二、數(shù)據(jù)保護立法現(xiàn)狀

在現(xiàn)代社會治理中，將數(shù)據(jù)治理與個人信息保護放到更加重要的地位上已經(jīng)成為國際社會的廣泛共識。于我國而言，雖然聚焦于數(shù)據(jù)治理及個人信息保護的專門法律——《數(shù)據(jù)安全法》與《個人信息保護法》尚未出臺，[1]但與數(shù)據(jù)保護相關的條文早在多年以前，便逐漸開始散見于法律、司法解釋以及相關的部門規(guī)范性文件中，其具體的發(fā)展脈絡梳理如下：

（一）民商事法律、法規(guī)、規(guī)章層面

2012年3月15日，工業(yè)和信息化部發(fā)布的《規(guī)范互聯(lián)網(wǎng)信息服務市場秩序若干規(guī)定》正式施行，其明確規(guī)定，除非法律、行政法規(guī)另有規(guī)定，“能夠單獨或者與其他信息結合識別用戶的信息”的收集、使用、提供必須“經(jīng)用戶同意”。就此，“可識別性”成為認定個人信息的核心標準，個人信息保護的客體開始逐漸明晰。2012年12月28日，全國人大常委會通過了《關于加強網(wǎng)絡信息保護的決定》，明確了國家對于網(wǎng)絡信息安全的保護，強調了公民個人信息收集過程中的合法、正當、必要原則以及防止個人信息泄露的義務，國家越發(fā)重視對于個人的網(wǎng)絡信息保護。隨后的兩三年間，征信、工信、消費者保護等領域的立法都將個人信息保護納入相應的法律文本中，如《征信業(yè)管理條例》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《中華人民共和國消費者權益保護法》等。

2017年6月1日，《網(wǎng)絡安全法》正式實施，作為我國網(wǎng)絡和數(shù)據(jù)安全框架性的立法，它標志著我國網(wǎng)絡安全保護相關的眾多制度要求開始逐步建立。在安全等級保護方面，《網(wǎng)絡安全等級保護條例（征求意見稿）》《網(wǎng)絡安全等級測評機構管理辦法》等規(guī)章相繼發(fā)布或生效；在關鍵信息基礎設施保護方面，《關鍵信息基礎設施安全保護條例（征求意見稿）》（以下簡稱《CII保護條例（征求意見稿）》）發(fā)布；在數(shù)據(jù)出境方面，《個人信息出境安全評估辦法（征求意見稿）》（以下簡稱《個人信息出境辦法（征求意見稿）》）等規(guī)范性文件的制定標志著數(shù)據(jù)跨境傳輸方面的制度要求逐漸完善。此外，國家網(wǎng)信辦還于2019年5月28日發(fā)布了《數(shù)據(jù)安全管理辦法（征求意見稿）》。

伴隨著《網(wǎng)絡安全法》的施行和相關監(jiān)管實踐活動的開展，在積累了較為充分的監(jiān)管經(jīng)驗的前提下，更具針對性的數(shù)據(jù)立法開始大量發(fā)布。如2019年10月1日起施行的《兒童個人信息網(wǎng)絡保護規(guī)定》對于兒童的個人信息的保護采取了更加嚴格的手段，并基于兒童個人信息保護的特殊性對兒童個人信息保護進行了專門的規(guī)定。而針對一些App過度收集用戶個人信息，隱私條款不完善等問題，國家網(wǎng)信辦、工信部、公安部、國家市場監(jiān)管總局四部委也于同年11月28日聯(lián)合發(fā)布了《App違法違規(guī)收集使用個人信息行為認定方法》（以下簡稱《App違法違規(guī)認定方法》）。該文件既為監(jiān)管部門認定App違法違規(guī)收集使用個人信息行為提供了參考，也為App運營者自查自糾和網(wǎng)民社會監(jiān)督提供了具體的實務指引。

我國不同地區(qū)的網(wǎng)絡條件及技術能力存在較大差異，不同地區(qū)數(shù)據(jù)保護情況可能存在區(qū)別。實踐中，部分地方政府也嘗試通過制定地方法規(guī)的方式對數(shù)據(jù)處理活動進行規(guī)范。例如，天津市網(wǎng)信辦于2019年6月26日發(fā)布了《天津市數(shù)據(jù)安全管理辦法（暫行）》，并于2019年8月1日開始正式施行，開啟了地方監(jiān)管機關開展監(jiān)管探索的嘗試。此后，《重慶市政務數(shù)據(jù)資源管理暫行辦法》《貴州省大數(shù)據(jù)安全保障條例》等地方法規(guī)也相繼出臺，地方政府基于區(qū)域特點進行數(shù)據(jù)方面的針對性監(jiān)管或將成為今后的立法趨勢。

此外，隨著新業(yè)務的出現(xiàn)和發(fā)展，數(shù)據(jù)保護亦在不同行業(yè)的立法中表現(xiàn)為專業(yè)化和精細化的特征。如隨著“網(wǎng)約車”、物流行業(yè)的發(fā)展，《網(wǎng)絡預約出租汽車經(jīng)營服務管理暫行辦法》《寄遞服務用戶個人信息安全管理規(guī)定》等管理辦法應運而生，其中涉及大量旨在規(guī)制行業(yè)中數(shù)據(jù)收集和使用等問題的具體條文。這類法規(guī)及規(guī)章進一步充實了數(shù)據(jù)治理的相關規(guī)則體系。同時，2020年發(fā)布的《民法典》將“隱私權和個人信息保護”單列一章，對隱私和個人信息進行特別的規(guī)定，從基本法律的層面體現(xiàn)了對個人信息的重視。

（二）國家標準層面

我國數(shù)據(jù)立法的一個鮮明特征便在于通過大量的國家標準的制定來為企業(yè)合規(guī)經(jīng)營提供指引。國家標準在制定程序上相對更為靈活，更能貼近不斷發(fā)展變化的數(shù)據(jù)活動的實踐需要。2013年2月1日，《信息安全技術 公共及商用服務信息系統(tǒng)個人信息保護指南》（GB/Z 28828-2012）正式實施。這是我國關于個人信息保護的首個國家標準，該文件確立了信息處理的基本原則（目的明確原則、最少夠用原則、公開告知原則等），明確將個人信息區(qū)分為個人敏感信息和一般個人信息，并區(qū)別規(guī)制。

2017年12月29日，《信息安全技術 個人信息安全規(guī)范》（以下簡稱《個人信息安全規(guī)范》）由全國信息安全標準化技術委員會（以下簡稱信安標委）發(fā)布，并于2018年5月1日正式實施。該標準系我國個人信息保護領域最重要、影響最為廣泛的國家標準，其對于個人信息的相關名詞進行了系統(tǒng)化、專業(yè)化的定義，并對于個人信息控制者在收集、保存、使用、共享、轉讓、公開披露等信息處理環(huán)節(jié)中的相關行為進行了規(guī)制。根據(jù)實踐中個人信息收集、使用的變化及《個人信息安全規(guī)范》（2017）在實施過程中出現(xiàn)的問題，信安標委分別于2019年2月1日、6月25日及10月22日發(fā)布了《個人信息安全規(guī)范（草案）》和兩次征求意見稿，不斷根據(jù)監(jiān)管實踐中發(fā)現(xiàn)的用戶畫像、個人生物識別信息收集等相關新問題對規(guī)范的內容進行調整，并于2020年3月6日發(fā)布了修改后的《個人信息安全規(guī)范》正式版，將于2020年10月1日正式施行。

在《網(wǎng)絡安全法》確立的具體制度方面，許多制度框架正是通過國家標準來搭建和完善的。例如，在網(wǎng)絡安全等級保護方面，《GB/T 22239 信息安全技術 網(wǎng)絡安全等級保護基本要求（信息系統(tǒng)安全等級保護基本要求）》（以下簡稱《網(wǎng)絡安全等級保護基本要求》）、《信息安全技術 網(wǎng)絡安全等級保護測評要求》、《信息安全技術 網(wǎng)絡安全等級保護實施指南》、《信息安全技術 網(wǎng)絡安全等級保護安全設計技術要求》等多部國家標準均已在實施當中，以全力推動我國網(wǎng)絡安全等級保護制度從“等保2.0”向“等保3.0”時代演進。再如，在《網(wǎng)絡安全法》和《個人信息安全規(guī)范》搭建的一系列收集、使用個人信息制度的基礎上，《信息安全技術 個人信息去標識化指南》（以下簡稱《個人信息去標識化指南》）、《信息安全技術 大數(shù)據(jù)安全管理指南》（以下簡稱《大數(shù)據(jù)安全管理指南》）、《信息安全技術 個人信息安全影響評估指南（征求意見稿）》、《信息安全技術 個人信息告知同意指南（征求意見稿）》（以下簡稱《個人信息告知同意指南（征求意見稿）》）等配套國家標準也相繼生效或發(fā)布，為數(shù)據(jù)安全及個人信息保護提供了更加詳細和具體的指引。

（三）刑事層面

在立法層面，我國對數(shù)據(jù)和個人信息的保護存在著“刑法先行”的立法模式。1997年修訂的《刑法》便已經(jīng)規(guī)定了破壞計算機信息系統(tǒng)罪，侵入他人計算機刪除、修改、增加數(shù)據(jù)信息的行為開始受到刑事處罰。2009年2月28日，《刑法修正案（七）》開始正式施行，其增設了出售、非法提供公民個人信息罪，非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪等罪名。《刑法修正案（七）》不僅采用刑事手段規(guī)制金融機構等單位工作人員提供、獲取、交易個人信息的行為，也是首次將侵入非國有計算機僅獲取數(shù)據(jù)的行為也納入刑事規(guī)制的范圍之內，對于他人計算機信息的刪改行為不再成為入罪的必須要件，刑法對于數(shù)據(jù)保護的力度得以加強。2015年施行的《刑法修正案（九）》則修改了刑法第253條之一，將犯罪主體的限制放寬，提升了法定最高刑的刑期，并規(guī)定對于在履行職責或者提供服務過程中獲得的公民個人信息，非法出售或提供的行為，可以從重處罰。修改后，“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”被整合為“侵犯公民個人信息罪”。同時，《刑法修正案（九）》也增設了非法侵入計算機信息系統(tǒng)罪、破壞計算機信息系統(tǒng)罪等罪名的單位犯罪規(guī)定。

除《刑法》外，最高人民法院、最高人民檢察院和公安部也出臺了一系列與數(shù)據(jù)和個人信息犯罪相關的司法解釋，以指導相關刑事案件的偵查、檢察和審判。2013年4月23日，最高人民法院、最高人民檢察院和公安部聯(lián)合發(fā)布了《關于依法懲處侵害公民個人信息犯罪活動的通知》，要求堅決打擊侵害公民個人信息犯罪活動。該通知明確規(guī)定侵害公民信息犯罪的定罪量刑應當綜合考量非法出售、提供、獲取個人信息的次數(shù)、數(shù)量、手段和牟利數(shù)額等因素，與此同時，該文件也對于具有可識別性的個人信息進行了較為細致的列舉，如姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學歷、履歷等。2014年10月10日，最高人民法院發(fā)布的《關于審理利用信息網(wǎng)絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》正式施行，全方位地確定了利用信息網(wǎng)絡侵害個人信息案件的審理流程與審判要點，提高了個人信息相關刑事案件的審判工作水平，也變相推動了司法機關對個人信息相關犯罪的打擊力度。

2017年6月1日，最高人民法院、最高人民檢察院聯(lián)合發(fā)布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《侵犯公民個人信息刑事案件解釋》）正式施行。該司法解釋對于侵犯公民個人信息罪的構成要件、量刑標準和具體法律適用問題進行了系統(tǒng)性的規(guī)定。其后兩年中，最高人民檢察院發(fā)布的《檢察機關辦理侵犯公民個人信息案件指引》和《最高人民法院、最高人民檢察院關于辦理非法利用信息網(wǎng)絡、幫助信息網(wǎng)絡犯罪活動等刑事案件適用法律若干問題的解釋》（法釋〔2019〕15號）（以下簡稱《網(wǎng)絡犯罪解釋》）則對于侵犯公民個人信息案件的幾個具體構成要件，列出了更為細致的證據(jù)審查要求與更加清晰的定罪量刑之標準。

（四）數(shù)據(jù)保護相關法律、法規(guī)、規(guī)章、規(guī)范性文件及國家標準匯總

當前我國數(shù)據(jù)保護相關的重要法律、法規(guī)、規(guī)章、規(guī)范性文件及國家標準參見下表：

續(xù)表

續(xù)表

續(xù)表

綜合上表來看，現(xiàn)階段我國對于數(shù)據(jù)保護的立法中，已經(jīng)有相當一部分較為具體、可操作的規(guī)定。但是由于缺少較高位階的法律加以統(tǒng)一，整體的法規(guī)和規(guī)范性文件依然處在一個較為分散和松散的狀態(tài)，缺少系統(tǒng)性。當下，《個人信息保護法》《數(shù)據(jù)安全法》等法律法規(guī)已經(jīng)被列入人大法工委2020年度立法工作計劃之中。可以預見，在不遠的將來，立法對數(shù)據(jù)的保護會進一步完善，覆蓋的廣度和深度會進一步加強，數(shù)據(jù)和個人信息保護的重要性將會進一步提升。