《网络安全法》和《解释》的施行不仅开启了我国个人信息安全保护的新纪元，也对推动我国网络空间法治化进程具有重大和深远的意义。

《网络安全法》：公民个人信息安全保护的新起点

《网络安全法》是我国关于网络领域安全的基础性、综合性法律，明确了保护个人信息安全的立场和原则，被誉为“我国个人信息安全保护的新起点”。

确立网络时代个人信息保护的原则。《网络安全法》首次以立法形式界定了“个人信息”的内涵，确立了个人信息安全保护的基本立场。主要体现在：一是确立个人信息收集和使用原则；二是明确规定任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者向他人提供个人信息；三是要求依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私等严格保密，不得泄露、出售或者非法向他人提供。

完善侵害个人信息行为的法律责任体系。为依法惩治侵害个人信息行为，《网络安全法》中区分了不同情形，建立了完善的法律责任体系。其一，对于网络运营者、网络产品或者服务的提供者侵害个人信息的行为，由有关主管部门责令改正，可根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款；情节严重的，可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。其二，对于窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息的行为，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款；没有违法所得的，处一百万元以下罚款。其三，违反本法规定，给他人造成损害的，依法承担民事责任；构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

《解释》：公民个人信息刑法保护的里程碑

为贯彻落实《刑法》和《网络安全法》的立法精神，积极回应实践需求，《解释》强化了对公民个人信息的刑法保护力度。

一是结合网络信息时代的特点和保护个人信息安全的需要，进一步明确了“个人信息”的内涵和外延。规定“个人信息”不仅包括传统意义上的个人身份识别信息，如姓名、身份证件号码等，还包括微信、银行账号、支付账号等账号密码，以及交易信息、行动轨迹等与公民人身和财产安全密切相关的信息。同时，根据信息的重要和敏感程度，将个人信息分为“高度敏感信息”“敏感信息”和“一般信息”，并确定了不同的入罪标准。

二是明确非法获取和提供个人信息的主要情形。将实践中常见的“购买、收受、交换”个人信息以及“未经被收集者同意”“收集与其提供的服务无关的个人信息”等行为纳入“非法获取信息”的范畴。同时规定，“通过信息网络或者其他途径发布公民个人信息”属于“提供信息”行为，从而回应了社会广泛关注的“人肉搜索”行为的定性问题。

三是明确在经营活动中获取、提供或出售个人信息的刑法边界。信息社会也是法治社会，任何组织和个人不得非法出售或提供个人信息（信息经过处理无法识别特定个人且不能复原的除外），也不能以合法经营为由，非法购买、收受、交换个人信息。为此，《解释》规定，为合法经营而非法购买、收受个人信息，获利5万元以上的，属于“情节严重”，应依法追究刑事责任；非法交换个人信息或者非法购买、收受、交换敏感个人信息的，应按照信息数量或违法所得等确定是否入罪。

四是强化网络服务提供者的网络安全管理义务，严惩“内鬼”。为敦促网络服务提供者履行信息网络安全管理义务，《解释》进一步规定，对于拒不履行信息网络安全管理义务，致使公民个人信息泄露，造成严重后果的，应当以“拒不履行信息网络安全管理义务罪”定罪处罚。同时，考虑到在个人信息泄露案件中，有不少系内部人员作案，个人信息非法交易案件中也常见“内鬼”的影子，《解释》特别规定，具有上述情形的，认定“情节严重”“情节特别严重”的数量、数额标准减半计算。

个人信息安全保护任重道远

《网络安全法》和《解释》为依法保障个人信息安全提供了立法支持，但是要将“纸面法律”转变为“现实法律”，司法机关可能会面临各种问题与挑战，需积极探究、妥善应对。

个人信息分类的适用。《解释》中将公民个人信息分为“高度敏感信息”“敏感信息”和“一般信息”三类，并确定了不同的入罪标准。但是综观之前的司法实践，极少有案件采用这一标准进行定罪量刑。在《解释》施行后，如何改变执法惯性，严格按照个人信息的种类查明案件事实、准确适用法律将成为一个现实而紧迫的问题。

“情节特别严重”标准的适用。我国《刑法》对侵犯公民个人信息罪配置了两个量刑档次，其中第二个量刑档次即“情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”，这在司法实践中极少被适用。随着《解释》的施行，大量的案件将达到这一标准，判处三年以上有期徒刑的案件也将大幅增加，由此不仅可能直接冲击刑事法官的办案经验和量刑习惯，且极有可能导致同类案件以及相关案件（如涉网犯罪案件）之间的量刑差异问题突出，因而值得关注。

相关罪名的适用。侵犯公民个人信息罪中的犯罪行为包括信息收集和使用行为，这些行为在实施过程中很可能同时构成其他犯罪。例如，在行为人利用恶意程序批量非法获取网站客户订单信息的案件中，客户订单信息既属于计算机信息系统数据，也包含有公民个人信息，对此如何定性实践中就存在争议。而在信息使用阶段，当行为人利用非法获得的信息实施犯罪时，是按牵连犯原则处理还是施行数罪并罚，理论和实践中都存在争议；当行为人出售或非法提供的信息被他人用于实施犯罪时，对行为人在何种情形下按照侵犯公民个人信息罪定罪处罚、在何种情形下按照共犯处理也需要引起注意。

罚金刑的适用。根据我国《刑法》的规定，对于侵犯公民个人信息犯罪，应当“并处”或者“单处罚金”。在司法实践中，由于缺乏统一标准，各地法院在适用罚金刑时差别很大。为规范罚金刑的适用，《解释》规定，“对于侵犯公民个人信息犯罪……罚金数额一般在违法所得的一倍以上五倍以下。”这一规定在施行中也将面临一些问题。其中，如何查明和认定“违法所得”以及在未查明“违法所得”或者当案件不存在违法所得时（如非法提供和交换信息类案件）如何恰当适用罚金刑等均值得关注。（中国应用法学研究所副所长 李玉萍）