立法分散是目前个人信息保护的另一个尴尬。国务院信息化办公室从2003年起就开始部署个人信息保护法立法研究工作；2009年修订通过的《刑法修正案(七)》对非法窃取、出售、泄露个人信息的行为作出了规定，《刑法修正案(九)》还设置了非法获取公民个人信息的罪名。除《网络安全法》外，个人信息保护的内容还出现在《民法总则》《消费者权益保护法》《电子商务法》和《全国人民代表大会常务委员会关于加强网络信息保护的决定》等近40部法律、30余部法规和200部规章制度中。“目前的法律现实是对个人信息保护的规定十分分散，缺乏系统性、严谨性和逻辑性，也没有清晰的流程。”杨东说。

相关企业将配置部门管理个人信息

值得注意的是，在《网络安全法》生效后不久，一则由全国信息安全标准化技术委员会制定的《个人信息安全规范》（下称“《规范》”）从2017年底开始在各互联网公司等数据控制方中悄然流行。《规范》按照《网络安全法》所规定的原则进行的更加细致的规定，很多企业为避免违反《网络安全法》，就将《规范》作为其业务执行的标准。

《规范》明确了个人信息的边界和范围，即关联路径和识别路径下的个人信息同属应被保护的范畴。所谓关联路径是指不能直接识别出某个特定的自然人，但包含了特定自然人的大量行为和习惯数据，如聊天记录，购物记录，经常使用的行车路线和好友名单等的数据，对该段数据进行分析之后可以关联到特定的自然人；所谓识别路径，是指可直接识别出特定自然人的信息，如手机号码、身份证号码和其他证件号码等。

以微信、微博和人人网等社交网站为例，在《规范》出台之前，其只将包含用户识别路径下的信息加以保护，而将用户关联路径下的个人信息作为网络运行日志保存而非个人信息对待，这种做法在《规范》的指引下得到了纠正。

相关报道: