《电信和互联网用户个人信息保护规定》解读
2013年7月16日,工业和信息化部公布了《电信和互联网用户个人信息保护规定》(中华人民共和国工业和信息化部令第24号)。记者就《规定》采访了工业和信息化部政法司巡视员李国斌,请他对《规定》进行了解读。
记者:近日,工业和信息化部出台了《电信和互联网用户个人信息保护规定》,请问《规定》出台的意义是什么?
李国斌:近年来,我国电信和互联网行业快速发展,新技术、新应用层出不穷,对促进经济社会发展起到了积极的作用。与此同时,用户个人信息的泄露风险和保护难度不断增大,加强用户个人信息保护立法成为社会广泛关注的问题。
出台《规定》,可以进一步完善电信和互联网行业个人信息保护制度。目前,部分电信业务经营者、互联网信息服务提供者对用户个人信息安全重视不够,安全防护措施不完善,管理制度不健全,信息安全责任落实不到位,需要进一步完善用户个人信息保护法律制度,规范电信服务、互联网信息服务过程中收集、使用用户个人信息的活动。
出台《规定》,也是贯彻落实全国人大常委会《关于加强网络信息保护的决定》(以下简称《决定》)的需要。贯彻执行好《决定》有关收集、使用个人信息的制度,需要出台相关配套规定。制定《规定》,进一步明确电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施等,是落实全国人大常委会《决定》规定的制度和措施,切实保护用户合法权益的要求。
记者:您能否介绍一下《规定》的制定过程?
李国斌:2012年5月,工业和信息化部启动了《规定》立法研究和起草工作。在起草过程中,我们赴吉林、广东、四川等地进行了调研,多次书面征求了部机关相关司局、各省(区、市)通信管理局、基础电信企业和互联网企业对《规定(征求意见稿)》的意见,组织召开了省级通信管理局、基础电信企业和互联网企业参加的立法座谈会,并通过国务院法制办的“中国政府法制信息网”和我部门户网站向社会公开征求了意见。经征求意见,社会各方面对制定《规定》给予了积极的肯定,没有原则性的不同意见。在充分听取各方面意见并进一步完善有关制度的基础上,我们形成了《规定(草案)》。
2013年6月28日,我部第2次部务会议审议通过了《规定》。7月16日,工业和信息化部第24号令公布了《规定》。《规定》将于9月1日生效。
记者: 您能否介绍一下《规定》关于用户个人信息保护管理工作的定位?
李国斌:全国人大常委会《决定》对“公民个人电子信息”做了界定,并明确了信息收集、使用的原则和相关规则。
目前,各行业普遍存在收集、使用个人信息的情况,相应的信息保护工作也涉及到众多的部门,我部并不负责管理所有的个人信息。《规定》依据《决定》的有关规定,立足我部电信和互联网行业管理职责,以“概括加列举”的方式规定了由我部负责监督管理的用户个人信息的范围,即:电信业务经营者、互联网信息服务提供者在提供服务的过程中收集的能够识别用户的信息以及用户使用服务的信息,包括用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
记者:您能否介绍一下《规定》的主要内容?
李国斌:《规定》共六章、二十五条,主要规定了如下内容:
(一)电信和互联网用户个人信息的保护范围。《规定》依据全国人大常委会《决定》的有关规定,明确要求保护“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”。
(二)用户个人信息收集和使用原则。《规定》根据全国人大常委会《决定》的规定,要求电信业务经营者、互联网信息服务提供者收集、使用用户个人信息应当遵循合法、正当、必要的原则,并对用户个人信息的安全负责。
(三)用户个人信息收集和使用规则。《规定》要求电信业务经营者、互联网信息服务提供者遵守下列信息收集和使用规则:制定并公布其信息收集和使用的规则;未经用户同意不得收集、使用用户个人信息;明确告知用户其收集、使用信息的目的、方式和范围等事项;不得收集提供服务所必需以外的用户个人信息;在用户终止使用服务后应当停止对用户个人信息的收集和使用,并提供注销号码或账号的服务;不得泄露、篡改、毁损、出售或者非法向他人提供用户个人信息等。
(四)代理商管理。《规定》按照“谁经营、谁负责”、“谁委托、谁负责”的原则,根据民法上的委托代理制度,明确规定由电信业务经营者、互联网信息服务提供者负责对其代理商的个人信息保护工作实施管理。《规定》要求:电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合《规定》有关用户个人信息保护要求的代理人代办相关服务。
(五)安全保障制度。《规定》从岗位责任、管理制度、权限管理、存储介质、信息系统、操作记录、安全防护等方面,明确了电信业务经营者、互联网信息服务提供者应当采取的防止用户个人信息泄露、毁损、篡改或者丢失的措施。与此同时,《规定》对用户个人信息保护情况自查和培训等制度作了相应的规定。
(六)监督检查制度。《规定》要求电信管理机构对用户个人信息保护情况实施监督检查,电信业务经营者、互联网信息服务提供者应当予以配合。《规定》还明确规定电信管理机构在电信业务经营许可和年检中应当审查用户个人信息保护的情况,将电信业务经营者、互联网信息服务提供者违反《规定》的行为记入其社会信用档案。
记者:有人认为,《规定》的处罚力度有限。《规定》在制度设计方面如何解决处罚力度过低的问题的?
李国斌:诚如您所言,在征求意见过程中,确实有意见认为《规定》设定的罚款数额过低,处罚力度过小,不利于惩处和预防侵害用户个人信息的违法行为,建议加大处罚力度。根据《行政处罚法》和国务院的有关规定,部门规章只能设定警告和最高额为三万元的罚款。《规定》遵循了上述规定,对相关违法行为设定了警告和三万元以下的罚款处罚。与此同时,为有效预防和打击相关违法行为,我们还积极创新管理方式,在法律规定的幅度内设定相关处罚的同时,设立了制止违法行为危害扩大的“叫停”制度、“向社会公告”行政处罚的制度和将违法行为“记入社会信用档案”的制度。我们认为,综合运用上述管理制度和处罚措施,能够有效地遏制侵害用户个人信息的违法行为。