互联网时代，日常生活人手至少一部手机，工作更是很难离开电脑和网络。可以说，我们在现实环境中留下的痕迹，远远没有在互联网上多。

　　甚至可以说，假如哪天我们彻底消失了，在现实中的痕迹可能保存一两年，而在互联网中的痕迹，一二十年可能都不会消失，已经如今的互联网记忆已经远超现实。

　　万物互联之下，我们个人的生活细节会被完整地记录。社交平台在记录你的言行和观点，购物平台在记录你的偏好和消费，地图或者打车程序在记录你的移动位置，支付平台等在记录你的资金流向，短视频平台根据用户的浏览记录等数据，为其精准推送他们最可能感兴趣的短视频，而你生活的场所，超市、商场、社区、医院、街道等随处可见的摄像头，在不间断的采集数据信息……

　　正是因为各种信息被搜集，从而“信息售卖”也能成为一种职业，另外一些用户反馈某些网购平台会根据用户的使用年限、消费记录等数据，为其“量身定制”过高的价格。

　　比如，曾经媒体曝光使用苹果手机购物的价格偏贵，就是一种低级的“大数据杀熟”。

　　图片

　　针对现代社会的个人信息怪相频发，8月20号，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》（下文简称《个保法》），自2021年11月1日起施行。

　　《个人信息保护法》变动概要

　　据媒体统计，《个人信息保护法》全文共8章74条，相较于2021年4月29日发布的草案二审稿，共修订改进55条。

　　实际上，对于《个人信息保护法》的梳理，这两日各大媒体和自媒体都推出了自家的分析解读，可谓十分详实而专业。在此，我们只做一个宏观上的要点概述，以让读者在大视角上了解《个保法》的主要特点。

　　以下十点，便是《个保法》的主要涵盖要点：

　　1、禁止商家通过自动化决策“大数据杀熟”；

　　2、不得向用户强制推送个性化广告；

　　3、处理生物识别、医疗健康、金融账户等敏感个人信息，应取得个人的单独同意；

　　4、对公共场所安装图像采集、个人身份识别设备作出规范；

　　5、对违法处理个人信息的应用程序，责令暂停或者终止提供服务；

　　6、大型互联网平台应建立健全个人信息保护合规制度体系；

　　7、新增个人信息可携带权，打破数据垄断及数据孤岛局面；

　　8、个人信息处理者应当提供个人信息转移的途径；

　　9、为不满十四周岁未成年人制定专门处理规则；

　　10、明确逝者个人信息保护规则。

　　此外，据人民法院报梳理，与今年4月提交审议的二次审议稿相比，最新正式版《个保法》作出六处主要修改，涉及个人信息处理规则、未成年人信息保护、个人信息跨境提供规则和个人信息可携带权等内容，对APP过度收集个人信息、“大数据杀熟”、算法自动推送、数据信息归属等公众关注点作出积极回应，数据主体对个人信息处理的自主权得到进一步凸显。具体来看：

　　一、强调不得过度收集个人信息

　　《个保法》规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围。

　　针对个人信息泄露的隐患，草案三审稿增加规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

　　针对各类主流 App 背后的运营企业，草案也明确规定称，大型互联网平台应建立健全个人信息保护合规制度体系。

　　二、不得通过自动化决策实行差别对待

　　《个保法》首先明晰了自动化决策的概念：通过程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。同时规定，自动化决策应当遵守个人信息处理的一般规则，在充分告知个人信息处理相关事项的前提下取得个人同意，不得以个人不同意为由拒绝提供产品或者服务；利用个人信息进行自动化决策时，不得对个人在交易价格等交易条件上实行不合理的差别待遇，并在事前进行个人信息保护影响评估。

　　三、新增个人信息可携带权

　　数据可携带权是指数据主体有权获得其已向数据控制者提供的个人数据，并有权不受限制的将这些数据转移给其他数据控制者。也就是说，用户把自己的所有个人数据从一个平台转移到另一个平台，通过“一键转移”即能实现，极大方便个人获取、转移其个人信息。

　　借鉴域外立法有益经验，增加个人信息可携带权的规定，是《个保法》的一大亮点。

　　《个保法》规定，个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

　　四、健全投诉举报机制

　　《个保法》明确，国家网信部门统筹协调有关部门完善个人信息保护投诉、举报工作机制；履行个人信息保护职责的部门发现违法处理个人信息涉嫌犯罪的，应当及时移送公安机关依法处理；对有关责任人员可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人等职务。

　　五、为不满十四周岁未成年人制定专门处理规则

　　《个保法》进一步明确，不满十四周岁未成年人的个人信息为敏感个人信息，个人信息处理者处理不满十四周岁未成年人的个人信息的，应制定专门的个人信息处理规则。毫无疑问，这一规定既回应了公众的迫切需求，也强化了对特定弱势群体的保护，有助于解决监管领域中的现实难题。

　　六、明确逝者个人信息保护规则

　　《个保法》明确，自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。

　　该条款首先意味着近亲属行使死者个人信息的权利不是随意的，同样要遵守合法、正当的原则；其次，条款体现了对死者生前意愿的尊重，鼓励自然人生前认真安排自己的个人信息。

　　网络安全相关法律法规完善历程

　　我国互联网发展已有几十年历史，在此期间，各项法律法规以及重要条例办法也是出台许多。其中，有大有小，有全局也有领域，有总纲也有补充。

　　对此，启明星辰VF专家团资深专家杨天识经过精心的研究汇总，绘制了一张图谱，其形状像一座房子，房顶是上位法《国家安全法》，下面是保障网络空间安全的三部重要的法律：《数据安全法》、《网络安全法》、《个人信息保护法》。

　　据媒体报道，我国第一部关于信息网络计算机安全的法律法规，乃是1994年发布的《中华人民共和国计算机信息系统安全保护条例》，该条例由中华人民共和国国务院令第147号发布，是第一部涉及计算机信息系统安全的行政法规，距今已有整整27年。

　　实际上，这些年来，我国网络安全相关的法律，一直都是在不断完善。据不完全统计，网络安全相关法律法规如下：

　　《中华人民共和国计算机信息系统安全保护条例》由中华人民共和国国务院令第147号发布，是我国第一部涉及计算机信息系统安全的行政法规，于1994年2月18日正式施行。

　　该《条例》是为了保护计算机信息系统的安全，促进计算机的应用和发展，保障社会主义现代化建设的顺利进行。

　　《计算机信息网络国际联网安全保护管理办法》

　　1997年12月11日，《计算机信息网络国际联网安全保护管理办法》由中华人民共和国国务院批准，公安部于1997年12月16日公安部令（第33号）发布，于1997年12月30日实施，根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订。

　　该《办法》是为了安全保护计算机信息网络国际联网而制定的管理办法。告诉人们哪些网络行为不可为，如果实施了违法行为就要承担法律责任，构成犯罪的还承担刑事责任。一方面。它是一种预防手段；另一方面。它也以其强制力为后盾。为信息网络安全构筑起最后一道防线。

　　《计算机信息系统国际联网保密管理规定》

　　《计算机信息系统国际联网保密管理规定》是为了加强计算机信息系统国际联网的保密管理，确保国家秘密的安全，根据《中华人民共和国保守国家秘密法》和国家有关法规的规定，由国家保密局制定，于2000年1月1日起施行。

　　《互联网信息服务管理办法》

　　2000年9月20日，中华人民共和国国务院第31次常务会议通过《互联网信息服务管理办法》，2000年9月25日公布施行。

　　该《办法》根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订。

　　2021年1月8日，国家网信办就《互联网信息服务管理办法（修订草案征求意见稿）》公开征求意见，意见反馈截止日期为2021年2月7日。

　　该《办法》是为了规范互联网信息服务活动，促进互联网信息服务健康有序发展制定的办法。

　　《互联网上网服务营业场所管理条例》

　　《互联网上网服务营业场所管理条例》经2002年8月14日国务院第62次常务会议通过，于2002年9月29日公布，自2002年11月15日起施行。

　　该《条例》是为了加强对互联网上网服务营业场所信息网络安全、治安及消防安全等方面的管理，规范经营者的经营行为，维护公众和经营者的合法权益，保障互联网上网服务经营活动健康发展，促进社会主义精神文明建设制定。

　　其中强调，上网服务营业场所要有健全、完善的信息网络安全管理制度和安全技术措施，有与其经营活动相适应并取得从业资格的安全管理人员、经营管理人员、专业技术人员。

　　《非经营性互联网信息服务备案管理办法》

　　《非经营性互联网信息服务备案管理办法》于2005年1月28日中华人民共和国信息产业部第12次部务会议审议通过，现予发布，自2005年3月20日起施行。

　　该《办法》是为规范非经营性互联网信息服务备案及备案管理，促进互联网信息服务业的健康发展，根据《互联网信息服务管理办法》、《中华人民共和国电信条例》及其他相关法律、行政法规的规定，制定本办法。

　　在中华人民共和国境内提供非经营性互联网信息服务，履行备案手续，实施备案管理，适用本办法。

　　《中华人民共和国电子签名法》

　　《中华人民共和国电子签名法》由中华人民共和国第十届全国人民代表大会常务委员会第十一次会议于2004年8月28日通过，自2005年4月1日起施行。当前版本为2019年4月23日第十三届全国人民代表大会常务委员会第十次会议修正。

　　该法是为了规范电子签名行为，确立电子签名的法律效力，维护有关各方的合法权益而制定的法律。

　　《信息安全等级保护管理办法》

　　《信息安全等级保护管理办法》是由公安部、国家保密局、国家密码管理局、国务院信息联合发布，于2007年6月22日正式施行。

　　该《办法》是为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定。

　　《中华人民共和国保守国家秘密法》

　　《中华人民共和国保守国家秘密法》于1988年9月5日第七届全国人民代表大会常务委员会第三次会议通过，2010年4月29日第十一届全国人民代表大会常务委员会第十四次会议修订通过，现将修订后的《中华人民共和国保守国家秘密法》公布，自2010年10月1日起施行。

　　该法是为了保守国家秘密，维护国家安全和利益，保障改革开放和社会主义建设事业的顺利进行而制定。

　　《中华人民共和国保守国家秘密法实施条例》

　　《中华人民共和国保守国家秘密法实施条例》是根据《中华人民共和国保守国家秘密法》（以下简称保密法）的规定制定。由国务院于2014年1月17日发布，自2014年3月1日起施行。

　　2010年新修订保密法确立了一系列新的制度、措施，实施办法与之已不相适应，应作相应调整补充。同时，新修订保密法规定的一些内容还比较原则，有必要作出具体细化，以利于法律的贯彻落实。二是适应经济社会发展形势的需要。随着市场经济的深入发展和信息化建设的快速推进，保密工作面临的形势更加复杂严峻，保密管理的难度日益加大。三是适应保密工作依法行政的需要。

　　《中华人民共和国国家安全法》

　　中华人民共和国国家安全法，是为了维护国家安全，保卫人民民主专政的政权和中国特色社会主义制度，保护人民的根本利益，保障改革开放和社会主义现代化建设的顺利进行，实现中华民族伟大复兴，根据《中华人民共和国宪法》，制定的法规。

　　2015年7月1日，第十二届全国人民代表大会常务委员会第十五次会议通过新的国家安全法。国家主席习近平签署第29号主席令予以公布。法律对政治安全、国土安全、军事安全、文化安全、科技安全等11个领域的国家安全任务进行了明确，共7章84条，自2015年7月1日起施行。

　　《中华人民共和国网络安全法》

　　《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过，自2017年6月1日起施行。

　　《网络安全法》是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展而制定的法律。

　　网络安全法共有7章79条，内容上有6方面突出亮点：

　　第一，明确了网络空间主权的原则；第二，明确了网络产品和服务提供者的安全义务；第三，明确了网络运营者的安全义务；第四，进一步完善了个人信息保护规则；第五，建立了关键信息基础设施安全保护制度；第六，确立了关键信息基础设施重要数据跨境传输的规则。

　　《公安机关信息安全等级保护检查工作规范（试行）》

　　《公安机关信息安全等级保护检查工作规范（试行）》是2017年9月份发布的依据《信息安全等级保护管理办法》为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作而制定的规范。其中对“公安机关信息安全等级保护检查工作”进行了定义。

　　文中还对等级保护的检查过程，包括检查前、人员、检查中、检查后，及检查内容进行了规定与说明，等保工具箱完美契合整个过程。

　　《中华人民共和国密码法》

　　2019年10月26日，我国首部密码法获十三届全国人大常委会第十四次会议表决通过，自2020年1月1日起正式施行。

　　作为我国密码领域的综合性、基础性法律，该法案将有效规范密码应用和管理，促进密码事业发展，保障网络与信息安全，提升密码管理科学化、规范化、法治化水平。

　　《密码法》的颁布，将对加快我国密码产业科学发展产生积极意义：

　　■进一步加强党对密码工作的绝对领导，确保党的主张通过立法程序成为国家意志；

　　■实现依法管理，为全面推进密码工作的法制建设打下基础；

　　■切实维护国家网络与信息安全，有效防范和打击密码违法犯罪活动；

　　■规范密码市场秩序，坚持发展与安全并重，为我国密码产业科学发展提供法律保障。

　　《中华人民共和国刑法》

　　《中华人民共和国刑法修正案（十一）》由2020年12月26日中华人民共和国第十三届全国人大常委会第二十四次会议通过，2020年12月26日中华人民共和国主席令（第六十六号）公布，自2021年3月1日起施行。其中涉及到网络安全与信息保护的部分，分别为第二百八十五条，第二百八十六条，第二百八十七条；

　　1）2009年《中华人民共和国刑法修正案（七）》

　　非法侵入计算机信息系统罪（刑法修正案七第285条，最高法定刑3年）

　　非法获取计算机信息系统数据罪（刑法修正案七第285条，最高法定刑7年）

　　2）2011年8月，最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》

　　3）2015年《中华人民共和国刑法修正案（九）》

　　侵犯公民个人信息罪（刑法修正案九第253条修改为一般主体，包含非法获取、出售或者提供的行为，最高法定刑7年）

　　非法利用信息网络罪（刑法修正案九第287条，最高法定刑3年）

　　拒不履行信息网络安全管理义务罪（刑法修正案九第286条，最高法定刑3年）

　　4）2017年5月，最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

　　刑法修正案及司法解释对个人信息的定义，比对网安法有更大范围的列举，包括个人身份信息及个人活动信息，体现了对诸如个人IP轨迹等的突出保护。

　　《关键信息基础设施安全保护条例》

　　从《关键信息基础设施安全保护条例》（征求意见稿）（下称“征求意见稿”）的发布到《条例》的正式出炉，共历时四年有余。

　　2016 年 11 月《网络安全法》出台，第一次正式提出“CII”这一概念，并指出“对于CII在网络安全等级保护制度的基础上进行重要的保护工作”。

　　关键信息基础设施（critical informationinfrastructure,CII）保护是加强网络安全立法的重点任务之一，正迎来顶层设计和法律法规的密集发布。

　　2017年7月，国家网信办发布征求意见稿，但业界普遍认为，征求意见稿在CII的认定、法律保护范围等方面尚不明晰。

　　2021年4月27日，《关键信息基础设施安全保护条例》在国务院第133次常务会议通过；8月17日，国务院发布《关键信息基础设施安全保护条例》（下称《条例》），对CII安全保护的适用范围、监管主体、评估对象等基础要素做出界定，并为安全保护工作开展提供系统指引和工作遵循。《条例》将自今年9月1日起施行。

　　《中华人民共和国数据安全法》

　　2021年6月10日，《中华人民共和国数据安全法》由第十三届全国人民代表大会常务委员会第二十九次会议通过，自2021年9月1日起施行。

　　《数据安全法》规制的是数据处理活动，通过保障数据安全，来促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益。

　　《数据安全法》作为数据安全管理的基本大法，给我们指明了方向和提供法律保障。有关单位和个人收集、存储、使用、加工、传输、提供、公开数据资源，都应当依法建立健全数据安全管理制度，采取相应技术措施保障数据安全。

　　《中华人民共和国个人信息保护法》

　　2020年5月，十三届全国人大三次会议表决通过《民法典》，其中明确了自然人的个人信息受法律保护。2020年10月份，个人信息保护法（草案）出炉，2021年8月20号，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》，自2021年11月1日起施行。

　　结语：法律法规逐步完善乃大势所趋

　　从网络安全与信息保护相关的法律法规发展的历程不难看出，国家在法律法规建设层面，越来越由宏观转向微观，由大局转向到个体。也就是以人为本，越来越重视对人的合法权益的保护。

　　这十几年来，是互联网野蛮生长的时期，互联网产业也因此而爆炸性发展，其间产生过很多无序乱象，比如肆意侵犯公民隐私、大数据杀熟、信息泄露等现场屡见不鲜，并且多番整治，依旧有大量互联网APP服务商顶风作案，屡教不改。

　　为什么？正是因为其中有大量的利益可图。但如今，我国互联网产业要走上合规有序的道路，就必须整治这些乱象，用法律法规的形式落实下来，并形成震慑力，这样才能逐渐消除诸般互联网乱象。

　　实际上，我国网络安全相关的法律法规，远远不止上述统计，因为各行各业都由自家的安全规范，比如工业、金融等。我们只是从宏观上，将与大众有关的网络安全相关法律法规以及重要条例办法列举出来，以方便大家形成一个时间脉络，或可从中窥探出我国相关法律法规的演变历程。