电信用户个人信息的法律保护.ppt

电信企业用户信息的法律保护 胡卫 贵州大学法学院副教授/硕士生导师 贵州辅正律师事务所律师 中国财税法研究会理事 2012年5月16日,一、用户信息保护的法律规定,截至目前，涉及个人信息保护的法律有30余部，行政法规达40余部，行政规章达200余部，地方性法规及地方规章未有完全统计。现就主要的法律规定进行梳理如下：,1、中华人民共和国宪法 第三十三条 凡具有中华人民共和国国籍的人都是中华人民共和国公民。 中华人民共和国公民在法律面前一律平等。 国家尊重和保障人权。 第三十八条 中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。 第三十九条 中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。 第四十条 中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。 第四十一条 中华人民共和国公民对于任何国家机关和国家工作人员，有提出批评和建议的权利；对于任何国家机关和国家工作人员的违法失职行为，有向有关国家机关提出申诉、控告或者检举的权利，但是不得捏造或者歪曲事实进行诬告陷害。,对于公民的申诉、控告或者检举，有关国家机关必须查清事实，负责处理。任何人不得压制和打击报 由于国家机关和国家工作人员侵犯公民权利而受到损失的人，有依照法律规定取得赔偿的权利。 第四十七条 中华人民共和国公民有进行科学研究、文学艺术创作和其他文化活动的自由。国家对于从事教育、科学、技术、文学、艺术和其他文化事业的公民的有益于人民的创造性工作，给以鼓励和帮助。 第五十一条 中华人民共和国公民在行使自由和权利的时候，不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。 中华人民共和国宪法修正案（2004年） 第二十四条宪法第三十三条增加一款，作为第三款：“国家尊重和保障人权。”第三款相应地改为第四款。 （个人信息的泄露等涉及到个人隐私、人格尊严、人格自由等韩寒博文太平洋的风所提及的核心价值观诚实、善良、勤奋、进取、包容的核心价值）,2、中华人民共和国民法通则 第九十九条 公民享有姓名权，有权决定、使用和依照规定改变自己的姓名，禁止他人干涉、盗用、假冒。 法人、个体工商户、个人合伙享有名称权。企业法人、个体工商户、个人合伙有权使用、依法转让自己的名称。 第一百条 公民享有肖像权，未经本人同意，不得以营利为目的使用公民的肖像。 第一百零一条 公民、法人享有名誉权，公民的人格尊严受法律保护，禁止用侮辱、诽谤等方式损害公民、法人的名誉。 第一百零二条 公民、法人享有荣誉权，禁止非法剥夺公民、法人的荣誉称号。 （“母女情深”案）,3、中华人民共和国妇女权益保障法（2005修正） 第四十二条 妇女的名誉权、荣誉权、隐私权、肖像权等人格权受法律保护。 禁止用侮辱、诽谤等方式损害妇女的人格尊严。禁止通过大众传播媒介或者其他方式贬 低损害妇女人格。未经本人同意，不得以营利为目的，通过广告、商标、展览橱窗、报纸、期刊、图书、音像制品、电子出版物、网络等形式使用妇女肖像。 （如前段时间在网络上经常发生擅自发他人裸照在网上，将他人的隐私信息公布，用他人肖像打卫生巾广告等）,4、中华人民共和国未成年人保护法 第三十九条 任何组织或者个人不得披露未成年人的个人隐私。 对未成年人的信件、日记、电子邮件，任何组织或者个人不得隐匿、毁弃； 除因追查犯罪的需要，由公安机关或者人民检察院依法进行检查，或者对无行为能力的未成年人的信件、日记、电子邮件由其父母或者其他监护人代为开拆、查阅外，任何组织或者个人不得开拆、查阅。 （贵州省未成年人保护条例及刑法修正案八还规定了未成年人犯罪消除记录制度，对此类记录亦不得擅自发布；孩子刚出生信息就泄露）,贵州省未成年人保护条例（2010年修正） 第五十条 对不起诉、免予刑事处罚或者宣告缓刑、解除违法行为教育矫治、刑满释放以及受过治安管理处罚的未成年人，其复学、升学、就业等不受歧视。 对违法和轻微犯罪的未成年人，可以试行违法和轻罪记录消除制度。,5、中华人民共和国消费者权益保护法 第十四条 消费者在购买、使用商品和接受服务时，享有其人格尊严、民族风俗习惯得到尊重的权利。 第二十五条 经营者不得对消费者进行侮辱、诽谤，不得搜查消费者的身体及其携带的物品，不得侵犯消费者的人身自由。 第四十三条 经营者违反本法第二十五条规定，侵害消费者的人格尊严或者侵犯消费者人身自由的，应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。 （不论电信企业还是银行、保险、证券、房屋中介等，消费者的个人信息容易泄露，进而会侵犯消费者人格尊严）,贵州省消费者权益保护条例 第二十条 经营者应当为消费者提供安全的消费环境，其经营场地、服务设施、店堂装潢、商品陈列等应当符合保障人身、财产安全的要求，对可能危及人身、财产安全的，应当设置警示标志，并采取相应的防范措施。 经营者在经营场所采用的安全监控措施，不得侵害消费者的隐私权。（上海地铁热吻案） 第二十五条 经营者提供商品或者服务时，不得要求消费者提供与消费无关的个人信息。 未经消费者同意，经营者不得将消费者的姓名、性别、职业、年龄、住址、身份证号码、学历、联系方式、婚姻状况、工作单位、收入和财产状况、指纹、血型、病史等个人信息及其家庭的有关信息向第三人披露或者用于其他用途。法律、法规另有规定的，从其规定。,第二十七条第三款：医疗机构及其医务人员应当依法维护患者在接受医疗服务中的知情权、隐私权。对患者或者其直系亲属、监护人查阅、复印处方笺、住院志、医嘱单、检验检查报告、手术及麻醉记录单等病历资料提供方便；未经患者或者其直系亲属、监护人同意，不得公开患者病情。 第五十九条 违反本条例规定，有下列情形之一的，可以根据情节单处或者并处警告、没收违法所得、处以违法所得1倍以上5倍以下罚款；没有违法所得的，处以1万元以下罚款；情节严重的，责令停业整顿： （八）未经消费者同意，向第三人披露消费者个人信息；,6、中华人民共和国邮政法（2009年修正） 第三条公民的通信自由和通信秘密受法律保护。除因国家安全或者追查刑事犯罪的需要，由公安机关、国家安全机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。 除法律另有规定外，任何组织或者个人不得检查、扣留邮件、汇款。 第七条 邮政管理部门、公安机关、国家安全机关和海关应当相互配合，建立健全安全保障机制，加强对邮政通信与信息安全的监督管理，确保邮政通信与信息安全。,第三十五条 任何单位和个人不得私自开拆、隐匿、毁弃他人邮件。 除法律另有规定外，邮政企业及其从业人员不得向任何单位或者个人泄露用户使用邮政服务的信息。 第三十六条 因国家安全或者追查刑事犯罪的需要，公安机关、国家安全机关或者检察机关可以依法检查、扣留有关邮件，并可以要求邮政企业提供相关用户使用邮政服务的信息。邮政企业和有关单位应当配合，并对有关情况予以保密。,7、中华人民共和国电信条例 第四条 电信监督管理遵循政企分开、破除垄断、鼓励竞争、促进发展和公开、公平、公正的原则。 电信业务经营者应当依法经营，遵守商业道德，接受依法实施的监督检查。 第六条 电信网络和信息的安全受法律保护。任何组织或者个人不得利用电信网络从事危害国家安全、社会公共利益或者他人合法权益的活动。 第五十七条 任何组织或者个人不得利用电信网络制作、复制、发布、传播含有下列内容的信息： （八）侮辱或者诽谤他人，侵害他人合法权益的；,第五十八条 任何组织或者个人不得有下列危害电信网络安全和信息安全的行为： （二）利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动； 第六十六条 电信用户依法使用电信的自由和通信秘密受法律保护。除因国家安全或者追查刑事犯罪的需要，由公安机关、国家安全机关或者人民检察院依照法律规定的程序对电信内容进行检查外，任何组织或者个人不得以任何理由对电信内容进行检查。 电信业务经营者及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息的内容。,互联网信息服务管理办法 第十五条 互联网信息服务提供者不得制作、复制、发布、传播含有下列内容的信息： （八）侮辱或者诽谤他人，侵害他人合法权益的； （九）含有法律、行政法规禁止的其他内容的。 第十六条 互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条所列内容之一的，应当立即停止传输，保存有关记录，并向国家有关机关报告。 第十八条 国务院信息产业主管部门和省、自治区、直辖市电信管理机构，依法对互联网信息服务实施监督管理。 新闻、出版、教育、卫生、药品监督管理、工商行政管理和公安、国家安全等有关主管部门，在各自职责范围内依法对互联网信息内容实施监督管理。,8、中华人民共和国计算机信息网络国际联网管理暂行规定实施办法 第十八条 用户应当服从接入单位的管理，遵守用户守则；不得擅自进入未经许可的计算机系统，篡改他人信息；不得在网络上散发恶意信息，冒用他人名义发出信息，侵犯他人隐私； 不得制造、传播计算机病毒及从事其它侵犯网络和他人合法权益的活动。 用户有权获得接入单位提供的各项服务；有义务交纳费用。,9、互联网电子邮件服务管理办法 第九条 互联网电子邮件服务提供者对用户的个人注册信息和互联网电子邮件地址，负有保密的义务。 互联网电子邮件服务提供者及其工作人员不得非法使用用户的个人注册信息资料和互联网电子邮件地址；未经用户同意，不得泄露用户的个人注册信息和互联网电子邮件地址，但法律、行政法规另有规定的除外。,10、互联网电子公告服务管理规定 第十二条 电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意不得向他人泄露，但法律另有规定的除外。 第十九条 违反本规定第十二条的规定，未经上网用户同意，向他人非法泄露上网用户个人信息的，由省、自治区、直辖市电信管理机构责令改正；给上网用户造成损害或者损失的，依法承担法律责任。,11、中华人民共和国治安管理处罚法 第四十二条 有下列行为之一的，处五日以下拘留或者五百元以下罚款；情节较重的，处五日以上十日以下拘留，可以并处五百元以下罚款： （五）多次发送淫秽、侮辱、恐吓或者其他信息，干扰他人正常生活的； （六）偷窥、偷拍、窃听、散布他人隐私的。,12.计算机信息网络国际联网安全保护管理办法 第七条 用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。,13、医务人员医德规范及实施办法 第三条 医德规范如下 （五)为病人保守医密。实行保护性医疗， 不泄露病人隐私与秘密。 医疗机构病历管理规定 第五条 医疗机构应当严格病历管理，严禁任何人涂改、伪造、隐匿、销毁、抢夺、窃取病历。 第六条 除涉及对患者实施医疗活动的医务人员及医疗服务质量监控人员外，其他任何机构和个人不得擅自查阅该患者的病历。 因科研、教学需要查阅病历的，需经患者就诊的医疗机构有关部门同意后查阅。阅后应当立即归还。不得泄露患者隐私。,14、中华人民共和国执业医师法 第二十二条 医师在执业活动中履行下列义务： （三）关心、爱护、尊重患者，保护患者的隐私； 第三十七条 医师在执业活动中，违反本法规定，有下列行为之一的，由县级以上人民政府卫生行政部门给予警告或者责令暂停六个月以上一年以下执业活动；情节严重的，吊销其执业证书；构成犯罪的，依法追究刑事责任： （九）泄露患者隐私，造成严重后果的；,15、中华人民共和国传染病防治法 第六十八条 疾病预防控制机构违反本法规定，有下列情形之一的，由县级以上人民政府卫生行政部门责令限期改正，通报批评，给予警告；对负有责任的主管人员和其他直接责任人员，依法给予降级、撤职、开除的处分，并可以依法吊销有关责任人员的执业证书；构成犯罪的，依法追究刑事责任： （五）故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的。,16、艾滋病监测管理的若干规定（1987年） 第二十一条 任何单位和个人不得歧视艾滋病病人、病毒感染者及其家属。不得将病人和感染者的姓名、住址等有关情况公布或传播。 （有些地方实行艾滋病实名制导致登记和治疗率下降，也是担心个人信息泄露）,17、中华人民共和国母婴保健法 第三十四条 从事母婴保健工作的人员应当严格遵守职业道德，为当事人保守秘密。 （孩子刚出生信息就被卖的现象十分普遍，医院负有不可推卸的责任）,18、中华人民共和国商业银行法 第六条 商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。 第二十九条：商业银行办理个人储蓄存款业务，应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。 对个人储蓄存款，商业银行有权拒绝任何单位或者个人查询、冻结、扣划，但法律另有规定的除外。 第三十条：对单位存款，商业银行有权拒绝任何单位或者个人查询，但法律、行政法规另有规定的除外；有权拒绝任何单位或者个人冻结、扣划，但法律另有规定的除外。 （之前是中级法院等都可查询银行账户，现根据最高法院规定必须是省高院才有权，且定时查询。银行信息泄露会带来严重的后果前天新闻还说一建行支行行长取走储户千万资金，账户仅剩一元。）,个人存款账户实名制规定 第八条 金融机构及其工作人员负有为个人存款账户的情况保守秘密的责任。 金融机构不得向任何单位或者个人提供有关个人存款账户的情况，并有权拒绝任何单位或者个人查询、冻结、扣划个人在金融机构的款项；但是，法律另有规定的除外。 （网络实名制、手机实名制下带来规范管理的同时，也使得用户信息的泄露成为重大隐患，如何规制是须考虑的问题）,19、中华人民共和国居民身份证法（2011年修正） 第六条 居民身份证式样由国务院公安部门制定。居民身份证由公安机关统一制作、发放。 居民身份证具备视读与机读两种功能，视读、机读的内容限于本法第三条第一款规定的项目。 公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息，应当予以保密。 第十三条 公民从事有关活动，需要证明身份的，有权使用居民身份证证明身份，有关单位及其工作人员不得拒绝。 有关单位及其工作人员对履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息，应当予以保密。 （此款为2011年10月29日修订时新增，2006年制定时首次正式使用“个人信息”的规范表述）,20、中华人民共和国统计法 第九条 统计机构和统计人员对在统计工作中知悉的国家秘密、商业秘密和个人信息，应当予以保密。 第二十五条 统计调查中获得的能够识别或者推断单个统计调查对象身份的资料，任何单位和个人不得对外提供、泄露，不得用于统计以外的目的。 第三十九条 县级以上人民政府统计机构或者有关部门有下列行为之一的，对直接负责的主管人员和其他直接责任人员由任免机关或者监察机关依法给予处分： （二）泄露统计调查对象的商业秘密、个人信息或者提供、泄露在统计调查中获得的能够识别或者推断单个统计调查对象身份的资料的；,国家统计局央行两官员多次泄露经济数据获刑,全国人口普查条例 第四条 人口普查对象应当按照中华人民共和国统计法和本条例的规定，真实、准确、完整、及时地提供人口普查所需的资料。 人口普查对象提供的资料，应当依法予以保密。 第三十二条 人口普查中获得的原始普查资料，按照国家有关规定保存、销毁。 第三十三条 人口普查中获得的能够识别或者推断单个普查对象身份的资料，任何单位和个人不得对外提供、泄露，不得作为对人口普查对象作出具体行政行为的依据，不得用于人口普查以外的目的。 人口普查数据不得作为对地方人民政府进行政绩考核和责任追究的依据。 第三十五条 普查机构在组织实施人口普查活动中有下列违法行为之一的，由本级人民政府或者上级人民政府统计机构责令改正，予以通报；对直接负责的主管人员和其他直接责任人员，由任免机关或者监察机关依法给予处分： （六）泄露或者向他人提供能够识别或者推断单个普查对象身份的资料的。 普查人员有前款所列行为之一的，责令其停止执行人口普查任务，予以通报，依法给予处分。（处罚太轻）,20、中华人民共和国收养法 第二十二条 收养人、送养人要求保守收养秘密的，其他人应当尊重其意愿，不得泄露。,21、旅行社条例实施细则 第四十四条 旅行社应当妥善保存条例规定的招徕、组织、接待旅游者的各类合同及相关文件、资料，以备县级以上旅游行政管理部门核查。 前款所称的合同及文件、资料的保存期，应当不少于两年。 旅行社不得向其他经营者或者个人，泄露旅游者因签订旅游合同提供的个人信息；超过保存期限的旅游者个人信息资料，应当妥善销毁。 第五十八条 违反本实施细则第四十四条的规定，未妥善保存各类旅游合同及相关文件、资料，保存期不够两年，或者泄露旅游者个人信息的，由县级以上旅游行政管理部门责令改正，没收违法所得，处违法所得3倍以下但最高不超过3万元的罚款；没有违法所得的，处1万元以下的罚款。,22、中华人民共和国刑法修正案（七） 在刑法第二百五十三条后增加一条，作为第二百五十三条之一： “国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。 “窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。 “单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。” 本条所涉及的两个罪名：出售、非法提供公民个人信息罪（可分开）和非法获取公民个人信息罪。,去年月，公安部组织广东、北京等地公安机关开展深入调查，掌握了此类违法犯罪活动的特点： 一是形成犯罪网络和利益链条。一些犯罪分子大肆向掌握信息的部门内部人员购买信息，并通过网络相互买卖，形成了公民个人信息的网络交易平台。有的犯罪分子掌握银行、民航、通信等涉及公民个人生活各方面的信息多达余项、上亿条； 二是内外勾结，许多信息源头都来自掌握公民个人信息的单位和部门，个别“内鬼”为了经济利益非法出售大量公民个人资料。 三是与各类下游犯罪相互交织，危害巨大。一些犯罪团伙和非法调查公司利用非法获取的公民个人信息进行电信诈骗、敲诈勒索和绑架、暴力讨债等违法犯罪活动。 四是作案具有很强隐蔽性。犯罪分子主要是利用网络进行倒卖信息活动，用的都是虚拟身份，为了逃避打击，经常变换身份，交易成功后立即销毁作案证据。,23、中华人民共和国侵权责任法 第二条 侵害民事权益，应当依照本法承担侵权责任。 本法所称民事权益，包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。 第三条 被侵权人有权请求侵权人承担侵权责任。 第四条 侵权人因同一行为应当承担行政责任或者刑事责任的，不影响依法承担侵权责 任。 因同一行为应当承担侵权责任和行政责任、刑事责任，侵权人的财产不足以支付的，先 承担侵权责任。 第五条 其他法律对侵权责任另有特别规定的，依照其规定。,第三十六条 网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。 网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。 网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。 第六十一条医疗机构及其医务人员应当按照规定填写并妥善保管住院志、医嘱单、检验报告、手术及麻醉记录、病理资料、护理记录、医疗费用等病历资料。患者要求查阅、复制前款规定的病历资料的，医疗机构应当提供。 第六十二条医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料，造成患者损害的，应当承担侵权责任。 （“人肉搜索”有望被禁止，即使是善意的也应当严格限定）,24、中华人民共和国民事诉讼法 第一百二十条 人民法院审理民事案件，除涉及国家秘密、个人隐私或者法律另有规定的以外，应当公开进行。 离婚案件，涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理。,25、中华人民共和国刑事诉讼法 第二条 中华人民共和国刑事诉讼法的任务，是保证准确、及时地查明犯罪事实，正确应用法律，惩罚犯罪分子，保障无罪的人不受刑事追究，教育公民自觉遵守法律，积极同犯罪行为作斗争，维护社会主义法制，尊重和保障人权，保护公民的人身权利、财产权利、民主权利和其他权利，保障社会主义建设事业的顺利进行。 第十一条 人民法院审判案件，除本法另有规定的以外，一律公开进行。被告人有权获得辩护，人民法院有义务保证被告人获得辩护。 第一百八十三条人民法院审判第一审案件应当公开进行。但是有关国家秘密或者个人隐私的案件，不公开审理；涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理。 不公开审理的案件，应当当庭宣布不公开审理的理由。,行政诉讼法、证据规则、相关规章、地方性法规（如江苏省信息化条例规定泄露个人信息单位最高罚50万元，个人最高罚1万元）等有相应的规定。 法律规定实际上并不少，重要的问题是法律规定了，但执行力度或打击力度太弱。,二、个人信息保护的制度与原则,（一）个人信息相关术语 1、个人信息：个人信息是指业已存在的与个人相关的，并且可用于识别特定个人的信息。如：姓名、出生日期、分派给个人的号码、标志以及其它符号、可以识别个人的图像或生物信息等（包括某些单独使用时无法识别，但与其他信息进行对比后，能够由此识别特定个人的信息）。 电信用户个人信息=公民个人信息？,有人认为，公民个人信息是指现实生活中能识别特定公民个人的一切信息， 包括姓名、年龄、体重、身高、档案、医疗记录、收入及消费、购买习惯、婚姻状况、教育背景、家庭住址与电话号码等。 也有人认为， 公民个人信息是指以任何形式存在的、与公民个人存在关联并可识别特定个人的信息， 几乎有关个人的一切信息、数据或者情况都可被认定为公民个人信息。 关于电信用户信息，根据工信部于2009年颁布的第三代移动通信服务规范(试行)2.10条规定：本处所称用户信息，是指电信用户的姓名或者名称、有效证件号、住址、位置信息、用户号码、联系方式、交费账号和通话清单等非通信内容。 而根据中国电信用户信息管理指导意见规定，中国电信用户信息是指用户向中国电信各级公司提供的与用户相关的各种信息，以及在使用通信服务的过程中产生的各种通信记录和消费记录等非通信内容。具体包括个人与单位的身份信息、合作信息、通信信息和消费信息四个组成部分。 由此可知，电信用户信息包括个人用户信息和单位用户信息两个部分，而且均只包括非通信内容。对电信个人用户而言，个人用户信息是否等同于刑法规定的个人用户的公民个人信息？值得研究。,目前，规定个人信息范围最为清楚、明晰的是人民银行关于银行业金融机构做好个人金融信息保护工作的通知（银发201117号）,本通知所称个人金融信息，是指银行业金融机构在开展业务时，或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息： （一）个人身份信息，包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等； （二）个人财产信息，包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等； （三）个人账户信息，包括账号、账户开立时间、开户行、账户余额、账户交易情况等； （四）个人信用信息，包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的，能够反映其信用状况的其他信息； （五）个人金融交易信息，包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等； （六）衍生信息，包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息； （七）在与个人建立业务关系过程中获取、保存的其他个人信息。,2、信息主体：根据特定信息进行识别或者能够识别的对象。指拥有该个人信息的本人。 3、个人信息取得：是指为明确目的而获取个人信息的行为。 4、个人信息处理：是指利用计算机和相关配套设备及软件对个人信息进行录入、存储、编辑、修改、检索、删除、输出、传输和销毁等行为。 5、信息主体同意：信息主体对与自身相关的个人信息的取得以及使用表示同意，原则上以信息主体的签名、盖章为准，下述情况视为已取得信息主体同意： a ）未成年人和无法对事情做出正确判断的成年人应由家长或监护人代表同意； b ）在取得个人信息时，单位与信息主体签订的合同中规定了个人信息的使用，而且信息主体同意履行合同。,（二）国际个人信息保护法规建立情况 国际上建立个人信息保护法规的国家和组织有50多个，最重要的和对国际上影响比较大是两个国际组织的个人信息保护法规: 1、世界经济合作发展组织（oecd）关于保护隐私和个人数据跨国流通指导原则，其中所规定的个人信息保护八项基本原则，已经得到了国际上的认可。 许多国家在此基础上不断进行补充和完善制定本国的个人信息保护相关法规。oecd八项原则为：,（1）收集限制原则。个人信息的收集必须采取合理合法的手段，必须征得信息主体的同意； （2）信息内容的正确性原则。个人信息必须在利用目的范围内保持正确、完整及最新状态； （3）目的明确化原则。个人信息收集前要明确使用目的，并在目的范围内收集； （4）使用限制原则。对个人信息资料不得超出目的范围外使用；,（5）安全保护原则。对个人信息的丢失、不当接触、破坏、利用、修改、公开等危险必须采取合理的安全保护措施加以保护； （6）公开原则。个人信息管理者必须用简单易懂的方法向公众公开个人信息保护的措施。 （7）个人参加原则。信息主体有权知道自身信息的所在位置，有权对自身信息提出质疑，有权对自身信息进行修改、完善、补充和删除。 （8）责任原则。个人信息的管理者对个人信息的保管负全责。,2. 欧盟的欧盟数据保护指令，在欧盟指令的要求下，欧盟的40多个国家都建立了个人信息保护相关法规。特别是，欧盟指令规定，第三国的隐私法律只有经欧盟委员会判定达到“充分的”保护标准，才能自欧盟进行跨境个人信息传输，在欧盟数据保护指令第四章向第三国进行个人数据转让中做了如下规定：,directive 95/46/ec of the european parliament and of the council of 24 october 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data chapter iv - transfer of personal data to third countries article 25 principles (1) the member states shall provide that the transfer to a third country of personal data which areundergoing processing or are intended for processing after transfer may take place only if,without prejudice to compliance with the national provisions adopted pursuant to the otherprovisions of this directive, the third country in question ensures an adequate level of protection,。,这项规定也促使许多非欧盟国家为了满足欧盟的要求也开始制定个人信息保护相关法规。 欧盟数据保护指令的基本要素是： 透明度原则（transparency）、良好的安全性（good security）、独立的监管机关（independent supervisory authority）、法律的有效执行（effective enforcement）、向第三国传输的控制（controls on transfers to third countries）； 欧盟数据保护指令数据保护的基本原则是：个人数据必须被公平合法的处理（personal data must be processed fairly and lawfully）； 为特定目的而收集，且不能以与此无关的方式进行处理（collected for specified purposes and not processed in an incompatible way）； 具有合理的相关性并且不过度（adequate relevant and not excessive）； 准确且不断更新（accurate and kept up to date）； 保存不超出完成收集时的目的所必需的期间（not kept longer than necessary for the purpose for which they were collected）；,（三）个人信息保护标准 1、国际相关标准 目前国际上有关个人信息保护的标准并不多，对我国影响比较大的就是日本有关个人信息保护的工业规格标准：jis q15001：2006（个人信息保护管理体系要求事项），该标准于1999年制定并颁布，2006年修改。主要适用于处理个人信息的企业事业单位，规定了所有行业、所有规模的单位可以适用的个人信息保护管理体系的相关要求事项。在对跨境个人信息的保护方面，在3.4.3.4委托监督中规定“企业在委托别人使用全部或部分个人信息时，必须选定符合充分保护个人信息水平的企业，为此，委托者必须确立委托者的选定标准。” 这造成了日本客户在委托相关个人信息时，向其它国家的企业提出个人信息保护方面的要求，中国在与日本企业的合作中如果没有相关的个人信息保护能力和水平，将会因此而失去订单，不实行个人信息保护影响到中国软件及信息服务外包产业的发展，特别是2005年4月1日，日本个人信息保护法颁布后，对我国对日外包软件信息服务业产生了一定的影响，这也促使了我们个人信息保护工作的开展。,2、我国的个人信息保护标准地方标准的建立 我国目前已经通过和发布的个人信息保护标准有两个： （1）软件及信息服务业个人信息保护规范db21/t 1522-2007，该标准为辽宁省地方行业标准，是我国首个针对个人信息保护的地方行业标准，也是我国首个软件及信息服务行业的标准。于2007年6月13日正式发布，2007年8月1日开始实施。该标准是依据我国信息管理及信息安全相关法规和标准，并参考世界经济合作发展组织oecd关于保护隐私和个人数据跨国流通指导原则制定的。 （2）个人信息保护规范bd21/t 1628-2008，该标准为辽宁省地方标准，是我国首个针对个人信息保护的地方标准。于2008年6月16日正式发布，2008年7月16日开始实施。该标准依据国际、国内相关法律、法规及信息安全相关标准，遵循oecd（世界经济合作发展组织 organization for economic co-operation and development）关于保护隐私和个人数据跨国流通的指导原则，参考国际通行的个人信息保护相关法规和行业自律模式制订。,这两个标准都是在我国首次发布的个人信息保护标准。 标准中规定了个人信息保护相关术语和定义，原则、负责人及责任、方针、风险分析与基本规章、运行与实施、检查、持续改进等单位个人信息保护体系建立所应具备的基本框架及要求。为企业个人信息保护体制的建立提供了参考依据，起到了指导作用。 标准中规定了软件及信息服务业个人信息保护原则： 1） 取得与使用 个人信息取得应采用合理合法手段，并应征得信息主体的同意。个人信息取得和使用应有明确目的，不得超范围使用。 2）安全保障 应采取必要的安全保护措施，防止个人信息的丢失、泄漏、篡改和破坏等事件发生。除信息主体同意外，个人信息不得提供给第三方。 3）信息主体权利 信息主体有权确认个人信息状态。并拥有对个人信息提出删除、修改和完善的权利。 4）信息内容更新 个人信息应确保在使用目的范围内的正确性和完整性，并做到及时更新。,3、个人信息保护国家标准已制定待批 由工信部牵头30多家单位起草，正报批国家标准；为企业处理个人信息提供行为准则 。 工信部直属的中国软件测评中心透露，他们联合30多家单位起草的信息安全技术、公共及商用服务信息系统个人信息保护指南已正式通过评审，正报批国家标准。 这个指南能为行业开展自律工作提供了很好的参考，为企业处理个人信息制定了行为准则。我国信息技术保护不容乐观，甚至已形成利用个人信息从事非法获利的黑色链条。特别是去年年底揭露出的中国互联网最大规模的泄密事件，将个人信息保护推向了风口浪尖。,许多发达国家很早已开始个人信息的保护研究和立法工作。我国近年来也启动了个人信息保护的相关工作。 去年，全国信息安全标准化技术委员会提出制定个人信息保护指南。这个委员会主要从事信息安全标准化工作，现任主任由工信部副部长杨学山兼任。 个人信息保护指南的全称是信息安全技术、公共及商用服务信息系统个人信息保护指南，标准由工信部直属的中国软件测评中心牵头，联合近30家单位起草。 指南目前还在等待批准文号，但其最终的发布应是“指日可待”。但这个指南并非国家强制性标准。 结合该标准，中国软件评测中心还发布了2012年网站个人信息保护政策测评报告以及2012年android手机软件个人信息安全报告。报告的发布为规范行业自律、企业个人信息保护行为以及政策的制定提供了合理依据。 下面我简要介绍一下该行业标准的主要内容及发展趋势：,（1）个人信息用后立即删除 在个人信息安全缺少专门法律规范时，一部行业标准成为业内的希望。 “去年正式通过了评审，报批国家标准”，若能通过这项标准，将拓展个人信息保护的体系。 个人信息保护指南对个人信息的处理包括收集、加工、转移和删除四个主要环节，其中还提出了个人信息保护的原则。这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。 “最少使用”的原则就是获取一个人的信息量时，只要能满足使用的目的就行。举个例子说，一些网站本是办一个很小的事，却让用户填包括家庭住址、手机号在内等很多信息，这就不符合“最少使用”原则。 “安全保障”则是要个人信息管理者一旦收集了个人信息，就必须建立一套个人信息保护制度，明确责任人和内部管理流程，以及应对个人信息泄露的风险。据估计个人信息泄露中70%-80%属内部作案，这是“安全保障”原则没能落实好所致。,一些商业公司掌握大量个人信息，由于管理制度疏漏，一些内部员工未经授权就能获取客户信息。依照个人信息保护指南，在收集个人信息阶段告知的“使用目的”达到后应立即删除个人信息。 有次，我在某航空公司网站购买机票，使用电话支付的时候，工作人员搜集了我的支付信息：姓名、身份证号、信用卡号和信用卡的最后三位支付号码。购票成功。过段时间再去购票时，对方问，“您还是使用卡号末四位是*的信用卡支付吗？如果是，只要告诉我就可以了。这家公司存储了我的信息。这就是航空公司在达到此次订票目的后，未能及时删除客户信息。 还有，前段时间我在上海出差次数比较多，住过复旦大学周边的几家酒店，后来去住的时候酒店干脆不用我的身份证了，只讲名字什么信息都有了，到是省却了我旅途的很多麻烦，但却增加了我对个人信息保护的担忧。,（2）信息保护指南非强制标准 “为了经济效益，无利不起早。”目前没有哪个行业不存在信息泄露。 比如孕妇生完孩子刚回家，卖奶粉的电话就过来了；病人检查完身体，检查单还没看懂，相应的医药公司就已经打电话卖药来了。 有人把个人信息形象地比喻成“很多钱装在纸糊的银行里，很容易被黑客破解。”据他们调查，公众最关心的金融、电信等领域的个人信息安全。 而让人担忧的是，这个指南标准不是强制性标准，甚至也不是推荐性标准，标准通过会对行业起到多大的规范效力，仍待观察。此次个人信息安全国家标准“属于技术指导文件”。 国家标准分为三种，一个是强制性标准，一个是推荐性标准，一个是指导性技术文件，标准可以作为参考。而国家强制性标准多在食品安全领域。 不过，标准适用于除了政府机关等行使公共管理职能以外的各类组织和机构，特别是电信、医疗等涉及个人敏感信息比较多的服务机构。,（3）40部法律难约束个人信息泄露 据统计，目前有近40部法律、30余部法规，以及近200部规章涉及个人信息保护，其中包括规范互联网信息规定，医疗信息规定，个人信用管理办法等。 “针对个人信息的法律法规并不少，然而内容较为分散、法律法规层级偏低。 刑法修正案（七）被认为是个人信息立法的标志性事件之一。 2009年，刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名，首次将公民个人信息纳入刑法保护范畴，规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。 但是，这一犯罪主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。除此之外，还存在着互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位。 诸多法律界人士认为，刑法未明确该罪的具体界定标准，这一条款还有进一步改进和完善的空间。,另外，法律中对信息泄露者惩罚机制不够。 前段时间，警方破获csdn（即中国软件开发联盟）的600多万条用户名和密码泄露案件，目前为止对网站的处罚只是提出行政警告，太轻了，这种处罚几乎没有威慑力。 如果在国外，这样的大规模用户信息泄露，至少应该有经济处罚。 2009年，侵权责任法的通过，使“人肉搜索”侵犯受害人权利的责任认定有了法律的统一规制，如果网站无视受害人提出的屏蔽、删除要求，就要承担连带责任。 但是，刑法和侵权责任法都属于事后救济，在网络时代要对网络安全以及个人信息进行全流程的监管才更为有效。,（4）个人信息安全法未入立法程序 个人信息安全法并非从未尝试破冰。 2003年的4月，国务院信息化办公室专门对个人信息立法研究课题进行部署，2005年个人信息保护法专家意见稿已经提交。不过这项立法建议一直未能进入正式的立法程序。当时文本已从国务院信息化办公室上报到国务院法制办，此次未能进入正式立法程序的原因很复杂，主要是“从紧迫性上讲还没太关注这个问题”。 凡事总有轻重缓急，有关部门会综合考虑，但考虑到目前我国发生的个人信息泄露和被盗、个人隐私侵犯以及个人信息交易的事件愈演愈烈的现实，再发展下去可能会影响到整个社会经济活动，“我觉得紧迫性早就有了，可能各个层面感觉不一样，有人觉得没那么紧迫”。 个人信息保护实行面广，一定要从法的角度规范，才能使这项工作在法律上有依据。在法律界和相关方的共同努力下，尤其是在今天个人信息保护已经成为社会迫切的问题，立法的进程就会加快。,（三）个人信息保护认证 1、国际相关认证 国际上关个人信息保护的认证比较多，对我国有一定影响的认证主要有： （1）美国的bbonline隐私认证计划（bbbonline privacy seal program）： 美国bbbonline认证是网络安全认证，bbbonline是促进良好商业顾问局（council of better business bureau ）的美国better business bureau(bbb)全国性中小企业组织所成立的网站安全认证机构，它所提供的认证服务有reliability seal、privacy seal、kids privacy seal等。其中privacy seal、kids和privacy seal都是针对网站的个人隐私保护认证。该机构在1999年3月17日建立并开始其隐私认证计划。,（2）美国truste 认证 truste是由商务网络财团（commercenet consortium）和电子前线基金会（electronic frontier foundation, eff）所组建的一个独立的非营利的组织，该组织成立 于1997年6月10日，是美国首家网络隐私认证民间机构，是一家非盈利组织。主要采取认证和监督网站的隐私保护状况和电子邮件政策。turste隐私计划包括：一般网页的隐私计划、欧盟安全港隐私认证计划、儿童的隐私认证计划、电子邮件隐私认证计划，truste各种计划都遵守许多政府和行业有关个人信息保护的法规和标准，包括加利福尼亚州网上隐私保护法（california online privacy protection act）、联邦反垃圾邮件法（federal can-spam act）、联邦贸易委员会批准的公平资讯惯例（fair information practices）以及美国商业部的安全港隐私保护原则（safe harbor privacy principles）。,（3）日本的p-mark认证 p-mark认证是日本针对计算机处理个人信息相关企业而开展的获取个人信息保护标志的认证，它的认证机构是日本财团法人情报处理开发协会（jipdec），认证标准是jis q 15001。 日本p-mark认证制度从1998年4月开始。2005年4月1日，日本正式颁布了个人信息保护法，促进了p-mark认证数的快速增长，至2009年认证企业已经超过了10000家。,对以上三种认证体系的分析看： 从认证对象来看，美国的认证范围主要是针对网络个人信息保护认证，特别是网络交易平台和网站注册的个人信息的保护，特别重视信息主体的权利和网站个人隐私的保护。日本的p-mark认证是针对所有企业个人信息保护体制建立的标准，可以给企业一个比较全面的个人信息保护体制建立的指导和帮助。 从认证范围看，美国的两个认证都是跨国界的认证，但由于各国法规、标准的不一致性，要真正得到其它国家的认可还存在许多问题。而日本的p-mark认证是一个针对日本全国的全行业的国家级认证，不针对日本以外的国家。 目前，还没有一个国际公认的个人信息保护的认证体系，但由于信息化社会的发展和全球经济体系的建立，必将会促进一个全球化的信息安全体系的建立，建立国际统一的个人信息保护认证体系也是非常必要的。,2、 我国软件及信息服务业个人信息保护评价体系（pipa） 软件及信息服务业个人信息保护评价体系（pipa）是我国目前最早的针对个人信息保护能力和水平的评价。目前已经与日本的p-mark认证实现了相互认可。目的是帮助企业建立个人信息保护规章制度、运行实施并不断改进和完善，使单位的个人信息