二、數據保護立法現狀

在現代社會治理中，將數據治理與個人信息保護放到更加重要的地位上已經成為國際社會的廣泛共識。于我國而言，盡管聚焦個人信息保護的專門法律——《個人信息保護法》于2021年8月20日方正式通過，但與數據保護相關的條文早在多年以前便開始散見于法律、司法解釋以及相關的部門規范性文件中，其具體的發展脈絡梳理如下：

（一）非刑事法律、法規、規章層面

1.時間發展脈絡

2012年3月15日，《規范互聯網信息服務市場秩序若干規定》（工業和信息化部令第20號）正式施行，其明確規定，除法律、行政法規另有規定外“能夠單獨或者與其他信息結合識別用戶的信息”的收集、使用、提供必須“經用戶同意”。就此，“可識別性”成為認定個人信息的核心標準，個人信息保護的客體開始逐漸明晰。

2012年12月28日，《全國人民代表大會常務委員會關于加強網絡信息保護的決定》正式發布生效，明確了國家對于網絡信息安全的保護，強調了公民個人信息收集過程中的合法、正當、必要原則以及防止個人信息泄露的義務，國家越發重視對于個人的網絡信息保護。

隨后的兩三年間，征信、工信、消費者保護等領域的立法都將個人信息保護納入了相應的法律文本中，如《征信業管理條例》、《電信和互聯網用戶個人信息保護規定》（工業和信息化部令第24號）、《消費者權益保護法》等。

2017年6月1日，《網絡安全法》正式實施。作為我國網絡和數據安全框架性的立法，它標志著我國網絡安全保護相關的眾多制度要求開始逐步建立。在安全等級保護方面，《網絡安全等級保護條例（征求意見稿）》、《網絡安全等級保護測評機構管理辦法》（公信安〔2018〕765號）等規定相繼發布或生效；在關鍵信息基礎設施保護方面，《關鍵信息基礎設施安全保護條例（征求意見稿）》發布；在數據出境方面，《個人信息和重要數據出境安全評估辦法（修訂稿）》《個人信息出境安全評估辦法（征求意見稿）》（以下簡稱《個人信息出境辦法（征求意見稿）》）等規定的制定，標志著數據跨境傳輸方面的制度要求逐漸完善。此外，國家網信辦還于2019年5月28日發布了《數據安全管理辦法（征求意見稿）》，以應對《數據安全法》出臺前的數據安全保護問題。

伴隨著《網絡安全法》的施行和相關監管實踐活動的開展，在積累了充分監管經驗的前提下，更具針對性的數據立法開始大量發布。如2019年10月1日起施行的《兒童個人信息網絡保護規定》（國家互聯網信息辦公室令第4號），對于兒童個人信息的保護采取了更加嚴格的手段，并基于兒童個人信息保護的特殊性對兒童個人信息保護進行了專門的規定。而針對一些App過度收集用戶個人信息，隱私條款不完善等問題，國家網信辦、工信部、公安部、國家市場監管總局四部委也于同年11月28日聯合發布了《App違法違規收集使用個人信息行為認定方法》（國信辦秘字〔2019〕191號）。該文件既為監管部門認定App違法違規收集使用個人信息行為提供了參考，也為App運營者自查自糾和網民社會監督提供了具體的實務指引。

2.地方立法情況

我國不同地區的網絡條件及技術能力存在較大差異，不同地區數據保護情況可能存在區別。實踐中，部分地方政府也嘗試通過制定地方法規的方式對數據處理活動進行規范。

例如，天津市網信辦發布的《天津市數據安全管理辦法（暫行）》于2019年8月1日正式施行，開啟了地方監管機關開展監管探索的嘗試。此后，《重慶市政務數據資源管理暫行辦法》《貴州省大數據安全保障條例》等地方規定也相繼出臺。可以預見的是，地方基于區域特點進行數據方面針對性立法的趨勢仍將延續。

3.行業立法情況

隨著新業務的出現和發展，數據保護亦在不同行業的立法中表現出專業化和精細化特征。

例如金融行業2011年5月1日發布的《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》（銀發〔2011〕17號），此后，《銀行業金融機構數據治理指引》（銀保監發〔2018〕22號）、《中國人民銀行金融消費者權益保護實施辦法》（中國人民銀行令〔2020〕第5號）相繼發布，對金融行業數據保護提出了具體的規范要求。

再如網約車行業和物流行業，《寄遞服務用戶個人信息安全管理規定》《網絡預約出租汽車經營服務管理暫行辦法（2019修正）》等行業立法相繼發布，其中涉及大量旨在規制行業中數據收集和使用等的具體條文。

這類行業立法進一步充實了數據保護的相關規則體系，對具體行業的數據保護提供了更具針對性的規范要求。

（二）刑事層面

1.相關刑事法律

在立法層面，我國對數據和個人信息的保護存在著“刑法先行”的立法模式。

1997年修訂的《刑法》規定了破壞計算機信息系統罪，侵入他人計算機刪除、修改、增加數據信息的行為開始受到刑事處罰。

2009年2月28日，《刑法修正案（七）》正式施行，其增設了出售、非法提供公民個人信息罪，非法獲取計算機信息系統數據、非法控制計算機信息系統罪等罪名。《刑法修正案（七）》不僅采用刑事手段規制金融機構等單位工作人員提供、獲取、交易個人信息的行為，也首次將侵入非國有計算機僅獲取數據的行為也納入了刑事規制的范圍之內，對于他人計算機信息的刪改行為不再成為入罪的必須要件，《刑法》對數據保護的力度得以加強。

2015年施行的《刑法修正案（九）》則修改了《刑法》第253條之一，放寬了犯罪主體的限制，提升了法定最高刑的刑期，并規定對于在履行職責或者提供服務過程中獲得的公民個人信息，非法出售或提供的行為，可以從重處罰。修改后，“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”被整合為“侵犯公民個人信息罪”。同時，《刑法修正案（九）》也增設了非法侵入計算機信息系統罪、破壞計算機信息系統罪等罪名的單位犯罪規定。

2.相關司法解釋

最高人民法院、最高人民檢察院和公安部出臺了一系列同數據保護相關的司法解釋，以指導相關司法案件的偵查、檢察和審判。

2013年4月23日，《最高人民法院、最高人民檢察院、公安部關于依法懲處侵害公民個人信息犯罪活動的通知》（公通字〔2013〕12號）要求堅決打擊侵害公民個人信息犯罪活動。該通知明確規定侵害公民信息犯罪的定罪量刑應當綜合考量非法出售、提供、獲取個人信息的次數、數量、手段和牟利數額等因素，與此同時，該文件對于具有可識別性的個人信息進行了較為細致的列舉，如姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學歷、履歷等。

2014年10月10日，《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》（法釋〔2014〕11號）正式施行，全方位地確定了利用信息網絡侵害個人信息案件的審理流程與審判要點。2021年1月1日，修訂后的《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》正式生效，進一步完善了相關審判流程和審判要點。

2017年6月1日，《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（法釋〔2017〕10號，以下簡稱《侵犯公民個人信息刑事案件解釋》）正式施行。該司法解釋對侵犯公民個人信息罪的構成要件、量刑標準和具體法律適用問題進行了系統性的規定。

其后兩年內，《最高人民檢察院檢察機關辦理侵犯公民個人信息案件指引》（高檢發偵監字〔2018〕13號）和《最高人民法院、最高人民檢察院關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》（法釋〔2019〕15號，以下簡稱《網絡犯罪解釋》）對于侵犯公民個人信息案件的具體構成要件，明確了更為細致的證據審查要求和更加清晰的定罪量刑標準。

（三）國家標準、指南層面

我國數據相關立法的一個鮮明特征便在于，通過大量的國家標準、指南為企業開展數據合規安排提供參考。國家標準在制定程序上相對更為靈活，更貼近不斷發展變化的數據活動的實踐需要。

2013年2月1日，《信息安全技術 公共及商用服務信息系統個人信息保護指南》（GB/Z 28828-2012）正式實施。這是我國關于個人信息保護的首個國家標準，該文件確立了信息處理的基本原則（目的明確原則、最少夠用原則、公開告知原則等），明確將個人信息區分為個人敏感信息和一般個人信息，并區別規制。

2017年12月29日，全國信息安全標準化技術委員會（以下簡稱信安標委）發布了《信息安全技術 個人信息安全規范》（GB/T 35273-2017，以下簡稱《個人信息安全規范（2017）》）。該標準系我國個人信息保護領域最重要、影響最為廣泛的國家標準，其對于個人信息的相關名詞進行了系統化、專業化的定義，并對于個人信息控制者在收集、保存、使用、共享、轉讓、公開披露等信息處理環節中的相關行為進行了規制。其后，根據實踐中個人信息收集、使用的變化及《個人信息安全規范（2017）》在實施過程中出現的問題，信安標委分別于2019年2月1日、6月25日及10月22日發布了《信息安全技術 個人信息安全規范 （草案）》（以下簡稱《個人信息安全規范（草案）》）和兩次征求意見稿，不斷根據監管實踐中發現的用戶畫像、個人生物識別信息收集等相關新問題對規范的內容進行調整，并于2020年3月7日發布了《信息安全技術 個人信息安全規范》（GBT 25273-2020，以下簡稱《個人信息安全規范》）正式稿。

在《網絡安全法》確立的具體制度方面，許多制度框架亦是通過國家標準來搭建和完善的。例如，在網絡安全等級保護方面，《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239-2019）、《信息安全技術 網絡安全等級保護測評要求》（GB/T 28448-2019）、《信息安全技術 網絡安全等級保護實施指南》（GB/T 25058-2019）、《信息安全技術 網絡安全等級保護安全設計技術要求》（GB/T 25070-2019）等多部國家標準均已實施，以全力推動我國網絡安全等級保護制度從“等保1.0”向“等保2.0”時代演進。再如，在《網絡安全法》和《個人信息安全規范》搭建的一系列收集、使用個人信息制度的基礎上，《信息安全技術 個人信息去標識化指南》（GB/T 37964-2019，以下簡稱《個人信息去標識化指南》）、《信息安全技術 大數據安全管理指南》（GB/T 37973-2019，以下簡稱《大數據安全管理指南》）、《信息安全技術 個人信息安全影響評估指南》（GB/T 39335-2020，以下簡稱《個人信息安全影響評估指南》）等配套國家標準也相繼生效或發布，為數據安全和個人信息保護提供了更加詳細和具體的指引。

（四）數據保護相關法律、法規、規章、規范性文件及國家標準匯總

當前我國數據保護相關的重要法律、法規、規章、規范性文件及國家標準參見下表：

續表

續表

續表

續表

續表