第一篇:关于加强个人信息保护立法,为互联网服务保驾护航的提案
关于加强个人信息保护立法,为互联网服务保驾护航的提案
摘要:全国政协十一届五次会议提案第0486号
_________________________________________________________________________
_ 案 由:关于加强个人信息保护立法,为互联网服务保驾护航的提案
审查意见:建议国务院交由主办单位工业和信息化部会同中央外宣办(国务院新闻办),公安部办理
提 案 人:郭为
主 题 词:网络,信息,管理 提案形式:个人提案 内 容:
随着信息网络技术在社会各个领域的广泛应用,信息安全问题日益突出,特别是我国互联网用户数量已超过5亿,增长速度居世界第一。当前,美国等多个国家都在加快信息安全立法进程,而我国现有信息安全立法层级较低、没有形成体系,难以适应信息安全形势发展需要。然而,近期出现了一系列个人信息滥用和个人隐私泄漏的问题,个人信息安全问题再次成为社会关注的焦点。日益凸现的个人信息安全问题呼唤加快个人信息安全立法。
为此,建议如下:
1、加快个人信息安全及隐私保护的相关立法工作
公民个人信息包含潜在的商业价值,一旦被恶意获取,社会危害大。建议加快个人信息安全立法促使相关机构及企业对用户的数据信息完整性保护、隐私权保护提出严格的要求。其中,政府部门作为公民个人信息最大的拥有者,应高度重视在个人信息应用方面的管理,一旦发生政府部门泄露个人隐私的事项,一定要严肃处理,以表明政府保护个人隐私的决心。为公民网上活动和互联网产业发展提供良好的法律环境。
2、立法应该建立一套符合中国国情的网络公民身份体系并逐步推动网络实名制的真正实施。
欧盟、美国、韩国、新加坡等国家政府都在加紧制定本国的网络身份战略,我国也应当着手建立起自己的网络公民身份体系,借鉴我国金融信用体系的经验,由政府设立专门部门进行主导和管理,建立统一的公民身份标准、网络身份标准及各项管理制度,为互联网相关政务服务、公共服务和商业服务的安全有效开展奠定基础。
另外,实名制是未来网络世界的大势所趋,是网络诚信体系建立的基础。为此应当首先通过立法保护实名信息的安全,避免公民因提供实名信息而受到利益侵害;其次,应充分发挥互联网企业的作用,鼓励企业提供互联网服务时采取用户实名制,从而减少交易成本,提升网络诚信;最后,要加强网络实名制的社会讨论与宣传,引导公众对网络实名制的思考和参与,最终形成统一认识。
3、立法应该建立信息安全产品安全审查和管理制度 鉴于我国高端防火墙、操作系统、云平台等信息关键技术及相关产品在很大程度上依赖进口,存在严重的安全隐患,立法应该建立信息安全产品安全审查和管理制度,严格控制带有安全隐患的产品进入政府供应链。同时,政府应加大力度支持国内相关核心技术及产品研发和应用。
4、应加大防御监管机制的建设并修订相关法律
信息安全的有效建立不仅仅在于技术与产品,而在于一整套主动的防御措施,建议针对黑客行为等网络安全威胁,需要加快修订法律、量化定罪量刑标准,加强网络犯罪的打击力度。
来源:中国政协网
第二篇:关于重视计算机信息安全和个人信息保护,完善立法加强监管的提案
关于重视计算机信息安全和个人信息保护,完善立法加
强监管的提案
摘要:全国政协十一届四次会议提案第1894号
_________________________________________________________________________
_ 案 由:关于重视计算机信息安全和个人信息保护,完善立法加强监管的提案 审查意见:建议国务院交由工业信息部,公安部办理 提 案 人:侯欣一,张穹,刘白驹,李君如 主 题 词:计算机,信息,安全,管理 提案形式:个人联名 内 容:
一、互联网信息服务产业发展迅猛,给信息安全提出了严峻的挑战
近十多年来我国互联网产业快速发展,已经应用深入到我国政治、经济和社会文化生活的各个领域。到2009年,我国互联网用户已达4.2亿,跃居世界第一。以阿里巴巴、腾讯、百度等为代表的中国互联网企业已成为具有国际影响的品牌。互联网产业的发展在拉动内需,促进就业,推动产业结构调整,缩小我国服务业与发达国家服务业发展差距方面发挥着重要的作用。同时不容回避的是互联网的出现也给信息安全和个人隐私的保护带来了极大的挑战。首先,网络信息技术便利了对个人的监控和搜索,个人在网络上的一举一动都可以随时被记录下来,这和前互联网时代形成了鲜明的对比。其次,大型电子数据库的出现使得搜集、整理、传输、加工信息变得更加便利,而且几乎可以永久保存,不断再现。这就使得一些商业公司具备了大规模收集个人和企业信息的技术条件,尤其是一些装机量庞大的客户端软件提供商,就掌握了数以亿计的个人在网络上留存的信息,如果不严格加以规范和监管,一旦其所收集的用户信息被泄露或滥用,后果不堪设想。
据报道,2010年元旦前夕,北京某网络安全公司根据用户举报,发现GoogleInc.(即谷歌公司)服务器上存在一个巨大的用户隐私信息数据包(通过谷歌搜索引擎可以搜索到),经过该公司对隐私数据包的分析,确认该数据包来自一个域名为国内某装机量达数亿的安全产品提供商的官方服务器。这个事件明显暴露了我们在互联网个人信息保护上存在的巨大隐患,凸显立法和相关制度的缺失。
(一)计算机信息系统安全软件产品监管法规滞后
目前,与计算机信息系统安全有关的行政法规只有国务院在1994年颁布的《计算机信息系统安全保护条例》、1997年公安部依据该条例制定的《计算机信息系统安全专用产品检测和销售许可证管理办法》以及2009年工业与信息化产业部颁布的《软件产品管理办法》。《计算机信息系统安全保护条例》原则性授权有关部门制定互联网安全产品监管规范,但并未就如何监管做出实质性规定。《软件产品管理办法》虽然提及了软件的检测标准,但只是从鼓励软件产业发展的角度制定的具体规范。
实质上,目前我国监管防病毒产品的规范只有公安部的《计算机信息系统安全专用产品检测和销售许可证管理办法》。但该管理办法颁布于10多年前,对计算机信息系统安全产品采取的是静态监管的方式,即安全产品在销售之前需要进行检测,但目前安全产品的升级、更新周期非常短暂,且大都通过互联网直接发售,并且很多企业都陆续推出了“云安全”技术。客观上,安全厂商已将重心从“产品”转向了“服务”,这种业务模式的变化使得安全厂商近乎完全脱离了原来的监管体系,静态的监管方式已根本无法满足对安全服务的全面动态监督需求。
(二)相关制度的缺失致使政府监管明显缺位,所谓的监管也只是流于形式,对企业没有任何威慑力
据了解,在前述泄密事件发生后第一时间工信部即接到了举报,但工信部因受其职责权限的限制,也只能要求该安全产品提供商加强信息保管措施,却不能采取任何处罚措施。如此的后果是个别厂商仍然可以肆意忌惮地收集和回传用户信息,这种状况如不能及时有效地被遏制,必然将会引发更为严重的社会公共事件。
(三)互联网信息安全立法缺位
计算机信息系统和互联网只是传统违法或犯罪行为得以实施的新的手段和方式,惩处这些违法、犯罪行为已经成为维护安全的迫切需要,但是针对网络新技术环下的信息安全保护方面的专门法律规范却一直没有出台。2010年3月十一届全国人大三次会议期间,有92名人大代表在3个议案中提出:鉴于网络信息安全问题日益突出,通过网络破坏信息系统,传播淫秽、色情、赌博、暴力等信息,窃取信息、名誉侵权等行为屡禁不止,严重扰乱社会秩序,影响国家信息安全,建议制定加快信息安全立法。
二、为了维护产业健康发展与信息安全,亟待对现行法律制度进行完善,健全对安全产品的监管
必须看到,目前发生在互联网安全行业的监管缺陷以及一再发生的网络泄密事件,损害的已不只是个别用户的利益,如果任由其蔓延,互联网行业将失去用户的信任,反过来对互联网产业的进一步发展构成制约。
有鉴于此,国家有关部门的及时介入,监管制度的完善,监督力度的加大,以及加大对个别企业恶性竞争行为的打击力度显得非常必要。此外,还应加快制定信息安全法律及配套制度,健全行政监督机制,并积极引导建立行业自律等,为中国互联网产业的健康发展创造一个良好的法制环境。具体建议如下:
(一)针对工信部的建议
1.依法查处违法行为
建议主动履行部门职责,及时对个别安全产品厂商无视法律规定造成用户信息泄露的企业进行调查和严厉处罚,明确提出整改措施;
2.建立诚信公示制度
建议建立企业诚信经营档案系统以及诚信信息的公示制度;积极配合相关部门做好计算机信息系统安全产品行业的市场准入管理。比如与工商行政管理机关一起建立计算机信息系统安全产品行业的企业诚信经营与行业声誉等信息管理机制,与公安部系统进行必要的衔接,为计算机信息系统安全产品行业的市场准入许可,提供参考条件,为安全软件企业与从业人员市场退出机制的建立完善提供支撑。
3.抓紧完善《信息安全条例》,争取早日出台。
(二)针对公安部的建议
1.完善产品的检测与管理机制
根据法律法规或有关授权规定,尽快完善计算机信息系统安全产品/服务、互联网安全产品/服务的管理规范,主要包括安全产品/服务的技术评测、评级机制,安全产品/服务的分类登商备案机制,安全产品/服务的重要信息披露机制,与信息安全密切相关的信息沟通机制,安全产品代码的管理机制等。
2.建立安全产品源代码备案制度
尽快建立安全产品源代码备案制度,设立专门监管委员会,负责安全产品信息(包括缺陷、漏洞等)、云查杀服务的病毒库、服务器指令的记录、披露,加强安全产品/服务的透明化和公平性;
3.建立行业管理规范与处理机制
尽快建立计算机信息系统安全产品/服务行业管理规范,产要包括建立安全厂商间纠纷的快速处理机制,安全厂商诚信档案与公示机制,加大对安全产品/服务的日常监督以及违法行为的行政处罚力度等。
(三)针对立法部门的建议
1.全国人大应尽快出台《个人信息保护法》,加强对个人信息保护
通过立法形式保障个人信息安全是国际通行做法,要在立法中明确谁有权搜集用户信息,安全软件产品和服务提供商在对个人和企业电脑提供安全防护和保障时如果不得不触碰到个人和企业在电脑中的数据和信息时应该遵循什么样的标准和要求,如何监管和谁来监管安全软件厂商收集个人和企业信息的行为,以及如何保障安全厂商收集的信息的安全和不被滥用等等。
2.国务院法制办应尽快修订《计算机信息系统安全保护条例》
明确计算机信息系统安全产品和服务的提供者行为规范,加大对违法行为的处罚力度增加违法成本,引入市场退出机制。明确规定尊重用户的选择权与知情权,未经用户同意不得收集和回传用户信息。
3.尽快修订《中华人民共和国治安管理处罚法》
通过修订《中华人民共和国治安管理处罚法》完善扰乱公共秩序的行为和处罚的相关规定。比如,在第二十九条中增加如下内容为第(五)项:违反国家规定干扰、屏蔽、阻碍、卸载用户的计算信息系统安全产品,影响计算机用户的信息系统安全的。
来源:中国政协网
第三篇:智能移动终端公共服务平台为个人信息提供保护
智能移动终端公共服务平台为个人信息提供保护
随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显。与此同时,滥用个人信息的现象随之出现。近年来,个人信息泄露事件频发,并呈现迅猛发展的态势,2011年底中国互联网更是遭遇了史上最大规模的用户信息泄露事件,多家大型网站的用户数据被泄露,几千万用户账号和密码被公开,给社会秩序和人民切身利益造成严重危害。如何合理利用和有效保护个人信息已成为政府、企业、个人和社会各界广泛关注的热点问题。
个人信息保护由来已久
年 “个人信息保护”纳入工业和信息化部重点工作范畴,工业和信息化部信息安全协调司已续四年委托中国软件评测中心开展相关研究和测评工作;2009年,工业和信息化部杨学山副部长在大连个人信息保护试点工作现场交流会上,要求全面推进个人信息保护工作,此次大会上,来自全国30多家省市的代表讨论了由中国软件评测中心编制的《个人信息保护规范》(草案); 2010年3月15日,在工业和信息化部指导下,由中国电子信息产业发展研究院主办,中国软件评测中心、北京赛迪网信息技术有限公司共同承办的“第一届中国网站个人信息安全大会”在举办。来自工业和信息化部有关司局的领导,国家信息中心、中国电子学会、中国社会科学院、北京信息产业协会等单位的专家学者以及电子商务、招聘、婚恋、游戏等领域的被测网站代表共150余人参加了会议。
年,在信息安全标准委员会的指导下,由中国软件评测中心牵头制定了国家标准《信息安全技术 公共及商用服务信息系统个人信息保护指南》(全国信息安全标准化技术委员会2011年国家标准编制计划,编号:TC260-BZZXD-WG7-2011018),该标准旨在提高个人信息保护意识,促进个人信息的合理利用,指导和规范利用信息系统处理个人信息的活动,从而推动我国信息服务产业个人信息保护体系的建立。该标准已于12月上旬通过投票表决,目前已进入送审阶段。在“指南”基础上,信息系统个人信息保护标准体系中其它技术、管理和行业标准也已进入计划制定阶段。
年5月,受工业和信息化部信息安全协调司委托,中国软件评测中心邀请个人信息安全相关专家,组成评测专家组,根据国家标准《信息安全技术 公共及商用服务信息系统个人信息保护指南》内容,研究制定了2011年互联网网站个人信息保护政策测评方案和测评指标,并选取电子商务、论坛博客、银行、保险、婚恋、招聘、游戏七类共105家网站进行了个人信息保护政策测评,整个评测工作历经6个月,测评结果整理为《2011年网站个人信息保护政策测评报告》。同时,中国软件评测中心与北京大学互联网安全技术实验室合作,选取Android手机各类热门软件对其个人信息安全状况进行了测试评估,并结合测试结果对当前Android手机软件用户隐私信息安全状况进行了分析形成《2012年Android手机软件个人信息安全报告》。
年3月15日,中国软件评测中心将以“掌握行业动态,增强隐私保护”为主题,举办“2012中国个人信息安全大会”。本届大会得到工业和信息化部领导的支持与指导,是目前国内首屈一指的个人信息保护专题盛会。本届大会诚邀相关行业主管部门、领域专家、参评企业等各界来宾与会,为帮助企业洞察政策导向、参与标准研讨、了解行业个人信息保护态势提供良好的互动交流平台。
智能移动终端公共服务平台提供技术支撑
智能移动终端的个人信息保护具有3个特点:首先,用户基数大,根据CNNIC统计,2011年底中国手机网民数3.56亿;其次,移动互联网应用日益丰富,手机上网、手机支付、手机炒股、手机邮箱和移动商务等业务层出不穷,终端和个人生活的关系日益密切;第三,移动互联网领域普遍采用后向收费模式,应用推广通常是通过应用商店直接在开发者和用户之间发生,缺少第三方质量保障。由此带来了隐私泄露、恶意扣费、涉黄涉非、破坏系统、远程控制等一系列问题,损害了消费者权益,影响了产业的健康发展,同时也给国家的信息安全带来了威胁。个人信息保护是中国软件评测中心在智能移动终端领域关注的众多问题之一。
作为智能移动终端广泛使用的Android系统,由于系统开放性强,众多企业将其作为优先选择,最近几年市场份额上升很快。此外,由于Android系统的开放性,可以便捷地加载第三方应用,应用的质量又参差不齐,导致Android应用的质量问题成为目前业界关注的焦点。对Android系统进行评测只是中国软件评测中心的第一步,未来他们将逐步向IOS、Windows Mobile等系统拓展。
作为工信部电子发展基金支持的第三方公共服务平台--智能移动终端软件公共服务平台是目前中国软件评测中心承建的众多公共服务平台之一,其主要职能定位有四个方面:
第一,作为工信部的一类科研事业单位,首先要做好政府主管部门的决策支撑和技术支撑服务。
第二,面向产业和市场,面向应用软件商店、应用开发企业和个人、终端用户等,提供第三方应用质量测评服务。
第三,在应用开发者和终端用户之间搭建桥梁,提供优秀应用推广服务,营造脱颖而出的氛围,促进产业健康发展。
第四,提供资源共享服务,开放地集成研究院所、安全企业的研究成果,为产业和市场提供开放式的服务。
第四篇:13 电信和互联网用户个人信息保护规定
电信和互联网用户个人信息保护规定
第一章 总则
第一条 为了保护电信和互联网用户的合法权益,维护网络信息安全,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规,制定本规定。
第二条 在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动,适用本规定。
第三条 工业和信息化部和各省、自治区、直辖市通信管理局(以下统称电信管理机构)依法对电信和互联网用户个人信息保护工作实施监督管理。
第四条 本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
第五条 电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。
第六条 电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。
第七条 国家鼓励电信和互联网行业开展用户个人信息保护自律工作。
第二章 信息收集和使用规范
第八条 电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。第九条 未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。
电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。
电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。
电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。
法律、行政法规对本条第一款至第四款规定的情形另有规定的,从其规定。
第十条 电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十一条 电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。
第十二条 电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起十五日内答复投诉人。
第三章 安全保障措施
第十三条 电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失:
(一)确定各部门、岗位和分支机构的用户个人信息安全管理责任;
(二)建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度;
(三)对工作人员及代理人实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施;
(四)妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施;
(五)对储存用户个人信息的信息系统实行接入审查,并采取防入侵、防病毒等措施;
(六)记录对用户个人信息进行操作的人员、时间、地点、事项等信息;
(七)按照电信管理机构的规定开展通信网络安全防护工作;
(八)电信管理机构规定的其他必要措施。
第十四条 电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告,配合相关部门进行的调查处理。
电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估;影响特别重大的,相关省、自治区、直辖市通信管理局应当向工业和信息化部报告。电信管理机构在依据本规定作出处理决定前,可以要求电信业务经营者和互联网信息服务提供者暂停有关行为,电信业务经营者和互联网信息服务提供者应当执行。
第十五条 电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。
第十六条 电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患。
第四章 监督检查
第十七条 电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。
电信管理机构实施监督检查时,可以要求电信业务经营者、互联网信息服务提供者提供相关材料,进入其生产经营场所调查情况,电信业务经营者、互联网信息服务提供者应当予以配合。
电信管理机构实施监督检查,应当记录监督检查的情况,不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动,不得收取任何费用。
第十八条 电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十九条 电信管理机构实施电信业务经营许可及经营许可证年检时,应当对用户个人信息保护情况进行审查。
第二十条 电信管理机构应当将电信业务经营者、互联网信息服务提供者违反本规定的行为记入其社会信用档案并予以公布。
第二十一条 鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度,引导会员加强自律管理,提高用户个人信息保护水平。
第五章 法律责任
第二十二条 电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以下的罚款。
第二十三条 电信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下的罚款,向社会公告;构成犯罪的,依法追究刑事责任。第二十四条 电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的,依法给予处理;构成犯罪的,依法追究刑事责任。
第六章 附则
第二十五条 本规定自2013年9月1日起施行。
中华人民共和国工业和信息化部
二〇一三年六月二十八日
第五篇:《电信和互联网用户个人信息保护规定》解读
《电信和互联网用户个人信息保护规定》解读
2013年7月16日,工业和信息化部公布了《电信和互联网用户个人信息保护规定》(中华人民共和国工业和信息化部令第24号)。记者就《规定》采访了工业和信息化部政法司巡视员李国斌,请他对《规定》进行了解读。
记者:近日,工业和信息化部出台了《电信和互联网用户个人信息保护规定》,请问《规定》出台的意义是什么?
李国斌:近年来,我国电信和互联网行业快速发展,新技术、新应用层出不穷,对促进经济社会发展起到了积极的作用。与此同时,用户个人信息的泄露风险和保护难度不断增大,加强用户个人信息保护立法成为社会广泛关注的问题。
出台《规定》,可以进一步完善电信和互联网行业个人信息保护制度。目前,部分电信业务经营者、互联网信息服务提供者对用户个人信息安全重视不够,安全防护措施不完善,管理制度不健全,信息安全责任落实不到位,需要进一步完善用户个人信息保护法律制度,规范电信服务、互联网信息服务过程中收集、使用用户个人信息的活动。
出台《规定》,也是贯彻落实全国人大常委会《关于加强网络信息保护的决定》(以下简称《决定》)的需要。贯彻执行好《决定》有关收集、使用个人信息的制度,需要出台相关配套规定。制定《规定》,进一步明确电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施等,是落实全国人大常委会《决定》规定的制度和措施,切实保护用户合法权益的要求。
记者:您能否介绍一下《规定》的制定过程?
李国斌:2012年5月,工业和信息化部启动了《规定》立法研究和起草工作。在起草过程中,我们赴吉林、广东、四川等地进行了调研,多次书面征求了部机关相关司局、各省(区、市)通信管理局、基础电信企业和互联网企业对《规定(征求意见稿)》的意见,组织召开了省级通信管理局、基础电信企业和互联网企业参加的立法座谈会,并通过国务院法制办的“中国政府法制信息网”和我部门户网站向社会公开征求了意见。经征求意见,社会各方面对制定《规定》给予了积极的肯定,没有原则性的不同意见。在充分听取各方面意见并进一步完善有关制度的基础上,我们形成了《规定(草案)》。
2013年6月28日,我部第2次部务会议审议通过了《规定》。7月16日,工业和信息化部第24号令公布了《规定》。《规定》将于9月1日生效。
记者: 您能否介绍一下《规定》关于用户个人信息保护管理工作的定位?
李国斌:全国人大常委会《决定》对“公民个人电子信息”做了界定,并明确了信息收集、使用的原则和相关规则。
目前,各行业普遍存在收集、使用个人信息的情况,相应的信息保护工作也涉及到众多的部门,我部并不负责管理所有的个人信息。《规定》依据《决定》的有关规定,立足我部电信和互联网行业管理职责,以“概括加列举”的方式规定了由我部负责监督管理的用户个人信息的范围,即:电信业务经营者、互联网信息服务提供者在提供服务的过程中收集的能够识别用户的信息以及用户使用服务的信息,包括用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
记者:您能否介绍一下《规定》的主要内容?
李国斌:《规定》共六章、二十五条,主要规定了如下内容:
(一)电信和互联网用户个人信息的保护范围。《规定》依据全国人大常委会《决定》的有关规定,明确要求保护“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”。
(二)用户个人信息收集和使用原则。《规定》根据全国人大常委会《决定》的规定,要求电信业务经营者、互联网信息服务提供者收集、使用用户个人信息应当遵循合法、正当、必要的原则,并对用户个人信息的安全负责。
(三)用户个人信息收集和使用规则。《规定》要求电信业务经营者、互联网信息服务提供者遵守下列信息收集和使用规则:制定并公布其信息收集和使用的规则;未经用户同意不得收集、使用用户个人信息;明确告知用户其收集、使用信息的目的、方式和范围等事项;不得收集提供服务所必需以外的用户个人信息;在用户终止使用服务后应当停止对用户个人信息的收集和使用,并提供注销号码或账号的服务;不得泄露、篡改、毁损、出售或者非法向他人提供用户个人信息等。
(四)代理商管理。《规定》按照“谁经营、谁负责”、“谁委托、谁负责”的原则,根据民法上的委托代理制度,明确规定由电信业务经营者、互联网信息服务提供者负责对其代理商的个人信息保护工作实施管理。《规定》要求:电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合《规定》有关用户个人信息保护要求的代理人代办相关服务。
(五)安全保障制度。《规定》从岗位责任、管理制度、权限管理、存储介质、信息系统、操作记录、安全防护等方面,明确了电信业务经营者、互联网信息服务提供者应当采取的防止用户个人信息泄露、毁损、篡改或者丢失的措施。与此同时,《规定》对用户个人信息保护情况自查和培训等制度作了相应的规定。
(六)监督检查制度。《规定》要求电信管理机构对用户个人信息保护情况实施监督检查,电信业务经营者、互联网信息服务提供者应当予以配合。《规定》还明确规定电信管理机构在电信业务经营许可和年检中应当审查用户个人信息保护的情况,将电信业务经营者、互联网信息服务提供者违反《规定》的行为记入其社会信用档案。
记者:有人认为,《规定》的处罚力度有限。《规定》在制度设计方面如何解决处罚力度过低的问题的?
李国斌:诚如您所言,在征求意见过程中,确实有意见认为《规定》设定的罚款数额过低,处罚力度过小,不利于惩处和预防侵害用户个人信息的违法行为,建议加大处罚力度。根据《行政处罚法》和国务院的有关规定,部门规章只能设定警告和最高额为三万元的罚款。《规定》遵循了上述规定,对相关违法行为设定了警告和三万元以下的罚款处罚。与此同时,为有效预防和打击相关违法行为,我们还积极创新管理方式,在法律规定的幅度内设定相关处罚的同时,设立了制止违法行为危害扩大的“叫停”制度、“向社会公告”行政处罚的制度和将违法行为“记入社会信用档案”的制度。我们认为,综合运用上述管理制度和处罚措施,能够有效地遏制侵害用户个人信息的违法行为。
来源:中国民商法律网
点击咨询 