作為我國個人信息保護體系建設的最新進展，總體而言，在網絡安全法治框架下，立足信息安全的維度，《個人信息安全規范》立足客觀保護主義立場厘定、闡明了個人信息安全保護領域的諸多重要問題，例如“個人信息”這一術語的基本定義、個人信息安全的基本要求等等，并且突出了個人信息全生命周期動態調節的機制特色。

在目前我國個人信息處理規范相對不足的情況下，可以認為，《個人信息安全規范》的出臺在技術性實操層面填補了諸多規則空白，為提升公民意識、企業合規和國家監管水平提供了新的業務參照、新的行為指引。

　　標準是從管理、控制風險的角度出發，其核心是在收集、處理個人信息過程中，盡量降低對個人合法權益造成的不利影響。

因此，《個人信息安全規范》將具備識別特定自然人或者在一般情況下可以關聯到自然人的信息納入“個人信息范疇”，是給了參考列表。

　　此外，在《個人信息安全規范》的附錄中，將Cookies、IMEI、MAC地址等具體信息列入個人信息范疇。

《個人信息安全規范》的附錄屬于“資料性附錄”，而非“規范性附錄”。

需要注意的是，“規范性附錄”是構成標準整體的不可分割的部分，其效力等同于標準的正文。

“資料性附錄”僅限于提供一些參考的資料，不具備與標準正文同等的效力。

　　總體而言，作為國家推薦性標準，國標的適用主體不僅僅限于網絡企業，而是可以覆蓋所有的個人、企事業單位和國家機關等等。

事實上，《個人信息安全規范》更恰當的功能定位應當是一種有關個人信息處理業務合規指引的一攬子推薦性解決方案，屬于公共產品的范疇。

除非行為主體主動承諾、有權機關明確援引或者法律規范直接認可，其本身不直接產生行為約束力，也并非行政性規范，更不應在刑事責任層面產生實質性意義。

尤其應當強調的是，個案思維和總體風險可控是兩個維度的問題，在《個人信息安全規范》的個案運用中，特別需要注意行為邊界的精準厘定。

　　《個人信息安全規范》的實際價值需要在5月1日正式施行后結合政府機關以及龍頭企業的示范效應尤其是有權機關的執法實踐做出進一步的跟蹤研判，在此過程中，還應當特別注意數據跨境語境下的國際博弈可能產生的反向影響。

　　另一方面，如果說《個人信息安全規范》更多體現了客觀主義保護的路徑趨向，同樣值得關注的個人信息保護規范演進態勢便是綜合主義保護趨向，這一點尤其明顯地反映在刑事介入領域。

　　從當下從刑事司法實務來看，公民個人信息泄露、買賣位于整個網絡灰黑產業鏈的上游，是導致部分犯罪“變異”甚至“嚴重”的重要因素，比如促使電信網絡詐騙逐漸向精準詐騙發展。

因此，從刑事政策上講，從嚴打擊侵犯公民個人信息犯罪，從源頭上治理網絡灰黑產業鏈，堅持全面懲處原則，才能有效實現刑罰目的。

　　關于行為人非法獲取公民個人信息后，又將這些信息用于實施電信網絡詐騙犯罪的情形下，是定一罪還是數罪并罰，2017年兩高“侵犯公民個人信息刑事司法解釋”對此未做明確規定，理論和司法實務中爭議較大。

一種觀點認為，應當從一重罪處斷。

理由是，在法無明文規定按照數罪處理的情況下，應當遵循刑法中關于牽連犯的要求，從一重罪進行處罰，即當行為人通過非法獲取公民個人信息實施其他犯罪時，獲取公民個人信息行為就成為其他犯罪的手段行為，此時雖然行為人實施了兩個行為，但是仍應按照從一重罪處罰原則定罪處罰。

另一種觀點認為，依照相關規范性法律文件，此種情形應當數罪并罰。

2013年4月23日，兩高一部《關于依法懲處侵害公民個人信息犯罪活動的通知》明確規定，對于竊取或者以購買等方法非法獲取公民個人信息數量較大，或者違法所得數額較大，或者造成其他嚴重后果的，應當依法以非法獲取公民個人信息罪（注：現改為侵害公民個人信息罪）追究刑事責任。

對使用非法獲取的個人信息，實施其他犯罪行為，構成數罪的，應當依法予以并罰。

2016年12月20日，兩高一部《關于辦理電信網絡詐騙等刑事案件適用法律若干問題的意見》重申了上述觀點。

因此，使用非法獲取的公民個人信息實施電信網絡詐騙犯罪的，依法予以數罪并罰，具有法理依據和實踐基礎。

　　我們認為，行為人非法獲取公民個人信息后，又將這些信息用于實施電信網絡詐騙犯罪的，應當數罪并罰。

首先，非法獲取公民個人信息的行為與詐騙行為之間是否屬于牽連關系，值得進一步研究。

一般而言，牽連犯是指數行為之間有手段和目的、原因和結果關系，其中手段行為或者結果行為觸犯了其他罪名的場合，成立牽連犯。

因此，牽連犯分為手段牽連和結果牽連。

如何認定牽連關系，應根據社會相當性的一般標準以及一望而知的普通生活經驗中的認識標準來確定（經驗上的類型）。

如果只是一種偶然的手段與目的、原因與結果的關系，則不是牽連犯，因此必須對牽連關系類型化。

在非法獲取公民個人信息后利用上述信息實施電信詐騙犯罪，由于侵犯公民個人信息與電信網絡詐騙之間不具有經驗意義上的手段與目的之間的關聯，因此不宜認定為牽連犯。

即便認定為牽連犯，對于牽連犯采用數罪并罰亦有國內和國外立法先例。

更重要的是，目前我國司法實踐對侵犯公民個人信息罪進行獨立評價有更為積極的意義。

我國公民對個人信息保護意識不強，個人信息長期被濫用，收集、倒賣個人信息已經形成龐大產業鏈，侵犯公民個人信息犯罪具有嚴重的社會危害性，必須從嚴打擊。

同時，對公民個人信息所包括的身份信息、個人信息及敏感信息的法律保護尤其是刑法保護，在公民個人主體權利意識不斷強化的今天，更具現實意義。