作為我國個人信息保護(hù)體系建設(shè)的最新進(jìn)展，總體而言，在網(wǎng)絡(luò)安全法治框架下，立足信息安全的維度，《個人信息安全規(guī)范》立足客觀保護(hù)主義立場厘定、闡明了個人信息安全保護(hù)領(lǐng)域的諸多重要問題，例如“個人信息”這一術(shù)語的基本定義、個人信息安全的基本要求等等，并且突出了個人信息全生命周期動態(tài)調(diào)節(jié)的機(jī)制特色。

在目前我國個人信息處理規(guī)范相對不足的情況下，可以認(rèn)為，《個人信息安全規(guī)范》的出臺在技術(shù)性實(shí)操層面填補(bǔ)了諸多規(guī)則空白，為提升公民意識、企業(yè)合規(guī)和國家監(jiān)管水平提供了新的業(yè)務(wù)參照、新的行為指引。

　　標(biāo)準(zhǔn)是從管理、控制風(fēng)險的角度出發(fā)，其核心是在收集、處理個人信息過程中，盡量降低對個人合法權(quán)益造成的不利影響。

因此，《個人信息安全規(guī)范》將具備識別特定自然人或者在一般情況下可以關(guān)聯(lián)到自然人的信息納入“個人信息范疇”，是給了參考列表。

　　此外，在《個人信息安全規(guī)范》的附錄中，將Cookies、IMEI、MAC地址等具體信息列入個人信息范疇。

《個人信息安全規(guī)范》的附錄屬于“資料性附錄”，而非“規(guī)范性附錄”。

需要注意的是，“規(guī)范性附錄”是構(gòu)成標(biāo)準(zhǔn)整體的不可分割的部分，其效力等同于標(biāo)準(zhǔn)的正文。

“資料性附錄”僅限于提供一些參考的資料，不具備與標(biāo)準(zhǔn)正文同等的效力。

　　總體而言，作為國家推薦性標(biāo)準(zhǔn)，國標(biāo)的適用主體不僅僅限于網(wǎng)絡(luò)企業(yè)，而是可以覆蓋所有的個人、企事業(yè)單位和國家機(jī)關(guān)等等。

事實(shí)上，《個人信息安全規(guī)范》更恰當(dāng)?shù)墓δ芏ㄎ粦?yīng)當(dāng)是一種有關(guān)個人信息處理業(yè)務(wù)合規(guī)指引的一攬子推薦性解決方案，屬于公共產(chǎn)品的范疇。

除非行為主體主動承諾、有權(quán)機(jī)關(guān)明確援引或者法律規(guī)范直接認(rèn)可，其本身不直接產(chǎn)生行為約束力，也并非行政性規(guī)范，更不應(yīng)在刑事責(zé)任層面產(chǎn)生實(shí)質(zhì)性意義。

尤其應(yīng)當(dāng)強(qiáng)調(diào)的是，個案思維和總體風(fēng)險可控是兩個維度的問題，在《個人信息安全規(guī)范》的個案運(yùn)用中，特別需要注意行為邊界的精準(zhǔn)厘定。

　　《個人信息安全規(guī)范》的實(shí)際價值需要在5月1日正式施行后結(jié)合政府機(jī)關(guān)以及龍頭企業(yè)的示范效應(yīng)尤其是有權(quán)機(jī)關(guān)的執(zhí)法實(shí)踐做出進(jìn)一步的跟蹤研判，在此過程中，還應(yīng)當(dāng)特別注意數(shù)據(jù)跨境語境下的國際博弈可能產(chǎn)生的反向影響。

　　另一方面，如果說《個人信息安全規(guī)范》更多體現(xiàn)了客觀主義保護(hù)的路徑趨向，同樣值得關(guān)注的個人信息保護(hù)規(guī)范演進(jìn)態(tài)勢便是綜合主義保護(hù)趨向，這一點(diǎn)尤其明顯地反映在刑事介入領(lǐng)域。

　　從當(dāng)下從刑事司法實(shí)務(wù)來看，公民個人信息泄露、買賣位于整個網(wǎng)絡(luò)灰黑產(chǎn)業(yè)鏈的上游，是導(dǎo)致部分犯罪“變異”甚至“嚴(yán)重”的重要因素，比如促使電信網(wǎng)絡(luò)詐騙逐漸向精準(zhǔn)詐騙發(fā)展。

因此，從刑事政策上講，從嚴(yán)打擊侵犯公民個人信息犯罪，從源頭上治理網(wǎng)絡(luò)灰黑產(chǎn)業(yè)鏈，堅(jiān)持全面懲處原則，才能有效實(shí)現(xiàn)刑罰目的。

　　關(guān)于行為人非法獲取公民個人信息后，又將這些信息用于實(shí)施電信網(wǎng)絡(luò)詐騙犯罪的情形下，是定一罪還是數(shù)罪并罰，2017年兩高“侵犯公民個人信息刑事司法解釋”對此未做明確規(guī)定，理論和司法實(shí)務(wù)中爭議較大。

一種觀點(diǎn)認(rèn)為，應(yīng)當(dāng)從一重罪處斷。

理由是，在法無明文規(guī)定按照數(shù)罪處理的情況下，應(yīng)當(dāng)遵循刑法中關(guān)于牽連犯的要求，從一重罪進(jìn)行處罰，即當(dāng)行為人通過非法獲取公民個人信息實(shí)施其他犯罪時，獲取公民個人信息行為就成為其他犯罪的手段行為，此時雖然行為人實(shí)施了兩個行為，但是仍應(yīng)按照從一重罪處罰原則定罪處罰。

另一種觀點(diǎn)認(rèn)為，依照相關(guān)規(guī)范性法律文件，此種情形應(yīng)當(dāng)數(shù)罪并罰。

2013年4月23日，兩高一部《關(guān)于依法懲處侵害公民個人信息犯罪活動的通知》明確規(guī)定，對于竊取或者以購買等方法非法獲取公民個人信息數(shù)量較大，或者違法所得數(shù)額較大，或者造成其他嚴(yán)重后果的，應(yīng)當(dāng)依法以非法獲取公民個人信息罪（注：現(xiàn)改為侵害公民個人信息罪）追究刑事責(zé)任。

對使用非法獲取的個人信息，實(shí)施其他犯罪行為，構(gòu)成數(shù)罪的，應(yīng)當(dāng)依法予以并罰。

2016年12月20日，兩高一部《關(guān)于辦理電信網(wǎng)絡(luò)詐騙等刑事案件適用法律若干問題的意見》重申了上述觀點(diǎn)。

因此，使用非法獲取的公民個人信息實(shí)施電信網(wǎng)絡(luò)詐騙犯罪的，依法予以數(shù)罪并罰，具有法理依據(jù)和實(shí)踐基礎(chǔ)。

　　我們認(rèn)為，行為人非法獲取公民個人信息后，又將這些信息用于實(shí)施電信網(wǎng)絡(luò)詐騙犯罪的，應(yīng)當(dāng)數(shù)罪并罰。

首先，非法獲取公民個人信息的行為與詐騙行為之間是否屬于牽連關(guān)系，值得進(jìn)一步研究。

一般而言，牽連犯是指數(shù)行為之間有手段和目的、原因和結(jié)果關(guān)系，其中手段行為或者結(jié)果行為觸犯了其他罪名的場合，成立牽連犯。

因此，牽連犯分為手段牽連和結(jié)果牽連。

如何認(rèn)定牽連關(guān)系，應(yīng)根據(jù)社會相當(dāng)性的一般標(biāo)準(zhǔn)以及一望而知的普通生活經(jīng)驗(yàn)中的認(rèn)識標(biāo)準(zhǔn)來確定（經(jīng)驗(yàn)上的類型）。

如果只是一種偶然的手段與目的、原因與結(jié)果的關(guān)系，則不是牽連犯，因此必須對牽連關(guān)系類型化。

在非法獲取公民個人信息后利用上述信息實(shí)施電信詐騙犯罪，由于侵犯公民個人信息與電信網(wǎng)絡(luò)詐騙之間不具有經(jīng)驗(yàn)意義上的手段與目的之間的關(guān)聯(lián)，因此不宜認(rèn)定為牽連犯。

即便認(rèn)定為牽連犯，對于牽連犯采用數(shù)罪并罰亦有國內(nèi)和國外立法先例。

更重要的是，目前我國司法實(shí)踐對侵犯公民個人信息罪進(jìn)行獨(dú)立評價有更為積極的意義。

我國公民對個人信息保護(hù)意識不強(qiáng)，個人信息長期被濫用，收集、倒賣個人信息已經(jīng)形成龐大產(chǎn)業(yè)鏈，侵犯公民個人信息犯罪具有嚴(yán)重的社會危害性，必須從嚴(yán)打擊。

同時，對公民個人信息所包括的身份信息、個人信息及敏感信息的法律保護(hù)尤其是刑法保護(hù)，在公民個人主體權(quán)利意識不斷強(qiáng)化的今天，更具現(xiàn)實(shí)意義。