吳沈括：我眼中的《信息安全技術個人信息安全規范》（GB/T 35273-2017）

吳沈括，北京師范大學刑科院暨法學院副教授、碩導、中國互聯網協會研究中心秘書長。

在大數據、云計算、物聯網以及人工智能等新一代信息技術迅速普及推廣的當下，網絡安全語境下的個人信息與數據治理日益凸顯其戰略意義，包括《個人信息安全規范》在內的一系列政策戰略、法律法規以及其他規范相繼頒布施行，充分反映了主管機關對于民眾權益、產業發展和國家利益的高度重視，也折射了當下中國個人信息保護所追求的多元價值集合的鮮明路徑特色。

總體而言，在網絡安全法治框架下，立足信息安全的維度，《個人信息安全規范》厘定、闡明了個人信息安全保護領域的諸多重要問題，例如“個人信息”這一術語的基本定義、個人信息安全的基本要求等等，并且突出了個人信息全生命周期動態調節的機制特色。在目前我國個人信息處理規范相對不足的情況下，可以認為《個人信息安全規范》的出臺在技術性實操層面填補了諸多規則空白，為提升公民意識、企業合規和國家監管水平提供了新的業務參照、新的行為指引。

標準是從管理、控制風險的角度出發，其核心是在收集、處理個人信息過程中，盡量降低對個人合法權益造成的不利影響。因此，《個人信息安全規范》將具備識別特定自然人或者在一般情況下可以關聯到自然人的信息納入“個人信息范疇”，是給了參考列表。

此外，在《個人信息安全規范》的附錄中，將Cookies、IMEI、MAC地址等具體信息列入個人信息范疇。《個人信息安全規范》的附錄屬于“資料性附錄”，而非“規范性附錄”。需要注意的是，“規范性附錄”是構成標準整體的不可分割的部分，其效力等同于標準的正文。“資料性附錄”僅限于提供一些參考的資料，不具備與標準正文同等的效力。

總體而言，作為國家推薦性標準，國標的適用主體不僅僅限于網絡企業，而是可以覆蓋所有的個人、企事業單位和國家機關等等。事實上，《個人信息安全規范》更恰當的功能定位應當是一種有關個人信息處理業務合規指引的一攬子推薦性解決方案，屬于公共產品的范疇。除非行為主體主動承諾、有權機關明確援引或者法律規范直接認可，其本身不直接產生行為約束力，也并非行政性規范，更不應在刑事責任層面產生實質性意義。尤其應當強調的是，個案思維和總體風險可控是兩個維度的問題，在《個人信息安全規范》的個案運用中，特別需要注意行為邊界的精準厘定。

申言之，《個人信息安全規范》的實際價值需要在2018年5月1日正式施行后結合政府機關以及龍頭企業的示范效應尤其是有權機關的執法實踐做出進一步的跟蹤研判，在此過程中還應當特別注意數據跨境語境下的國際博弈可能產生的反向影響。