袁希纲委员:
您提出的《关于加强个人信息安全的提案》收悉。现答复如下:
首先感谢您对个人信息安全工作的关注和提出的建议。随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显。与此同时,滥用个人信息的现象随之出现。近年来,窃取、泄露、篡改、非法买卖个人信息等事件频发,亟需对个人信息加强保护。您在提案中建议,加强个人信息安全,应针对个人信息安全专门立法、提高信息平台服务业的准入门槛和加强制定、完善有关个人信息安全标准,我们表示认同。
工业和信息化部对个人信息安全相关问题非常重视,相关工作已经或正逐步开展。
一、关于个人信息保护立法我国涉及个人信息的法律法规虽多,但规定过于简单、缺乏操作性、层次低、名称表述不统一等不足之处也很明显,出台专门的个人信息保护法十分必要。
2011年工业和信息化部组织开展相关课题研究时发现,我国现有涉及个人信息的法律有近40部、法律解释10条、法规近30部、部门规章近200部。如《中华人民共和国居民身份证法》规定,公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密。泄露因制作、发放、查验、扣押居民身份证而知悉的公民个人信息,侵害公民合法权益的,根据情节轻重,依法给予行政处分;构成犯罪的,依法追究刑事责任。《中华人民共和国刑法修正案(七)》首次增设了侵犯个人信息安全犯罪条文,随后《最高人民法院、最高人民检察院关于执行〈中华人民共和国刑法〉确定罪名的补充规定(四)》确定了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。《互联网电子邮件服务管理办法》规定,互联网电子邮件服务提供者及其工作人员不得非法使用用户的个人注册信息资料和互联网电子邮件地址等。现有的法律法规并非专门针对个人信息,对个人信息缺少清晰界定,且多从信息安全保护角度作出规定,对个人信息处理的程序、具体制度以及相关的法律救济手段等缺少明确的规定。在调研中还发现,75%的受访者认为应进一步立法来加强个人信息保护,受访企业也认为应通过立法规定企业在收集利用个人信息时的权利、义务以及保护原则,使企业在开展个人信息保护工作时有据可依。
出台专门的个人信息保护法,明确个人信息定义,提出有关各方权利、责任等十分必要。因个人信息保护外延的广泛性、个人信息权利被侵害现象的多样性和个人信息保护的复杂性,个人信息保护立法是一项综合性较强且较为复杂的工作,一些难点问题还需进一步形成共识,如立法模式的选择、对个人信息的界定、法律保护的是隐私权还是个人信息权,这项权利究竟是民事权利还是宪法权利、平衡个人信息保护和信息合理利用之间的关系等。我们认为,保护个人信息是尊重和保护公民权益的重要内容,涉及到每一个公民的切身利益和基本权利,要解决我国个人信息安全问题,必须加快制定专门的个人信息保护法,从顶层对个人信息保护有关内容作出规定,建立个人信息保护的监管体制,明确个人信息保护的基本概念和法律主体各方的权责,明确侵犯个人信息主体合法权益的法律责任,从源头上规范个人信息处理活动,同时严厉打击个人信息犯罪活动。工业和信息化部将积极配合立法部门,做好个人信息保护的立法工作。
二、关于规范信息服务业个人信息处理行为工业和信息化部非常重视规范信息服务提供商在处理用户个人信息时的行为和安全防护措施。2011年12月31日工业和信息化部发布了《规范互联网信息服务市场秩序若干规定》,对互联网信息服务提供者的行为提出了规范性要求,其中第十一条和第十二条对互联网信息服务提供者处理个人信息的行为和采取安全防护措施作出了明确的规定,如“第十一条:未经用户同意,互联网信息服务提供者不得收集与用户相关、能够单独或者与其他信息结合识别用户的信息(以下简称“用户个人信息”),不得将用户个人信息提供给他人,但是法律、行政法规另有规定的除外。互联网信息服务提供者经用户同意收集用户个人信息的,应当明确告知用户收集和处理用户个人信息的方式、内容和用途,不得收集其提供服务所必需以外的信息,不得将用户个人信息用于其提供服务之外的目的”;“第十二条:互联网信息服务提供者应当妥善保管用户个人信息;保管的用户个人信息泄露或者可能泄露时,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其互联网信息服务许可或者备案的电信管理机构报告,并配合相关部门进行的调查处理”。
三、制定标准,倡导行业自律和社会监督工业和信息化部倡导行业自律和社会监督,推进个人信息保护工作。
2011年由全国信息安全标准化委员会提出并归口的《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《个人信息保护指南》)已编制完成,正按程序报批。《个人信息保护指南》将个人信息分为个人一般信息和个人敏感信息,并提出了默许同意和明示同意的概念。《个人信息保护指南》还正式提出了处理个人信息时应当遵循的八项基本原则,即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确,划分了收集、加工、转移和删除四个环节,并针对每一个环节提出了落实八项基本原则的具体要求。该项标准还明确要求,处理个人信息应当具有特定、明确和合理的目的,应当在个人信息主体知情的情况下获得个人信息主体的同意,应当在达成个人信息使用目的之后删除个人信息。《个人信息保护指南》旨在提高个人信息保护意识,规范个人信息的处理行为,促进个人信息的合理利用,保护个人合法权益,建构政府引导下的行业自律机制和模式。
2011年5月根据《个人信息保护指南》,工业和信息化部组织研究制定了互联网网站个人信息保护政策测评方案和测评指标,选取了7类共105家网站,对其隐私保护政策进行测评,于2012年3月15日在“2012中国个人信息保护大会”上将测评结果发布。多家媒体报道后,引起社会的热烈反响。
我们将继续推进个人信息保护工作,逐步研究制定个人信息保护相关技术、管理和评测标准,以指导行业自律工作;继续探索建立个人信息保护第三方评估机制,面向社会公布当前个人信息保护态势,提高公民意识,为社会监督提供支持。
感谢您对个人信息保护工作的关注,欢迎再提宝贵意见。
