连载目录

1第一章  网络安全法导读

2第二章  网络安全法总则

3第三章  网络安全支持与促进制度

4第四章  网络运行安全制度一般规定（上）

5第四章  网络运行安全制度一般规定（下）

6第五章  关键信息基础设施运行安全制度

7第六章  个人信息保护制度（上）

8第六章  个人信息保护制度（中）

9第六章  个人信息保护制度（下）

10第七章  违法信息监管制度

11第八章  数据出境安全管理制度

12第九章  网络安全监测预警与应急处置制度

13第十章  网络安全法律责任制度

      网络安全法第四章网络信息安全包含第四十条至第五十条，其中第四十条至第四十五条是关于个人信息保护制度的规定，第四十六条至第五十条是关于违法信息监管制度的规定。我国个人信息保护法自2021年11月1日起施行。

      本章讨论个人信息保护制度，具体包括我国个人信息保护的法律体系、个人信息保护制度概述、个人信息保护法概述、个人信息保护的具体规则、移动互联网应用程序（App）收集使用个人信息的专项治理等。

本讲义另设专章讨论违法信息监管制度。

第一节 我国个人信息保护规范体系

一、个人信息保护立法进程

个人信息被誉为二十一世纪最有价值的资源。推动个人信息的合理、合法收集和使用，保障个人和企业之间形成良好的互动关系，对于形成数字经济健康发展的制度环境至关重要。同时，大数据技术及相关产业的发展，正前所未有地改变着个人信息的收集和使用方式，对现有的个人信息保护制度带来新的问题和挑战。如何有效平衡个人信息的利用与保护，是各国经济发展所面临的共同问题。

欧盟将个人信息作为公民的一项基本人权加以保护，主张统一的严格立法，强化政府部门对于个人信息保护的监管职权。美国则采用分散立法加行业自律的模式，以实现信息保护与产业发展、政府监管与公民表达自由之间的平衡。

我国已施行个人信息保护法。法律、行政法规、部门规章、地方性法规、地方政府规章、国家标准等不同层次和不同法律效力的规范性文件组成我国的个人信息保护法律体系。

2000年12月28日通过的《全国人民代表大会常务委员会关于维护互联网安全的决定》第四条规定，为了保护个人、法人和其他组织的人身、财产等合法权利，对有非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密行为，构成犯罪的，依照刑法有关规定追究刑事责任。该决定是以法律规范互联网的开端，其中将信息安全视为互联网安全的重要内容，采用刑事制裁手段维护信息主体权利。

2009年2月28日通过并施行的《刑法修正案（七）》增设刑法第二百五十三条之一，规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。

2009年12月26日通过、自2010年7月1日起实施的《侵权责任法》第三十六条规定，网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。

2012年12月28日通过并施行的《全国人民代表大会常务委员会关于加强网络信息保护的决定》明确规定国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息，收集使用个人信息的原则与义务，侵害个人信息的责任承担。其为个人信息保护工作的开展提供了法律依据。

2013年9月1日起施行的、工信部发布的《电信和互联网用户个人信息保护规定》具体规定了电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施等要求。

2014年3月15日起实施的、由全国人大常委会修订的新版《消费者权益保护法》对特别重视消费者的个人信息保护，规定了经营者对个人信息的保护义务和侵害消费者个人信息的侵权责任。

2015年11月1日起实施的《刑法修正案（九）》，修改刑法第二百五十三条之一的规定，通过扩大犯罪主体的范围和扩充侵犯个人信息行为的范围，统一规定侵犯公民个人信息罪，加强对个人信息安全的保护。

2017年6月1日起实施的网络安全法，设“网络信息安全”专章，将个人信息纳入保护范围，规定网络运营者个人信息保护的基本原则和行为规范。

2017年1月1日《民法总则》实施，单列个人信息保护条款，明确自然人的个人信息受法律保护。

2018年9月10日《十三届全国人大常委会立法规划》公布，个人信息保护法列入立法规划，属于“条件比较成熟、任期内拟提请审议”的法律草案。

2020年5月28日民法典颁布，人格权编第六章规定“隐私权和个人信息保护”。

2020年10月13日《个人信息保护法（草案)》首次提请第十三届全国人大常委会第二十二次会议审议。2021年4月26日全国人大常委会第二十八次会议对《个人信息保护法（草案二次审议稿）》进行审议。2021年8月20日全国人大常委会第三十次会议表决通过个人信息保护法。

此外，《征信业管理条例》（2013）、《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（2014）、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（2017）等分别从行政、民事、刑事各个方面补充健全个人信息保护法律体系。

为配合相关法律的实施，个人信息保护相关的国家标准正在逐步制订完善。由安标委组织制定和归口管理，经国家质量监督检验检疫总局、国家标准化管理委员会批准的《信息安全技术 个人信息安全规范》（GB/T 35273-2017）是推荐性国家标准，于2017年12月29日发布，2018年5月1日实施。2020年10月1日实施的《信息安全技术 个人信息安全规范》（GB/T 35273-2020）全部代替（GB/T 35273-2017），是基础性的国家标准（简称“个人信息安全规范”）。

根据2022年10月12日国家市场监督管理总局（简称“市场监管总局”）、国家标准化管理委员会发布的《中华人民共和国国家标准公告》（2022年第13号），安标委归口的14项网络安全国家标准获批发布，其中12项涉及数据安全与个人信息保护。

2022年11月4日市场监管总局和国家网信办发出《关于实施个人信息保护认证的公告》，以附件形式发布《个人信息保护认证实施规则》。

    2024年6月11日安标委秘书处发出《网络安全标准实践指南——敏感个人信息识别指南（征求意见稿）》面向社会公开征求意见。

二、个人信息安全规范

2020版的个人信息安全规范具体界定了个人信息的内涵和外延、规范了个人信息处理原则，就个人信息控制者在个人信息的收集、存储、使用、共享、转让、公开披露等信息处理过程中的操作规范和准则提出了具体要求。在现有法律法规的规定过于原则的情况下，该标准弥补了实践中的诸多操作规范空白，为优化政府监管、推动企业合规提供了符合行业发展需求的规范性指引。

（一）个人信息安全规范是推荐性国家标准（性质层面）

根据《标准化法》，标准是指农业、工业、服务业以及社会事业等领域需要统一的技术要求。标准包括国家标准、行业标准、地方标准和团体标准、企业标准。国家标准分为强制性标准、推荐性标准，行业标准、地方标准是推荐性标准。强制性标准必须执行。国家鼓励采用推荐性标准。

对保障人身健康和生命财产安全、国家安全、生态环境安全以及满足经济社会管理基本需要的技术要求，应当制定强制性国家标准。强制性国家标准由国务院批准发布或者授权批准发布。法律、行政法规和国务院决定对强制性标准的制定另有规定的，从其规定。

对满足基础通用、与强制性国家标准配套、对各有关行业起引领作用等需要的技术要求，可以制定推荐性国家标准。推荐性国家标准由国务院标准化行政主管部门制定。

强制性国家标准的代码为“GB”，推荐性国家标准的代码为“GB/T”。

下文将主要介绍现行有效的2020版个人信息安全规范。 

（二）个人信息安全规范为个人信息保护实践提供标准化指引（内容层面）

网络安全法原则规定了个人信息保护制度。个人信息安全规范作为网络安全法配套的规范性文件，比较完整地规定了个人信息保护领域的术语，规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求，为网络运营者构建和完善个人信息安全管理制度及制定隐私政策提供了指引。

个人信息安全规范所规定的个人信息安全基本原则和安全要求已在个人信息保护实践中得到充分应用。

（三）个人信息安全规范为个人信息保护监管提供规范性参考（效力层面）

个人信息安全规范在“范围”中指出：“本标准适用于规范各类组织的个人信息处理活动，也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。”

个人信息安全规范既是衡量网络运营者个人信息保护水平的标尺，也是监管机构行政执法的重要参考。各方主体都应将其落实在管理实践中。

第二节 个人信息保护制度概述

一、个人信息保护的规范性表述

关于网络相关的个人信息保护，网络安全法第四十条规定：“网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。”

《民法总则》第一百一十一条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”

民法典第一千零三十四条规定：“自然人的个人信息受法律保护。

……

个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”

个人信息保护法第二条规定：“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”

二、个人信息的定义

1.网络安全法第七十六条规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”

2.民法典第一千零三十四条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”

3.个人信息保护法第四条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

4.个人信息安全规范第3.1项规定，“个人信息”是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

注2：关于个人信息的范围和类型可参见附录 A。”

现将个人信息安全规范“附录A（资料性附录）：个人信息示例”的内容介绍如下：

“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 

判定某项信息是否属于个人信息，应考虑以下两条路径：一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。二是关联，即从个人到信息，如已知特定自然人，则由该特定自然人在其活动中产生的信息 （如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。符合上述两种情形之一的信息，均应判定为个人信息。

表A.1个人信息举例。”