第一篇:电信和互联网用户个人信息保护规定(征求意见稿)
电信和互联网用户个人信息保护规定
(征求意见稿)第一章 总则
第一条 为了保护电信和互联网用户的合法权益,维护网络信息安全,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》、《互联网信息服务管理办法》等法律、行政法规,制定本规定。
第二条 在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动,应当遵守本规定。
第三条 工业和信息化部和各省、自治区、直辖市通信管理局(以下统称“电信管理机构”)依法对电信和互联网用户个人信息保护工作实施监督管理。
第四条 本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的能够单独或者与其他信息结合识别用户的信息,包括用户姓名、出生日期、身份证件号码、住址等身份信息以及用户使用服务的号码、账号、时间、地点等日志信息。
第五条 电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。
第六条 电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。
第七条 国家鼓励电信和互联网行业开展用户个人信息保护自律工作。
第二章 信息收集和使用规范
第八条 电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。
第九条 未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。
电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,留存信息的期限,查询、更正信息的渠道以及拒绝提供信息的后果等事项。
电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息使用于其提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。
法律、行政法规对本条第一款至第三款规定的情形另有规定的,从其规定。
第十条 电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十一条 电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不能满足用户个人信息保护要求的代理人代办相关服务。
第十二条 电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起十五日内答复投诉人。
第三章 安全保障措施
第十三条 电信业务经营者、互联网信息服务提供者应当采取以下防止用户个人信息泄露、毁损或者丢失的措施:
(一)确定各部门、岗位和分支机构的用户个人信息安全管理责任;
(二)建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度;
(三)对工作人员实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施;
(四)妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体,采取相应的安全储存措施;
(五)对储存用户个人信息的信息系统实行接入审查,定期进行安全风险评估;
(六)按照电信管理机构的规定采取通信网络安全防护措施;
(七)记录对用户个人信息进行操作的人员、时间、地点、事项等信息;
(八)电信管理机构规定的其他必要措施。
第十四条 电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告,配合相关部门进行的调查处理。
第十五条 电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能及安全责任培训。
第十六条 电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况进行定期自查,记录自查情况,及时消除自查中发现的信息安全问题。
第四章 监督检查
第十七条 电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。
电信管理机构实施监督检查时,可以要求电信业务经营者、互联网信息服务提供者提供相关材料,进入其生产经营场所调查情况,电信业务经营者、互联网信息服务提供者应当予以配合。
电信管理机构实施监督检查,应当记录监督检查的情况。实施监督检查不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动,不得收取任何费用。
第十八条 电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十九条 电信管理机构实施电信业务经营许可及经营许可证年检时,应当对用户个人信息保护情况进行审查。
第二十条 电信管理机构应当将有违反本规定行为的电信业务经营者、互联网信息服务提供者记入其社会信用档案并予以公布。
第二十一条 鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度,引导会员加强自律管理,提高用户个人信息保护水平。
第五章 法律责任
第二十二条 电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以下的罚款。
第二十三条 电信业务经营者、互联网信息服务提供者违反本规定第九条、第十条、第十一条、第十三条、第十四条、第十五条、第十六条、第十七条第二款规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下的罚款;构成犯罪的,依法追究刑事责任。
第二十四条 电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的,依法给予处理;构成犯罪的,依法追究刑事责任。
第六章 附则
第二十五条 本规定自
年 月 日起施行。
第二篇:《电信和互联网用户个人信息保护规定》解读
《电信和互联网用户个人信息保护规定》解读
2013年7月16日,工业和信息化部公布了《电信和互联网用户个人信息保护规定》(中华人民共和国工业和信息化部令第24号)。记者就《规定》采访了工业和信息化部政法司巡视员李国斌,请他对《规定》进行了解读。
记者:近日,工业和信息化部出台了《电信和互联网用户个人信息保护规定》,请问《规定》出台的意义是什么?
李国斌:近年来,我国电信和互联网行业快速发展,新技术、新应用层出不穷,对促进经济社会发展起到了积极的作用。与此同时,用户个人信息的泄露风险和保护难度不断增大,加强用户个人信息保护立法成为社会广泛关注的问题。
出台《规定》,可以进一步完善电信和互联网行业个人信息保护制度。目前,部分电信业务经营者、互联网信息服务提供者对用户个人信息安全重视不够,安全防护措施不完善,管理制度不健全,信息安全责任落实不到位,需要进一步完善用户个人信息保护法律制度,规范电信服务、互联网信息服务过程中收集、使用用户个人信息的活动。
出台《规定》,也是贯彻落实全国人大常委会《关于加强网络信息保护的决定》(以下简称《决定》)的需要。贯彻执行好《决定》有关收集、使用个人信息的制度,需要出台相关配套规定。制定《规定》,进一步明确电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施等,是落实全国人大常委会《决定》规定的制度和措施,切实保护用户合法权益的要求。
记者:您能否介绍一下《规定》的制定过程?
李国斌:2012年5月,工业和信息化部启动了《规定》立法研究和起草工作。在起草过程中,我们赴吉林、广东、四川等地进行了调研,多次书面征求了部机关相关司局、各省(区、市)通信管理局、基础电信企业和互联网企业对《规定(征求意见稿)》的意见,组织召开了省级通信管理局、基础电信企业和互联网企业参加的立法座谈会,并通过国务院法制办的“中国政府法制信息网”和我部门户网站向社会公开征求了意见。经征求意见,社会各方面对制定《规定》给予了积极的肯定,没有原则性的不同意见。在充分听取各方面意见并进一步完善有关制度的基础上,我们形成了《规定(草案)》。
2013年6月28日,我部第2次部务会议审议通过了《规定》。7月16日,工业和信息化部第24号令公布了《规定》。《规定》将于9月1日生效。
记者: 您能否介绍一下《规定》关于用户个人信息保护管理工作的定位?
李国斌:全国人大常委会《决定》对“公民个人电子信息”做了界定,并明确了信息收集、使用的原则和相关规则。
目前,各行业普遍存在收集、使用个人信息的情况,相应的信息保护工作也涉及到众多的部门,我部并不负责管理所有的个人信息。《规定》依据《决定》的有关规定,立足我部电信和互联网行业管理职责,以“概括加列举”的方式规定了由我部负责监督管理的用户个人信息的范围,即:电信业务经营者、互联网信息服务提供者在提供服务的过程中收集的能够识别用户的信息以及用户使用服务的信息,包括用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
记者:您能否介绍一下《规定》的主要内容?
李国斌:《规定》共六章、二十五条,主要规定了如下内容:
(一)电信和互联网用户个人信息的保护范围。《规定》依据全国人大常委会《决定》的有关规定,明确要求保护“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”。
(二)用户个人信息收集和使用原则。《规定》根据全国人大常委会《决定》的规定,要求电信业务经营者、互联网信息服务提供者收集、使用用户个人信息应当遵循合法、正当、必要的原则,并对用户个人信息的安全负责。
(三)用户个人信息收集和使用规则。《规定》要求电信业务经营者、互联网信息服务提供者遵守下列信息收集和使用规则:制定并公布其信息收集和使用的规则;未经用户同意不得收集、使用用户个人信息;明确告知用户其收集、使用信息的目的、方式和范围等事项;不得收集提供服务所必需以外的用户个人信息;在用户终止使用服务后应当停止对用户个人信息的收集和使用,并提供注销号码或账号的服务;不得泄露、篡改、毁损、出售或者非法向他人提供用户个人信息等。
(四)代理商管理。《规定》按照“谁经营、谁负责”、“谁委托、谁负责”的原则,根据民法上的委托代理制度,明确规定由电信业务经营者、互联网信息服务提供者负责对其代理商的个人信息保护工作实施管理。《规定》要求:电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合《规定》有关用户个人信息保护要求的代理人代办相关服务。
(五)安全保障制度。《规定》从岗位责任、管理制度、权限管理、存储介质、信息系统、操作记录、安全防护等方面,明确了电信业务经营者、互联网信息服务提供者应当采取的防止用户个人信息泄露、毁损、篡改或者丢失的措施。与此同时,《规定》对用户个人信息保护情况自查和培训等制度作了相应的规定。
(六)监督检查制度。《规定》要求电信管理机构对用户个人信息保护情况实施监督检查,电信业务经营者、互联网信息服务提供者应当予以配合。《规定》还明确规定电信管理机构在电信业务经营许可和年检中应当审查用户个人信息保护的情况,将电信业务经营者、互联网信息服务提供者违反《规定》的行为记入其社会信用档案。
记者:有人认为,《规定》的处罚力度有限。《规定》在制度设计方面如何解决处罚力度过低的问题的?
李国斌:诚如您所言,在征求意见过程中,确实有意见认为《规定》设定的罚款数额过低,处罚力度过小,不利于惩处和预防侵害用户个人信息的违法行为,建议加大处罚力度。根据《行政处罚法》和国务院的有关规定,部门规章只能设定警告和最高额为三万元的罚款。《规定》遵循了上述规定,对相关违法行为设定了警告和三万元以下的罚款处罚。与此同时,为有效预防和打击相关违法行为,我们还积极创新管理方式,在法律规定的幅度内设定相关处罚的同时,设立了制止违法行为危害扩大的“叫停”制度、“向社会公告”行政处罚的制度和将违法行为“记入社会信用档案”的制度。我们认为,综合运用上述管理制度和处罚措施,能够有效地遏制侵害用户个人信息的违法行为。
来源:中国民商法律网
第三篇:13 电信和互联网用户个人信息保护规定
电信和互联网用户个人信息保护规定
第一章 总则
第一条 为了保护电信和互联网用户的合法权益,维护网络信息安全,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规,制定本规定。
第二条 在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动,适用本规定。
第三条 工业和信息化部和各省、自治区、直辖市通信管理局(以下统称电信管理机构)依法对电信和互联网用户个人信息保护工作实施监督管理。
第四条 本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
第五条 电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。
第六条 电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。
第七条 国家鼓励电信和互联网行业开展用户个人信息保护自律工作。
第二章 信息收集和使用规范
第八条 电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。第九条 未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。
电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。
电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。
电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。
法律、行政法规对本条第一款至第四款规定的情形另有规定的,从其规定。
第十条 电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十一条 电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。
第十二条 电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起十五日内答复投诉人。
第三章 安全保障措施
第十三条 电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失:
(一)确定各部门、岗位和分支机构的用户个人信息安全管理责任;
(二)建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度;
(三)对工作人员及代理人实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施;
(四)妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施;
(五)对储存用户个人信息的信息系统实行接入审查,并采取防入侵、防病毒等措施;
(六)记录对用户个人信息进行操作的人员、时间、地点、事项等信息;
(七)按照电信管理机构的规定开展通信网络安全防护工作;
(八)电信管理机构规定的其他必要措施。
第十四条 电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告,配合相关部门进行的调查处理。
电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估;影响特别重大的,相关省、自治区、直辖市通信管理局应当向工业和信息化部报告。电信管理机构在依据本规定作出处理决定前,可以要求电信业务经营者和互联网信息服务提供者暂停有关行为,电信业务经营者和互联网信息服务提供者应当执行。
第十五条 电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。
第十六条 电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患。
第四章 监督检查
第十七条 电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。
电信管理机构实施监督检查时,可以要求电信业务经营者、互联网信息服务提供者提供相关材料,进入其生产经营场所调查情况,电信业务经营者、互联网信息服务提供者应当予以配合。
电信管理机构实施监督检查,应当记录监督检查的情况,不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动,不得收取任何费用。
第十八条 电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十九条 电信管理机构实施电信业务经营许可及经营许可证年检时,应当对用户个人信息保护情况进行审查。
第二十条 电信管理机构应当将电信业务经营者、互联网信息服务提供者违反本规定的行为记入其社会信用档案并予以公布。
第二十一条 鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度,引导会员加强自律管理,提高用户个人信息保护水平。
第五章 法律责任
第二十二条 电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以下的罚款。
第二十三条 电信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下的罚款,向社会公告;构成犯罪的,依法追究刑事责任。第二十四条 电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的,依法给予处理;构成犯罪的,依法追究刑事责任。
第六章 附则
第二十五条 本规定自2013年9月1日起施行。
中华人民共和国工业和信息化部
二〇一三年六月二十八日
第四篇:个人信息保护指南(征求意见稿)[模版]
个人信息保护指南(征求意见稿)
发布时间:2010-04-24 00:35 来源:作者: 第一章总则
第一条 [目的] 为提高个人信息保护意识,保护个人合法权益,促进个人信息有序利用,指导和规范利用信息系统处理个人信息的活动,制定本指南。
第二条 [适用范围和方式]企事业单位部分或全部采用信息系统进行个人信息处理时,可依据本指南的原则和要求,制定个人信息保护政策、个人信息处理准则或办法,规范本单位的个人信息处理活动。行业协会、标准化组织、第三方机构等可依据本指南的原则和要求,制定个人信息处理自律手则、标准和评估办法等,规范、指导相关单位的个人信息处理活动。
第三条 [不适用范围]本指南不适用于以下情况的个人信息处理活动:
(1)因统计和科学研究需要由统计机构和研究机构匿名进行的个人信息处理;(2)因家庭事务和个人交往需要由自然人进行的个人信息处理;(3)法律法规对个人信息处理有明确规定的其他情形。第四条 [术语定义]本指南中,“个人信息”是指与特定自然人相关、能够单独或与其他信息结合识别该特定自然人的任何信息。“个人信息主体”是指可通过个人信息识别的特定自然人。
“信息处理”是指收集、储存、修改、编辑、整理、汇编、检索、标注、挖掘、转移、披露、公开、传输、交换、删除、销毁等等针对信息所进行的所有行为。
“信息系统”是指为实现信息处理目的,按照一定规则组合并运行的计算机及其配套的设备、设施(含网络)。“收集”是指获取并记录个人信息的行为。
“加工”是指录入、整理、聚合、挖掘、恢复等除收集、转移、使用、销毁或删除之外的一切信息处理行为。“转移”是指将保存或拥有的个人信息移交给其他自然人、法人或组织的行为。
“使用”是指运用个人信息的行为,包括向公众或特定群体披露、在决策中加以考虑、依据个人信息作出决定或决策,依据个人信息实施某种行动或行为等。“销毁”是指从物理上毁灭记录个人信息的载体。
“删除”是指从信息系统和载体上永久清除个人信息并不可恢复。第二章个人信息处理原则
第五条【遵循原则要求】利用信息系统进行个人信息处理,应自觉遵守本指南确定的原则。
第六条【目的明确原则】处理个人信息应具有明确、合法的目的,法律法规没有明确规定或者个人信息主体没有明确授权,不应擅自处理个人信息。
第七条【公开透明原则】处理个人信息之前,应以明确、易懂的方式向个人信息主体告知处理个人信息的目的,处理个人信息的具体内容、个人信息在信息系统中的留存时限、个人信息保护的政策,个人信息主体的权利以及个人信息的使用范围和相关责任人等。
第八条【质量保证原则】应根据处理目的的需要保证个人信息准确、完整,时间敏感的个人信息应处于最新状态。
第九条【安全保障原则】应采取必要的管理措施和技术手段,保护信息系统中的个人信息安全,防止未经授权检索、公开及丢失、泄露、损毁和篡改个人信息。
第十条【合理处置原则】利用信息系统处理个人信息的方式应合理,处理个人信息的内容应与告知个人信息主体的目的相关,不超出目的范围处理个人信息,不应在既定目的实现后超期限保留个人信息。第十一条【个人参与原则】应在个人信息处理的过程中,提供必要的途径和手段,为个人信息主体实现其权利提供便利。
第十二条【责任落实原则】应明确个人信息处理过程中的责任,对不承担相关责任的行为,应建立必要的制度予以追究。
第三章个人信息主体权利保护
第十三条【权利保护要求】利用信息系统处理个人信息时,信息系统管理者应提供必要的措施和手段保护个人信息主体的权利,除非法定原因或维护公共利益、第三方重大利益的需要,不应限制个人信息主体的权利。
第十四条【知情权】个人信息主体向信息系统管理者提出申请了解:(1)是否拥有其个人信息;(2)拥有个人信息的内容;(3)获得其个人信息的来源;(4)处理其个人信息的目的;(5)保护其个人信息的政策和措施;(6)披露或向其他机构提供其个人信息的范围;(7)信息系统管理者的相关信息等时,信息系统管理者应当如实告知。
第十五条【选择权】信息系统管理者向个人信息主体收集其个人信息时,应给予个人信息主体同意或拒绝的机会。
第十六条【更正权】信息系统管理者应提供必要的方法和手段,保证个人信息主体能够检查到信息系统中其个人信息的完整性、准确性,并且在发现错误时进行修改。
第十七条【禁止权】个人信息主体发现信息系统管理者不当处理其个人信息并要求屏蔽、删除或销毁其个人信息时,信息系统管理者应当按照个人信息主体的要求屏蔽、删除或销毁有关个人信息。
第十八条【求偿权】因信息系统管理者的原因导致个人信息泄露或不当使用,给相关个人信息主体造成损害或损失,个人信息主体要求赔偿时,信息系统管理者应当赔偿。第四章个人信息处理的前提条件
第十九条【个人信息处理的前提条件】未经法律法规的明确授权或个人信息主体的明示同意,信息系统管理者不应处理个人信息,除非满足以下条件之一:
(1)履行与个人信息主体签订的合同需要或是为了与个人信息主体缔结合同的需要;(2)履行信息系统管理者的法定职责,且不会对个人信息主体权益造成侵害;
(3)为维护个人信息主体的利益需要,且情况紧急,获得个人信息主体同意客观上不可能或者由于时间耽搁造成的损失过于巨大;
(4)维护公共利益或第三方的重大利益需要,且不会对个人信息主体权益造成侵害;(5)因传输需要,由自动设备进行的自动、瞬时完成的个人信息处理;
(6)处理个人信息主体主动公开的信息,且处理目的不超出个人信息主体主动公开的目的范围。第二十条【特定个人信息的处理】法律法规已明确规定由专门机构处理的特定个人信息,信息系统管理者在未获得行业管理部门批准前,不应擅自处理相关信息。
第二十一条【个人信息公告要求】本指南发布前,信息系统管理者已经存留个人信息的,应当采取适当方式公告其存留的个人信息类别、个人信息主体的规模和范围以及个人信息的使用目的。第五章个人信息收集
第二十二条【直接收集个人信息】信息系统管理者如需使用个人信息,应直接向个人信息主体收集。利用信息系统收集个人信息,应满足以下条件:(1)具有特定、明确、合法的目的;(2)采用合理、适当的方法和手段;
(3)获得个人信息主体的明确同意,或满足第十九条的规定;
第二十三条【信息收集要求】信息系统管理者向个人信息主体收集个人信息前,应采取个人信息主体能够收悉的方式向个人信息主体明确告知如下事项:(1)收集信息的目的、使用范围和收集方式;(2)信息系统管理者的名称、地址、联系办法;(3)不提供个人信息可能出现的后果;(4)个人信息主体的权利;(5)个人信息主体的投诉渠道等。
第二十四条【间接收集个人信息】信息系统管理者一般不应在个人信息主体不知情、未参与的情况下采取技术手段间接收集个人信息,特殊情况必须间接收集个人信息时,应符合第十九条规定的条件或法律法规政策有明确的规定。
第二十五条【未成年人个人信息收集】信息系统管理者不应收集未满14周岁未成年人的个人信息,收集14-18周岁未成年人信息时,应征得未成年人家长的同意。第六章个人信息委托加工
第二十六条【信息加工委托的前提】信息系统管理者收集个人信息后需委托第三方对个人信息进行加工的,应在收集前向个人信息主体说明。
第二十七条【信息加工委托的要求】信息系统管理者委托第三方对个人信息进行加工时,应确保第三方具有不低于自身的信息安全保护水平,并且应通过合同明确第三方的个人信息保护责任。
第二十八条【加工转移过程中的安全要求】信息系统管理者在向接受委托加工的第三方转移个人信息时,应保证转移过程中的个人信息安全。
第二十九条【信息加工者的责任】接受委托的第三方应按照法律法规的规定、本指南的要求和委托者的合同要求,采取必要的技术手段和管理措施,保障个人信息在加工过程中的安全。
第三十条【加工完成后销毁】接受委托的第三方完成个人信息加工任务并移交给委托者后,应自行删除和销毁相关个人信息。法律法规有规定或合同有约定的,从其规定或约定。第七章个人信息转移
第三十一条【个人信息转移的一般要求】信息系统管理者收集个人信息后一般不应向其他机构转移,如需转移应当在收集时向个人信息主体说明转移的目的、转移的对象,并获得个人信息主体明示同意。法律法规或政策对个人信息的转移有明确规定的,从其规定。
第三十二条【信息转移者的责任】信息系统管理者向其他机构转移个人信息时,应确保个人信息的接收者具有不低于自身的信息安全保护水平,应保证转移过程中的个人信息安全。
第三十三条【限制向国外转移】未经个人信息主体的明示同意,信息系统管理者不应将个人信息转移到国外。法律法规另有规定或政策另有要求的除外。第八章个人信息披露、公开、使用、销毁或删除
第三十四条【信息披露】信息系统管理者应将收集的个人信息限定在收集时告知个人信息主体的范围之内,不应向其他机构披露相关个人信息。
第三十五条【公开个人信息】未经个人信息主体明示同意,信息系统管理者不应公开其处理的个人信息。第三十六条【使用个人信息】个人信息使用应限于收集个人信息时告知的目的,无法律法规的明确规定或个人信息主体的明确授权,不应超出目的使用个人信息。
第三十七条【网站个人信息管理】未经个人信息主体同意,信息系统管理者不应在网站上发布未公开的个人信息。应个人信息主体要求,网络经营者或管理者应及时删除个人信息。删除个人信息可能会影响到公安机关的调查取证时,信息系统管理者应采取适当的信息保全措施。
第三十八条【个人信息销毁或删除】个人信息使用完成后原则上应删除或销毁。如果需要继续保留个人信息,应对相关个人信息进行匿名处理。
法律法规另有规定或个人信息主体另有授权的,从其规定或授权。第三十九条【个人信息修改和补充】个人信息主体发现其个人信息有误并要求修改时,信息系统管理者应查验相关信息,并在核对正确后修改和补充相关信息。第九章个人信息管理
第四十条【管理的一般要求】信息系统管理者利用信息系统处理个人信息的,应制定个人信息保护政策或方针,建立个人信息管理制度,落实个人信息管理责任,加强个人信息管理,规范个人信息处理活动。第四十一条【机构要求】信息系统管理者应指定专门机构或人员负责内部的个人信息保护工作,接受个人信息主体的投诉与质询。
第四十二条【技术手段要求】信息系统管理者应采取必要的技术手段,保护个人信息的安全,确保但不限于以下目标:
(1)防止对个人信息处理场所和个人信息存储介质的未授权访问、损坏和干扰;(2)处理个人信息时,应保证信息系统持续稳定运行;(3)保证个人信息在信息系统中的保密性、真实性和完整性。
第四十三条【信息查询要求】信息系统管理者在个人信息主体提出查询请求时,应如实和免费地告知请求人有关其个人信息,除非告知信息的成本明显过于高或者请求人请求次数明显过于频繁。
第四十四条【风险管理要求】信息系统管理者应加强个人信息风险管理,识别、分析、评估潜在的风险因素,制定风险应对策略,采取风险控制措施,监控风险变化。
第四十五条【应急处理要求】信息系统管理者应对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案,采取相应的预防和应对措施。
第四十六条【教育培训要求】信息系统管理者应制定个人信息保护的教育培训计划并组织落实。第四十七条【内控机制要求】信息系统管理者应建立个人信息保护的内控机制,定期开展检查,并形成检查评价报告。
第四十八条【持续改善要求】信息系统管理者应建立持续完善机制,不断改进信息保护状况,提高信息保护的水平。第十章附则
第四十九条【实施日期】本指南自发布之日起实施。
第五十条【本指南的解释】本指南由工业和信息化部负责解释。相关链接
部委 相关机构 合作媒体
中华人民共和国中央人民政府市住房城乡建设委工业和信息化部国家发展和改革委员会公安部建设部国家工商行政管理总局
教育部交通部国家税务总局国家广播电影电视总局国家统计局体育总局海关总署新闻出版总署烟草局
地址:北京市海淀区紫竹院路66号赛迪大厦12/13/14层
传真:(010)88559333 服务电话:(010)88559238/9239(010)88559372/9373 Copyright 2000-2011 CCIDnet.All rights reserved.
第五篇:个人信息保护
保护个人客户信息 有效防范金融诈骗
近年来,关于银行客户个人信息屡屡外泄的新闻不断出现在各大媒体报道中,这类重要信息管理缺失行为不仅给客户带来经济和人身危害,也极大的影响到商业银行社会公信力的塑造。应该看到,各类商业银行都建立了完善的客户信息保密制度,通过技术和政策支持也规避了部分泄密问题,但客户信息失密事件屡见不鲜且利用常规管理方式即可避免风险。如何解决当前存在的客户信息泄密问题,需要银行监管部门和商业银行高管层、各层级管理者认真思考。本文抛开利用计算机技术窃密犯罪因素,仅根据“银行――社会中介――客户信息需求方”的泄密通道,通过问题描述和现状反思,围绕强化银行员工思想政治教育、建立声誉约束的外部监管机制,以及建立同业联盟的信息公开平台来防范泄密和诈骗事件的发生。
一、履职过程中存在的泄密行为
假设银行的客户信息保密制度设计是没有瑕疵的,在此基础上所存在的问题可归纳为以下三个方面。
(一)银行部分人员的风险意识淡薄
金融机构向社会大众提供负债、资产、中间业务和其他新兴业务,在提供服务的过程中掌握了大量的个人客户信息,个人金融信息和个人客户信息必然成为不法之徒追逐利用的目标,其中,最有可能成为失密信息大量使用重灾区的是资产类业务。如个人住房贷款、个人消费贷款,寻求该信贷业务的客户会被社会中介重点关注,他们的个人信息也成为市场其他产品(如家居类产品、装修、保险等)供应者的商业资源。部分银行员工在风险意识、保密意识淡薄的情况下,将客户信息发布出去。发布方式可能是口述、纸质方式、电子邮件、不当处理的垃圾等。
(二)银行部分人员的利益偏好使然
在现代商业社会客户信息已成为重要的经济资源,对该信息的垄断性获取将为卖方提供商机。由此,客户信息需求方为了获得这种商机,便有意愿通过商品交换形式来求助于社会中介,而社会中介在人际关系处理和商品交易原则下,便可能获得目标客户的银行信息。不难看出,这表现为银行部分人员与社会中介之间的利益交换关系。
(三)银行部分人员与中介勾结
金融业竞争日趋激烈,大部分银行将业务指标与员工收入紧密挂钩,为完成或超额完成分配的业务指标,获取薪金收入或业务奖励,部分员工有意无意地放宽保密规定,为协助中介达成交易,不惜提供客户信息、为中介补充客户信息。
二、泄密行为反思
上述泄密行为,为我们进行对策研究提供了方向。然而,商业银行管理层只能规范银行内部的信息管理活动,却无法约束社会中介、客户信息需求方。这就意味着,要使得对策更具有实效性还要依赖于全社会的参与,共同遵守和保护客户隐私。
(一)针对银行内部的现状反思
客户信息泄密现象发端于银行。因此,首先需要从规范银行涉密人员的行为操守开始。由于存在着信息不对称现象,商业银行管理者难以及时、准确把握关键人员行为的合规性,因而解决监管缺位成为对策构建的出发点之一。事实证明,依靠监管人员的跟踪监督是不现实的,需要从组织文化和外部压力的构建着手。
(二)针对银行外部的现状反思
尽管社会中介和客户信息需求方的行为难以被银行约束,但在商业社会中银行应充分发挥自身的网络资源,通过限制和惩戒他们的银行业务来给予威慑。所谓银行业务可理解为,中介组织和客户信息需求方与商业银行间的业务往来。
三、反泄密行为的对策
为防止泄密行为引发的欺诈事件,可从三个方面着手。
(一)强化银行员工的思想政治教育
无论是国有控股商业银行还是其他股份制银行,都应强化组织内部的思想政治教育。在开展该项工作时应改变传统的“空对空”模式,通过案例教学促使银行员工能够清楚地知道泄露客户信息对社会的危害、对银行本身的危害,以及对自身职业生涯的影响。只有这样,才能建立起与员工切身利益相联系的自觉行为。
(二)树立银行员工安全保密意识
网络信息时代,发生客户个人信息泄露事件,不仅会给客户造成较大损失,也会给银行带来非常严重的法律风险和声誉风险。树立银行员工安全保密意识刻不容缓。通过开展安全保密教育活动,教育员工在公众场合严守商业机密,严格遵守“为客户保密”的原则,并落实安全保密责任制。抓好重点岗位的保密工作,强化岗位责任制,将每一项业务操作置于合规框架下,把信息泄密事件消灭在萌芽状态。
(三)建立声誉约束的外部监管机制
对于部分风险意识较弱或具有强烈利益偏好的员工,应在优化跟踪监管机制的同时,建立起声誉约束机制,借助银行员工强调自己在单位内部的口碑和声誉度的心态,将其本单位在履行职责或者提供服务过程中获得的公民个人信息,存在信息泄露,如情节严重的,移送司法机关处理,如情节较为轻微的,进行经济处罚,并在职务晋升、职称聘任上实行一票否决制,进而在他们的心理上构建起一道防线。
(四)建立同业联盟的信息公开平台
根据社会中介和客户信息需求方流动性强、与银行交易较多的特点,针对他们必然与商业银行发生正常业务往来的性质,金融机构可以在主管部门的协调下建立起各类商业银行间的信息共享平台,利用该平台及时发布已查获的社会中介组织、客户信息需求方关键人物的信息,在同行业共享的基础上对他们进行经济惩戒。这样一来,就能对潜在的社会中介组织、客户信息需求方产生威慑作用,增加他们的犯罪成本,进而从信息需求源头上中止泄密行为。
为维护客户合法权益不受侵害,避免客户个人金融信息泄露对客户自身财产安全造成不利影响,枣庄滕州支行采取五项措施落实客户个人金融信息保护工作。一是结合各种诈骗案例对员工进行防客户信息泄露警示教育。要求员工在办理业务及在八小时以外,高度重视个人金融信息保护工作,禁止故意或过失泄露客户金融信息行为发生。二是强化个人信息使用管理。在客户信息使用上,必须经客户本人书面授权才可查询及使用。三是对员工办公用电脑进行清理,对涉及客户敏感信息的相关文件进行清理,对确需留存的客户信息进行加密处理;四是加强对第三方机构巡点人员的管理,严禁第三方机构人员接触我行客户信息。
一、严格落实责任。全行员工均签订了《保密承诺书》,严格落实保密责任,严守职业道德。同时,严格执行《中国人民银行关于银行业金融机构做好个人金融保护工作的通知》、《中国工商银行青海省分行个人客户信息管理实施细则(试行)》等制度要求,对客户个人金融信息的建立、存储、维护、应用和管理做到依法合规、安全保密。
二、健全客户个人信息保护制度。一是制定了个人客户信息保护措施和个人客户信息管理的原则,落实了各部门、各岗位管理责任,完善内部监督和责任追究机制。二是加强个人客户信息管理的权限管理,形成相互监督,相互制约的管理机制。三是严格按照《中国工商银行会计档案管理办法》、《中国工商银行商业秘密保护办法》等文件规定,切实防止信息泄露或滥用事件的发生。
三、强化安全观念教育。及时组织员工认真学习《个人存款账户实名制规定》、《中国人民银行关于金融机构进一步做好客户个人信息保护工作的通知》等文件的学习,使广大员工充分认识个人客户信息保护的重要性,进一步认识个人客户信息泄露和滥用带来的法律后果,对篡改、违法使用、出售个人客户信息要承担相应的法律责任,形成了维护客户个人客户信息安全的自觉性,增强了发现和防范信息系统漏洞和缺陷的敏锐度。