第一篇:關于加強個人信息保護立法,為互聯網服務保駕護航的提案
關于加強個人信息保護立法,為互聯網服務保駕護航的提案
摘要:全國政協十一屆五次會議提案第0486號
_________________________________________________________________________
_ 案 由:關于加強個人信息保護立法,為互聯網服務保駕護航的提案
審查意見:建議國務院交由主辦單位工業和信息化部會同中央外宣辦(國務院新聞辦),公安部辦理
提 案 人:郭為
主 題 詞:網絡,信息,管理 提案形式:個人提案 內 容:
隨著信息網絡技術在社會各個領域的廣泛應用,信息安全問題日益突出,特別是我國互聯網用戶數量已超過5億,增長速度居世界第一。當前,美國等多個國家都在加快信息安全立法進程,而我國現有信息安全立法層級較低、沒有形成體系,難以適應信息安全形勢發展需要。然而,近期出現了一系列個人信息濫用和個人隱私泄漏的問題,個人信息安全問題再次成為社會關注的焦點。日益凸現的個人信息安全問題呼喚加快個人信息安全立法。
為此,建議如下:
1、加快個人信息安全及隱私保護的相關立法工作
公民個人信息包含潛在的商業價值,一旦被惡意獲取,社會危害大。建議加快個人信息安全立法促使相關機構及企業對用戶的數據信息完整性保護、隱私權保護提出嚴格的要求。其中,政府部門作為公民個人信息最大的擁有者,應高度重視在個人信息應用方面的管理,一旦發生政府部門泄露個人隱私的事項,一定要嚴肅處理,以表明政府保護個人隱私的決心。為公民網上活動和互聯網產業發展提供良好的法律環境。
2、立法應該建立一套符合中國國情的網絡公民身份體系并逐步推動網絡實名制的真正實施。
歐盟、美國、韓國、新加坡等國家政府都在加緊制定本國的網絡身份戰略,我國也應當著手建立起自己的網絡公民身份體系,借鑒我國金融信用體系的經驗,由政府設立專門部門進行主導和管理,建立統一的公民身份標準、網絡身份標準及各項管理制度,為互聯網相關政務服務、公共服務和商業服務的安全有效開展奠定基礎。
另外,實名制是未來網絡世界的大勢所趨,是網絡誠信體系建立的基礎。為此應當首先通過立法保護實名信息的安全,避免公民因提供實名信息而受到利益侵害;其次,應充分發揮互聯網企業的作用,鼓勵企業提供互聯網服務時采取用戶實名制,從而減少交易成本,提升網絡誠信;最后,要加強網絡實名制的社會討論與宣傳,引導公眾對網絡實名制的思考和參與,最終形成統一認識。
3、立法應該建立信息安全產品安全審查和管理制度 鑒于我國高端防火墻、操作系統、云平臺等信息關鍵技術及相關產品在很大程度上依賴進口,存在嚴重的安全隱患,立法應該建立信息安全產品安全審查和管理制度,嚴格控制帶有安全隱患的產品進入政府供應鏈。同時,政府應加大力度支持國內相關核心技術及產品研發和應用。
4、應加大防御監管機制的建設并修訂相關法律
信息安全的有效建立不僅僅在于技術與產品,而在于一整套主動的防御措施,建議針對黑客行為等網絡安全威脅,需要加快修訂法律、量化定罪量刑標準,加強網絡犯罪的打擊力度。
來源:中國政協網
第二篇:關于重視計算機信息安全和個人信息保護,完善立法加強監管的提案
關于重視計算機信息安全和個人信息保護,完善立法加
強監管的提案
摘要:全國政協十一屆四次會議提案第1894號
_________________________________________________________________________
_ 案 由:關于重視計算機信息安全和個人信息保護,完善立法加強監管的提案 審查意見:建議國務院交由工業信息部,公安部辦理 提 案 人:侯欣一,張穹,劉白駒,李君如 主 題 詞:計算機,信息,安全,管理 提案形式:個人聯名 內 容:
一、互聯網信息服務產業發展迅猛,給信息安全提出了嚴峻的挑戰
近十多年來我國互聯網產業快速發展,已經應用深入到我國政治、經濟和社會文化生活的各個領域。到2009年,我國互聯網用戶已達4.2億,躍居世界第一。以阿里巴巴、騰訊、百度等為代表的中國互聯網企業已成為具有國際影響的品牌。互聯網產業的發展在拉動內需,促進就業,推動產業結構調整,縮小我國服務業與發達國家服務業發展差距方面發揮著重要的作用。同時不容回避的是互聯網的出現也給信息安全和個人隱私的保護帶來了極大的挑戰。首先,網絡信息技術便利了對個人的監控和搜索,個人在網絡上的一舉一動都可以隨時被記錄下來,這和前互聯網時代形成了鮮明的對比。其次,大型電子數據庫的出現使得搜集、整理、傳輸、加工信息變得更加便利,而且幾乎可以永久保存,不斷再現。這就使得一些商業公司具備了大規模收集個人和企業信息的技術條件,尤其是一些裝機量龐大的客戶端軟件提供商,就掌握了數以億計的個人在網絡上留存的信息,如果不嚴格加以規范和監管,一旦其所收集的用戶信息被泄露或濫用,后果不堪設想。
據報道,2010年元旦前夕,北京某網絡安全公司根據用戶舉報,發現GoogleInc.(即谷歌公司)服務器上存在一個巨大的用戶隱私信息數據包(通過谷歌搜索引擎可以搜索到),經過該公司對隱私數據包的分析,確認該數據包來自一個域名為國內某裝機量達數億的安全產品提供商的官方服務器。這個事件明顯暴露了我們在互聯網個人信息保護上存在的巨大隱患,凸顯立法和相關制度的缺失。
(一)計算機信息系統安全軟件產品監管法規滯后
目前,與計算機信息系統安全有關的行政法規只有國務院在1994年頒布的《計算機信息系統安全保護條例》、1997年公安部依據該條例制定的《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》以及2009年工業與信息化產業部頒布的《軟件產品管理辦法》。《計算機信息系統安全保護條例》原則性授權有關部門制定互聯網安全產品監管規范,但并未就如何監管做出實質性規定。《軟件產品管理辦法》雖然提及了軟件的檢測標準,但只是從鼓勵軟件產業發展的角度制定的具體規范。
實質上,目前我國監管防病毒產品的規范只有公安部的《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》。但該管理辦法頒布于10多年前,對計算機信息系統安全產品采取的是靜態監管的方式,即安全產品在銷售之前需要進行檢測,但目前安全產品的升級、更新周期非常短暫,且大都通過互聯網直接發售,并且很多企業都陸續推出了“云安全”技術。客觀上,安全廠商已將重心從“產品”轉向了“服務”,這種業務模式的變化使得安全廠商近乎完全脫離了原來的監管體系,靜態的監管方式已根本無法滿足對安全服務的全面動態監督需求。
(二)相關制度的缺失致使政府監管明顯缺位,所謂的監管也只是流于形式,對企業沒有任何威懾力
據了解,在前述泄密事件發生后第一時間工信部即接到了舉報,但工信部因受其職責權限的限制,也只能要求該安全產品提供商加強信息保管措施,卻不能采取任何處罰措施。如此的后果是個別廠商仍然可以肆意忌憚地收集和回傳用戶信息,這種狀況如不能及時有效地被遏制,必然將會引發更為嚴重的社會公共事件。
(三)互聯網信息安全立法缺位
計算機信息系統和互聯網只是傳統違法或犯罪行為得以實施的新的手段和方式,懲處這些違法、犯罪行為已經成為維護安全的迫切需要,但是針對網絡新技術環下的信息安全保護方面的專門法律規范卻一直沒有出臺。2010年3月十一屆全國人大三次會議期間,有92名人大代表在3個議案中提出:鑒于網絡信息安全問題日益突出,通過網絡破壞信息系統,傳播淫穢、色情、賭博、暴力等信息,竊取信息、名譽侵權等行為屢禁不止,嚴重擾亂社會秩序,影響國家信息安全,建議制定加快信息安全立法。
二、為了維護產業健康發展與信息安全,亟待對現行法律制度進行完善,健全對安全產品的監管
必須看到,目前發生在互聯網安全行業的監管缺陷以及一再發生的網絡泄密事件,損害的已不只是個別用戶的利益,如果任由其蔓延,互聯網行業將失去用戶的信任,反過來對互聯網產業的進一步發展構成制約。
有鑒于此,國家有關部門的及時介入,監管制度的完善,監督力度的加大,以及加大對個別企業惡性競爭行為的打擊力度顯得非常必要。此外,還應加快制定信息安全法律及配套制度,健全行政監督機制,并積極引導建立行業自律等,為中國互聯網產業的健康發展創造一個良好的法制環境。具體建議如下:
(一)針對工信部的建議
1.依法查處違法行為
建議主動履行部門職責,及時對個別安全產品廠商無視法律規定造成用戶信息泄露的企業進行調查和嚴厲處罰,明確提出整改措施;
2.建立誠信公示制度
建議建立企業誠信經營檔案系統以及誠信信息的公示制度;積極配合相關部門做好計算機信息系統安全產品行業的市場準入管理。比如與工商行政管理機關一起建立計算機信息系統安全產品行業的企業誠信經營與行業聲譽等信息管理機制,與公安部系統進行必要的銜接,為計算機信息系統安全產品行業的市場準入許可,提供參考條件,為安全軟件企業與從業人員市場退出機制的建立完善提供支撐。
3.抓緊完善《信息安全條例》,爭取早日出臺。
(二)針對公安部的建議
1.完善產品的檢測與管理機制
根據法律法規或有關授權規定,盡快完善計算機信息系統安全產品/服務、互聯網安全產品/服務的管理規范,主要包括安全產品/服務的技術評測、評級機制,安全產品/服務的分類登商備案機制,安全產品/服務的重要信息披露機制,與信息安全密切相關的信息溝通機制,安全產品代碼的管理機制等。
2.建立安全產品源代碼備案制度
盡快建立安全產品源代碼備案制度,設立專門監管委員會,負責安全產品信息(包括缺陷、漏洞等)、云查殺服務的病毒庫、服務器指令的記錄、披露,加強安全產品/服務的透明化和公平性;
3.建立行業管理規范與處理機制
盡快建立計算機信息系統安全產品/服務行業管理規范,產要包括建立安全廠商間糾紛的快速處理機制,安全廠商誠信檔案與公示機制,加大對安全產品/服務的日常監督以及違法行為的行政處罰力度等。
(三)針對立法部門的建議
1.全國人大應盡快出臺《個人信息保護法》,加強對個人信息保護
通過立法形式保障個人信息安全是國際通行做法,要在立法中明確誰有權搜集用戶信息,安全軟件產品和服務提供商在對個人和企業電腦提供安全防護和保障時如果不得不觸碰到個人和企業在電腦中的數據和信息時應該遵循什么樣的標準和要求,如何監管和誰來監管安全軟件廠商收集個人和企業信息的行為,以及如何保障安全廠商收集的信息的安全和不被濫用等等。
2.國務院法制辦應盡快修訂《計算機信息系統安全保護條例》
明確計算機信息系統安全產品和服務的提供者行為規范,加大對違法行為的處罰力度增加違法成本,引入市場退出機制。明確規定尊重用戶的選擇權與知情權,未經用戶同意不得收集和回傳用戶信息。
3.盡快修訂《中華人民共和國治安管理處罰法》
通過修訂《中華人民共和國治安管理處罰法》完善擾亂公共秩序的行為和處罰的相關規定。比如,在第二十九條中增加如下內容為第(五)項:違反國家規定干擾、屏蔽、阻礙、卸載用戶的計算信息系統安全產品,影響計算機用戶的信息系統安全的。
來源:中國政協網
第三篇:智能移動終端公共服務平臺為個人信息提供保護
智能移動終端公共服務平臺為個人信息提供保護
隨著信息技術的廣泛應用和互聯網的不斷普及,個人信息在社會、經濟活動中的地位日益凸顯。與此同時,濫用個人信息的現象隨之出現。近年來,個人信息泄露事件頻發,并呈現迅猛發展的態勢,2011年底中國互聯網更是遭遇了史上最大規模的用戶信息泄露事件,多家大型網站的用戶數據被泄露,幾千萬用戶賬號和密碼被公開,給社會秩序和人民切身利益造成嚴重危害。如何合理利用和有效保護個人信息已成為政府、企業、個人和社會各界廣泛關注的熱點問題。
個人信息保護由來已久
年 “個人信息保護”納入工業和信息化部重點工作范疇,工業和信息化部信息安全協調司已續四年委托中國軟件評測中心開展相關研究和測評工作;2009年,工業和信息化部楊學山副部長在大連個人信息保護試點工作現場交流會上,要求全面推進個人信息保護工作,此次大會上,來自全國30多家省市的代表討論了由中國軟件評測中心編制的《個人信息保護規范》(草案); 2010年3月15日,在工業和信息化部指導下,由中國電子信息產業發展研究院主辦,中國軟件評測中心、北京賽迪網信息技術有限公司共同承辦的“第一屆中國網站個人信息安全大會”在舉辦。來自工業和信息化部有關司局的領導,國家信息中心、中國電子學會、中國社會科學院、北京信息產業協會等單位的專家學者以及電子商務、招聘、婚戀、游戲等領域的被測網站代表共150余人參加了會議。
年,在信息安全標準委員會的指導下,由中國軟件評測中心牽頭制定了國家標準《信息安全技術 公共及商用服務信息系統個人信息保護指南》(全國信息安全標準化技術委員會2011年國家標準編制計劃,編號:TC260-BZZXD-WG7-2011018),該標準旨在提高個人信息保護意識,促進個人信息的合理利用,指導和規范利用信息系統處理個人信息的活動,從而推動我國信息服務產業個人信息保護體系的建立。該標準已于12月上旬通過投票表決,目前已進入送審階段。在“指南”基礎上,信息系統個人信息保護標準體系中其它技術、管理和行業標準也已進入計劃制定階段。
年5月,受工業和信息化部信息安全協調司委托,中國軟件評測中心邀請個人信息安全相關專家,組成評測專家組,根據國家標準《信息安全技術 公共及商用服務信息系統個人信息保護指南》內容,研究制定了2011年互聯網網站個人信息保護政策測評方案和測評指標,并選取電子商務、論壇博客、銀行、保險、婚戀、招聘、游戲七類共105家網站進行了個人信息保護政策測評,整個評測工作歷經6個月,測評結果整理為《2011年網站個人信息保護政策測評報告》。同時,中國軟件評測中心與北京大學互聯網安全技術實驗室合作,選取Android手機各類熱門軟件對其個人信息安全狀況進行了測試評估,并結合測試結果對當前Android手機軟件用戶隱私信息安全狀況進行了分析形成《2012年Android手機軟件個人信息安全報告》。
年3月15日,中國軟件評測中心將以“掌握行業動態,增強隱私保護”為主題,舉辦“2012中國個人信息安全大會”。本屆大會得到工業和信息化部領導的支持與指導,是目前國內首屈一指的個人信息保護專題盛會。本屆大會誠邀相關行業主管部門、領域專家、參評企業等各界來賓與會,為幫助企業洞察政策導向、參與標準研討、了解行業個人信息保護態勢提供良好的互動交流平臺。
智能移動終端公共服務平臺提供技術支撐
智能移動終端的個人信息保護具有3個特點:首先,用戶基數大,根據CNNIC統計,2011年底中國手機網民數3.56億;其次,移動互聯網應用日益豐富,手機上網、手機支付、手機炒股、手機郵箱和移動商務等業務層出不窮,終端和個人生活的關系日益密切;第三,移動互聯網領域普遍采用后向收費模式,應用推廣通常是通過應用商店直接在開發者和用戶之間發生,缺少第三方質量保障。由此帶來了隱私泄露、惡意扣費、涉黃涉非、破壞系統、遠程控制等一系列問題,損害了消費者權益,影響了產業的健康發展,同時也給國家的信息安全帶來了威脅。個人信息保護是中國軟件評測中心在智能移動終端領域關注的眾多問題之一。
作為智能移動終端廣泛使用的Android系統,由于系統開放性強,眾多企業將其作為優先選擇,最近幾年市場份額上升很快。此外,由于Android系統的開放性,可以便捷地加載第三方應用,應用的質量又參差不齊,導致Android應用的質量問題成為目前業界關注的焦點。對Android系統進行評測只是中國軟件評測中心的第一步,未來他們將逐步向IOS、Windows Mobile等系統拓展。
作為工信部電子發展基金支持的第三方公共服務平臺--智能移動終端軟件公共服務平臺是目前中國軟件評測中心承建的眾多公共服務平臺之一,其主要職能定位有四個方面:
第一,作為工信部的一類科研事業單位,首先要做好政府主管部門的決策支撐和技術支撐服務。
第二,面向產業和市場,面向應用軟件商店、應用開發企業和個人、終端用戶等,提供第三方應用質量測評服務。
第三,在應用開發者和終端用戶之間搭建橋梁,提供優秀應用推廣服務,營造脫穎而出的氛圍,促進產業健康發展。
第四,提供資源共享服務,開放地集成研究院所、安全企業的研究成果,為產業和市場提供開放式的服務。
第四篇:13 電信和互聯網用戶個人信息保護規定
電信和互聯網用戶個人信息保護規定
第一章 總則
第一條 為了保護電信和互聯網用戶的合法權益,維護網絡信息安全,根據《全國人民代表大會常務委員會關于加強網絡信息保護的決定》、《中華人民共和國電信條例》和《互聯網信息服務管理辦法》等法律、行政法規,制定本規定。
第二條 在中華人民共和國境內提供電信服務和互聯網信息服務過程中收集、使用用戶個人信息的活動,適用本規定。
第三條 工業和信息化部和各省、自治區、直轄市通信管理局(以下統稱電信管理機構)依法對電信和互聯網用戶個人信息保護工作實施監督管理。
第四條 本規定所稱用戶個人信息,是指電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息。
第五條 電信業務經營者、互聯網信息服務提供者在提供服務的過程中收集、使用用戶個人信息,應當遵循合法、正當、必要的原則。
第六條 電信業務經營者、互聯網信息服務提供者對其在提供服務過程中收集、使用的用戶個人信息的安全負責。
第七條 國家鼓勵電信和互聯網行業開展用戶個人信息保護自律工作。
第二章 信息收集和使用規范
第八條 電信業務經營者、互聯網信息服務提供者應當制定用戶個人信息收集、使用規則,并在其經營或者服務場所、網站等予以公布。第九條 未經用戶同意,電信業務經營者、互聯網信息服務提供者不得收集、使用用戶個人信息。
電信業務經營者、互聯網信息服務提供者收集、使用用戶個人信息的,應當明確告知用戶收集、使用信息的目的、方式和范圍,查詢、更正信息的渠道以及拒絕提供信息的后果等事項。
電信業務經營者、互聯網信息服務提供者不得收集其提供服務所必需以外的用戶個人信息或者將信息用于提供服務之外的目的,不得以欺騙、誤導或者強迫等方式或者違反法律、行政法規以及雙方的約定收集、使用信息。
電信業務經營者、互聯網信息服務提供者在用戶終止使用電信服務或者互聯網信息服務后,應當停止對用戶個人信息的收集和使用,并為用戶提供注銷號碼或者賬號的服務。
法律、行政法規對本條第一款至第四款規定的情形另有規定的,從其規定。
第十條 電信業務經營者、互聯網信息服務提供者及其工作人員對在提供服務過程中收集、使用的用戶個人信息應當嚴格保密,不得泄露、篡改或者毀損,不得出售或者非法向他人提供。
第十一條 電信業務經營者、互聯網信息服務提供者委托他人代理市場銷售和技術服務等直接面向用戶的服務性工作,涉及收集、使用用戶個人信息的,應當對代理人的用戶個人信息保護工作進行監督和管理,不得委托不符合本規定有關用戶個人信息保護要求的代理人代辦相關服務。
第十二條 電信業務經營者、互聯網信息服務提供者應當建立用戶投訴處理機制,公布有效的聯系方式,接受與用戶個人信息保護有關的投訴,并自接到投訴之日起十五日內答復投訴人。
第三章 安全保障措施
第十三條 電信業務經營者、互聯網信息服務提供者應當采取以下措施防止用戶個人信息泄露、毀損、篡改或者丟失:
(一)確定各部門、崗位和分支機構的用戶個人信息安全管理責任;
(二)建立用戶個人信息收集、使用及其相關活動的工作流程和安全管理制度;
(三)對工作人員及代理人實行權限管理,對批量導出、復制、銷毀信息實行審查,并采取防泄密措施;
(四)妥善保管記錄用戶個人信息的紙介質、光介質、電磁介質等載體,并采取相應的安全儲存措施;
(五)對儲存用戶個人信息的信息系統實行接入審查,并采取防入侵、防病毒等措施;
(六)記錄對用戶個人信息進行操作的人員、時間、地點、事項等信息;
(七)按照電信管理機構的規定開展通信網絡安全防護工作;
(八)電信管理機構規定的其他必要措施。
第十四條 電信業務經營者、互聯網信息服務提供者保管的用戶個人信息發生或者可能發生泄露、毀損、丟失的,應當立即采取補救措施;造成或者可能造成嚴重后果的,應當立即向準予其許可或者備案的電信管理機構報告,配合相關部門進行的調查處理。
電信管理機構應當對報告或者發現的可能違反本規定的行為的影響進行評估;影響特別重大的,相關省、自治區、直轄市通信管理局應當向工業和信息化部報告。電信管理機構在依據本規定作出處理決定前,可以要求電信業務經營者和互聯網信息服務提供者暫停有關行為,電信業務經營者和互聯網信息服務提供者應當執行。
第十五條 電信業務經營者、互聯網信息服務提供者應當對其工作人員進行用戶個人信息保護相關知識、技能和安全責任培訓。
第十六條 電信業務經營者、互聯網信息服務提供者應當對用戶個人信息保護情況每年至少進行一次自查,記錄自查情況,及時消除自查中發現的安全隱患。
第四章 監督檢查
第十七條 電信管理機構應當對電信業務經營者、互聯網信息服務提供者保護用戶個人信息的情況實施監督檢查。
電信管理機構實施監督檢查時,可以要求電信業務經營者、互聯網信息服務提供者提供相關材料,進入其生產經營場所調查情況,電信業務經營者、互聯網信息服務提供者應當予以配合。
電信管理機構實施監督檢查,應當記錄監督檢查的情況,不得妨礙電信業務經營者、互聯網信息服務提供者正常的經營或者服務活動,不得收取任何費用。
第十八條 電信管理機構及其工作人員對在履行職責中知悉的用戶個人信息應當予以保密,不得泄露、篡改或者毀損,不得出售或者非法向他人提供。
第十九條 電信管理機構實施電信業務經營許可及經營許可證年檢時,應當對用戶個人信息保護情況進行審查。
第二十條 電信管理機構應當將電信業務經營者、互聯網信息服務提供者違反本規定的行為記入其社會信用檔案并予以公布。
第二十一條 鼓勵電信和互聯網行業協會依法制定有關用戶個人信息保護的自律性管理制度,引導會員加強自律管理,提高用戶個人信息保護水平。
第五章 法律責任
第二十二條 電信業務經營者、互聯網信息服務提供者違反本規定第八條、第十二條規定的,由電信管理機構依據職權責令限期改正,予以警告,可以并處一萬元以下的罰款。
第二十三條 電信業務經營者、互聯網信息服務提供者違反本規定第九條至第十一條、第十三條至第十六條、第十七條第二款規定的,由電信管理機構依據職權責令限期改正,予以警告,可以并處一萬元以上三萬元以下的罰款,向社會公告;構成犯罪的,依法追究刑事責任。第二十四條 電信管理機構工作人員在對用戶個人信息保護工作實施監督管理的過程中玩忽職守、濫用職權、徇私舞弊的,依法給予處理;構成犯罪的,依法追究刑事責任。
第六章 附則
第二十五條 本規定自2013年9月1日起施行。
中華人民共和國工業和信息化部
二〇一三年六月二十八日
第五篇:《電信和互聯網用戶個人信息保護規定》解讀
《電信和互聯網用戶個人信息保護規定》解讀
2013年7月16日,工業和信息化部公布了《電信和互聯網用戶個人信息保護規定》(中華人民共和國工業和信息化部令第24號)。記者就《規定》采訪了工業和信息化部政法司巡視員李國斌,請他對《規定》進行了解讀。
記者:近日,工業和信息化部出臺了《電信和互聯網用戶個人信息保護規定》,請問《規定》出臺的意義是什么?
李國斌:近年來,我國電信和互聯網行業快速發展,新技術、新應用層出不窮,對促進經濟社會發展起到了積極的作用。與此同時,用戶個人信息的泄露風險和保護難度不斷增大,加強用戶個人信息保護立法成為社會廣泛關注的問題。
出臺《規定》,可以進一步完善電信和互聯網行業個人信息保護制度。目前,部分電信業務經營者、互聯網信息服務提供者對用戶個人信息安全重視不夠,安全防護措施不完善,管理制度不健全,信息安全責任落實不到位,需要進一步完善用戶個人信息保護法律制度,規范電信服務、互聯網信息服務過程中收集、使用用戶個人信息的活動。
出臺《規定》,也是貫徹落實全國人大常委會《關于加強網絡信息保護的決定》(以下簡稱《決定》)的需要。貫徹執行好《決定》有關收集、使用個人信息的制度,需要出臺相關配套規定。制定《規定》,進一步明確電信業務經營者、互聯網信息服務提供者收集、使用用戶個人信息的規則和信息安全保障措施等,是落實全國人大常委會《決定》規定的制度和措施,切實保護用戶合法權益的要求。
記者:您能否介紹一下《規定》的制定過程?
李國斌:2012年5月,工業和信息化部啟動了《規定》立法研究和起草工作。在起草過程中,我們赴吉林、廣東、四川等地進行了調研,多次書面征求了部機關相關司局、各省(區、市)通信管理局、基礎電信企業和互聯網企業對《規定(征求意見稿)》的意見,組織召開了省級通信管理局、基礎電信企業和互聯網企業參加的立法座談會,并通過國務院法制辦的“中國政府法制信息網”和我部門戶網站向社會公開征求了意見。經征求意見,社會各方面對制定《規定》給予了積極的肯定,沒有原則性的不同意見。在充分聽取各方面意見并進一步完善有關制度的基礎上,我們形成了《規定(草案)》。
2013年6月28日,我部第2次部務會議審議通過了《規定》。7月16日,工業和信息化部第24號令公布了《規定》。《規定》將于9月1日生效。
記者: 您能否介紹一下《規定》關于用戶個人信息保護管理工作的定位?
李國斌:全國人大常委會《決定》對“公民個人電子信息”做了界定,并明確了信息收集、使用的原則和相關規則。
目前,各行業普遍存在收集、使用個人信息的情況,相應的信息保護工作也涉及到眾多的部門,我部并不負責管理所有的個人信息。《規定》依據《決定》的有關規定,立足我部電信和互聯網行業管理職責,以“概括加列舉”的方式規定了由我部負責監督管理的用戶個人信息的范圍,即:電信業務經營者、互聯網信息服務提供者在提供服務的過程中收集的能夠識別用戶的信息以及用戶使用服務的信息,包括用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息。
記者:您能否介紹一下《規定》的主要內容?
李國斌:《規定》共六章、二十五條,主要規定了如下內容:
(一)電信和互聯網用戶個人信息的保護范圍。《規定》依據全國人大常委會《決定》的有關規定,明確要求保護“電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息”。
(二)用戶個人信息收集和使用原則。《規定》根據全國人大常委會《決定》的規定,要求電信業務經營者、互聯網信息服務提供者收集、使用用戶個人信息應當遵循合法、正當、必要的原則,并對用戶個人信息的安全負責。
(三)用戶個人信息收集和使用規則。《規定》要求電信業務經營者、互聯網信息服務提供者遵守下列信息收集和使用規則:制定并公布其信息收集和使用的規則;未經用戶同意不得收集、使用用戶個人信息;明確告知用戶其收集、使用信息的目的、方式和范圍等事項;不得收集提供服務所必需以外的用戶個人信息;在用戶終止使用服務后應當停止對用戶個人信息的收集和使用,并提供注銷號碼或賬號的服務;不得泄露、篡改、毀損、出售或者非法向他人提供用戶個人信息等。
(四)代理商管理。《規定》按照“誰經營、誰負責”、“誰委托、誰負責”的原則,根據民法上的委托代理制度,明確規定由電信業務經營者、互聯網信息服務提供者負責對其代理商的個人信息保護工作實施管理。《規定》要求:電信業務經營者、互聯網信息服務提供者委托他人代理市場銷售和技術服務等直接面向用戶的服務性工作,涉及收集、使用用戶個人信息的,應當對代理人的用戶個人信息保護工作進行監督和管理,不得委托不符合《規定》有關用戶個人信息保護要求的代理人代辦相關服務。
(五)安全保障制度。《規定》從崗位責任、管理制度、權限管理、存儲介質、信息系統、操作記錄、安全防護等方面,明確了電信業務經營者、互聯網信息服務提供者應當采取的防止用戶個人信息泄露、毀損、篡改或者丟失的措施。與此同時,《規定》對用戶個人信息保護情況自查和培訓等制度作了相應的規定。
(六)監督檢查制度。《規定》要求電信管理機構對用戶個人信息保護情況實施監督檢查,電信業務經營者、互聯網信息服務提供者應當予以配合。《規定》還明確規定電信管理機構在電信業務經營許可和年檢中應當審查用戶個人信息保護的情況,將電信業務經營者、互聯網信息服務提供者違反《規定》的行為記入其社會信用檔案。
記者:有人認為,《規定》的處罰力度有限。《規定》在制度設計方面如何解決處罰力度過低的問題的?
李國斌:誠如您所言,在征求意見過程中,確實有意見認為《規定》設定的罰款數額過低,處罰力度過小,不利于懲處和預防侵害用戶個人信息的違法行為,建議加大處罰力度。根據《行政處罰法》和國務院的有關規定,部門規章只能設定警告和最高額為三萬元的罰款。《規定》遵循了上述規定,對相關違法行為設定了警告和三萬元以下的罰款處罰。與此同時,為有效預防和打擊相關違法行為,我們還積極創新管理方式,在法律規定的幅度內設定相關處罰的同時,設立了制止違法行為危害擴大的“叫停”制度、“向社會公告”行政處罰的制度和將違法行為“記入社會信用檔案”的制度。我們認為,綜合運用上述管理制度和處罰措施,能夠有效地遏制侵害用戶個人信息的違法行為。
來源:中國民商法律網
點擊咨詢 