第一篇:電信和互聯網用戶個人信息保護規定(征求意見稿)
電信和互聯網用戶個人信息保護規定
(征求意見稿)第一章 總則
第一條 為了保護電信和互聯網用戶的合法權益,維護網絡信息安全,根據《全國人民代表大會常務委員會關于加強網絡信息保護的決定》、《中華人民共和國電信條例》、《互聯網信息服務管理辦法》等法律、行政法規,制定本規定。
第二條 在中華人民共和國境內提供電信服務和互聯網信息服務過程中收集、使用用戶個人信息的活動,應當遵守本規定。
第三條 工業和信息化部和各省、自治區、直轄市通信管理局(以下統稱“電信管理機構”)依法對電信和互聯網用戶個人信息保護工作實施監督管理。
第四條 本規定所稱用戶個人信息,是指電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的能夠單獨或者與其他信息結合識別用戶的信息,包括用戶姓名、出生日期、身份證件號碼、住址等身份信息以及用戶使用服務的號碼、賬號、時間、地點等日志信息。
第五條 電信業務經營者、互聯網信息服務提供者在提供服務的過程中收集、使用用戶個人信息,應當遵循合法、正當、必要的原則。
第六條 電信業務經營者、互聯網信息服務提供者對其在提供服務過程中收集、使用的用戶個人信息的安全負責。
第七條 國家鼓勵電信和互聯網行業開展用戶個人信息保護自律工作。
第二章 信息收集和使用規范
第八條 電信業務經營者、互聯網信息服務提供者應當制定用戶個人信息收集、使用規則,并在其經營或者服務場所、網站等予以公布。
第九條 未經用戶同意,電信業務經營者、互聯網信息服務提供者不得收集、使用用戶個人信息。
電信業務經營者、互聯網信息服務提供者收集、使用用戶個人信息的,應當明確告知用戶收集、使用信息的目的、方式和范圍,留存信息的期限,查詢、更正信息的渠道以及拒絕提供信息的后果等事項。
電信業務經營者、互聯網信息服務提供者不得收集其提供服務所必需以外的用戶個人信息或者將信息使用于其提供服務之外的目的,不得以欺騙、誤導或者強迫等方式或者違反法律、行政法規以及雙方的約定收集、使用信息。
法律、行政法規對本條第一款至第三款規定的情形另有規定的,從其規定。
第十條 電信業務經營者、互聯網信息服務提供者及其工作人員對在提供服務過程中收集、使用的用戶個人信息應當嚴格保密,不得泄露、篡改或者毀損,不得出售或者非法向他人提供。
第十一條 電信業務經營者、互聯網信息服務提供者委托他人代理市場銷售和技術服務等直接面向用戶的服務性工作,涉及收集、使用用戶個人信息的,應當對代理人的用戶個人信息保護工作進行監督和管理,不得委托不能滿足用戶個人信息保護要求的代理人代辦相關服務。
第十二條 電信業務經營者、互聯網信息服務提供者應當建立用戶投訴處理機制,公布有效的聯系方式,接受與用戶個人信息保護有關的投訴,并自接到投訴之日起十五日內答復投訴人。
第三章 安全保障措施
第十三條 電信業務經營者、互聯網信息服務提供者應當采取以下防止用戶個人信息泄露、毀損或者丟失的措施:
(一)確定各部門、崗位和分支機構的用戶個人信息安全管理責任;
(二)建立用戶個人信息收集、使用及其相關活動的工作流程和安全管理制度;
(三)對工作人員實行權限管理,對批量導出、復制、銷毀信息實行審查,并采取防泄密措施;
(四)妥善保管記錄用戶個人信息的紙介質、光介質、電磁介質等載體,采取相應的安全儲存措施;
(五)對儲存用戶個人信息的信息系統實行接入審查,定期進行安全風險評估;
(六)按照電信管理機構的規定采取通信網絡安全防護措施;
(七)記錄對用戶個人信息進行操作的人員、時間、地點、事項等信息;
(八)電信管理機構規定的其他必要措施。
第十四條 電信業務經營者、互聯網信息服務提供者保管的用戶個人信息發生或者可能發生泄露、毀損、丟失的,應當立即采取補救措施;造成或者可能造成嚴重后果的,應當立即向準予其許可或者備案的電信管理機構報告,配合相關部門進行的調查處理。
第十五條 電信業務經營者、互聯網信息服務提供者應當對其工作人員進行用戶個人信息保護相關知識、技能及安全責任培訓。
第十六條 電信業務經營者、互聯網信息服務提供者應當對用戶個人信息保護情況進行定期自查,記錄自查情況,及時消除自查中發現的信息安全問題。
第四章 監督檢查
第十七條 電信管理機構應當對電信業務經營者、互聯網信息服務提供者保護用戶個人信息的情況實施監督檢查。
電信管理機構實施監督檢查時,可以要求電信業務經營者、互聯網信息服務提供者提供相關材料,進入其生產經營場所調查情況,電信業務經營者、互聯網信息服務提供者應當予以配合。
電信管理機構實施監督檢查,應當記錄監督檢查的情況。實施監督檢查不得妨礙電信業務經營者、互聯網信息服務提供者正常的經營或者服務活動,不得收取任何費用。
第十八條 電信管理機構及其工作人員對在履行職責中知悉的用戶個人信息應當予以保密,不得泄露、篡改或者毀損,不得出售或者非法向他人提供。
第十九條 電信管理機構實施電信業務經營許可及經營許可證年檢時,應當對用戶個人信息保護情況進行審查。
第二十條 電信管理機構應當將有違反本規定行為的電信業務經營者、互聯網信息服務提供者記入其社會信用檔案并予以公布。
第二十一條 鼓勵電信和互聯網行業協會依法制定有關用戶個人信息保護的自律性管理制度,引導會員加強自律管理,提高用戶個人信息保護水平。
第五章 法律責任
第二十二條 電信業務經營者、互聯網信息服務提供者違反本規定第八條、第十二條規定的,由電信管理機構依據職權責令限期改正,予以警告,可以并處一萬元以下的罰款。
第二十三條 電信業務經營者、互聯網信息服務提供者違反本規定第九條、第十條、第十一條、第十三條、第十四條、第十五條、第十六條、第十七條第二款規定的,由電信管理機構依據職權責令限期改正,予以警告,可以并處一萬元以上三萬元以下的罰款;構成犯罪的,依法追究刑事責任。
第二十四條 電信管理機構工作人員在對用戶個人信息保護工作實施監督管理的過程中玩忽職守、濫用職權、徇私舞弊的,依法給予處理;構成犯罪的,依法追究刑事責任。
第六章 附則
第二十五條 本規定自
年 月 日起施行。
第二篇:《電信和互聯網用戶個人信息保護規定》解讀
《電信和互聯網用戶個人信息保護規定》解讀
2013年7月16日,工業和信息化部公布了《電信和互聯網用戶個人信息保護規定》(中華人民共和國工業和信息化部令第24號)。記者就《規定》采訪了工業和信息化部政法司巡視員李國斌,請他對《規定》進行了解讀。
記者:近日,工業和信息化部出臺了《電信和互聯網用戶個人信息保護規定》,請問《規定》出臺的意義是什么?
李國斌:近年來,我國電信和互聯網行業快速發展,新技術、新應用層出不窮,對促進經濟社會發展起到了積極的作用。與此同時,用戶個人信息的泄露風險和保護難度不斷增大,加強用戶個人信息保護立法成為社會廣泛關注的問題。
出臺《規定》,可以進一步完善電信和互聯網行業個人信息保護制度。目前,部分電信業務經營者、互聯網信息服務提供者對用戶個人信息安全重視不夠,安全防護措施不完善,管理制度不健全,信息安全責任落實不到位,需要進一步完善用戶個人信息保護法律制度,規范電信服務、互聯網信息服務過程中收集、使用用戶個人信息的活動。
出臺《規定》,也是貫徹落實全國人大常委會《關于加強網絡信息保護的決定》(以下簡稱《決定》)的需要。貫徹執行好《決定》有關收集、使用個人信息的制度,需要出臺相關配套規定。制定《規定》,進一步明確電信業務經營者、互聯網信息服務提供者收集、使用用戶個人信息的規則和信息安全保障措施等,是落實全國人大常委會《決定》規定的制度和措施,切實保護用戶合法權益的要求。
記者:您能否介紹一下《規定》的制定過程?
李國斌:2012年5月,工業和信息化部啟動了《規定》立法研究和起草工作。在起草過程中,我們赴吉林、廣東、四川等地進行了調研,多次書面征求了部機關相關司局、各省(區、市)通信管理局、基礎電信企業和互聯網企業對《規定(征求意見稿)》的意見,組織召開了省級通信管理局、基礎電信企業和互聯網企業參加的立法座談會,并通過國務院法制辦的“中國政府法制信息網”和我部門戶網站向社會公開征求了意見。經征求意見,社會各方面對制定《規定》給予了積極的肯定,沒有原則性的不同意見。在充分聽取各方面意見并進一步完善有關制度的基礎上,我們形成了《規定(草案)》。
2013年6月28日,我部第2次部務會議審議通過了《規定》。7月16日,工業和信息化部第24號令公布了《規定》。《規定》將于9月1日生效。
記者: 您能否介紹一下《規定》關于用戶個人信息保護管理工作的定位?
李國斌:全國人大常委會《決定》對“公民個人電子信息”做了界定,并明確了信息收集、使用的原則和相關規則。
目前,各行業普遍存在收集、使用個人信息的情況,相應的信息保護工作也涉及到眾多的部門,我部并不負責管理所有的個人信息。《規定》依據《決定》的有關規定,立足我部電信和互聯網行業管理職責,以“概括加列舉”的方式規定了由我部負責監督管理的用戶個人信息的范圍,即:電信業務經營者、互聯網信息服務提供者在提供服務的過程中收集的能夠識別用戶的信息以及用戶使用服務的信息,包括用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息。
記者:您能否介紹一下《規定》的主要內容?
李國斌:《規定》共六章、二十五條,主要規定了如下內容:
(一)電信和互聯網用戶個人信息的保護范圍。《規定》依據全國人大常委會《決定》的有關規定,明確要求保護“電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息”。
(二)用戶個人信息收集和使用原則。《規定》根據全國人大常委會《決定》的規定,要求電信業務經營者、互聯網信息服務提供者收集、使用用戶個人信息應當遵循合法、正當、必要的原則,并對用戶個人信息的安全負責。
(三)用戶個人信息收集和使用規則。《規定》要求電信業務經營者、互聯網信息服務提供者遵守下列信息收集和使用規則:制定并公布其信息收集和使用的規則;未經用戶同意不得收集、使用用戶個人信息;明確告知用戶其收集、使用信息的目的、方式和范圍等事項;不得收集提供服務所必需以外的用戶個人信息;在用戶終止使用服務后應當停止對用戶個人信息的收集和使用,并提供注銷號碼或賬號的服務;不得泄露、篡改、毀損、出售或者非法向他人提供用戶個人信息等。
(四)代理商管理。《規定》按照“誰經營、誰負責”、“誰委托、誰負責”的原則,根據民法上的委托代理制度,明確規定由電信業務經營者、互聯網信息服務提供者負責對其代理商的個人信息保護工作實施管理。《規定》要求:電信業務經營者、互聯網信息服務提供者委托他人代理市場銷售和技術服務等直接面向用戶的服務性工作,涉及收集、使用用戶個人信息的,應當對代理人的用戶個人信息保護工作進行監督和管理,不得委托不符合《規定》有關用戶個人信息保護要求的代理人代辦相關服務。
(五)安全保障制度。《規定》從崗位責任、管理制度、權限管理、存儲介質、信息系統、操作記錄、安全防護等方面,明確了電信業務經營者、互聯網信息服務提供者應當采取的防止用戶個人信息泄露、毀損、篡改或者丟失的措施。與此同時,《規定》對用戶個人信息保護情況自查和培訓等制度作了相應的規定。
(六)監督檢查制度。《規定》要求電信管理機構對用戶個人信息保護情況實施監督檢查,電信業務經營者、互聯網信息服務提供者應當予以配合。《規定》還明確規定電信管理機構在電信業務經營許可和年檢中應當審查用戶個人信息保護的情況,將電信業務經營者、互聯網信息服務提供者違反《規定》的行為記入其社會信用檔案。
記者:有人認為,《規定》的處罰力度有限。《規定》在制度設計方面如何解決處罰力度過低的問題的?
李國斌:誠如您所言,在征求意見過程中,確實有意見認為《規定》設定的罰款數額過低,處罰力度過小,不利于懲處和預防侵害用戶個人信息的違法行為,建議加大處罰力度。根據《行政處罰法》和國務院的有關規定,部門規章只能設定警告和最高額為三萬元的罰款。《規定》遵循了上述規定,對相關違法行為設定了警告和三萬元以下的罰款處罰。與此同時,為有效預防和打擊相關違法行為,我們還積極創新管理方式,在法律規定的幅度內設定相關處罰的同時,設立了制止違法行為危害擴大的“叫停”制度、“向社會公告”行政處罰的制度和將違法行為“記入社會信用檔案”的制度。我們認為,綜合運用上述管理制度和處罰措施,能夠有效地遏制侵害用戶個人信息的違法行為。
來源:中國民商法律網
第三篇:13 電信和互聯網用戶個人信息保護規定
電信和互聯網用戶個人信息保護規定
第一章 總則
第一條 為了保護電信和互聯網用戶的合法權益,維護網絡信息安全,根據《全國人民代表大會常務委員會關于加強網絡信息保護的決定》、《中華人民共和國電信條例》和《互聯網信息服務管理辦法》等法律、行政法規,制定本規定。
第二條 在中華人民共和國境內提供電信服務和互聯網信息服務過程中收集、使用用戶個人信息的活動,適用本規定。
第三條 工業和信息化部和各省、自治區、直轄市通信管理局(以下統稱電信管理機構)依法對電信和互聯網用戶個人信息保護工作實施監督管理。
第四條 本規定所稱用戶個人信息,是指電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息。
第五條 電信業務經營者、互聯網信息服務提供者在提供服務的過程中收集、使用用戶個人信息,應當遵循合法、正當、必要的原則。
第六條 電信業務經營者、互聯網信息服務提供者對其在提供服務過程中收集、使用的用戶個人信息的安全負責。
第七條 國家鼓勵電信和互聯網行業開展用戶個人信息保護自律工作。
第二章 信息收集和使用規范
第八條 電信業務經營者、互聯網信息服務提供者應當制定用戶個人信息收集、使用規則,并在其經營或者服務場所、網站等予以公布。第九條 未經用戶同意,電信業務經營者、互聯網信息服務提供者不得收集、使用用戶個人信息。
電信業務經營者、互聯網信息服務提供者收集、使用用戶個人信息的,應當明確告知用戶收集、使用信息的目的、方式和范圍,查詢、更正信息的渠道以及拒絕提供信息的后果等事項。
電信業務經營者、互聯網信息服務提供者不得收集其提供服務所必需以外的用戶個人信息或者將信息用于提供服務之外的目的,不得以欺騙、誤導或者強迫等方式或者違反法律、行政法規以及雙方的約定收集、使用信息。
電信業務經營者、互聯網信息服務提供者在用戶終止使用電信服務或者互聯網信息服務后,應當停止對用戶個人信息的收集和使用,并為用戶提供注銷號碼或者賬號的服務。
法律、行政法規對本條第一款至第四款規定的情形另有規定的,從其規定。
第十條 電信業務經營者、互聯網信息服務提供者及其工作人員對在提供服務過程中收集、使用的用戶個人信息應當嚴格保密,不得泄露、篡改或者毀損,不得出售或者非法向他人提供。
第十一條 電信業務經營者、互聯網信息服務提供者委托他人代理市場銷售和技術服務等直接面向用戶的服務性工作,涉及收集、使用用戶個人信息的,應當對代理人的用戶個人信息保護工作進行監督和管理,不得委托不符合本規定有關用戶個人信息保護要求的代理人代辦相關服務。
第十二條 電信業務經營者、互聯網信息服務提供者應當建立用戶投訴處理機制,公布有效的聯系方式,接受與用戶個人信息保護有關的投訴,并自接到投訴之日起十五日內答復投訴人。
第三章 安全保障措施
第十三條 電信業務經營者、互聯網信息服務提供者應當采取以下措施防止用戶個人信息泄露、毀損、篡改或者丟失:
(一)確定各部門、崗位和分支機構的用戶個人信息安全管理責任;
(二)建立用戶個人信息收集、使用及其相關活動的工作流程和安全管理制度;
(三)對工作人員及代理人實行權限管理,對批量導出、復制、銷毀信息實行審查,并采取防泄密措施;
(四)妥善保管記錄用戶個人信息的紙介質、光介質、電磁介質等載體,并采取相應的安全儲存措施;
(五)對儲存用戶個人信息的信息系統實行接入審查,并采取防入侵、防病毒等措施;
(六)記錄對用戶個人信息進行操作的人員、時間、地點、事項等信息;
(七)按照電信管理機構的規定開展通信網絡安全防護工作;
(八)電信管理機構規定的其他必要措施。
第十四條 電信業務經營者、互聯網信息服務提供者保管的用戶個人信息發生或者可能發生泄露、毀損、丟失的,應當立即采取補救措施;造成或者可能造成嚴重后果的,應當立即向準予其許可或者備案的電信管理機構報告,配合相關部門進行的調查處理。
電信管理機構應當對報告或者發現的可能違反本規定的行為的影響進行評估;影響特別重大的,相關省、自治區、直轄市通信管理局應當向工業和信息化部報告。電信管理機構在依據本規定作出處理決定前,可以要求電信業務經營者和互聯網信息服務提供者暫停有關行為,電信業務經營者和互聯網信息服務提供者應當執行。
第十五條 電信業務經營者、互聯網信息服務提供者應當對其工作人員進行用戶個人信息保護相關知識、技能和安全責任培訓。
第十六條 電信業務經營者、互聯網信息服務提供者應當對用戶個人信息保護情況每年至少進行一次自查,記錄自查情況,及時消除自查中發現的安全隱患。
第四章 監督檢查
第十七條 電信管理機構應當對電信業務經營者、互聯網信息服務提供者保護用戶個人信息的情況實施監督檢查。
電信管理機構實施監督檢查時,可以要求電信業務經營者、互聯網信息服務提供者提供相關材料,進入其生產經營場所調查情況,電信業務經營者、互聯網信息服務提供者應當予以配合。
電信管理機構實施監督檢查,應當記錄監督檢查的情況,不得妨礙電信業務經營者、互聯網信息服務提供者正常的經營或者服務活動,不得收取任何費用。
第十八條 電信管理機構及其工作人員對在履行職責中知悉的用戶個人信息應當予以保密,不得泄露、篡改或者毀損,不得出售或者非法向他人提供。
第十九條 電信管理機構實施電信業務經營許可及經營許可證年檢時,應當對用戶個人信息保護情況進行審查。
第二十條 電信管理機構應當將電信業務經營者、互聯網信息服務提供者違反本規定的行為記入其社會信用檔案并予以公布。
第二十一條 鼓勵電信和互聯網行業協會依法制定有關用戶個人信息保護的自律性管理制度,引導會員加強自律管理,提高用戶個人信息保護水平。
第五章 法律責任
第二十二條 電信業務經營者、互聯網信息服務提供者違反本規定第八條、第十二條規定的,由電信管理機構依據職權責令限期改正,予以警告,可以并處一萬元以下的罰款。
第二十三條 電信業務經營者、互聯網信息服務提供者違反本規定第九條至第十一條、第十三條至第十六條、第十七條第二款規定的,由電信管理機構依據職權責令限期改正,予以警告,可以并處一萬元以上三萬元以下的罰款,向社會公告;構成犯罪的,依法追究刑事責任。第二十四條 電信管理機構工作人員在對用戶個人信息保護工作實施監督管理的過程中玩忽職守、濫用職權、徇私舞弊的,依法給予處理;構成犯罪的,依法追究刑事責任。
第六章 附則
第二十五條 本規定自2013年9月1日起施行。
中華人民共和國工業和信息化部
二〇一三年六月二十八日
第四篇:個人信息保護指南(征求意見稿)[模版]
個人信息保護指南(征求意見稿)
發布時間:2010-04-24 00:35 來源:作者: 第一章總則
第一條 [目的] 為提高個人信息保護意識,保護個人合法權益,促進個人信息有序利用,指導和規范利用信息系統處理個人信息的活動,制定本指南。
第二條 [適用范圍和方式]企事業單位部分或全部采用信息系統進行個人信息處理時,可依據本指南的原則和要求,制定個人信息保護政策、個人信息處理準則或辦法,規范本單位的個人信息處理活動。行業協會、標準化組織、第三方機構等可依據本指南的原則和要求,制定個人信息處理自律手則、標準和評估辦法等,規范、指導相關單位的個人信息處理活動。
第三條 [不適用范圍]本指南不適用于以下情況的個人信息處理活動:
(1)因統計和科學研究需要由統計機構和研究機構匿名進行的個人信息處理;(2)因家庭事務和個人交往需要由自然人進行的個人信息處理;(3)法律法規對個人信息處理有明確規定的其他情形。第四條 [術語定義]本指南中,“個人信息”是指與特定自然人相關、能夠單獨或與其他信息結合識別該特定自然人的任何信息。“個人信息主體”是指可通過個人信息識別的特定自然人。
“信息處理”是指收集、儲存、修改、編輯、整理、匯編、檢索、標注、挖掘、轉移、披露、公開、傳輸、交換、刪除、銷毀等等針對信息所進行的所有行為。
“信息系統”是指為實現信息處理目的,按照一定規則組合并運行的計算機及其配套的設備、設施(含網絡)。“收集”是指獲取并記錄個人信息的行為。
“加工”是指錄入、整理、聚合、挖掘、恢復等除收集、轉移、使用、銷毀或刪除之外的一切信息處理行為。“轉移”是指將保存或擁有的個人信息移交給其他自然人、法人或組織的行為。
“使用”是指運用個人信息的行為,包括向公眾或特定群體披露、在決策中加以考慮、依據個人信息作出決定或決策,依據個人信息實施某種行動或行為等。“銷毀”是指從物理上毀滅記錄個人信息的載體。
“刪除”是指從信息系統和載體上永久清除個人信息并不可恢復。第二章個人信息處理原則
第五條【遵循原則要求】利用信息系統進行個人信息處理,應自覺遵守本指南確定的原則。
第六條【目的明確原則】處理個人信息應具有明確、合法的目的,法律法規沒有明確規定或者個人信息主體沒有明確授權,不應擅自處理個人信息。
第七條【公開透明原則】處理個人信息之前,應以明確、易懂的方式向個人信息主體告知處理個人信息的目的,處理個人信息的具體內容、個人信息在信息系統中的留存時限、個人信息保護的政策,個人信息主體的權利以及個人信息的使用范圍和相關責任人等。
第八條【質量保證原則】應根據處理目的的需要保證個人信息準確、完整,時間敏感的個人信息應處于最新狀態。
第九條【安全保障原則】應采取必要的管理措施和技術手段,保護信息系統中的個人信息安全,防止未經授權檢索、公開及丟失、泄露、損毀和篡改個人信息。
第十條【合理處置原則】利用信息系統處理個人信息的方式應合理,處理個人信息的內容應與告知個人信息主體的目的相關,不超出目的范圍處理個人信息,不應在既定目的實現后超期限保留個人信息。第十一條【個人參與原則】應在個人信息處理的過程中,提供必要的途徑和手段,為個人信息主體實現其權利提供便利。
第十二條【責任落實原則】應明確個人信息處理過程中的責任,對不承擔相關責任的行為,應建立必要的制度予以追究。
第三章個人信息主體權利保護
第十三條【權利保護要求】利用信息系統處理個人信息時,信息系統管理者應提供必要的措施和手段保護個人信息主體的權利,除非法定原因或維護公共利益、第三方重大利益的需要,不應限制個人信息主體的權利。
第十四條【知情權】個人信息主體向信息系統管理者提出申請了解:(1)是否擁有其個人信息;(2)擁有個人信息的內容;(3)獲得其個人信息的來源;(4)處理其個人信息的目的;(5)保護其個人信息的政策和措施;(6)披露或向其他機構提供其個人信息的范圍;(7)信息系統管理者的相關信息等時,信息系統管理者應當如實告知。
第十五條【選擇權】信息系統管理者向個人信息主體收集其個人信息時,應給予個人信息主體同意或拒絕的機會。
第十六條【更正權】信息系統管理者應提供必要的方法和手段,保證個人信息主體能夠檢查到信息系統中其個人信息的完整性、準確性,并且在發現錯誤時進行修改。
第十七條【禁止權】個人信息主體發現信息系統管理者不當處理其個人信息并要求屏蔽、刪除或銷毀其個人信息時,信息系統管理者應當按照個人信息主體的要求屏蔽、刪除或銷毀有關個人信息。
第十八條【求償權】因信息系統管理者的原因導致個人信息泄露或不當使用,給相關個人信息主體造成損害或損失,個人信息主體要求賠償時,信息系統管理者應當賠償。第四章個人信息處理的前提條件
第十九條【個人信息處理的前提條件】未經法律法規的明確授權或個人信息主體的明示同意,信息系統管理者不應處理個人信息,除非滿足以下條件之一:
(1)履行與個人信息主體簽訂的合同需要或是為了與個人信息主體締結合同的需要;(2)履行信息系統管理者的法定職責,且不會對個人信息主體權益造成侵害;
(3)為維護個人信息主體的利益需要,且情況緊急,獲得個人信息主體同意客觀上不可能或者由于時間耽擱造成的損失過于巨大;
(4)維護公共利益或第三方的重大利益需要,且不會對個人信息主體權益造成侵害;(5)因傳輸需要,由自動設備進行的自動、瞬時完成的個人信息處理;
(6)處理個人信息主體主動公開的信息,且處理目的不超出個人信息主體主動公開的目的范圍。第二十條【特定個人信息的處理】法律法規已明確規定由專門機構處理的特定個人信息,信息系統管理者在未獲得行業管理部門批準前,不應擅自處理相關信息。
第二十一條【個人信息公告要求】本指南發布前,信息系統管理者已經存留個人信息的,應當采取適當方式公告其存留的個人信息類別、個人信息主體的規模和范圍以及個人信息的使用目的。第五章個人信息收集
第二十二條【直接收集個人信息】信息系統管理者如需使用個人信息,應直接向個人信息主體收集。利用信息系統收集個人信息,應滿足以下條件:(1)具有特定、明確、合法的目的;(2)采用合理、適當的方法和手段;
(3)獲得個人信息主體的明確同意,或滿足第十九條的規定;
第二十三條【信息收集要求】信息系統管理者向個人信息主體收集個人信息前,應采取個人信息主體能夠收悉的方式向個人信息主體明確告知如下事項:(1)收集信息的目的、使用范圍和收集方式;(2)信息系統管理者的名稱、地址、聯系辦法;(3)不提供個人信息可能出現的后果;(4)個人信息主體的權利;(5)個人信息主體的投訴渠道等。
第二十四條【間接收集個人信息】信息系統管理者一般不應在個人信息主體不知情、未參與的情況下采取技術手段間接收集個人信息,特殊情況必須間接收集個人信息時,應符合第十九條規定的條件或法律法規政策有明確的規定。
第二十五條【未成年人個人信息收集】信息系統管理者不應收集未滿14周歲未成年人的個人信息,收集14-18周歲未成年人信息時,應征得未成年人家長的同意。第六章個人信息委托加工
第二十六條【信息加工委托的前提】信息系統管理者收集個人信息后需委托第三方對個人信息進行加工的,應在收集前向個人信息主體說明。
第二十七條【信息加工委托的要求】信息系統管理者委托第三方對個人信息進行加工時,應確保第三方具有不低于自身的信息安全保護水平,并且應通過合同明確第三方的個人信息保護責任。
第二十八條【加工轉移過程中的安全要求】信息系統管理者在向接受委托加工的第三方轉移個人信息時,應保證轉移過程中的個人信息安全。
第二十九條【信息加工者的責任】接受委托的第三方應按照法律法規的規定、本指南的要求和委托者的合同要求,采取必要的技術手段和管理措施,保障個人信息在加工過程中的安全。
第三十條【加工完成后銷毀】接受委托的第三方完成個人信息加工任務并移交給委托者后,應自行刪除和銷毀相關個人信息。法律法規有規定或合同有約定的,從其規定或約定。第七章個人信息轉移
第三十一條【個人信息轉移的一般要求】信息系統管理者收集個人信息后一般不應向其他機構轉移,如需轉移應當在收集時向個人信息主體說明轉移的目的、轉移的對象,并獲得個人信息主體明示同意。法律法規或政策對個人信息的轉移有明確規定的,從其規定。
第三十二條【信息轉移者的責任】信息系統管理者向其他機構轉移個人信息時,應確保個人信息的接收者具有不低于自身的信息安全保護水平,應保證轉移過程中的個人信息安全。
第三十三條【限制向國外轉移】未經個人信息主體的明示同意,信息系統管理者不應將個人信息轉移到國外。法律法規另有規定或政策另有要求的除外。第八章個人信息披露、公開、使用、銷毀或刪除
第三十四條【信息披露】信息系統管理者應將收集的個人信息限定在收集時告知個人信息主體的范圍之內,不應向其他機構披露相關個人信息。
第三十五條【公開個人信息】未經個人信息主體明示同意,信息系統管理者不應公開其處理的個人信息。第三十六條【使用個人信息】個人信息使用應限于收集個人信息時告知的目的,無法律法規的明確規定或個人信息主體的明確授權,不應超出目的使用個人信息。
第三十七條【網站個人信息管理】未經個人信息主體同意,信息系統管理者不應在網站上發布未公開的個人信息。應個人信息主體要求,網絡經營者或管理者應及時刪除個人信息。刪除個人信息可能會影響到公安機關的調查取證時,信息系統管理者應采取適當的信息保全措施。
第三十八條【個人信息銷毀或刪除】個人信息使用完成后原則上應刪除或銷毀。如果需要繼續保留個人信息,應對相關個人信息進行匿名處理。
法律法規另有規定或個人信息主體另有授權的,從其規定或授權。第三十九條【個人信息修改和補充】個人信息主體發現其個人信息有誤并要求修改時,信息系統管理者應查驗相關信息,并在核對正確后修改和補充相關信息。第九章個人信息管理
第四十條【管理的一般要求】信息系統管理者利用信息系統處理個人信息的,應制定個人信息保護政策或方針,建立個人信息管理制度,落實個人信息管理責任,加強個人信息管理,規范個人信息處理活動。第四十一條【機構要求】信息系統管理者應指定專門機構或人員負責內部的個人信息保護工作,接受個人信息主體的投訴與質詢。
第四十二條【技術手段要求】信息系統管理者應采取必要的技術手段,保護個人信息的安全,確保但不限于以下目標:
(1)防止對個人信息處理場所和個人信息存儲介質的未授權訪問、損壞和干擾;(2)處理個人信息時,應保證信息系統持續穩定運行;(3)保證個人信息在信息系統中的保密性、真實性和完整性。
第四十三條【信息查詢要求】信息系統管理者在個人信息主體提出查詢請求時,應如實和免費地告知請求人有關其個人信息,除非告知信息的成本明顯過于高或者請求人請求次數明顯過于頻繁。
第四十四條【風險管理要求】信息系統管理者應加強個人信息風險管理,識別、分析、評估潛在的風險因素,制定風險應對策略,采取風險控制措施,監控風險變化。
第四十五條【應急處理要求】信息系統管理者應對個人信息處理過程中可能出現的泄露、丟失、損壞、篡改、不當使用等事件制定預案,采取相應的預防和應對措施。
第四十六條【教育培訓要求】信息系統管理者應制定個人信息保護的教育培訓計劃并組織落實。第四十七條【內控機制要求】信息系統管理者應建立個人信息保護的內控機制,定期開展檢查,并形成檢查評價報告。
第四十八條【持續改善要求】信息系統管理者應建立持續完善機制,不斷改進信息保護狀況,提高信息保護的水平。第十章附則
第四十九條【實施日期】本指南自發布之日起實施。
第五十條【本指南的解釋】本指南由工業和信息化部負責解釋。相關鏈接
? ? ? 部委 相關機構 合作媒體
中華人民共和國中央人民政府市住房城鄉建設委工業和信息化部國家發展和改革委員會公安部建設部國家工商行政管理總局
教育部交通部國家稅務總局國家廣播電影電視總局國家統計局體育總局海關總署新聞出版總署煙草局
地址:北京市海淀區紫竹院路66號賽迪大廈12/13/14層
傳真:(010)88559333 服務電話:(010)88559238/9239(010)88559372/9373 Copyright 2000-2011 CCIDnet.All rights reserved.
第五篇:個人信息保護
保護個人客戶信息 有效防范金融詐騙
近年來,關于銀行客戶個人信息屢屢外泄的新聞不斷出現在各大媒體報道中,這類重要信息管理缺失行為不僅給客戶帶來經濟和人身危害,也極大的影響到商業銀行社會公信力的塑造。應該看到,各類商業銀行都建立了完善的客戶信息保密制度,通過技術和政策支持也規避了部分泄密問題,但客戶信息失密事件屢見不鮮且利用常規管理方式即可避免風險。如何解決當前存在的客戶信息泄密問題,需要銀行監管部門和商業銀行高管層、各層級管理者認真思考。本文拋開利用計算機技術竊密犯罪因素,僅根據“銀行――社會中介――客戶信息需求方”的泄密通道,通過問題描述和現狀反思,圍繞強化銀行員工思想政治教育、建立聲譽約束的外部監管機制,以及建立同業聯盟的信息公開平臺來防范泄密和詐騙事件的發生。
一、履職過程中存在的泄密行為
假設銀行的客戶信息保密制度設計是沒有瑕疵的,在此基礎上所存在的問題可歸納為以下三個方面。
(一)銀行部分人員的風險意識淡薄
金融機構向社會大眾提供負債、資產、中間業務和其他新興業務,在提供服務的過程中掌握了大量的個人客戶信息,個人金融信息和個人客戶信息必然成為不法之徒追逐利用的目標,其中,最有可能成為失密信息大量使用重災區的是資產類業務。如個人住房貸款、個人消費貸款,尋求該信貸業務的客戶會被社會中介重點關注,他們的個人信息也成為市場其他產品(如家居類產品、裝修、保險等)供應者的商業資源。部分銀行員工在風險意識、保密意識淡薄的情況下,將客戶信息發布出去。發布方式可能是口述、紙質方式、電子郵件、不當處理的垃圾等。
(二)銀行部分人員的利益偏好使然
在現代商業社會客戶信息已成為重要的經濟資源,對該信息的壟斷性獲取將為賣方提供商機。由此,客戶信息需求方為了獲得這種商機,便有意愿通過商品交換形式來求助于社會中介,而社會中介在人際關系處理和商品交易原則下,便可能獲得目標客戶的銀行信息。不難看出,這表現為銀行部分人員與社會中介之間的利益交換關系。
(三)銀行部分人員與中介勾結
金融業競爭日趨激烈,大部分銀行將業務指標與員工收入緊密掛鉤,為完成或超額完成分配的業務指標,獲取薪金收入或業務獎勵,部分員工有意無意地放寬保密規定,為協助中介達成交易,不惜提供客戶信息、為中介補充客戶信息。
二、泄密行為反思
上述泄密行為,為我們進行對策研究提供了方向。然而,商業銀行管理層只能規范銀行內部的信息管理活動,卻無法約束社會中介、客戶信息需求方。這就意味著,要使得對策更具有實效性還要依賴于全社會的參與,共同遵守和保護客戶隱私。
(一)針對銀行內部的現狀反思
客戶信息泄密現象發端于銀行。因此,首先需要從規范銀行涉密人員的行為操守開始。由于存在著信息不對稱現象,商業銀行管理者難以及時、準確把握關鍵人員行為的合規性,因而解決監管缺位成為對策構建的出發點之一。事實證明,依靠監管人員的跟蹤監督是不現實的,需要從組織文化和外部壓力的構建著手。
(二)針對銀行外部的現狀反思
盡管社會中介和客戶信息需求方的行為難以被銀行約束,但在商業社會中銀行應充分發揮自身的網絡資源,通過限制和懲戒他們的銀行業務來給予威懾。所謂銀行業務可理解為,中介組織和客戶信息需求方與商業銀行間的業務往來。
三、反泄密行為的對策
為防止泄密行為引發的欺詐事件,可從三個方面著手。
(一)強化銀行員工的思想政治教育
無論是國有控股商業銀行還是其他股份制銀行,都應強化組織內部的思想政治教育。在開展該項工作時應改變傳統的“空對空”模式,通過案例教學促使銀行員工能夠清楚地知道泄露客戶信息對社會的危害、對銀行本身的危害,以及對自身職業生涯的影響。只有這樣,才能建立起與員工切身利益相聯系的自覺行為。
(二)樹立銀行員工安全保密意識
網絡信息時代,發生客戶個人信息泄露事件,不僅會給客戶造成較大損失,也會給銀行帶來非常嚴重的法律風險和聲譽風險。樹立銀行員工安全保密意識刻不容緩。通過開展安全保密教育活動,教育員工在公眾場合嚴守商業機密,嚴格遵守“為客戶保密”的原則,并落實安全保密責任制。抓好重點崗位的保密工作,強化崗位責任制,將每一項業務操作置于合規框架下,把信息泄密事件消滅在萌芽狀態。
(三)建立聲譽約束的外部監管機制
對于部分風險意識較弱或具有強烈利益偏好的員工,應在優化跟蹤監管機制的同時,建立起聲譽約束機制,借助銀行員工強調自己在單位內部的口碑和聲譽度的心態,將其本單位在履行職責或者提供服務過程中獲得的公民個人信息,存在信息泄露,如情節嚴重的,移送司法機關處理,如情節較為輕微的,進行經濟處罰,并在職務晉升、職稱聘任上實行一票否決制,進而在他們的心理上構建起一道防線。
(四)建立同業聯盟的信息公開平臺
根據社會中介和客戶信息需求方流動性強、與銀行交易較多的特點,針對他們必然與商業銀行發生正常業務往來的性質,金融機構可以在主管部門的協調下建立起各類商業銀行間的信息共享平臺,利用該平臺及時發布已查獲的社會中介組織、客戶信息需求方關鍵人物的信息,在同行業共享的基礎上對他們進行經濟懲戒。這樣一來,就能對潛在的社會中介組織、客戶信息需求方產生威懾作用,增加他們的犯罪成本,進而從信息需求源頭上中止泄密行為。
為維護客戶合法權益不受侵害,避免客戶個人金融信息泄露對客戶自身財產安全造成不利影響,棗莊滕州支行采取五項措施落實客戶個人金融信息保護工作。一是結合各種詐騙案例對員工進行防客戶信息泄露警示教育。要求員工在辦理業務及在八小時以外,高度重視個人金融信息保護工作,禁止故意或過失泄露客戶金融信息行為發生。二是強化個人信息使用管理。在客戶信息使用上,必須經客戶本人書面授權才可查詢及使用。三是對員工辦公用電腦進行清理,對涉及客戶敏感信息的相關文件進行清理,對確需留存的客戶信息進行加密處理;四是加強對第三方機構巡點人員的管理,嚴禁第三方機構人員接觸我行客戶信息。
一、嚴格落實責任。全行員工均簽訂了《保密承諾書》,嚴格落實保密責任,嚴守職業道德。同時,嚴格執行《中國人民銀行關于銀行業金融機構做好個人金融保護工作的通知》、《中國工商銀行青海省分行個人客戶信息管理實施細則(試行)》等制度要求,對客戶個人金融信息的建立、存儲、維護、應用和管理做到依法合規、安全保密。
二、健全客戶個人信息保護制度。一是制定了個人客戶信息保護措施和個人客戶信息管理的原則,落實了各部門、各崗位管理責任,完善內部監督和責任追究機制。二是加強個人客戶信息管理的權限管理,形成相互監督,相互制約的管理機制。三是嚴格按照《中國工商銀行會計檔案管理辦法》、《中國工商銀行商業秘密保護辦法》等文件規定,切實防止信息泄露或濫用事件的發生。
三、強化安全觀念教育。及時組織員工認真學習《個人存款賬戶實名制規定》、《中國人民銀行關于金融機構進一步做好客戶個人信息保護工作的通知》等文件的學習,使廣大員工充分認識個人客戶信息保護的重要性,進一步認識個人客戶信息泄露和濫用帶來的法律后果,對篡改、違法使用、出售個人客戶信息要承擔相應的法律責任,形成了維護客戶個人客戶信息安全的自覺性,增強了發現和防范信息系統漏洞和缺陷的敏銳度。
點擊咨詢 