□ 文田國敏 趙少飛 巨騰飛

田國敏：陜西信息中心

趙少飛：陜西省網(wǎng)絡(luò)與信息安全測評中心巨騰飛：陜西省網(wǎng)絡(luò)與信息安全測評中心

個人信息見于報端紙頭時往往伴隨著“泄露”二字，信息逐漸成為重要資源，對資源的搶奪也使個人信息泄露事件大幅增加，不僅威脅個人的人身財產(chǎn)及生命安全，也影響社會的有序發(fā)展，我國現(xiàn)階段的個人信息泄露問題是十分嚴重的，個人信息產(chǎn)生、存儲及使用時如何對其進行保護，發(fā)生泄露時如何處置，均是亟待解決的問題。

歐洲和美國等一些發(fā)達國家一直注重公民個人信息保護，且相關(guān)個人信息保護的法律也得到了修訂和完善。由于社會發(fā)展、法律和經(jīng)濟水平等因素的影響，我國近些年來開始注重個人信息保護。

（一）個人信息背景

自數(shù)據(jù)和信息的概念出現(xiàn)以來，世界各國、國際組織及地區(qū)為了更好地規(guī)范其發(fā)展，在針對本轄區(qū)范圍內(nèi)進行充分調(diào)研后，結(jié)合特征進行了針對個人信息保護法立法工作，法律名稱存在些許差異，但均對個人信息的定義進行了明確說明。每個國家和地區(qū)根據(jù)本國自身的法律標(biāo)準(zhǔn)及各自歷史人文習(xí)慣，在立法時對其有不同的稱謂，常見的主要有“個人隱私”、“個人數(shù)據(jù)”、“個人信息”等。例如，最早開始將其納入立法領(lǐng)域的美國通常立法時使用的主體為“個人隱私”，歐盟及其成員國結(jié)合其自身情況選擇使用“個人數(shù)據(jù)”，和中國同處亞洲地區(qū)的日本及韓國則采用“個人信息”，我國港臺地區(qū)常使用“個人資料”。從各國和地區(qū)使用的語境來看，三者基本相互包涵。然而，從我國《民法總則》第110條、第111條以及第127條的規(guī)定來看，隱私、數(shù)據(jù)、個人信息三者是相互區(qū)分的。隱私和個人信息具有交叉性，隱私起碼包括空間隱私和信息隱私，許多個人信息都屬于隱私的一種；數(shù)據(jù)則是從數(shù)據(jù)控制者角度所說的各類信息的集合，不僅包括個人信息，還包括系統(tǒng)自動生成的數(shù)據(jù)等。

從目的來講，應(yīng)該注重于個人信息保護的內(nèi)涵和外延，而不應(yīng)糾結(jié)于稱謂本身。我國目前現(xiàn)有的關(guān)于個人信息保護的法律法規(guī)將其稱為“個人信息”。

（二）個人信息定義

我國對于個人信息定義在《網(wǎng)絡(luò)安全法》和《信息安全技術(shù)個人信息安全規(guī)范》都進行了說明。《網(wǎng)絡(luò)安全法》中第七十六條（五）關(guān)于個人信息定義如下：個人信息是指以電子或其他方式記錄的能夠單獨或與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

在2018年實施的《信息安全技術(shù)個人信息安全規(guī)范》中關(guān)于個人信息的定義如下：個人信息是指以電子或其他方式記錄的，能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、住址、出生日期、身份證號碼、生物識別信息、通訊聯(lián)系方式等等。

該項定義與《網(wǎng)絡(luò)安全法》相比較，增加了一條反映自然人活動情況的信息，而這一概念規(guī)定，將互聯(lián)網(wǎng)用戶在網(wǎng)絡(luò)上的行蹤軌跡定義到個人信息的范疇內(nèi)。從法律定義中我們不難看出，個人信息的范圍十分廣泛，只要能夠識別出特定自然人身份，與特定自然人相關(guān)聯(lián)的信息都屬于個人信息。

從目的來講，應(yīng)該注重于個人信息保護的內(nèi)涵和外延，而不應(yīng)糾結(jié)于稱謂本身。

（三）我國個人信息保護法律體系

隨著個人信息泄露事件被媒體廣泛報道，如何保護個人信息的安全成為了一個不可避免的問題，除了加強公民的自我保護意識，不隨意紕漏個人信息，加強相關(guān)行業(yè)的自律以外，個人信息保護逐漸進入立法視野，制定了一系列的原則性立法及管理規(guī)定。

刑事法律層面，《刑法修正案（七）》首次將非法獲取和提供個人信息入罪。此后《關(guān)于依法懲處侵害公民個人信息犯罪活動的通知》、《刑法修正案（九）》明確放寬了侵犯公民個人信息罪的主體范圍。

行政監(jiān)管法律層面，《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》是比較全面的個人信息保護單行規(guī)定。此后，幾乎所有互聯(lián)網(wǎng)單行立法均有涉及個人信息保護的規(guī)定，例如《互聯(lián)網(wǎng)廣告管理暫行辦法》、《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》、《網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)活動管理暫行辦法》、《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》等等。

民事法律層面，《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》首次從司法解釋層面，明確了個人信息的法律內(nèi)涵及侵權(quán)責(zé)任承擔(dān)方式，《民法總則》則首次從民事基本法層面確立了個人信息權(quán)，此前公布的《電子商務(wù)法（草案）》也專章規(guī)定了電商領(lǐng)域個人信息保護有關(guān)規(guī)范。

2017年6月1日《網(wǎng)絡(luò)安全法》已正式實施（其中，第42條明確規(guī)定“未經(jīng)被收集者同意，不得向他人提供個人信息?！薄⒌?4條則提出“任何個人和組織不得竊取或者以其他非法方式獲取個人信息”），其后全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（信安標(biāo)委）出臺了一系列的標(biāo)準(zhǔn)，以支持和保障《網(wǎng)絡(luò)安全法》的有效落實，其中GB/T 35273：2017《信息安全技術(shù)：個人信息安全規(guī)范》（下稱《安全規(guī)范》）提出了用于實踐《網(wǎng)絡(luò)安全法》中有關(guān)個人信息保護的規(guī)范類要求，并于2018年5月1日正式實施，此外，《安全規(guī)范》在編制過程中保持了與國際主流個人信息保護法令的一致性，例如，歐盟的《通用數(shù)據(jù)保護條例》（GDPR）。《安全規(guī)范》作為《網(wǎng)絡(luò)安全法》司法實踐中的重要參考文件。

盡管我國法律目前從多層面對個人信息進行規(guī)范及保護，但仍存在著保護范圍不全面、識別力度不精準(zhǔn)、監(jiān)管效果待加強等問題，及時出臺《個人信息保護法》有助于建立多維度立體法律保護體系，踐行依法治網(wǎng)、依法辦網(wǎng)、依法上網(wǎng)，讓網(wǎng)絡(luò)空間更加晴朗?！?/p>