2018年1月，國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱“規(guī)范”）獲批發(fā)布全文。盡管這是一部推薦性的國(guó)家標(biāo)準(zhǔn)，不具有強(qiáng)制力，但仍引起了學(xué)界與實(shí)務(wù)界的廣泛關(guān)注。

在關(guān)于規(guī)范的各類解讀中，有聲音認(rèn)為規(guī)范的發(fā)布及時(shí)地填補(bǔ)了現(xiàn)今個(gè)人信息保護(hù)中諸多技術(shù)細(xì)節(jié)與實(shí)操領(lǐng)域的規(guī)范空白；也有聲音認(rèn)為，這部國(guó)家標(biāo)準(zhǔn)規(guī)范比歐洲與美國(guó)對(duì)于個(gè)人信息保護(hù)的要求更為嚴(yán)格，可能會(huì)影響行業(yè)的發(fā)展。

洪延青：

對(duì)“《個(gè)人信息安全規(guī)范》比歐盟與美國(guó)更嚴(yán)格”觀點(diǎn)的幾點(diǎn)回應(yīng)

對(duì)于種種理解，規(guī)范的起草人之一、北京大學(xué)互聯(lián)網(wǎng)發(fā)展研究中心高級(jí)顧問(wèn)洪延青近日在由中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)研究中心主辦的“網(wǎng)絡(luò)產(chǎn)業(yè)與《個(gè)人信息安全規(guī)范》國(guó)家標(biāo)準(zhǔn)研討會(huì)”上做出了幾點(diǎn)回應(yīng)。

1、《個(gè)人信息安全規(guī)范》比歐洲更嚴(yán)格嗎？

-用戶“同意”在規(guī)范中處于核心位置，但并非沒(méi)有考慮“正當(dāng)利益”

在近日發(fā)布的《個(gè)人信息安全規(guī)范》中，對(duì)于個(gè)人信息的收集、轉(zhuǎn)讓、共享等各個(gè)環(huán)節(jié)中，都對(duì)用戶的“明示同意”做出了要求。

洪延青表示，個(gè)人信息所謂全生命周期每個(gè)環(huán)節(jié)，個(gè)人都是能參與到過(guò)程中去的，這些權(quán)利是《網(wǎng)絡(luò)安全法》賦予的。

洪延青介紹，《網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱“網(wǎng)安法”）對(duì)個(gè)人信息保護(hù)的規(guī)定有一個(gè)非常顯著的特征，就是給個(gè)人特別強(qiáng)的控制權(quán)。比如說(shuō)，收集使用需要個(gè)人的同意，即經(jīng)被收集者同意；處理和保存必須遵循與用戶的協(xié)定；如果違反用戶的協(xié)定處理或者保存?zhèn)€人信息，用戶有刪除和更正的權(quán)利。當(dāng)發(fā)生安全事件之后，還需要通知到用戶。

從這個(gè)方向來(lái)看的話，個(gè)人的“同意”，在處理個(gè)人信息過(guò)程中處于核心的地位。因此，有觀點(diǎn)認(rèn)為，這份標(biāo)準(zhǔn)中對(duì)于“同意”的要求甚至比歐洲GDPR（《一般數(shù)據(jù)保護(hù)條例》）更為嚴(yán)格，理由是 GDPR有六個(gè)合法正當(dāng)處理個(gè)人信息的事由，同意是第一項(xiàng)，后面五項(xiàng)不需要同意。第六項(xiàng)是正當(dāng)利益。

洪延青對(duì)此持不同意見(jiàn)，他解釋，GDPR中有兩種同意的方式，一種是明示同意（explicit consent），指明確寫著“我同意”的字樣讓用戶點(diǎn)擊或勾選。而另一種是授權(quán)同意（unambiguous consent），指通過(guò)點(diǎn)擊“發(fā)送”或者點(diǎn)擊“撥打”等動(dòng)作表明同意，但并不出現(xiàn)明文“同意”。

洪延青介紹，在此次發(fā)布的《個(gè)人信息安全規(guī)范》中，是將以上兩種情況合并為“明示同意”，同時(shí)也為“授權(quán)同意”留下了空間。

“為什么規(guī)范中沒(méi)有提及默示同意？”，洪延青解釋，首先，這樣寫怕企業(yè)會(huì)濫用默示同意。其次，目前承認(rèn)“授權(quán)同意”，是希望互聯(lián)網(wǎng)企業(yè)做到明示同意，但如果現(xiàn)實(shí)大量的場(chǎng)景做不到明示同意的話，還是需要用到授權(quán)同意的。“從這一點(diǎn)上我們的標(biāo)準(zhǔn)實(shí)際上比歐盟松得多，跟相對(duì)寬松的美國(guó)相對(duì)是看齊的”，洪延青說(shuō)。

而對(duì)于一些看法認(rèn)為，歐盟GDPR中還考慮到“正當(dāng)利益”的狀況，即個(gè)人信息對(duì)某個(gè)組織來(lái)說(shuō)非常重要，有重大的利益，但是處理個(gè)人信息對(duì)個(gè)人合法權(quán)益的影響非常小的情況下，通過(guò)利益權(quán)衡，允許組織不經(jīng)過(guò)同意處理個(gè)人信息的做法。

洪延青表示，首先，“同意”的要求沒(méi)有任何例外情況，這是遵循了網(wǎng)安法的要求，在其第41條的第一款中寫“經(jīng)被收集者同意”，這里沒(méi)有給任何例外，如果網(wǎng)安法想給例外，這一條就完全另外一種寫法，比如說(shuō)，“有法律法規(guī)授權(quán)或者其他正當(dāng)事由或者經(jīng)被收集者同意”， 但是，（最終的網(wǎng)安法）沒(méi)有“或”字，原文是“經(jīng)被收集者同意”，字面上理解的話，遵循法律原意就是各個(gè)環(huán)節(jié)被收集者同意。包括后面條款說(shuō)到，“未經(jīng)被收集者同意，不能向他人提供”。這也是法律的原話，同意是提供的主要事由之一。當(dāng)然后面提了一句如果匿名化不需要個(gè)人同意。

其次，洪延青指出，在現(xiàn)實(shí)中有什么樣的場(chǎng)景經(jīng)常用到正當(dāng)利益，法院或者行政機(jī)關(guān)認(rèn)可的站得住腳的對(duì)正當(dāng)利益的使用實(shí)例，那么我們考慮寫到“征得授權(quán)同意的例外”中。比如說(shuō)產(chǎn)品出了一個(gè)故障，肯定需要回傳一些信息做調(diào)試，再比如說(shuō)需要計(jì)費(fèi)，為了計(jì)費(fèi)的目的肯定要收集個(gè)人信息。這時(shí)候，雖然在國(guó)外，這叫正當(dāng)利益的具體表現(xiàn)，但是我們沒(méi)有寫“正當(dāng)利益”四個(gè)字，而是盡量把它放到“征得授權(quán)同意的例外”當(dāng)中去。

當(dāng)然，由于例外只能列舉，不可能代替 正當(dāng)利益 所給的靈活性，所以會(huì)有人讀起來(lái)覺(jué)得規(guī)范太嚴(yán)了。”洪延青表示，規(guī)范只能在網(wǎng)安法的框架中制定，不可能超越法律的框架。

2、《個(gè)人信息安全規(guī)范》比歐洲更嚴(yán)格嗎？

-要求區(qū)分核心與非核心功能，實(shí)則可以降低企業(yè)問(wèn)責(zé)風(fēng)險(xiǎn)

在此次發(fā)布的規(guī)范中，還對(duì)此前受到用戶詬病的產(chǎn)品隱私政策“一攬子”授權(quán)的狀況做出了改善的建議。

目前的互聯(lián)網(wǎng)產(chǎn)品或服務(wù)在注冊(cè)時(shí)大多會(huì)提供用戶協(xié)議或隱私政策，作為與用戶簽訂的個(gè)人信息使用處理的同意。但通常文本較長(zhǎng)，專業(yè)術(shù)語(yǔ)眾多。因此有用戶認(rèn)為隱私政策長(zhǎng)文本晦澀難懂，還有“一攬子”要求用戶授權(quán)的嫌疑。

洪延青對(duì)此解釋，隱私政策長(zhǎng)文本的讀者并非只有用戶，還包括專家、法律人士及第三方監(jiān)督機(jī)構(gòu)。因此長(zhǎng)文本的全面專業(yè)依然有必要。

但他同時(shí)強(qiáng)調(diào)，即便點(diǎn)擊了隱私政策長(zhǎng)文本的同意，并不意味著附加功能同時(shí)一并打開。在現(xiàn)實(shí)使用中，還是需要再次點(diǎn)擊同意。

洪延青介紹，為了破解“一攬子”授權(quán)的情況，標(biāo)準(zhǔn)建議企業(yè)區(qū)分核心功能和附加功能。用微信舉例，微信核心功能是聊天，在實(shí)現(xiàn)這個(gè)核心功能中需要收集敏感信息或是普通個(gè)人信息，用戶為了使用微信，都需要提供。但例如微信上的理財(cái)?shù)裙δ埽瑒t明顯屬于附加功能，如果用戶只想聊天，不想用理財(cái)，就不能認(rèn)為同意了隱私政策就也同意開通了理財(cái)功能？所以規(guī)范建議企業(yè)在告知時(shí)區(qū)分核心和附加功能。

洪延青表示，在此前四部委進(jìn)行的十家互聯(lián)網(wǎng)產(chǎn)品評(píng)測(cè)中，一些企業(yè)雖然開始認(rèn)為區(qū)分核心與非核心功能不容易，但在實(shí)際操作后，反而成為一個(gè)非常明晰的風(fēng)險(xiǎn)防控手段。將來(lái)面對(duì)消費(fèi)者或者消協(xié)投訴時(shí)，可以由于做了核心或者附加功能的區(qū)分，而降低問(wèn)責(zé)成本。

同樣，此次規(guī)范對(duì)于個(gè)人敏感信息做出了增強(qiáng)式同意的要求，亦或是強(qiáng)調(diào)用戶同意在各個(gè)環(huán)節(jié)的核心作用，實(shí)際上都是為了降低問(wèn)責(zé)成本。洪延青介紹，實(shí)際上無(wú)論是歐盟還是美國(guó)，對(duì)于要尊重用戶“正當(dāng)期待”也都有要求，即需要遵守與用戶的約定，要尊重用戶的“正當(dāng)期待”（ reasonable expectation），這并非是中國(guó)才有。

洪延青表示，同意的要求變低，問(wèn)責(zé)的要求往往就變高了。因?yàn)樵诂F(xiàn)實(shí)中，這會(huì)讓判斷會(huì)更模糊，這會(huì)讓內(nèi)部合規(guī)考量更多更復(fù)雜。反而，在現(xiàn)在《網(wǎng)絡(luò)安全法》框架下，同意比起問(wèn)責(zé)，是相對(duì)容易做的事情。

需要注意的是，規(guī)范的發(fā)布對(duì)于企業(yè)內(nèi)容合規(guī)提出了更明確的要求，洪延青介紹，完整性、保密性、可用性一直以來(lái)都是網(wǎng)絡(luò)安全行業(yè)熟知的三個(gè)特性。此外，如今的合規(guī)，還要求企業(yè)劇本透明性（數(shù)據(jù)的處理、流轉(zhuǎn)要透明）、可干預(yù)性（如果需要?jiǎng)h除或更正，需要?jiǎng)”舅菰醋肪康哪芰Γ⒉豢陕?lián)結(jié)性（在大數(shù)據(jù)平臺(tái)中，不同場(chǎng)景不同目的的數(shù)據(jù)不能聯(lián)結(jié)）。

洪延青認(rèn)為，如果說(shuō)個(gè)人信息系統(tǒng)要討論合規(guī)性的話，要實(shí)現(xiàn)六個(gè)性，內(nèi)部必須有數(shù)據(jù)分級(jí)分類、數(shù)據(jù)打標(biāo)、數(shù)據(jù)地圖、數(shù)據(jù)血緣關(guān)系、數(shù)據(jù)流向、留痕審計(jì)。這些都是基礎(chǔ)的合規(guī)能力，用于滿足的是對(duì)個(gè)人信息特殊對(duì)象的保護(hù)而不是對(duì)普通數(shù)據(jù)的保護(hù)。

洪延青還透露，目前《個(gè)人信息安全規(guī)范》已經(jīng)發(fā)布，個(gè)人信息安全影響評(píng)估正在起草中，這一文本將會(huì)對(duì)企業(yè)合規(guī)的差距進(jìn)行分析，并針對(duì)未來(lái)的新技術(shù)、新業(yè)態(tài)、新技術(shù)留出空間。個(gè)人信息安全影響評(píng)估將對(duì)企業(yè)合規(guī)有更明晰的指導(dǎo)性。

3、《個(gè)人信息安全規(guī)范》比歐洲更嚴(yán)格嗎？

“個(gè)人信息”的定義并非全世界最嚴(yán)，與歐盟程度仍拉開了距離

《個(gè)人信息安全規(guī)范》附錄A中有某項(xiàng)信息是不是個(gè)人信息的判斷。洪延青介紹，規(guī)范的定義考慮兩個(gè)路徑，一是識(shí)別路徑，即由信息本身特殊性識(shí)別出特定自然人。二是關(guān)聯(lián)路徑。 關(guān)聯(lián)路徑的前提是，個(gè)人已經(jīng)識(shí)別出來(lái)了，他后續(xù)做的一系列動(dòng)作，又被系統(tǒng)記錄了，顯示出他的偏好和行為軌跡，這些也屬于個(gè)人信息。

洪延青指出，一些社交平臺(tái)，把身份信息保護(hù)得很好，例如帳戶、用戶名、手機(jī)號(hào)、身份證號(hào)、家庭住址等等。但是，卻把用戶的朋友關(guān)系網(wǎng)絡(luò)，例如特別關(guān)注的好友，屏蔽了誰(shuí)，不屏蔽誰(shuí)等等，叫做系統(tǒng)日志信息，而沒(méi)有定義為個(gè)人信息，這是不合理的。他表示，在一些場(chǎng)景下，身份信息往往并沒(méi)有行為信息更隱私，更需要保護(hù)。

此外，還有專家評(píng)論，識(shí)別是歐盟經(jīng)常用的路徑，關(guān)聯(lián)是美國(guó)經(jīng)常用的路徑，把識(shí)別和關(guān)聯(lián)都加起來(lái)，標(biāo)準(zhǔn)比美歐都嚴(yán)。洪延青認(rèn)為這是一個(gè)誤讀。

據(jù)洪延青介紹，歐盟GDPR中的個(gè)人信息定義中，本身就包括“可識(shí)別”（identifiable ）與“已識(shí)別”（identified），這實(shí)際上已經(jīng)把識(shí)別和關(guān)聯(lián)都包含在內(nèi)了。所以規(guī)范首先并沒(méi)有超過(guò)歐盟的嚴(yán)格程度。

需要注意的是，歐盟語(yǔ)境中的“身份“（identity）一詞的內(nèi)涵遠(yuǎn)比中文語(yǔ)境中“身份”更寬泛。中文語(yǔ)境的“身份”一本指的是工作單位、職位，職級(jí)等等。但是歐盟GDPR對(duì)“身份”的定義，則包括physical（身體的）, physiological（生理的）, genetic（基因的）, mental（精神的）, economic（經(jīng)濟(jì)的）, cultural or social （文化與社會(huì)的）identity（身份）。 舉例來(lái)說(shuō)，一個(gè)人的性取向，在中國(guó)語(yǔ)境里并不認(rèn)為是“身份”，但在歐盟就會(huì)認(rèn)為是身份的一種。因此歐盟個(gè)人信息定義中包含的內(nèi)容遠(yuǎn)大于中國(guó)。

而美國(guó)的情況也是如此，美國(guó)商務(wù)部下國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院標(biāo)準(zhǔn)PⅡ?qū)€(gè)人信息定義為兩類，第一類是能夠用來(lái)區(qū)別（distinguish）或勾勒個(gè)體身份的信息，第二類是能夠和個(gè)人相關(guān)聯(lián)的信息。洪延青解釋，美國(guó)的定義也是包括了關(guān)聯(lián)與識(shí)別兩類。

洪延青表示，規(guī)范在制定時(shí)，可能會(huì)比美國(guó)稍嚴(yán)一點(diǎn)，但是絕對(duì)不會(huì)比歐洲更嚴(yán)，而且與歐洲拉開了一定的距離。

洪延青在發(fā)言的最后強(qiáng)調(diào)，法律往往都是框架性的要求，制定標(biāo)準(zhǔn)一定會(huì)在《網(wǎng)絡(luò)安全法》的框架內(nèi)，如果未來(lái)能夠出臺(tái)個(gè)人信息保護(hù)相關(guān)的專門法，那么規(guī)范會(huì)在那時(shí)候再適時(shí)做出修改，反映有彈性的操作空間。

吳沈括：《個(gè)人信息安全規(guī)范》提供了新的業(yè)務(wù)參照和行為指引

“在大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)以及人工智能等新一代信息技術(shù)迅速普及、推廣的當(dāng)下，個(gè)人信息與數(shù)據(jù)治理的戰(zhàn)略意義日益凸顯”，會(huì)議伊始，主持人、中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)研究中心秘書長(zhǎng)吳沈括在發(fā)言中表示，包括規(guī)范在內(nèi)的一系列政策、法律法規(guī)相繼頒布施行，反映了主管部門對(duì)民眾權(quán)益、產(chǎn)業(yè)發(fā)展和國(guó)家利益的高度重視，也折射出中國(guó)個(gè)人信息保護(hù)追求多元價(jià)值集合的鮮明特色。

吳沈括認(rèn)為，在網(wǎng)絡(luò)安全法治框架下，規(guī)范立足信息安全的維度，厘定、闡明了個(gè)人信息安全保護(hù)領(lǐng)域的諸多重要問(wèn)題，如“個(gè)人信息”的基本定義、個(gè)人信息安全的基本要求等；并突出了個(gè)人信息全生命周期動(dòng)態(tài)調(diào)節(jié)的機(jī)制特色。他指出，在目前我國(guó)個(gè)人信息處理規(guī)范相對(duì)不足的情況下，規(guī)范在實(shí)際操作層面填補(bǔ)了諸多空白，為提升公民意識(shí)、企業(yè)合規(guī)和國(guó)家監(jiān)管水平提供了新的業(yè)務(wù)參照和行為指引。

在附錄中，規(guī)范將具備識(shí)別特定自然人或者在一般情況下可以關(guān)聯(lián)到自然人的信息納入了個(gè)人信息的范疇。吳沈括對(duì)南都記者表示，這是因?yàn)橐?guī)范的出發(fā)點(diǎn)是管控風(fēng)險(xiǎn)，其核心在于盡量降低在收集、處理個(gè)人信息過(guò)程中對(duì)個(gè)人合法權(quán)益造成的不利影響。

此外，附錄還將通過(guò)日志儲(chǔ)存的用戶操作記錄、IMEI信息、設(shè)備MAC地址等列入了個(gè)人信息范疇。不過(guò)，吳沈括強(qiáng)調(diào)，規(guī)范的附錄屬于“資料性附錄”，而非“規(guī)范性附錄”，兩者的區(qū)別是：后者是構(gòu)成標(biāo)準(zhǔn)整體的不可分割的部分，其效力等同于標(biāo)準(zhǔn)正文；前者則僅限于提供參考，不具備與標(biāo)準(zhǔn)正文同等的效力。

吳沈括指出，作為國(guó)家推薦性標(biāo)準(zhǔn)，規(guī)范的適用主體不僅限于網(wǎng)絡(luò)企業(yè)，還包括所有個(gè)人、企事業(yè)單位和國(guó)家機(jī)關(guān)。“事實(shí)上，規(guī)范更恰當(dāng)?shù)墓δ芏ㄎ粦?yīng)當(dāng)是一個(gè)有關(guān)個(gè)人信息處理業(yè)務(wù)合規(guī)指引的一攬子推薦性解決方案，屬于公共產(chǎn)品的范疇”，他進(jìn)一步解釋說(shuō)，除非行為主體主動(dòng)承諾、有權(quán)機(jī)關(guān)明確援引或法律規(guī)范直接認(rèn)可，規(guī)范本身不直接產(chǎn)生行為約束力，也并非行政性規(guī)范，更不應(yīng)在刑事責(zé)任層面產(chǎn)生實(shí)質(zhì)性意義。

“個(gè)案思維和總體風(fēng)險(xiǎn)可控是兩個(gè)維度的問(wèn)題，在《個(gè)人信息安全規(guī)范》的個(gè)案運(yùn)用中，特別需要注意行為邊界的精準(zhǔn)厘定”，吳沈括強(qiáng)調(diào)，規(guī)范的實(shí)際價(jià)值需要在 5月1日正式施行后，結(jié)合政府機(jī)關(guān)以及龍頭企業(yè)的示范效應(yīng)，尤其是有關(guān)部門的執(zhí)法實(shí)踐做出進(jìn)一步的跟蹤研判，同時(shí)還應(yīng)特別注意數(shù)據(jù)跨境下的國(guó)際博弈可能產(chǎn)生的反向影響。

許長(zhǎng)帥：個(gè)人信息保護(hù)立法應(yīng)劃分行政監(jiān)管邊界

中國(guó)信通院工業(yè)和信息化法律服務(wù)中心副主任許長(zhǎng)帥在會(huì)上做了主題發(fā)言。他認(rèn)為，雖然規(guī)范只是推薦性國(guó)家標(biāo)準(zhǔn)，但對(duì)于日常監(jiān)管卻有重要參考作用，可通過(guò)“轉(zhuǎn)化”的方式，把規(guī)范融入到日常監(jiān)管當(dāng)中。此外，在后續(xù)的個(gè)人信息保護(hù)立法中，還應(yīng)重點(diǎn)解決監(jiān)管部門分工以及劃分行政監(jiān)管邊界的問(wèn)題。

規(guī)范可通過(guò)“轉(zhuǎn)化”融入日常監(jiān)管

近日，《個(gè)人信息安全規(guī)范》全文在國(guó)家標(biāo)準(zhǔn)全文公開系統(tǒng)上線。作為《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱“網(wǎng)安法”）的配套標(biāo)準(zhǔn)，規(guī)范從收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等個(gè)人信息處理活動(dòng)方面進(jìn)行了詳細(xì)規(guī)定。

“《個(gè)人信息安全規(guī)范》在網(wǎng)安法的框架內(nèi)做了 打開 ，對(duì)實(shí)務(wù)有很好的指引作用，這一點(diǎn)是毋庸置疑的”，許長(zhǎng)帥指出，網(wǎng)安法關(guān)于個(gè)人信息保護(hù)的規(guī)定條款較少，且多為原則性條款，而規(guī)范在此基礎(chǔ)上給出了更加詳細(xì)、明確的規(guī)則。此外，規(guī)范的出臺(tái)符合產(chǎn)業(yè)發(fā)展的需要，也更靠近國(guó)際上通行的做法。“規(guī)范實(shí)施后積累的實(shí)踐經(jīng)驗(yàn)，將為后續(xù)的個(gè)人信息保護(hù)立法打下很好的基礎(chǔ)”。

值得注意的是，規(guī)范屬于推薦性國(guó)家標(biāo)準(zhǔn)，和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)不同，不能作為執(zhí)法的直接依據(jù)。對(duì)此，許長(zhǎng)帥提出了一個(gè)對(duì)策，即通過(guò)“轉(zhuǎn)化”的方式，把規(guī)范融入到日常監(jiān)管當(dāng)中。

許長(zhǎng)帥表示，網(wǎng)安法中雖然給出了個(gè)人信息的定義并列舉了其中一些，但對(duì)于沒(méi)有被列舉的信息中，還有哪些屬于個(gè)人信息，尚無(wú)統(tǒng)一標(biāo)準(zhǔn)。規(guī)范作為有一定效力的國(guó)家標(biāo)準(zhǔn)，詳細(xì)列舉了個(gè)人信息、個(gè)人敏感信息的范圍，完全可以融入網(wǎng)安法適用中。不過(guò)，盡管監(jiān)管部門可以將規(guī)范當(dāng)作執(zhí)法指引，卻不能成為執(zhí)法依據(jù)。

同樣的，執(zhí)法部門后續(xù)制定規(guī)章和規(guī)范性文件的時(shí)候，可以參照規(guī)范所確定的規(guī)則，將相關(guān)制度融入到規(guī)章和規(guī)范性文件中，但不能將規(guī)范作為這些規(guī)章和規(guī)范性文件的立法依據(jù)。

企業(yè)違反規(guī)范是否需要承擔(dān)法律責(zé)任？

對(duì)企業(yè)來(lái)說(shuō)，規(guī)范在產(chǎn)業(yè)中的作用完全靠企業(yè)自主采用，就算企業(yè)不采用，也無(wú)需承擔(dān)法律責(zé)任。但是，如果企業(yè)對(duì)外承諾或者宣稱采用了規(guī)范而實(shí)際未采用，是否需要承擔(dān)相應(yīng)的法律責(zé)任？

許長(zhǎng)帥認(rèn)為，根據(jù)《標(biāo)準(zhǔn)化法》第27條“企業(yè)應(yīng)當(dāng)按照標(biāo)準(zhǔn)組織生產(chǎn)經(jīng)營(yíng)活動(dòng)，其生產(chǎn)的產(chǎn)品、提供的服務(wù)應(yīng)當(dāng)符合企業(yè)公開標(biāo)準(zhǔn)的技術(shù)要求”和第36條“企業(yè)生產(chǎn)的產(chǎn)品、提供的服務(wù)不符合其公開標(biāo)準(zhǔn)的技術(shù)要求的，依法承擔(dān)民事責(zé)任”，企業(yè)需要承擔(dān)民事責(zé)任。

此外，許長(zhǎng)帥還類比了《產(chǎn)品質(zhì)量法》第26條“產(chǎn)品質(zhì)量符合在產(chǎn)品或者其包裝上注明采用的產(chǎn)品標(biāo)準(zhǔn)”，提出該法通過(guò)合格產(chǎn)品制度，要求產(chǎn)品對(duì)外宣示采用了哪個(gè)推薦性國(guó)家標(biāo)準(zhǔn)，如果實(shí)際上沒(méi)有達(dá)到，執(zhí)法部門可以進(jìn)行處罰，即企業(yè)需承擔(dān)行政責(zé)任。

相比之下，個(gè)人信息保護(hù)所屬的服務(wù)領(lǐng)域就缺少類似規(guī)定。許長(zhǎng)帥建議，未來(lái)個(gè)人信息保護(hù)立法應(yīng)設(shè)計(jì)把個(gè)人信息保護(hù)推薦性國(guó)家標(biāo)準(zhǔn)轉(zhuǎn)化為具有法律約束力的要求的制度。“如果沒(méi)有做到，企業(yè)除了民事責(zé)任以外，還要承擔(dān)行政法上的責(zé)任，這樣可能更有利于企業(yè)的良好經(jīng)營(yíng)”，他說(shuō)。

許長(zhǎng)帥還指出了執(zhí)法過(guò)程中可能出現(xiàn)的另一個(gè)問(wèn)題。網(wǎng)安法第41條規(guī)定, 網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)征得被收集者同意，并在第64條明確了相關(guān)罰則。規(guī)范也明確，收集個(gè)人信息應(yīng)獲得個(gè)人信息主體的授權(quán)同意，另外又列舉了針對(duì)此條規(guī)定的例外情形。比如在與國(guó)家安全、國(guó)防安全直接相關(guān)的情形下，個(gè)人信息控制者收集、使用個(gè)人信息無(wú)需征得個(gè)人信息主體的授權(quán)同意。

“假如企業(yè)說(shuō)我是在規(guī)范列舉的例外情形下，沒(méi)有告知就收集了用戶的信息，而用戶依據(jù)網(wǎng)安法第41條和第64條要求執(zhí)法部門處罰企業(yè)，應(yīng)該如何執(zhí)法？”許長(zhǎng)帥提出，現(xiàn)階段國(guó)家法律和規(guī)范之間仍存在一定差異，可能需要通過(guò)立法解釋等方式解決，將來(lái)個(gè)人信息保護(hù)立法也應(yīng)吸收規(guī)范的例外規(guī)則或其他要求。

后續(xù)個(gè)人信息保護(hù)立法要與執(zhí)法做預(yù)判或銜接

談到后續(xù)的個(gè)人信息保護(hù)立法，許長(zhǎng)帥認(rèn)為，有兩個(gè)需要注意的問(wèn)題。

一個(gè)是監(jiān)管部門的分工問(wèn)題。網(wǎng)安法沒(méi)有明確規(guī)定具體的執(zhí)法部門和主管部門，而個(gè)人信息保護(hù)問(wèn)題涉及各個(gè)行業(yè)和領(lǐng)域，很難一一對(duì)應(yīng)，因此實(shí)踐中形成了分散監(jiān)管的模式。許長(zhǎng)帥舉了一個(gè)在淘寶平臺(tái)售賣醫(yī)療器械的例子：既然客戶有購(gòu)買醫(yī)療器械的需求，就說(shuō)明家里有人需要器械輔助，那就很可能也需要家政服務(wù)，于是賣家將收集到的客戶信息出售給家政服務(wù)公司，一個(gè)利益鏈條就串起來(lái)了。

“這種情況下，既涉及受電信部門管理的互聯(lián)網(wǎng)信息服務(wù)，又涉及受工商部門管理的網(wǎng)絡(luò)交易，還涉及受食藥監(jiān)部門管理的醫(yī)療器械，被侵犯?jìng)€(gè)人信息的客戶找誰(shuí)投訴、找誰(shuí)解決呢？”許長(zhǎng)帥指出，誰(shuí)來(lái)監(jiān)管的問(wèn)題需要立法部門在個(gè)人信息保護(hù)立法時(shí)重點(diǎn)解決。國(guó)外大多采取統(tǒng)一的監(jiān)管模式，對(duì)用戶來(lái)說(shuō)有很多的便利，但也必須綜合考慮統(tǒng)一監(jiān)管涉及的執(zhí)法力量、執(zhí)法負(fù)擔(dān)以及執(zhí)法能力等因素。

另一個(gè)是行政監(jiān)管的邊界問(wèn)題。許長(zhǎng)帥指出，個(gè)人信息保護(hù)是在服務(wù)過(guò)程中存在的，發(fā)生糾紛應(yīng)該首先尋求司法解決。但實(shí)際情況卻是大多數(shù)人會(huì)第一時(shí)間找行政部門投訴和舉報(bào)，試圖通過(guò)信訪、依法履職、投訴等途徑解決。

近兩年，與網(wǎng)絡(luò)有關(guān)的投訴、舉報(bào)和依法履職申請(qǐng)案件急劇增加，行政復(fù)議和行政訴訟的案件更是呈幾何級(jí)增長(zhǎng)。許長(zhǎng)帥認(rèn)為，這導(dǎo)致了極大的行政資源浪費(fèi)。“個(gè)人信息保護(hù)涉及的服務(wù)是市場(chǎng)行為，產(chǎn)生的問(wèn)題應(yīng)該在市場(chǎng)規(guī)律下走司法途徑解決，不是說(shuō)政府部門負(fù)責(zé)某一行業(yè)的個(gè)人信息保護(hù)，這個(gè)行業(yè)出現(xiàn)的所有糾紛都要通過(guò)行政手段解決，這已經(jīng)被證明是做不到的，況且行政成本說(shuō)到底還是攤到公眾頭上。”

因此，許長(zhǎng)帥建議，個(gè)人信息保護(hù)立法要明確劃分行政監(jiān)管的邊界，與后面的執(zhí)法做一個(gè)預(yù)判或銜接。如果前期立法的規(guī)則設(shè)計(jì)處理好了，為行政監(jiān)管劃清界限，個(gè)人信息保護(hù)的大部分案件就可以通過(guò)司法途徑解決，有效減少行政執(zhí)法糾紛。