当前位置:首页 > 二级导航 > 党政法律法规 > 正文

中华人民共和国个人信息保护法(全文)及相关解说

时间:2021-06-18 21:22 来源: 编辑:admin

核心提示

个人信息保护法个人信息保护法是一部保护个人信息的法律条款,涉及法律名称的确立、立法模式问题、立法的意义和重要性、立法现状以及立法依据、法律的适用范围、法律的适用例外及其规定方式、个人信息处理的基本原则...

个人信息保护法

个人信息保护法是一部保护个人信息的法律条款,涉及法律名称的确立、立法模式问题、立法的意义和重要性、立法现状以及立法依据、法律的适用范围、法律的适用例外及其规定方式、个人信息处理的基本原则、与政府信息公开条例的关系、对政府机关与其他个人信息处理者的不同规制方式及其效果、协调个人信息保护与促进信息自由流动的关系、个人信息保护法在特定行业的适用问题、关于敏感个人信息问题、法律的执行机构、行业自律机制、信息主体权利、跨境信息交流问题、刑事责任问题。对个人及行业有着很大的作用。

个人信息保护可以通过数据库安全的技术手段实现,核心数据加密存储,通过数据库防火墙实现批量数据防泄漏,也可以通过数据脱敏实现批量个人数据的匿名化,通过数字水印实现溯源处理。

2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》。自2021年11月1日起施行。

中文名:个人信息保护法

外文名:Personal information protection law

颁布时间:2021年8月20日

实施时间:2021年11月1日

发布单位:全国人大常务委员会

法律全文

中华人民共和国个人信息保护法

(2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过)

目录

第一章 总 则

第二章 个人信息处理规则

第一节 一般规定

第二节 敏感个人信息的处理规则

第三节 国家机关处理个人信息的特别规定

第三章 个人信息跨境提供的规则

第四章 个人在个人信息处理活动中的权利

第五章 个人信息处理者的义务

第六章 履行个人信息保护职责的部门

第七章 法律责任

第八章 附 则

《中华人民共和国个人信息保护法》内容

第一章 总 则

第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。

第二条 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。

第三条 在中华人民共和国境内处理自然人个人信息的活动,适用本法。

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:

(一)以向境内自然人提供产品或者服务为目的;

(二)分析、评估境内自然人的行为;

(三)法律、行政法规规定的其他情形。

第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。

第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。

收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。

第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。

第八条 处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。

第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。

第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。

第十一条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。

第十二条 国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。

第二章 个人信息处理规则

第一节 一般规定

第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意;

(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

(三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

(七)法律、行政法规规定的其他情形。

依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。

第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。

第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。

第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:

(一)个人信息处理者的名称或者姓名和联系方式;

(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

(三)个人行使本法规定权利的方式和程序;

(四)法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的,应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。

第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。

紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。

第十九条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。

第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。

个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。

第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。

受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。

未经个人信息处理者同意,受托人不得转委托他人处理个人信息。

第二十二条 个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。

第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。

第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。

第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。

第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。

第二节 敏感个人信息的处理规则

第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。

第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。

第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。

个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。

第三十二条 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。

第三节 国家机关处理个人信息的特别规定

第三十三条 国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。

第三十四条 国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。

第三十五条 国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。

第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。

第三十七条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,适用本法关于国家机关处理个人信息的规定。

第三章 个人信息跨境提供的规则

第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:

(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;

(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;

(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

(四)法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。

个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。

第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。

第四十一条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

第四十二条 境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。

第四十三条 任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

第四章 个人在个人信息处理活动中的权利

第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。

第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。

个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。

个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。

第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。

个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。

第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:

(一)处理目的已实现、无法实现或者为实现处理目的不再必要;

(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;

(三)个人撤回同意;

(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;

(五)法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

第四十九条 自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。

第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。

个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。

第五章 个人信息处理者的义务

第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:

(一)制定内部管理制度和操作规程;

(二)对个人信息实行分类管理;

(三)采取相应的加密、去标识化等安全技术措施;

(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;

(五)制定并组织实施个人信息安全事件应急预案;

(六)法律、行政法规规定的其他措施。

第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:

(一)处理敏感个人信息;

(二)利用个人信息进行自动化决策;

(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

(四)向境外提供个人信息;

(五)其他对个人权益有重大影响的个人信息处理活动。

第五十六条 个人信息保护影响评估应当包括下列内容:

(一)个人信息的处理目的、处理方式等是否合法、正当、必要;

(二)对个人权益的影响及安全风险;

(三)所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:

(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;

(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;

(三)个人信息处理者的联系方式。

个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。

第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:

(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;

(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;

(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;

(四)定期发布个人信息保护社会责任报告,接受社会监督。

第五十九条 接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。

第六章 履行个人信息保护职责的部门

第六十条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。

县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。

前两款规定的部门统称为履行个人信息保护职责的部门。

第六十一条 履行个人信息保护职责的部门履行下列个人信息保护职责:

(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;

(二)接受、处理与个人信息保护有关的投诉、举报;

(三)组织对应用程序等个人信息保护情况进行测评,并公布测评结果;

(四)调查、处理违法个人信息处理活动;

(五)法律、行政法规规定的其他职责。

第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:

(一)制定个人信息保护具体规则、标准;

(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;

(三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;

(四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;

(五)完善个人信息保护投诉、举报工作机制。

第六十三条 履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:

(一)询问有关当事人,调查与个人信息处理活动有关的情况;

(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;

(三)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;

(四)检查与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。

履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠。

第六十四条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。

履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。

第六十五条 任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。

履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。

第七章 法律责任

第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

第六十七条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。

第六十八条 国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。

履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。

第六十九条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。

第七十条 个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

第七十一条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

第八章 附 则

第七十二条 自然人因个人或者家庭事务处理个人信息的,不适用本法。

法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。

第七十三条 本法下列用语的含义:

(一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

(二)自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。

(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。

(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。

第七十四条 本法自2021年11月1日起施行。

法律制定

2020年10月13日,十三届全国人大常委会委员长会议提出了关于提请审议个人信息保护法草案的议案。草案规定侵害个人信息权益的违法行为,情节严重的,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款,5%的额度甚至超过了在个人信息保护方面规定“最严”的欧盟。

2021年4月26日,提请全国人大常委会二次审议的个人信息保护法草案拟规定,提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督,并要求其定期发布个人信息保护社会责任报告等。

2021年8月13日,全国人大常委会法工委举行记者会,通报本次常委会会议拟审议的法律草案的主要情况。关于个人信息保护法草案,根据各方面意见,提请本次常委会会议审议的草案三次审议稿拟作如下主要修改:

一是,我国宪法规定,国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律保护。制定实施本法对于保障公民的人格尊严和其他权益具有重要意义。据此,拟在草案第一条中增加规定“根据宪法”制定本法。

二是,进一步完善个人信息处理规则,特别是对应用程序(App)过度收集个人信息、“大数据杀熟”等作出有针对性规范。

三是,将不满十四周岁未成年人的个人信息作为敏感个人信息,并要求个人信息处理者对此制定专门的个人信息处理规则。

四是,完善个人信息跨境提供的规则,对按照我国缔结或者参加的国际条约、协定向境外提供个人信息、对转移到境外的个人信息的保护不应低于我国的保护标准等作出规定。

五是,增加个人信息可携带权的规定,完善死者个人信息保护的规定。

六是,对完善个人信息保护投诉、举报工作机制及违法处理个人信息涉嫌犯罪案件的移送提出明确要求。

2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》。个人信息保护法自2021年11月1日起施行。其中明确:①通过自动化决策方式向个人进行信息推送、商业营销,应提供不针对其个人特征的选项或提供便捷的拒绝方式②处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息,应取得个人的单独同意③对违法处理个人信息的应用程序,责令暂停或者终止提供服务。

媒体报道

《五部门联合发布《汽车数据安全管理若干规定(试行)》》

《规定》倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则,减少对汽车数据的无序收集和违规滥用。《规定》自2021年10月1日起施行。第三条 本规定所称汽车数据,包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。

《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》

(十三)加强数据分类分级管理。按照“谁主管、谁负责,谁运营、谁负责”的原则,智能网联汽车生产企业、车联网服务平台运营企业要建立数据管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。定期开展数据安全风险评估,强化隐患排查整改,并向所在省(区、市)通信管理局、工业和信息化主管部门报备。所在省(区、市)通信管理局、工业和信息化主管部门要对企业履行数据安全保护义务进行监督检查。

社会现象

非法买卖个人信息已成新兴产业

中国社会科学院2009年3月2日发布“法治蓝皮书”。蓝皮书指出,信息处理和存储技术的不断发展,我国个人信息滥用问题日趋严重,社会对个人信息保护立法的需求越来越迫切。

2007年9月~2008年12月,中国社科院法学研究所针对个人信息保护现状专门组成课题组,在北京、成都、青岛、西安4个城市进行调研,结果让课题组成员颇为“惊心”。他们将我国个人信息滥用情况大致归纳为如下类别:

第一种是过度收集个人信息。有关机构超出所办理业务的需要,收集大量非必要或完全无关的个人信息。比如,一些商家在办理积分卡时,要求客户提供身份证号码、工作机构、受教育程度、婚姻状况、子女状况等信息;一些银行要求申办信用卡的客户提供个人党派信息、配偶资料乃至联系人资料等。

第二种是擅自披露个人信息。有关机构未获法律授权、未经本人许可或者超出必要限度地披露他人个人信息。比如,一些地方对行人、非机动车交通违法人员的姓名、家庭住址、工作单位以及违法行为进行公示;有些银行通过网站、有关媒体披露欠款者的姓名、证件号码、通信地址等信息;有的学校在校园网上公示师生缺勤的原因,或者擅自公布贫困生的详细情况。

第三种是擅自提供个人信息。有关机构在未经法律授权或者本人同意的情况下,将所掌握的个人信息提供给其他机构。比如,银行、保险公司、航空公司等机构之间未经客户授权或者超出授权范围共享客户信息。

更为恶劣的还有非法买卖个人信息。调查发现,社会上出现了大量兜售房主信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息的现象,并形成了一个新兴的产业。比如,个人在办理购房、购车、住院等手续之后,相关信息被有关机构或其工作人员卖给房屋中介、保险公司、母婴用品企业、广告公司等。

调查发现,虽然绝大多数人认为自己有权了解个人信息的存在情况,如果滥用造成损失可以请求赔偿,但在是否有权拒绝提供信息上,不少人认为自己没有这个权利。

42.5%的受访者对课题组表示,曾遇到过有关机构不当处理其个人信息的情况。不过,课题组认为,这一数据仅在一定程度上反映出那些明确感受到自身个人信息被滥用的公众的情况,并不能够反映出那些自身个人信息虽被滥用、但自己尚不知情的公众的情况。

受访者普遍感到,有关机构在处理个人信息过程中问题不少。例如不明确告知个人信息的用途;很多信息与所要办理的业务无相关性;有关机构超出原有的目的使用个人信息;有关机构的个人信息保管机制不健全,存在信息被泄露、篡改的可能等。这种情况在政府机关也相当数量地存在着。

在调查过程中,很多受访者表达了希望有关机构删除本人的部分或者全部信息的想法。因为他们或者不再接受其服务,或者经常遭受电话、邮件的骚扰。“个人信息被滥用正在威胁着我的生活安宁、生命财产安全,令自己感到压力或者心情不愉快。”一位受访者说。

需要注意的是,在个人信息曾被滥用的被调查者中,仅有4%左右的人进行过投诉或提起过诉讼。导致公众在进行投诉、诉讼时遇到困难或不愿意投诉、提起诉讼的因素有:无法确定哪些机构应承担责任、无法确定向什么机构投诉或者以谁为对象提起诉讼、无法获得有力的证据、投诉或者诉讼成本过高等。

即便采取了投诉或者诉讼等救济手段,也仅有8.1%的人获得了救济或者达到了目的,其他的或者因为处理个人信息的机构推诿、搪塞而不了了之,或者因为预料到无法通过投诉或诉讼获得救济而中途放弃。

课题组认为,这种结果和现行个人信息保护规定存在缺陷关系很大。由于个人信息保护尚缺乏专门性规定,个人信息处理活动应当遵循怎样的原则、信息主体在个人信息处理活动中享有哪些权利、对滥用个人信息的信息处理者如何予以制裁、由什么机构负责执法等,都存在疑问。

另外,现行的各类规定一般仅限于禁止泄露个人信息,但是,个人信息主体在信息收集、保存、利用中的知情权、同意权、请求更正错误信息和删除不必要信息乃至获得救济的权利等,几乎都没有得到确认。

调查中,几乎所有接受调查的公众都赞成加强个人信息保护的立法工作(占99.3%),希望政府机关能够加强个人信息保护执法,严厉打击滥用个人信息的现象(占99.3%),设立专门机构负责对滥用个人信息的行为进行查处(占93.8%)。

2009年2月25日提请十一届全国人大常委会第七次会议进行三审的刑法修正案(七)草案增加规定,单位将在履行职责或者提供服务过程中获得的公民个人信息出售或非法提供给他人,情节严重的将受刑惩。

草案二次审议稿规定,对国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,将本单位在履行职责或提供服务过程中获得的公民个人信息,出售或非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或单处罚金。

审议中,一些常委委员和部门提出,单位从事上述行为的情况也比较严重,应增加单位犯罪的规定,故草案增加规定:单位有以上犯罪行为的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照该款规定处罚。

曝光垃圾短信源头

·运营商:一提起发送广告短信,客户经理们都显得颇为谨慎。济南移动公司的态度有些遮遮掩掩,但是在山东省内的其他移动公司,只要一提起发送商业广告路的短信,工作人员都很直截了当。

·关键字:小区短信:为了能够提高短信发送速度,有些移动公司还采用了一种方式——小区短信。小区短信就是以基站作为发送中心,向基站覆盖区域内的移动用户发送短信。

黑名单:除了对发送的地域进行限制之外,他们还对一些特殊的用户进行了一些特殊的处理。可能涉及到一些高层领导一般是禁发的,有黑名单会直接过滤。

违法信息照发:这是一张写着外企公司代开增值税发票等的内容。在德州移动公司的营业厅里,这位马主任正在热情地为信息的发送牵线搭桥。

外卖信息:不仅移动公司在发送垃圾短信,有一些与他们合作的广告公司也能发送垃圾短信。

电信等单位非法出售公民个人信息将受刑罚

根据报道,自2003年起国务院就委托有关专家开始起草《个人信息保护法》,2005年专家建议稿已经完成,并提交国务院审议,启动了保护个人信息的立法程序。在每年的全国“两会”上,都有人大代表大声疾呼。这都在相当程度上折射出,我国公民个人信息被泄露和滥用已经到了相当严重的程度,甚至已经成为一种社会公害,加快立法步伐,制定个人信息保护法到了刻不容缓的地步。

在此之前,我国的法律中还没有关于个人信息的专门规定。以往<民法通则>第101条关于个人隐私权保护的规定,“公民、法人享有名誉权,公民的人格尊严受法律保护,禁止用侮辱、诽谤等方式损害公民、法人的名誉。” 这样笼统而模糊的规定,已显得过于原则、缺乏可操作性。至于《最高人民法院关于贯彻执行〈民法通则〉若干问题的意见(修改稿)》所确认的“隐私权”,只有当个人信息确实被侵犯,并发生了实际损害之后,才能主张侵权责任赔偿,这样的保护既不及时便捷,也谈不上足够有效。

2008年8月25日,首次提请审议的刑法修正案(七)草案(以下简称草案)专门增加规定,明确提出国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将履行公务或者提供服务中获得的公民个人信息出售或者提供给他人,或者以窃取、收买等方式非法获取上述信息,情节严重的,追究刑事责任。

机关与公共服务单位收集与储存个人信息本意是为提高行政管理和公共服务的质量及效率,可是另一方面,也使个人信息泄露成为可能。世界上国家或地区已经有超过50个制定了个人信息保护法律,通过限制公权力的途径来保护个人信息已经是通用做法。在这样的背景下,草案对侵犯公民个人信息的行为追究刑事责任,极具现实针对性。刑法的作用也仅局限于防范、阻止和惩罚犯罪行为。而现有刑法的规定集中于规范公权力,对于尚未触犯刑律的行为,再威严的刑法也无能为力。刑法与个人信息法的组合乃至信息保护法律法规体系的形成才是改变信息保护失序环境的根本。

在网络隐私权的保护问题上,我国基本还处于无法可依的状况。网络侵犯隐私权的情形主要集中在个人信息在收集、处理、传输和利用等环节中。概括起来,对网络隐私权的侵犯主要表现在:非法获取、传输、利用用户的个人数据资料、非法侵入用户的私人空间、干扰私人活动以及破坏用户个人网络生活的安宁和秩序等方面。

涉及这一问题的,只有信息产业部于2000年11月7日发布的《互联网电子公告服务管理规定》中提及“电子公告服务提供者应当对上网用户的个人信息保密,未经上网用户同意,不得向他人泄露”,违反此规定者,由电信管理机构责令改正,给上网用户造成损害或者损失的,依法承担法律责任。

130万考研者信息打包卖15000元

2014年12月份研究生名单数据包一共有130万条信息,全部是当年报名参加考研的学生,覆盖全国范围。打包卖15000元,为了证明数据库中数据的真实性,考研信息“卖家”贴出了部分考研学生信息的截图。从截图中可以看到,除了考生姓名、性别外,能够买到的信息还包括手机号码、座机号码、身份证号、家庭住址、邮编、学校、报考专业等敏感信息,非常详细。至于这些信息是从何而来,卖家并不愿多说 。

面对当前的环境,企业应当增加在信息系统有关网络信息安全防范的投入,建立专门的安全团队;如果自身缺乏相关的专业人员来维护,就应当将网络安全维护外包给专业的安全公司去做。

现象分析

个人信息的法律保护问题是近半个世纪以来随着信息社会的发展而日益凸显的问题。由于社会观念、信息产业、科学技术以及立法规划等方面的原因,我国很长一段时间以来没有认识到保护个人信息的重要性,因此直到现在为止,我国还没有制定专门的个人信息保护方面的法律。当然,这并不意味着我国对个人信息不进行保护。现阶段,我国对个人信息的保护,主要体现在两大方面:一是在与个人信息保护有关的法律法规中设置个人信息保护条款对个人信息加以法律保护。个人信息的法律保护又可以表现为法律的直接保护和间接保护,所谓法律的直接保护即法律法规明确提出对“个人信息”进行保护;间接保护即法律法规通过提出对“人格尊严”、“个人隐私”、“个人秘密”等与个人信息相关的范畴进行保护进而引申出对个人信息的保护。二是通过信息控制人的单方承诺或特定行业的自律规范的承诺对个人信息加以自律性质的保护。个人信息在自律保护也表现为两方面,即企业通过单方承诺这种市场运作方式对个人信息加以保护,以及特定行业组织通过行业自律规范对个人信息确立行业保护标准进而进行保护。

一、我国法律对个人信息的直接保护

通过全国人大网站中全国法律法规数据库搜索引擎的搜索,我们发现,我国直接对“个人信息”加以保护的法律、法规、规章及司法解释的数量相当有限,其中全国性的法律中仅有《中华人民共和国护照法》、《中华人民共和国身份证法》直接规定了“个人信息”的保护问题。《中华人民共和国护照法》(2006年4月29日通过,2007年1月1日实施)第十二条第三款规定:“护照签发机关及其工作人员对因制作、签发护照而知悉的公民个人信息,应当予以保密。”第二十条规定:“护照签发机关工作人员在办理护照过程中有下列行为之一的,依法给予行政处分;构成犯罪的,依法追究刑事责任:……(五)泄露因制作、签发护照而知悉的公民个人信息,侵害公民合法权益的……”《中华人民共和国身份证法》(2003年6月28日通过,2004年1月1日实施)第六条第三款规定:“公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密。”第十九条规定:“人民警察有下列行为之一的,根据情节轻重,依法给予行政处分;构成犯罪的,依法追究刑事责任:……(五)泄露因制作、发放、查验、扣押居民身份证而知悉的公民个人信息,侵害公民合法权益的。”

在全国范围内具有规范效力的行政法规、部门规章和司法解释直接提及“个人信息”保护问题的主要也仅有如下几项:

(1)《2006---2020年国家信息化发展战略》。该《发展战略》第六条第五项提出了“推进信息化法制建设”的要求,并提出:“加快推进信息化法制建设,妥善处理相关法律法规制定、修改、废止之间的关系,制定和完善信息基础设施、电子商务、电子政务、信息安全、政府信息公开、个人信息保护等方面的法律法规,创造信息化发展的良好法制环境。根据信息技术应用的需要,适时修订和完善知识产权、未成年人保护、电子证据等方面的法律法规。加强信息化法制建设中的国际交流与合作,积极参与相关国际规则的研究和制定。;

(2)《互联网电子公告服务管理规定》(2000年10月8日通过,同日起施行)。该《管理规定》第十二条规定:“电子公告服务提供者应当对上网用户的个人信息保密,未经上网用户同意不得向他人泄露,但法律另有规定的除外。"

(3)《最高人民法院、最高人民检察院关于切实保障司法人员依法履行职务的紧急通知》(法[2005] 173号)(2005年8月25日颁布,同日起施行)。该《通知》第六条“加强司法警察队伍建设和保密工作,做好宣传教育工作”指出:“……强化案件保密工作,严禁违反规定泄露案情以及办案人员的通讯方式、住址等个人信息,对于泄密行为,应当依照《人民法院审判纪律处分办法》、《检察人员纪律处分条例》的有关规定严肃惩处……”另外,少数地方性法规中,也偶有涉及个人信息保护的直接规定,例如:2003年修正的《北京市未成年人保护条例》第四十九条规定:“……任何组织和个人未经未成年人的监护人同意,不得在互联网上收集、使用、公布未成年人的个人信息。”2003年12月23日上海市通过了个人信用信息方面的地方性法规—《上海市个人信用征信管理试行办法》,对个人信用信息的采集、处理、提供等作了较为详细的规定。

需要特别指出的是,中国人民银行2005年通过了有关个人信用信息管理及保护的专门性部门规章—《个人信用信息基础数据库管理暂行办法》(2005年6月16日通过,2005年10月1日起实施)。该办法包括总则、报送和整理、查询、异议处理、安全管理、罚则、附则七章,共45条,对个人信用信息的收集、处理、利用、流通等作了较为详细的规定。从内容方面观察,该办法在很大程度上遵循了个人信息保护的收集限制原则、信息质量原则、目的特定原则、使用限制原则、安全保障原则、公开原则、个人参与原则及责任原则。虽然该办法在内容上还存在一些缺陷和漏洞,例如缺乏争议信息的封存制度、错误信息导致个人损害的民事赔偿制度等,但无论如何,我们可以将该办法视为我国个人信息保护立法史上的一座里程碑,它开创了我国特殊领域的个人信息保护立法。

二、我国法律对个人信息的间接保护

在我国,除了上述直接明确提出对个人信息加以保护的法律法规之外,还存在一些通过规定保护人格尊严、个人隐私、个人秘密等与个人信息相关的范畴进而保护个人信息的法律。在根本大法方面,我国《宪法》(1982年)的“公民的人格尊严不受侵犯”、“公民住宅不受侵犯’,、“公民享有通信自由和通信秘密的权利”、“国家尊重和保障人权”等相关条款均可解释为个人信息应当受到法律保护的宪法依据。在国家的基本部门法中,也或多或少、或明或暗地存在一些与个人信息保护有关的法律条款,例如:《民法通则》(1986年)关于人身权的相关规定中规定了“公民的人格尊严受法律保护”;《刑法》(1997年)在“侵犯公民人身权利、民主权利”的专章中,明确将“非法搜查他人身体、住宅,或者非法侵入他人住宅”、“侵犯公民通信自由”等行为列为犯罪行为;《民事诉讼法》(1991年)规定“对涉及个人隐私的案件应当不公开审理”;《刑事诉讼法》规定“涉及个人隐私的案件不公开审理”、“十四岁以上不满十六岁未成年人犯罪案件,一律不公开审理。十六岁以上不满十八岁未成年人犯罪的案件,一般也不公开审理”。

关于个人信息的间接保护,在渊源上除了上述国家根本大法和基本部门法之外,还有许多容易被忽视的部门法或行政法规、规章、司法解释等。在妇女儿童个人信息的特殊保护方面:《妇女权益保护法》(1992年)规定:“妇女的人格尊严受法律保护”;《未成年人保护法》(1991年)规定:“尊重未成年人的人格尊严”、“任何组织和个人不得披露未成年人的个人隐私”;《母婴保护法》(1994年)规定:“从事母婴保健工作的人员应当严格遵守职业道德,为当事人保守秘密”。在个人医疗信息方面:《执业医师法》(1999年)规定“医生不得披露治疗中获得的健康信息”;《医疗机构病历管理规定》(2002年)要求“除对患者实施医疗活动的医务人员及医疗服务质量监控人员外,其他任何机构和个人不得擅自查阅患者的病历”;《医疗事故处理条例》(2002年)进一步要求“医疗机构在复制或复印病历资料时应当有患者在场”;《传染病防治法》(2004年)禁止“故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料”;《关于对艾滋病病毒感染者和艾滋病病人的管理意见》(1995年)规定:“从事艾滋病病毒感染者和艾滋病病人诊断、治疗及管理工作的人员,不得向无关人员泄露有关信息。任何单位和个人不得将艾滋病病毒感染者和艾滋病病人的姓名、住址等个人情况公布或传播”。在个人通讯信息方面:《邮政法》(1986年)规定:“除法律另有规定外,邮政企业和邮政工作人员不得向任何组织或者个人提供用户使用邮政业务的情况”;《全国人民代表大会常务委员会关于维护互联网安全的决定》(2000年)禁止“非法截获、篡改、删除他人电子邮件或者其他数据资料”;《互联网安全保护技术措施规定》(2005年)规定:“互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息,但法律、法规另有规定的除外。”在个人金融信息方面:《商业银行法》规定:“商业银行应当遵循为存款人保密的原则”、“对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外”;《个人存款账户实名制规定》规定:“除法律法规另有规定以外,金融机构不得向任何单位或者个人提供有关个人存款账户的情况”。在律师执业方面:《律师法》(2001年)规定:“律师应当保守在职业活动中知悉的当事人的隐私”;《律师执业行为规范》(2004年)规定:“律师必须保守委托人的个人隐私”。在档案信息方面,《档案法》规定:“一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保护档案的义务。”

三、个人信息保护的信息控制人自律机制

由于现阶段我国缺乏对个人信息保护的专门性、统一性的立法,一些信息控制人为了增强行为相对人的信心,进而促进相关行业通过收集、处理、利用、传递个人信息而获得更大的发展,单方面作出了保护个人信息的承诺或制定了保护个人信息的内部行为规范。这是信息控制人采取的一种典型的保护个人信息的自律措施。我国采取此类自律措施保护个人信息的信息控制人主要集中在非公共部门,特别是一些大型的商业网站,当然也有其他行业如银行业的经营者。以下就列举几个典型的非公共部门信息控制人对个人信息保护采取的自律措施。

知名的综合性网站“新浪网”在其首页即载明了该网站的“隐私保护”政策。该隐私保护政策比较典型地体现了当前网站经营者所采取的自律措施,因此本文对此作一简要介绍。在其隐私保护政策中,新浪网首先表明:“隐私权是您的重要权利。向我们提供您的个人信息是基于对我们的信任,相信我们会负责的态度对待您的个人信息。我们认为您提供的信息只能用于帮助我们为您提供更好的服务。

因此,我们制定了新浪网上个人信息保密制度以保护您的个人信息。”新浪网有关个人信息保护的自律措施大致包括以下内容:

第一,该网站所收集的个人信息的种类。“通常,您能在匿名的状态下访问我们的网站并获取信息。在我们请求您提供有关信息之前,我们会解释这些信息的用途。我们有些站点需要注册才能加入,在通常情况下,这类注册只要求您提供一个电子邮件地址和一些诸如您的工作,职务一类的基本信息。有时我们也会请您提供更多的信息。我们这样做是为了使我们更好的理解您的需求,以便向您提供有效的服务。我们站点收集的信息包括姓名,地址和电话号码。您有权随时决定不接受来自我们的任何资料。”

第二,关于敏感个人信息保护及个人信息的使用。“我们将采取适当的步骤保护您的隐私。每当您提供给我们敏感信息时,我们将采取合理的步骤保护您的敏感信息,我们也将采取合理的安全手段保护已存储的个人信息。除非根据法律或政府的强制性规定,在未得到您的许可之前,我们不会把您的任何个人信息提供给无关的第三方(包括公司或个人)。但是,如果您要求我们提供特定客户支援服务或把一些物品送交给您,我们则需要把您的姓名和地址提供给第三者如运输公司。我们的网站将会提供第三者网站的链接。由于我们不能控制这些网站,所以我们建议您细阅这些第三者网站的个人信息保密制度。”

第三,该网站隐私保护的原则。

(1)每当新浪网需要识别您的身份或与您联络时,会明确的询问所需的资料,即个人资料。一般而言,当您在网站上注册,要求提供特别服务,或是如参加奖金竞赛,便会被询问到这项资料。可能的话,新浪网会利用一些方法,确认您的个人资料的正确性与时效性。

(2)新浪网站及其必要的服务伙伴使用您的个人资料来运作网站和服务,并且会通知您各项新的功能与服务,以及新浪网和其附属公司的各类产品。新浪网也会谨慎地挑选来自其他公司的产品或服务资料传送给您,通常是有关于站点本身的服务,但这并非必要(仅是次要用途)。

(3)如果新浪网想要将个人资料用在次要用途上,新浪会提供您如何拒绝这项服务的说明。您可以依照新浪网寄给您的资料或促销信件上的说明,终止这些信件的发送。

(4)新浪网也许会因法律要求公开个人资料,或者因善意确信这样的作法对于下列各项有其必要性:符合法律公告或遵守适用于新浪站点的合法程序;保护新浪网的用户之权利或财产;在紧急的情况下,为了保护新浪及其用户之个人或公众安全。

(5)任何时候如果您认为新浪没有遵守这些原则时,请利用电子邮件privacy@staff sina.com通知我们,我们会尽一切努力,请合理适当的范围内立即改善这个问题。”

第四,Cookies的用途。“新浪网站有时会使用cookies以便我们知道哪些网站受欢迎,使您在访问我们的网站时得到更好的服务。cookies不会跟踪个人信息。当您注册我们的网站程式时,新浪亦会使用cookies。在这种情况下,会存储有用信息,使我们的网站在您再次访问我们的网站时可辨认您的身份。来自新浪网站的cookies只能被新浪网站读取。如果您的浏览器被设置为拒绝cookies您仍然能够访问我们的大多数网站。”

第五,关于个人信息的更新及隐私保护政策的更新。“如果您的地址,职务(职称),电话或e-mail地址发生变化,您可以按新浪网站中公布的联系方式通知新浪,以帮助我们保持您的资料的准确性。你也可以通过登陆新浪网用户注册页面的更新会员资料栏的方式自行更新您的个人信息。新浪欢迎您对这项保密制度给予评论并提出质疑。我们将致力于保护您的个人信息,尽全力保证这些信息的安全。由于网上技术的发展突飞猛进,我们会随时更新我们的信息保密制度。”

在银行业方面,一些银行通过制定相关内部规定对客户个人信息进行保护。1999年,中国工商银行发布了《中国工商银行员工行为守则》,规定工商银行员工应当“严守客户秘密。对于客户提供的信息资料,员工有保密的义务,以维护客户的合法权益。除依法可以提供或客户同意提供的信息外,员工无权擅自披露客户信息。非工作需要,不得与同事随意谈论客户情况。以电话、电子手段交流或传递业务信息时,要注意保护客户信息安全。答复有关信用情况咨询,应对咨询者和咨询对象双方负责。提供对方的数据不得超出银行允许的范围。无关人员不能随意接触客户信息,更不得为个人目的利用客户信息。向公安局、检察院、法院等司法机关提供客户信息,须有公安、司法等部门出具的完备手续,并严格按规定程序进行。严禁向亲属、朋友透露或提供客户信息。”2002年,中国建设银行发布了《中国建设银行个人VIP客户服务管理办法(试行)》,该办法规定:“各级行必须为每个VIP客户建立档案,记录客户个人资料和服务信息,不得遗漏。”“各级行必须妥善保管客户档案资料,非依法律规定或客户允许,任何单位和个人不得对外公开或泄露客户的个人资产和账户交易等客户资料。”

四、个人信息保护的行业自律机制

在我国,作为信息产业重要组成部分的互联网行业对个人信息所遭受的日益严峻的威胁有较为密切的关注。我国对个人信息保护采取行业自律机制措施的行业也主要表现为互联网行业。中国互联网协会于2002年公布了《中国互联网行业自律公约》,倡议互联网全行业从业者加入本公约,并要求成员“自觉维护消费者的合法权益,保守用户信息秘密;不利用用户提供的信息从事任何与向用户作出的承诺无关的活动,不利用技术或其他优势侵犯消费者或用户的合法权益”。同时约定,由中国互联网协会负责组织实施该公约,负责向公约成员单位传递互联网行业管理的法律、政策及行业自律性信息,及时向政府主管部门反映成员单位的意愿和要求,维护成员单位的正当利益,组织实施互联网行业自律,并对成员单位遵守本公约的情况进行监督。

行业自律标识作为个人信息保护行业自律机制的重要实施手段,在我国也己出现。我国互联网行业的迅猛发展,但是,行业快速增长的背后也隐藏着一系列不和谐的音符:垃圾邮件泛滥、病毒、恶意软件滋生、网络语言暴力、网络色情等等现象让网民己经无法自由享受互联网生活,网民的基本权益受到严重的侵害。2006年11月1日,中国互联网协会、违法和不良信息举报中心、反垃圾邮件中心、晚报协会、奇虎公司共同正式宣布,首个互联网公益品牌“净蓝丝带”正式启动。净蓝丝带作为杜绝互联网恶意行为的一个标识,用于宣传“净化互联网空间人人有责,打击互联网犯罪人人出力”的信息,并呼吁“拯救网络弱势群体,杜绝网络恶意行为”。蓝丝带象征纽带,将政府有关机构、互联网企业、网民紧紧联系在一起,共同抵抗网络恶意,象征着国家对互联网行业健康发展的关心和支持,象征着网民对互联网热爱和对纯净互联网空间的渴望,象征着互联网企业关注网民感受,恪守自律的承诺。

五、小结

基于上文的论述,我们可以判断,我国个人信息保护之现状具有如下特征:

第一,在个人信息的法律保护方面:

(1)就法律的适用范围而言,保护个人信息的法律条款数量较为有限、适用范围相对狭窄,没有专门的针对所有信息控制人均适用的统一的个人信息保护法;

(2)就个人信息的法律保护手段而言,重“刑事处罚”和“行政管理”,轻“民事确权”与“民事归责”,导致个人信息遭受侵害后,即使侵权行为人最终遭致刑事处罚或行政处罚,但信息主体的财产及非财产损失却得不到任何实质性的补偿;

(3)就法律的可操作性而言,大部分规定缺乏可操作性,许多条款仅仅规定了对个人信息的保密义务,而没有规定违背该义务的后果;

(4)就法律的体系性而言,现有规定之间缺乏体系上的呼应,给人一种“杂乱无章”、“群龙无首”的感觉,不符合我国已经继受的大陆法系的法律思维,同时也不利于法律的适用;

(5)就法律条款的具体内容而言,大部分条款通常仅对个人信息保护问题轻描淡写、一带而过,往往未能揭示个人信息保护的立法理由、个人信息保护的基本原则、信息主体的权利、个人信息收集、处理、利用及传递的规则、个人信息保护的执行机制及监督机制等个人信息保护法应当具备的重要内容。

(6)就保护个人信息的观念而言,我国法律对个人信息的直接保护是新近发展趋势,在较长时间内由于对个人信息保护的重要意义缺乏正确认识而仅对个人信息采取了有限的间接保护措施。

第二,在个人信息的自律保护方面:(1)非公共部门,特别是一些商业网站,己经逐步认识到了个人信息的巨大价值以及个人信息对信息主体的重大意义,为了增强消费者使用网络的信息,提供了相对较为详细的隐私保护政策。但也应注意到,我国国内各商业网站的个人信息保护水平差异很大,大型的商业网站大多有比较完备的个人信息保护政策;但一些小型网站在个人信息保护方面是令人担忧的,它们不仅没有公开相应的个人信息保护政策,甚至不惜商业信誉,只要能给网站的经营者带来利益,就会不适当地收集、利用乃至出售访问者的个人信息。另外,非公共部门中,除了商业网站及为数不多的其他主体之外,大多数非公共部门并没有单方面向相对人提供个人信息保护政策。与上述单个信息控制人在个人信息保护方面的自律措施相对应的是,除了互联网行业,其他的非公共部门行业也鲜有保护个人信息的行业自律公约。

(2)就公共部门而言,出于长期以来形成的“官本位”的思维定势,对个人信息的关注基本上是出于其管理的需要,强调得更多的是个人提供信息的义务,而个人就其自身信息所享有的权利基本被漠视。举例而言,如今浏览我国的各级政府网站,几乎无法看到与一些大型商业网站所具备的“隐私政策”,哪怕是中央人民政府的网站一一“中国政府网”对个人上网信息的保护问题也没有提供相应的政策,这不能不说是我国电子政务发展的一大遗憾。就这一现象,有学者认为,“这可能由于我国政府网站还处于发展的开始阶段,主要功能还只是对政府政策、办事流程的公示,起到的只是一个电子公告版的作用。政府网站之提供给网络用户阅读信息、资料,而不收集网络用户的个人信息。”但是,这些学者同时也认为,“政府网站发展成为和大多数商业网站那样具有交互式的平台是必然的趋势。为了更好的为纳税人服务,政府网站将来肯定会朝着功能多样化的方向发展。为了方便用户和网站的运作,提供更加个性化的服务,将来的政府网页完全可能发展到给不同的用户发送不同的、适合用户胃口的个性化网页。这样,政府网站也就不可能不收集网络用户的个人信息而永远停留在电子黑板报的层次。另外,不同的政府部门通过网上政务处理,掌握大量关于市民通过网络提交的方方面面的信息,如果缺乏个人信息保护政策,就很可能侵犯个人信息。”对于这一论述,笔者深表赞同。

正因为个人信息保护机制的这种现状,导致了我国社会生活中个人信息频频遭受各种威胁。面临这样的状况,除了由每一个人自己加强自我保护、倡导个人信息保护自律机制的建构之外,越来越多的人们希望我国能够在个人信息保护领域制定一部专门的法律。事实上,如果从建设法治社会的大背景出发,无论是加强信息主体的自我保护、倡导建构个人信息保护的自律机制,还是制定个人信息保护法,均应当着重从民法保护个人信息的角度进行观察与理解。刑法和行政法对个人信息的保护固然能够起到重要的不可或缺的作用,在一定程度上也能够起到预防侵害个人信息行为的发生,但刑法重在惩罚、行政法重在行政管理,其对信息主体的权利确认及事后的全面救济的作用是有限的。

首先,信息主体保护自身个人信息的力量可以通过民法上的自力救济制度得以强化。在法治社会,虽然原则上不允许自力救济,但在来不及采取公力救济措施并且权利有被侵害的现实危险时,法律允许有限地采用自力救济,信息主体可以在法律允许的限度内通过实施自卫行为或自助行为保护自身的个人信息。

其次,就自律机制而言,若信息控制人主动单方面地作出信息保护的承诺,则可以将控制人的这一行为判定为民法上附生效条件的法律行为,一旦条件成就,即信息主体的信息被承诺人所控制,则信息控制人的承诺行为即发生法律效力,信息控制人此时即应当承担其承诺的信息保护义务;若行业自律组织对个人信息保护作出了承诺,则可以视为加入该自律组织的信息控制人均作出了信息保护的承诺,如此一来,同样可以采用附生效条件的法律行为的相关理论进行解释与处理。

另外,如果从民法生长的社会基础—市民社会的理论出发,行业组织是现代市民社会的重要构成环节。是国家权力与市民权利的缓冲地带,行业组织对个人信息保护的重要作用是不可小觑的。最后,个人信息保护法的制定,其内容虽然离不开个人信息的行政保护及刑事保护,但对信息主体而言,对其最有力也是最为实质的保护是通过个人信息保护法赋予其相应权利,使信息主体能够通过自身权利对抗公权力对其个人信息的不当干预、并平衡与其他私权利主体之间的权利冲突。与此同时,当不当侵害他人个人信息时,通过法律对侵权行为人苛以民事责任,则能使被侵害的信息主体得到全面的救济与补偿。

立法需求

立法迫切性

中国人民大学法学院刑法专家谢望原教授认为,一些国家机关和电信、金融等单位在履行公务或提供服务活动中获得的公民个人信息被非法泄露的情况时有发生,对公民的人身、财产安全和个人隐私构成严重威胁。对这类侵害公民权益情节严重的行为,应当追究刑事责任。相比起国外或我国港台地区而言,我国法律对个人隐私的保护力度还远远不够。现代刑法的一个显著特征是它不仅要做国家的“刀把子”,还要成为保障公民个人合法权益的“大宪章”。此次刑法修正案草案这种注重对公民隐私的保护、约束公权力和公共服务的刑事立法理念,值得进一步拓展。

中国发展战略研究所研究员王春晖博士认为,随着信息技术的高速发展,个人信息的搜集变得越来越容易。对此类信息的不当使用或予以公开会给个人造成财产、精神上的损失。因此,对个人隐私权的保护不能只停留在所谓独处权的保护上,而应该朝着保护个人信息的方向发展。隐私权已经从传统的“个人生活安宁不受干扰”的消极权利演变为现代的具有积极意义的“信息隐私权”。另外,根据该修正案草案对犯罪主体的描述:行为人违反国家规定,将履行本单位职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,或者以窃取、收买等方式非法获取上述信息,情节严重的,将构成犯罪。可见,侵犯公民信息权方面的犯罪主体不仅有特殊主体,也包括一般主体。也就是讲专门从事金融、电信、交通、教育、医疗等单位的工作人员是构成本罪的特殊主体,那些以窃取、收买等方式非法获取上述信息的行为人也可以构成本罪的主体。

王春晖博士提出,刑法修正案专门就保护公民的个人信息作出规定,无疑对于那些非法出售、提供或者以窃取、收买等方式非法获取公民信息的不法之徒是一种威慑。因为,在所有的法律责任中,刑事法律责任的惩处和威慑是最严厉的。我国以修改刑法的方式介入个人信息保护,表明了国家对公民个人信息保护重视的程度,同时也证实了国家对公民个人信息保护的力度。

当然,对公民个人信息的保护仅凭一条刑法修正案是远远不够的,不可能解决个人信息保护的所有问题。个人信息保护法律体系是一个涉及宪法、刑法、民法、行政法等多个部门法的综合体系。

因此,王春晖博士建议应当尽快制定和颁布一部专门保护个人信息的专门法律———个人信息保护法,这部专门法律应当在两大方面有所作为:一是对政府部门利用公权力泄露个人信息应当加以重点规制;二是对一些大众服务类企业,诸如金融、电信、交通、教育、医疗等单位,对客户信息的保护应当作出严格的规定。

个人信息保护法的制订也将更全面更完整地保护网络上的个人隐私和信息,同时对互联网企业加强行业自律方面起到作用。反观国际上的做法,欧洲国家在个人数据资料保护方面采取了国家立法主导的模式;而美国联邦政府主张采取自律模式,美国联邦政府1997年发表的《有效自律途径保障隐私的各种要素》报告,认为推动企业制定完善保护个人资料隐私的方案及政策,将使消费者产生信任,进而愿意提供个人资料及进行网际网络交易,只有这样,方能促进商业活动发展。

我国在个人信息保护立法方面,也应该在保护和促进经济发展两者之间取得一定的平衡,必须衡量两方面的利益,既要保障个人隐私资料保护的要求,使网络使用者对网络产生信心,也要避免抑制网络事业的发展,以期制订最妥善、最完备、适合我国国情与未来网络事业发展需要的法律规则。同时,在个人信息保护法即将出台,保护个人的隐私的基本精神得以确立的情况下,互联网企业要加强自律,遵守基本的道德规范和网络秩序,增强网络企业公民的社会责任感。法规和自律相结合,一个适合国情、相对完善的个人信息保护体系就不再遥远。

立法因何迟滞

“由于我们对个人信息隐私没有切实有效的保护,导致我们的日常工作和生活因个人信息的外泄而遭受严重的干扰,甚至造成财产和名誉受损。”全国政协委员胡旭晟日前提交提案,呼吁尽快制定《个人信息保护法》。也正像是对制定个人信息保护法的呼应,中国社会科学院发布的2009年“法治蓝皮书”指出,信息处理和存技术的不断发展,我国个人信息滥用问题日趋严重,其中更为恶劣的是非法买卖个人信息,社会对个人信息保护立法的需求越来越迫切。

散落在一些法律条款中的信息保护规定已无法适应尊严与权利的要求,我们需要一部《个人信息保护法》,这已没什么好说的。然而,相关立法工作却讳莫如深地变得迟疑起来。早在2003年,《个人信息保护法》专家建议稿就开始起草,并于2005年递交相关部门。“由于个人信息保护立法的重要性和紧迫性”,该课题组组长、中国社科院法学所研究员周汉华曾认为这部法律最终出台“不会用太久时间”。但五年过去,全国两会政协委员依旧在为制定此法提交提案,公众在漫长的等待中,也一再支付着成为“透明人”的代价。

个人信息被非法买卖,独处的权利被无礼入侵,而公众通常维权无处,只是其中的一个方面。与之截然相反的另一方面,一个更大的事实则是:应当被公开的个人信息,也因此处于含混与拒绝公开之状态。这实在是个人信息立法不容回避的一个环节,那就是并非一切个人信息都受到保护。比如公众人物尤其是官员的信息。

我们已经知道,以官员财产申报为主要特征的信息公开作为人类社会文明成果之一,明白无误地表明了公共人物必须承受的权利让渡,表明了权力者必须接受的公众监督。这意味着,欲定《个人信息保护法》,必不可回避对官员相关信息的公开的规定。在两会上,对于官员财产申报制度的提案,相关部门的回复依旧是“条件不太成熟”,作为个人信息保护必须厘清的重要方面,官员信息公开规定一下子变得遥遥无期,而此前出台的《政府信息公开条例》在如何界定官员财产与个人隐私方面,亦并不明晰。这样的缺失,注定了《个人信息保护法》只能处于“只闻楼梯响,不见人下来”的局面。

事情终于呈现出这样一个结果:《个人信息保护法》的缺位,非但未能有效保护公民的隐私权,反而使应当公开的官员信息,得以以“隐私权”为由拒绝公开。比如2007年出台的《广州市依法申请公开政府信息办法》中,明确规定“领导成员廉洁信息”不应公开。也正是在这一点上,个人信息立法工作才变得迟疑起来。其中所胶着的,已不是公民隐私权要不要保护的问题,而是官员个人信息要不要公开的问题。记得在2005年的全国两会上人大代表王有杰曾提供一个数据:有97%的官员对“官员财产申报”持反对意见。由此,始信利益集团干扰立法之说并非虚妄。

维权途径

新华社“新华视点”栏目1月11日播发了《你的信用卡个人信息“只花5毛钱就能在网上买到”?--银行信用卡信息泄露调查》报道,引发社会广泛关注[7] 。

国家互联网信息办公室相关负责人接受“新华视点”记者专访时回应,针对个人信用卡等信息网络泄漏问题,我国将加快研究制订个人信息保护相关法律,加大对非法收集、泄露、出售个人信息行为的打击力度。监管部门还向社会公布了居民信息泄漏举报渠道:公民可通过“12377”举报电话等多种方式维权,互联网公司有责任遏制非法个人信息交易。

国家网信办:将加快制订个人信息保护法律

“新华视点”报道中披露,银行信用卡客户数据泄露现象颇为严重,通过QQ群、微信等网络工具,仅花费5毛钱,就能买到包括姓名、电话、地址、工作单位、开户行等完整个人信息的一条信用卡开户数据。部分旧个人数据的报价,甚至低至“2000元10万条”。这些被泄露的个人信息成为欺诈陷阱、骚扰电话的重要源头。

“当前,网络个人信息泄漏现象十分严重。”国家网信办网络安全局副局长杨春燕指出,特别是银行卡敏感信息泄漏现象屡次发生,被一些不法分子利用从事违法犯罪行为,损害用户利益。“对此,国家高度重视,采取了一系列措施。”

据介绍,我国政府正从立法、立规及建标准、建技术保护手段等多方面,促进网络个人信息保护。杨春燕表示,网信办、工信部、公安部等有关部门将加快个人信息保护相关法律的研究制定,加快实施网络安全审查制度。“重点将加强对网络服务提供者的监管,加大对非法收集、泄露、出售个人信息行为的打击力度。”

此外,根据“新华视点”报道调查,通过银行“内鬼”倒卖信息、转手给“合作公司”等方式,商业银行成为信息泄漏的源头之一。但种种例外条款、免责规定,往往让消费者问责无门。对此,国家网信办提示,个人信息遭泄漏后,公民可通过以下三种方式维权:

--按照全国人大常委会《关于加强网络信息保护的决定》,遭遇信息泄漏的个人有权立即要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。

--个人还可向公安部门、互联网管理部门、工商部门、消协、行业管理部门和相关机构进行投诉举报。“国家网信办所属的中国互联网违法和不良信息举报中心将专职接受和处置社会公众对互联网违法和不良信息的举报。”杨春燕说。

--消费者还可依据《侵权责任法》《消费者权益保护法》等,通过法律手段进一步维护自己的合法权益,如要求侵权人赔礼道歉、消除影响、恢复名誉、赔偿损失等。

还有哪些信息被倒卖?医院就诊、网购记录等都包含

央行数据显示,截至2014年第三季度末,我国累计发行信用卡4.36亿张。经互联网管理部门初步调查,信用卡信息泄漏原因较为复杂,一是商业银行由于内部管理等原因导致信息泄露;二是持卡人安全意识不强等原因导致信息被盗;三是第三方机构在持卡人网上支付过程中,非法存储银行卡敏感信息导致信息泄露。

“银行卡信息泄漏可能涉及办卡、用卡、管卡等多个环节,监管部门需先认定在哪个环节出现问题,然后依法依规处理。”杨春燕说。

记者调查也发现,在现实中,个人信息在网上贩卖,信息泄漏倒卖的渠道繁多,甚至公民的医院就诊、网购记录、开房信息也曾以“几毛钱一条在出售”:

--患者就诊记录被公开贩卖。根据知情人士提供的线索,记者加入了一个名为“健康资源-病人数据”的QQ群。该群的简介信息中,“经营销售病人数据、住院数据、挂号数据、医保结算报销数据”的字样赫然在列。部分卖家表示,可提供包括新生儿及高血压、糖尿病、心血管疾病、肿瘤患者数据,患者的姓名、年龄、病史等私密信息均包含在内。

“刚做完手术就接到药品、器械还有保健品的推销电话,持续了两三年。”60多岁的上海杨浦区市民刘先生告诉记者,自己在2010年在上海长海医院就医后,手术后就连续接到针对其所患病症的推销电话、信件,“有的骚扰者还明确表示知道我的家庭住址。”

--网购物流信息被随意买卖。我国网络购物用户规模已达3.32亿人。网购消费者提供的个人姓名、收货地址、联系电话、购物品类等信息,都进入公开贩卖的“黑市”。一家自称淘宝数据商家的QQ平台卖家表示,网购者的物流信息、所购商品信息等数据需求量很大,可全天发货,最便宜的一份“花2000元就能买到3万条个人信息”。

“一些电商平台以个体商家为主,信息散落在个体商家手里,更容易产生信息泄露的风险。”上海金融与法律研究院执行院长傅蔚冈说。

--大量会员卡及会员服务要求“有身份证才能使用”,但是管理不善导致信息外泄。业内人士表示,各种商户要求个人提供的信息越来越多,消费者普遍没有选择权。2012年12月,上海白领王金龙先后在广州、深圳入住汉庭酒店。2013年,一份“2000万开房信息”的数据在网上泄露后,王金龙下载网络流传文件包,发现自己的姓名、身份证号码、手机号和开房时间等信息均在其中,遂向上海市浦东新区法院起诉酒店。

个人信息“黑市”仍猖獗 垄断企业岂能不作为?

杨春燕表示,国家网信办成立以来,已于2014年推出了“微信十条”新规,明确规定了即时通信工具服务提供者的个人信息保护责任:例如,QQ、微信等运营商必须保护用户信息及公民个人隐私,自觉接受社会监督,及时处理公众举报的违法和不良信息。

“监管部门将继续坚持依法治网保护个人信息,个人也应提高意识主动维权。”杨春燕提示,广大民众要进一步提高个人信息保护意识,尽量不随意提供自己的个人信息。

事实上,猖獗的信息交易“黑市”已使消费者付出惨痛代价。“个人信息的购买者中,不乏非法贵金属交易、民间借贷公司,社会风险极大。”上海华荣律师事务所合伙人许峰说。

例如,2013年9月,江苏南京籍投资者张先生在购买某知名炒股软件后,就不断接到非法理财公司销售人员的骚扰电话,后经不住诱惑先后投入59万元投资“纸白银”,15个交易日内就亏损约35万元。

2014年,记者在QQ群、微信及部分电子商务平台检索发现,不少个人信息“黑市”依然存在。仅在QQ群使用查找功能,搜索“银行卡信息”关键词,参与人数超过30人、交易较活跃的群至少有120个。在部分线上“文库”网站中,也仍有公开的银行客户电话数据。

刘春泉认为,用户信息泄露涉及多个违法主体,作为源头的银行到作为传播渠道的互联网平台,以及信息的传播者和使用者均有责任。“对处于垄断地位的商业银行、互联网企业来说,从内控上严格防范客户数据泄露,对自身并没有明显的好处,往往以各种借口推卸责任。”

傅蔚冈建议,当居民遭遇垃圾短信或骚扰电话后,可采取“举证责任倒置”,即使用客户数据从事电话销售的企业需自证信息系通过合法途径获得。“允许个人隐私信息免费交易、贩卖的网站,也通过非法信息市场获得了流量和盈利,也应当被处罚。”(新华社“新华视点”记者杜放、罗政)

实施意义

“个人信息保护法的施行标志着我国个人信息保护立法体系进入新的发展阶段,对公民信息权益的维护以及数字经济的发展具有重要意义”。