根据央视2017年2月16日报道，在记者提供信息贩子手机号和不等价格后，信息贩子仅根据手机号就提供了包括照片、身份证号码、户籍所在住址、民族、所属派出所、所拥有车辆、“淘宝”送货地址、通话记录、滴滴打车记录，定位等各种个人信息[1]。信息贩子提供个人信息种类之多和内容之准确让人吃惊，也让每个人心里产生恐惧和无奈。

　　如在五六年前，我们也许可以将这些情况主要怪罪于立法上不足。但最近几年，我国陆续颁布相关法律，尽管还没有一部独立的系统性个人信息保护法，但个人信息法律保护也已经初具框架。

　　既然已经有了法律，为什么这种非法行为还如此猖獗而没有得到有效遏制，且这些信息贩子能够轻易拿到个人信息？原因可能是多方面的：一方面法律还比较新，比较偏向于原则性规定，可能还没有得到很好执行；另一方面，我们也要反思，那些已经收集了很多个人信息的企业和单位是否采取了足够的管理和技术措施保护个人信息，是否履行了法律上义务？因此，从这个角度考虑，如果相关企业还是不够重视个人信息保护，没有很好履行法律上的义务，企业可能会承担更大责任，企业在这方面的法律风险正日益加大。

一、我国个人信息法律框架

　　个人信息的保护从立法上可以最早溯源到民法通则对隐私权的保护、人身权的保护等。在互联网时代前，至少在技术上个人信息被侵害不像目前互联网时代那么容易，社会危害性不是很大，因此，早期个人信息立法非常少。

　　随着互联网时代（尤其是移动互联）的到达和发展，个人信息容易被不当获取和滥用，风险明显加大。为遏制这种危害，我国在立法上采用刑法先走一步、其他涉及个人信息民事和行政法律和规章也陆续制定，形成不同级别的对个人信息收集、使用、保护、处分等行为的法律框架。

　　1.刑法

　　全国人大在2009年的《中华人民共和国刑法修正案（七）》中，增加侵害公民个人信息罪的规定。

　　为了遏制日益严重的侵犯个人信息行为，全国人大在2015年8月的刑法修正案（九）中扩大出售和提供个人信息的犯罪主体（从相关单位工作人员扩展到所有人），并增加处罚力度（情节特别严重的，处以三到七年的有期徒刑）。除了违规出售和提供个人信息外，窃取或者以其他方法非法获取公民个人信息也是侵犯个人信息罪的行为。单位也可以成为本罪的主体。

　　2.消费者权益保护法和网络安全法

　　我国在2013年修改的《消费者权益保护法》增加了对消费者个人信息的保护，这是我国个人信息保护进程中迈出的重要一步。在实践中，个人信息的泄漏和不当使用多是在消费过程中和之后发生的，因此，法律要求经营者正当合法收集和使用消费者个人信息有重要意义。不过，目前消费者权益保护法关于个人信息规定并不具体。《消费者权益保护法》提及基本原则包括：经营者在收集、使用个人信息时应当遵循合法、正当、必要的原则；明示收集、使用信息的目的、方式和范围，并经消费者同意的原则；经营者有义务采取技术措施确保信息安全及发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施；经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。

　　当然，在互联网时代，个人信息的收集、传输等主要是通过电子方式进行，立法的关键还是要具体针对网络时代的特点进行。2012年12月全国人大发布《全国人民代表大会常务委员会关于加强网络信息保护的决定》。该决定强调国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息，并且也说明网络服务提供者和其他企业事业单位在业务活动中收集、使用应当遵循合法、正当、必要的原则，明示原则和经被收集者同意原则等。

　　另一部重要的法律是全国人大于2016年11月颁布的，将于2017年6月1日开始生效的《网络安全法》。网络安全法除明确上述合法、正当、必要的原则，明示原则和经被收集者同意原则，还规定了更细致的义务。例如，网络运营者不得收集与其提供的服务无关的个人信息；网络运营者不得泄露、篡改、毁损其收集的个人信息；网络运营者应当采取技术措施和其他必要措施；在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告；个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密。

　　另外，《网络安全法》还对特殊领域内的个人信息规定不得输出至境外，即关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。虽然，关键信息基础设施的准确定义还有待于国务院另外制定法规，但根据《网络安全法》第31条，至少应该包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。

　　3.部门规章和标准

　　除上述法律外，一些拥有很多消费者个人信息的行业（包括电信、金融、物流等领域）的主管部门也相应制定部门规章。例如，工业和信息化部在2013年7月颁布《电信和互联网用户个人信息保护规定》，规定电信业务经营者、互联网信息服务提供者收集和使用个人信息的规范及具体应该采取的安全保障措施。另外，国家邮政局在2014年颁布《寄递服务用户个人信息安全管理规定》，提供并要求邮政企业、快递企业及其从业人员应当遵守相关保护个人信息的规范。早在2005年，人民银行颁布《个人信用信息基础数据库管理暂行办法》，要求商业银行在提交和整理个人金融信息及查询个人信用数据库时应遵守相关保护个人信息的规范。

　　在2013年，《信息安全技术公共及商用服务信息系统个人信息保护指南》作为个人信息领域的一个非强制性标准予以发布。

　　总之，关于个人信息保护初步框架已经搭好，下一步是去执行和完善这些法律。

二、企业法律风险日益凸显

　　作为法律应有之义，所有相关主体均应认真履行自己在个人信息保护法律上的义务。作为收集和使用个人信息的最重要主体，企业更有责任认真履行。因此，如果企业不重视个人信息合规，则这方面法律风险日益增大。

　　1.法律责任涉及民事、行政和刑事

　　企业可能在个人信息收集上违反必要原则，过多收集，或未经被收集者同意而收集；企业在个人信息使用上超出约定使用范围使用；企业还可能在个人信息安全保护上未采取足够的技术措施。这些没有尽到法律义务的行为均可能产生不同的法律责任。

　　违反这些法律责任可能包括行政、民事甚至刑事责任。根据《网络安全法》第64条，违反有关个人信息条款的，行政责任包括警告、没收违法所得、处违法所得一倍以上十倍以下罚款，；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。另外，违反规定给他人造成损害的，依法承担民事责任。最后，也是最严重的处罚是对那些窃取或者以其他非法方式获取、违规出售或者非法向他人提供个人信息的行为进行刑事处罚。

　　2.企业被追责实际案例已经发生

　　首先，对于已经发生的个人信息案件，大都是针对非法获取个人信息的贩卖人或非法提供个人信息的某机构的工作人员。例如，2016年夏天发生的山东徐玉玉案，犯罪嫌疑人是利用技术手段攻击了“山东省2016高考网上报名信息系统”，盗取了包括徐玉玉在内的大量考生报名信息。

　　但是，要求企业承担责任案例也已经发生。北京知识产权法院在2017年1月做出的“脉脉与新浪微博不正当竞争纠纷案”的二审判决从形式上是不正当竞争案件，但实质上是个人信息案件。法院判决书中引用《消费者权益保护法》及《全国人民代表大会常务委员会关于加强网络信息保护的决定》中关于个人信息的条款，并明确说明第三方通过Open API获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则，即，Open API开发合作模式中数据提供方向第三方开放数据的前提是数据提供方取得用户同意，同时，第三方平台在使用用户信息时还应当明确告知用户其使用的目的、方式和范围，再次取得用户的同意。法院判决也强调互联网中收集利用用户数据信息应遵循合法、正当、必要的原则，尽到网络运营者的管理义务。根据这些原则，法院认定脉脉获取新浪微博信息的行为存在主观过错，违背上述三重授权原则，违反了诚实信用原则和互联网中的商业道德，构成不正当竞争。

　　3.这些行业企业尤其应注意个人信息法律合规风险

　　从上面分析可以看出，对于需要大量收集和/或使用个人信息的企业，法律风险已经悄然而至。因此，企业、尤其银行、保险、基金、征信、电子商务、社交媒体等企业应对个人信息合规予以重视，完善相关制度，这样做既减少自身责任和风险，也为公众个人信息安全保护做出贡献。

注释：

　　1.http://tv.cctv.com/2017/02/16/VIDEw9rMuqj6hEfDrBpmD5MF170216.；2017年2月19日访问。

　　                                                                     （文章来源：微信公众号“德恒律师事务所”）