大数据时代，爬虫技术相关法律问题介绍

Posted 2021-04-30 学法律的小姐姐

一、爬虫技术简介

网络爬虫，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。可以理解为一个自动访问网页并进行相关操作的小机器人。本质上就是实现高效、自动地进行网络信息的读取、收集等行为。在大多数情况下，爬虫技术的本质就是通过代码实现对人工访问操作的自动化操作。但是，由于爬虫系通过解析代码的方式工作，因此爬虫还有可能访问到人工访问不会访问、或者无法访问的内容。这种技术通常被用来自动搜索并抓取数据。

二、利用爬虫技术获取信息过程中的法律规制

利用爬虫技术获取信息，面临的最主要的法律规制，就是近几年陆续出台的个人信息保护相关的一系列法律法规。可以从获取数据的主体、获取方式、数据性质，获取数据目的的几个方面进行介绍。

（一）数据提取人以及数据取得方式

1、网络经营者爬取个人信息：

《网络安全法》第四十一条：

（1）应当遵循合法、正当、必要的原则

（2）明示收集、使用信息的目的、方式和范围

（3）经被收集者同意

（4）不得收集与其提供的服务无关的个人信息

2、非网络经营者，即第三方爬取信息

（1）不得非法侵入他人网络、

（2）不得以窃取等方式非法收集、获取

（3）不得干扰他人网络正常功能

（4）遵守robot协议

（5）不能违反被爬取方的意愿

（6）不得危害网络安全

Robots协议是技术界为了解决爬取方和被爬取方之间通过计算机程序完成关于爬取的意愿沟通而产生的一种机制。根据中国互联网协会《互联网搜索引擎服务自律公约》第七条的定义，机器人协议（robots协议）是指互联网站所有者使用robots.txt文件，向网络机器人（Web robots）给出网站指令的协议。具体而言，robots协议是网站所有者通过位于置于网站根目录下的文本文件robots.txt，提示网络机器人哪些网页不应被抓取，哪些网页可以抓取。关于Robots协议的法律属性，我国目前法律下并没有明确规定，但《互联网搜索引擎服务自律公约》第七条规定，“遵循国际通行的行业惯例与商业规则，遵守机器人协议（robots协议）”。第八条则规定“互联网站所有者设置机器人协议应遵循公平、开放和促进信息自由流动的原则，限制搜索引擎抓取应有行业公认合理的正当理由，不利用机器人协议进行不正当竞争行为，积极营造鼓励创新、公平公正的良性竞争环境。”

虽然《互联网搜索引擎服务自律公约》仅适用于中国互联网协会会员单位和自愿加入《中国互联网行业自律公约》的互联网从业单位，但在司法实践中，robots协议已经被认定构成互联网行业搜索领域内工人的商业道德：北京市第一中级人民法院在百度诉奇虎不正当竞争案件中，将为行业内所公认的Robots协议认定为互联网行业搜索领域内公认的商业道德。Robots 协议是搜索引擎行业内公认的、应当被遵守的商业道德。

（二）数据本身的法律属性：是否是受法律保护的特定类型信息

1、从信息来源主体划分：

（1）政府数据、

（2）公用数据、

（3）企业数据、

（4）个人数据

2、信息用途划分：

（1）用户个人信息：其中又可以根据隐私程度和敏感程度划分为：高度敏感信息、敏感信息、其他个人信息

法律的导向是，任何个人身份信息，以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，未来都将受到严格的隐私权保护。

（2）商业秘密

（3）知识产权信息

就数据本身的属性来说，法律对爬取用户个人信息限制最为严格，其次时企业数据，最后时政府数据、公用数据。

（三）数据爬取的目的、用途

概括规定：

1、不得非法使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息

2、严格保密、妥善保存，不得泄露、篡改、毁损

3、不得未经同意向他人提供，但是经过处理无法识别特定个人且不能复原的除外

4、不得违反规定和约定使用、处理、保存个人信息

5、应当确保信息安全。不得非法使用、加工、传输他人个人信息。

具体：

1、存储：

（1）需要基于用户有效授权，或合法爬取。如无授权，则名为“缓存”实为“保存”的行为可能面临隐私权侵权追诉。

（2）存储范围，期限：“最小够用原则”。

（3）安全存储。将多渠道沉淀的数据信息主体碎片化信息整合为“整体信息”时，应对“整体信息”数据进行妥善保存，避免数据泄漏（数据信息主体对碎片化信息的个别授权，不代表对经整合后“整体信息”的概括授权）。

（4）对整体信息中的敏感数据（身份证号码、手机号码等）尽可能以技术手段进行脱敏处理后存储，确保存储数据不具备可识别性，以避免大规模泄露后引发群体性损失追诉及行政处罚责任。

2、自己使用：科研用途一般没有限制，商业用途则不能超出搜集信息时约定的服务用途，不得将用户个人信息用于其提供服务之外的目的。

3、向他人提供：向他人提供个人数据有两种情况：一是需要经过个人同意，二是如果没有获得授权同意，则需要经过匿名化处理，否则不得提供。

三、爬虫技术法律风险

爬虫作为一种计算机技术就决定了它的中立性，因此爬虫本身在法律上并不被禁止，但是利用爬虫技术获取数据这一行为是具有违法甚至是犯罪的风险的。

（一）民事法律风险

1、侵权责任

（1）爬取用户个人信息，可能侵犯名誉权、隐私权

（2）爬取企业信息，商业数据，可能侵犯商业秘密、知识产权、构成不正当竞争

《侵权责任法》第三十六条规定，网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。

《网络安全法》第十二条规定，任何个人和组织使用网络，不得侵害他人名誉、隐私、知识产权和其他合法权益等活动。

（二）行政法律风险

《网络安全法》第六十四条、《消费者权益保护法》第五十六条等法律规定了侵害个人信息的单位的相关行政责任。

1、责任主体：网络运营者、网络产品或者服务的提供者

2、单位的行政处罚：责令改正，单处或者并处警告、没收违法所得、罚款，责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

3、对直接负责的主管人员和其他直接责任人员：罚款

（三）刑事法律风险

1、出售、非法提供公民个人信息罪

刑法第253条及相关司法解释规定，违反国家有关规定，向他人出售或者提供公民个人信息，非法获取公民个人信的，情节严重的构成犯罪。

公民个人信息包括：以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。提供个人信息的三种情形：

（1）向特定人提供

（2）通过信息网络或者其他途径发布

（3）未经被收集者同意，将合法收集的公民个人信息向他人提供的，但是经过处理无法识别特定个人且不能复原的除外。

2、非法获取公民个人信息罪

刑法第253条及相关司法解释规定，非法获取公民个人信的，情节严重的构成犯罪。非法获取包括：

（1）窃取，

（2）违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，

（3）在履行职责、提供服务过程中收集公民个人信息的

3、非法获取计算机信息系统数据、非法控制计算机信息系统罪

5、提供侵入、非法控制计算机信息系统程序、工具罪

刑法第285条规定，通过技术手段强行侵入计算机系统，获取计算机数据，或者对计算机系统实施非法控制，情节严重的，构成犯罪。

6、破坏计算机信息系统罪

刑法第286条规定，违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，构成犯罪；对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，构成犯罪。

四、爬虫技术以及个人信息保护相关法律法规详细列举

法律法规名称	条款
《刑法》	第二百五十三条之一 【侵犯公民个人信息罪】违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。 违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。 窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。 第二百八十五条 【非法侵入计算机信息系统罪】违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。 【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。 【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。 单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。 第二百八十六条 【破坏计算机信息系统罪】违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役;后果特别严重的，处五年以上有期徒刑。 违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。 故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。 单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。 第二百八十六条之一 网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金: (一)致使违法信息大量传播的; (二)致使用户信息泄露，造成严重后果的; (三)致使刑事案件证据灭失，情节严重的; (四)有其他严重情节的。 单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。 有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。
《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》	第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。 第二条 违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。 第三条 向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。 未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。 第四条 违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。 第五条 非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”： （一）出售或者提供行踪轨迹信息，被他人用于犯罪的； （二）知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的； （三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的； （四）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的； （五）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的； （六）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的； （七）违法所得五千元以上的； （八）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的； （九）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的； （十）其他情节严重的情形。 实施前款规定的行为，具有下列情形之一的，应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”： （一）造成被害人死亡、重伤、精神失常或者被绑架等严重后果的； （二）造成重大经济损失或者恶劣社会影响的； （三）数量或者数额达到前款第三项至第八项规定标准十倍以上的； （四）其他情节特别严重的情形。 第六条 为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”： （一）利用非法购买、收受的公民个人信息获利五万元以上的； （二）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的； （三）其他情节严重的情形。 实施前款规定的行为，将购买、收受的公民个人信息非法出售或者提供的，定罪量刑标准适用本解释第五条的规定。 第九条 网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。
《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》	第一条 非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节严重”： （一）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的； （二）获取第（一）项以外的身份认证信息五百组以上的； （三）非法控制计算机信息系统二十台以上的； （四）违法所得五千元以上或者造成经济损失一万元以上的； （五）其他情节严重的情形。 第二条 具有下列情形之一的程序、工具，应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”： （一）具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取计算机信息系统数据的功能的； （二）具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权对计算机信息系统实施控制的功能的； （三）其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。 第三条 提供侵入、非法控制计算机信息系统的程序、工具，具有下列情形之一的，应当认定为刑法第二百八十五条第三款规定的“情节严重”： （一）提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具五人次以上的； （二）提供第（一）项以外的专门用于侵入、非法控制计算机信息系统的程序、工具二十人次以上的； （三）明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具五人次以上的； （四）明知他人实施第（三）项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具二十人次以上的； （五）违法所得五千元以上或者造成经济损失一万元以上的； （六）其他情节严重的情形。 第四条 破坏计算机信息系统功能、数据或者应用程序，具有下列情形之一的，应当认定为刑法第二百八十六条第一款和第二款规定的“后果严重”： （一）造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的； （二）对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的； （三）违法所得五千元以上或者造成经济损失一万元以上的； （四）造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的； （五）造成其他严重后果的。 第六条 故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，具有下列情形之一的，应当认定为刑法第二百八十六条第三款规定的“后果严重”： （一）制作、提供、传输第五条第（一）项规定的程序，导致该程序通过网络、存储介质、文件等媒介传播的； （二）造成二十台以上计算机系统被植入第五条第（二）、（三）项规定的程序的； （三）提供计算机病毒等破坏性程序十人次以上的； （四）违法所得五千元以上或者造成经济损失一万元以上的； （五）造成其他严重后果的。 第十条 对于是否属于刑法第二百八十五条、第二百八十六条规定的“国家事务、国防建设、尖端科学技术领域的计算机信息系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”难以确定的，应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论，并结合案件具体情况认定。 第十一条 本解释所称“计算机信息系统”和“计算机系统”，是指具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。 本解释所称“身份认证信息”，是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。 本解释所称“经济损失”，包括危害计算机信息系统犯罪行为给用户直接造成的经济损失，以及用户为恢复数据、功能而支出的必要费用。
《民法总则》	第一百一十一条 自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。
《网络安全法》	第十二条第二款 任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。 第二十二条第三款 网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意;涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。 第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。 第四十条 网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。 第四十一条 网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。 网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。 第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。 网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。 第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。 第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。
《侵权责任法》	第三十六条 网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。 网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。 网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。
《移动智能终端应用软件预置和分发管理暂行规定》	第五条 生产企业和互联网信息服务提供者应依法依规提供移动智能终端应用软件，采取有效措施，维护网络安全，切实保护用户合法权益。 （二）生产企业和互联网信息服务提供者所提供移动智能终端应用软件不得调用与所提供服务无关的终端功能、违法发送商业性电子信息；未经明示且经用户同意，不得实施收集使用用户个人信息、开启应用软件、捆绑推广其他应用软件等侵害用户合法权益或危害网络安全的行为。
《规范互联网信息服务市场秩序若干规定》	第十一条 未经用户同意，互联网信息服务提供者不得收集与用户相关、能够单独或者与其他信息结合识别用户的信息（以下简称“用户个人信息”），不得将用户个人信息提供给他人，但是法律、行政法规另有规定的除外。 互联网信息服务提供者经用户同意收集用户个人信息的，应当明确告知用户收集和处理用户个人信息的方式、内容和用途，不得收集其提供服务所必需以外的信息，不得将用户个人信息用于其提供服务之外的目的。 第十二条 互联网信息服务提供者应当妥善保管用户个人信息；保管的用户个人信息泄露或者可能泄露时，应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向准予其互联网信息服务许可或者备案的电信管理机构报告，并配合相关部门进行的调查处理。 第十三条 互联网信息服务提供者应当加强系统安全防护，依法维护用户上载信息的安全，保障用户对上载信息的使用、修改和删除。 互联网信息服务提供者不得有下列行为： （一）无正当理由擅自修改或者删除用户上载信息； （二）未经用户同意，向他人提供用户上载信息，但是法律、行政法规另有规定的除外； （三）擅自或者假借用户名义转移用户上载信息，或者欺骗、误导、强迫用户转移其上载信息； （四）其他危害用户上载信息安全的行为。
《全国人民代表大会常务委员会关于加强网络信息保护的决定》	一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。 任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。 二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。 网络服务提供者和其他企业事业单位收集、使用公民个人电子信息，应当公开其收集、使用规则。 三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。 四、网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。 九、任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为，有权向有关主管部门举报、控告；接到举报、控告的部门应当依法及时处理。被侵权人可以依法提起诉讼。
《电信和互联网用户个人信息保护规定》	第五条 电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息，应当遵循合法、正当、必要的原则。 第六条 电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。 第八条 电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则，并在其经营或者服务场所、网站等予以公布。 第九条 未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。 电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项。 电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。 电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务。 法律、行政法规对本条第一款至第四款规定的情形另有规定的，从其规定。 第十条 电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。 第十一条 电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作，涉及收集、使用用户个人信息的，应当对代理人的用户个人信息保护工作进行监督和管理，不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。 第十三条 电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失： （一）确定各部门、岗位和分支机构的用户个人信息安全管理责任； （二）建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度； （三）对工作人员及代理人实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施； （四）妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体，并采取相应的安全储存措施； （五）对储存用户个人信息的信息系统实行接入审查，并采取防入侵、防病毒等措施； （六）记录对用户个人信息进行操作的人员、时间、地点、事项等信息； （七）按照电信管理机构的规定开展通信网络安全防护工作； （八）电信管理机构规定的其他必要措施。 第十四条 电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的，应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向准予其许可或者备案的电信管理机构报告，配合相关部门进行的调查处理。 《移动互联网应用程序信息服务管理规定》 第七条 移动互联网应用程序提供者应当严格落实信息安全管理责任，依法履行以下义务： （二）建立健全用户信息安全保护机制，收集、使用用户个人信息应当遵循合法、正当、必要的原则，明示收集使用信息的目的、方式和范围，并经用户同意。 （三）建立健全信息内容审核管理机制，对发布违法违规信息内容的，视情采取警示、限制功能、暂停更新、关闭账号等处置措施，保存记录并向有关主管部门报告。 （四）依法保障用户在安装或使用过程中的知情权和选择权，未向用户明示并经用户同意，不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能，不得开启与服务无关的功能，不得捆绑安装无关应用程序。 （五）尊重和保护知识产权，不得制作、发布侵犯他人知识产权的应用程序。 （六）记录用户日志信息，并保存六十日。
《信息安全技术公共及商用服务信息系统个人信息保护指南》	全文
《信息安全技术个人信息安全规范》	全文