一、法律、行政法規(guī)

（一）《網(wǎng)絡安全法》

1.《網(wǎng)絡安全法》出臺背景及其重要意義

從2015年6月26日十二屆全國人大常委會第十五次會議對《網(wǎng)絡安全法（草案）》首次進行審議，到2016年11月7日十二屆全國人大常委會第二十四次會議表決通過，《網(wǎng)絡安全法》于2016年11月7日正式公布，并于2017年6月1日起施行。作為我國網(wǎng)絡安全領域的基本法，《網(wǎng)絡安全法》的出臺具有里程碑式的意義。

一方面，隨著信息化時代的發(fā)展，網(wǎng)絡早已融入每個人生活的方方面面，互聯(lián)網(wǎng)在給社會民眾帶來便利的同時，也帶來了諸多威脅，諸如網(wǎng)絡入侵、網(wǎng)絡詐騙、個人信息泄露等安全事件層出不窮。因此，急需網(wǎng)絡安全領域的統(tǒng)一立法以規(guī)制網(wǎng)絡參與者的行為，保護各類網(wǎng)絡主體的合法權益。另一方面，對于我國而言，網(wǎng)絡安全治理具有戰(zhàn)略性的意義。我國是一個網(wǎng)絡大國，同時也面臨著嚴重的網(wǎng)絡安全問題。[1]制定《網(wǎng)絡安全法》有利于建設網(wǎng)絡強國，維護我國的網(wǎng)絡主權，維護國家安全和促進國家發(fā)展。

《網(wǎng)絡安全法》便是在這樣一個背景下誕生的，其填補了我國網(wǎng)絡安全領域專門立法的空白，順應了時代發(fā)展的趨勢，是我國在信息網(wǎng)絡立法進程中邁出的重要一步。

2.《網(wǎng)絡安全法》的主要內(nèi)容

《網(wǎng)絡安全法》條文上包括總則、網(wǎng)絡安全支持與促進、網(wǎng)絡運行安全、網(wǎng)絡信息安全、監(jiān)測預警與應急處置、法律責任、附則，共7章79條。在具體適用上，凡是在我國境內(nèi)建設、運營、維護和使用網(wǎng)絡，以及網(wǎng)絡安全的監(jiān)督管理，均需遵守《網(wǎng)絡安全法》的相關規(guī)定。作為我國網(wǎng)絡空間治理的框架性、綜合性法律，《網(wǎng)絡安全法》明確了網(wǎng)絡空間主權原則、網(wǎng)絡產(chǎn)品和服務提供者的安全義務、網(wǎng)絡運營者的安全義務，進一步完善了個人信息保護規(guī)則，并且提出了關鍵信息基礎設施、數(shù)據(jù)出境、安全等級保護等多方面制度要求。

其中對于個人信息保護而言，《網(wǎng)絡安全法》明確了個人信息的含義，即個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。[2]同時，《網(wǎng)絡安全法》第4章用較大的篇幅專章規(guī)定了個人信息保護的相關要求。而在《網(wǎng)絡安全法》其他章節(jié)處，也零散分布著部分涉及個人信息保護的相關規(guī)定。總體而言，包括了收集、使用個人信息的規(guī)則，網(wǎng)絡運營者維護網(wǎng)絡信息安全的相關義務，網(wǎng)絡用戶所享有的個人信息保護相關權利，國家網(wǎng)信部門和有關部門網(wǎng)絡信息安全監(jiān)督管理職責以及關于違反個人信息保護規(guī)定的法律責任承擔等內(nèi)容。筆者將結合前述規(guī)定內(nèi)容對《網(wǎng)絡安全法》所確定的個人信息保護相關規(guī)則進行分析。

3.《網(wǎng)絡安全法》中個人信息保護的相關規(guī)定

《網(wǎng)絡安全法》中關于個人信息保護的規(guī)定主要涉及如下內(nèi)容：

（1）明確了個人信息收集、使用的相關原則

《網(wǎng)絡安全法》規(guī)定收集、使用個人信息應當遵循合法、正當、必要的原則。具體包括：在收集用戶個人信息時，應當公開收集、使用規(guī)則，明示收集、使用的目的、方式和范圍，并經(jīng)被收集者同意。對于收集個人信息的范圍，規(guī)定了網(wǎng)絡運營者不得收集與其提供服務無關的個人信息。并且，網(wǎng)絡運營者應當根據(jù)法律、行政法規(guī)的規(guī)定和其與用戶之間的約定收集、使用個人信息。這也體現(xiàn)了關于個人信息保護的知情同意和特定目的原則，提高了個人信息收集過程中的透明度。《網(wǎng)絡安全法》同時規(guī)定了網(wǎng)絡運營者不得泄露、篡改、毀損其收集的個人信息。

在個人信息對外提供方面，《網(wǎng)絡安全法》明確規(guī)定了網(wǎng)絡運營者未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復原的除外。本條中“經(jīng)過處理無法識別特定個人且不能復原的”所包含的匿名化標準為大數(shù)據(jù)流通和交易環(huán)節(jié)提供了法律依據(jù)和要求。“經(jīng)過處理無法識別”是保護個人信息的一種重要技術措施，其要求個人信息經(jīng)過數(shù)據(jù)脫敏等技術手段處理后，過程必須不可逆，不能再從脫敏后的信息中識別出個人。關于這一點，信息化標準委員會于2017年8月25日發(fā)布了《個人信息去標識化指南（征求意見稿）》，明確了去標識化的過程和管理辦法。

此外，《網(wǎng)絡安全法》對關鍵信息基礎設施的運營者提出了數(shù)據(jù)本地化的要求，即關鍵信息基礎設施的運營者在我國境內(nèi)收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要，確需向境外提供的，應當進行安全評估。

（2）規(guī)定了網(wǎng)絡運營者在維護網(wǎng)絡信息安全方面的相關義務

包括：1）建立健全相關制度。網(wǎng)絡運營者應當建立健全用戶信息保護制度，對收集的用戶信息嚴格保密；同時，網(wǎng)絡運營者應當建立網(wǎng)絡信息安全投訴、舉報制度，及時受理并處理與網(wǎng)絡信息安全相關的投訴和舉報。2）網(wǎng)絡安全管理義務。網(wǎng)絡運營者應當采取技術措施和其他必要措施，確保收集的個人信息安全，防止信息泄露、毀損和丟失。《網(wǎng)絡安全法》同時提出了實名制要求，即網(wǎng)絡運營者在向用戶提供服務時，應當要求用戶提供真實身份信息，否則，不得為其提供相關服務。同時，網(wǎng)絡運營者應當加強對用戶發(fā)布的信息的管理，發(fā)現(xiàn)違法信息的，應當及時采取停止傳輸、消除等處置措施。3）監(jiān)管配合義務。《網(wǎng)絡安全法》規(guī)定在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，網(wǎng)絡運營者應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關主管部門報告。發(fā)現(xiàn)用戶發(fā)布違法信息的，也應當向有關部門報告。對于網(wǎng)信部門和有關部門依法實施的監(jiān)督檢查，網(wǎng)絡運營者應當予以配合。

（3）明確了網(wǎng)絡用戶享有的個人信息相關權利

網(wǎng)絡用戶享有個人信息刪除權。個人信息刪除權，是指信息主體在具備法定理由的情形下，請求刪除個人信息的權利，通常包括三種情形：第一，收集使用行為不具有合法性，如在收集伊始就沒有得到用戶的同意且無其他法律依據(jù)、用戶的同意無效或已被撤銷，或收集使用的信息超出了法定或者約定的范圍；第二，收集使用個人信息的目的消失，使對個人信息的保存及處理、利用失去了必要性、正當性；第三，約定的收集、使用、保存?zhèn)€人信息的期限屆滿。[3]《網(wǎng)絡安全法》第43條對個人信息刪除權作出了具體規(guī)定：“個人發(fā)現(xiàn)網(wǎng)絡運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的，有權要求網(wǎng)絡運營者刪除其個人信息。”

網(wǎng)絡用戶還享有個人信息更正權。個人信息更正權，是指在個人信息收集、存儲、使用過程中，若個人信息不完整或者不準確時，個人有權要求及時改正、補充的權利，保障個人信息被合法、正確地使用。《網(wǎng)絡安全法》第43條對個人信息更正權作出了具體規(guī)定：個人“發(fā)現(xiàn)網(wǎng)絡運營者收集、存儲的其個人信息有錯誤的，有權要求網(wǎng)絡運營者予以更正。網(wǎng)絡運營者應當采取措施予以刪除或者更正”。

（4）規(guī)定了違反個人信息保護相關要求的法律責任承擔

包括：1）民事責任，有關主體違反《網(wǎng)絡安全法》關于個人信息保護相關規(guī)定，給他人造成損害的，應當依法承擔民事責任。2）行政責任。網(wǎng)絡運營者、網(wǎng)絡產(chǎn)品或者服務的提供者違反個人信息保護相關規(guī)定，侵害個人信息依法得到保護的權利的，有關部門可以采取責令改正、警告、沒收違法所得、罰款、責令暫停相關業(yè)務、停業(yè)整頓、關閉網(wǎng)站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照等處罰。如果構成違反治安管理行為的，依法給予治安管理處罰。3）違反《網(wǎng)絡安全法》相關規(guī)定，構成犯罪的，應當依法追究刑事責任。

4.《網(wǎng)絡安全法》個人信息保護相關規(guī)定的簡要評述

在《網(wǎng)絡安全法》出臺以前，我國也有關于個人信息保護的相關立法，典型如工信部在2013年7月16日發(fā)布的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等。但該等立法一方面層級較低，另一方面規(guī)定內(nèi)容存在分散化、碎片化的情況，不足以滿足個人信息保護的法律規(guī)范需求。《網(wǎng)絡安全法》在此基礎上對于個人信息保護進行了總括式的規(guī)定，對于統(tǒng)一個人信息保護的規(guī)則適用，保障個人信息權利具有重大的意義，也對后續(xù)個人信息的其他立法起到了基礎性、導向性的作用。

與此同時，作為網(wǎng)絡安全領域整體性、綜合性的法律，《網(wǎng)絡安全法》對于個人信息保護仍然偏向于原則性的規(guī)定，在具體適用及其配套機制的規(guī)定上尚不健全，可操作性上有所欠缺。對于《網(wǎng)絡安全法》相關規(guī)定的實際執(zhí)行而言，仍然有賴于其他細則規(guī)定的出臺予以進一步的明確。事實上，在《網(wǎng)絡安全法》正式發(fā)布之后，有關部門已經(jīng)接連頒發(fā)了諸多配套規(guī)定及國家標準，筆者也將在下文中逐一進行分析。

（二）《刑法》

《刑法》是保護公民權利、維護社會穩(wěn)定發(fā)展的有力武器，在《刑法》中設置網(wǎng)絡信息安全保護的相關條款，一方面有利于增強民眾的防范意識，明確涉及信息安全的相關行為邊界。另一方面隨著信息化社會的發(fā)展，侵害公民個人信息的犯罪行為也隨之增加，因此，通過《刑法》的規(guī)定明確對該類犯罪行為的打擊，也十分有必要。我國《刑法》中涉及信息安全保護的主要罪名及具體規(guī)定包括：

續(xù)表

續(xù)表

續(xù)表

在本部分內(nèi)容中，筆者將重點對“侵犯公民個人信息罪”以及“拒不履行網(wǎng)絡安全義務罪”加以分析，其他部分罪名筆者將結合相關場景（比如“爬蟲”技術應用）在本書后續(xù)章節(jié)中展開闡述。

1.侵犯公民個人信息罪

《刑法》第253條之一規(guī)定了“侵犯公民個人信息罪”。回顧該條罪名的制定過程，最早可以追溯到2009年的《刑法修正案（七）》，其中規(guī)定了：“國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。竊取或者以其他方法非法獲取上述信息，情節(jié)嚴重的，依照前款的規(guī)定處罰。單位犯前兩款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規(guī)定處罰。”為了更好地保護個人信息，2015年《刑法修正案（九）》又對該條款進行了修改。將犯罪主體從特殊主體擴大到一般主體；從重處罰“將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的”的行為；同時將本罪最高刑期由“三年以下有期徒刑或者拘役”，修改為“三年以上七年以下有期徒刑”；取消了非法獲取公民個人信息的“情節(jié)嚴重”的入罪條件。這一系列改動將非法出售合法渠道獲取的公民個人信息的行為也囊括進來，擴大了犯罪主體范圍，體現(xiàn)了刑法對于保護公民個人信息力度的加強。

具體分析本罪的構成要件，構成本罪需相關主體違反國家有關規(guī)定，實施了向他人出售或者提供公民個人信息、竊取或者以其他方法非法獲取公民個人信息的行為。從侵害對象或者法益看，行為對象必須是公民個人信息，如果是其他對象，則可能構成刑法規(guī)制的其他犯罪，比如侵犯商業(yè)秘密罪。同時，本罪亦存在單位犯罪的可能。但本罪規(guī)定亦存在不少模糊之處，比如公民個人信息的內(nèi)涵和范圍如何界定；入罪條件中“情節(jié)嚴重”的標準等問題，給本罪在司法實踐中的具體適用造成了一定困難。也因此，2017年5月8日，最高人民法院、最高人民檢察院發(fā)布了《侵犯公民個人信息刑事案件解釋》（法釋〔2017〕10號）對上述相關問題作出了進一步的明確規(guī)定，筆者將在下文中詳細展開討論。

2.拒不履行信息網(wǎng)絡安全管理義務罪

《刑法》第286條之一對拒不履行信息網(wǎng)絡安全管理義務罪作出了相應規(guī)定。該條為2015年8月29日發(fā)布的《刑法修正案（九）》中新增罪名，本罪的犯罪主體為“網(wǎng)絡服務提供者”，單位亦可以構成本罪。在《刑法修正案（九）》之前，我國《刑法》并未明確規(guī)定網(wǎng)絡服務提供者犯罪的刑事責任，因此，該條規(guī)定在一定程度上填補了《刑法》規(guī)制的空白，也有利于增強網(wǎng)絡服務提供者履行網(wǎng)絡安全管理義務的意識。

本罪在客觀方面表現(xiàn)為網(wǎng)絡服務提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡安全管理義務，經(jīng)監(jiān)管部門責令采取改正措施后拒不改正，同時，符合下列情形之一的：（1）致使違法信息大量傳播；（2）致使用戶信息泄露，造成嚴重后果的；（3）致使刑事案件證據(jù)滅失，情節(jié)嚴重的；（4）有其他嚴重情節(jié)的。在理解本罪客觀方面構成要件上，有以下三點需要特別注意：

（1）信息網(wǎng)絡安全管理義務。我國在很長一段時間內(nèi)，關于網(wǎng)絡服務提供者的信息網(wǎng)絡安全義務的范圍缺乏系統(tǒng)的規(guī)定，散見于諸多法律、行政法規(guī)當中。而在《網(wǎng)絡安全法》出臺之后，對網(wǎng)絡服務提供者的安全管理義務也作出了相應的規(guī)定。如《網(wǎng)絡安全法》要求網(wǎng)絡服務提供者應當采取防范計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術措施；加強對其用戶發(fā)布的信息的管理，發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌模瑧斄⒓赐Ｖ箓鬏斣撔畔ⅲ扇∠忍幹么胧?/p>

（2）前提條件需經(jīng)過行政部門處理。“經(jīng)監(jiān)管部門責令采取改正措施而不改正”是構成本罪的前提條件。信息網(wǎng)絡安全監(jiān)管部門事前未依據(jù)法律、行政法規(guī)規(guī)定發(fā)出指令；相關指令沒有法律、行政法規(guī)依據(jù)；或者不是根據(jù)法律、行政法規(guī)而僅依據(jù)部門規(guī)章發(fā)出改正通知；又或者僅僅發(fā)出口頭整改通知，甚至違法發(fā)出指令的，網(wǎng)絡服務提供者均不構成該罪。[4]

（3）三種特定的危害情形。本罪是結果犯，相關主體的行為需導致出現(xiàn)了條文規(guī)定的特定結果，方才構成犯罪。《刑法修正案（九）》列舉了三種特定危害情形，并以有其他嚴重情節(jié)作為兜底。但該等關于危害情形的規(guī)定仍然存在模糊之處，比如“致使違法信息大量傳播”中的“違法信息”如何認定；“致使用戶信息泄露，造成嚴重后果的”中的“嚴重后果”標準為何等均不明確，這無疑給該條罪名的適用造成了困難。而直到2019年10月21日發(fā)布的《網(wǎng)絡犯罪解釋》才對前述相關問題作出了回應，筆者也將在下文中具體闡述。

（三）《民法典》

《民法典》于2020年5月28日正式發(fā)布，將于2021年1月1日生效。其中，《民法典》第111條沿用了《民法總則》第111條的規(guī)定，強調(diào)自然人的個人信息受法律保護。除此之外，《民法典》在第四編人格權編的第六章專章規(guī)定了隱私權和個人信息保護，明確了個人信息的定義、個人信息的處理原則和條件、處理個人信息的免責事由、自然人查閱、復制、更正刪除個人信息的權利、信息處理者的信息安全保護義務、未經(jīng)同意不得對外提供個人信息等內(nèi)容。

總體而言，《民法典》中個人信息保護的相關規(guī)定多是在《網(wǎng)絡安全法》規(guī)定的基礎上加以完善，整體規(guī)定偏原則性，具體適用仍然需要結合后續(xù)出臺的個人信息保護相關立法和標準的規(guī)定。接下來，將對重要變化內(nèi)容進行梳理和解析。

1.擴張了個人信息處理行為的規(guī)制范圍

相較于《網(wǎng)絡安全法》第41條規(guī)制網(wǎng)絡運營者的個人信息收集使用行為，《民法典》第1035條未設置主語且將規(guī)制的行為范圍擴張至包括收集、存儲、使用、加工、傳輸、提供、公開等在內(nèi)的全部個人信息處理行為，意味著個人信息全生命周期的處理行為均納入到該條規(guī)制范圍，而各環(huán)節(jié)對應的主體也都受到該條的約束。可以看出，《民法典》對個人信息的保護更加全面，也更加能夠滿足新形勢下的個人信息保護需求。

2.增加了處理個人信息的免責事由相較于《網(wǎng)絡安全法》，《民法典》新增第1036條作為處理個人信息的免責事由。需要強調(diào)的是，免責事由就意味著該條規(guī)定的三種情形是具有違法性的，只不過通過該條對其進行了免責。而且，該條規(guī)定的三種情形均有一個限定語“合理”，具體來說三種情形分別使用了“合理實施”和“合理處理”的表述，但如何界定是否“合理”，存在較大的不確定性，可能要根據(jù)個案進行具體判定。因此，企業(yè)需要避免對該條規(guī)定的過分依賴，而應主要依據(jù)《民法典》第1035條的規(guī)定處理個人信息，否則一旦無法適用該條規(guī)定，違法性相對應的后果就是企業(yè)需要承擔相應的責任。

3.強化了自然人查閱、復制個人信息的權利

相較于《網(wǎng)絡安全法》第43條規(guī)定了個人享有刪除、更正個人信息的權利，《民法典》第1037條增加規(guī)定了自然人查閱、復制個人信息的權利，意味著信息處理者如果拒絕自然人查閱、復制個人信息的要求，可能構成對該條規(guī)定的違反。但從實踐落地角度，該條如不加以規(guī)范和限制，可能會給信息處理者造成額外的負擔，有待相關細則或司法實踐進一步明確該條的具體適用標準。

（四）《消費者權益保護法》

我國在1993年發(fā)布的《消費者權益保護法》中并未對個人信息保護相關問題作出規(guī)定。但隨著市場經(jīng)濟和信息化社會的發(fā)展，一方面經(jīng)營者利用收集的消費者信息改進其生產(chǎn)經(jīng)營活動，創(chuàng)造了巨大的經(jīng)濟價值；另一方面消費者個人信息被濫用、泄露等問題也層出不窮，個人信息保護問題日益得到重視。因此，在2013年修訂的《消費者權益保護法》中對個人信息保護相關問題作出了明確規(guī)定。明確了消費者享有個人信息依法得到保護的權益，同時，對經(jīng)營者收集、使用消費者個人信息提出了合法、正當、必要的原則性要求，明確了經(jīng)營者收集使用消費者個人信息的規(guī)則，同時，要求經(jīng)營者及其工作人員對消費者個人信息予以保密，采取必要的措施保障信息安全。《消費者權益保護法》進一步規(guī)定了經(jīng)營者侵害消費者個人信息依法得到保護的權利的，應當停止侵害、恢復名譽、消除影響、賠禮道歉，并賠償損失，同時，由相關部門依法予以行政處罰。

筆者將《消費者權益保護法》中涉及個人信息保護的相關條款匯總如下，以供參考：

《消費者權益保護法》對于個人信息保護偏向于原則性規(guī)定，在《消費者權益保護法》的實施過程中，普遍反映經(jīng)營者收集、使用消費者個人信息的制度過于原則，執(zhí)法主體不明確，法律責任不到位，消費者個人信息被違法收集使用的勢頭還在蔓延。目前的狀況是消費者舉證難，監(jiān)管部門和消協(xié)組織取證難，即使查實的案件也存在追責難、處罰輕的情況，難以起到震懾作用。[5]2016年，工商總局制定了《消費者權益保護法實施條例（征求意見稿）》，國務院法制辦在2016年11月16日對工商總局上報國務院的《消費者權益保護法實施條例》（送審稿）[以下簡稱《消保法實施條例》（送審稿）]進行了公開征求意見。在《消費者權益保護法》的基礎上，《消保法實施條例》（送審稿）中對個人信息保護的相關問題進行了細化規(guī)定，主要包括：

1.明確了消費者個人信息的定義。《消費者權益保護法》并未對消費者個人信息的概念作出界定，在《消保法實施條例》（送審稿）第22條則以列舉+“可識別”規(guī)定兜底的方式對消費者個人信息的概念進行了定義：“消費者個人信息是指經(jīng)營者在提供商品或者服務活動中收集的消費者姓名、性別、職業(yè)、出生日期、身份證件號碼、住址、聯(lián)系方式、收入和財產(chǎn)狀況、健康狀況、消費情況、生物識別特征等能夠單獨或者與其他信息結合識別消費者的信息。”

2.針對經(jīng)營者信息收集的必要性原則，《消保法實施條例》（送審稿）明確提出了“經(jīng)營者不得收集與經(jīng)營業(yè)務無關的信息”。

3.規(guī)定了消費者享有刪除、修改個人信息的權利。根據(jù)《消保法實施條例》（送審稿）第22條，除法律法規(guī)另有規(guī)定外，消費者明確要求經(jīng)營者刪除、修改其個人信息的，經(jīng)營者應當按照消費者的要求予以刪除、修改。

4.針對經(jīng)營者向他人提供消費者個人信息，《消保法實施條例》（送審稿）同樣規(guī)定應當經(jīng)過消費者同意。但同時提出了“經(jīng)過處理無法識別特定消費者且不能復原的除外”。該條規(guī)定為經(jīng)營者依法使用匿名化的個人信息留下了一定的空間。

5.細化了關于商業(yè)性信息推送的規(guī)定。《消保法實施條例》（送審稿）在《消費者權益保護法》的基礎上進一步規(guī)定了“未經(jīng)消費者明確同意或者請求，經(jīng)營者不得向消費者的固定電話、移動電話等通訊設備，電腦等電子終端或者電子郵箱、網(wǎng)絡硬盤等電子信息空間發(fā)送商業(yè)性電子信息或者撥打商業(yè)性推銷電話。消費者同意經(jīng)營者向其發(fā)送商業(yè)性電子信息或者撥打商業(yè)性推銷電話的，除雙方另有約定以外，不得要求消費者承擔費用”。

但從2016年11月16日開始對外征求意見，《消保法實施條例》至今尚未發(fā)布正式版，筆者也期待《消保法實施條例》的正式出臺，能否進一步落實消費者個人信息保護問題。

（五）《電子商務法》

我國電子商務發(fā)展迅速，足不出門的購物方式成了社會公眾的消費新時尚，但電子商務在給社會民眾帶來便利的同時，也對電子商務消費者的個人信息保護帶來了巨大的挑戰(zhàn)。在電子商務的發(fā)展過程當中，個人信息被濫用、泄露等問題屢屢發(fā)生，因此，《電子商務法》制定之初，個人信息保護問題就成了重點討論的內(nèi)容之一。《電子商務法》于2018年8月31日正式發(fā)布，并于2019年1月1日起生效實施，全文圍繞電子商務經(jīng)營者、電子商務消費者（用戶）以及有關主管部門各自的權利義務對個人信息保護相關內(nèi)容進行了規(guī)定，主要包括：

1.個人信息的收集、使用。《電子商務法》對于個人信息的收集、使用僅作了原則性規(guī)定，要求電子商務經(jīng)營者在收集、使用個人信息時應當遵守有關法律、行政法規(guī)的規(guī)定。我國《網(wǎng)絡安全法》等法律規(guī)范均對個人信息的收集、使用作出了相關規(guī)定，電子商務經(jīng)營者在具體場景下收集、使用個人信息時應當遵照該等法律法規(guī)的規(guī)定進行，如在收集用戶個人信息時，應當公開收集、使用規(guī)則，明示收集、使用的目的、方式和范圍，并經(jīng)被收集者同意。

2.關于個人信息的保存期限。《網(wǎng)絡安全法》并未明確規(guī)定用戶信息的保存期限要求，僅規(guī)定網(wǎng)絡運營者應當按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月。但《電子商務法》中明確要求電子商務平臺經(jīng)營者應當記錄、保存平臺上的商品和服務信息、交易信息，保存時間自交易完成之日起不少于三年。

3.關于個性化推薦。個性化推薦在電子商務場景下十分普遍，電子商務經(jīng)營者利用其掌握的用戶信息，通過大數(shù)據(jù)分析電子商務消費者的興趣愛好，針對性地進行商品、服務的推送以及搜索結果的展示。通常與個性化推薦相關的場景還包括“大數(shù)據(jù)殺熟”，指電子商務經(jīng)營者利用大數(shù)據(jù)分析結果，對不同用戶采取不同的定價策略，甚至出現(xiàn)同一商品或服務對于忠誠度較高的老用戶價格要高于新用戶的情況，嚴重侵害了用戶的權益。對于這一問題，《電子商務法》明確規(guī)定了電子商務經(jīng)營者根據(jù)消費者的興趣愛好、消費習慣等特征向其提供商品或服務的搜索結果的，應當同時提供不針對其個人特征的選項，以保護消費者的合法權益。

4.用戶的相關權利。《電子商務法》第24條明確規(guī)定了用戶享有信息查詢、更正、刪除以及注銷的權利。[6]同時，要求電子商務經(jīng)營者明示用戶行使前述權利的方式、程序，不得設置不合理的條件。在具體程序上，《電子商務法》要求電子商務經(jīng)營者在收到用戶關于信息查詢、更正、刪除申請的，應當在核實身份后及時履行義務，用戶申請注銷的，應當立即刪除用戶信息。

5.主管部門的權利義務。《電子商務法》規(guī)定了有關主管部門有權依法要求電子商務經(jīng)營者提供電子商務數(shù)據(jù)信息。但有關主管部門應當采取必要的措施保護數(shù)據(jù)信息的安全，不得泄露、出售或者非法向他人提供。

電子商務法的正式實施對于電子商務發(fā)展過程中個人信息的利用以及保護具有重要意義。對于電子商務經(jīng)營者而言，一方面要遵循《電子商務法》關于個人信息保護的相關規(guī)定，另一方面除了《電子商務法》外，我國《網(wǎng)絡安全法》等其他法律法規(guī)也對個人信息保護作出了相關規(guī)定，電子商務經(jīng)營者也應當加以遵循。同時，《電子商務法》對個人信息保護的相關規(guī)定更偏原則性和倡導性，筆者也期待后續(xù)關于電子商務場景下個人信息利用與保護的相關細則、標準的出臺，以便更好地規(guī)范電子商務經(jīng)營者收集、使用用戶個人信息的行為。

附：《電子商務法》關于個人信息保護的相關條款：

續(xù)表

（六）《征信業(yè)管理條例》

2013年3月15日，由國務院制定的《征信業(yè)管理條例》正式生效，《征信業(yè)管理條例》適用于在我國境內(nèi)從事個人或企業(yè)信用信息的采集、整理、保存、加工，并向信息使用者提供的征信業(yè)務及相關活動，規(guī)范對象主要是征信機構的業(yè)務活動及對征信機構的監(jiān)督管理。個人征信業(yè)務中重要的一環(huán)是對個人信用信息的收集和使用，因而該條例也著重對這一部分進行了規(guī)范。個人信用信息通常包括：（1）個人基本信息，指自然人身份識別信息、職業(yè)和居住地址等信息；（2）個人信貸交易信息，指商業(yè)銀行提供的自然人在個人貸款、貸記卡、準貸記卡、擔保等信用活動中形成的交易記錄；（3）反映個人信用狀況的其他信息，指除信貸交易信息之外的反映個人信用狀況的相關信息。[7]

《征信業(yè)管理條例》明確了征信機構、信息提供者、信息使用者以及信息主體在征信業(yè)務活動中的權利義務，從采集、查詢、使用、保存及提供等各環(huán)節(jié)明確了征信業(yè)務的開展規(guī)則。

對于采集個人信息，《征信業(yè)管理條例》明確規(guī)定了除依法公開的信息外，采集個人信息應當經(jīng)信息主體本人同意。規(guī)定了禁止征信機構采集的個人信息范圍，包括個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個人信息。同時規(guī)定，除明確告知信息主體可能的不利后果并取得其同意外，征信機構不得采集個人的收入、存款、有價證券、商業(yè)保險、不動產(chǎn)的信息和納稅數(shù)額信息。在向征信機構查詢個人信息時，《征信業(yè)管理條例》規(guī)定除了法律規(guī)定可以不經(jīng)同意查詢的，都應當取得信息主體本人的書面同意并明確約定用途。對于個人信息的使用，根據(jù)《征信業(yè)管理條例》的規(guī)定，信息使用者應當按照與個人信息主體約定的用途使用個人信息，不得用作約定以外的用途。《征信業(yè)管理條例》明確要求征信機構在中國境內(nèi)采集的信息的保存應當在中國境內(nèi)進行，對個人不良信息的保存期限，自不良行為或者事件終止之日起為5年；超過5年的，應當予以刪除。此外，在對外提供個人信息方面，《征信業(yè)管理條例》規(guī)定信息提供者向征信機構提供個人不良信息，應當事先告知信息主體本人。信息使用者未經(jīng)信息主體同意不得向第三方提供個人信息。同時，要求征信機構如需向境外組織或者個人提供信息，應當遵守法律、行政法規(guī)和國務院征信業(yè)監(jiān)督管理部門的有關規(guī)定。

《征信業(yè)管理條例》同時明確了個人信息主體享有的權利，包括：1.同意權。在采集、查詢、向第三方提供信息時均應當取得個人信息主體的同意。2.知情權。信息提供者向征信機構提供個人不良信息時，應當事先告知信息主體本人。信息主體可以向征信機構查詢自身信息，并且每年有兩次免費獲取本人信用報告的權利。3.異議權。個人信息主體如果認為征信機構采集、保存、提供的信息存在錯誤、遺漏的，可以向征信機構或者信息提供者提出異議，要求更正。4.救濟權。如果個人信息主體認為征信機構或者信息提供者、信息使用者侵害其合法權益的，可以向所在地的國務院征信業(yè)監(jiān)督管理部門派出機構投訴。如果認為前述主體侵害了其合法權益的，也可以直接向人民法院起訴。

《征信業(yè)管理條例》明確了違反個人信息保護相關要求的法律責任。對于征信機構、信息提供者以及信息使用者而言，如果違反《征信業(yè)管理條例》規(guī)定實施了非法獲取信息、違法提供或者出售信息、過失泄露信息、未按照約定用途使用個人信息等行為的，由監(jiān)管部門依照規(guī)定給予責令改正或者罰款或者沒收違法所得等行政處罰。如果給信息主體造成損失，應當依法承擔民事責任。構成犯罪的，應當依法追究刑事責任。

對于采集企業(yè)信用信息，《征信業(yè)管理條例》也作出了相關規(guī)定。征信機構可以通過信息主體、企業(yè)交易對方、行業(yè)協(xié)會提供的信息，政府有關部門依法已公開的信息，人民法院依法公布的判決、裁定等多個渠道采集企業(yè)信用信息。企業(yè)的董事、監(jiān)事、高級管理人員與其履行職務相關的信息，不作為個人信息，不適用關于個人信息的規(guī)定。但征信機構不得采集法律、行政法規(guī)禁止采集的企業(yè)信息，不得侵犯企業(yè)的商業(yè)秘密。

征信業(yè)務在一定程度上能夠防范信用風險、保障交易安全，對于市場經(jīng)濟的發(fā)展意義重大。但在《征信業(yè)管理條例》頒布之前，征信活動缺乏明確的法律規(guī)范，對信息主體的保護嚴重不足，不當采集、使用信用信息的情況十分普遍。《征信業(yè)管理條例》的出臺明確了征信活動的邊界，為個人信用信息的保護提供了依據(jù)，有利于促進征信行業(yè)的規(guī)范化發(fā)展。