个人电子信息保护立法的新发展

2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过了《关于加强网络信息保护的决定》（“《决定》”），并于同日公布实施。2012年11月5日，由工业和信息化部提出、由全国信息安全标准化技术委员会归口管理、并由中国软件评测中心等十几家单位共同起草完成的《信息安全技术公共及商用服务信息系统个人信息保护指南》（GB/Z 28828-2012）（“《指南》”）发布，并于2013年2月1日生效。

一、性质及立法背景

《决定》系全国人大常委会颁布的有关法律问题的决定，具有法律层级的效力，其首次将“个人信息保护”的议题从各部门法、行政法规和部委规章的零散规定中独立出来，提升到法律规范层面。而《指南》系我国首部关于个人信息保护的国家标准化指导性技术文件，但并不具有强制约束力。依据《国家标准化指导性技术文件管理规定》，其发布后三年内必须复审，以决定是否继续有效、或转化为国家标准、或被撤销。

互联网革命性的促进和便利了信息的传播，但另一方面也放大了个人信息泄露和滥用的不利后果。《决定》的出台回应了公众对通过互联网传播的个人信息加强保护的迫切吁求。2011年底，中国互联网遭遇了大规模的用户信息泄密事件，多家大型网站的用户数据被泄露，几千万用户账号和密码被公开。今年的央视315晚会，又曝光了某些网络服务提供商通过侵入用户个人账户、追踪用户网络行为，分析用户的喜好、习惯、倾向，从而实现商业广告的精准投放。上述案例均引发了公众广泛的关注和焦虑。而实践中，各类企事业单位收集、使用、处理公民个人电子信息并没有统一明确的法律规范，随意收集、擅自使用、非法泄露甚至倒卖公民个人电子信息的现象比较严重。虽然早在2003年《个人信息保护法》起草工作即已立项，2005年提出了《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》，但由于个人信息保护涉及领域广泛、需要协调的部门繁多，该法至今尚未出台。因此，《决定》的出台为加强个人信息保护、建立并完善个人信息保护制度、维护网络信息安全提供了纲领性的法律依据。

而《指南》的出台则在技术层面为个人信息保护确立了统一的标准，为实施保护的各个环节提供了操作规范和指引。《指南》的草案最早命名为《信息安全技术个人信息保护指南》（草案），并于2011年2月10日公布征求意见稿。但是鉴于个人信息保护的标准涉及的行业多、领域广，概念界定分歧多，相关标准迟迟难以形成。最终，《指南》确定只适用在公共及商用服务信息系统，而排除了对政府机关的适用。根据工信部就《指南》答记者问时所表达的立场，虽然对个人信息保护最好的办法还是立法，但是在法律成型之前，《指南》将扮演行业公约的角色，为行业开展自律工作提供很好的参考。可以预见，在具有法律强制约束力的统一标准出台之前，《指南》将极有可能在行政和司法实践中作为衡量当事人是否对个人信息提供适当保护的标准而被参照适用。

二、主要规定及现实影响

1、保护范围

《决定》第一条明确将“能够识别公民个人身份和涉及公民个人隐私的电子信息”纳入法律保护范围。而《指南》明确将“个人信息”定义为“可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据”。可见，《决定》和《指南》均着眼于“个人电子信息”的保护。

此外，《指南》将个人信息分为“个人敏感信息”和“个人一般信息”。其中个人敏感信息被定义为“一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息”，包括：身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。而个人一般信息则是“个人敏感信息以外的个人信息”，它们大多带有广而告之的性质。在个人信息的收集和删除阶段，《指南》针对不同类型的个人信息提出了严格程度不同的要求。比如，收集个人一般信息时，可认为个人信息主体默许同意；但收集个人敏感信息时，要得到个人信息主体的明示同意。

2、适用主体

《决定》实际上将负有个人信息保护义务的主体划分为分两个层级。

第一层级为针对任何组织和个人的一般禁止性规定：不得非法获取、窃取、出售、提供公民个人电子信息（《决定》第一条），不得发送垃圾电子信息（《决定》第七条）。这是保护公民隐私不受侵犯及生活安宁不受侵扰的原则性规定。

第二层级针对两类主体：（1）《决定》第二条至第五条用最大的篇幅规范了网络服务提供者和其他企事业单位及其工作人员在“业务活动”中收集、使用、提供、保管个人信息的行为，并且在第六条确立了网络/电信服务实名制原则；（2）《决定》第十条针对国家机关及其工作人员，要求其对在履行职责中知悉的公民个人电子信息应当予以保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。

《指南》则明确了适用主体系“除政府机关等行使公共管理职责的机构以外的各类组织和机构，如电信、金融、医疗等领域的服务机构”。律师实务中，这也是客户最有可能产生关切的领域。

《指南》将信息系统个人信息保护实施过程中可能涉及的主要角色划分为个人信息主体（即个人信息指向的自然人）、个人信息管理者（如电信、金融、医疗等服务机构）、个人信息获得者（如数据外包服务商等）和独立测评机构（即独立于个人信息管理者的专业测评机构），并针对其各自的职责分别做出了规定。其中，对于个人信息管理者的职责约束尤其细致。比如，要求个人信息管理者负责规划、设计和建立个人信息处理流程；制定个人信息管理制度、落实个人信息管理责任；指定专人负责机构内部的个人信息保护工作，接受投诉与质询；制定个人信息保护的教育培训计划并组织落实；建立个人信息保护的内控机制，并定期对信息系统的安全状况、保护制度及措施的落实情况进行自查或委托独立测评机构进行测评。此外，《指南》还要求个人信息管理者管控个人信息处理过程中的风险，对可能出现的个人信息泄露、丢失、损坏、篡改、不当使用等事件制定预案；发现上述情况后，及时采取应对措施，防止事件影响进一步扩大，并及时告知受影响的个人信息主体；发生重大事件的，及时向个人信息保护管理部门通报等等。这些规定虽然目前不具有强制性，但是其确立了上述服务机构在个人信息保护和管理方面良好治理的基本要求和标准。

随着整个中国社会个人信息保护意识的觉醒和相关立法程序的推进，相信这些保护措施升级为相关服务提供者的法律义务只是时间问题。需要大量处理个人信息的服务提供者如果能够立足长远，在控制成本的同时逐步推进相关个人信息保护措施的完善，则完全可以在未来相关法律出台后缩短甚至消除“合规适应期”，并在提升服务质量方面抢占先机。

3、信息处理

两部文件对于信息处理流程中的保护性规定均有可圈可点之处。

《决定》规定，网络服务提供者和其他企事业单位在业务活动中收集、使用公民个人信息的行为应当遵循“合法、正当、必要”的原则。《指南》将个人信息的处理过程划分为收集、加工、转移、删除四个主要环节，提出了“目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确”八项原则。下文仅撷取若干值得特别关注的要点。

针对信息收集环节，《决定》要求网络服务提供者和其他企业事业单位公开其收集、使用规则，明示收集、使用信息的目的、方式和范围并经被收集者同意。《指南》在明示同意、默许同意的适用范围等细致规定之外，更进一步要求“不采取隐蔽手段或以间接方式收集个人信息”、“不直接向未满16周岁的未成年人等限制民事行为能力或无行为能力人收集个人敏感信息”，否则需征得其法定监护人明示同意。可以想象，《指南》的上述规定一旦具有强制执行效力，对门户网站、即时通讯、社交网站、电子商务等服务提供商会带来巨大的流程重置和技术升级压力。

在信息转移环节，《指南》规定，除非经个人信息主体明示同意、或法律法规有明确规定、或经主管部门同意，“个人信息管理者不得将个人信息转移给境外个人信息获得者，包括位于境外的个人或境外注册的组织和机构”。尚在《指南》草案阶段我们即注意到，类似的规定已经引起存在数据服务跨境外包需求的中国及跨国公司的疑虑。这一明显具有强化中国主管机关地域管辖权倾向的规定，未来会在多大程度上被个人信息保护法所吸收和借鉴，足以引起利益相关方的重视和持续关注。

此外，针对两部文件的规定，我们在实务中还注意到跨国公司从员工管理角度提出的疑问。如果相关规定强制适用于雇主对雇员个人电子信息的收集、保管和处理，毫无疑问，雇主方面的员工管理成本可能会显著增加，在处理劳资纠纷时，雇主方面的技术性违法也可能被雇员用作诉讼工具或谈判筹码。通过文义解释和立法目的解释，《决定》适用于员工个人信息保护的可能性似乎较低，但《指南》的适用性可能比较高。由于相关文件颁布时间很短，目前尚无明确的司法解释或案例可资参考，上述一般性理解正确与否尚需时间检验。

三、法律救济与责任

对于违反《决定》的行为，民事、行政、刑事三种法律责任三管齐下，为相关保护机制的落实提供了保障和基础。

民事责任

虽然《决定》仅笼统提及“侵害他人民事权益的，依法承担民事责任”，但这点明了公民个人电子信息作为一种可受侵权责任法保护之民事权益的法律属性，也与《侵权责任法》第三十六条提供的救济措施以及网络服务提供者承担连带责任之规定遥相呼应。

行政责任

《决定》明确列举了“警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等”处罚措施，以及“记入社会信用档案并予以公布”的手段。值得关注的是，上述措施中，“警告、罚款、没收违法所得、吊销许可证或者取消备案”系《行政处罚法》已明确设定的处罚种类。“关闭网站”实属《行政处罚法》下“责令停产停业”在互联网行业的具体表现，且亦为《互联网信息服务管理办法》所采用。而“禁止有关责任人员从事网络服务业务”、“记入社会信用档案并予以公布”等手段尚属首次在法律层级的文件中出现。这些新的制裁措施有可能为未来“个人信息保护法”的罚则奠定基础，亦有可能为更多的下位法所引述。

刑事责任

目前《刑法》下相关的罪名仅限于《刑法修正案（七）》的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。而这两项内容，恰恰构成了《决定》第一条针对任何组织和个人的一般禁止性规定。对于“出售、非法提供公民个人信息罪”，其犯罪主体仅限于国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员，文义上其适用范围窄于《决定》第一条。对于“非法获取公民个人信息罪”，其犯罪主体为任何单位和个人，适用范围上与《决定》第一条的原则性规定完全一致。

对于网络服务提供商能否构成“出售、非法提供公民个人信息罪”的犯罪主体理论界尚存争议。在认为不应适用的传统观点之外，也有声音支持扩大解释，认为网络服务提供者也在向不特定公众提供公共服务（比如新浪、搜狐、腾讯、淘宝也是经营增值电信业务的单位），亦可依此治罪。

《决定》和《指南》两份文件在短时间内相继出台，是个人信息保护立法发展的里程碑。当然，有关主管机关将如何“在各自职权范围内依法履行职责”还需要我们持续性的观察。对于客户而言，如何应对及化解相关法规出台及后续发展所可能带来的风险和挑战，正是我们需要与之共同面对的课题。