一、法律、行政法規

（一）《網絡安全法》

1.《網絡安全法》出臺背景及其重要意義

從2015年6月26日第十二屆全國人大常委會第十五次會議對《網絡安全法（草案）》首次進行審議，到2016年11月7日第十二屆全國人大常委會第二十四次會議表決通過，《網絡安全法》于2016年11月7日正式公布，并于2017年6月1日起施行。作為我國網絡安全領域的基本法，《網絡安全法》的出臺具有里程碑式的意義。

一方面，隨著信息化時代的發展，網絡早已融入每個人生活的方方面面，互聯網在給社會民眾帶來便利的同時，也帶來了諸多威脅，諸如網絡入侵、網絡詐騙、個人信息泄露等安全事件層出不窮。因此，急需網絡安全領域的統一立法以規制網絡參與者的行為，保護各類網絡主體的合法權益。另一方面，對于我國而言，網絡安全治理具有戰略性的意義。我國是一個網絡大國，同時也面臨著嚴重的網絡安全問題。[1]制定《網絡安全法》有利于建設網絡強國，維護我國的網絡主權，維護國家安全和促進國家發展。

《網絡安全法》便是在這樣一個背景下誕生的，其填補了我國網絡安全領域專門立法的空白，順應了時代發展的趨勢，是我國在信息網絡立法進程中邁出的重要一步。

2.《網絡安全法》的主要內容

《網絡安全法》條文上包括總則、網絡安全支持與促進、網絡運行安全、網絡信息安全、監測預警與應急處置、法律責任、附則，共7章79條。在具體適用上，凡是在我國境內建設、運營、維護和使用網絡，以及網絡安全的監督管理，均需遵守《網絡安全法》的相關規定。作為我國網絡空間治理的框架性、綜合性法律，《網絡安全法》明確了網絡空間主權原則、網絡產品和服務提供者的安全義務、網絡運營者的安全義務，進一步完善了個人信息保護規則，并且提出了關鍵信息基礎設施、數據出境、安全等級保護等多方面制度要求。

其中對于個人信息保護而言，《網絡安全法》明確了個人信息的含義，即個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。[2]同時，《網絡安全法》第四章用較大的篇幅專章規定了個人信息保護的相關要求。而在《網絡安全法》其他章節處，也零散分布著部分涉及個人信息保護的相關規定。總體而言，包括了收集、使用個人信息的規則，網絡運營者維護網絡信息安全的相關義務，網絡用戶所享有的個人信息保護相關權利，國家網信部門和有關部門網絡信息安全監督管理職責以及關于違反個人信息保護規定的法律責任承擔等內容。筆者將結合前述規定內容對《網絡安全法》所確定的個人信息保護相關規則進行分析。

3.《網絡安全法》中個人信息保護的相關規定

《網絡安全法》中關于個人信息保護的規定主要涉及如下內容：

（1）明確了個人信息收集、使用的相關原則

《網絡安全法》規定收集、使用個人信息應當遵循合法、正當、必要的原則。具體包括：在收集用戶個人信息時，應當公開收集、使用規則，明示收集、使用的目的、方式和范圍，并經被收集者同意。對于收集個人信息的范圍，規定了網絡運營者不得收集與其提供服務無關的個人信息。并且，網絡運營者應當根據法律、行政法規的規定和其與用戶之間的約定收集、使用個人信息。這也體現了關于個人信息保護的知情同意和特定目的原則，提高了個人信息收集過程中的透明度。《網絡安全法》同時規定了網絡運營者不得泄露、篡改、毀損其收集的個人信息。

在個人信息對外提供方面，《網絡安全法》明確規定了網絡運營者未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。本法中“經過處理無法識別特定個人且不能復原的”所包含的匿名化標準為大數據流通和交易環節提供了法律依據和要求。“經過處理無法識別”是保護個人信息的一種重要技術措施，其要求個人信息經過數據脫敏等技術手段處理后，過程必須不可逆，不能再從脫敏后的信息中識別出個人。

此外，《網絡安全法》對關鍵信息基礎設施的運營者提出了數據本地化的要求，即關鍵信息基礎設施的運營者在我國境內收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當進行安全評估。

（2）規定了網絡運營者在維護網絡信息安全方面的相關義務

包括：1）建立健全相關制度。網絡運營者應當建立健全用戶信息保護制度，對收集的用戶信息嚴格保密；同時，網絡運營者應當建立網絡信息安全投訴、舉報制度，及時受理并處理與網絡信息安全相關的投訴和舉報。2）網絡安全管理義務。網絡運營者應當采取技術措施和其他必要措施，確保收集的個人信息安全，防止信息泄露、毀損和丟失。《網絡安全法》同時提出了實名制要求，即網絡運營者在向用戶提供服務時，應當要求用戶提供真實身份信息，否則，不得為其提供相關服務。同時，網絡運營者應當加強對用戶發布的信息的管理，發現違法信息的，應當及時采取停止傳輸、消除等處置措施。3）監管配合義務。《網絡安全法》規定在發生或者可能發生個人信息泄露、毀損、丟失的情況時，網絡運營者應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。發現用戶發布違法信息的，也應當向有關部門報告。對于網信部門和有關部門依法實施的監督檢查，網絡運營者應當予以配合。

（3）明確了網絡用戶享有的個人信息相關權利

網絡用戶享有個人信息刪除權。個人信息刪除權，是指信息主體在具備法定理由的情形下，請求刪除個人信息的權利，通常包括三種情形：第一，收集使用行為不具有合法性，如在收集伊始就沒有得到用戶的同意且無其他法律依據、用戶的同意無效或已被撤銷，或收集使用的信息超出了法定或者約定的范圍；第二，收集使用個人信息的目的消失，使對個人信息的保存及處理、利用失去了必要性、正當性；第三，約定的收集、使用、保存個人信息的期限屆滿。[3]《網絡安全法》第43條對個人信息刪除權作出了具體規定：“個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息……”

網絡用戶還享有個人信息更正權。個人信息更正權，是指在個人信息收集、存儲、使用過程中，若個人信息不完整或者不準確時，個人有權要求及時改正、補充的權利，保障個人信息被合法、正確地使用。《網絡安全法》第43條對個人信息更正權作出了具體規定：個人“發現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正”。

（4）規定了違反個人信息保護相關要求的法律責任承擔

包括：1）民事責任，有關主體違反《網絡安全法》關于個人信息保護相關規定，給他人造成損害的，應當依法承擔民事責任。2）行政責任，網絡運營者、網絡產品或者服務的提供者違反個人信息保護相關規定，侵害個人信息依法得到保護的權利的，有關部門可以采取責令改正、警告、沒收違法所得、罰款、責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照等處罰。如果構成違反治安管理行為的，依法給予治安管理處罰。3）違反《網絡安全法》相關規定，構成犯罪的，應當依法追究刑事責任。

4.《網絡安全法》個人信息保護相關規定的簡要評述

在《網絡安全法》出臺以前，我國也有關于個人信息保護的相關立法，典型如工信部在2013年7月16日發布的《電信和互聯網用戶個人信息保護規定》等。但該等立法一方面層級較低，另一方面規定內容存在分散化、碎片化的情況，不足以滿足個人信息保護的法律規范需求。《網絡安全法》在此基礎上對于個人信息保護進行了總括式的規定，對于統一個人信息保護的規則適用，保障個人信息權利具有重大的意義，也對后續個人信息的其他立法起到了基礎性、導向性的作用。

與此同時，作為網絡安全領域整體性、綜合性的法律，《網絡安全法》對于個人信息保護仍然偏向于原則性的規定，在具體適用及其配套機制的規定上尚不健全，可操作性上有所欠缺。對于《網絡安全法》相關規定的實際執行而言，仍然有賴于其他細則規定的出臺予以進一步的明確。事實上，在《網絡安全法》正式發布之后，有關部門已經接連頒發了諸多配套規定及國家標準，筆者也將在下文中逐一進行分析。

（二）《數據安全法》

《數據安全法》于2021年6月10日由第十三屆全國人民代表大會常務委員會第二十九次會議表決通過，并將于2021年9月1日正式施行。從2020年6月28日《數據安全法（草案）》提交第十三屆全國人大常委會第二十次會議進行初次審議，到正式表決通過，歷時僅1年。《數據安全法》全文共7章，合計55條，規定了數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放等內容。作為我國數據安全領域的基礎性法律，《數據安全法》基本確立了我國數據安全立法的基本架構，其正式施行或將對數字經濟的發展產生全方位的影響。

《數據安全法》明確了較為寬泛的適用范圍，不僅將在中國境內開展的數據處理活動納入管轄，亦賦予了《數據安全法》必要的域外適用效力，即對于在中華人民共和國境外開展的、損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的數據處理活動，我國也會依《數據安全法》追究其法律責任。此舉符合當前數據競爭背景下通過國內立法擴張數據安全方面管轄權的國際潮流，也是國家提高在數據國際競爭中話語權和控制力的需要。

1.明確了數據安全管理工作的頂層設計和監管分工

《數據安全法》對數據安全管理工作的頂層設計和監管分工進行了明確規劃，在頂層設計上，《數據安全法》第5條明確將由中央國家安全領導機構總負責，并在此基礎上建立國家數據安全工作協調機制，統籌重要數據目錄制定、數據安全風險信息的獲取、分析、研判、預警等職責。在具體監管分工上，《數據安全法》明確了在集中領導下各部門、各地區分工負責的管理模式，要求國家網信部門統籌網絡數據安全監管，公安機關、國家安全機關依職責監管數據安全，各地區、各部門承擔主體責任，各行業主管部門承擔本行業監管職責。

2.完善了數據分類分級的保護制度

《數據安全法》的一大亮點在于完善了數據分類分級的保護制度。《網絡安全法》第21條首次在法律層面提出了“數據分類”的要求，而《數據安全法》則在此基礎上進一步完整地提出了數據分類分級保護制度，并明確站在國家角度、自上而下的數據分類分級制度將成為我國數據安全的基本性制度。在此基礎上，《數據安全法》明確了由國家數據安全工作協調機制統籌、協調重要數據目錄的制定工作，并規定在國家制定重要數據目錄的基礎上，由各地區、各部門在其職權范圍內確定各自地區、行業或領域的具體重要數據目錄。同時，《數據安全法》亦強調將對關系國家安全、國民經濟命脈、重要民生、重大公共利益等國家核心數據，將實行更加嚴格的管理制度。

3.確立了數據安全審查制度

《數據安全法》帶來的另一個變化是確立了數據安全審查制度，對影響或可能影響國家安全的數據活動進行國家安全審查。數據安全審查制度的審查范圍和重點是“是否影響或者可能影響國家安全的數據活動”。考慮到數據在國際競爭中的地位和作用，數據安全審查對于捍衛國家數據主權，維護數據安全有重要意義。此外，《數據安全法》亦明確“安全審查決定”為最終決定，這意味著數據安全審查決定一經作出即告生效，企業或可能沒有相應的救濟途徑，這也側面體現了數據安全審查的重要性。

4.對數據跨境流動加以規制

跨境數據流動在數字時代越發常態化，亦是《數據安全法》立法重點關注的方向。《數據安全法》用多個條文對跨境數據流動進行了規制，進一步明確了在跨境數據流動中的監管要求，規定了數據安全審查、數據出口管制、重要數據出境管理、對等反制措施等，并明確了向境外司法或執法機構提供數據的監管要求。

5.明確了數據安全相關的法律責任

對于參與數據處理活動的主體而言，違反《數據安全法》相關規定所引發的法律責任往往亦是關注的重點。《數據安全法》第六章規定了相對嚴苛的法律責任和行政處罰標準，這既體現了立法層面對數據安全問題的重視，也對組織和個人進行了相應的威懾。

（三）《個人信息保護法》

《個人信息保護法》于2021年8月20日由第十三屆全國人民代表大會常務委員會第三十次會議表決通過，于2021年11月1日正式施行。《個人信息保護法》共8章，74條，規定了個人信息處理規則、個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護責任的部門等內容。作為我國個人信息保護領域的基礎性法律，《個人信息保護法》在《網絡安全法》的基礎上，進一步確立了我國個人信息保護立法的基本框架，其正式施行或將對個人信息的使用和保護產生全方位的影響。

1.擴張了個人信息處理的合法性基礎

《個人信息保護法》帶來的最大變化在于大范圍擴張了個人信息處理的合法性基礎。從處理個人信息合法性基礎的演變看，《網絡安全法》第41條第1款明確了收集使用個人信息的合法性基礎為“被收集者同意”。自《網絡安全法》2017年6月1日生效以來，同意成為收集使用個人信息的唯一合法性基礎。《民法典》第1035條第1款第1項沿用了“同意”作為合法性基礎，同時增加了“法律、行政法規另有規定的除外”的例外規定。《個人信息保護法》即屬于此處“另有規定”的法律，其與《民法典》第1035第1款相銜接，并基于此增加了多項個人信息處理的合法性基礎。

從內容上看，《個人信息保護法》第13條增加了多項合法性基礎，包括“訂立或履行個人作為一方當事人的合同所必需或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”“為履行法定職責或者法定義務所必需”“為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需”“為公共利益實施新聞報道、輿論監督等行為在合理的范圍內處理個人信息”以及在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息。

2.明確了個人信息跨境流動的規則

個人信息作為數字經濟時代具有重要商業價值的資產，其商業價值僅有在流通中方才能夠體現。而在國際經濟交流與合作愈發頻繁和緊密的當下，個人信息的跨境流動幾乎不可避免。《網絡安全法》第37條要求關鍵信息基礎設施的運營者原則上應將收集的個人信息在境內存儲，確需向境外提供的，需進行安全評估。《個人信息保護法》在此基礎上進一步完善了個人信息跨境流動的相關規則。

根據《個人信息保護法》第38條規定，個人信息出境的前提是個人信息處理者因業務需要。在滿足該前提的情形下，個人信息處理者可以在滿足該條規定情形之一的情況下向境外提供個人信息：

其一，基于《個人信息保護法》第40條規定，當個人信息處理者為關鍵信息基礎設施運營者或者處理的個人信息達到國家網信部門規定數量時，其應當通過國家網信部門組織的安全評估，方可向境外傳輸個人信息。而當個人信息處理者并非關鍵信息基礎設施運營者且處理的個人信息數量未達到國家網信部門規定的數量時，則應當滿足本條第1款規定的其他三項條件中的任意一種。

其二，按照國家網信部門的規定經專業機構進行個人信息保護認證，對于認證實施的主體、認證實施的程序以及認證的具體內容有待國家網信部門出臺具體的規定加以明確。

其三，按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務，該條同歐盟的“標準合同條款”（Standard Contractual Clause）相似，旨在通過模板化的合同條款明確雙方權利義務，并要求境外接收方提供必要的個人信息保護水平。

其四，法律、行政法規或者國家網信部門規定的其他條件。

3.完善了信息主體所享有的權利

《網絡安全法》與《民法典》規定了信息主體所享有的一系列權利，《個人信息保護法》在此基礎上重申了信息主體享有查閱、復制、更正、刪除等的權利，并首次從法律層面引入了“可攜帶權”的概念，明確信息主體在符合規定條件的情形下可以請求將個人信息轉移至其指定的個人信息處理者。信息主體權利內容的完善不僅意味著信息主體實現對個人信息控制的路徑更加清晰，也意味著個人信息處理者應當采取必要的措施，及時地響應信息主體的權利請求，為信息主體行使權利提供必要的保障和便利。

4.明確了個人信息保護的監管框架

《個人信息保護法》不僅是一部明確公民個人信息權益保護的權利法，還是規定各行政部門個人信息保護職責的管理法，其第六章對履行個人信息保護責任的部門及其職責進行了規定，進一步明確了個人信息保護的監管框架。

在中央政府層面，《個人信息保護法》明確了國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國家網信部門在個人信息保護和相關監督管理方面已經積累了相當豐富的實踐經驗，通過本條進一步明確其職能有助于建立集中統一高效的個人信息保護監管體系。同時，國務院各有關部門，包括工業和信息化部、公安部、市場監督管理總局等主管部門以及中國人民銀行等行業主管部門在各自職權范圍內負責個人信息保護和監管工作，亦兼顧了各部門和各行業的差異性。

在地方政府層面，《個人信息保護法》明確了由縣級以上地方人民政府有關部門履行個人信息保護和監督管理職責。考慮到個人信息保護工作責任繁雜，事務眾多，而地方人民政府在前期個人信息保護監管中已經積累了相對豐富的經驗，明確地方人民政府監管職責，引導地方人民政府更多參與到個人信息保護監管中來，能夠更好地促進個人信息保護工作的協同開展。

5.回應了實踐中的新情況、新問題

自《網絡安全法》于2017年施行以來，實踐中亦出現了很多新問題、新場景，在該等問題或場景下，個人信息保護問題呈現出了一定的特殊性。《個人信息保護法》回應了這些實踐中出現的新情況或新問題，并對特定情形下的個人信息保護作出了相應的規定。

例如，針對利用個人信息進行自動化決策的情形，《個人信息保護法》第24條要求個人信息處理者應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。如果通過自動化決策方式向個人進行信息推送、商業營銷的，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。如果通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

再如，針對實踐中常見的公共場所人臉識別問題，《個人信息保護法》第27條明確，若個人信息處理者確要在公共場所安裝圖像采集、個人身份識別設備的，僅可出于維護公共安全所必需的目的，且應當設置顯著的提示標識。同時，在未取得個人單獨同意的情形下，所收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他目的。

（四）《民法典》

《民法典》于2020年5月28日正式發布，于2021年1月1日生效。其中，《民法典》第111條沿用了《民法總則》第111條的規定，強調自然人的個人信息受法律保護。除此之外，《民法典》在第四編人格權編第六章專章規定了隱私權和個人信息保護，明確了個人信息的定義、個人信息的處理原則和條件、處理個人信息的免責事由、自然人查閱、復制、更正刪除個人信息的權利、信息處理者的信息安全保護義務、未經同意不得對外提供個人信息等內容。

總體而言，《民法典》中個人信息保護的相關規定多是在《網絡安全法》規定的基礎上加以完善，整體規定偏原則性，具體適用仍然需要結合后續出臺的個人信息保護相關立法和標準的規定。接下來，將對重要變化內容進行梳理和解析。

1.擴張了個人信息處理行為的規制范圍

相較于《網絡安全法》第41條規制網絡運營者的個人信息收集使用行為，《民法典》第1035條未設置主語且將規制的行為范圍擴張至包括收集、存儲、使用、加工、傳輸、提供、公開等在內的全部個人信息處理行為，意味著個人信息全生命周期的處理行為均納入該條的規制范圍，而各環節對應的主體也都受到該條的約束。可以看出，《民法典》對個人信息的保護更加全面，也更加能夠滿足新形勢下的個人信息保護需求。

2.增加了處理個人信息的免責事由

相較于《網絡安全法》，《民法典》新增第1036條作為處理個人信息的免責事由。需要強調的是，免責事由就意味著該條規定的三種情形是具有違法性的，只不過通過該條對其進行了免責。而且，該條規定的三種情形均有一個限定語“合理”，具體來說，三種情形分別使用了“合理實施”和“合理處理”的表述，但如何界定是否“合理”，存在較大的不確定性，可能要根據個案進行具體判定。因此，企業要避免對該條的過分依賴，而應主要依據《民法典》第1035條的規定處理個人信息，否則一旦無法適用該條規定，違法性相對應的后果就是企業需要承擔相應的責任。

3.強化了自然人查閱、復制個人信息的權利

相較于《網絡安全法》第43條規定了個人享有刪除、更正個人信息的權利，《民法典》第1037條增加規定了自然人查閱、復制個人信息的權利，意味著信息處理者如果拒絕自然人查閱、復制個人信息的要求，可能構成對該條規定的違反。但從實踐落地的角度，該條如不加以規范和限制，可能會給信息處理者造成額外的負擔，有待相關細則或司法實踐進一步明確該條的具體適用標準。

（五）《消費者權益保護法》

1993年發布的《消費者權益保護法》中并未對個人信息保護相關問題作出規定。但隨著市場經濟和信息化社會的發展，一方面經營者利用收集的消費者信息改進其生產經營活動，創造了巨大的經濟價值；另一方面消費者個人信息被濫用、泄露等問題層出不窮，個人信息保護問題日益得到重視。

因此，在2013年修訂的《消費者權益保護法》中對個人信息保護相關問題作出了明確規定。明確了消費者享有個人信息依法得到保護的權益，同時，對經營者收集、使用消費者個人信息提出了合法、正當、必要的原則性要求，明確了經營者收集使用消費者個人信息的規則，同時，要求經營者及其工作人員對消費者個人信息予以保密，采取必要的措施保障信息安全。《消費者權益保護法》進一步規定了經營者侵害消費者個人信息依法得到保護的權利的，應當停止侵害、恢復名譽、消除影響、賠禮道歉，并賠償損失，同時，由相關部門依法予以行政處罰。

《消費者權益保護法》中涉及個人信息保護的相關條款為：

續表

《消費者權益保護法》對于個人信息保護偏向于原則性規定，在《消費者權益保護法》的實施過程中，普遍反映經營者收集、使用消費者個人信息的制度過于原則，執法主體不明確，法律責任不到位，消費者個人信息被違法收集使用的勢頭還在蔓延。目前的狀況是，消費者舉證難，監管部門和消協組織取證難，即使查實的案件也存在追責難、處罰輕的情況，難以起到震懾作用。[4]

2016年，工商總局制定了《消費者權益保護法實施條例（征求意見稿）》。2016年11月16日對工商總局上報國務院的《消費者權益保護法實施條例（送審稿）》進行了公開征求意見。在《消費者權益保護法》的基礎上，《消費者權益保護法實施條例（送審稿）》中對個人信息保護的相關問題進行了細化規定，主要包括：

1.明確了消費者個人信息的定義。《消費者權益保護法》并未對消費者個人信息的概念作出界定，在《消費者權益保護法實施條例（送審稿）》第22條則以列舉＋“可識別”規定兜底的方式對消費者個人信息的概念進行了定義：“消費者個人信息是指經營者在提供商品或者服務活動中收集的消費者姓名、性別、職業、出生日期、身份證件號碼、住址、聯系方式、收入和財產狀況、健康狀況、消費情況、生物識別特征等能夠單獨或者與其他信息結合識別消費者的信息。”

2.針對經營者信息收集的必要性原則，《消費者權益保護法實施條例（送審稿）》明確提出了“經營者不得收集與經營業務無關的信息”。

3.規定了消費者享有刪除、修改個人信息的權利。根據《消費者權益保護法實施條例（送審稿）》第22條規定，除法律法規另有規定外，消費者明確要求經營者刪除、修改其個人信息的，經營者應當按照消費者的要求予以刪除、修改。

4.針對經營者向他人提供消費者個人信息，《消費者權益保護法實施條例（送審稿）》同樣規定應當經過消費者同意。但同時提出了“經過處理無法識別特定消費者且不能復原的除外”。該條規定為經營者依法使用匿名化的個人信息留下了一定空間。

5.細化了關于商業性信息推送的規定。《消費者權益保護法實施條例（送審稿）》在《消費者權益保護法》的基礎上進一步規定了“未經消費者明確同意或者請求，經營者不得向消費者的固定電話、移動電話等通訊設備，電腦等電子終端或者電子郵箱、網絡硬盤等電子信息空間發送商業性電子信息或者撥打商業性推銷電話。消費者同意經營者向其發送商業性電子信息或者撥打商業性推銷電話的，除雙方另有約定以外，不得要求消費者承擔費用”。

但從2016年11月16日對外征求意見以來，《消費者權益保護法實施條例》至今尚未發布正式版，筆者也期待《消費者權益保護法實施條例》的正式出臺，能夠進一步加強消費者個人信息保護。

（六）《電子商務法》

我國電子商務發展迅速，足不出戶的購物方式成了社會公眾的消費新時尚，但電子商務在給社會民眾帶來便利的同時，也對電子商務消費者的個人信息保護帶來了巨大的挑戰。在電子商務的發展過程當中，個人信息被濫用、泄露等問題屢屢發生，因此，《電子商務法》制定之初，個人信息保護問題就成了重點討論的內容之一。《電子商務法》于2018年8月31日正式發布，并于2019年1月1日起生效實施，全文圍繞電子商務經營者、電子商務消費者（用戶）以及有關主管部門各自的權利義務對個人信息保護相關內容進行了規定，主要包括：

1.個人信息的收集、使用。《電子商務法》對于個人信息的收集、使用僅作了原則性規定，要求電子商務經營者在收集、使用個人信息時應當遵守有關法律、行政法規的規定。我國《網絡安全法》等法律規范均對個人信息的收集、使用作出了相關規定，電子商務經營者在具體場景下收集、使用個人信息時應當遵照該等法律法規的規定進行，如在收集用戶個人信息時，應當公開收集、使用規則，明示收集、使用的目的、方式和范圍，并經被收集者同意。

2.關于個人信息的保存期限。《網絡安全法》并未明確規定用戶信息的保存期限要求，僅規定網絡運營者應當按照規定留存相關的網絡日志不少于6個月。但《電子商務法》中明確要求電子商務平臺經營者應當記錄、保存平臺上的商品和服務信息、交易信息，保存時間自交易完成之日起不少于3年。

3.關于個性化推薦。個性化推薦在電子商務場景下十分普遍，電子商務經營者利用其掌握的用戶信息，通過大數據分析電子商務消費者的興趣愛好，有針對性地進行商品、服務的推送以及搜索結果的展示。通常與個性化推薦相關的場景還包括“大數據殺熟”，指電子商務經營者利用大數據分析結果，對不同用戶采取不同的定價策略，甚至出現同一商品或服務對于忠誠度較高的老用戶價格要高于新用戶的情況，嚴重侵害了用戶的權益。對于這一問題，《電子商務法》明確規定了電子商務經營者根據消費者的興趣愛好、消費習慣等特征向其提供商品或服務的搜索結果的，應當同時提供不針對其個人特征的選項，以保護消費者的合法權益。

4.用戶的相關權利。《電子商務法》第24條明確規定了用戶享有信息查詢、更正、刪除以及注銷的權利。[5]同時，要求電子商務經營者明示用戶行使前述權利的方式、程序，不得設置不合理的條件。在具體程序上，《電子商務法》要求電子商務經營者收到用戶關于信息查詢、更正、刪除申請的，應當在核實身份后及時履行義務，用戶申請注銷的，應當立即刪除用戶信息。

5.主管部門的權利義務。《電子商務法》規定了有關主管部門有權依法要求電子商務經營者提供電子商務數據信息。但有關主管部門應當采取必要的措施保護數據信息的安全，不得泄露、出售或者非法向他人提供。

電子商務法的正式實施對于電子商務發展過程中個人信息的利用以及保護具有重要意義。對于電子商務經營者而言，一方面要遵循《電子商務法》關于個人信息保護的相關規定，另一方面除了《電子商務法》外，我國《網絡安全法》等其他法律法規也對個人信息保護作出了相關規定，電子商務經營者也應當加以遵循。同時，《電子商務法》對個人信息保護的相關規定更偏原則性和倡導性，筆者也期待后續關于電子商務場景下個人信息利用與保護的相關細則、標準的出臺，以便更好地規范電子商務經營者收集、使用用戶個人信息的行為。

《電子商務法》關于個人信息保護的相關條款：

續表

（七）《刑法》

《刑法》是保護公民權利、維護社會穩定發展的有力武器，在《刑法》中設置網絡信息安全保護的相關條款，一方面有利于增強民眾的防范意識，明確涉及信息安全的相關行為邊界；另一方面隨著信息化社會的發展，侵害公民個人信息的犯罪行為也隨之增加，因此，通過《刑法》的規定明確對該類犯罪行為的打擊，也十分有必要。

我國《刑法》中涉及信息安全保護的主要罪名及具體規定包括：

續表

續表

續表

接下來，筆者將重點對實踐中經常出現的“侵犯公民個人信息罪”以及“拒不履行網絡安全義務罪”加以分析，其他部分罪名筆者將結合相關場景（比如“爬蟲”技術應用）在本書后續章節中展開闡述。

1.侵犯公民個人信息罪

《刑法》第253條之一規定了“侵犯公民個人信息罪”。回顧該條罪名的制定過程，最早可以追溯到2009年的《刑法修正案（七）》，其中規定了：“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。竊取或者以其他方法非法獲取上述信息，情節嚴重的，依照前款的規定處罰。單位犯前兩款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰。”

為了更好地保護個人信息，2015年《刑法修正案（九）》又對該條款進行了修改。將犯罪主體從特殊主體擴大到一般主體；從重處罰“將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的”的行為；同時將本罪最高刑期由“三年以下有期徒刑或者拘役”，修改為“三年以上七年以下有期徒刑”；取消了非法獲取公民個人信息的“情節嚴重”的入罪條件。這一系列改動將非法出售合法渠道獲取的公民個人信息的行為也囊括進來，擴大了犯罪主體范圍，體現了刑法對于保護公民個人信息力度的加強。

具體分析本罪的構成要件，構成本罪需相關主體違反國家有關規定，實施了向他人出售或者提供公民個人信息、竊取或者以其他方法非法獲取公民個人信息的行為。從侵害對象或者法益看，行為對象必須是公民個人信息，如果是其他對象，則可能構成刑法規制的其他犯罪，比如侵犯商業秘密罪。同時，本罪亦存在單位犯罪的可能。

但本罪規定亦存在不少模糊之處，比如公民個人信息的內涵和范圍如何界定；入罪條件中“情節嚴重”的標準等問題，給本罪在司法實踐中的具體適用造成了一定困難。也因此，2017年5月8日，最高人民法院、最高人民檢察院發布了《侵犯公民個人信息刑事案件解釋》（法釋〔2017〕10號）對上述相關問題作出了進一步的明確規定，筆者將在下文中詳細展開討論。

2.拒不履行信息網絡安全管理義務罪

《刑法》第286條之一對拒不履行信息網絡安全管理義務罪作出了相應規定。該條為2015年8月29日發布的《刑法修正案（九）》中新增罪名，本罪的犯罪主體為“網絡服務提供者”，單位亦可以構成本罪。在《刑法修正案（九）》之前，我國《刑法》并未明確規定網絡服務提供者犯罪的刑事責任，因此，該條規定在一定程度上填補了《刑法》規制的空白，也有利于增強網絡服務提供者履行網絡安全管理義務的意識。

本罪在客觀方面表現為網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施后拒不改正，同時，符合下列情形之一的：（1）致使違法信息大量傳播；（2）致使用戶信息泄露，造成嚴重后果的；（3）致使刑事案件證據滅失，情節嚴重的；（4）有其他嚴重情節的。在理解本罪客觀方面構成要件上，有以下三點需要特別注意：

（1）信息網絡安全管理義務

我國在很長一段時間內，關于網絡服務提供者的信息網絡安全義務的范圍缺乏系統的規定，散見于諸多法律、行政法規當中。而在《網絡安全法》出臺之后，對網絡服務提供者的安全管理義務也作出了相應的規定。如《網絡安全法》要求網絡服務提供者應當采取防范計算機病毒、網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；加強對其用戶發布的信息的管理，發現法律、行政法規禁止發布或者傳輸的信息的，應當立即停止傳輸該信息，采取消除等處置措施。

（2）前提條件需經過行政部門處理

“經監管部門責令采取改正措施而拒不改正”是構成本罪的前提條件。信息網絡安全監管部門事前未依據法律、行政法規規定發出指令；相關指令沒有法律、行政法規依據；或者不是根據法律、行政法規而僅依據部門規章發出改正通知；又或者僅僅發出口頭整改通知，甚至違法發出指令的，網絡服務提供者均不構成該罪。[6]

（3）三種特定的危害情形

本罪是結果犯，相關主體的行為需導致出現了條文規定的特定結果，方才構成犯罪。《刑法修正案（九）》列舉了三種特定危害情形，并以有其他嚴重情節作為兜底。但該等關于危害情形的規定仍然存在模糊之處，比如“致使違法信息大量傳播”中的“違法信息”如何認定；“致使用戶信息泄露，造成嚴重后果的”中的“嚴重后果”標準為何等均不明確，這無疑給該條罪名的適用造成了困難。而直到2019年10月21日發布的《網絡犯罪解釋》才對前述相關問題作出了回應，筆者也將在下文中具體闡述。

（八）《征信業管理條例》

2013年3月15日，由國務院制定的《征信業管理條例》正式生效，《征信業管理條例》適用于在我國境內從事個人或企業信用信息的采集、整理、保存、加工，并向信息使用者提供的征信業務及相關活動，規范對象主要是征信機構的業務活動及對征信機構的監督管理。個人征信業務中重要的一環是對個人信用信息的收集和使用，因而該條例也著重對這一部分進行了規范。個人信用信息通常包括：（1）個人基本信息，指自然人身份識別信息、職業和居住地址等信息；（2）個人信貸交易信息，指商業銀行提供的自然人在個人貸款、貸記卡、準貸記卡、擔保等信用活動中形成的交易記錄；（3）反映個人信用狀況的其他信息，指除信貸交易信息之外的反映個人信用狀況的相關信息。[7]

《征信業管理條例》明確了征信機構、信息提供者、信息使用者以及信息主體在征信業務活動中的權利義務，從采集、查詢、使用、保存及提供等各環節明確了征信業務的開展規則。

對于采集個人信息，《征信業管理條例》明確規定了除依法公開的信息外，采集個人信息應當經信息主體本人同意。規定了禁止征信機構采集的個人信息范圍，包括個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規規定禁止采集的其他個人信息。同時規定，除明確告知信息主體可能的不利后果并取得其同意外，征信機構不得采集個人的收入、存款、有價證券、商業保險、不動產的信息和納稅數額信息。在向征信機構查詢個人信息時，《征信業管理條例》規定除了法律規定可以不經同意查詢的外，都應當取得信息主體本人的書面同意并明確約定用途。對于個人信息的使用，根據《征信業管理條例》的規定，信息使用者應當按照與個人信息主體約定的用途使用個人信息，不得用作約定以外的用途。《征信業管理條例》明確要求征信機構在中國境內采集的信息的保存應當在中國境內進行，對個人不良信息的保存期限，自不良行為或者事件終止之日起為5年；超過5年的，應當予以刪除。此外，在對外提供個人信息方面，《征信業管理條例》規定信息提供者向征信機構提供個人不良信息，應當事先告知信息主體本人。信息使用者未經信息主體同意不得向第三方提供個人信息。同時，要求征信機構如需向境外組織或者個人提供信息，應當遵守法律、行政法規和國務院征信業監督管理部門的有關規定。

《征信業管理條例》同時明確了個人信息主體享有的權利，包括：1.同意權。在采集、查詢、向第三方提供信息時均應當取得個人信息主體的同意。2.知情權。信息提供者向征信機構提供個人不良信息時，應當事先告知信息主體本人。信息主體可以向征信機構查詢自身信息，并且每年有兩次免費獲取本人信用報告的權利。3.異議權。個人信息主體如果認為征信機構采集、保存、提供的信息存在錯誤、遺漏的，可以向征信機構或者信息提供者提出異議，要求更正。4.救濟權。如果個人信息主體認為征信機構或者信息提供者、信息使用者侵害其合法權益的，可以向所在地的國務院征信業監督管理部門派出機構投訴。如果認為前述主體侵害了其合法權益的，也可以直接向人民法院起訴。

《征信業管理條例》明確了違反個人信息保護相關要求的法律責任。對于征信機構、信息提供者以及信息使用者而言，如果違反《征信業管理條例》規定實施了非法獲取信息、違法提供或者出售信息、過失泄露信息、未按照約定用途使用個人信息等行為的，由監管部門依照規定給予責令改正或者罰款或者沒收違法所得等行政處罰。如果給信息主體造成損失，應當依法承擔民事責任。構成犯罪的，應當依法追究刑事責任。

對于采集企業信用信息，《征信業管理條例》也作出了相關規定。征信機構可以通過信息主體、企業交易對方、行業協會提供的信息，政府有關部門依法已公開的信息，人民法院依法公布的判決、裁定等多個渠道采集企業信用信息。企業的董事、監事、高級管理人員與其履行職務相關的信息，不作為個人信息，不適用關于個人信息的規定。但征信機構不得采集法律、行政法規禁止采集的企業信息，不得侵犯企業的商業秘密。

征信業務在一定程度上能夠防范信用風險、保障交易安全，對于市場經濟的發展意義重大。但在《征信業管理條例》頒布之前，征信活動缺乏明確的法律規范，對信息主體的保護嚴重不足，不當采集、使用信用信息的情況十分普遍。《征信業管理條例》的出臺明確了征信活動的邊界，為個人信用信息的保護提供了依據，有利于促進征信行業的規范化發展。