìn)一步規(guī)定了經(jīng)營(yíng)者侵害消費(fèi)者個(gè)人信息依法得到保護(hù)的權(quán)利的，應(yīng)當(dāng)停止侵害、恢復(fù)名譽(yù)、消除影響、賠禮道歉，并賠償損失，同時(shí)，由相關(guān)部門依法予以行政處罰。

《消費(fèi)者權(quán)益保護(hù)法》中涉及個(gè)人信息保護(hù)的相關(guān)條款為：

續(xù)表

《消費(fèi)者權(quán)益保護(hù)法》對(duì)于個(gè)人信息保護(hù)偏向于原則性規(guī)定，在《消費(fèi)者權(quán)益保護(hù)法》的實(shí)施過程中，普遍反映經(jīng)營(yíng)者收集、使用消費(fèi)者個(gè)人信息的制度過于原則，執(zhí)法主體不明確，法律責(zé)任不到位，消費(fèi)者個(gè)人信息被違法收集使用的勢(shì)頭還在蔓延。目前的狀況是，消費(fèi)者舉證難，監(jiān)管部門和消協(xié)組織取證難，即使查實(shí)的案件也存在追責(zé)難、處罰輕的情況，難以起到震懾作用。[4]

2016年，工商總局制定了《消費(fèi)者權(quán)益保護(hù)法實(shí)施條例（征求意見稿）》。2016年11月16日對(duì)工商總局上報(bào)國(guó)務(wù)院的《消費(fèi)者權(quán)益保護(hù)法實(shí)施條例（送審稿）》進(jìn)行了公開征求意見。在《消費(fèi)者權(quán)益保護(hù)法》的基礎(chǔ)上，《消費(fèi)者權(quán)益保護(hù)法實(shí)施條例（送審稿）》中對(duì)個(gè)人信息保護(hù)的相關(guān)問題進(jìn)行了細(xì)化規(guī)定，主要包括：

1.明確了消費(fèi)者個(gè)人信息的定義。《消費(fèi)者權(quán)益保護(hù)法》并未對(duì)消費(fèi)者個(gè)人信息的概念作出界定，在《消費(fèi)者權(quán)益保護(hù)法實(shí)施條例（送審稿）》第22條則以列舉＋“可識(shí)別”規(guī)定兜底的方式對(duì)消費(fèi)者個(gè)人信息的概念進(jìn)行了定義：“消費(fèi)者個(gè)人信息是指經(jīng)營(yíng)者在提供商品或者服務(wù)活動(dòng)中收集的消費(fèi)者姓名、性別、職業(yè)、出生日期、身份證件號(hào)碼、住址、聯(lián)系方式、收入和財(cái)產(chǎn)狀況、健康狀況、消費(fèi)情況、生物識(shí)別特征等能夠單獨(dú)或者與其他信息結(jié)合識(shí)別消費(fèi)者的信息。”

2.針對(duì)經(jīng)營(yíng)者信息收集的必要性原則，《消費(fèi)者權(quán)益保護(hù)法實(shí)施條例（送審稿）》明確提出了“經(jīng)營(yíng)者不得收集與經(jīng)營(yíng)業(yè)務(wù)無關(guān)的信息”。

3.規(guī)定了消費(fèi)者享有刪除、修改個(gè)人信息的權(quán)利。根據(jù)《消費(fèi)者權(quán)益保護(hù)法實(shí)施條例（送審稿）》第22條規(guī)定，除法律法規(guī)另有規(guī)定外，消費(fèi)者明確要求經(jīng)營(yíng)者刪除、修改其個(gè)人信息的，經(jīng)營(yíng)者應(yīng)當(dāng)按照消費(fèi)者的要求予以刪除、修改。

4.針對(duì)經(jīng)營(yíng)者向他人提供消費(fèi)者個(gè)人信息，《消費(fèi)者權(quán)益保護(hù)法實(shí)施條例（送審稿）》同樣規(guī)定應(yīng)當(dāng)經(jīng)過消費(fèi)者同意。但同時(shí)提出了“經(jīng)過處理無法識(shí)別特定消費(fèi)者且不能復(fù)原的除外”。該條規(guī)定為經(jīng)營(yíng)者依法使用匿名化的個(gè)人信息留下了一定空間。

5.細(xì)化了關(guān)于商業(yè)性信息推送的規(guī)定。《消費(fèi)者權(quán)益保護(hù)法實(shí)施條例（送審稿）》在《消費(fèi)者權(quán)益保護(hù)法》的基礎(chǔ)上進(jìn)一步規(guī)定了“未經(jīng)消費(fèi)者明確同意或者請(qǐng)求，經(jīng)營(yíng)者不得向消費(fèi)者的固定電話、移動(dòng)電話等通訊設(shè)備，電腦等電子終端或者電子郵箱、網(wǎng)絡(luò)硬盤等電子信息空間發(fā)送商業(yè)性電子信息或者撥打商業(yè)性推銷電話。消費(fèi)者同意經(jīng)營(yíng)者向其發(fā)送商業(yè)性電子信息或者撥打商業(yè)性推銷電話的，除雙方另有約定以外，不得要求消費(fèi)者承擔(dān)費(fèi)用”。

但從2016年11月16日對(duì)外征求意見以來，《消費(fèi)者權(quán)益保護(hù)法實(shí)施條例》至今尚未發(fā)布正式版，筆者也期待《消費(fèi)者權(quán)益保護(hù)法實(shí)施條例》的正式出臺(tái)，能夠進(jìn)一步加強(qiáng)消費(fèi)者個(gè)人信息保護(hù)。

（六）《電子商務(wù)法》

我國(guó)電子商務(wù)發(fā)展迅速，足不出戶的購(gòu)物方式成了社會(huì)公眾的消費(fèi)新時(shí)尚，但電子商務(wù)在給社會(huì)民眾帶來便利的同時(shí)，也對(duì)電子商務(wù)消費(fèi)者的個(gè)人信息保護(hù)帶來了巨大的挑戰(zhàn)。在電子商務(wù)的發(fā)展過程當(dāng)中，個(gè)人信息被濫用、泄露等問題屢屢發(fā)生，因此，《電子商務(wù)法》制定之初，個(gè)人信息保護(hù)問題就成了重點(diǎn)討論的內(nèi)容之一。《電子商務(wù)法》于2018年8月31日正式發(fā)布，并于2019年1月1日起生效實(shí)施，全文圍繞電子商務(wù)經(jīng)營(yíng)者、電子商務(wù)消費(fèi)者（用戶）以及有關(guān)主管部門各自的權(quán)利義務(wù)對(duì)個(gè)人信息保護(hù)相關(guān)內(nèi)容進(jìn)行了規(guī)定，主要包括：

1.個(gè)人信息的收集、使用。《電子商務(wù)法》對(duì)于個(gè)人信息的收集、使用僅作了原則性規(guī)定，要求電子商務(wù)經(jīng)營(yíng)者在收集、使用個(gè)人信息時(shí)應(yīng)當(dāng)遵守有關(guān)法律、行政法規(guī)的規(guī)定。我國(guó)《網(wǎng)絡(luò)安全法》等法律規(guī)范均對(duì)個(gè)人信息的收集、使用作出了相關(guān)規(guī)定，電子商務(wù)經(jīng)營(yíng)者在具體場(chǎng)景下收集、使用個(gè)人信息時(shí)應(yīng)當(dāng)遵照該等法律法規(guī)的規(guī)定進(jìn)行，如在收集用戶個(gè)人信息時(shí)，應(yīng)當(dāng)公開收集、使用規(guī)則，明示收集、使用的目的、方式和范圍，并經(jīng)被收集者同意。

2.關(guān)于個(gè)人信息的保存期限。《網(wǎng)絡(luò)安全法》并未明確規(guī)定用戶信息的保存期限要求，僅規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于6個(gè)月。但《電子商務(wù)法》中明確要求電子商務(wù)平臺(tái)經(jīng)營(yíng)者應(yīng)當(dāng)記錄、保存平臺(tái)上的商品和服務(wù)信息、交易信息，保存時(shí)間自交易完成之日起不少于3年。

3.關(guān)于個(gè)性化推薦。個(gè)性化推薦在電子商務(wù)場(chǎng)景下十分普遍，電子商務(wù)經(jīng)營(yíng)者利用其掌握的用戶信息，通過大數(shù)據(jù)分析電子商務(wù)消費(fèi)者的興趣愛好，有針對(duì)性地進(jìn)行商品、服務(wù)的推送以及搜索結(jié)果的展示。通常與個(gè)性化推薦相關(guān)的場(chǎng)景還包括“大數(shù)據(jù)殺熟”，指電子商務(wù)經(jīng)營(yíng)者利用大數(shù)據(jù)分析結(jié)果，對(duì)不同用戶采取不同的定價(jià)策略，甚至出現(xiàn)同一商品或服務(wù)對(duì)于忠誠(chéng)度較高的老用戶價(jià)格要高于新用戶的情況，嚴(yán)重侵害了用戶的權(quán)益。對(duì)于這一問題，《電子商務(wù)法》明確規(guī)定了電子商務(wù)經(jīng)營(yíng)者根據(jù)消費(fèi)者的興趣愛好、消費(fèi)習(xí)慣等特征向其提供商品或服務(wù)的搜索結(jié)果的，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，以保護(hù)消費(fèi)者的合法權(quán)益。

4.用戶的相關(guān)權(quán)利。《電子商務(wù)法》第24條明確規(guī)定了用戶享有信息查詢、更正、刪除以及注銷的權(quán)利。[5]同時(shí)，要求電子商務(wù)經(jīng)營(yíng)者明示用戶行使前述權(quán)利的方式、程序，不得設(shè)置不合理的條件。在具體程序上，《電子商務(wù)法》要求電子商務(wù)經(jīng)營(yíng)者收到用戶關(guān)于信息查詢、更正、刪除申請(qǐng)的，應(yīng)當(dāng)在核實(shí)身份后及時(shí)履行義務(wù)，用戶申請(qǐng)注銷的，應(yīng)當(dāng)立即刪除用戶信息。

5.主管部門的權(quán)利義務(wù)。《電子商務(wù)法》規(guī)定了有關(guān)主管部門有權(quán)依法要求電子商務(wù)經(jīng)營(yíng)者提供電子商務(wù)數(shù)據(jù)信息。但有關(guān)主管部門應(yīng)當(dāng)采取必要的措施保護(hù)數(shù)據(jù)信息的安全，不得泄露、出售或者非法向他人提供。

電子商務(wù)法的正式實(shí)施對(duì)于電子商務(wù)發(fā)展過程中個(gè)人信息的利用以及保護(hù)具有重要意義。對(duì)于電子商務(wù)經(jīng)營(yíng)者而言，一方面要遵循《電子商務(wù)法》關(guān)于個(gè)人信息保護(hù)的相關(guān)規(guī)定，另一方面除了《電子商務(wù)法》外，我國(guó)《網(wǎng)絡(luò)安全法》等其他法律法規(guī)也對(duì)個(gè)人信息保護(hù)作出了相關(guān)規(guī)定，電子商務(wù)經(jīng)營(yíng)者也應(yīng)當(dāng)加以遵循。同時(shí)，《電子商務(wù)法》對(duì)個(gè)人信息保護(hù)的相關(guān)規(guī)定更偏原則性和倡導(dǎo)性，筆者也期待后續(xù)關(guān)于電子商務(wù)場(chǎng)景下個(gè)人信息利用與保護(hù)的相關(guān)細(xì)則、標(biāo)準(zhǔn)的出臺(tái)，以便更好地規(guī)范電子商務(wù)經(jīng)營(yíng)者收集、使用用戶個(gè)人信息的行為。

《電子商務(wù)法》關(guān)于個(gè)人信息保護(hù)的相關(guān)條款：

續(xù)表

（七）《刑法》

《刑法》是保護(hù)公民權(quán)利、維護(hù)社會(huì)穩(wěn)定發(fā)展的有力武器，在《刑法》中設(shè)置網(wǎng)絡(luò)信息安全保護(hù)的相關(guān)條款，一方面有利于增強(qiáng)民眾的防范意識(shí)，明確涉及信息安全的相關(guān)行為邊界；另一方面隨著信息化社會(huì)的發(fā)展，侵害公民個(gè)人信息的犯罪行為也隨之增加，因此，通過《刑法》的規(guī)定明確對(duì)該類犯罪行為的打擊，也十分有必要。

我國(guó)《刑法》中涉及信息安全保護(hù)的主要罪名及具體規(guī)定包括：

續(xù)表

續(xù)表

續(xù)表

接下來，筆者將重點(diǎn)對(duì)實(shí)踐中經(jīng)常出現(xiàn)的“侵犯公民個(gè)人信息罪”以及“拒不履行網(wǎng)絡(luò)安全義務(wù)罪”加以分析，其他部分罪名筆者將結(jié)合相關(guān)場(chǎng)景（比如“爬蟲”技術(shù)應(yīng)用）在本書后續(xù)章節(jié)中展開闡述。

1.侵犯公民個(gè)人信息罪

《刑法》第253條之一規(guī)定了“侵犯公民個(gè)人信息罪”。回顧該條罪名的制定過程，最早可以追溯到2009年的《刑法修正案（七）》，其中規(guī)定了：“國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國(guó)家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。竊取或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。單位犯前兩款罪的，對(duì)單位判處罰金，并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照各該款的規(guī)定處罰。”

為了更好地保護(hù)個(gè)人信息，2015年《刑法修正案（九）》又對(duì)該條款進(jìn)行了修改。將犯罪主體從特殊主體擴(kuò)大到一般主體；從重處罰“將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，出售或者提供給他人的”的行為；同時(shí)將本罪最高刑期由“三年以下有期徒刑或者拘役”，修改為“三年以上七年以下有期徒刑”；取消了非法獲取公民個(gè)人信息的“情節(jié)嚴(yán)重”的入罪條件。這一系列改動(dòng)將非法出售合法渠道獲取的公民個(gè)人信息的行為也囊括進(jìn)來，擴(kuò)大了犯罪主體范圍，體現(xiàn)了刑法對(duì)于保護(hù)公民個(gè)人信息力度的加強(qiáng)。

具體分析本罪的構(gòu)成要件，構(gòu)成本罪需相關(guān)主體違反國(guó)家有關(guān)規(guī)定，實(shí)施了向他人出售或者提供公民個(gè)人信息、竊取或者以其他方法非法獲取公民個(gè)人信息的行為。從侵害對(duì)象或者法益看，行為對(duì)象必須是公民個(gè)人信息，如果是其他對(duì)象，則可能構(gòu)成刑法規(guī)制的其他犯罪，比如侵犯商業(yè)秘密罪。同時(shí)，本罪亦存在單位犯罪的可能。

但本罪規(guī)定亦存在不少模糊之處，比如公民個(gè)人信息的內(nèi)涵和范圍如何界定；入罪條件中“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)等問題，給本罪在司法實(shí)踐中的具體適用造成了一定困難。也因此，2017年5月8日，最高人民法院、最高人民檢察院發(fā)布了《侵犯公民個(gè)人信息刑事案件解釋》（法釋〔2017〕10號(hào)）對(duì)上述相關(guān)問題作出了進(jìn)一步的明確規(guī)定，筆者將在下文中詳細(xì)展開討論。

2.拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪

《刑法》第286條之一對(duì)拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪作出了相應(yīng)規(guī)定。該條為2015年8月29日發(fā)布的《刑法修正案（九）》中新增罪名，本罪的犯罪主體為“網(wǎng)絡(luò)服務(wù)提供者”，單位亦可以構(gòu)成本罪。在《刑法修正案（九）》之前，我國(guó)《刑法》并未明確規(guī)定網(wǎng)絡(luò)服務(wù)提供者犯罪的刑事責(zé)任，因此，該條規(guī)定在一定程度上填補(bǔ)了《刑法》規(guī)制的空白，也有利于增強(qiáng)網(wǎng)絡(luò)服務(wù)提供者履行網(wǎng)絡(luò)安全管理義務(wù)的意識(shí)。

本罪在客觀方面表現(xiàn)為網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施后拒不改正，同時(shí)，符合下列情形之一的：（1）致使違法信息大量傳播；（2）致使用戶信息泄露，造成嚴(yán)重后果的；（3）致使刑事案件證據(jù)滅失，情節(jié)嚴(yán)重的；（4）有其他嚴(yán)重情節(jié)的。在理解本罪客觀方面構(gòu)成要件上，有以下三點(diǎn)需要特別注意：

（1）信息網(wǎng)絡(luò)安全管理義務(wù)

我國(guó)在很長(zhǎng)一段時(shí)間內(nèi)，關(guān)于網(wǎng)絡(luò)服務(wù)提供者的信息網(wǎng)絡(luò)安全義務(wù)的范圍缺乏系統(tǒng)的規(guī)定，散見于諸多法律、行政法規(guī)當(dāng)中。而在《網(wǎng)絡(luò)安全法》出臺(tái)之后，對(duì)網(wǎng)絡(luò)服務(wù)提供者的安全管理義務(wù)也作出了相應(yīng)的規(guī)定。如《網(wǎng)絡(luò)安全法》要求網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)采取防范計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；加強(qiáng)對(duì)其用戶發(fā)布的信息的管理，發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌模瑧?yīng)當(dāng)立即停止傳輸該信息，采取消除等處置措施。

（2）前提條件需經(jīng)過行政部門處理

“經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正”是構(gòu)成本罪的前提條件。信息網(wǎng)絡(luò)安全監(jiān)管部門事前未依據(jù)法律、行政法規(guī)規(guī)定發(fā)出指令；相關(guān)指令沒有法律、行政法規(guī)依據(jù)；或者不是根據(jù)法律、行政法規(guī)而僅依據(jù)部門規(guī)章發(fā)出改正通知；又或者僅僅發(fā)出口頭整改通知，甚至違法發(fā)出指令的，網(wǎng)絡(luò)服務(wù)提供者均不構(gòu)成該罪。[6]

（3）三種特定的危害情形

本罪是結(jié)果犯，相關(guān)主體的行為需導(dǎo)致出現(xiàn)了條文規(guī)定的特定結(jié)果，方才構(gòu)成犯罪。《刑法修正案（九）》列舉了三種特定危害情形，并以有其他嚴(yán)重情節(jié)作為兜底。但該等關(guān)于危害情形的規(guī)定仍然存在模糊之處，比如“致使違法信息大量傳播”中的“違法信息”如何認(rèn)定；“致使用戶信息泄露，造成嚴(yán)重后果的”中的“嚴(yán)重后果”標(biāo)準(zhǔn)為何等均不明確，這無疑給該條罪名的適用造成了困難。而直到2019年10月21日發(fā)布的《網(wǎng)絡(luò)犯罪解釋》才對(duì)前述相關(guān)問題作出了回應(yīng)，筆者也將在下文中具體闡述。

（八）《征信業(yè)管理?xiàng)l例》

2013年3月15日，由國(guó)務(wù)院制定的《征信業(yè)管理?xiàng)l例》正式生效，《征信業(yè)管理?xiàng)l例》適用于在我國(guó)境內(nèi)從事個(gè)人或企業(yè)信用信息的采集、整理、保存、加工，并向信息使用者提供的征信業(yè)務(wù)及相關(guān)活動(dòng)，規(guī)范對(duì)象主要是征信機(jī)構(gòu)的業(yè)務(wù)活動(dòng)及對(duì)征信機(jī)構(gòu)的監(jiān)督管理。個(gè)人征信業(yè)務(wù)中重要的一環(huán)是對(duì)個(gè)人信用信息的收集和使用，因而該條例也著重對(duì)這一部分進(jìn)行了規(guī)范。個(gè)人信用信息通常包括：（1）個(gè)人基本信息，指自然人身份識(shí)別信息、職業(yè)和居住地址等信息；（2）個(gè)人信貸交易信息，指商業(yè)銀行提供的自然人在個(gè)人貸款、貸記卡、準(zhǔn)貸記卡、擔(dān)保等信用活動(dòng)中形成的交易記錄；（3）反映個(gè)人信用狀況的其他信息，指除信貸交易信息之外的反映個(gè)人信用狀況的相關(guān)信息。[7]

《征信業(yè)管理?xiàng)l例》明確了征信機(jī)構(gòu)、信息提供者、信息使用者以及信息主體在征信業(yè)務(wù)活動(dòng)中的權(quán)利義務(wù)，從采集、查詢、使用、保存及提供等各環(huán)節(jié)明確了征信業(yè)務(wù)的開展規(guī)則。

對(duì)于采集個(gè)人信息，《征信業(yè)管理?xiàng)l例》明確規(guī)定了除依法公開的信息外，采集個(gè)人信息應(yīng)當(dāng)經(jīng)信息主體本人同意。規(guī)定了禁止征信機(jī)構(gòu)采集的個(gè)人信息范圍，包括個(gè)人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個(gè)人信息。同時(shí)規(guī)定，除明確告知信息主體可能的不利后果并取得其同意外，征信機(jī)構(gòu)不得采集個(gè)人的收入、存款、有價(jià)證券、商業(yè)保險(xiǎn)、不動(dòng)產(chǎn)的信息和納稅數(shù)額信息。在向征信機(jī)構(gòu)查詢個(gè)人信息時(shí)，《征信業(yè)管理?xiàng)l例》規(guī)定除了法律規(guī)定可以不經(jīng)同意查詢的外，都應(yīng)當(dāng)取得信息主體本人的書面同意并明確約定用途。對(duì)于個(gè)人信息的使用，根據(jù)《征信業(yè)管理?xiàng)l例》的規(guī)定，信息使用者應(yīng)當(dāng)按照與個(gè)人信息主體約定的用途使用個(gè)人信息，不得用作約定以外的用途。《征信業(yè)管理?xiàng)l例》明確要求征信機(jī)構(gòu)在中國(guó)境內(nèi)采集的信息的保存應(yīng)當(dāng)在中國(guó)境內(nèi)進(jìn)行，對(duì)個(gè)人不良信息的保存期限，自不良行為或者事件終止之日起為5年；超過5年的，應(yīng)當(dāng)予以刪除。此外，在對(duì)外提供個(gè)人信息方面，《征信業(yè)管理?xiàng)l例》規(guī)定信息提供者向征信機(jī)構(gòu)提供個(gè)人不良信息，應(yīng)當(dāng)事先告知信息主體本人。信息使用者未經(jīng)信息主體同意不得向第三方提供個(gè)人信息。同時(shí)，要求征信機(jī)構(gòu)如需向境外組織或者個(gè)人提供信息，應(yīng)當(dāng)遵守法律、行政法規(guī)和國(guó)務(wù)院征信業(yè)監(jiān)督管理部門的有關(guān)規(guī)定。

《征信業(yè)管理?xiàng)l例》同時(shí)明確了個(gè)人信息主體享有的權(quán)利，包括：1.同意權(quán)。在采集、查詢、向第三方提供信息時(shí)均應(yīng)當(dāng)取得個(gè)人信息主體的同意。2.知情權(quán)。信息提供者向征信機(jī)構(gòu)提供個(gè)人不良信息時(shí)，應(yīng)當(dāng)事先告知信息主體本人。信息主體可以向征信機(jī)構(gòu)查詢自身信息，并且每年有兩次免費(fèi)獲取本人信用報(bào)告的權(quán)利。3.異議權(quán)。個(gè)人信息主體如果認(rèn)為征信機(jī)構(gòu)采集、保存、提供的信息存在錯(cuò)誤、遺漏的，可以向征信機(jī)構(gòu)或者信息提供者提出異議，要求更正。4.救濟(jì)權(quán)。如果個(gè)人信息主體認(rèn)為征信機(jī)構(gòu)或者信息提供者、信息使用者侵害其合法權(quán)益的，可以向所在地的國(guó)務(wù)院征信業(yè)監(jiān)督管理部門派出機(jī)構(gòu)投訴。如果認(rèn)為前述主體侵害了其合法權(quán)益的，也可以直接向人民法院起訴。

《征信業(yè)管理?xiàng)l例》明確了違反個(gè)人信息保護(hù)相關(guān)要求的法律責(zé)任。對(duì)于征信機(jī)構(gòu)、信息提供者以及信息使用者而言，如果違反《征信業(yè)管理?xiàng)l例》規(guī)定實(shí)施了非法獲取信息、違法提供或者出售信息、過失泄露信息、未按照約定用途使用個(gè)人信息等行為的，由監(jiān)管部門依照規(guī)定給予責(zé)令改正或者罰款或者沒收違法所得等行政處罰。如果給信息主體造成損失，應(yīng)當(dāng)依法承擔(dān)民事責(zé)任。構(gòu)成犯罪的，應(yīng)當(dāng)依法追究刑事責(zé)任。

對(duì)于采集企業(yè)信用信息，《征信業(yè)管理?xiàng)l例》也作出了相關(guān)規(guī)定。征信機(jī)構(gòu)可以通過信息主體、企業(yè)交易對(duì)方、行業(yè)協(xié)會(huì)提供的信息，政府有關(guān)部門依法已公開的信息，人民法院依法公布的判決、裁定等多個(gè)渠道采集企業(yè)信用信息。企業(yè)的董事、監(jiān)事、高級(jí)管理人員與其履行職務(wù)相關(guān)的信息，不作為個(gè)人信息，不適用關(guān)于個(gè)人信息的規(guī)定。但征信機(jī)構(gòu)不得采集法律、行政法規(guī)禁止采集的企業(yè)信息，不得侵犯企業(yè)的商業(yè)秘密。

征信業(yè)務(wù)在一定程度上能夠防范信用風(fēng)險(xiǎn)、保障交易安全，對(duì)于市場(chǎng)經(jīng)濟(jì)的發(fā)展意義重大。但在《征信業(yè)管理?xiàng)l例》頒布之前，征信活動(dòng)缺乏明確的法律規(guī)范，對(duì)信息主體的保護(hù)嚴(yán)重不足，不當(dāng)采集、使用信用信息的情況十分普遍。《征信業(yè)管理?xiàng)l例》的出臺(tái)明確了征信活動(dòng)的邊界，為個(gè)人信用信息的保護(hù)提供了依據(jù)，有利于促進(jìn)征信行業(yè)的規(guī)范化發(fā)展。