2013年7月16日,工業和信息化部公布了《電信和互聯網用戶個人信息保護規定》(中華人民共和國工業和信息化部令第24號)。記者就《規定》采訪了工業和信息化部政法司巡視員李國斌,請他對《規定》進行了解讀。 記者:近日,工業和信息化部出臺了《電信和互聯網用戶個人信息保護規定》,請問《規定》出臺的意義是什么? 李國斌:近年來,我國電信和互聯網行業快速發展,新技術、新應用層出不窮,對促進經濟社會發展起到了積極的作用。與此同時,用戶個人信息的泄露風險和保護難度不斷增大,加強用戶個人信息保護立法成為社會廣泛關注的問題。 出臺《規定》,可以進一步完善電信和互聯網行業個人信息保護制度。目前,部分電信業務經營者、互聯網信息服務提供者對用戶個人信息安全重視不夠,安全防護措施不完善,管理制度不健全,信息安全責任落實不到位,需要進一步完善用戶個人信息保護法律制度,規范電信服務、互聯網信息服務過程中收集、使用用戶個人信息的活動。
出臺《規定》,也是貫徹落實全國人大常委會《關于加強網絡信息保護的決定》(以下簡稱《決定》)的需要。貫徹執行好《決定》有關收集、使用個人信息的制度,需要出臺相關配套規定。制定《規定》,進一步明確電信業務經營者、互聯網信息服務提供者收集、使用用戶個人信息的規則和信息安全保障措施等,是落實全國人大常委會《決定》規定的制度和措施,切實保護用戶合法權益的要求。 李國斌:2012年5月,工業和信息化部啟動了《規定》立法研究和起草工作。在起草過程中,我們赴吉林、廣東、四川等地進行了調研,多次書面征求了部機關相關司局、各省(區、市)通信管理局、基礎電信企業和互聯網企業對《規定(征求意見稿)》的意見,組織召開了省級通信管理局、基礎電信企業和互聯網企業參加的立法座談會,并通過國務院法制辦的“中國政府法制信息網”和我部門戶網站向社會公開征求了意見。經征求意見,社會各方面對制定《規定》給予了積極的肯定,沒有原則性的不同意見。在充分聽取各方面意見并進一步完善有關制度的基礎上,我們形成了《規定(草案)》。
2013年6月28日,我部第2次部務會議審議通過了《規定》。7月16日,工業和信息化部第24號令公布了《規定》。《規定》將于9月1日生效。 李國斌:全國人大常委會《決定》對“公民個人電子信息”做了界定,并明確了信息收集、使用的原則和相關規則。
目前,各行業普遍存在收集、使用個人信息的情況,相應的信息保護工作也涉及到眾多的部門,我部并不負責管理所有的個人信息。《規定》依據《決定》的有關規定,立足我部電信和互聯網行業管理職責,以“概括加列舉”的方式規定了由我部負責監督管理的用戶個人信息的范圍,即:電信業務經營者、互聯網信息服務提供者在提供服務的過程中收集的能夠識別用戶的信息以及用戶使用服務的信息,包括用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息。 李國斌:《規定》共六章、二十五條,主要規定了如下內容: (一)電信和互聯網用戶個人信息的保護范圍。《規定》依據全國人大常委會《決定》的有關規定,明確要求保護“電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息”。 (二)用戶個人信息收集和使用原則。《規定》根據全國人大常委會《決定》的規定,要求電信業務經營者、互聯網信息服務提供者收集、使用用戶個人信息應當遵循合法、正當、必要的原則,并對用戶個人信息的安全負責。 (三)用戶個人信息收集和使用規則。《規定》要求電信業務經營者、互聯網信息服務提供者遵守下列信息收集和使用規則:制定并公布其信息收集和使用的規則;未經用戶同意不得收集、使用用戶個人信息;明確告知用戶其收集、使用信息的目的、方式和范圍等事項;不得收集提供服務所必需以外的用戶個人信息;在用戶終止使用服務后應當停止對用戶個人信息的收集和使用,并提供注銷號碼或賬號的服務;不得泄露、篡改、毀損、出售或者非法向他人提供用戶個人信息等。 (四)代理商管理。《規定》按照“誰經營、誰負責”、“誰委托、誰負責”的原則,根據民法上的委托代理制度,明確規定由電信業務經營者、互聯網信息服務提供者負責對其代理商的個人信息保護工作實施管理。《規定》要求:電信業務經營者、互聯網信息服務提供者委托他人代理市場銷售和技術服務等直接面向用戶的服務性工作,涉及收集、使用用戶個人信息的,應當對代理人的用戶個人信息保護工作進行監督和管理,不得委托不符合《規定》有關用戶個人信息保護要求的代理人代辦相關服務。 (五)安全保障制度。《規定》從崗位責任、管理制度、權限管理、存儲介質、信息系統、操作記錄、安全防護等方面,明確了電信業務經營者、互聯網信息服務提供者應當采取的防止用戶個人信息泄露、毀損、篡改或者丟失的措施。與此同時,《規定》對用戶個人信息保護情況自查和培訓等制度作了相應的規定。
(六)監督檢查制度。《規定》要求電信管理機構對用戶個人信息保護情況實施監督檢查,電信業務經營者、互聯網信息服務提供者應當予以配合。《規定》還明確規定電信管理機構在電信業務經營許可和年檢中應當審查用戶個人信息保護的情況,將電信業務經營者、互聯網信息服務提供者違反《規定》的行為記入其社會信用檔案。 |
|
|