1. 引言

当下世界已然进入“数字经济”时代，既往的生产经营方式因社会基础的变革不得不发生彻底的变化。就生产而言，已经发生了从手工到半自动化到自动化乃至是智能制造的变革。以经营而言，传统的经营方式因科学技术的发展进入了数字经营以及虚拟经营阶段，在此阶段下催生的“数据库营销”作为产品流入市场的手段亦得以深入发展。

首先数据库营销不同于传统营销模式，其建立在企业对于既有客户或者潜在客户的数据分析而进行市场拓展，其具备效率高、精准性、时效性等优势。但是当下呈现出传统的营销策略和数据库营销并存的局面，这种未来可能占据主流的营销模式的转变使得人们对于这种全新的营销行为的认识和规制还有待提升。

数据分析基础上的推送或者推广行为需要在既有规范体系内展开，当然，正当的数据库营销行为理应获得法治保障。当下，我国对于数据进行了不同于其他市场要素的规范构造，在“物权”“人身性利益”“财产性利益”等不同观点的激烈对抗下，可以说数据这种特殊的存在始终难以得到统一的法律定性。不过既有的官方文件对于数据进行了如同土地般的“三权分置”规范构造，采用技术性立法使得数据的定位愈加明晰。但是当数据与数据库营销挂钩时，不得不对于该行为所立足的权利基础以及行为边界加以确定，确保合法、高效的数据库营销行为真正助力经济社会的深化发展。

2. 数据权三权分置背景下的数据库营销

数据权作为物权还是知识产权或者信息权益的争论在法学界历来存在较大的争议，但是《关于构建数据基础制度更好发挥数据要素作用的意见》采用了数据权三权分置的规范构造，在数据类型能够确定的情况之下将数据权分为数据持有权、数据使用权和数据经营权。数据库营销行为根据其行为的内容和方式其权利基础应当是数据使用权，但是其中不可避免涉及数据持有权和数据经营权。故需对数据库营销行为置于三权分置背景下予以考量。

2.1. 数据三权分置背景介绍

数据三权分置的设置见于《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《意见》)在该文件第(三)“建立保障权益、合规使用的数据产权制度”中明确了我国当下的数据权构造。¹这种数据三权分置设置其为数据库营销带来的影响有：一、促进各类主体参与到数据流通过程中并从中受益，激发市场主体的活力。例如，企业可以依托数据使用权对于客户数据进行分析并开展数据库营销行为，从而帮助企业实现产品的快速流通。二、避免传统授权不足的弊端，进而导致擅自处数据形成侵权。《意见》在明确禁止“一揽子授权”的同时使得数据授权的程序更为规范，但是三权分置的构造也表明了数据持有者，不论是数据的原权利人，还是基于市场行为而占有数据的主体，都可以授权他人对数据进行使用，只要符合授权规则。这为数据库营销主体进行市场营销提供了授权基础，只不过授权的形式和程序需要进一步的明确。三、三权分置内含效益和安全的双重价值考量，但是《意见》明确了在保障数据安全的基础之上，鼓励数据的利用。²这为数据库营销行为提供了价值指引，也即数据库营销行为须在符合安全的前提之下才能开展，而数据安全的议题亦需要进一步讨论。

2.2. 数据库营销的内涵与优势

数据库营销是指：“以特定方式在网络上或者其他渠道中对消费者的消费行为和厂商资讯进行一定的收集，然后将其累积在数据库中，等到有适当的行销时机的时候，就可以使用数据库来对消费者的行为进行一定的分析，最后再进行具有针对性的营销。”[1]其能够确认最佳目标顾客及潜在顾客，然后与顾客建立起长期的、牢固的、融洽的关系，同时根据数据库建立先期模型，进行针对性营销[2]。就数据库营销相较于传统的市场推销方式而言其优势有：一、营销更加精准，所谓的精准营销是指，“企业采用有针对性的现代技术、方法和指向明确的策略，实现对目标市场不同消费者群体强有效性、高投资回报的营销沟通”[3]，这种现代化技术当下就集中体现为“大数据分析与定位技术”。这为企业实现对用户的精准定位提供了技术基础。二、传统的推销成本高，以地推为例，需要耗费大量人力和物力，并且通常以“一对一”的方式对产品进行介绍，无法实现对用户的精准搜集和推广。而数据库营销基于既有的数据展开分析，对用户进行画像，有需求的用户对于产品的购买可能性远大于随机的用户，从而促成交易的可能性更大。三、数据库营销相较于既往的营销方式而言能够实现收益最大化，其支出的成本较低，但是获得的收益较高，传统的营销方式由于其过长的操作环节，导致每一个环节支出的成本都不断增加，且存在潜在危险。以明星代言为例，流量越大的，明显所要求的代言费越高，并且代言合同对于产品方的约束更多，此外，明星的流量存在波动乃至是崩塌的风险，这对于产品方而言均可能导致大量的损失。除此之外，即使代言合同之间约定了违约责任，在多个主体同时主张违约责任的情况下，代言人拥有的全部财产也未必能弥补产品方的全部损失。

2.3. 数据使用权与数据库营销

数据使用权是激发数据要素潜力的基础，而数据库营销所需要的主要是行使数据使用权。首先，基于现已形成的共识：数据持有权是对于某种事实状态的承认，并且在数据持有不同于数据专有，同一宗数据可为多个主体同时持有而形成“平行持有”[3]。故数据持有不足以使得企业主体基于该权利对于用户的数据进行分析和进一步的营销。其次，数据二十条还提出了“数据经营权”，这种权能主要在于促进数据本身在市场中流通，其余数据库营销之间并无必然关联。当然企业在购买数据进行数据库营销的场景下当然也涉及企业数据经营权的使用，但是单纯的数据库营销行为并不属于数据经营范畴。而“数据交易与个人信息保护”[4]之间的矛盾与平衡不属于数据使用与个人权利保护的范畴。最后，数据使用权中的使用是指“对于数据本身既有资源的利用”而这种使用当然就包括了在数据基础之上进行分析，并通过分析取得的有价值的信息进行市场营销。所以企业主体可能基于有效的授权同时成为数据持有者、数据经营者和数据使用者，但是企业进行数据营销的前提是享有数据使用权，故应当在数据使用框架内讨论数据库营销行为。

3. 数据库营销行为对隐私权的侵害可能性

法律对于行为的规制建立在行为具有“社会风险现实化”可能性的基础之上，数据库营销行为涉及数据处理，这难免与我国法律体系中有关数据处理标准以及数据权保护的规定相冲突。所以通过数据库营销实际分析可能存在的法律风险是展开法律规制的前提。总体而言，数据库营销方式产生的法律风险主要包括：侵犯个人信息权益、侵犯数据权。

3.1. 数据库营销行为中的数据处理技术

及时准确地从海量数据中提取信息和知识，为企业的营销决策提供支持，是企业各个部门对营销信息系统的要求，这就需要对海量数据进行处理和分析[5]。数据库营销主要包括以下流程：一，数据采集，这种数据采集主要包括，原始采集和交易取得。原始采集是指企业对接用户直接搜集其相关数据，这是在搜集前需要征得当事人同意以及履行相应的告知义务和符合规范即可。交易取得是指在市场当中取得可交易的数据，例如企业之间的数据交易，企业和数据库之间的交易以及企业和第三方平台之间的数据交易等，只要符合数据交易的相关规定即可。二，数据存储，数据存储是指企业将收集的数据整理之后，按照一定的顺序编排之后存入存储介质。有的企业如果不支持大型数据的存储还可借助其他数据存储方式，例如转交数据库存储等。值得注意的是，为保障数据安全，在一定情况下建立数据存储规范制度确有必要，使得用户数据可供企业使用但是不可供企业识别到具体个人。三，数据处理，这是数据库营销的核心环节，数据处理技术主要是为了从数据中获得消费者的购买意愿、购买力和与产品的匹配度等信息从而为定位用户提供基础。四，寻找理想消费者，在数据处理基础之上，根据使用最多类消费者的共同特点进行用户画像。五，营销推送，根据用户画像进行产品的推送，目前主要的推送方式就是广告和电话等。当然，除了推送之外还可基于用户的使用特点，群体特征等改进产品或进行创新、转型等产品运营。除此之外，还有另一种数据营销的阶段划分标准，即“根据精准营销循环概念，精准营销的实现可分为四个阶段，以客户需求为中心，研究消费生命周期，在不同阶段将对的产品用最恰当的方式推荐给需要的目标客户，从而达到营销目的。”[6]数据营销行为当中，数据营销首先的流程首先需要对于用户的数据进行分析，其次是对用户进行推送，这种推送既可以是直接链接用户，例如通过电话、邮件等方式直接和用户取得联系，也包括通过互联网平台、购物平台和社交媒体等第三方向用户进行推送营销。除此之外企业还有可能通过第三方平台收集用户的信息，以视频广告为例，有的平台通过对用户的信息进行收集之后转送给企业，再由企业直接联系用户，这种方式无疑违反了数据二十条的“禁止一揽子授权原则”从而导致违规数据交易或者侵犯用户隐私的行为泛滥。

3.2. 个人隐私权中的私密信息

个人隐私与个人信息交叉的部分就是个人敏感信息或者私密信息[6]。《个人信息保护法》第四条第一款明确规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。而个人隐私是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。从两者的概念界定上便可明确私密信息与个人隐私的概念是包含与被包含的关系。

在数字时代，数据得以和个人相匹配，通过一定的数据即可实现对于个人的分析和识别。隐私权的客体——隐私和个人信息权益的客体——个人信息之间发生了重合。比如患者的病历信息，个人的银行卡账号、家庭住址、就读学校以及电话号码等，其中既涉及当事人的信息也涉及当事人的隐私。但是二者也有一定区别，即“而个人信息保护的是主体愿意为人所知，但不愿为人所滥用的部分。”[7]而民法典对于个人信息与隐私竞合的情况时优先使用有关隐私权的规定，这样的处理措施有利于保证司法实践中减少对于该问题处理的争议。

民法典第1034条第3款规定，个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。也即，私密信息本身就是个人隐私的一部分，所以在二者竞合时应当使用隐私权的保护规则。民法典第1034条第3款有关隐私和个人信息产生重合的情况，实质是就个人信息概念内部根据对信息主体产生影响的作用力大小进行的“一对一”价值衡量过程。

隐私对于个人信息的吸收一方面是因为个人信息在性质上本身就属于隐私的一部分，二者在性质上同属于“不愿为他人知晓的私密信息”以及这种信息被知晓后带来的后果便是“识别到具体的个人”。另一方面，隐私存在的历史远超出以数据为载体的个人信息，使其规则更加丰富并且保护更为严格，隐私权作为一项权利，其对抗能力相较于权益而言更加强大和全面。其次，个人信息的核心特征是避免个人被识别，而隐私是个人立足于社会的基础。以姓名为例，单一的姓名并不值得保护，因为我国的人口基数决定了姓名不一定能够实现直接识别个人的作用。但是以“xx是精神病患者”为例，当姓名作为一种个人信息附加上作为其他私密信息，如病历时，就值得法律的保护，从而使得隐私权实现了对于个人私密信息的吸收。

3.3. 数据库营销行为侵犯隐私权的可能性

鉴于隐私权是一项基本人权，我国民法典对于隐私权作出了相关规定。³由于“私密信息”可能涉及个人隐私，那么数据库营销行为在数据处理过程中便有侵犯个人隐私权的可能性。《个人信息保护法》第四条第二款对个人信息的处理行为进行了明确列举。包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。数据库营销的流程当中的各个环节都有侵犯个人隐私的可能性。

首先是数据收集行为，“建立一个有一定规模、相关信息比较完备的潜在消费者数据库，是进行精准营销的重要基础”。[8]民法典规定了数据收集的“原则 + 规则”的双重制度约束。原则是指数据处理者要秉持“合法、正当、必要原则，不进行过度处理”。规则是指在抽象的原则之下我国民法列举了具体的要求，主要有：一、征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；公开处理信息的规则；明示处理信息的目的、方式和范围；不违反法律、行政法规的规定和双方的约定。数据库营销的原始采集和交易行为都存在侵犯个人隐私权的可能。以广东省高级人民法院于2022年发布的典型案例为切口，其中周某某诉某电子商务公司个人信息保护纠纷案以及李某某诉某网络科技公司网络侵权责任纠纷案均是因为市场主体对于个人信息的非法买卖和过度收集导致[9]。

其次是数据处理行为当中的数据交易行为，数据库营销的过程中收集数据可能通过数据的交易实现，但是目前缺乏完善的数据交易制度和监管制度，导致市场活动的数据交易行为并不规范。杭州市互联网法院审理的个人信息保护第一案当中，行为人孙某以34,000元的价格，将自己从网络购买、互换得到的4万余条含姓名、电话号码、电子邮箱等的个人信息，通过微信、QQ等方式贩卖给案外人刘某。案外人刘某在获取相关信息后用于虚假的外汇业务推广[10]。数据虽然具有流动性，但是数据的获取却存在诸多壁垒，但是一旦发生违法收集行为并进一步展开违法数据交易，个人隐私信息就会在市场中肆意流动并得不到透明监管和有效保护。

最后是数据库营销的识别和对接行为，这是决定数据库营销是否成功的关键步骤。我们日常搜索、浏览、购物之外，相册照片、微信私人聊天记录和群聊记录、对话、在社交平台上发布的文字和图片等，都有可能被广告盯上，在互联网包围下的我们仿佛变成了“透明人”[11]。而营销者之所以能够实现精准推送所依靠的就是在相关的软件中获取相应权限，以及在电商广告投放平台中接入第三方数据库。就对接而言，营销者需要获取当事人的各种联系方式，而最终联系方式的获取和使用均可能触及个人隐私的底线。例如频繁向用户拨打推销电话、发送信息等“侵扰生活安宁”的行为。营销作为一种交易手段需要遵守交易规则，一定限度之内的营销是合理合法的，但是建立在违法基础之上的违法营销行为便具有侵犯法律所保护的隐私之嫌。

4. 数据库营销侵犯隐私行为的法律规制

良好的制度架构是善治的前提之一，如何对市场主体的数据库营销行为进行规制需要以完善的法律制度为保障的前提。主要的方式包括：完善数据交易制度，建立数据处理的统一标准，对数据进行模糊化技术处理以及明确违法数据库营销行为的法律后果。

4.1. 完善数据交易制度

过去对于数据能否交易先于“数据本身能否利用以及其是否具有相对公允的对价的质疑”[12]当下数据所具有的市场价值已被证实。数据交易是企业取得数据并使用的渠道之一，数据交易的行为本身的完善能够间接促进数据库营销行为的合规建设。数据权目前的构造为其在市场当中的自由流动奠定了基础，显然数据的取得依靠传统的直接向用户的收集明显效率过于低下，进而转向其他数据库主体对于用户数据进行购买，能够实现集中化的数据处理。

完善的数据交易制度主要包括以下几个方面：

一、当事人之间应当告知数据的来源以及用途。这样的告知基于民法典所规定的“诚实信用原则”所产生的告知义务，并不期待民事主体在数据的市场交易当中严格遵守，这只是数据营销行为侵犯隐私产生责任的基础之一。首先是数据的出卖方应当告知数据的来源，有的数据可能被二次乃至是多次交易，所以企业在进行数据交易之前对于数据的来源需要确认，当然一些不具备数据识别功能的用户数据也就没有数据来源说明的必要性。此外，购买方也应当告知数据的用途，方便当事人考虑数据是否可以转卖，因为在当事人收集数据时未必取得了数据交易的授权，亦或者数据中本来就存在涉及当事人隐私的私密信息故不能进行二次交易。

二、数据交易当中，应当设立禁止交易的数据类型。可用于数据营销的数据非常广泛，因此需要对于私密信息设立禁止交易的禁止性规定。私密信息不可作为普通数据在市场营销的数据收集环节当中随意交易，主要考虑到其交易后果会对个人生活和社会秩序带来极大的影响，应当禁止当事人之间进行私下交易。如出于维护社会公众利益的需要，例如新药研发需要收集患者信息的，可以交易但是需要符合特别程序的相应要求。

三、建立数据交易的专门监管机构，这种监管机构的职责在于审查当事人之间的交易行为是否符合前述程序规范，以及对于数据的内容进行实质审查，避免个人私密信息被随意交易。例如特殊数据应当在专门的监管机构的许可或者监管之下进行交易，并且对数据处理进行严格限制，防止数据泄露或者数据侵权。除此之外，数据交易监管者还可以对数据进行技术处理，保障数据可用不可识别，从而有效防止侵权行为发生。

4.2. 建立数据处理的特殊授权制度

授权是对于权利的一种处置方式，建立明确的授权制度对于用户个人信息的保护而言至关重要。第一，禁止一次性授权，对于数据的授权有可能是用户授权给数据库的，也有可能是用户授权给企业的。对于前者而言，当事人只授权数据库持有权，那么数据库在对数据进行处理或者交易之前必须征得当事人的同意。如果在授权时明确授权中包含了将数据进行处理和转让的内容的，除进行“去个人化”的有利于个人的数据处理技术之外，其他的数据处理和转让都应当提前通知当事人，为保障数据的安全和效益之间平衡，由于授权中已经包含了授权处理和转让的部分，那么这种通知就是一种程序性通知，无需征得实质同意，只要一定期限内当事人没有明确回复表示反对，即视为同意数据库对于数据的处理和转让。第二，明确的提示义务。在授权当中对于授权处理的数据的范围、时间、事项以及授权的主体等应当明确，防止模糊授权产生的争议，从而保障当事人的权利。在界定提示义务是否履行时，可以参照民法典在格式合同中对于提示义务的规定，以及按照既有的司法解释参照使用。简言之，即“是否使用足以引起他人注意的方式进行了提示。”

4.3. 明确数据去识别化标准

利用与保护作为对立统一的难题，去识别化的标准需要明确。“有关个人信息处理的治理机制不仅应当避免将绝对匿名化作为评判指标，也有必要完善去标识化分支的相关概念、标准、技术规制与风险评估，在维护自然人正当权益的基础上，建立科学合理、清晰友好的数据利用模式。”[13]《个人信息保护法》第五章“个人信息处理者的义务”中有关于去识别化的相关规定，即第五十一条第三项“采取相应的加密、去标识化等安全技术措施”，该措施亦可推广用于数据库营销当中，保障当事人不会因数据库营销而泄露其个人信息。技术层面的困境和难题只能随着经济发展水平的提升和计算机技术的不断深化得以改善，但是规范层面的标准应当合理建构。

目前市场中的数据模糊化处理技术相对较多，主要有：去标识化和匿名化，去标识化是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程；匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。除此之外，还有数据假名化、数据脱敏、数据加密等。以数据脱敏为例，随着当前人工智能技术的发展，数据脱敏可以依托敏感数据识别技术先行对敏感数据进行集中，再利用脱敏技术开展。敏感数据识别技术是指对目标系统的全量数据进行智能识别，获取用户数据源中数据元信息、数据结构等。对数据字段的内容进行分析，对格式和语义进行识别，对主键/外键进行处理，识别出系统中存在的敏感数据[13]。

就数据库营销而言，其营销策略的规划需要依托的数据并非是精确到具体个人的数据，而是可以基于群体数据实现精准营销。例如根据不同群体的消费习惯制定不同的产品价格，也能够在市场竞争中占据优势地位。所以数据去识别化本质上不会影响到数据库营销的精准性和效益。具体而言，对于数据去个人化的标准，需要满足“该信息不可单独或者与其他信息相结合识别到具体个人”的通常标准。而敏感信息⁴的去识别化处理的标准相较于普通信息而言标准更高，其处理的程序应当设置得更为复杂以保障个体的数据安全。

4.4. 明确违法数据库营销行为的法律后果

在违法的数据库营销行为中，“侵犯公民个人信息”作为一个具有社会危害性的行为，其有可能涉及到《刑法》，又有可能涉及《民法》以及《个人信息保护法》等规定，于是对于不同情况的不同界定与处置具有必要性。

4.4.1. 触犯刑法的侵犯公民个人信息罪的规制

刑法修正案(九)将刑法第253条⁵规定了侵犯公民个人信息罪，其中出售、提供以及窃取或者以其他非法方式获取公民个人信息是其行为方式。在数据库营销行为中，通常不会在数据库营销的实体环节涉及以上行为，但是在数据库营销的前一环节，即数据的获取当中，有可能涉嫌对于用户数据的非法获取，比如未经用户同意便搜集其产品的使用信息等。或者在数据库营销行为当中去非法获取当事人的其他信息，例如非法获取当事人的联系方式从而进行推销的行为，均有可能涉嫌侵犯公民个人信息罪。而对于企业及其负责人的处罚则按照该罪名进行处置。这是数据的取得，就数据的提供而言需要考虑另外的情况，即数据库的管理者或者数据二十条当中的数据持有者在明知对方取得数据是为了展开非法的数据库营销行为时，应当承担相应的刑事责任。

4.4.2. 侵犯公民隐私权或个人信息权益的民法处置

违法的数据库营销行为如果未达到刑法所规定的“情节严重”的实质性要件之时，其处理应当归于私法的范畴，例如非法向他人提供的个人信息数量较少，不具备社会危害性而受害者是少数群体时，亦或者其未对部分的个人信息进行去识别化导致个人信息权益受损等，这些行为应当归于民法进行处置。首先需要考虑数据库经营者与信息主体之间有无关于信息处理的规定，如果对于信息处理有约定并且约定了争议解决条款的，那么当数据库营销者就应当承担违约责任。如果二者之间没有约定，数据库营销者通过第三方获得了信息权益主体的个人信息并进行了处理的，应当承担侵权责任。为实现当事人权益的救济还可使得具有故意或者重大过失的数据提供者承担连带责任，而如果是因处理敏感信息导致个人信息泄露的，数据提供者还应当承担无过错的连带责任，在程序性事项的举证责任分配中应当将举证责任倒置给作为强势主体的数据提供者。

最后是承担责任的方式，既包括经济损失的赔偿也有可能包括造成严重精神损害的精神损害赔偿，因为个人信息作为在社会中识别具体个人的有效途径，其泄露对于个人而言危害性是极大的，所以周全的救济方式才能够实现信息主体权益的挽救和弥补。

5. 结语

数据库营销行为因其精准性和高效性而成为市场营销的主要手段，但是其高效建立在对于用户个人信息的收集和分析之上，个人信息保护法将数据库营销行为归属于“数据处理行为”，这种涉及社会公共利益和个人利益保障的行为因其可能涉及侵犯公民隐私权和个人信息权益需要受到法律的规制，具体而言既包括需受到涉嫌严重侵害公民隐私权的侵犯公民个人信息罪的规制，有需要在侵犯公民隐私权或者个人信息权益时承担相应的民事违约责任和侵权责任。

NOTES

¹根据数据来源和数据生成特征，分别界定数据生产、流通、使用过程中各参与方享有的合法权利，建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制，推进非公共数据按市场化方式“共同使用、共享收益”的新模式，为激活数据要素价值创造和价值实现提供基础性制度保障。

²在保障安全前提下，推动数据处理者依法依规对原始数据进行开发利用，支持数据处理者依法依规行使数据应用相关权利，促进数据使用价值复用与充分利用，促进数据使用权交换和市场化流通。

³《中华人民共和国民法典》第一千零三十二条：自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。

⁴根据《中华人民共和国个人信息保护法》规定，敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

⁵违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

参考文献