《个人信息安全规范》的效力与功能.pdf

首页新闻

《个人信息安全规范》的效力与功能

往事冷酷2019-04-2609:13关注

编者按：

本文作者是对外经济贸易大学数字经济与法律创新研究中心执行主任许

可。曾经在《个人信息安全规范》2017年底发布之际，许可老师就曾撰写

过一篇文章，分析《个人信息安全规范》的效力问题。【见试论《个人信

息安全规范》的法律效力】。今次在《个人信息安全规范》修订之际，许

可老师再发妙文，进一步深化、完善了这方面的分析。很值得一读。

正文：。

作为我国个人信息保护的风向标，国家标准《信息安全技术——个人信息

安全规范》（下称“《个人信息安全规范》”）在实施不足一年后的修订引

人瞩目。日趋严格的个人信息保护条款，再次激起了人们对于《个人信息

安全规范》的讨论：《个人信息安全规范》的效力究竟如何？我们应该怎

样理解它的作用？

一、《个人信息安全规范》的效力

（一）《个人安全规范》不具有形式上的拘束力

首先，《个人安全规范》不属于《立法法》中的正式法源。我国立法法所

确立的正式法源包括宪法、法律、行政法规、地方性法规、自治条例、单

行条例及规章、国务院部门规章和地方政府规章，在形式上并不包括国家

标准。不仅如此，从制定程序、发布方式、调整对象、规范结构上看，国

家标准也与上述正式法源大相径庭。总体而言，国家标准的制定和发布相

对宽松、简单，调整对象更为单一、具体，尤其是规范结构并不包括执行

主体和法律后果。[1]因此，作为国家标准的《个人信息安全规范》并不属

我来说两句

于我国正式的法律渊源。

（二）《个人安全规范》具有事实上的拘束力

1988年8月29日，在第七届全国人民代表大会常务委员会第三次会议上，

国家技术监督局局长徐志坚在《关于（中华人民共和国标准化法（草

案））的说明》中，特别指出：“标准本身具有严肃的法规性和统一性。标

准是各项经济技术活动中有关方面共同遵守的准则和依据”。[2]正是由

于“标准”要求“有关方面”“共同遵守”，因此对行政机关和私主体产生了事实

上的拘束力。[3]放宽视野看，作为“软法”（softlaw）的组成部分，“标

准”是“没有法律拘束力但有实际效力的行为规则”。但是，“标准”的事实效

力并非整齐划一。根据拘束力的强弱，依次呈现出强制性国家标准、推荐

性国家标准、团体性标准和完全自愿性标准的光谱。[4]而正如《个人信息

安全规范》（GB/T35273-2017）中的“GB/T”所示，它是“推荐性国家标

准”，在实际效力上居于“强制”和“自愿”之间，这种微妙的定位体现为如下

方面：

1.《个人信息安全规范》对企业的法律效力

一方面，《个人信息安全规范》可因企业自愿遵守而产生约束力。根据

《国务院办公厅关于印发国家标准化体系建设发展规划（2016-2020年）

的通知》，国家标准体系建设遵循“强制性标准守底线、推荐性标准保基

本、企业标准强质量”的原则。作为个人信息安全方面的基本通用规范，

《个人信息安全规范》的遵守与否不但是国家是否给予政策优惠的标准，

也将成为企业是否具有基本保障措施的试金石。在竞争压力和声誉机制

下，企业将不得不自愿遵守。而根据原国家技术监督局《企业标准化管理

办法》第17条第2款“推荐性标准，企业一经采用，应严格执行”之规定，一

旦企业通过用户合同、隐私协议或其他类型的文件对《个人信息安全规

范》作出承诺，则必须受其约束。另一方面，若法律、法规、规章、强制

性标准，或者行政决定、法院判决援引了《个人信息安全规范》，那么也

将产生与援引文件同等的约束力。

2.《个人信息安全规范》对行政机关的法律效力

我来说两句

首先，行政机关在《个人信息安全规范》所规范的范围内作出行政决定

时，应当参照《个人信息安全规范》。

之所以强调“应当”参考，是因为：（1）作为国家推荐和倡导使用的标准，

《个人信息安全规范》对行政相对人产生了积极影响，其可能会以此作为

准则来安排自己的活动,指导自己的行为。如果行政机关不以公告的国家标

准作为其行政的依据,将会损害行政相对人的信赖利益。（2）包括《个人

信息安全规范》在内的国家标准是《网络安全法》的有机组成部分。信息

技术的日新月异，凸显了此前个人信息保护法律法规的滞后、杂乱且矛

盾，而系统规定个人信息保护的《网络安全法》亦过于粗疏，亟待通过国

家标准的形式予以说明、解释和具体化。为此，《网络安全法》第15条特

别将国家标准纳入其中。（3）行政机关将《个人信息安全规范》作为认

定事实的