個人信息保護法

中華人民共和國個人信息保護法

（2021年8月20日第十三屆全國人民代表大會常務委員會第三十次會議通過） ^[17] 

第一章 總 則

第二章 個人信息處理規則

第一節 一般規定

第二節 敏感個人信息的處理規則

第三節 國家機關處理個人信息的特別規定

第三章 個人信息跨境提供的規則

第四章 個人在個人信息處理活動中的權利

第五章 個人信息處理者的義務

第六章 履行個人信息保護職責的部門

第七章 法律責任

第八章 附 則

第一章 總 則

第一條 為了保護個人信息權益，規範個人信息處理活動，促進個人信息合理利用，根據憲法，制定本法。

第二條 自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益。

第三條 在中華人民共和國境內處理自然人個人信息的活動，適用本法。

在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，有下列情形之一的，也適用本法：

（一）以向境內自然人提供產品或者服務為目的；

（二）分析、評估境內自然人的行為；

（三）法律、行政法規規定的其他情形。

第四條 個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理後的信息。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

第五條 處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。

第六條 處理個人信息應當具有明確、合理的目的，並應當與處理目的直接相關，採取對個人權益影響最小的方式。

收集個人信息，應當限於實現處理目的的最小範圍，不得過度收集個人信息。

第七條 處理個人信息應當遵循公開、透明原則，公開個人信息處理規則，明示處理的目的、方式和範圍。

第八條 處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響。

第九條 個人信息處理者應當對其個人信息處理活動負責，並採取必要措施保障所處理的個人信息的安全。

第十條 任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動。

第十一條 國家建立健全個人信息保護制度，預防和懲治侵害個人信息權益的行為，加強個人信息保護宣傳教育，推動形成政府、企業、相關社會組織、公眾共同參與個人信息保護的良好環境。

第十二條 國家積極參與個人信息保護國際規則的制定，促進個人信息保護方面的國際交流與合作，推動與其他國家、地區、國際組織之間的個人信息保護規則、標準等互認。

第二章 個人信息處理規則

第一節 一般規定

第十三條 符合下列情形之一的，個人信息處理者方可處理個人信息：

（一）取得個人的同意；

（二）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；

（三）為履行法定職責或者法定義務所必需；

（四）為應對突發公共衞生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；

（五）為公共利益實施新聞報道、輿論監督等行為，在合理的範圍內處理個人信息；

（六）依照本法規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息；

（七）法律、行政法規規定的其他情形。

依照本法其他有關規定，處理個人信息應當取得個人同意，但是有前款第二項至第七項規定情形的，不需取得個人同意。

第十四條 基於個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自願、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的，從其規定。

個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應當重新取得個人同意。

第十五條 基於個人同意處理個人信息的，個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。

個人撤回同意，不影響撤回前基於個人同意已進行的個人信息處理活動的效力。

第十六條 個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務；處理個人信息屬於提供產品或者服務所必需的除外。

第十七條 個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：

（一）個人信息處理者的名稱或者姓名和聯繫方式；

（二）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；

（三）個人行使本法規定權利的方式和程序；

（四）法律、行政法規規定應當告知的其他事項。

前款規定事項發生變更的，應當將變更部分告知個人。

個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的，處理規則應當公開，並且便於查閲和保存。

第十八條 個人信息處理者處理個人信息，有法律、行政法規規定應當保密或者不需要告知的情形的，可以不向個人告知前條第一款規定的事項。

緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的，個人信息處理者應當在緊急情況消除後及時告知。

第十九條 除法律、行政法規另有規定外，個人信息的保存期限應當為實現處理目的所必要的最短時間。

第二十條 兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應當約定各自的權利和義務。但是，該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。

個人信息處理者共同處理個人信息，侵害個人信息權益造成損害的，應當依法承擔連帶責任。

第二十一條 個人信息處理者委託處理個人信息的，應當與受託人約定委託處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等，並對受託人的個人信息處理活動進行監督。

受託人應當按照約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息；委託合同不生效、無效、被撤銷或者終止的，受託人應當將個人信息返還個人信息處理者或者予以刪除，不得保留。

未經個人信息處理者同意，受託人不得轉委託他人處理個人信息。

第二十二條 個人信息處理者因合併、分立、解散、被宣告破產等原因需要轉移個人信息的，應當向個人告知接收方的名稱或者姓名和聯繫方式。接收方應當繼續履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意。

第二十三條 個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯繫方式、處理目的、處理方式和個人信息的種類，並取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等範圍內處理個人信息。接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意。

第二十四條 個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

通過自動化決策方式向個人進行信息推送、商業營銷，應當同時提供不針對其個人特徵的選項，或者向個人提供便捷的拒絕方式。

通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以説明，並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

第二十五條 個人信息處理者不得公開其處理的個人信息，取得個人單獨同意的除外。

第二十六條 在公共場所安裝圖像採集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，並設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用於維護公共安全的目的，不得用於其他目的；取得個人單獨同意的除外。

第二十七條 個人信息處理者可以在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息；個人明確拒絕的除外。個人信息處理者處理已公開的個人信息，對個人權益有重大影響的，應當依照本法規定取得個人同意。

第二節 敏感個人信息的處理規則

第二十八條 敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬户、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。

第二十九條 處理敏感個人信息應當取得個人的單獨同意；法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定。

第三十條 個人信息處理者處理敏感個人信息的，除本法第十七條第一款規定的事項外，還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響；依照本法規定可以不向個人告知的除外。

第三十一條 個人信息處理者處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監護人的同意。

個人信息處理者處理不滿十四周歲未成年人個人信息的，應當制定專門的個人信息處理規則。

第三十二條 法律、行政法規對處理敏感個人信息規定應當取得相關行政許可或者作出其他限制的，從其規定。

第三節 國家機關處理個人信息的特別規定

第三十三條 國家機關處理個人信息的活動，適用本法；本節有特別規定的，適用本節規定。

第三十四條 國家機關為履行法定職責處理個人信息，應當依照法律、行政法規規定的權限、程序進行，不得超出履行法定職責所必需的範圍和限度。

第三十五條 國家機關為履行法定職責處理個人信息，應當依照本法規定履行告知義務；有本法第十八條第一款規定的情形，或者告知將妨礙國家機關履行法定職責的除外。

第三十六條 國家機關處理的個人信息應當在中華人民共和國境內存儲；確需向境外提供的，應當進行安全評估。安全評估可以要求有關部門提供支持與協助。

第三十七條 法律、法規授權的具有管理公共事務職能的組織為履行法定職責處理個人信息，適用本法關於國家機關處理個人信息的規定。

第三章 個人信息跨境提供的規則

第三十八條 個人信息處理者因業務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：

（一）依照本法第四十條的規定通過國家網信部門組織的安全評估；

（二）按照國家網信部門的規定經專業機構進行個人信息保護認證；

（三）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；

（四）法律、行政法規或者國家網信部門規定的其他條件。

中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的，可以按照其規定執行。

個人信息處理者應當採取必要措施，保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準。

第三十九條 個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯繫方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項，並取得個人的單獨同意。

第四十條 關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估；法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定。

第四十一條 中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理外國司法或者執法機構關於提供存儲於境內個人信息的請求。非經中華人民共和國主管機關批准，個人信息處理者不得向外國司法或者執法機構提供存儲於中華人民共和國境內的個人信息。

第四十二條 境外的組織、個人從事侵害中華人民共和國公民的個人信息權益，或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的，國家網信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，並採取限制或者禁止向其提供個人信息等措施。

第四十三條 任何國家或者地區在個人信息保護方面對中華人民共和國採取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據實際情況對該國家或者地區對等採取措施。

第四章 個人在個人信息處理活動中的權利

第四十四條 個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理；法律、行政法規另有規定的除外。

第四十五條 個人有權向個人信息處理者查閲、複製其個人信息；有本法第十八條第一款、第三十五條規定情形的除外。

個人請求查閲、複製其個人信息的，個人信息處理者應當及時提供。

個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。

第四十六條 個人發現其個人信息不準確或者不完整的，有權請求個人信息處理者更正、補充。

個人請求更正、補充其個人信息的，個人信息處理者應當對其個人信息予以核實，並及時更正、補充。

第四十七條 有下列情形之一的，個人信息處理者應當主動刪除個人信息；個人信息處理者未刪除的，個人有權請求刪除：

（一）處理目的已實現、無法實現或者為實現處理目的不再必要；

（二）個人信息處理者停止提供產品或者服務，或者保存期限已屆滿；

（三）個人撤回同意；

（四）個人信息處理者違反法律、行政法規或者違反約定處理個人信息；

（五）法律、行政法規規定的其他情形。

法律、行政法規規定的保存期限未屆滿，或者刪除個人信息從技術上難以實現的，個人信息處理者應當停止除存儲和採取必要的安全保護措施之外的處理。

第四十八條 個人有權要求個人信息處理者對其個人信息處理規則進行解釋説明。

第四十九條 自然人死亡的，其近親屬為了自身的合法、正當利益，可以對死者的相關個人信息行使本章規定的查閲、複製、更正、刪除等權利；死者生前另有安排的除外。

第五十條 個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的，應當説明理由。

個人信息處理者拒絕個人行使權利的請求的，個人可以依法向人民法院提起訴訟。

第五章 個人信息處理者的義務

第五十一條 個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，採取下列措施確保個人信息處理活動符合法律、行政法規的規定，並防止未經授權的訪問以及個人信息泄露、篡改、丟失：

（一）制定內部管理制度和操作規程；

（二）對個人信息實行分類管理；

（三）採取相應的加密、去標識化等安全技術措施；

（四）合理確定個人信息處理的操作權限，並定期對從業人員進行安全教育和培訓；

（五）制定並組織實施個人信息安全事件應急預案；

（六）法律、行政法規規定的其他措施。

第五十二條 處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及採取的保護措施等進行監督。

個人信息處理者應當公開個人信息保護負責人的聯繫方式，並將個人信息保護負責人的姓名、聯繫方式等報送履行個人信息保護職責的部門。

第五十三條 本法第三條第二款規定的中華人民共和國境外的個人信息處理者，應當在中華人民共和國境內設立專門機構或者指定代表，負責處理個人信息保護相關事務，並將有關機構的名稱或者代表的姓名、聯繫方式等報送履行個人信息保護職責的部門。

第五十四條 個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。

第五十五條 有下列情形之一的，個人信息處理者應當事前進行個人信息保護影響評估，並對處理情況進行記錄：

（一）處理敏感個人信息；

（二）利用個人信息進行自動化決策；

（三）委託處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；

（四）向境外提供個人信息；

（五）其他對個人權益有重大影響的個人信息處理活動。

第五十六條 個人信息保護影響評估應當包括下列內容：

（一）個人信息的處理目的、處理方式等是否合法、正當、必要；

（二）對個人權益的影響及安全風險；

（三）所採取的保護措施是否合法、有效並與風險程度相適應。

個人信息保護影響評估報告和處理情況記錄應當至少保存三年。

第五十七條 發生或者可能發生個人信息泄露、篡改、丟失的，個人信息處理者應當立即採取補救措施，並通知履行個人信息保護職責的部門和個人。通知應當包括下列事項：

（一）發生或者可能發生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；

（二）個人信息處理者採取的補救措施和個人可以採取的減輕危害的措施；

（三）個人信息處理者的聯繫方式。

個人信息處理者採取措施能夠有效避免信息泄露、篡改、丟失造成危害的，個人信息處理者可以不通知個人；履行個人信息保護職責的部門認為可能造成危害的，有權要求個人信息處理者通知個人。

第五十八條 提供重要互聯網平台服務、用户數量巨大、業務類型複雜的個人信息處理者，應當履行下列義務：

（一）按照國家規定建立健全個人信息保護合規制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督；

（二）遵循公開、公平、公正的原則，制定平台規則，明確平台內產品或者服務提供者處理個人信息的規範和保護個人信息的義務；

（三）對嚴重違反法律、行政法規處理個人信息的平台內的產品或者服務提供者，停止提供服務；

（四）定期發佈個人信息保護社會責任報告，接受社會監督。

第五十九條 接受委託處理個人信息的受託人，應當依照本法和有關法律、行政法規的規定，採取必要措施保障所處理的個人信息的安全，並協助個人信息處理者履行本法規定的義務。

第六章 履行個人信息保護職責的部門

第六十條 國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定，在各自職責範圍內負責個人信息保護和監督管理工作。

縣級以上地方人民政府有關部門的個人信息保護和監督管理職責，按照國家有關規定確定。

前兩款規定的部門統稱為履行個人信息保護職責的部門。

第六十一條 履行個人信息保護職責的部門履行下列個人信息保護職責：

（一）開展個人信息保護宣傳教育，指導、監督個人信息處理者開展個人信息保護工作；

（二）接受、處理與個人信息保護有關的投訴、舉報；

（三）組織對應用程序等個人信息保護情況進行測評，並公佈測評結果；

（四）調查、處理違法個人信息處理活動；

（五）法律、行政法規規定的其他職責。

第六十二條 國家網信部門統籌協調有關部門依據本法推進下列個人信息保護工作：

（一）制定個人信息保護具體規則、標準；

（二）針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用，制定專門的個人信息保護規則、標準；

（三）支持研究開發和推廣應用安全、方便的電子身份認證技術，推進網絡身份認證公共服務建設；

（四）推進個人信息保護社會化服務體系建設，支持有關機構開展個人信息保護評估、認證服務；

（五）完善個人信息保護投訴、舉報工作機制。

第六十三條 履行個人信息保護職責的部門履行個人信息保護職責，可以採取下列措施：

（一）詢問有關當事人，調查與個人信息處理活動有關的情況;

（二）查閲、複製當事人與個人信息處理活動有關的合同、記錄、賬簿以及其他有關資料;

（三）實施現場檢查，對涉嫌違法的個人信息處理活動進行調查;

（四）檢查與個人信息處理活動有關的設備、物品;對有證據證明是用於違法個人信息處理活動的設備、物品，向本部門主要負責人書面報告並經批准，可以查封或者扣押。

履行個人信息保護職責的部門依法履行職責，當事人應當予以協助、配合，不得拒絕、阻撓。

第六十四條 履行個人信息保護職責的部門在履行職責中，發現個人信息處理活動存在較大風險或者發生個人信息安全事件的，可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談，或者要求個人信息處理者委託專業機構對其個人信息處理活動進行合規審計。個人信息處理者應當按照要求採取措施，進行整改，消除隱患。

履行個人信息保護職責的部門在履行職責中，發現違法處理個人信息涉嫌犯罪的，應當及時移送公安機關依法處理。

第六十五條 任何組織、個人有權對違法個人信息處理活動向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理，並將處理結果告知投訴、舉報人。

履行個人信息保護職責的部門應當公佈接受投訴、舉報的聯繫方式。

第七章 法律責任

第六十六條 違反本法規定處理個人信息，或者處理個人信息未履行本法規定的個人信息保護義務的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫停或者終止提供服務；拒不改正的，並處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

有前款規定的違法行為，情節嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，並處五千萬元以下或者上一年度營業額百分之五以下罰款，並可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，並可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。

第六十七條 有本法規定的違法行為的，依照有關法律、行政法規的規定記入信用檔案，並予以公示。

第六十八條 國家機關不履行本法規定的個人信息保護義務的，由其上級機關或者履行個人信息保護職責的部門責令改正；對直接負責的主管人員和其他直接責任人員依法給予處分。

履行個人信息保護職責的部門的工作人員翫忽職守、濫用職權、徇私舞弊，尚不構成犯罪的，依法給予處分。

第六十九條 處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。

前款規定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據實際情況確定賠償數額。

第七十條 個人信息處理者違反本法規定處理個人信息，侵害眾多個人的權益的，人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。

第七十一條 違反本法規定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。

第八章 附 則

第七十二條 自然人因個人或者家庭事務處理個人信息的，不適用本法。

法律對各級人民政府及其有關部門組織實施的統計、檔案管理活動中的個人信息處理有規定的，適用其規定。

第七十三條 本法下列用語的含義：

（一）個人信息處理者，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。

（二）自動化決策，是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等，並進行決策的活動。

（三）去標識化，是指個人信息經過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。

（四）匿名化，是指個人信息經過處理無法識別特定自然人且不能復原的過程。

第七十四條 本法自2021年11月1日起施行。 ^[15] 

2020年10月13日，十三屆全國人大常委會委員長會議提出了關於提請審議個人信息保護法草案的議案。草案規定侵害個人信息權益的違法行為，情節嚴重的，沒收違法所得，並處5000萬元以下或者上一年度營業額5%以下罰款，5%的額度甚至超過了在個人信息保護方面規定“最嚴”的歐盟。 ^[2] 

2021年4月26日，提請全國人大常委會二次審議的個人信息保護法草案擬規定，提供基礎性互聯網平台服務、用户數量巨大、業務類型複雜的個人信息處理者，應成立主要由外部成員組成的獨立機構，對個人信息處理活動進行監督，並要求其定期發佈個人信息保護社會責任報告等。 ^[8] 

2021年8月13日，全國人大常委會法工委舉行記者會，通報本次常委會會議擬審議的法律草案的主要情況。關於個人信息保護法草案，根據各方面意見，提請本次常委會會議審議的草案三次審議稿擬作如下主要修改：一是，我國憲法規定，國家尊重和保障人權，公民的人格尊嚴不受侵犯，公民的通信自由和通信秘密受法律保護。制定實施本法對於保障公民的人格尊嚴和其他權益具有重要意義。據此，擬在草案第一條中增加規定“根據憲法”制定本法。二是，進一步完善個人信息處理規則，特別是對應用程序（App）過度收集個人信息、“大數據殺熟”等作出有針對性規範。三是，將不滿十四周歲未成年人的個人信息作為敏感個人信息，並要求個人信息處理者對此制定專門的個人信息處理規則。四是，完善個人信息跨境提供的規則，對按照我國締結或者參加的國際條約、協定向境外提供個人信息、對轉移到境外的個人信息的保護不應低於我國的保護標準等作出規定。五是，增加個人信息可攜帶權的規定，完善死者個人信息保護的規定。六是，對完善個人信息保護投訴、舉報工作機制及違法處理個人信息涉嫌犯罪案件的移送提出明確要求。 ^[9-10] 

2021年8月20日，十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》。個人信息保護法自2021年11月1日起施行。其中明確：①通過自動化決策方式向個人進行信息推送、商業營銷，應提供不針對其個人特徵的選項或提供便捷的拒絕方式②處理生物識別、醫療健康、金融賬户、行蹤軌跡等敏感個人信息，應取得個人的單獨同意③對違法處理個人信息的應用程序，責令暫停或者終止提供服務。 ^[11-12] 

《五部門聯合發佈《汽車數據安全管理若干規定（試行）》》 ^[13] 

《規定》倡導汽車數據處理者在開展汽車數據處理活動中堅持“車內處理”、“默認不收集”、“精度範圍適用”、“脱敏處理”等數據處理原則，減少對汽車數據的無序收集和違規濫用。《規定》自2021年10月1日起施行。第三條 本規定所稱汽車數據，包括汽車設計、生產、銷售、使用、運維等過程中的涉及個人信息數據和重要數據。

《工業和信息化部關於加強車聯網網絡安全和數據安全工作的通知》 ^[14] 

（十三）加強數據分類分級管理。按照“誰主管、誰負責，誰運營、誰負責”的原則，智能網聯汽車生產企業、車聯網服務平台運營企業要建立數據管理台賬，實施數據分類分級管理，加強個人信息與重要數據保護。定期開展數據安全風險評估，強化隱患排查整改，並向所在省（區、市）通信管理局、工業和信息化主管部門報備。所在省（區、市）通信管理局、工業和信息化主管部門要對企業履行數據安全保護義務進行監督檢查。

中國社會科學院2009年3月2日發佈“法治藍皮書”。藍皮書指出，信息處理和存儲技術的不斷髮展，我國個人信息濫用問題日趨嚴重，社會對個人信息保護立法的需求越來越迫切。

2007年9月~2008年12月，中國社科院法學研究所針對個人信息保護現狀專門組成課題組，在北京、成都、青島、西安4個城市進行調研，結果讓課題組成員頗為“驚心”。他們將我國個人信息濫用情況大致歸納為如下類別：

第一種是過度收集個人信息。有關機構超出所辦理業務的需要，收集大量非必要或完全無關的個人信息。比如，一些商家在辦理積分卡時，要求客户提供身份證號碼、工作機構、受教育程度、婚姻狀況、子女狀況等信息；一些銀行要求申辦信用卡的客户提供個人黨派信息、配偶資料乃至聯繫人資料等。

第二種是擅自披露個人信息。有關機構未獲法律授權、未經本人許可或者超出必要限度地披露他人個人信息。比如，一些地方對行人、非機動車交通違法人員的姓名、家庭住址、工作單位以及違法行為進行公示；有些銀行通過網站、有關媒體披露欠款者的姓名、證件號碼、通信地址等信息；有的學校在校園網上公示師生缺勤的原因，或者擅自公佈貧困生的詳細情況。 ^[3-4] 

第三種是擅自提供個人信息。有關機構在未經法律授權或者本人同意的情況下，將所掌握的個人信息提供給其他機構。比如，銀行、保險公司、航空公司等機構之間未經客户授權或者超出授權範圍共享客户信息。

更為惡劣的還有非法買賣個人信息。調查發現，社會上出現了大量兜售房主信息、股民信息、商務人士信息、車主信息、電信用户信息、患者信息的現象，並形成了一個新興的產業。比如，個人在辦理購房、購車、住院等手續之後，相關信息被有關機構或其工作人員賣給房屋中介、保險公司、母嬰用品企業、廣告公司等。

調查發現，雖然絕大多數人認為自己有權瞭解個人信息的存在情況，如果濫用造成損失可以請求賠償，但在是否有權拒絕提供信息上，不少人認為自己沒有這個權利。

42.5%的受訪者對課題組表示，曾遇到過有關機構不當處理其個人信息的情況。不過，課題組認為，這一數據僅在一定程度上反映出那些明確感受到自身個人信息被濫用的公眾的情況，並不能夠反映出那些自身個人信息雖被濫用、但自己尚不知情的公眾的情況。

受訪者普遍感到，有關機構在處理個人信息過程中問題不少。例如不明確告知個人信息的用途；很多信息與所要辦理的業務無相關性；有關機構超出原有的目的使用個人信息；有關機構的個人信息保管機制不健全，存在信息被泄露、篡改的可能等。這種情況在政府機關也相當數量地存在着。

在調查過程中，很多受訪者表達了希望有關機構刪除本人的部分或者全部信息的想法。因為他們或者不再接受其服務，或者經常遭受電話、郵件的騷擾。“個人信息被濫用正在威脅着我的生活安寧、生命財產安全，令自己感到壓力或者心情不愉快。”一位受訪者説。

需要注意的是，在個人信息曾被濫用的被調查者中，僅有4%左右的人進行過投訴或提起過訴訟。導致公眾在進行投訴、訴訟時遇到困難或不願意投訴、提起訴訟的因素有：無法確定哪些機構應承擔責任、無法確定向什麼機構投訴或者以誰為對象提起訴訟、無法獲得有力的證據、投訴或者訴訟成本過高等。

即便採取了投訴或者訴訟等救濟手段，也僅有8.1%的人獲得了救濟或者達到了目的，其他的或者因為處理個人信息的機構推諉、搪塞而不了了之，或者因為預料到無法通過投訴或訴訟獲得救濟而中途放棄。

課題組認為，這種結果和現行個人信息保護規定存在缺陷關係很大。由於個人信息保護尚缺乏專門性規定，個人信息處理活動應當遵循怎樣的原則、信息主體在個人信息處理活動中享有哪些權利、對濫用個人信息的信息處理者如何予以制裁、由什麼機構負責執法等，都存在疑問。

另外，現行的各類規定一般僅限於禁止泄露個人信息，但是，個人信息主體在信息收集、保存、利用中的知情權、同意權、請求更正錯誤信息和刪除不必要信息乃至獲得救濟的權利等，幾乎都沒有得到確認。

調查中，幾乎所有接受調查的公眾都贊成加強個人信息保護的立法工作(佔99.3%)，希望政府機關能夠加強個人信息保護執法，嚴厲打擊濫用個人信息的現象(佔99.3%)，設立專門機構負責對濫用個人信息的行為進行查處(佔93.8%)。

2009年2月25日提請十一屆全國人大常委會第七次會議進行三審的刑法修正案(七)草案增加規定，單位將在履行職責或者提供服務過程中獲得的公民個人信息出售或非法提供給他人，情節嚴重的將受刑懲。

草案二次審議稿規定，對國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，將本單位在履行職責或提供服務過程中獲得的公民個人信息，出售或非法提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，並處或單處罰金。

審議中，一些常委委員和部門提出，單位從事上述行為的情況也比較嚴重，應增加單位犯罪的規定，故草案增加規定：單位有以上犯罪行為的，對單位判處罰金，並對其直接負責的主管人員和其他直接責任人員，依照該款規定處罰。

·運營商：一提起發送廣告短信，客户經理們都顯得頗為謹慎。濟南移動公司的態度有些遮遮掩掩，但是在山東省內的其他移動公司，只要一提起發送商業廣告路的短信，工作人員都很直截了當。

·關鍵字：小區短信：為了能夠提高短信發送速度，有些移動公司還採用了一種方式——小區短信。小區短信就是以基站作為發送中心，向基站覆蓋區域內的移動用户發送短信。

黑名單：除了對發送的地域進行限制之外，他們還對一些特殊的用户進行了一些特殊的處理。可能涉及到一些高層領導一般是禁發的，有黑名單會直接過濾。

違法信息照發：這是一張寫着外企公司代開增值税發票等的內容。在德州移動公司的營業廳裏，這位馬主任正在熱情地為信息的發送牽線搭橋。

外賣信息：不僅移動公司在發送垃圾短信，有一些與他們合作的廣告公司也能發送垃圾短信。

根據報道，自2003年起國務院就委託有關專家開始起草《個人信息保護法》，2005年專家建議稿已經完成，並提交國務院審議，啓動了保護個人信息的立法程序。在每年的全國“兩會”上，都有人大代表大聲疾呼。這都在相當程度上折射出，我國公民個人信息被泄露和濫用已經到了相當嚴重的程度，甚至已經成為一種社會公害，加快立法步伐，制定個人信息保護法到了刻不容緩的地步。

在此之前，我國的法律中還沒有關於個人信息的專門規定。以往<民法通則>第101條關於個人隱私權保護的規定，“公民、法人享有名譽權，公民的人格尊嚴受法律保護，禁止用侮辱、誹謗等方式損害公民、法人的名譽。” 這樣籠統而模糊的規定，已顯得過於原則、缺乏可操作性。至於《最高人民法院關於貫徹執行〈民法通則〉若干問題的意見（修改稿）》所確認的“隱私權”，只有當個人信息確實被侵犯，併發生了實際損害之後，才能主張侵權責任賠償，這樣的保護既不及時便捷，也談不上足夠有效。

2008年8月25日，首次提請審議的刑法修正案（七）草案（以下簡稱草案）專門增加規定，明確提出國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將履行公務或者提供服務中獲得的公民個人信息出售或者提供給他人，或者以竊取、收買等方式非法獲取上述信息，情節嚴重的，追究刑事責任。

機關與公共服務單位收集與儲存個人信息本意是為提高行政管理和公共服務的質量及效率，可是另一方面，也使個人信息泄露成為可能。世界上國家或地區已經有超過50個制定了個人信息保護法律，通過限制公權力的途徑來保護個人信息已經是通用做法。在這樣的背景下，草案對侵犯公民個人信息的行為追究刑事責任，極具現實針對性。刑法的作用也僅侷限於防範、阻止和懲罰犯罪行為。而現有刑法的規定集中於規範公權力，對於尚未觸犯刑律的行為，再威嚴的刑法也無能為力。刑法與個人信息法的組合乃至信息保護法律法規體系的形成才是改變信息保護失序環境的根本。

在網絡隱私權的保護問題上，我國基本還處於無法可依的狀況。網絡侵犯隱私權的情形主要集中在個人信息在收集、處理、傳輸和利用等環節中。概括起來，對網絡隱私權的侵犯主要表現在：非法獲取、傳輸、利用用户的個人數據資料、非法侵入用户的私人空間、干擾私人活動以及破壞用户個人網絡生活的安寧和秩序等方面。

涉及這一問題的，只有信息產業部於2000年11月7日發佈的《互聯網電子公告服務管理規定》中提及“電子公告服務提供者應當對上網用户的個人信息保密，未經上網用户同意，不得向他人泄露”，違反此規定者，由電信管理機構責令改正，給上網用户造成損害或者損失的，依法承擔法律責任。

2014年12月份研究生名單數據包一共有130萬條信息，全部是當年報名參加考研的學生，覆蓋全國範圍。打包賣15000元，為了證明數據庫中數據的真實性，考研信息“賣家”貼出了部分考研學生信息的截圖。從截圖中可以看到，除了考生姓名、性別外，能夠買到的信息還包括手機號碼、座機號碼、身份證號、家庭住址、郵編、學校、報考專業等敏感信息，非常詳細。至於這些信息是從何而來，賣家並不願多説 ^[5]  。

面對當前的環境，企業應當增加在信息系統有關網絡信息安全防範的投入，建立專門的安全團隊；如果自身缺乏相關的專業人員來維護，就應當將網絡安全維護外包給專業的安全公司去做。 ^[5] 

個人信息的法律保護問題是近半個世紀以來隨着信息社會的發展而日益凸顯的問題。由於社會觀念、信息產業、科學技術以及立法規劃等方面的原因，我國很長一段時間以來沒有認識到保護個人信息的重要性，因此直到現在為止，我國還沒有制定專門的個人信息保護方面的法律。當然，這並不意味着我國對個人信息不進行保護。現階段，我國對個人信息的保護，主要體現在兩大方面：一是在與個人信息保護有關的法律法規中設置個人信息保護條款對個人信息加以法律保護。個人信息的法律保護又可以表現為法律的直接保護和間接保護，所謂法律的直接保護即法律法規明確提出對“個人信息”進行保護；間接保護即法律法規通過提出對“人格尊嚴”、“個人隱私”、“個人秘密”等與個人信息相關的範疇進行保護進而引申出對個人信息的保護。二是通過信息控制人的單方承諾或特定行業的自律規範的承諾對個人信息加以自律性質的保護。個人信息在自律保護也表現為兩方面，即企業通過單方承諾這種市場運作方式對個人信息加以保護，以及特定行業組織通過行業自律規範對個人信息確立行業保護標準進而進行保護。

一、我國法律對個人信息的直接保護

通過全國人大網站中全國法律法規數據庫搜索引擎的搜索，我們發現，我國直接對“個人信息”加以保護的法律、法規、規章及司法解釋的數量相當有限，其中全國性的法律中僅有《中華人民共和國護照法》、《中華人民共和國身份證法》直接規定了“個人信息”的保護問題。《中華人民共和國護照法》（2006年4月29日通過，2007年1月1日實施）第十二條第三款規定：“護照簽發機關及其工作人員對因製作、簽發護照而知悉的公民個人信息，應當予以保密。”第二十條規定：“護照簽發機關工作人員在辦理護照過程中有下列行為之一的，依法給予行政處分；構成犯罪的，依法追究刑事責任：……（五）泄露因製作、簽發護照而知悉的公民個人信息，侵害公民合法權益的……”《中華人民共和國身份證法》（2003年6月28日通過，2004年1月1日實施）第六條第三款規定：“公安機關及其人民警察對因製作、發放、查驗、扣押居民身份證而知悉的公民的個人信息，應當予以保密。”第十九條規定：“人民警察有下列行為之一的，根據情節輕重，依法給予行政處分；構成犯罪的，依法追究刑事責任：……（五）泄露因製作、發放、查驗、扣押居民身份證而知悉的公民個人信息，侵害公民合法權益的。”

在全國範圍內具有規範效力的行政法規、部門規章和司法解釋直接提及“個人信息”保護問題的主要也僅有如下幾項：（1）《2006---2020年國家信息化發展戰略》。該《發展戰略》第六條第五項提出了“推進信息化法制建設”的要求，並提出：“加快推進信息化法制建設，妥善處理相關法律法規制定、修改、廢止之間的關係，制定和完善信息基礎設施、電子商務、電子政務、信息安全、政府信息公開、個人信息保護等方面的法律法規，創造信息化發展的良好法制環境。根據信息技術應用的需要，適時修訂和完善知識產權、未成年人保護、電子證據等方面的法律法規。加強信息化法制建設中的國際交流與合作，積極參與相關國際規則的研究和制定。；（2）《互聯網電子公告服務管理規定》（2000年10月8日通過，同日起施行）。該《管理規定》第十二條規定：“電子公告服務提供者應當對上網用户的個人信息保密，未經上網用户同意不得向他人泄露，但法律另有規定的除外。" （3）《最高人民法院、最高人民檢察院關於切實保障司法人員依法履行職務的緊急通知》（法[2005] 173號）（2005年8月25日頒佈，同日起施行）。該《通知》第六條“加強司法警察隊伍建設和保密工作，做好宣傳教育工作”指出：“……強化案件保密工作，嚴禁違反規定泄露案情以及辦案人員的通訊方式、住址等個人信息，對於泄密行為，應當依照《人民法院審判紀律處分辦法》、《檢察人員紀律處分條例》的有關規定嚴肅懲處……”另外，少數地方性法規中，也偶有涉及個人信息保護的直接規定，例如：2003年修正的《北京市未成年人保護條例》第四十九條規定：“……任何組織和個人未經未成年人的監護人同意，不得在互聯網上收集、使用、公佈未成年人的個人信息。”2003年12月23日上海市通過了個人信用信息方面的地方性法規—《上海市個人信用徵信管理試行辦法》，對個人信用信息的採集、處理、提供等作了較為詳細的規定。

需要特別指出的是，中國人民銀行2005年通過了有關個人信用信息管理及保護的專門性部門規章—《個人信用信息基礎數據庫管理暫行辦法》（2005年6月16日通過，2005年10月1日起實施）。該辦法包括總則、報送和整理、查詢、異議處理、安全管理、罰則、附則七章，共45條，對個人信用信息的收集、處理、利用、流通等作了較為詳細的規定。從內容方面觀察，該辦法在很大程度上遵循了個人信息保護的收集限制原則、信息質量原則、目的特定原則、使用限制原則、安全保障原則、公開原則、個人參與原則及責任原則。雖然該辦法在內容上還存在一些缺陷和漏洞，例如缺乏爭議信息的封存制度、錯誤信息導致個人損害的民事賠償制度等，但無論如何，我們可以將該辦法視為我國個人信息保護立法史上的一座里程碑，它開創了我國特殊領域的個人信息保護立法。

二、我國法律對個人信息的間接保護

在我國，除了上述直接明確提出對個人信息加以保護的法律法規之外，還存在一些通過規定保護人格尊嚴、個人隱私、個人秘密等與個人信息相關的範疇進而保護個人信息的法律。在根本大法方面，我國《憲法》（1982年）的“公民的人格尊嚴不受侵犯”、“公民住宅不受侵犯’，、“公民享有通信自由和通信秘密的權利”、“國家尊重和保障人權”等相關條款均可解釋為個人信息應當受到法律保護的憲法依據。在國家的基本部門法中，也或多或少、或明或暗地存在一些與個人信息保護有關的法律條款，例如：《民法通則》（1986年）關於人身權的相關規定中規定了“公民的人格尊嚴受法律保護”；《刑法》（1997年）在“侵犯公民人身權利、民主權利”的專章中，明確將“非法搜查他人身體、住宅，或者非法侵入他人住宅”、“侵犯公民通信自由”等行為列為犯罪行為；《民事訴訟法》（1991年）規定“對涉及個人隱私的案件應當不公開審理”；《刑事訴訟法》規定“涉及個人隱私的案件不公開審理”、“十四歲以上不滿十六歲未成年人犯罪案件，一律不公開審理。十六歲以上不滿十八歲未成年人犯罪的案件，一般也不公開審理”。

關於個人信息的間接保護，在淵源上除了上述國家根本大法和基本部門法之外，還有許多容易被忽視的部門法或行政法規、規章、司法解釋等。在婦女兒童個人信息的特殊保護方面：《婦女權益保護法》（1992年）規定：“婦女的人格尊嚴受法律保護”；《未成年人保護法》（1991年）規定：“尊重未成年人的人格尊嚴”、“任何組織和個人不得披露未成年人的個人隱私”；《母嬰保護法》（1994年）規定：“從事母嬰保健工作的人員應當嚴格遵守職業道德，為當事人保守秘密”。在個人醫療信息方面：《執業醫師法》（1999年）規定“醫生不得披露治療中獲得的健康信息”；《醫療機構病歷管理規定》（2002年）要求“除對患者實施醫療活動的醫務人員及醫療服務質量監控人員外，其他任何機構和個人不得擅自查閲患者的病歷”；《醫療事故處理條例》（2002年）進一步要求“醫療機構在複製或複印病歷資料時應當有患者在場”；《傳染病防治法》（2004年）禁止“故意泄露傳染病病人、病原攜帶者、疑似傳染病病人、密切接觸者涉及個人隱私的有關信息、資料”；《關於對艾滋病病毒感染者和艾滋病病人的管理意見》（1995年）規定：“從事艾滋病病毒感染者和艾滋病病人診斷、治療及管理工作的人員，不得向無關人員泄露有關信息。任何單位和個人不得將艾滋病病毒感染者和艾滋病病人的姓名、住址等個人情況公佈或傳播”。在個人通訊信息方面：《郵政法》（1986年）規定：“除法律另有規定外，郵政企業和郵政工作人員不得向任何組織或者個人提供用户使用郵政業務的情況”；《全國人民代表大會常務委員會關於維護互聯網安全的決定》（2000年）禁止“非法截獲、篡改、刪除他人電子郵件或者其他數據資料”；《互聯網安全保護技術措施規定》（2005年）規定：“互聯網服務提供者、聯網使用單位應當建立相應的管理制度。未經用户同意不得公開、泄露用户註冊信息，但法律、法規另有規定的除外。”在個人金融信息方面：《商業銀行法》規定：“商業銀行應當遵循為存款人保密的原則”、“對個人儲蓄存款，商業銀行有權拒絕任何單位或者個人查詢、凍結、扣劃，但法律另有規定的除外”；《個人存款賬户實名制規定》規定：“除法律法規另有規定以外，金融機構不得向任何單位或者個人提供有關個人存款賬户的情況”。在律師執業方面：《律師法》（2001年）規定：“律師應當保守在職業活動中知悉的當事人的隱私”；《律師執業行為規範》（2004年）規定：“律師必須保守委託人的個人隱私”。在檔案信息方面，《檔案法》規定：“一切國家機關、武裝力量、政黨、社會團體、企業事業單位和公民都有保護檔案的義務。”

三、個人信息保護的信息控制人自律機制

由於現階段我國缺乏對個人信息保護的專門性、統一性的立法，一些信息控制人為了增強行為相對人的信心，進而促進相關行業通過收集、處理、利用、傳遞個人信息而獲得更大的發展，單方面作出了保護個人信息的承諾或制定了保護個人信息的內部行為規範。這是信息控制人採取的一種典型的保護個人信息的自律措施。我國採取此類自律措施保護個人信息的信息控制人主要集中在非公共部門，特別是一些大型的商業網站，當然也有其他行業如銀行業的經營者。以下就列舉幾個典型的非公共部門信息控制人對個人信息保護採取的自律措施。

知名的綜合性網站“新浪網”在其首頁即載明瞭該網站的“隱私保護”政策。該隱私保護政策比較典型地體現了當前網站經營者所採取的自律措施，因此本文對此作一簡要介紹。在其隱私保護政策中，新浪網首先表明：“隱私權是您的重要權利。向我們提供您的個人信息是基於對我們的信任，相信我們會負責的態度對待您的個人信息。我們認為您提供的信息只能用於幫助我們為您提供更好的服務。因此，我們制定了新浪網上個人信息保密制度以保護您的個人信息。”新浪網有關個人信息保護的自律措施大致包括以下內容：第一，該網站所收集的個人信息的種類。“通常，您能在匿名的狀態下訪問我們的網站並獲取信息。在我們請求您提供有關信息之前，我們會解釋這些信息的用途。我們有些站點需要註冊才能加入，在通常情況下，這類註冊只要求您提供一個電子郵件地址和一些諸如您的工作，職務一類的基本信息。有時我們也會請您提供更多的信息。我們這樣做是為了使我們更好的理解您的需求，以便向您提供有效的服務。我們站點收集的信息包括姓名，地址和電話號碼。您有權隨時決定不接受來自我們的任何資料。”第二，關於敏感個人信息保護及個人信息的使用。“我們將採取適當的步驟保護您的隱私。每當您提供給我們敏感信息時，我們將採取合理的步驟保護您的敏感信息，我們也將採取合理的安全手段保護已存儲的個人信息。除非根據法律或政府的強制性規定，在未得到您的許可之前，我們不會把您的任何個人信息提供給無關的第三方（包括公司或個人）。但是，如果您要求我們提供特定客户支援服務或把一些物品送交給您，我們則需要把您的姓名和地址提供給第三者如運輸公司。我們的網站將會提供第三者網站的鏈接。由於我們不能控制這些網站，所以我們建議您細閲這些第三者網站的個人信息保密制度。”第三，該網站隱私保護的原則。（1）每當新浪網需要識別您的身份或與您聯絡時，會明確的詢問所需的資料，即個人資料。一般而言，當您在網站上註冊，要求提供特別服務，或是如參加獎金競賽，便會被詢問到這項資料。可能的話，新浪網會利用一些方法，確認您的個人資料的正確性與時效性。（2）新浪網站及其必要的服務夥伴使用您的個人資料來運作網站和服務，並且會通知您各項新的功能與服務，以及新浪網和其附屬公司的各類產品。新浪網也會謹慎地挑選來自其他公司的產品或服務資料傳送給您，通常是有關於站點本身的服務，但這並非必要（僅是次要用途）。（3）如果新浪網想要將個人資料用在次要用途上，新浪會提供您如何拒絕這項服務的説明。您可以依照新浪網寄給您的資料或促銷信件上的説明，終止這些信件的發送。（4）新浪網也許會因法律要求公開個人資料，或者因善意確信這樣的作法對於下列各項有其必要性：符合法律公告或遵守適用於新浪站點的合法程序；保護新浪網的用户之權利或財產；在緊急的情況下，為了保護新浪及其用户之個人或公眾安全。（5）任何時候如果您認為新浪沒有遵守這些原則時，請利用電子郵件privacy@staff sina.com通知我們，我們會盡一切努力，請合理適當的範圍內立即改善這個問題。”第四，Cookies的用途。“新浪網站有時會使用cookies以便我們知道哪些網站受歡迎，使您在訪問我們的網站時得到更好的服務。cookies不會跟蹤個人信息。當您註冊我們的網站程式時，新浪亦會使用cookies。在這種情況下，會存儲有用信息，使我們的網站在您再次訪問我們的網站時可辨認您的身份。來自新浪網站的cookies只能被新浪網站讀取。如果您的瀏覽器被設置為拒絕cookies您仍然能夠訪問我們的大多數網站。”第五，關於個人信息的更新及隱私保護政策的更新。“如果您的地址，職務（職稱），電話或e-mail地址發生變化，您可以按新浪網站中公佈的聯繫方式通知新浪，以幫助我們保持您的資料的準確性。你也可以通過登陸新浪網用户註冊頁面的更新會員資料欄的方式自行更新您的個人信息。新浪歡迎您對這項保密制度給予評論並提出質疑。我們將致力於保護您的個人信息，盡全力保證這些信息的安全。由於網上技術的發展突飛猛進，我們會隨時更新我們的信息保密制度。”

在銀行業方面，一些銀行通過制定相關內部規定對客户個人信息進行保護。1999年，中國工商銀行發佈了《中國工商銀行員工行為守則》，規定工商銀行員工應當“嚴守客户秘密。對於客户提供的信息資料，員工有保密的義務，以維護客户的合法權益。除依法可以提供或客户同意提供的信息外，員工無權擅自披露客户信息。非工作需要，不得與同事隨意談論客户情況。以電話、電子手段交流或傳遞業務信息時，要注意保護客户信息安全。答覆有關信用情況諮詢，應對諮詢者和諮詢對象雙方負責。提供對方的數據不得超出銀行允許的範圍。無關人員不能隨意接觸客户信息，更不得為個人目的利用客户信息。向公安局、檢察院、法院等司法機關提供客户信息，須有公安、司法等部門出具的完備手續，並嚴格按規定程序進行。嚴禁向親屬、朋友透露或提供客户信息。”2002年，中國建設銀行發佈了《中國建設銀行個人VIP客户服務管理辦法（試行）》，該辦法規定：“各級行必須為每個VIP客户建立檔案，記錄客户個人資料和服務信息，不得遺漏。”“各級行必須妥善保管客户檔案資料，非依法律規定或客户允許，任何單位和個人不得對外公開或泄露客户的個人資產和賬户交易等客户資料。”

四、個人信息保護的行業自律機制

在我國，作為信息產業重要組成部分的互聯網行業對個人信息所遭受的日益嚴峻的威脅有較為密切的關注。我國對個人信息保護採取行業自律機制措施的行業也主要表現為互聯網行業。中國互聯網協會於2002年公佈了《中國互聯網行業自律公約》，倡議互聯網全行業從業者加入本公約，並要求成員“自覺維護消費者的合法權益，保守用户信息秘密；不利用用户提供的信息從事任何與向用户作出的承諾無關的活動，不利用技術或其他優勢侵犯消費者或用户的合法權益”。同時約定，由中國互聯網協會負責組織實施該公約，負責向公約成員單位傳遞互聯網行業管理的法律、政策及行業自律性信息，及時向政府主管部門反映成員單位的意願和要求，維護成員單位的正當利益，組織實施互聯網行業自律，並對成員單位遵守本公約的情況進行監督。

行業自律標識作為個人信息保護行業自律機制的重要實施手段，在我國也己出現。我國互聯網行業的迅猛發展，但是，行業快速增長的背後也隱藏着一系列不和諧的音符：垃圾郵件氾濫、病毒、惡意軟件滋生、網絡語言暴力、網絡色情等等現象讓網民己經無法自由享受互聯網生活，網民的基本權益受到嚴重的侵害。2006年11月1日，中國互聯網協會、違法和不良信息舉報中心、反垃圾郵件中心、晚報協會、奇虎公司共同正式宣佈，首個互聯網公益品牌“淨藍絲帶”正式啓動。淨藍絲帶作為杜絕互聯網惡意行為的一個標識，用於宣傳“淨化互聯網空間人人有責，打擊互聯網犯罪人人出力”的信息，並呼籲“拯救網絡弱勢羣體，杜絕網絡惡意行為”。藍絲帶象徵紐帶，將政府有關機構、互聯網企業、網民緊緊聯繫在一起，共同抵抗網絡惡意，象徵着國家對互聯網行業健康發展的關心和支持，象徵着網民對互聯網熱愛和對純淨互聯網空間的渴望，象徵着互聯網企業關注網民感受，恪守自律的承諾。

五、小結

基於上文的論述，我們可以判斷，我國個人信息保護之現狀具有如下特徵：

第一，在個人信息的法律保護方面：（1）就法律的適用範圍而言，保護個人信息的法律條款數量較為有限、適用範圍相對狹窄，沒有專門的針對所有信息控制人均適用的統一的個人信息保護法；（2）就個人信息的法律保護手段而言，重“刑事處罰”和“行政管理”，輕“民事確權”與“民事歸責”，導致個人信息遭受侵害後，即使侵權行為人最終遭致刑事處罰或行政處罰，但信息主體的財產及非財產損失卻得不到任何實質性的補償；（3）就法律的可操作性而言，大部分規定缺乏可操作性，許多條款僅僅規定了對個人信息的保密義務，而沒有規定違背該義務的後果；（4）就法律的體系性而言，現有規定之間缺乏體系上的呼應，給人一種“雜亂無章”、“羣龍無首”的感覺，不符合我國已經繼受的大陸法系的法律思維，同時也不利於法律的適用；（5）就法律條款的具體內容而言，大部分條款通常僅對個人信息保護問題輕描淡寫、一帶而過，往往未能揭示個人信息保護的立法理由、個人信息保護的基本原則、信息主體的權利、個人信息收集、處理、利用及傳遞的規則、個人信息保護的執行機制及監督機制等個人信息保護法應當具備的重要內容。（6）就保護個人信息的觀念而言，我國法律對個人信息的直接保護是新近發展趨勢，在較長時間內由於對個人信息保護的重要意義缺乏正確認識而僅對個人信息採取了有限的間接保護措施。

第二，在個人信息的自律保護方面：（1）非公共部門，特別是一些商業網站，己經逐步認識到了個人信息的巨大價值以及個人信息對信息主體的重大意義，為了增強消費者使用網絡的信息，提供了相對較為詳細的隱私保護政策。但也應注意到，我國國內各商業網站的個人信息保護水平差異很大，大型的商業網站大多有比較完備的個人信息保護政策；但一些小型網站在個人信息保護方面是令人擔憂的，它們不僅沒有公開相應的個人信息保護政策，甚至不惜商業信譽，只要能給網站的經營者帶來利益，就會不適當地收集、利用乃至出售訪問者的個人信息。另外，非公共部門中，除了商業網站及為數不多的其他主體之外，大多數非公共部門並沒有單方面向相對人提供個人信息保護政策。與上述單個信息控制人在個人信息保護方面的自律措施相對應的是，除了互聯網行業，其他的非公共部門行業也鮮有保護個人信息的行業自律公約。

（2）就公共部門而言，出於長期以來形成的“官本位”的思維定勢，對個人信息的關注基本上是出於其管理的需要，強調得更多的是個人提供信息的義務，而個人就其自身信息所享有的權利基本被漠視。舉例而言，如今瀏覽我國的各級政府網站，幾乎無法看到與一些大型商業網站所具備的“隱私政策”，哪怕是中央人民政府的網站一一“中國政府網”對個人上網信息的保護問題也沒有提供相應的政策，這不能不説是我國電子政務發展的一大遺憾。就這一現象，有學者認為，“這可能由於我國政府網站還處於發展的開始階段，主要功能還只是對政府政策、辦事流程的公示，起到的只是一個電子公告版的作用。政府網站之提供給網絡用户閲讀信息、資料，而不收集網絡用户的個人信息。”但是，這些學者同時也認為，“政府網站發展成為和大多數商業網站那樣具有交互式的平台是必然的趨勢。為了更好的為納税人服務，政府網站將來肯定會朝着功能多樣化的方向發展。為了方便用户和網站的運作，提供更加個性化的服務，將來的政府網頁完全可能發展到給不同的用户發送不同的、適合用户胃口的個性化網頁。這樣，政府網站也就不可能不收集網絡用户的個人信息而永遠停留在電子黑板報的層次。另外，不同的政府部門通過網上政務處理，掌握大量關於市民通過網絡提交的方方面面的信息，如果缺乏個人信息保護政策，就很可能侵犯個人信息。”對於這一論述，筆者深表贊同。

正因為個人信息保護機制的這種現狀，導致了我國社會生活中個人信息頻頻遭受各種威脅。面臨這樣的狀況，除了由每一個人自己加強自我保護、倡導個人信息保護自律機制的建構之外，越來越多的人們希望我國能夠在個人信息保護領域制定一部專門的法律。事實上，如果從建設法治社會的大背景出發，無論是加強信息主體的自我保護、倡導建構個人信息保護的自律機制，還是制定個人信息保護法，均應當着重從民法保護個人信息的角度進行觀察與理解。刑法和行政法對個人信息的保護固然能夠起到重要的不可或缺的作用，在一定程度上也能夠起到預防侵害個人信息行為的發生，但刑法重在懲罰、行政法重在行政管理，其對信息主體的權利確認及事後的全面救濟的作用是有限的。

首先，信息主體保護自身個人信息的力量可以通過民法上的自力救濟制度得以強化。在法治社會，雖然原則上不允許自力救濟，但在來不及採取公力救濟措施並且權利有被侵害的現實危險時，法律允許有限地採用自力救濟，信息主體可以在法律允許的限度內通過實施自衞行為或自助行為保護自身的個人信息。

其次，就自律機制而言，若信息控制人主動單方面地作出信息保護的承諾，則可以將控制人的這一行為判定為民法上附生效條件的法律行為，一旦條件成就，即信息主體的信息被承諾人所控制，則信息控制人的承諾行為即發生法律效力，信息控制人此時即應當承擔其承諾的信息保護義務；若行業自律組織對個人信息保護作出了承諾，則可以視為加入該自律組織的信息控制人均作出了信息保護的承諾，如此一來，同樣可以採用附生效條件的法律行為的相關理論進行解釋與處理。

另外，如果從民法生長的社會基礎—市民社會的理論出發，行業組織是現代市民社會的重要構成環節。是國家權力與市民權利的緩衝地帶，行業組織對個人信息保護的重要作用是不可小覷的。最後，個人信息保護法的制定，其內容雖然離不開個人信息的行政保護及刑事保護，但對信息主體而言，對其最有力也是最為實質的保護是通過個人信息保護法賦予其相應權利，使信息主體能夠通過自身權利對抗公權力對其個人信息的不當干預、並平衡與其他私權利主體之間的權利衝突。與此同時，當不當侵害他人個人信息時，通過法律對侵權行為人苛以民事責任，則能使被侵害的信息主體得到全面的救濟與補償。 ^[6] 

中國人民大學法學院刑法專家謝望原教授認為，一些國家機關和電信、金融等單位在履行公務或提供服務活動中獲得的公民個人信息被非法泄露的情況時有發生，對公民的人身、財產安全和個人隱私構成嚴重威脅。對這類侵害公民權益情節嚴重的行為，應當追究刑事責任。相比起國外或我國港台地區而言，我國法律對個人隱私的保護力度還遠遠不夠。現代刑法的一個顯著特徵是它不僅要做國家的“刀把子”，還要成為保障公民個人合法權益的“大憲章”。此次刑法修正案草案這種注重對公民隱私的保護、約束公權力和公共服務的刑事立法理念，值得進一步拓展。

中國發展戰略研究所研究員王春暉博士認為，隨着信息技術的高速發展，個人信息的蒐集變得越來越容易。對此類信息的不當使用或予以公開會給個人造成財產、精神上的損失。因此，對個人隱私權的保護不能只停留在所謂獨處權的保護上，而應該朝着保護個人信息的方向發展。隱私權已經從傳統的“個人生活安寧不受干擾”的消極權利演變為現代的具有積極意義的“信息隱私權”。另外，根據該修正案草案對犯罪主體的描述：行為人違反國家規定，將履行本單位職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，或者以竊取、收買等方式非法獲取上述信息，情節嚴重的，將構成犯罪。可見，侵犯公民信息權方面的犯罪主體不僅有特殊主體，也包括一般主體。也就是講專門從事金融、電信、交通、教育、醫療等單位的工作人員是構成本罪的特殊主體，那些以竊取、收買等方式非法獲取上述信息的行為人也可以構成本罪的主體。

王春暉博士提出，刑法修正案專門就保護公民的個人信息作出規定，無疑對於那些非法出售、提供或者以竊取、收買等方式非法獲取公民信息的不法之徒是一種威懾。因為，在所有的法律責任中，刑事法律責任的懲處和威懾是最嚴厲的。我國以修改刑法的方式介入個人信息保護，表明了國家對公民個人信息保護重視的程度，同時也證實了國家對公民個人信息保護的力度。

當然，對公民個人信息的保護僅憑一條刑法修正案是遠遠不夠的，不可能解決個人信息保護的所有問題。個人信息保護法律體系是一個涉及憲法、刑法、民法、行政法等多個部門法的綜合體系。

因此，王春暉博士建議應當儘快制定和頒佈一部專門保護個人信息的專門法律———個人信息保護法，這部專門法律應當在兩大方面有所作為：一是對政府部門利用公權力泄露個人信息應當加以重點規制；二是對一些大眾服務類企業，諸如金融、電信、交通、教育、醫療等單位，對客户信息的保護應當作出嚴格的規定。

個人信息保護法的制訂也將更全面更完整地保護網絡上的個人隱私和信息，同時對互聯網企業加強行業自律方面起到作用。反觀國際上的做法，歐洲國家在個人數據資料保護方面採取了國家立法主導的模式；而美國聯邦政府主張採取自律模式，美國聯邦政府1997年發表的《有效自律途徑保障隱私的各種要素》報告，認為推動企業制定完善保護個人資料隱私的方案及政策，將使消費者產生信任，進而願意提供個人資料及進行網際網絡交易，只有這樣，方能促進商業活動發展。

我國在個人信息保護立法方面，也應該在保護和促進經濟發展兩者之間取得一定的平衡，必須衡量兩方面的利益，既要保障個人隱私資料保護的要求，使網絡使用者對網絡產生信心，也要避免抑制網絡事業的發展，以期制訂最妥善、最完備、適合我國國情與未來網絡事業發展需要的法律規則。同時，在個人信息保護法即將出台，保護個人的隱私的基本精神得以確立的情況下，互聯網企業要加強自律，遵守基本的道德規範和網絡秩序，增強網絡企業公民的社會責任感。法規和自律相結合，一個適合國情、相對完善的個人信息保護體系就不再遙遠。

“由於我們對個人信息隱私沒有切實有效的保護，導致我們的日常工作和生活因個人信息的外泄而遭受嚴重的干擾，甚至造成財產和名譽受損。”全國政協委員胡旭晟日前提交提案，呼籲儘快制定《個人信息保護法》。也正像是對制定個人信息保護法的呼應，中國社會科學院發佈的2009年“法治藍皮書”指出，信息處理和存技術的不斷髮展，我國個人信息濫用問題日趨嚴重，其中更為惡劣的是非法買賣個人信息，社會對個人信息保護立法的需求越來越迫切。

散落在一些法律條款中的信息保護規定已無法適應尊嚴與權利的要求，我們需要一部《個人信息保護法》，這已沒什麼好説的。然而，相關立法工作卻諱莫如深地變得遲疑起來。早在2003年，《個人信息保護法》專家建議稿就開始起草，並於2005年遞交相關部門。“由於個人信息保護立法的重要性和緊迫性”，該課題組組長、中國社科院法學所研究員周漢華曾認為這部法律最終出台“不會用太久時間”。但五年過去，全國兩會政協委員依舊在為制定此法提交提案，公眾在漫長的等待中，也一再支付着成為“透明人”的代價。

個人信息被非法買賣，獨處的權利被無禮入侵，而公眾通常維權無處，只是其中的一個方面。與之截然相反的另一方面，一個更大的事實則是：應當被公開的個人信息，也因此處於含混與拒絕公開之狀態。這實在是個人信息立法不容迴避的一個環節，那就是並非一切個人信息都受到保護。比如公眾人物尤其是官員的信息。

我們已經知道，以官員財產申報為主要特徵的信息公開作為人類社會文明成果之一，明白無誤地表明瞭公共人物必須承受的權利讓渡，表明了權力者必須接受的公眾監督。這意味着，欲定《個人信息保護法》，必不可迴避對官員相關信息的公開的規定。在兩會上，對於官員財產申報制度的提案，相關部門的回覆依舊是“條件不太成熟”，作為個人信息保護必須釐清的重要方面，官員信息公開規定一下子變得遙遙無期，而此前出台的《政府信息公開條例》在如何界定官員財產與個人隱私方面，亦並不明晰。這樣的缺失，註定了《個人信息保護法》只能處於“只聞樓梯響，不見人下來”的局面。

事情終於呈現出這樣一個結果：《個人信息保護法》的缺位，非但未能有效保護公民的隱私權，反而使應當公開的官員信息，得以以“隱私權”為由拒絕公開。比如2007年出台的《廣州市依法申請公開政府信息辦法》中，明確規定“領導成員廉潔信息”不應公開。也正是在這一點上，個人信息立法工作才變得遲疑起來。其中所膠着的，已不是公民隱私權要不要保護的問題，而是官員個人信息要不要公開的問題。記得在2005年的全國兩會上人大代表王有傑曾提供一個數據：有97%的官員對“官員財產申報”持反對意見。由此，始信利益集團干擾立法之説並非虛妄。

新華社“新華視點”欄目1月11日播發了《你的信用卡個人信息“只花5毛錢就能在網上買到”？－－銀行信用卡信息泄露調查》報道，引發社會廣泛關注 ^[7]  。

國家互聯網信息辦公室相關負責人接受“新華視點”記者專訪時迴應，針對個人信用卡等信息網絡泄漏問題，我國將加快研究制訂個人信息保護相關法律，加大對非法收集、泄露、出售個人信息行為的打擊力度。監管部門還向社會公佈了居民信息泄漏舉報渠道：公民可通過“12377”舉報電話等多種方式維權，互聯網公司有責任遏制非法個人信息交易。

“新華視點”報道中披露，銀行信用卡客户數據泄露現象頗為嚴重，通過QQ羣、微信等網絡工具，僅花費5毛錢，就能買到包括姓名、電話、地址、工作單位、開户行等完整個人信息的一條信用卡開户數據。部分舊個人數據的報價，甚至低至“2000元10萬條”。這些被泄露的個人信息成為欺詐陷阱、騷擾電話的重要源頭。

“當前，網絡個人信息泄漏現象十分嚴重。”國家網信辦網絡安全局副局長楊春燕指出，特別是銀行卡敏感信息泄漏現象屢次發生，被一些不法分子利用從事違法犯罪行為，損害用户利益。“對此，國家高度重視，採取了一系列措施。”

據介紹，我國政府正從立法、立規及建標準、建技術保護手段等多方面，促進網絡個人信息保護。楊春燕表示，網信辦、工信部、公安部等有關部門將加快個人信息保護相關法律的研究制定，加快實施網絡安全審查制度。“重點將加強對網絡服務提供者的監管，加大對非法收集、泄露、出售個人信息行為的打擊力度。”

此外，根據“新華視點”報道調查，通過銀行“內鬼”倒賣信息、轉手給“合作公司”等方式，商業銀行成為信息泄漏的源頭之一。但種種例外條款、免責規定，往往讓消費者問責無門。對此，國家網信辦提示，個人信息遭泄漏後，公民可通過以下三種方式維權：

－－按照全國人大常委會《關於加強網絡信息保護的決定》，遭遇信息泄漏的個人有權立即要求網絡服務提供者刪除有關信息或者採取其他必要措施予以制止。

－－個人還可向公安部門、互聯網管理部門、工商部門、消協、行業管理部門和相關機構進行投訴舉報。“國家網信辦所屬的中國互聯網違法和不良信息舉報中心將專職接受和處置社會公眾對互聯網違法和不良信息的舉報。”楊春燕説。

－－消費者還可依據《侵權責任法》《消費者權益保護法》等，通過法律手段進一步維護自己的合法權益，如要求侵權人賠禮道歉、消除影響、恢復名譽、賠償損失等。

央行數據顯示，截至2014年第三季度末，我國累計發行信用卡4.36億張。經互聯網管理部門初步調查，信用卡信息泄漏原因較為複雜，一是商業銀行由於內部管理等原因導致信息泄露；二是持卡人安全意識不強等原因導致信息被盜；三是第三方機構在持卡人網上支付過程中，非法存儲銀行卡敏感信息導致信息泄露。

“銀行卡信息泄漏可能涉及辦卡、用卡、管卡等多個環節，監管部門需先認定在哪個環節出現問題，然後依法依規處理。”楊春燕説。

記者調查也發現，在現實中，個人信息在網上販賣，信息泄漏倒賣的渠道繁多，甚至公民的醫院就診、網購記錄、開房信息也曾以“幾毛錢一條在出售”：

－－患者就診記錄被公開販賣。根據知情人士提供的線索，記者加入了一個名為“健康資源－病人數據”的QQ羣。該羣的簡介信息中，“經營銷售病人數據、住院數據、掛號數據、醫保結算報銷數據”的字樣赫然在列。部分賣家表示，可提供包括新生兒及高血壓、糖尿病、心血管疾病、腫瘤患者數據，患者的姓名、年齡、病史等私密信息均包含在內。

“剛做完手術就接到藥品、器械還有保健品的推銷電話，持續了兩三年。”60多歲的上海楊浦區市民劉先生告訴記者，自己在2010年在上海長海醫院就醫後，手術後就連續接到針對其所患病症的推銷電話、信件，“有的騷擾者還明確表示知道我的家庭住址。”

－－網購物流信息被隨意買賣。我國網絡購物用户規模已達3.32億人。網購消費者提供的個人姓名、收貨地址、聯繫電話、購物品類等信息，都進入公開販賣的“黑市”。一家自稱淘寶數據商家的QQ平台賣家表示，網購者的物流信息、所購商品信息等數據需求量很大，可全天發貨，最便宜的一份“花2000元就能買到3萬條個人信息”。

“一些電商平台以個體商家為主，信息散落在個體商家手裏，更容易產生信息泄露的風險。”上海金融與法律研究院執行院長傅蔚岡説。

－－大量會員卡及會員服務要求“有身份證才能使用”，但是管理不善導致信息外泄。業內人士表示，各種商户要求個人提供的信息越來越多，消費者普遍沒有選擇權。2012年12月，上海白領王金龍先後在廣州、深圳入住漢庭酒店。2013年，一份“2000萬開房信息”的數據在網上泄露後，王金龍下載網絡流傳文件包，發現自己的姓名、身份證號碼、手機號和開房時間等信息均在其中，遂向上海市浦東新區法院起訴酒店。

楊春燕表示，國家網信辦成立以來，已於2014年推出了“微信十條”新規，明確規定了即時通信工具服務提供者的個人信息保護責任：例如，QQ、微信等運營商必須保護用户信息及公民個人隱私，自覺接受社會監督，及時處理公眾舉報的違法和不良信息。

“監管部門將繼續堅持依法治網保護個人信息，個人也應提高意識主動維權。”楊春燕提示，廣大民眾要進一步提高個人信息保護意識，儘量不隨意提供自己的個人信息。

事實上，猖獗的信息交易“黑市”已使消費者付出慘痛代價。“個人信息的購買者中，不乏非法貴金屬交易、民間借貸公司，社會風險極大。”上海華榮律師事務所合夥人許峯説。

例如，2013年9月，江蘇南京籍投資者張先生在購買某知名炒股軟件後，就不斷接到非法理財公司銷售人員的騷擾電話，後經不住誘惑先後投入59萬元投資“紙白銀”，15個交易日內就虧損約35萬元。

2014年，記者在QQ羣、微信及部分電子商務平台檢索發現，不少個人信息“黑市”依然存在。僅在QQ羣使用查找功能，搜索“銀行卡信息”關鍵詞，參與人數超過30人、交易較活躍的羣至少有120個。在部分線上“文庫”網站中，也仍有公開的銀行客户電話數據。

劉春泉認為，用户信息泄露涉及多個違法主體，作為源頭的銀行到作為傳播渠道的互聯網平台，以及信息的傳播者和使用者均有責任。“對處於壟斷地位的商業銀行、互聯網企業來説，從內控上嚴格防範客户數據泄露，對自身並沒有明顯的好處，往往以各種藉口推卸責任。”

傅蔚岡建議，當居民遭遇垃圾短信或騷擾電話後，可採取“舉證責任倒置”，即使用客户數據從事電話銷售的企業需自證信息系通過合法途徑獲得。“允許個人隱私信息免費交易、販賣的網站，也通過非法信息市場獲得了流量和盈利，也應當被處罰。”(新華社“新華視點”記者杜放、羅政) ^[7] 

“個人信息保護法的施行標誌着我國個人信息保護立法體系進入新的發展階段，對公民信息權益的維護以及數字經濟的發展具有重要意義”。 ^[16]