引言

個人資訊是一項日益重要的民事權利，我國在民事、行政、刑事法律層面均建立了相應的保護機制，各行業的特別法律法規對某些特殊的個人資訊也提出了特殊的法律要求，體現了國家不斷加大保護公民個人資訊的力度、嚴厲打擊侵犯公民個人資訊行為的趨勢。但現時的相關法律法規大多停留於原則性、宣示性的層面，在實操方面亟需細化的規範性檔指導。

近日，中央網路安全和信息化領導小組辦公室（以下簡稱“網信辦”）、國家質量監督檢驗檢疫總局、全國資訊安全標準化技術委員會（以下簡稱“信安標委”）聯合發佈的國家標準《資訊安全科技個人資訊安全規範》（GB/T35273-2017）（以下簡稱《個人信息規範》或“規範”）為我國個人資訊保護工作的開展提供了詳實的實務指南，該標準是國家推薦性標準，將於2018年5月1日正式實施。

一、國家標準《個人信息規範》出臺背景

《中華人民共和國網絡安全法》（以下簡稱《網安法》）已於2017年6月1日正式實施。《網安法》作為我國網路空間安全管理的基本法律，框架性地構建了許多法律制度和要求，其中個人資訊保護制度是《網安法》關注的重點。

為了促進相關制度的有效實施

一方面，以網信辦為主的監管部門製定了多項配套法規，進一步細化和明確了《網安法》各項制度的具體要求、相關主體的職責以及監管部門的監管管道；

另一方面，信安標委同時製定並公開了一系列以資訊安全技術為主的重要標準，為網絡運營者提供了詳實的操作性合規指引。《個人信息規範》自2016年4月開始立項，經過一年多的時間的討論與修改終於塵埃落定。

參加該標準製定工作的組織包括北京資訊安全測評中心、頤信科技有限公司、中國資訊安全研究院、中國電子技術標準化研究院、公安部第一研究所、四川大學、上海國際問題研究院等。

《個人信息規範》定位於規範各類組織（包括機构、企業等）個人資訊處理活動，是我國個人資訊保護工作的國家推薦性標準。它為今後開展與個人資訊保護相關的各類活動提供了參攷，為國家首長部門、協力廠商測評機构等開展個人資訊安全管理、評估工作提供指導和依據。

二、《個人信息規範》在我國

個人資訊法律保護制度中的角色

近年來，隨著徐玉玉等個人資訊洩露案件被媒體廣泛報導，個人資訊的立法步伐日益加快。學界主張製定統一的《個人信息保護法》的呼聲不斷，但由於個人資訊內涵及法律内容一直存在不小的爭議，導致統一立法事宜並未擺上日程，使得我國的個人資訊相關法律規定較為分散。

在2012年全國人民代表大會常務委員會（以下簡稱全國人大常委會）出臺《關於加强網絡信息保護的决定》之前，我國並沒有個人資訊保護的專門立法。

2010年之後伴隨著社會各界對於個人資訊保護問題關注度的不斷提升，在立法中直接製定有關個人資訊保護條款的趨勢日益明顯[①]。

2.1我國個人資訊保護相關法律法規

• 國家根本大法層面，《憲法》（1982年，2004修正）中關於“公民的人格尊嚴不受侵犯，公民享有通信自由和通信秘密的權利，國家尊重和保障人權”等相關條款是個人資訊應當受到法律保護的《憲法》依據。

國家根本大法層面，《憲法》（1982年，2004修正）中關於“公民的人格尊嚴不受侵犯，公民享有通信自由和通信秘密的權利，國家尊重和保障人權”等相關條款是個人資訊應當受到法律保護的《憲法》依據。

• 民事法律層面，《民法總則》（2017年）首次對隱私權和個人資訊採取“二元論”保護模式[②]。《最高人民法院關於審理利用信息網絡侵害人身權益民事糾紛案件適用法律若幹問題的規定》（2014年）首次從司法解釋層面，明確了個人資訊的法律內涵及侵權責任承擔管道。《侵權責任法》（2010年）首次將隱私權納入民事權益的範疇。

民事法律層面，《民法總則》（2017年）首次對隱私權和個人資訊採取“二元論”保護模式[②]。《最高人民法院關於審理利用信息網絡侵害人身權益民事糾紛案件適用法律若幹問題的規定》（2014年）首次從司法解釋層面，明確了個人資訊的法律內涵及侵權責任承擔管道。《侵權責任法》（2010年）首次將隱私權納入民事權益的範疇。

• 行政監管法律層面，《網安法》（2017年）延續了《全國人民代錶大會常務委員會關於加强網絡信息保護的决定》（2012年）、《電信和互聯網用戶個人信息保護規定》（2013年）、《消費者權益保護法》（2014年）等關於個人資訊保護的思路，明確了“個人資訊”的概念，對個人資訊保護提出了更為嚴格的要求。

行政監管法律層面，《網安法》（2017年）延續了《全國人民代錶大會常務委員會關於加强網絡信息保護的决定》（2012年）、《電信和互聯網用戶個人信息保護規定》（2013年）、《消費者權益保護法》（2014年）等關於個人資訊保護的思路，明確了“個人資訊”的概念，對個人資訊保護提出了更為嚴格的要求。

• 刑事法律層面，《刑法修正案七》（2009年）新設“出售、非法提供公民個人資訊罪”和“非法獲取公民個人資訊罪”。《刑法修正案九》（2015年）對《刑法修正案七》進行了修改，將“出售、非法提供公民個人資訊罪”和“非法獲取公民個人資訊罪”綜合為“侵犯公民個人資訊罪”，明確放寬了侵犯公民個人資訊罪的主體範圍。

刑事法律層面，《刑法修正案七》（2009年）新設“出售、非法提供公民個人資訊罪”和“非法獲取公民個人資訊罪”。《刑法修正案九》（2015年）對《刑法修正案七》進行了修改，將“出售、非法提供公民個人資訊罪”和“非法獲取公民個人資訊罪”綜合為“侵犯公民個人資訊罪”，明確放寬了侵犯公民個人資訊罪的主體範圍。

2017年生效的《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若幹問題的解釋》（2017年）（以下簡稱《兩高司法解釋》）在《網安法》的基礎上，進一步擴大了個人資訊的定義範圍，將反映特定自然人活動情况的各種資訊，例如行踪軌跡資訊等均納入到個人資訊保護範疇，同時明確了此罪的認定標準和量刑標準。隨著一系列刑事法律的出臺，我國個人資訊保護邁開了刑法先行的步伐。

2.2《個人信息規範》的法律效力及意義

雖然2017年《民法總則》、《網安法》和《兩高司法解釋》的出臺極大程度上促進了我國在個人資訊保護方面的立法行程，但對於行業發展，尤其是大數據領域個人資訊保護問題，我國的立法並沒有給出具體的答案，相關定義和實務方案亟待明確。

《個人信息規範》相比國內現行的法律法規規章，以及現有的國家標準，提出了超過130項具體的個人資訊保護措施，篇幅超30頁，規定詳細指導性强，針對各類組織的個人資訊處理活動給出了具體操作規範。

從法律效力上，《個人信息規範》是國家推薦性標準，不屬於強制性標準，國家鼓勵企業自願採用。

《中華人民共和國標准化法》第二條規定：本法所稱標準（含標準樣品），是指農業、工業、服務業以及社會事業等領域需要統一的科技要求。標準包括國家標準、行業標準、地方標準和團體標準、企業標準。國家標準分為強制性標準、推薦性標準，行業標準、地方標準是推薦性標準。強制性標準必須執行。

國家鼓勵採用推薦性標準。第二十一條規定：國家鼓勵社會團體、企業製定高於推薦性標準相關科技要求的團體標準、企業標準。《個人信息規範》給軟體行業、互聯網行業提供一個可以參考、指導、遵照執行的標準。從內容來看，很像網站的“隱私政策”製定說明。

事實上，《個人信息規範》裏的很多原則、規範包括隱私政策範本等內容已經在2017年9月網信辦召開的個人資訊保護提升行動之隱私條款專項工作中被多家參評的互聯網公司所使用。在此規範還未發佈前，已有相關企業將此規範的內容作為企業內部個人資訊保護合規紅線相關制度的重要依據。

【錶1：個人資訊保護相關的重要法規

及規範性檔匯總目錄】

三、《個人信息規範》的主要內容和創新點

3.1《個人信息規範》的體例結構

《個人信息規範》分為五個部分：

• 第一部分給出了規範使用的範圍、規範性引用檔案、相關術語和定義。

第一部分給出了規範使用的範圍、規範性引用檔案、相關術語和定義。

• 第二部分提出了個人資訊安全保障八大原則，

第二部分提出了個人資訊安全保障八大原則，

• 第三部分是個人資訊收集、保存、使用、委託處理、共亯、轉讓和公開披露全生命週期的具體規範要求。

第三部分是個人資訊收集、保存、使用、委託處理、共亯、轉讓和公開披露全生命週期的具體規範要求。

• 第四部分是個人資訊安全事件處置和組織的管理要求。

第四部分是個人資訊安全事件處置和組織的管理要求。

• 第五部分是資料性附錄，包括個人資訊示例、個人敏感資訊判定、保障個人資訊主體選擇同意權的方法、隱私政策範本。整體而言，體例完整，結構科學。

第五部分是資料性附錄，包括個人資訊示例、個人敏感資訊判定、保障個人資訊主體選擇同意權的方法、隱私政策範本。整體而言，體例完整，結構科學。

3.2提出個人資訊保護七大原則

圍繞個人權益為中心的目標，《個人信息規範》借鑒OECD（Organization for Economic Co-operationand Development）《保護個人信息跨國傳送及隱私權指導綱領（1980）》和APEC（Asia-Pacific EconomicCooperation）《隱私保護框架（2004）》等國際準則和地區立法的規定，針對個人資訊控制者開展個人資訊處理活動提出了個人資訊安全七大基本原則：

（1）權責一致原則，對個人資訊主體合法權益造成的損害承擔責任。

（2）目的明確原則，具有合法、正當、必要、明確的個人資訊處理目的。

（3）選擇同意原則，向個人資訊主體明示個人資訊處理目的、管道、範圍、規則等，徵求其授權同意。

（4）最少够用原則，除與個人資訊主體另有約定外，只處理滿足個人資訊主體授權同意的目的所需的最少個人資訊類型和數量。目的達成後，應及時根據約定删除個人資訊。

（5）公開透明原則，以明確、易懂和合理的管道公開處理個人資訊的範圍、目的、規則等，並接受外部監督。

（6）確保安全原則，具備與所面臨的安全風險相匹配的安全能力，並採取足够的管理措施和科技手段，保護個人資訊的保密性、完整性、可用性。

（7）主體參與原則，向個人資訊主體提供能够訪問、更正、删除其個人資訊，以及撤回同意、註銷帳戶等方法。

3.3明確了相關重要定義的範圍

《網安法》和《兩高司法解釋》等法律法規雖然給出個人資訊的定義，但未明確個人資訊處理活動中重要術語的定義。《個人信息規範》彌補了現時法律法規在此方面的不足，為此後製定和實施個人資訊保護相關法律法規奠定了基礎。

除個人資訊定義外，《個人信息規範》明確給出了個人敏感資訊、個人資訊主體、個人資訊控制者、收集、明示同意、用戶畫像、個人資訊安全影響評估、删除、公開披露、轉讓、共亯、匿名化、去標識化的定義。

值得一提的是，《個人信息規範》以資料性附錄的形式給出了個人資訊、個人敏感資訊的範圍和類型。將之前存在爭議的網絡身份標識資訊、個人上網記錄、個人常用設備資訊均列入到個人資訊的控制範圍內。

【錶2：《個人信息規範》資料性附錄

《個人信息舉例》】

【錶3：《個人信息規範》資料性附錄

《個人敏感信息舉例》】

3.4覆蓋個人資訊處理活動全生命週期

《個人信息規範》的第三部分給出個人資訊全生命週期的安全規範要求。涵蓋收集、保存、使用、轉讓和披露、通用安全各個環節。

3.4.1個人資訊的收集

規範在個人資訊的收集環節明確了合法性和最小化的要求，對收集個人資訊時的授權同意進行了分類，針對直接獲取個人資訊和間接獲取個人資訊提出了不同的規範要求，同時還規定了收集個人資訊無需征得個人資訊主體授權同意的例外情形。

此環節還重點明確了收集個人敏感資訊時的明示同意的具體操作規範以及隱私政策的內容要求，並且通過資料性附錄的形式給出了收集敏感資訊的產品功能介面範本和隱私政策範本。

3.4.2個人資訊的保存

個人資訊的保存環節，該規範提出了個人資訊保存時間最小化、去標識化處理的具體要求。對個人敏感資訊的儲存，規範要求個人資訊控制者採用加密等安全措施，並要求存儲個人生物識別資訊時應採用科技措施處理後再進行存儲。最後，還要求個人資訊控制者在停止運營其產品和服務時，應停止收集活動、通知個人資訊主體，對所持有的個人資訊進行删除或匿名化處理。

3.4.3個人資訊的使用

在個人資訊的使用部分，規範重點明確個人資訊主體享有的資訊訪問權、更正權、删除權、撤銷權、註銷權、申訴權。對個人資訊控制者提出了個人資訊訪問、展示、使用的限制要求。

同時也規定了與國家安全、國防安全直接相關的；與公共安全、公共衛生、重大公共利益直接相關的；與犯罪偵查、起訴、審判和執行判决等直接相關的；個人資訊控制者有充分證據表明個人信息主體存在主觀惡意或濫用權利的；響應個人資訊主體的請求將導致個人資訊主體或其他個人、組織的合法權益受到嚴重損害的；涉及商業秘密等相關情形下可以不響應個人資訊主體的權利請求。

3.4.4個人資訊的委託處理、共亯、轉讓、公開披露

在此部分，規範重點規定了個人資訊控制者在將用戶的個人資訊進行外部處理時的規範要求。明確了個人資訊控制者不得超授權範圍做出委託行為，並須對委託行為進行個人資訊安全影響評估，個人資訊控制者可通過契约或稽核等管道對受委託者進行監督。受委託人未按要求處理個人資訊或無法提供足够的安全保護水准或發送安全事件時對個人資訊控制者負有迴響義務。

在個人資訊共用和轉讓環節，規範列明了原則上不得共亯、轉讓。確需共亯、轉讓時應事先征得個人資訊主體的同意，涉及敏感資訊的，應該征得個人資訊主體的明示同意。收購、購並、重組時的個人資訊轉讓，個人資訊控制者負有告知義務，如變更後的個人資訊控制者變更資訊使用目的的，須重新獲得個人資訊主體的明示同意。

公開披露環節，原則上不得公開披露，經法律授權或具備合理事由確需公開披露時，需事先開展個人資訊安全影響評估。告知個人資訊主體公開披露個人資訊的目的、類型，公開披露個人敏感資訊前，應該告知涉及的個人敏感資訊的內容，不得公開披露個人生物識別資訊。共亯、轉讓、公開披露環節與使用環節一樣規定了事先征得同意的例外情形。

針對服務平臺與平臺上簽約商家等作為共同個人資訊控制的情形，規範規定了個人資訊控制者和協力廠商分別承擔責任和義務。對於協力廠商挿件問題上，規範認為個人資訊控制者和協力廠商為共同個人資訊控制。

3.5明確安全管理的要求

規範要求個人資訊控制者建立安全事件應急處置和報告制度，定期開展個人資訊安全影響評估，建立資料安全能力，同時要求個人資訊控制者對相關人員進行管理和培訓，以及安全稽核。

四、域外法律對《個人信息規範》製定的影響

標準在製定過程中參攷了個人資訊保護方面通信的國際準則、外國的最新立法、權威的國際標準等。

除此之外，《個人信息規範》還參攷OECD隱私框架、APEC隱私框架等國際規則，歐盟《通用數據保護條例》（General Data Protection Regulation，GDPR）、歐美《隱私盾框架》（EU-U.S. Privacy Shield Framework）、美國《消費者隱私權法案》（Consumer Privacy Bill of Rights）等歐美個人資訊保護方面的立法。

《個人信息規範》在參攷個人資訊保護方面的國際標準的基礎上做到與國際接軌。ISO/IECJTC1/S C27是國際標準組織（I SO）和國際電子電機委員會（IEC）聯合技術委員會（JTC1）下屬專門負責資訊安全領域標準化研究與製定工作的分技術委員會，SC27/WG5負責身份管理和隱私保護相關標准的研製和維護。

現時最具代表性和體系性的屬ISO/IEC29100系列標準，包括：ISO/IEC 29100《隱私保護框架》、ISO/IEC 29101《隱私體系架構》、ISO/IEC 29190《隱私能力評估模型》、ISO/IEC 29134《隱私影響評估》、ISO/IEC29151《個人可識別信息保護指南》等。此外，還有美國的保護個人身份資訊機密性指南（NIST SP800-122）、聯邦資訊系統隱私與安全控制（NISTSP800-53）；歐盟的數據保護稽核實踐清單（CWA 15262:2005），管理者的自評估框架（CWA 16112:2010），個人數據保護良好實踐（CWA 16113:2010），等等[③]。

五、結語

總體而言《個人信息規範》的出臺對於行業影響的積極意義大於對大數據等行業發展所產生的限制。期望後續在國家首長部門、協力廠商測評機构等引用此檔案開展個人資訊安全管理、評估工作時能够把握好個人資訊主體、個人資訊控制者、協力廠商等相關方合理訴求的平衡，讓指引檔案一方面能够促進個人資訊的保護，另一方也能提升大數據、軟件等產業的發展水平，多方共治，共同加强社會整體對個人資訊保護的意識。

[1]王融：《大數據時代》[M]，中國工信出版集團、人民郵電出版社，2017年3月第一版，第97頁。

[2]李永軍：《<民法總則>中個人隱私與信息的“二元制”保護及請求權基礎》。

[3]何延哲洪延青：《<個人信息安全規範>在全國信息安全標准化技術委員會2016年第二次工作組會議周上的進展匯報》。

本文作者系百度法務部高級法律顧問

往期文章推薦

直播答題火爆背後的法律冷思考

趙鷂|數位時代的零售支付市場：新問題、新挑戰、新機遇

張柱庭：汽車租賃行業的政策法律現狀及發展趨勢

Baidu Public Policy Research Institute

百度公共政策研究院專注互聯網行業政策法律規制，致力於從政策法律角度記錄中國互聯網的發展，溝通交流關於互聯網政策法律問題的觀點和資訊。

微訊號：InternetPolicyReview