公民个人信息保护现实困境与突破

张智浩

(湖南工商大学 法学与公共管理学院，湖南 长沙 410006)

2019年3月15日，一篇名为《法学博士生的维权：我为什么起诉抖音、多闪侵犯我的隐私权》的文章在网络上引起了热议。起因是这篇文章的作者发现：在其使用“抖音”“多闪”App时，都会收到精确的“关注提示”，这些提示关注的人员竟然都是该作者的微信好友，甚至还有久未联系的前女友。这让作者感到既诧异又愤怒：“为什么这些App会知道他们是我的好友？”“在我不知道、未授权的情况下，App运营商是怎么获取我的通讯列表内容的？”“显而易见，App运营商侵犯了我的隐私权”。基于此，该文章作者向北京市互联网法院起诉这两款App的运营商涉嫌侵犯隐私权，北京市互联网法院已经正式立案。同年，淮安市公安局淮阴分局破获了一起特大侵犯个人信息案件——某银行行长为了赚取高额的非法利益，利用职务便利，将其所掌握的数万客户银行卡信息以每条几百元的价格出售给“信息贩子”王某，王某再将个人信息转售给需要的“客户”。就这样，一条查询、提供、贩卖个人信息的黑色产业链形成了。该案中，淮阴分局抓获犯罪嫌疑人26名，涉案手机60部，涉案金额2 100余万元，追缴违法所得400万元，涉及9个省份。最终，这样一条贩卖个人信息的犯罪产业链被成功摧毁。

以上两起案件集中暴露出信息时代个人隐私保护的“痛点”——人们在享受技术进步带来的便利时，同样也在遭受技术带来的弊端。各种App要求强制授权、过度收集公民个人信息等现象大量存在，由此导致的信息泄露已成肆意蔓延之势。笔者将对公民个人信息泄露问题进行探讨，以寻求解决之道。

一、公民个人信息保护风险巨大

2019年8月13日，国家统计局发布了《新中国成立70周年经济社会发展成就系列报告》。报告显示：截止到2018年年末，我国的移动手机用户达到15.7亿。庞大的用户量造就了庞大的App市场。各式各样的App大量涌现，涉及我们生活的方方面面[1]。但我们在使用这些App的时候会发现这些App似乎“知道”我们想要什么。例如购物类App，当你使用过一次之后，再次使用时就会为你精确推送你想要买的商品；还有外卖类App，当你点过一次外卖，再次使用时会收到你想要点的外卖商家的推荐；再如通过新闻类App浏览过新闻资讯之后，便会收到大量你感兴趣的新闻资讯的推送……似乎这些App就在我们身边注视着我们的一举一动，我们想要做什么它都一清二楚。这其实就是先通过“信息收集”然后进行的信息精确推送。每次当我们打开App连接到互联网之后，我们就已经陷入一张互联网编制的巨大的“信息搜集网”中。在这张无形的巨大的网中，每个人身处其中就如同“透明人”，每个人都没有隐私可言，时刻都处在“信息裸奔”的状态之下[1]。

关于我国公民个人信息安全状况，中国消费者协会发布的《2014年度消费者公民个人信息网络安全报告》显示：网络针对消费者公民个人信息的窃取和非法使用的“黑色产业链”呈现爆发性增长态势，由此给消费者造成的经济损失数额惊人。2016年，中国消费者协会发布的互联网服务满意度调查报告显示：中国网民对互联网服务的满意度仅为57.9%，满意度低的原因很大一部分来自于消费者公民个人信息泄露所造成的诸多困扰和损失。2018年8～10月，中国消费者协会在全国范围内开展了手机App公民个人信息收集和隐私保护情况的调查，并于同年11月28日发布了《100款App个人信息收集与隐私政策测评报告》。报告重点测评了App对公民个人信息的收集和使用情况，以及App的隐私政策和条款。从测评结果来看，几乎所有的App都存在过度收集和使用消费者公民个人信息的情况，而地理位置信息、通讯录信息、身份信息和手机号码信息等为重点收集的对象，几乎所有的App都会进行收集，但并不会告知消费者收集的方式及其用途。由此可见，手机App侵犯个人隐私权的情况十分严重，公民个人信息安全环境亟待改善，隐私保护刻不容缓。

二、个人信息泄露因由探析

公民个人信息的泄露有诸多方面的原因，笔者将其归结为以下三个方面。

(一)趋利性致使企业违法出卖个人信息

公民个人信息在信息技术飞速发展的当下，不再是之前“一文不值”的无用信息了，而是可以被商家、企业甚至私人用来进行精准投送商业信息或进行违法犯罪的电信诈骗的必备要素，个人信息的商业价值因此被充分地发掘了出来[2]。以App运营者为例， App运营商通过App收集到大量的公民个人信息，这些信息在信息时代下就是巨额财富，经营者坐拥“巨额财富”难免不会动心，于是在利益的驱动下就出现了买卖公民个人信息的违法行为，即进行“非法数据交易”。最具代表性的要数2018年“数据堂”特大侵犯公民个人信息案。据公安部门统计，“数据堂”在1个月时间内日均传输公民个人信息1.3亿条，累计传输数据约4 000G左右，公民个人信息达数百亿条，相当于每个中国人被泄露了十几条甚至几十条的个人信息……规模之大令人触目惊心。同时，App运营者内部也存在“内鬼”，将其掌握的用户信息盗卖给第三方。例如，2013年某宝被爆出其技术员工李某伙同他人，非法售卖约20G的用户资料；2017年，某东网络安全部员工与黑客勾结，贩卖50亿条用户信息，其中包括身份证信息、银行账号和密码等重要信息。

(二)第三方恶意技术入侵盗取个人信息

近年来，频频出现第三方恶意盗取客户信息事件。例如美国电商巨头亚马逊在2018年出现了严重的用户数据泄露事件，其原因就是遭到了第三方机构的恶意攻击和入侵，导致大量用户信息被盗走。2018年3月，某书公司遭遇用户信息被泄露事件，超过5 000万条用户信息被一名剑桥大学讲师通过一个性格测试软件恶意收集。该软件通过后台运行的方式秘密收集个人信息，然后将收集到的个人信息卖给剑桥分析公司，导致了大规模的数据泄露。2019年9月6日，某书公司发言人再次证实，超4.19亿条与某书账户相关的公民个人信息被盗取，包括用户姓名、电话号码和住址等信息。这些数据在网上没有任何加密措施，任何一个人都可以轻松访问。这两次用户信息泄露事件使某书公司陷入了巨大的危机，其股价最高跌幅达18%，某书公司的首席执行官也将面临国会的质询与处罚。

(三)公民个人未尽合理注意的义务导致信息泄露

在日常使用App过程中，消费者的疏忽大意、对个人信息泄露没有清楚的认识是导致信息泄露的又一重要原因[3]。我们在首次使用App时，会收到关于公民个人信息收集的隐私条款的提示，但绝大部分用户不看隐私条款而直接同意，因此App运营商就堂而皇之地收集信息；或者用户虽然阅读了隐私条款，但对所收集的信息不以为然，认为收集位置信息、电话号码、通讯录信息等对自己不会造成实质性的影响，从而默认APP进行收集。有时候我们会收到一些链接短信，往往以“同学聚会”或者“奖金兑换”为内容，消费者为了满足好奇心或者受利益驱使，往往不加分辨就点击链接并按照提示进行操作，结果导致手机中病毒或者被植入后台程序，最终导致个人信息被盗取，严重时还会遭受财产损失。中国消费者协会发布的2018年《App公民个人信息泄露情况调查报告》显示：约有85.2%的网民遭遇过数据泄露，其中大约30%的受害者选择“忍气吞声，自认倒霉”，而不是积极寻求法律保护，挽回损失。公民个人的警惕性不高，再加上对信息泄露表现出的无所谓态度，也是导致公民个人信息泄露愈演愈烈的重要因素。

三、我国保护公民个人信息的相关法律和政策

(一)立法层面

我国对公民个人信息的保护基本涵盖了各个领域的立法。刑事领域主要的有关规定就是《中华人民共和国刑法》(以下简称《刑法》)第二百五十三条。该条规定了侵犯公民个人信息的刑事责任，从刑事领域对公民个人信息的保护作出了规定。2009年通过的《中华人民共和国刑法修正案(七)》首次将非法获取、出售或非法提供公民个人信息的行为定性为犯罪行为。民事领域主要体现在2017年10月1日施行的《中华人民共和国民法总则》(以下简称《民法总则》)第一百一十一条规定了公民个人信息依法受到保护的原则，规定了网络服务提供商所负有的安全保障义务，包括一般性义务和阶段性义务①。《中华人民共和国民法典》(以下简称《民法典》)分编中的“人格权编”，在第一章和第五章分别规定了公民个人信息的合理使用和收集；在第六章中则更加详细地规定了公民个人信息的收集、使用、删除、更正和保护问题[4]。2017年6月1日起实施的《中华人民共和国网络安全法》(以下简称《网络安全法》)[5]，是我国第一部有关网络安全的法律，填补了我国在互联网时代网络安全监管方面的空白。其中，第四十条规定网络运营商应该严格保密收集到的用户信息，并建立相应的用户信息保密制度；第四十一条规定了在收集信息时的合法、正当、必要原则；第四十二条规定了运营商不得泄露所收集到的信息，未经被收集者同意，不得将收集到的信息提供给他人；第六十四条规定了网络运营商、网络产品或者服务的提供者违反有关规定的法律责任和后果。这部法律严格规定了网络运营商的主体责任和义务，明确了运营商收集个人信息时的告知义务，为用户信息的收集、使用、存储等环节提供了法律保障，给网络运营商戴上了“紧箍咒”。

早在《网络安全法》实施之前，我国也有其他法律对公民个人信息安全问题进行规定。例如《中华人民共和国侵权责任法》(以下简称《侵权责任法》)第三十六条规定了网络用户、网络服务提供者利用网络侵害他人民事权益的侵权责任。《中华人民共和国消费者权益保护法》(以下简称《消费者权益保护法》)第二十九条规定了经营者应该合法地收集公民个人信息；对收集到的信息应该严格保密，未经同意不得提供给他人；以及未经消费者同意不得向其推送商业信息。《中华人民共和国电子商务法》第二十三条、第三十一条规定了网络运营商在信息收集、运用、存储、保密等方面的义务。我国关于公民个人信息保护的基本法律及条款如表1所示，相关的行政法规、部门规章和其他规范性文件分别如表2、表3、表4所示。

表1 我国关于公民个人信息保护的基本法律

表2 我国关于公民个人信息保护的行政法规

表3 我国关于公民个人信息保护的部门规章

表4 其他规范性文件

由表1、表2、表3、表4可以看出，我国关于公民个人信息的规定种类繁多、纷繁复杂，散落在各种法律、法规、部门规章和其他规范性文件中，缺乏专门统一的法律进行保护。

(二)行政监管层面

近年来,我国行政机关也加大了对侵犯公民个人信息违法行为的打击力度，主要体现在出台监管标准、多部门联合执法和专项行动上。2018年5月1日，国家标准化管理委员会发布了《信息安全技术公民个人信息安全规范》，首次以国家标准的形式规定了网络运营商在收集、使用、存储、保密用户信息时的相关要求，以行政手段保护公民个人信息，开公民个人信息行政保护之先河。2019年1月25日，中央网信办、工业和信息化部、公安部、市场监管总局联合通告：从2019年1月至12月，在全国范围内开展App违法收集用户公民个人信息、违法使用公民个人信息的专项治理行动，对目前国内App违法收集、使用、分享用户信息等违法行为进行专项整治，确保网民拥有一个健康、干净、安全的网络环境。此后，全国信息安全标准化技术委员会、中国消费者协会、互联网协会、中国网络空间安全协会四部门组成“App违法收集使用公民个人信息专项治理工作组”，专门负责推进该专项治理行动。2019年5月28日，国家互联网信息办公室发布了《数据安全管理办法(征求意见稿)》。该意见稿详细地规定了网络运营商在收集、储存、使用、处理用户信息时的要求和责任，以及在保护用户信息时的义务，对公民的个人信息进行了全方位的保护。以上这些行政举措有力地打击了App运营者违法收集、使用公民个人信息的行业乱象，有效保障了网络用户的公民个人信息安全，维护了良好的上网环境。同时，公安部从2018年开始，相继开展“净网2018”“净网2019”专项行动，对网络上突出的犯罪问题进行集中打击，重点打击侵犯公民个人信息的犯罪行为[6]。据统计，专项行动开展以来，获刑事案件43 781起，抓获犯罪嫌疑人64 292名，有效打击了侵害公民个人信息的犯罪行为，取得了显著的效果。

四、域外个人信息保护制度介绍

对他国公民个人信息保护制度进行学习和研究，不但有助于我们学习他国先进的经验，也有助于我国个人信息保护领域立法的完善。

(一)欧盟对公民个人信息的保护

欧盟对公民个人信息的保护是十分全面和严格的。目前，欧盟对公民个人信息的立法保护采取以“欧盟统一立法为主，各国立法为辅”的模式[7]。欧盟有关公民个人信息保护的法律主要有1995年的《数据保护指令》，2002年的《隐私与电子通讯指令》，2009年的《欧洲Cookie指令》，2012年的《一般数据条例》②等。以上法律对公民个人信息的保护主要体现在一项叫做“被遗忘权”的权利上。“被遗忘权”是指任何公民都有权在其公民个人信息和数据不再需要时，向相关机构或者网络运营者提出删除其公民个人信息和数据的权利。同时，各成员国也有专门的法律来保护公民个人信息。例如德国的《德国联邦数据保护法》、法国的《法国自由、档案、信息法》、英国的《数据保护法》等。但是，随着网络技术的飞速发展，欧盟已有的法律已经不能适应急剧变化的互联网社会，且各个国家立法的不同导致大量的立法间隙和隔阂，对公民个人信息的保护产生了不利影响。为统一欧盟信息保护立法，2016年4月14日，欧盟委员会通过了《通用数据保护条例》(《General Data Protection Regulation》,简称“GDPR”)③，用于保护所有欧盟成员公民免受个人隐私和数据泄露的影响。因其“长臂管辖”权和“最高罚额”规定，GDPR被称为欧盟“史上最严”隐私条例[8]。GDPR规定有关企业在收集用户信息之前必须以“简洁、透明、易懂的形式和清晰、平白的语言”向用户说明将要收集哪些信息、如何存储这些信息及如何使用这些信息[9]；同时规定，用户对运营商所掌握的自己的信息享有访问、更改、删除、限制处理④、可携带等权利。给予用户更大的自主权和主动权，极大地便利了公民保护、处置自己的个人信息。

(二)美国对公民个人信息的保护

相较于欧盟的以“欧盟统一立法为主，成员单独立法为辅”具有统一框架的立法模式，美国采用了独具特色的“联邦立法+行业自律”零散复杂的立法保护模式[10]。行业自律就是靠美国互联网企业的自发性保护公民个人信息。早在1998年，美国在线隐私联盟就发布了指导其他行业合法收集公民个人信息指南。时至今日，美国企业依然主要靠行业自律来保护公民个人信息。在联邦立法层面，美国制定了一系列法律对公民个人信息进行保护。从1974年的《隐私法案》开始，先后制定了《家庭教育权和隐私法》(1974)、《财务隐私权利法》(1978)、《隐私保护法》(1980)、《电子通讯隐私法》(1986)、《录像隐私保护法》(1988)、《电话购物消费者保护法》(1991)、《驾驶员隐私保护法》(1994)、《儿童网上隐私保护法》(1998)、《金融服务现代化法》(1999)、《反垃圾邮件法》(2003)等10余部法律。以上法律都是美国联邦在发展过程中为应对公民个人信息保护挑战而制定的法律，因而都是针对特定领域的专门立法。如《电话购物消费者保护法》，就只针对电视购物过程中的隐私保护。

如今美国的加利福尼亚州无疑走在了全美个人信息保护的前列。加利福尼亚州作为高科技产业聚集区，拥有大量的高新技术产业，网络产业十分发达。基于其发达的信息技术和产业规模，加利福尼亚州隐私立法走在了其余各州的前面。2018年6月，加利福尼亚州议会全票通过了《2018加利福尼亚州消费者隐私法案》(California Consumer Privacy Act of 2018,简称“CCPA”)。该法案体现了美国关于公民个人信息保护的最新理念，被视为“全美最严公民个人信息保护法案”。CCPA规定：加利福尼亚人有权知晓其正在被收集的公民个人信息、加利福尼亚人有权知晓其公民个人信息是否被出售或者披露及其流向、加利福尼亚人有权拒绝公民个人信息的出售、加利福尼亚人有权访问其公民个人信息、加利福尼亚人有权享有平等服务与价格，即使其行使隐私权。消费者有权要求收集消费者公民个人信息的企业向消费者披露以下信息：该企业收集的关于该消费者公民个人信息的类别、收集公民个人信息的来源类别、收集或出售公民个人信息的企业或商业目的、与企业共享公民个人信息的第三方类别、收集的有关该消费者的具体公民个人信息。以上规定一旦被违反，违反规定的企业将向每位用户支付最高750美元的赔偿金，以及最高7 500美元的罚款。加利福尼亚州议会制定该项法案主要是针对该州某书公司近年的数据泄露事件。2018年3月和2019年9月，某书公司分别泄露了5 000万条和4.18亿条用户信息，造成了巨大的社会影响。如果按照上述规定进行赔偿和罚款，某书公司将面临3.8万亿美元的巨额赔偿和罚款，这对于某书来说无疑是灭顶之灾。

综合欧盟和美国在公民个人信息保护上的做法，可以看出两者具有以下共同点。

1. 专门立法

欧盟和美国都制定了专门的法律来保护公民个人信息不受侵犯且增加了消费者享有的新权利，给予消费者更多方式和途径去保护公民个人信息。例如欧盟规定的“被遗忘权”和“可携带权”⑤，美国虽未明确列出该权利，但其相关规定实质上承认消费者享有相同的权利。欧盟和美国制定的法律都被称为本国(本区域内)“史上最严”，足以看出两者在保护公民个人信息上的决心。

2. 加强经营者主体责任

欧盟和美国的立法都对经营者作出了严苛的规定，对在信息收集的各个环节经营者的责任和义务规定得很明晰，一旦在此过程中出现数据泄露事件，毫无疑问就是经营者的责任。欧盟的GDPR由于对经营者责任规定得过于严苛，导致欧盟内部有评论认为，过于严苛的规定和高额罚金可能导致某些企业退出欧洲市场，给欧洲经济造成消极影响。但欧盟委员会依然通过了该法案，足以看出欧盟在保护公民个人信息上的勇气和决心，即使影响经济效益也在所不惜。

3. 高额的赔偿和罚款

欧盟和美国都对违反公民个人信息保护的违法行为实施了高额赔偿和罚款的处罚措施[11]对于企业违反公民个人信息保护规定的行为，欧盟GDPR规定了1 000万欧元或上年度全球营业额2%的罚款和2 000万欧元或上年度全球营业额4%的两档罚款。美国加利福尼亚州的CCPA规定，只要企业违反了该法案，就要对每个用户赔偿最高750美元和最高7 500美元的罚款。虽然对每个用户的赔偿款并不高，但是当出现大规模数据泄露时，赔偿金和罚款对企业来说将会是天文数字。

五、我国的借鉴与对策

为更好地保护公民的个人信息，借鉴国外较为成熟的作法，未来我国在公民信息保护方面可从以下方面进行完善。

(一)推进专门立法，进行整体规划

虽然我国目前很多法律法规涉及公民个人信息的保护，但都散落在其他领域的法律或者其他部门的法规中，并未制定出单独、集中的公民个人信息保护法律来进行专门保护，这就造成我国在公民个人信息保护领域出现“九龙治水”的尴尬局面[12]。多个部门容易出现权力“打架”“冲突”的现象，不但达不到保护公民个人信息的目的，反而会导致执法混乱、各部门之间“踢皮球”的后果，最终“受伤”的依然是消费者。为改变这种现状，应该加紧出台专门的《个人信息保护法》和《数据保护法》，对个人信息保护进行集中统一规定，消除部门法之间的冲突，提高保护的效率和水平。此外，通过立法手段，将个人信息的收集、处理、使用、存储等环节纳入法律保护中来，进行整体规划、预防、保护、惩治，改变以往“头痛医头，脚痛医脚”“打地鼠”式的事后治理方式，形成事前预防、事中监督、事后惩治的全方位、多环节保护体制，提升保护水平。

(二)加大处罚力度，提高违法成本

我国目前的法律法规对侵犯公民个人信息的犯罪行为处罚力度过小。《刑法》第二百五十三条规定：侵犯公民个人信息情节严重构成犯罪的，根据其情节处以三至七年有期徒刑。单从刑期来看，刑期较短，对犯罪分子的威慑力不足。另据《消费者权益保护法》第五十六条规定：对于侵犯公民个人信息的运营商，处没收违法所得一倍以上十倍以下的罚款；没有违法所得的，处五十万以下的罚款。《网络预约出租汽车经营服务管理暂行办法》第三十七条规定：对侵犯消费者公民个人信息的责任主体(即网约平台或者司机)处2 000元以上10 000元以下的罚款。《网络安全法》第六十四条规定：对于侵犯公民个人信息的网络运营者、网络产品或服务的提供者，处违法所得一倍以上十倍以下罚款；没有违法所得的，处一百万以下的罚款，并对直接责任人处一万以上十万以下罚款。上述法律法规都规定了相应的处罚形式和罚款额度，但无论是刑期还是罚款数额，和愈演愈烈的侵犯公民个人信息的犯罪行为相比，明显过轻，违法犯罪成本过低。因此，立法要加大对侵犯公民个人信息的处罚力度。例如将侵犯公民个人信息构成犯罪的列入刑法“重罪”范围，提高刑期；同时将罚款提升至企业“望而生畏”的高度，用漫长的刑期和巨额的罚款来倒逼企业和个人停止侵犯个人信息。

(三)加强学法普法，提高法律意识

企业和公民的法律意识淡薄也是造成公民信息泄露的原因之一。企业都具有逐利性。为了获得利润，企业往往会忽视经营过程的合法性，自觉或不自觉地侵犯用户的权益。因此，要加大对企业的普法力度，定期举办送法进企业的宣传活动，对企业员工和管理人员进行法律培训，提高企业管理者的法律意识。公民也要提升自己的法治意识。据统计，截止到2018年8月底，我国网民中一半以上不知道《网络安全法》的存在；超四成网民表示对《网络安全法》有部分了解；只有不到5%的网民表示熟知《网络安全法》的内容。由此可见普法的必要性。“知法”才能“守法”，才会“用法”。作为信息网络犯罪受害者的公民，应该学习有关个人信息保护的法律知识，熟悉相关法律法规，提高法律意识，学会用法律保护自己的合法权益。作为监管者的政府也要加大普法力度，利用网络、电视、手机客户端、新闻报纸、现场宣传等多种形式进行普法活动，推动法律进入千家万户。只有全社会的法律意识提高了，违法犯罪数量才会大大降低。

(四)加强行政监管，进行行业整顿

总结上述几起个人信息泄露事件，除企业、公民自身的原因外，行政监管机关也存在监管责任落实不到位的情况，存在监管不力、职责履行不到位、执法不积极、执法标准不明确、责任追究不到位等问题。针对这些问题，行政监管机关必须深刻自省，提高责任意识，严格执法，切实将监管职责落实到实处。同时，应加大对信息服务行业的监管力度，追究违法企业的主体责任，必要时可开展多部门联合执法，进行全方位打击治理，惩治侵犯个人信息违法行为，以发挥威慑效应。

六、结 语

2020年5月25日，最高人民法院院长周强在第十三届全国人民代表大会第三次会议上作《最高人民法院工作报告》时强调，要“加大数据安全和个人隐私保护力度，严惩侵犯公民个人信息犯罪，依法审理手机应用擅自读取用户通讯录信息、网络信用平台滥用个人征信数据等案件”。报告表明了最高法保护个人信息安全的决心，同时也说明保护个人信息安全已经刻不容缓。

信息时代，安全先行。个人信息安全关乎每一个公民的隐私安全，个人信息保护是信息时代下世界各国保护的重点领域。当今的云技术、AI人工智能、大数据分析与应用等先进的信息技术都是建立在大量的数据基础之上的，数据就像是信息技术这栋大楼的“砖”，数据安全与否直接影响网络技术的发展。我国的公民个人信息保护存在很大的问题⑥，信息安全依然任重道远。面对日益严峻的信息安全形势，只有拿出壮士断腕的勇气，完善立法、严格执法，采取多部门联合执法等多种举措整治侵犯公民个人信息的行为，同时加大对信息安全技术的研发投入，提高信息安全保护水平，才能将我国公民的个人信息保护水平提升到全新的高度，才能顺应数据时代发展，提升我国在信息时代的竞争力。

注 释：

① “一般性义务”是指网络服务提供商应该对用户信息负有整体性、全过程的安全保障义务;阶段性义务则是指网络服务提供商在收集、储存、加工处理个人信息等各个阶段中所负有的安全保障义务.

② “指令”和“条例”是欧盟两种不同的立法形式,具有完全不同的法律效力.“指令”法律效力较低,出台后需要各成员国转化为各自国家的法律才能适用.而“条例”具有很高的法律效力,制定后直接适用于各个成员国.因此，由以上几部法律的名称就可以看出,效力层级越来越高.

③ GDPR规定当某些公民个人信息控制者违反上述规定,便有可能会被处以1 000万欧元或者上年度全球营业额2%的罚款;若出现严重的违法行为,企业将会面临高达2 000万欧元或者上年度营业额4%的罚款,且两档处罚均取其上限.

④ “限制处理”是指当信息主体质疑其公民个人信息的正确性、对其信息处理的违法性时,公民个人信息主体有权要求信息控制者处理其信息.

⑤ “可携带权”是指信息主体有权向公民个人信息控制者要求提供自己的信息,并有权将自己的信息提供给其他的控制者.

⑥ 2018年公安部网络安全保卫局发布的《2018网民网络安全感满意度调查报告》显示,近三分之一的网民在过去一年里遭遇过公民个人信息泄露事件;过半网民表示在使用网购、社交聊天App时的信息泄露可能性更大;近四成网民表示手机App是不安全的，超半数网民认为我国网络环境的安全性仅为中等偏上.