第一篇:个人信息保护指南(征求意见稿)[模版]
个人信息保护指南(征求意见稿)
发布时间:2010-04-24 00:35 来源:作者: 第一章总则
第一条 [目的] 为提高个人信息保护意识,保护个人合法权益,促进个人信息有序利用,指导和规范利用信息系统处理个人信息的活动,制定本指南。
第二条 [适用范围和方式]企事业单位部分或全部采用信息系统进行个人信息处理时,可依据本指南的原则和要求,制定个人信息保护政策、个人信息处理准则或办法,规范本单位的个人信息处理活动。行业协会、标准化组织、第三方机构等可依据本指南的原则和要求,制定个人信息处理自律手则、标准和评估办法等,规范、指导相关单位的个人信息处理活动。
第三条 [不适用范围]本指南不适用于以下情况的个人信息处理活动:
(1)因统计和科学研究需要由统计机构和研究机构匿名进行的个人信息处理;(2)因家庭事务和个人交往需要由自然人进行的个人信息处理;(3)法律法规对个人信息处理有明确规定的其他情形。第四条 [术语定义]本指南中,“个人信息”是指与特定自然人相关、能够单独或与其他信息结合识别该特定自然人的任何信息。“个人信息主体”是指可通过个人信息识别的特定自然人。
“信息处理”是指收集、储存、修改、编辑、整理、汇编、检索、标注、挖掘、转移、披露、公开、传输、交换、删除、销毁等等针对信息所进行的所有行为。
“信息系统”是指为实现信息处理目的,按照一定规则组合并运行的计算机及其配套的设备、设施(含网络)。“收集”是指获取并记录个人信息的行为。
“加工”是指录入、整理、聚合、挖掘、恢复等除收集、转移、使用、销毁或删除之外的一切信息处理行为。“转移”是指将保存或拥有的个人信息移交给其他自然人、法人或组织的行为。
“使用”是指运用个人信息的行为,包括向公众或特定群体披露、在决策中加以考虑、依据个人信息作出决定或决策,依据个人信息实施某种行动或行为等。“销毁”是指从物理上毁灭记录个人信息的载体。
“删除”是指从信息系统和载体上永久清除个人信息并不可恢复。第二章个人信息处理原则
第五条【遵循原则要求】利用信息系统进行个人信息处理,应自觉遵守本指南确定的原则。
第六条【目的明确原则】处理个人信息应具有明确、合法的目的,法律法规没有明确规定或者个人信息主体没有明确授权,不应擅自处理个人信息。
第七条【公开透明原则】处理个人信息之前,应以明确、易懂的方式向个人信息主体告知处理个人信息的目的,处理个人信息的具体内容、个人信息在信息系统中的留存时限、个人信息保护的政策,个人信息主体的权利以及个人信息的使用范围和相关责任人等。
第八条【质量保证原则】应根据处理目的的需要保证个人信息准确、完整,时间敏感的个人信息应处于最新状态。
第九条【安全保障原则】应采取必要的管理措施和技术手段,保护信息系统中的个人信息安全,防止未经授权检索、公开及丢失、泄露、损毁和篡改个人信息。
第十条【合理处置原则】利用信息系统处理个人信息的方式应合理,处理个人信息的内容应与告知个人信息主体的目的相关,不超出目的范围处理个人信息,不应在既定目的实现后超期限保留个人信息。第十一条【个人参与原则】应在个人信息处理的过程中,提供必要的途径和手段,为个人信息主体实现其权利提供便利。
第十二条【责任落实原则】应明确个人信息处理过程中的责任,对不承担相关责任的行为,应建立必要的制度予以追究。
第三章个人信息主体权利保护
第十三条【权利保护要求】利用信息系统处理个人信息时,信息系统管理者应提供必要的措施和手段保护个人信息主体的权利,除非法定原因或维护公共利益、第三方重大利益的需要,不应限制个人信息主体的权利。
第十四条【知情权】个人信息主体向信息系统管理者提出申请了解:(1)是否拥有其个人信息;(2)拥有个人信息的内容;(3)获得其个人信息的来源;(4)处理其个人信息的目的;(5)保护其个人信息的政策和措施;(6)披露或向其他机构提供其个人信息的范围;(7)信息系统管理者的相关信息等时,信息系统管理者应当如实告知。
第十五条【选择权】信息系统管理者向个人信息主体收集其个人信息时,应给予个人信息主体同意或拒绝的机会。
第十六条【更正权】信息系统管理者应提供必要的方法和手段,保证个人信息主体能够检查到信息系统中其个人信息的完整性、准确性,并且在发现错误时进行修改。
第十七条【禁止权】个人信息主体发现信息系统管理者不当处理其个人信息并要求屏蔽、删除或销毁其个人信息时,信息系统管理者应当按照个人信息主体的要求屏蔽、删除或销毁有关个人信息。
第十八条【求偿权】因信息系统管理者的原因导致个人信息泄露或不当使用,给相关个人信息主体造成损害或损失,个人信息主体要求赔偿时,信息系统管理者应当赔偿。第四章个人信息处理的前提条件
第十九条【个人信息处理的前提条件】未经法律法规的明确授权或个人信息主体的明示同意,信息系统管理者不应处理个人信息,除非满足以下条件之一:
(1)履行与个人信息主体签订的合同需要或是为了与个人信息主体缔结合同的需要;(2)履行信息系统管理者的法定职责,且不会对个人信息主体权益造成侵害;
(3)为维护个人信息主体的利益需要,且情况紧急,获得个人信息主体同意客观上不可能或者由于时间耽搁造成的损失过于巨大;
(4)维护公共利益或第三方的重大利益需要,且不会对个人信息主体权益造成侵害;(5)因传输需要,由自动设备进行的自动、瞬时完成的个人信息处理;
(6)处理个人信息主体主动公开的信息,且处理目的不超出个人信息主体主动公开的目的范围。第二十条【特定个人信息的处理】法律法规已明确规定由专门机构处理的特定个人信息,信息系统管理者在未获得行业管理部门批准前,不应擅自处理相关信息。
第二十一条【个人信息公告要求】本指南发布前,信息系统管理者已经存留个人信息的,应当采取适当方式公告其存留的个人信息类别、个人信息主体的规模和范围以及个人信息的使用目的。第五章个人信息收集
第二十二条【直接收集个人信息】信息系统管理者如需使用个人信息,应直接向个人信息主体收集。利用信息系统收集个人信息,应满足以下条件:(1)具有特定、明确、合法的目的;(2)采用合理、适当的方法和手段;
(3)获得个人信息主体的明确同意,或满足第十九条的规定;
第二十三条【信息收集要求】信息系统管理者向个人信息主体收集个人信息前,应采取个人信息主体能够收悉的方式向个人信息主体明确告知如下事项:(1)收集信息的目的、使用范围和收集方式;(2)信息系统管理者的名称、地址、联系办法;(3)不提供个人信息可能出现的后果;(4)个人信息主体的权利;(5)个人信息主体的投诉渠道等。
第二十四条【间接收集个人信息】信息系统管理者一般不应在个人信息主体不知情、未参与的情况下采取技术手段间接收集个人信息,特殊情况必须间接收集个人信息时,应符合第十九条规定的条件或法律法规政策有明确的规定。
第二十五条【未成年人个人信息收集】信息系统管理者不应收集未满14周岁未成年人的个人信息,收集14-18周岁未成年人信息时,应征得未成年人家长的同意。第六章个人信息委托加工
第二十六条【信息加工委托的前提】信息系统管理者收集个人信息后需委托第三方对个人信息进行加工的,应在收集前向个人信息主体说明。
第二十七条【信息加工委托的要求】信息系统管理者委托第三方对个人信息进行加工时,应确保第三方具有不低于自身的信息安全保护水平,并且应通过合同明确第三方的个人信息保护责任。
第二十八条【加工转移过程中的安全要求】信息系统管理者在向接受委托加工的第三方转移个人信息时,应保证转移过程中的个人信息安全。
第二十九条【信息加工者的责任】接受委托的第三方应按照法律法规的规定、本指南的要求和委托者的合同要求,采取必要的技术手段和管理措施,保障个人信息在加工过程中的安全。
第三十条【加工完成后销毁】接受委托的第三方完成个人信息加工任务并移交给委托者后,应自行删除和销毁相关个人信息。法律法规有规定或合同有约定的,从其规定或约定。第七章个人信息转移
第三十一条【个人信息转移的一般要求】信息系统管理者收集个人信息后一般不应向其他机构转移,如需转移应当在收集时向个人信息主体说明转移的目的、转移的对象,并获得个人信息主体明示同意。法律法规或政策对个人信息的转移有明确规定的,从其规定。
第三十二条【信息转移者的责任】信息系统管理者向其他机构转移个人信息时,应确保个人信息的接收者具有不低于自身的信息安全保护水平,应保证转移过程中的个人信息安全。
第三十三条【限制向国外转移】未经个人信息主体的明示同意,信息系统管理者不应将个人信息转移到国外。法律法规另有规定或政策另有要求的除外。第八章个人信息披露、公开、使用、销毁或删除
第三十四条【信息披露】信息系统管理者应将收集的个人信息限定在收集时告知个人信息主体的范围之内,不应向其他机构披露相关个人信息。
第三十五条【公开个人信息】未经个人信息主体明示同意,信息系统管理者不应公开其处理的个人信息。第三十六条【使用个人信息】个人信息使用应限于收集个人信息时告知的目的,无法律法规的明确规定或个人信息主体的明确授权,不应超出目的使用个人信息。
第三十七条【网站个人信息管理】未经个人信息主体同意,信息系统管理者不应在网站上发布未公开的个人信息。应个人信息主体要求,网络经营者或管理者应及时删除个人信息。删除个人信息可能会影响到公安机关的调查取证时,信息系统管理者应采取适当的信息保全措施。
第三十八条【个人信息销毁或删除】个人信息使用完成后原则上应删除或销毁。如果需要继续保留个人信息,应对相关个人信息进行匿名处理。
法律法规另有规定或个人信息主体另有授权的,从其规定或授权。第三十九条【个人信息修改和补充】个人信息主体发现其个人信息有误并要求修改时,信息系统管理者应查验相关信息,并在核对正确后修改和补充相关信息。第九章个人信息管理
第四十条【管理的一般要求】信息系统管理者利用信息系统处理个人信息的,应制定个人信息保护政策或方针,建立个人信息管理制度,落实个人信息管理责任,加强个人信息管理,规范个人信息处理活动。第四十一条【机构要求】信息系统管理者应指定专门机构或人员负责内部的个人信息保护工作,接受个人信息主体的投诉与质询。
第四十二条【技术手段要求】信息系统管理者应采取必要的技术手段,保护个人信息的安全,确保但不限于以下目标:
(1)防止对个人信息处理场所和个人信息存储介质的未授权访问、损坏和干扰;(2)处理个人信息时,应保证信息系统持续稳定运行;(3)保证个人信息在信息系统中的保密性、真实性和完整性。
第四十三条【信息查询要求】信息系统管理者在个人信息主体提出查询请求时,应如实和免费地告知请求人有关其个人信息,除非告知信息的成本明显过于高或者请求人请求次数明显过于频繁。
第四十四条【风险管理要求】信息系统管理者应加强个人信息风险管理,识别、分析、评估潜在的风险因素,制定风险应对策略,采取风险控制措施,监控风险变化。
第四十五条【应急处理要求】信息系统管理者应对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案,采取相应的预防和应对措施。
第四十六条【教育培训要求】信息系统管理者应制定个人信息保护的教育培训计划并组织落实。第四十七条【内控机制要求】信息系统管理者应建立个人信息保护的内控机制,定期开展检查,并形成检查评价报告。
第四十八条【持续改善要求】信息系统管理者应建立持续完善机制,不断改进信息保护状况,提高信息保护的水平。第十章附则
第四十九条【实施日期】本指南自发布之日起实施。
第五十条【本指南的解释】本指南由工业和信息化部负责解释。相关链接
部委 相关机构 合作媒体
中华人民共和国中央人民政府市住房城乡建设委工业和信息化部国家发展和改革委员会公安部建设部国家工商行政管理总局
教育部交通部国家税务总局国家广播电影电视总局国家统计局体育总局海关总署新闻出版总署烟草局
地址:北京市海淀区紫竹院路66号赛迪大厦12/13/14层
传真:(010)88559333 服务电话:(010)88559238/9239(010)88559372/9373 Copyright 2000-2011 CCIDnet.All rights reserved.
第二篇:个人信息保护
保护个人客户信息 有效防范金融诈骗
近年来,关于银行客户个人信息屡屡外泄的新闻不断出现在各大媒体报道中,这类重要信息管理缺失行为不仅给客户带来经济和人身危害,也极大的影响到商业银行社会公信力的塑造。应该看到,各类商业银行都建立了完善的客户信息保密制度,通过技术和政策支持也规避了部分泄密问题,但客户信息失密事件屡见不鲜且利用常规管理方式即可避免风险。如何解决当前存在的客户信息泄密问题,需要银行监管部门和商业银行高管层、各层级管理者认真思考。本文抛开利用计算机技术窃密犯罪因素,仅根据“银行――社会中介――客户信息需求方”的泄密通道,通过问题描述和现状反思,围绕强化银行员工思想政治教育、建立声誉约束的外部监管机制,以及建立同业联盟的信息公开平台来防范泄密和诈骗事件的发生。
一、履职过程中存在的泄密行为
假设银行的客户信息保密制度设计是没有瑕疵的,在此基础上所存在的问题可归纳为以下三个方面。
(一)银行部分人员的风险意识淡薄
金融机构向社会大众提供负债、资产、中间业务和其他新兴业务,在提供服务的过程中掌握了大量的个人客户信息,个人金融信息和个人客户信息必然成为不法之徒追逐利用的目标,其中,最有可能成为失密信息大量使用重灾区的是资产类业务。如个人住房贷款、个人消费贷款,寻求该信贷业务的客户会被社会中介重点关注,他们的个人信息也成为市场其他产品(如家居类产品、装修、保险等)供应者的商业资源。部分银行员工在风险意识、保密意识淡薄的情况下,将客户信息发布出去。发布方式可能是口述、纸质方式、电子邮件、不当处理的垃圾等。
(二)银行部分人员的利益偏好使然
在现代商业社会客户信息已成为重要的经济资源,对该信息的垄断性获取将为卖方提供商机。由此,客户信息需求方为了获得这种商机,便有意愿通过商品交换形式来求助于社会中介,而社会中介在人际关系处理和商品交易原则下,便可能获得目标客户的银行信息。不难看出,这表现为银行部分人员与社会中介之间的利益交换关系。
(三)银行部分人员与中介勾结
金融业竞争日趋激烈,大部分银行将业务指标与员工收入紧密挂钩,为完成或超额完成分配的业务指标,获取薪金收入或业务奖励,部分员工有意无意地放宽保密规定,为协助中介达成交易,不惜提供客户信息、为中介补充客户信息。
二、泄密行为反思
上述泄密行为,为我们进行对策研究提供了方向。然而,商业银行管理层只能规范银行内部的信息管理活动,却无法约束社会中介、客户信息需求方。这就意味着,要使得对策更具有实效性还要依赖于全社会的参与,共同遵守和保护客户隐私。
(一)针对银行内部的现状反思
客户信息泄密现象发端于银行。因此,首先需要从规范银行涉密人员的行为操守开始。由于存在着信息不对称现象,商业银行管理者难以及时、准确把握关键人员行为的合规性,因而解决监管缺位成为对策构建的出发点之一。事实证明,依靠监管人员的跟踪监督是不现实的,需要从组织文化和外部压力的构建着手。
(二)针对银行外部的现状反思
尽管社会中介和客户信息需求方的行为难以被银行约束,但在商业社会中银行应充分发挥自身的网络资源,通过限制和惩戒他们的银行业务来给予威慑。所谓银行业务可理解为,中介组织和客户信息需求方与商业银行间的业务往来。
三、反泄密行为的对策
为防止泄密行为引发的欺诈事件,可从三个方面着手。
(一)强化银行员工的思想政治教育
无论是国有控股商业银行还是其他股份制银行,都应强化组织内部的思想政治教育。在开展该项工作时应改变传统的“空对空”模式,通过案例教学促使银行员工能够清楚地知道泄露客户信息对社会的危害、对银行本身的危害,以及对自身职业生涯的影响。只有这样,才能建立起与员工切身利益相联系的自觉行为。
(二)树立银行员工安全保密意识
网络信息时代,发生客户个人信息泄露事件,不仅会给客户造成较大损失,也会给银行带来非常严重的法律风险和声誉风险。树立银行员工安全保密意识刻不容缓。通过开展安全保密教育活动,教育员工在公众场合严守商业机密,严格遵守“为客户保密”的原则,并落实安全保密责任制。抓好重点岗位的保密工作,强化岗位责任制,将每一项业务操作置于合规框架下,把信息泄密事件消灭在萌芽状态。
(三)建立声誉约束的外部监管机制
对于部分风险意识较弱或具有强烈利益偏好的员工,应在优化跟踪监管机制的同时,建立起声誉约束机制,借助银行员工强调自己在单位内部的口碑和声誉度的心态,将其本单位在履行职责或者提供服务过程中获得的公民个人信息,存在信息泄露,如情节严重的,移送司法机关处理,如情节较为轻微的,进行经济处罚,并在职务晋升、职称聘任上实行一票否决制,进而在他们的心理上构建起一道防线。
(四)建立同业联盟的信息公开平台
根据社会中介和客户信息需求方流动性强、与银行交易较多的特点,针对他们必然与商业银行发生正常业务往来的性质,金融机构可以在主管部门的协调下建立起各类商业银行间的信息共享平台,利用该平台及时发布已查获的社会中介组织、客户信息需求方关键人物的信息,在同行业共享的基础上对他们进行经济惩戒。这样一来,就能对潜在的社会中介组织、客户信息需求方产生威慑作用,增加他们的犯罪成本,进而从信息需求源头上中止泄密行为。
为维护客户合法权益不受侵害,避免客户个人金融信息泄露对客户自身财产安全造成不利影响,枣庄滕州支行采取五项措施落实客户个人金融信息保护工作。一是结合各种诈骗案例对员工进行防客户信息泄露警示教育。要求员工在办理业务及在八小时以外,高度重视个人金融信息保护工作,禁止故意或过失泄露客户金融信息行为发生。二是强化个人信息使用管理。在客户信息使用上,必须经客户本人书面授权才可查询及使用。三是对员工办公用电脑进行清理,对涉及客户敏感信息的相关文件进行清理,对确需留存的客户信息进行加密处理;四是加强对第三方机构巡点人员的管理,严禁第三方机构人员接触我行客户信息。
一、严格落实责任。全行员工均签订了《保密承诺书》,严格落实保密责任,严守职业道德。同时,严格执行《中国人民银行关于银行业金融机构做好个人金融保护工作的通知》、《中国工商银行青海省分行个人客户信息管理实施细则(试行)》等制度要求,对客户个人金融信息的建立、存储、维护、应用和管理做到依法合规、安全保密。
二、健全客户个人信息保护制度。一是制定了个人客户信息保护措施和个人客户信息管理的原则,落实了各部门、各岗位管理责任,完善内部监督和责任追究机制。二是加强个人客户信息管理的权限管理,形成相互监督,相互制约的管理机制。三是严格按照《中国工商银行会计档案管理办法》、《中国工商银行商业秘密保护办法》等文件规定,切实防止信息泄露或滥用事件的发生。
三、强化安全观念教育。及时组织员工认真学习《个人存款账户实名制规定》、《中国人民银行关于金融机构进一步做好客户个人信息保护工作的通知》等文件的学习,使广大员工充分认识个人客户信息保护的重要性,进一步认识个人客户信息泄露和滥用带来的法律后果,对篡改、违法使用、出售个人客户信息要承担相应的法律责任,形成了维护客户个人客户信息安全的自觉性,增强了发现和防范信息系统漏洞和缺陷的敏锐度。
第三篇:个人信息保护
为公众生活筑一道“防火墙”
个人信息不但是一个公民的身份证明,还包含了其生活中最重要的方方面面,它的泄露不仅会给人们带来生活上的困扰,更有甚者,还会造成财产的损失和情感的欺骗。随着信息流通渠道的多样化,泄露个人信息的行为呈愈演愈烈的态势,对于个人信息的保护必须引起重视。
近年来,公民个人信息被泄露的问题频繁发生。从络绎不绝的广告短信和邮件到隔三差五的业务推销电话;从虚假的银行卡消费通知到企图诈骗的短信和电话,泄露他人信息就像是一个大众课题,不论是在被泄露的内容和泄露途径上,或是在泄露后信息的去向和用途上,都在不断推敲中衍生出越来越多的不法用途。
大到“棱镜门”丑闻,小到手机上的小广告,人们对于个人信息的保护意识正在不断形成,但仍难以避免其不胫而走。究其缘由主要在于当下信息传播的平台多,转手速度快,为信息的泄露增添了更多可能性,加之掌握个人信息的企业单位缺少行业自律,民众对自身信息的保护意识不强,同时缺少相关的法律法规保障,对不法分子层出不穷的欺骗手段难免心有余而力不足。为了保护民众的隐私,我们需要变被动为主动,分别从个人信息泄露前、泄漏中、泄露后三方面一起努力。
保护个人信息,应在信息泄露前增强自我保护意识。虽然近些年命众对于自身信息的保护意识有所增强,但日益增多的欺骗手段往往让人们防不慎防。所以,可以通过街道、居委会分发《居民个人信息保护小贴士》和开展防范信息泄露讲座等形式,普及个人信息泄露的案例和信息自我保护的方法,在人们心中筑起拦阻“大坝”,从源头防止个人信息被利用。
保护个人信息,应加大信息泄露过程中的监察力度。目前,社会上倒卖各种身份信息的现象猖獗,信息传播途径的多样化更让不法分子有恃无恐。鉴于此,应当提高相关部门人员在如网络通信等技术上的专业素养,加大对各个渠道个人信息泄露的监察力度,对于易发生信息泄露的关键点和关键途径要严格管控,严厉查处,防止个人信息的进一步传播和倒卖。
保护个人信息,还应该在信息泄露后加大惩处力度。建立并完善相关的法律法规,对于泄露他人信息和利用他人信息进行不法操作的行为作出严肃处理,提高不法分子的犯罪成本。
还值得注意的是,在窃取个人信息的渠道中,也不乏对正规渠道的利用。如银行、保险公司、医疗机构、物流公司等,这些深受民众信任的场所也成了个人信息泄露的重灾区。所以,应加强相关企业负责人及员工的职业道德教育,提高行业自律和信息伦理意识,减少不法分子的可乘之机。
个人信息是属于个人的,但对个人信息的保护是属于全社会的。只有形成涵盖全社会的个人信息保护体系,为公众的生活筑起一道“防火墙”,才能让个人有隐私,让信息有保障。
第四篇:电信和互联网用户个人信息保护规定(征求意见稿)
电信和互联网用户个人信息保护规定
(征求意见稿)第一章 总则
第一条 为了保护电信和互联网用户的合法权益,维护网络信息安全,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》、《互联网信息服务管理办法》等法律、行政法规,制定本规定。
第二条 在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动,应当遵守本规定。
第三条 工业和信息化部和各省、自治区、直辖市通信管理局(以下统称“电信管理机构”)依法对电信和互联网用户个人信息保护工作实施监督管理。
第四条 本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的能够单独或者与其他信息结合识别用户的信息,包括用户姓名、出生日期、身份证件号码、住址等身份信息以及用户使用服务的号码、账号、时间、地点等日志信息。
第五条 电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。
第六条 电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。
第七条 国家鼓励电信和互联网行业开展用户个人信息保护自律工作。
第二章 信息收集和使用规范
第八条 电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。
第九条 未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。
电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,留存信息的期限,查询、更正信息的渠道以及拒绝提供信息的后果等事项。
电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息使用于其提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。
法律、行政法规对本条第一款至第三款规定的情形另有规定的,从其规定。
第十条 电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十一条 电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不能满足用户个人信息保护要求的代理人代办相关服务。
第十二条 电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起十五日内答复投诉人。
第三章 安全保障措施
第十三条 电信业务经营者、互联网信息服务提供者应当采取以下防止用户个人信息泄露、毁损或者丢失的措施:
(一)确定各部门、岗位和分支机构的用户个人信息安全管理责任;
(二)建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度;
(三)对工作人员实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施;
(四)妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体,采取相应的安全储存措施;
(五)对储存用户个人信息的信息系统实行接入审查,定期进行安全风险评估;
(六)按照电信管理机构的规定采取通信网络安全防护措施;
(七)记录对用户个人信息进行操作的人员、时间、地点、事项等信息;
(八)电信管理机构规定的其他必要措施。
第十四条 电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告,配合相关部门进行的调查处理。
第十五条 电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能及安全责任培训。
第十六条 电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况进行定期自查,记录自查情况,及时消除自查中发现的信息安全问题。
第四章 监督检查
第十七条 电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。
电信管理机构实施监督检查时,可以要求电信业务经营者、互联网信息服务提供者提供相关材料,进入其生产经营场所调查情况,电信业务经营者、互联网信息服务提供者应当予以配合。
电信管理机构实施监督检查,应当记录监督检查的情况。实施监督检查不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动,不得收取任何费用。
第十八条 电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十九条 电信管理机构实施电信业务经营许可及经营许可证年检时,应当对用户个人信息保护情况进行审查。
第二十条 电信管理机构应当将有违反本规定行为的电信业务经营者、互联网信息服务提供者记入其社会信用档案并予以公布。
第二十一条 鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度,引导会员加强自律管理,提高用户个人信息保护水平。
第五章 法律责任
第二十二条 电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以下的罚款。
第二十三条 电信业务经营者、互联网信息服务提供者违反本规定第九条、第十条、第十一条、第十三条、第十四条、第十五条、第十六条、第十七条第二款规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下的罚款;构成犯罪的,依法追究刑事责任。
第二十四条 电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的,依法给予处理;构成犯罪的,依法追究刑事责任。
第六章 附则
第二十五条 本规定自
年 月 日起施行。
第五篇:公民个人信息保护
近年来,非法收集、贩卖和使用公民个人信息的违法犯罪活动日益突出,严重侵犯公民的隐私权和人格权,引起社会广泛关注。此次公安机关的集中打击行动卓有成效。
保护个人信息,这些年来呼声很高,但执行起来并不容易。虽然2009年2月全国人大常委会通过的《刑法修正案
(七)》,就增加规定了“非法获取公民个人信息罪”、“出售、非法提供公民个人信息罪”等罪名,强化了对公民个人信息的刑法保护。但由于此类违法犯罪活动隐蔽性极强,被害人本人往往也难以察觉和发现,因此,司法实践中受到打击和追究的案例十分罕见。
这一次的行动证明,对付这种隐蔽性极强的违法犯罪,需要公安机关统一调动各地区、各警种的力量,依法采用网侦、技侦、秘密侦查等特殊侦查手段,增强对此类违法犯罪活动的发现、控制和打击能力。
更重要的,还是要注重“源头”保护。从破获的案件情况看,公民个人信息泄露的一个主要“源头”在于工商、医疗、民政、银行、民航、电信等一些部门和服务机构。它们在履行职责或提供服务过程中,具有收集、查阅、管理、控制公民个人信息的便利。而这些部门或机构的个别“内鬼”,为了经济利益非法出售公民个人资料,成为侵害公民个人信息违法犯罪的“源头”。
鉴于“源头”危害性最大、隐蔽性最强,一方面要深追细查、严惩不怠,另一方面必须强化日常治理和防范。公民个人信息从这些部门和机构不断外泄,说明我国对公民个人信息的安全保护存在明显漏洞,比如,从报道来看,工商局信息中心的一名工作人员,就既能通过内网查询到企业信息,又能去档案室查询、复制信息贩卖。
公民信息在这些部门和机构内网、内部平台能低门槛被查阅的现状,必须得到纠正。一些商业网站的做法值得借鉴——对用户信息采取“分级查看”的权限设置,除了必要的管理员,一般员工无权从后台查看用户的注册信息。倘若确有必要查看,必须按照程序报批。公民个人信息不能谁想查就能通过内部网查看得到。有权限查看的人越少,公民的个人信息就会越安全。
实行这样的“分级查看”,不仅能减少个人信息泄露的风险,也有利于信息泄露后的追惩。
要做到这些,需要尽快制定《公民个人信息保护法》,对这些部门和机构收集、加工、转移、使用、管理公民个人信息的行为均予以严格规范,明确个人信息保护的原则和要求,落实工作责任,加强监管保护。