□ 文田國敏 趙少飛 巨騰飛

田國敏：陜西信息中心

趙少飛：陜西省網(wǎng)絡(luò)與信息安全測評(píng)中心巨騰飛：陜西省網(wǎng)絡(luò)與信息安全測評(píng)中心

個(gè)人信息見于報(bào)端紙頭時(shí)往往伴隨著“泄露”二字，信息逐漸成為重要資源，對(duì)資源的搶奪也使個(gè)人信息泄露事件大幅增加，不僅威脅個(gè)人的人身財(cái)產(chǎn)及生命安全，也影響社會(huì)的有序發(fā)展，我國現(xiàn)階段的個(gè)人信息泄露問題是十分嚴(yán)重的，個(gè)人信息產(chǎn)生、存儲(chǔ)及使用時(shí)如何對(duì)其進(jìn)行保護(hù)，發(fā)生泄露時(shí)如何處置，均是亟待解決的問題。

歐洲和美國等一些發(fā)達(dá)國家一直注重公民個(gè)人信息保護(hù)，且相關(guān)個(gè)人信息保護(hù)的法律也得到了修訂和完善。由于社會(huì)發(fā)展、法律和經(jīng)濟(jì)水平等因素的影響，我國近些年來開始注重個(gè)人信息保護(hù)。

（一）個(gè)人信息背景

自數(shù)據(jù)和信息的概念出現(xiàn)以來，世界各國、國際組織及地區(qū)為了更好地規(guī)范其發(fā)展，在針對(duì)本轄區(qū)范圍內(nèi)進(jìn)行充分調(diào)研后，結(jié)合特征進(jìn)行了針對(duì)個(gè)人信息保護(hù)法立法工作，法律名稱存在些許差異，但均對(duì)個(gè)人信息的定義進(jìn)行了明確說明。每個(gè)國家和地區(qū)根據(jù)本國自身的法律標(biāo)準(zhǔn)及各自歷史人文習(xí)慣，在立法時(shí)對(duì)其有不同的稱謂，常見的主要有“個(gè)人隱私”、“個(gè)人數(shù)據(jù)”、“個(gè)人信息”等。例如，最早開始將其納入立法領(lǐng)域的美國通常立法時(shí)使用的主體為“個(gè)人隱私”，歐盟及其成員國結(jié)合其自身情況選擇使用“個(gè)人數(shù)據(jù)”，和中國同處亞洲地區(qū)的日本及韓國則采用“個(gè)人信息”，我國港臺(tái)地區(qū)常使用“個(gè)人資料”。從各國和地區(qū)使用的語境來看，三者基本相互包涵。然而，從我國《民法總則》第110條、第111條以及第127條的規(guī)定來看，隱私、數(shù)據(jù)、個(gè)人信息三者是相互區(qū)分的。隱私和個(gè)人信息具有交叉性，隱私起碼包括空間隱私和信息隱私，許多個(gè)人信息都屬于隱私的一種；數(shù)據(jù)則是從數(shù)據(jù)控制者角度所說的各類信息的集合，不僅包括個(gè)人信息，還包括系統(tǒng)自動(dòng)生成的數(shù)據(jù)等。

從目的來講，應(yīng)該注重于個(gè)人信息保護(hù)的內(nèi)涵和外延，而不應(yīng)糾結(jié)于稱謂本身。我國目前現(xiàn)有的關(guān)于個(gè)人信息保護(hù)的法律法規(guī)將其稱為“個(gè)人信息”。

（二）個(gè)人信息定義

我國對(duì)于個(gè)人信息定義在《網(wǎng)絡(luò)安全法》和《信息安全技術(shù)個(gè)人信息安全規(guī)范》都進(jìn)行了說明?！毒W(wǎng)絡(luò)安全法》中第七十六條（五）關(guān)于個(gè)人信息定義如下：個(gè)人信息是指以電子或其他方式記錄的能夠單獨(dú)或與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。

在2018年實(shí)施的《信息安全技術(shù)個(gè)人信息安全規(guī)范》中關(guān)于個(gè)人信息的定義如下：個(gè)人信息是指以電子或其他方式記錄的，能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、住址、出生日期、身份證號(hào)碼、生物識(shí)別信息、通訊聯(lián)系方式等等。

該項(xiàng)定義與《網(wǎng)絡(luò)安全法》相比較，增加了一條反映自然人活動(dòng)情況的信息，而這一概念規(guī)定，將互聯(lián)網(wǎng)用戶在網(wǎng)絡(luò)上的行蹤軌跡定義到個(gè)人信息的范疇內(nèi)。從法律定義中我們不難看出，個(gè)人信息的范圍十分廣泛，只要能夠識(shí)別出特定自然人身份，與特定自然人相關(guān)聯(lián)的信息都屬于個(gè)人信息。

從目的來講，應(yīng)該注重于個(gè)人信息保護(hù)的內(nèi)涵和外延，而不應(yīng)糾結(jié)于稱謂本身。

（三）我國個(gè)人信息保護(hù)法律體系

隨著個(gè)人信息泄露事件被媒體廣泛報(bào)道，如何保護(hù)個(gè)人信息的安全成為了一個(gè)不可避免的問題，除了加強(qiáng)公民的自我保護(hù)意識(shí)，不隨意紕漏個(gè)人信息，加強(qiáng)相關(guān)行業(yè)的自律以外，個(gè)人信息保護(hù)逐漸進(jìn)入立法視野，制定了一系列的原則性立法及管理規(guī)定。

刑事法律層面，《刑法修正案（七）》首次將非法獲取和提供個(gè)人信息入罪。此后《關(guān)于依法懲處侵害公民個(gè)人信息犯罪活動(dòng)的通知》、《刑法修正案（九）》明確放寬了侵犯公民個(gè)人信息罪的主體范圍。

行政監(jiān)管法律層面，《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》是比較全面的個(gè)人信息保護(hù)單行規(guī)定。此后，幾乎所有互聯(lián)網(wǎng)單行立法均有涉及個(gè)人信息保護(hù)的規(guī)定，例如《互聯(lián)網(wǎng)廣告管理暫行辦法》、《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》、《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法》、《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》等等。

民事法律層面，《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》首次從司法解釋層面，明確了個(gè)人信息的法律內(nèi)涵及侵權(quán)責(zé)任承擔(dān)方式，《民法總則》則首次從民事基本法層面確立了個(gè)人信息權(quán)，此前公布的《電子商務(wù)法（草案）》也專章規(guī)定了電商領(lǐng)域個(gè)人信息保護(hù)有關(guān)規(guī)范。

2017年6月1日《網(wǎng)絡(luò)安全法》已正式實(shí)施（其中，第42條明確規(guī)定“未經(jīng)被收集者同意，不得向他人提供個(gè)人信息?！薄⒌?4條則提出“任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息”），其后全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（信安標(biāo)委）出臺(tái)了一系列的標(biāo)準(zhǔn)，以支持和保障《網(wǎng)絡(luò)安全法》的有效落實(shí)，其中GB/T 35273：2017《信息安全技術(shù)：個(gè)人信息安全規(guī)范》（下稱《安全規(guī)范》）提出了用于實(shí)踐《網(wǎng)絡(luò)安全法》中有關(guān)個(gè)人信息保護(hù)的規(guī)范類要求，并于2018年5月1日正式實(shí)施，此外，《安全規(guī)范》在編制過程中保持了與國際主流個(gè)人信息保護(hù)法令的一致性，例如，歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）。《安全規(guī)范》作為《網(wǎng)絡(luò)安全法》司法實(shí)踐中的重要參考文件。

盡管我國法律目前從多層面對(duì)個(gè)人信息進(jìn)行規(guī)范及保護(hù)，但仍存在著保護(hù)范圍不全面、識(shí)別力度不精準(zhǔn)、監(jiān)管效果待加強(qiáng)等問題，及時(shí)出臺(tái)《個(gè)人信息保護(hù)法》有助于建立多維度立體法律保護(hù)體系，踐行依法治網(wǎng)、依法辦網(wǎng)、依法上網(wǎng)，讓網(wǎng)絡(luò)空間更加晴朗。■