前两次我们与大家分享了欧盟GDPR的主要内容及其对我国的影响，并就其中备受关注的被遗忘权进行了专门的讨论。有读者留言问：“GDPR不是欧盟的规定吗？对我国也适用吗？”当然，我们也有同样的疑问，所以前两篇文章中只是探讨了其对我我立法、司法可能造成的影响，以及根据其特殊的管辖条款对涉欧盟业务企业的适用。此篇文章我们将视角转回国内，以我国《国网络安全法》和最新发布的国家标准《信息安全技术 个人信息安全规范》为中心，对我国个人信息法律保护之现状展开讨论。

《中华人民共和国网络安全法》于2017年6月1日正式施行，同年12月29日，全国信息安全标准化技术委员会提出并归口的GB/T 35273-2017《信息安全技术个人信息安全规范》（以下简称“《个人信息安全规范》”）正式发布，2018年5月1日，《个人信息安全规范》作为国家推荐标准正式实施。其主要内容包括：个人信息及相关术语定义、个人信息安全基本原则、个人信息收集、保存、使用和处理等流转环节以及个人信息安全事件处置和组织管理要求等。

国家标准分为强制性国家标准和推荐性国家标准。我国《标准化法》规定：对保障人身健康和生命财产安全、国家安全、生态环境安全以及满足经济社会管理基本需要的技术要求，应当制定强制性国家标准；而对于满足基础通用、与强制性国家标准配套、对各有关行业起引领作用等需要的技术要求，可以制定推荐性国家标准。此次发布的《个人信息安全规范》属于国家推荐标准，显然不具有强制力，但笔者查阅发现，截至目前，微信、淘宝、支付宝、新浪微博等APP均已更新《隐私保护政策》，且均为参照《个人信息安全规范》的附录D《隐私政策模板》做出更新。由此可见，《个人信息安全规范》虽是推荐性国家标准，不具有国家强制力，但其已经对我国企业产生影响。因此，笔者认为，对于业务大量涉及公民个人信息的企业，其行为符合具有国家强制力的《网络安全法》自然足以避免法律的否定性评价，但不应忽视《个人信息安全规范》的参考意义，可将其作为企业的合规指引。

本文中，笔者将就重点内容对《个人信息安全规范》与《网络安全法》进行比较，并以此角度介绍《个人信息安全规范》的内容及我国个人信息法律保护之现状。

一、网络运营者VS个人信息控制者

《网络安全法》将规制的对象命名为网络运营者，并在第七十六条第三项做出定义：“网络运营者，是指网络的所有者、管理者和网络服务提供者。”《个人信息安全规范》则采用了欧盟GDPR的命名方式，将规制的对象命名为个人信息控制者，并在第3.4条做出定义：“个人信息控制者是有权决定个人信息处理目的、方式等的组织或个人。”

可见，《个人信息安全规范》扩大了适用对象的范围，凡是有权决定如何处理个人信息的组织或个人均受其规范，换言之，某一企业即使不直接作为网络的所有者、管理者或者网络服务的提供者，但该企业只要能够决定涉及到的个人信息的使用，其行为就应符合《个人信息安全规范》的规定。

二、什么是个人信息？

《网络安全法》第七十六条第五项规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”

《个人信息安全规范》则将个人信息分为个人信息和个人敏感信息。其第3.1条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。”第3.2条规定：“个人敏感信息是一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息等。”

针对个人敏感信息，《个人信息安全规范》还对个人信息控制者的收集行为做出了特殊规定——收集个人敏感信息时应征得明示同意，且应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示（第5.5条）。

《个人信息安全规范》对个人信息做出分类，并按照个人信息的重要程度对个人信息和个人敏感信息做出不同程度的保护要求，可见《个人信息安全规范》对于个人信息的保护程度较《网络安全法》更高。

三、基本原则有哪些？

《网络安全法》第四十一条规定“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则”。

《个人信息安全规范》第4条规定：“个人信息控制者开展个人信息处理活动，应遵循权责一致原则（个人信息控制者应对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任）、目的明确原则（具有合法、正当、必要、明确的个人信息处理目的）、选择同意原则（向个人信息主体明示个人信息处理目的、方式、范围、规则等，征求其授权同意）、最少够用原则（除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时根据约定删除个人信息）、公开透明原则（以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等，并接受外部监督）、确保安全原则（具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段，保护个人信息的保密性、完整性、可用性）、主体参与原则（向个人信息主体提供能够访问、更正、删除其个人信息，以及撤回同意、注销账户等方法）。”

《个人信息安全规范》在《网络安全法》的基础上对原则进行了细化，笔者认为，该细化容易理解和接受，故企业可在内部合规检验时对上述基本原则进行参考。

四、如何收集用户个人信息？

《网络安全法》第二十二条第三款规定：“网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意”；第四十一条规定：“网络运营者收集个人信息，应当公开收集规则，明示收集信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集个人信息。”

《个人信息安全规范》第5条规定了个人信息收集的合法性要求、最小化要求；收集个人信息时的授权同意及例外；收集个人敏感信息时的明示同意等。

两个规定有所区别的根本在于前文所述《个人信息安全规范》对个人信息做出的分类：《网络安全法》仅规定网络经营者收集用户信息时需取得同意；而《个人信息安全规范》规定一般的个人信息仅需同意，敏感信息则需要明示同意，且需要确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示。

这里笔者还注意到《个人信息安全规范》其实是暗合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》之意。该司法解释虽与《网络安全法》一样，未直接给出个人敏感信息的定义和相关规定，但是在第五条规定哪些行为属于侵犯公民个人信息罪中的“情节严重”量刑情节时，表达出了对个人敏感信息的重点保护含义：普通个人信息“五千条”属于“情节严重”，而“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的”、“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的”，即会被认定为“情节严重”。由此，我们可以看出两高对个人敏感信息的重点保护要求，企业在制订个人信息保护的内部规定时，建议有意识的对不同重要程度的个人信息制订不同程度的保护方案。

五、如何使用、保存用户个人信息？

《网络安全法》第四十一条规定：“网络运营者使用个人信息，应当公开使用规则，明示使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得违反法律、行政法规的规定和双方的约定使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”第四十二条规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。”

《个人信息安全规范》第6.2条规定：“收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。”第7条详细规定了对个人信息控制者访问个人信息控制措施、展示个人信息的限制、使用个人信息的限制等。

此次《个人信息安全规范》特别规定了收集信息后去标识化处理，其将去标识化和匿名化做出了区分：去标识化（de-identification）是指通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程；匿名化（anonymization）是指通过对个人信息的技术处理，使得个人信息主体无法被识别，且处理后的信息不能被复原的过程，个人信息经匿名化处理后所得的信息不属于个人信息。去标识化相较于匿名化要求更低，仅是收集个人信息后加密保存的一种手段，经过去标识化处理的个人信息依旧可能会被认定为个人信息，但笔者认为该规定一定程度上防范了工作人员盗取个人信息的行为，具有保护个人信息的正面作用。

六、用户有哪些权利？

《网络安全法》第四十三条规定：“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”

《个人信息安全规范》第7.4条-7.10条赋予了用户访问、更正、删除个人信息、撤回同意、注销账户、获取个人信息副本、约束信息系统自动决策等权利。

《个人信息安全规范》不仅在《网络安全法》的基础上对删除权和更正权做出里细化，还额外规定了访问权、获取权、撤回同意权、注销账户权，个人信息主体至此拥有了从提供信息到收回信息全过程的主体参与权利，企业应当注意在APP等产品或服务中预留注销账户接口以及有效的联系方式，以便信息主体行使权利。

七、违反者应承担什么责任？

由于《个人信息安全规范》属于推荐性国家标准，不具有强制力；而《网络安全法》属于我国法律，具有国家强制力，因此违反者应当承担的责任如下：

《网络安全法》第六十四条规定：“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款（取得同意）、第四十一条至第四十三条（收集、使用等环节）规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

违反本法第四十四条（非法出售或者非法向他人提供个人信息）规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。”

第六十六条规定：“关键信息基础设施的运营者违反本法第三十七条（境内存储）规定，在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”

八、隐私政策

《个人信息安全规范》第5.6条规定了隐私政策的内容和发布，并附录D提供隐私政策模板供参考，此举方便了涉及个人信息业务的企业隐私政策的制订，同时也对行业中个人信息保护条款不规范的状况做出回应。笔者建议相关企业在制定隐私政策时参考《个人信息安全规范》的附录D，同时也可以借鉴微信、淘宝、支付宝、新浪微博等APP最新的隐私政策，以使企业合规，规避法律风险。