个人信息保护指南(征求意见稿)
个人信息保护指南(征求意见稿)
发布时间:2010-04-24 00:35 来源:作者:
第一章总则
第一条[目的] 为提高个人信息保护意识,保护个人合法权益,促进个人信息有序利用,指导和规范利用信息系统处理个人信息的活动,制定本指南。
第二条[适用范围和方式]企事业单位部分或全部采用信息系统进行个人信息处理时,可依据本指南的原则和要求,制定个人信息保护政策、个人信息处理准则或办法,规范本单位的个人信息处理活动。
行业协会、标准化组织、第三方机构等可依据本指南的原则和要求,制定个人信息处理自律手则、标准和评估办法等,规范、指导相关单位的个人信息处理活动。
第三条[不适用范围]本指南不适用于以下情况的个人信息处理活动:
(1)因统计和科学研究需要由统计机构和研究机构匿名进行的个人信息处理;
(2)因家庭事务和个人交往需要由自然人进行的个人信息处理;
(3)法律法规对个人信息处理有明确规定的其他情形。
第四条[术语定义]本指南中,
“个人信息”是指与特定自然人相关、能够单独或与其他信息结合识别该特定自然人的任何信息。
“个人信息主体”是指可通过个人信息识别的特定自然人。“信息处理”是指收集、储存、修改、编辑、整理、汇编、检索、标注、挖掘、转移、披露、公开、传输、交换、删除、销毁等等针对信息所进行的所有行为。
“信息系统”是指为实现信息处理目的,按照一定规则组合并运行的计算机及其配套的设备、设施(含网络)。
“收集”是指获取并记录个人信息的行为。
“加工”是指录入、整理、聚合、挖掘、恢复等除收集、转移、使用、销毁或删除之外的一切信息处理行为。
“转移”是指将保存或拥有的个人信息移交给其他自然人、法人或组织的行为。
“使用”是指运用个人信息的行为,包括向公众或特定群体披露、在决策中加以考虑、依据个人信息作出决定或决策,依据个人信息实施某种行动或行为等。
“销毁”是指从物理上毁灭记录个人信息的载体。
“删除”是指从信息系统和载体上永久清除个人信息并不可恢复。
第二章个人信息处理原则
第五条【遵循原则要求】利用信息系统进行个人信息处理,
应自觉遵守本指南确定的原则。
第六条【目的明确原则】处理个人信息应具有明确、合法的目的,法律法规没有明确规定或者个人信息主体没有明确授权,不应擅自处理个人信息。
第七条【公开透明原则】处理个人信息之前,应以明确、易懂的方式向个人信息主体告知处理个人信息的目的,处理个人信息的具体内容、个人信息在信息系统中的留存时限、个人信息保护的政策,个人信息主体的权利以及个人信息的使用范围和相关责任人等。
第八条【质量保证原则】应根据处理目的的需要保证个人信息准确、完整,时间敏感的个人信息应处于最新状态。
第九条【安全保障原则】应采取必要的管理措施和技术手段,保护信息系统中的个人信息安全,防止未经授权检索、公开及丢失、泄露、损毁和篡改个人信息。
第十条【合理处置原则】利用信息系统处理个人信息的方式应合理,处理个人信息的内容应与告知个人信息主体的目的相关,不超出目的范围处理个人信息,不应在既定目的实现后超期限保留个人信息。
第十一条【个人参与原则】应在个人信息处理的过程中,提供必要的途径和手段,为个人信息主体实现其权利提供便利。第十二条【责任落实原则】应明确个人信息处理过程中的责任,对不承担相关责任的行为,应建立必要的制度予以追究。
第三章个人信息主体权利保护
第十三条【权利保护要求】利用信息系统处理个人信息时,信息系统管理者应提供必要的措施和手段保护个人信息主体的权利,除非法定原因或维护公共利益、第三方重大利益的需要,不应限制个人信息主体的权利。
第十四条【知情权】个人信息主体向信息系统管理者提出申请了解:(1)是否拥有其个人信息;(2)拥有个人信息的内容;(3)获得其个人信息的来源;(4)处理其个人信息的目的;(5)保护其个人信息的政策和措施;(6)披露或向其他机构提供其个人信息的范围;(7)信息系统管理者的相关信息等时,信息系统管理者应当如实告知。
第十五条【选择权】信息系统管理者向个人信息主体收集其个人信息时,应给予个人信息主体同意或拒绝的机会。
第十六条【更正权】信息系统管理者应提供必要的方法和手段,保证个人信息主体能够检查到信息系统中其个人信息的完整性、准确性,并且在发现错误时进行修改。
第十七条【禁止权】个人信息主体发现信息系统管理者不当处理其个人信息并要求屏蔽、删除或销毁其个人信息时,信息系统管理者应当按照个人信息主体的要求屏蔽、删除或销毁有关个人信息。
第十八条【求偿权】因信息系统管理者的原因导致个人信息
泄露或不当使用,给相关个人信息主体造成损害或损失,个人信息主体要求赔偿时,信息系统管理者应当赔偿。
第四章个人信息处理的前提条件
第十九条【个人信息处理的前提条件】未经法律法规的明确授权或个人信息主体的明示同意,信息系统管理者不应处理个人信息,除非满足以下条件之一:
(1)履行与个人信息主体签订的合同需要或是为了与个人信息主体缔结合同的需要;
(2)履行信息系统管理者的法定职责,且不会对个人信息主体权益造成侵害;
(3)为维护个人信息主体的利益需要,且情况紧急,获得个人信息主体同意客观上不可能或者由于时间耽搁造成的损失过于巨大;
(4)维护公共利益或第三方的重大利益需要,且不会对个人信息主体权益造成侵害;
(5)因传输需要,由自动设备进行的自动、瞬时完成的个人信息处理;
(6)处理个人信息主体主动公开的信息,且处理目的不超出个人信息主体主动公开的目的范围。
第二十条【特定个人信息的处理】法律法规已明确规定由专门机构处理的特定个人信息,信息系统管理者在未获得行业管理部门批准前,不应擅自处理相关信息。
第二十一条【个人信息公告要求】本指南发布前,信息系统管理者已经存留个人信息的,应当采取适当方式公告其存留的个人信息类别、个人信息主体的规模和范围以及个人信息的使用目的。
第五章个人信息收集
第二十二条【直接收集个人信息】信息系统管理者如需使用个人信息,应直接向个人信息主体收集。利用信息系统收集个人信息,应满足以下条件:
(1)具有特定、明确、合法的目的;
(2)采用合理、适当的方法和手段;
(3)获得个人信息主体的明确同意,或满足第十九条的规定;
第二十三条【信息收集要求】信息系统管理者向个人信息主体收集个人信息前,应采取个人信息主体能够收悉的方式向个人信息主体明确告知如下事项:
(1)收集信息的目的、使用范围和收集方式;
(2)信息系统管理者的名称、地址、联系办法;
(3)不提供个人信息可能出现的后果;
(4)个人信息主体的权利;
(5)个人信息主体的投诉渠道等。
第二十四条【间接收集个人信息】信息系统管理者一般不应在个人信息主体不知情、未参与的情况下采取技术手段间接
收集个人信息,特殊情况必须间接收集个人信息时,应符合第十九条规定的条件或法律法规政策有明确的规定。
第二十五条【未成年人个人信息收集】信息系统管理者不应收集未满14周岁未成年人的个人信息,收集14-18周岁未成年人信息时,应征得未成年人家长的同意。
第六章个人信息委托加工
第二十六条【信息加工委托的前提】信息系统管理者收集个人信息后需委托第三方对个人信息进行加工的,应在收集前向个人信息主体说明。
第二十七条【信息加工委托的要求】信息系统管理者委托第三方对个人信息进行加工时,应确保第三方具有不低于自身的信息安全保护水平,并且应通过合同明确第三方的个人信息保护责任。
第二十八条【加工转移过程中的安全要求】信息系统管理者在向接受委托加工的第三方转移个人信息时,应保证转移过程中的个人信息安全。
第二十九条【信息加工者的责任】接受委托的第三方应按照法律法规的规定、本指南的要求和委托者的合同要求,采取必要的技术手段和管理措施,保障个人信息在加工过程中的安全。
第三十条【加工完成后销毁】接受委托的第三方完成个人信
息加工任务并移交给委托者后,应自行删除和销毁相关个人信息。法律法规有规定或合同有约定的,从其规定或约定。第七章个人信息转移
第三十一条【个人信息转移的一般要求】信息系统管理者收集个人信息后一般不应向其他机构转移,如需转移应当在收集时向个人信息主体说明转移的目的、转移的对象,并获得个人信息主体明示同意。
法律法规或政策对个人信息的转移有明确规定的,从其规定。第三十二条【信息转移者的责任】信息系统管理者向其他机构转移个人信息时,应确保个人信息的接收者具有不低于自身的信息安全保护水平,应保证转移过程中的个人信息安全。第三十三条【限制向国外转移】未经个人信息主体的明示同意,信息系统管理者不应将个人信息转移到国外。法律法规另有规定或政策另有要求的除外。
第八章个人信息披露、公开、使用、销毁或删除
第三十四条【信息披露】信息系统管理者应将收集的个人信息限定在收集时告知个人信息主体的范围之内,不应向其他机构披露相关个人信息。
第三十五条【公开个人信息】未经个人信息主体明示同意,信息系统管理者不应公开其处理的个人信息。
第三十六条【使用个人信息】个人信息使用应限于收集个人
信息时告知的目的,无法律法规的明确规定或个人信息主体的明确授权,不应超出目的使用个人信息。
第三十七条【网站个人信息管理】未经个人信息主体同意,信息系统管理者不应在网站上发布未公开的个人信息。应个人信息主体要求,网络经营者或管理者应及时删除个人信息。删除个人信息可能会影响到公安机关的调查取证时,信息系统管理者应采取适当的信息保全措施。
第三十八条【个人信息销毁或删除】个人信息使用完成后原则上应删除或销毁。如果需要继续保留个人信息,应对相关个人信息进行匿名处理。
法律法规另有规定或个人信息主体另有授权的,从其规定或授权。
第三十九条【个人信息修改和补充】个人信息主体发现其个人信息有误并要求修改时,信息系统管理者应查验相关信息,并在核对正确后修改和补充相关信息。
第九章个人信息管理
第四十条【管理的一般要求】信息系统管理者利用信息系统处理个人信息的,应制定个人信息保护政策或方针,建立个人信息管理制度,落实个人信息管理责任,加强个人信息管理,规范个人信息处理活动。
第四十一条【机构要求】信息系统管理者应指定专门机构或人员负责内部的个人信息保护工作,接受个人信息主体的投
诉与质询。
第四十二条【技术手段要求】信息系统管理者应采取必要的技术手段,保护个人信息的安全,确保但不限于以下目标:(1)防止对个人信息处理场所和个人信息存储介质的未授权访问、损坏和干扰;
(2)处理个人信息时,应保证信息系统持续稳定运行;(3)保证个人信息在信息系统中的保密性、真实性和完整性。
第四十三条【信息查询要求】信息系统管理者在个人信息主体提出查询请求时,应如实和免费地告知请求人有关其个人信息,除非告知信息的成本明显过于高或者请求人请求次数明显过于频繁。
第四十四条【风险管理要求】信息系统管理者应加强个人信息风险管理,识别、分析、评估潜在的风险因素,制定风险应对策略,采取风险控制措施,监控风险变化。
第四十五条【应急处理要求】信息系统管理者应对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案,采取相应的预防和应对措施。
第四十六条【教育培训要求】信息系统管理者应制定个人信息保护的教育培训计划并组织落实。
第四十七条【内控机制要求】信息系统管理者应建立个人信息保护的内控机制,定期开展检查,并形成检查评价报告。
第四十八条【持续改善要求】信息系统管理者应建立持续完善机制,不断改进信息保护状况,提高信息保护的水平。
第十章附则
第四十九条【实施日期】本指南自发布之日起实施。
第五十条【本指南的解释】本指南由工业和信息化部负责解释。
相关链接
?部委
?相关机构
?合作媒体
中华人民共和国中央人民政府市住房城乡建设委工业和信息化部国家发展和改革委员会公安部建设部国家工商行政管理总局
教育部交通部国家税务总局国家广播电影电视总局国家统计局体育总局海关总署新闻出版总署烟草局
地址:北京市海淀区紫竹院路66号赛迪大厦12/13/14层
传真:(010)88559333 服务电话:(010)88559238/9239 (010)88559372/9373
Copyright 2000-2011 CCIDnet.All rights reserved.
信息安全技术 公共及商用服务信息系统个人信息保护指南
信息安全技术公共及商用服务信息系统个人信息保护指南 随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显,滥用个人信息的现象随之出现,给社会秩序和个人切身利益带来了危害。为促进个人信息的合理利用,指导和规范利用信息系统处理个人信息的活动,制定本指导性技术文件。 信息安全技术公共及商用服务信息系统个人信息保护指南 1 范围 本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程,为信息系统中个人信息处理不同阶段的个人信息保护提供指导。 本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构,如电信、金融、医疗等领域的服务机构,开展信息系统中的个人信息保护工作。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 20269-2006 信息安全技术信息系统安全管理要求 GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南 3术语和定义 GB/T 20269-2006 和GB/Z 20986-2007中界定的以及下列术语和定义适用于本技术性指导文件。 3.1 信息系统information system 即计算机信息系统,由计算机(含移动通信终端)及其相关的和配套的设备、设施(含网络)构成,能够按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理。 3.2 个人信息personal information 可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。 3.3 个人信息主体subject of personal information 个人信息指向的自然人。 3.4 个人信息管理者administrator of personal information 决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。 3.5 个人信息获得者receiver of personal information 从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人信息进行处理。 3.6 第三方测评机构third party testing and evaluation agency
个人信息的保护和安全措施
个人信息的保护和安全措施 一、广电公众平台将尽一切合理努力保护获得的用户个人信息,并由专门的数据安全部门对个人信息进行保护。为防止用户个人信息在意外的、未经授权的情况下被非法访问、复制、修改、传送、遗失、破坏、处理或使用,广电公众平台已经并将继续采取以下措施保护用户的个人信息: 通过采取加密技术对用户个人信息进行加密保存,并通过隔离技术进行隔离。在个人信息使用时,例如个人信息展示、个人信息关联计算,广电公众平台会采用包括内容替换、加密脱敏等多种数据脱敏技术增强个人信息在使用中安全性。设立严格的数据使用和访问制度,采用严格的数据访问权限控制和多重身份认证技术保护个人信息,避免数据被违规使用。 二、保护个人信息采取的其他安全措施 1、通过建立数据分类分级制度、数据安全管理规范、数据安全开发规范来管理规范个人信息的存储和使用。 2、建立数据安全专项部门,负责安全应急响应组织来推进和保障个人信息安全。 3、个人信息安全事件的通知 1)如发生个人信息引发的安全事件,广电公众平台将第一事件向相应主管机关报备,并即时进行问题排查,开展应急措施。 2)通过与全量用户发送通知提醒更改密码。还可能通过电话、短信等各种方式触达用户知晓,在公共运营平台运营宣传,制止数据
泄露。 尽管已经采取了上述合理有效措施,并已经遵守了相关法律规定要求的标准,但广电公众平台仍然无法保证用户的个人信息通过不安全途径进行交流时的安全性。因此,用户个人应采取积极措施保证个人信息的安全,如:定期修改账号密码,不将自己的账号密码等个人信息透露给他人。 网络环境中始终存在各种信息泄漏的风险,当出现意外事件、不可抗力等情形导致用户的信息出现泄漏时,广电公众平台将极力控制局面,及时告知用户事件起因、广电公众平台采取的安全措施、用户可以主动采取的安全措施等相关情况。
个人信息保护
个人信息保护 摘要:随着个人信息侵权事件的频繁发生,有关个人信息保护的立法问题也成为学界关注的焦点,而对于个人信息权的保护模式一直是理论界关注的焦点之一。本文通过对美国和德国两国的个人信息权保护模式的分析,提出对我国个人信息权保护模式应选择人格权保护模式,将其确定为一项具体人格权加以保护。关键词:个人信息个人信息权保护模式 日常生活中,我们经常遇到这样的事情:超市开业,会员卡会莫名其妙地寄到了家里;新房刚拿到钥匙,就有装修公司跟踪而至;新车刚买,就接到电话,询问是否需要购买车辆保险等等。大量的个人信息在不知不觉中被收集、利用,现代人因此而成为“透明人”或“半透明人”,而个人信息保护制度的缺失使人们的工作和生活受到了严重影响,09年央视3.15晚会上的分众传媒“短信门”事件更提醒我们加强个人信息保护已经刻不容缓。因此,个人信息的法律保护就成为法律亟需解决的一个问题。虽然我国从2005年就已经开始将个人信息保护法纳入立法日程,但至今尚未出台,而对个人信息相关问题的争论在理论界也从未停止,对个人信息权保护模式的选择理论界也存在颇多争议,本文将对此进行探讨,发表本人一点浅薄的看法。 一、个人信息权 (一)个人信息 个人信息是指可以识别出信息主体本人的一切信息的总和,包括了信息主体生理信息、心理信息、智力信息以及有关信息主体个体的信息、社会的信息、经济的信息、文化的信息、家庭的信息等等。对于个人信息,学界有不同的称谓,有的称为个人隐私,有的称为个人资料(数据),下面对这三个概念进行一下比较. 1.个人信息与个人隐私 隐私是近年来在我们生活中频繁出现的词语,一般是指不愿告诉别人的或不想公开的个人的事情,或者说与公共利益无关的个人私生活秘密方面的事情。“个人隐私”与“个人信息”最大的区别在于范围上的差异,个人信息的范围大于个人隐私,即“个人信息”包含“个人隐私”,个人隐私是个人信息的下位概念,是个人信息的一部分。如个人的手机号码、家庭住址、医药档案、职业等,这些也许算不上隐私,但都属于个人信息的范畴。如果我们在立法中选择“个人隐私”的概念,那就表示法律仅保护个人信息中涉及个人隐私的信息,而不保护不涉及
国外个人信息保护或隐私保护法规汇总
国外在企业收集、利用公众信息方面的 政策、措施、规定、法规。 一、美国 1.《隐私权法》 1974 年12 月31 日, 美国参众两院通过了《隐私权法》(Privacy Act)1, 1979 年, 美国第96届国会修订《联邦行政程序法》时将其编入《美国法典》。该法又称《私生活秘密法》, 是美国行政法中保护公民隐私权和了解权的一项重要法律。就“行政机关”对个人信息的采集、使用、公开和保密问题作出详细规定, 以此规范联邦政府处理个人信息的行为, 平衡公共利益与个人隐私权之间的矛盾。2该法中的“行政机关”, 包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司, 以及行政部门的其他机构, 包括总统执行机构在内。该法也适用于不受总统控制的独立行政机关, 但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。该法中的“记录”, 是指包含在某一记录系统中的个人记录。个人记录是指“行政机关根据公民的姓名或其他标识而记载的一项或一组信息”。其中, “其他标识”包括别名、相片、指纹、音纹、社会保障号码、护照号码、汽车执照号码, 以及其他一切能够用于识别某一特定个人的标识。个人记录涉及教育、经济活动、医疗史、工作履历以及其他一切关于个人情况的记载。 《隐私权法》规定了行政机关“记录”的收集、登记、公开、保存等方面应遵守的准则。 2.《电子通讯隐私法》 到目前为止,美国并没有一部综合性法典对个人信息的隐私权提供保护,主2摘自《情报科学》,周健:美国《隐私权法》与公民个人信息保护
要依靠联邦和州政府制定的各种类型的隐私和安全条例。其中最为重要的条例是1986 年颁布的《电子通讯隐私法》(The Electronic Communication Privacy Act,简称ECPA)3。 尽管《电子通讯隐私法》还存在不足,但它是目前有关保护网络上的个人信息最全面的一部数据保护立法。《电子通讯隐私法》涵盖了声音通讯、文本和数字化形象的传输等所有形式的数字化通讯,它不仅禁止政府部门未经授权的窃听,而且禁止所有个人和企业对通讯内容的窃听,同时还禁止对存贮于电脑系统中的通讯信息未经授权的访问及对传输中的信息未经授权的拦截。 3.《金融服务现代化法案》 Financial Services Modernization Act of 1999,也就是格雷姆-里奇-比利雷法(Gramm-Leach-Bliley Act,GLB Act)4,它规定了金融机构处理个人私密信息的方式。这部法案包括三部分:金融秘密规则(Financial Privacy Rule),它管理私密金融信息的收集和公开;安全维护规则(Safeguards Rule),它规定金融机构必须实行安全计划来保护这些信息;借口防备规定(Pretexting provisions),它禁止使用借口的行为(使用虚假的借口来访问私密信息)。这部法律还要求金融机构给顾客一个书面的保密协议,以说明他们的信息共享机制。 4、《儿童在线隐私权保护法案》 The Children’s Online Privacy Protection Act,,简称COPPA5,它规定网站经营者必须向父母提供隐私权保护政策的通知,以儿童为目标的网站必须在网站主页上或是从儿童处收集信息的每一网页上提供链接连接到此通知。它还详细规定了网站对13 岁以下儿童个人信息的收集和处理。 3摘自
微博个人信息保护政策
1.微博个人信息保护政策 为切实保护微博用户隐私权,优化用户体验,新浪公司根据现行法规及政策,制定本《个人信息保护政策》。本《个人信息保护政策》将详细说明微博在获取、管理及保护用户个人信息方面的政策及措施。本《个人信息保护政策》适用于微博向您提供的所有服务,无论您是通过计算机设备、移动终端或其他设备获得的微博服务。 2.个人信息的收集 您已知悉且同意,在您注册微博或使用微博提供的服务时,微博将记录您提供的相关个人信息,如:、手机等,上述个人信息是您获得微博提供服务的基础。同时,基于优化用户体验之目的,微博会获取与提升微博服务有关的其他信息,例如当您访问微博时,我们可能会收集哪些服务的受欢迎程度、浏览器软件信息等以便优化我们的服务。 3.个人信息的管理 为了向您提供更好的服务或产品,微博会在下述情形使用您的个人信息: 1)根据相关法律法规的要求; 2)根据您的授权; 3)根据微博相关服务条款、应用许可使用协议的约定。 此外,您已知悉并同意:在现行法律法规允许的围,微博可能会将您非隐私的个人信息用于市场营销,使用方式包括但不限于:在微博平台中向您展示或提供广告和促销资料,向您通告或推荐微博的服务或产品信息,以及其他此类根据您使用微博服务或产品的情况所认为您可能会感兴趣的信息。其中也包括您在采取授权等某动作时选择分享的信息,例如当您新增朋友、在动态中新增地标、使用微博的联络人汇入工具等。 未经您本人允许,微博不会向任何第三方披露您的个人信息,下列情形除外: 1)微博已经取得您或您监护人的授权; 2)司法机关或行政机关给予法定程序要求微博披露的; 3)微博为维护自身合法权益而向用户提起诉讼或仲裁时; 4)根据您与微博相关服务条款、应用许可使用协议的约定; 5)法律法规规定的其他情形。 4.个人信息的保护 微博将尽一切合理努力保护其获得的用户个人信息。为防止用户个人信息在意外的、未经授权的情况下被非法访问、复制、修改、传送、遗失、破坏、处理或使用,微博已经并将继续采取以下措施保护您的个人信息: 1)以适当的方式对用户的个人信息进行加密处理; 2)在适当的位置使用密码对用户个人信息进行保护;
网络与信息安全保障措施
网络与信息安全保障措施 信息安全保密制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。 工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。 3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。 4、所有信息都及时做备份。按照国家有关规定,网站将保存 60天内系统运行日志和用户使用日志记录,短信服务系统将保存 5个月以内的系统及用户收发短信记录。制定并遵守安全教
育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。 安全技术保障措施 防病毒、防黑客攻击技术措施是防止不法分子利用互联网络进行破坏活动,保护互联网络和电子公告服务的信息安全的需要。我公司特此制定以下防病毒、防黑客攻击的安全技术措施: 1、所有接入互联网的计算机应使用经公安机关检测合格的防病毒产品并定期下载病毒特征码对杀毒软 件升级,确保计算机不会受到已发现的病毒攻击。 2、确保物理网络安全,防范因为物理介质、信号辐射等造成的安全风险。 3、采用网络安全控制技术,联网单位已采用防火墙、IDS等设备对网络安全进行防护。 4、使用漏洞扫描软件扫描系统漏洞,关闭不必要的服务端口。 5、制订口令管理制度,防止系统口令泄露和被暴力破解。 6、制订系统补丁的管理制度,确定系统补丁的更新、安装、发布措施,及时堵住系统漏洞。
互联网个人信息安全保护指南
互联网个人信息安全保护指南 前言 为有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握 的情况,组织北京市网络行业协会和公安部第三研究所等单位相关专家,研究起草了《互联网个人信息安全保护指南》,供互联网服务单位在个人信息保护工作中参考借鉴。 1范围 本文件制定了个人信息安全保护的管理机制、安全技术措施和业务流程。 适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作 参考使用。本文件适用于通过互联网提供服务的企业,也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 25069—2010 信息安全技术术语 GB/T 35273—2017 信息安全技术个人信息安全规范 GB/T 22239 信息安全技术网络安全等级保护基本要求(信息系统安全等 级保护基本要求) 3术语和定义 3.1 个人信息
以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 [中华人民共和国网络安全法,第七十六条(五)] 注:个人信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 3.2 个人信息主体 个人信息所标识的自然人。 [GB/T 35273-2017,定义3.3] 3.3 个人信息持有 对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。 3.4 个人信息持有者 对个人信息进行控制和处理的组织或个人。 3.5 个人信息收集 获得对个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、搜集公开信息间接获取等方式。 [GB/T 35273-2017,定义3.5] 3.6 个人信息使用
浅谈个人信息保护制度的完善
浅谈个人信息保护制度的完善 【摘要】个人信息是社会发展中的重要资源,信息技术的发展为个人信息的收集和处理提供了便利,同时在个人信息本身蕴含的利益驱动下,搜集与贩卖个人信息并从中牟利的事件频发并且成为了危害公众利益和社会秩序的不良现象,所以从法律层面强化个人信息的保护十分重要。本文从民法角度出发,对个人信息保护制度的完善做出探讨。 【关键词】个人信息;个人信息权;保护制度 一、在民法中对个人信息权进行明确规定 个人的信息不仅具有人格权属性,同时也具有财产权属性,对社会个体的个人信息进行保护同时也是对社会个体人格尊严的保护,所以个人信息权构建的理论基础为人格权理论。我国在《侵权责任法》以及《民法通则》中对肖像权、隐私权、名誉权等人格权利的保护进行了明确规定,所以在民法中对个人信息权进行明确规定符合我国在保护人格权方面的立法习惯。个人信息权所包括的内容应当体现为以下四个方面:一是社会个体对个人信息享有控制权。社会个体对个人信息的使用以及处置是社会个体支配人格利益的重要表现;二是社会个体对个人信息享有查询权。社会个体有权了解个人信息被使用以及被收集的情况,并且以这些内容为依据来对侵害个人信息权的行为提出异议;三是社会个体享有对个人信息进行更正的权利。社会个体为了让个人信息保持完整和正确,有权要求收集与使用个人信息的行为人采取相应措施对个人信息进行更正。如果社会个体发现个人信息出现错误后,不仅享有更正个人信息的权利,同时享有要求收集与处理个人信息的行为人将自身个人信息进行删除的权利;四是社会个体对个人信息享有救济权。当社会个体的个人信息被非法存储和传播时,社会个体有权利要求侵害个人信息的行为人停止侵害行为并赔偿相应损失。个人信息权保护的原则可以以《隐私保护与个人数据跨国流通指南》中的八项原则为参照,此八项原则分别为限制收集原则、信息完整正确原则、特地目的原则、限制利用原则、安全保护原则、公开原则、个人参与原则以及责任原则。 二、对个人信息财产利益的保护进行强化 在现实社会生活中,侵害他人个人信息的行为大部分都是受到经济利益的驱动,所以要对个人信息进行有效的保护,就应当从法律层面明确对个人信息财产利益的保护,在此前提下,如果没有经过信息主体的许可就利用其个人信息获取商业利益的行为,个人信息的拥有者则能够根据法律规定的救济权来请求民事赔偿。尤其是对于商业机构而言,其行为产生的主要动力是经济利益所发挥的驱动作用,而当商业机构必须为自身的侵权行为承担民事责任时,商业机构通过侵害他人个人信息所获得经济利益会被剥夺,在此基础上,商业机构选择放弃或者是降低侵害他人个人信息的倾向会更加明显,从而在很大程度上对侵害他人个人信息的行为进行抑制与预防。由于我国当前法律并没有明确个人的信息应当属于个人的财产范围,即个人的信息并没有财产权的属性,所以当个人信息受到侵害时,
个人信息保护法律法规汇总
1、中华人民共和国宪法 第三十三条凡具有中华人民共和国国籍的人都是中华人民共和国公民。 中华人民共和国公民在法律面前一律平等。 国家尊重和保障人权。 第三十八条中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。 第三十九条中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。 第四十条中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。 第四十一条中华人民共和国公民对于任何国家机关和国家工作人员,有提出批评和建议的权利;对于任何国家机关和国家工作人员的违法失职行为,有向有关国家机关提出申诉、控告或者检举的权利,但是不得捏造或者歪曲事实进行诬告陷害。 对于公民的申诉、控告或者检举,有关国家机关必须查清事实,负责处理。任何人不得压制和打击报 由于国家机关和国家工作人员侵犯公民权利而受到损失的人,有依照法律规定取得赔偿的权利。 第四十七条中华人民共和国公民有进行科学研究、文学艺术创作和其他文化活动的自由。国家对于从事教育、科学、技术、文学、艺术和其他文化事业的公民的有益于人民的创造性工作,给以鼓励和帮助。 第五十一条中华人民共和国公民在行使自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。 中华人民共和国宪法修正案(2004年) 第二十四条宪法第三十三条增加一款,作为第三款:“国家尊重和保障人权。”第三款相应地改为第四款。 2、中华人民共和国民法通则 第九十九条公民享有姓名权,有权决定、使用和依照规定改变自己的姓名,禁止他人干涉、盗用、假冒。 法人、个体工商户、个人合伙享有名称权。企业法人、个体工商户、个人合伙有权使用、依法转让自己的名称。 第一百条公民享有肖像权,未经本人同意,不得以营利为目的使用公民的肖像。第一百零一条公民、法人享有名誉权,公民的人格尊严受法律保护,禁止用侮辱、诽谤等方式损害公民、法人的名誉。 第一百零二条公民、法人享有荣誉权,禁止非法剥夺公民、法人的荣誉称号。 3、中华人民共和国妇女权益保障法(2005修正) 主席令[2005]第40号 第四十二条妇女的名誉权、荣誉权、隐私权、肖像权等人格权受法律保护。
《电信和互联网用户个人信息保护规定》解读
《电信和互联网用户个人信息保护规定》解读2013年7月16日,工业和信息化部公布了《电信和互联网用户个人信息保护规定》(中华人民共和国工业和信息化部令第24号)。记者就《规定》采访了工业和信息化部政法司巡视员李国斌,请他对《规定》进行了解读。 记者:近日,工业和信息化部出台了《电信和互联网用户个人信息保护规定》,请问《规定》出台的意义是什么? 李国斌:近年来,我国电信和互联网行业快速发展,新技术、新应用层出不穷,对促进经济社会发展起到了积极的作用。与此同时,用户个人信息的泄露风险和保护难度不断增大,加强用户个人信息保护立法成为社会广泛关注的问题。 出台《规定》,可以进一步完善电信和互联网行业个人信息保护制度。目前,部分电信业务经营者、互联网信息服务提供者对用户个人信息安全重视不够,安全防护措施不完善,管理制度不健全,信息安全责任落实不到位,需要进一步完善用户个人信息保护法律制度,规范电信服务、互联网信息服务过程中收集、使用用户个人信息的活动。 出台《规定》,也是贯彻落实全国人大常委会《关于加强网络信息保护的决定》(以下简称《决定》)的需要。贯彻执行好《决定》有关收集、使用个人信息的制度,需要出台相关配套规定。制定《规定》,进一步明确电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施等,是落实全国人大常委会《决定》规定的制度和措施,切实保护用户合法权益的要求。?
记者:您能否介绍一下《规定》的制定过程? 李国斌:2012年5月,工业和信息化部启动了《规定》立法研究和起草工作。在起草过程中,我们赴吉林、广东、四川等地进行了调研,多次书面征求了部机关相关司局、各省(区、市)通信管理局、基础电信企业和互联网企业对《规定(征求意见稿)》的意见,组织召开了省级通信管理局、基础电信企业和互联网企业参加的立法座谈会,并通过国务院法制办的“中国政府法制信息网”和我部门户网站向社会公开征求了意见。经征求意见,社会各方面对制定《规定》给予了积极的肯定,没有原则性的不同意见。在充分听取各方面意见并进一步完善有关制度的基础上,我们形成了《规定(草案)》。 2013年6月28日,我部第2次部务会议审议通过了《规定》。7月16日,工业和信息化部第24号令公布了《规定》。《规定》将于9月1日生效。 记者:?您能否介绍一下《规定》关于用户个人信息保护管理工作的定位? 李国斌:全国人大常委会《决定》对“公民个人电子信息”做了界定,并明确了信息收集、使用的原则和相关规则。 目前,各行业普遍存在收集、使用个人信息的情况,相应的信息保护工作也涉及到众多的部门,我部并不负责管理所有的个人信息。《规定》依据《决定》的有关规定,立足我部电信和互联网行业管理职责,以“概括加列举”的方式规定了由我部负责监督管理的用户个人
个人信息保护指南(征求意见稿)
个人信息保护指南(征求意见稿) 发布时间:2010-04-24 00:35 来源:作者: 第一章总则 第一条[目的] 为提高个人信息保护意识,保护个人合法权益,促进个人信息有序利用,指导和规范利用信息系统处理个人信息的活动,制定本指南。 第二条[适用范围和方式]企事业单位部分或全部采用信息系统进行个人信息处理时,可依据本指南的原则和要求,制定个人信息保护政策、个人信息处理准则或办法,规范本单位的个人信息处理活动。 行业协会、标准化组织、第三方机构等可依据本指南的原则和要求,制定个人信息处理自律手则、标准和评估办法等,规范、指导相关单位的个人信息处理活动。 第三条[不适用范围]本指南不适用于以下情况的个人信息处理活动: (1)因统计和科学研究需要由统计机构和研究机构匿名进行的个人信息处理; (2)因家庭事务和个人交往需要由自然人进行的个人信息处理; (3)法律法规对个人信息处理有明确规定的其他情形。
第四条[术语定义]本指南中, “个人信息”是指与特定自然人相关、能够单独或与其他信息结合识别该特定自然人的任何信息。 “个人信息主体”是指可通过个人信息识别的特定自然人。“信息处理”是指收集、储存、修改、编辑、整理、汇编、检索、标注、挖掘、转移、披露、公开、传输、交换、删除、销毁等等针对信息所进行的所有行为。 “信息系统”是指为实现信息处理目的,按照一定规则组合并运行的计算机及其配套的设备、设施(含网络)。 “收集”是指获取并记录个人信息的行为。 “加工”是指录入、整理、聚合、挖掘、恢复等除收集、转移、使用、销毁或删除之外的一切信息处理行为。 “转移”是指将保存或拥有的个人信息移交给其他自然人、法人或组织的行为。 “使用”是指运用个人信息的行为,包括向公众或特定群体披露、在决策中加以考虑、依据个人信息作出决定或决策,依据个人信息实施某种行动或行为等。 “销毁”是指从物理上毁灭记录个人信息的载体。 “删除”是指从信息系统和载体上永久清除个人信息并不可恢复。 第二章个人信息处理原则 第五条【遵循原则要求】利用信息系统进行个人信息处理,
电信和互联网用户个人信息保护规定
电信和互联网用户个人信息保护规定 (2013年6月28日中华人民共和国工业和信息化部第2次部务会议审议通过2013 年7月16日中华人民共和国工业和信息化部第24号令公布自2013年9月1日起施行) 第一章总则 第一条为了保护电信和互联网用户的合法权益,维护网络信息安全,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规,制定本规定。 第二条在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动,适用本规定。 第三条工业和信息化部和各省、自治区、直辖市通信管理局(以下统称电信管理机构)依法对电信和互联网用户个人信息保护工作实施监督管理。 第四条本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。 第五条电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。 第六条电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。 第七条国家鼓励电信和互联网行业开展用户个人信息保护自律工作。 第二章信息收集和使用规范 第八条电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。 第九条未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。 电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。 电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。
论网络个人信息权制度的建立——从网络侵权谈起
论网络个人信息权制度的建立——从网络侵权谈起 发表时间:2011-04-19T16:44:47.220Z 来源:《魅力中国》2011年2月下供稿作者:张进伟刘世昌[导读] 随着我国网络化的逐步普及,互联网正逐渐走进我国公民生活的每一领域。 张进伟刘世昌(河南师范大学法学院,河南新乡 453007) 中图分类号:D923.4 文献标识码:A 文章编号:1673-0992(2011)02-0080-01 摘要:网络因其流动性灵活性使网络侵权不同于一般侵权案件,在我国网络侵权日渐增多的情况下,相关立法、司法却未跟进。针对这一现象,关键在于建立网络个人信息权制度。面对不同的部门法现状,网络个人信息权又该从何处着手,本文拟从网络侵权及其立法现状着手,讨论个人信息权建立的必要性。 关键词:网络;侵权;个人信息;立法现状;制度构建 随着我国网络化的逐步普及,互联网正逐渐走进我国公民生活的每一领域。这一方面方便了人们的日常生活,另一方面也使每一个公民的信息趋于不安状态。每一个公民的个人信息、个人生活都可能暴露于广大网民、公众的视线下。针对目前网络侵权日渐增多的现状,如何从立法和司法层面保障每个人的信息安全,减少网络侵权现象的产生,值得思考。 所谓网络侵权,是指计算机互联网用户和网络服务提供者通过互联网传播信息侵害国家、集体、个人的民事权益的行为。网络侵权载体为网络,离开网络,这一特定的侵权行为也就失去了意义。同一般侵权行为相比,网络侵权在侵害的民事权益、侵权行为人主体、侵权责任人主体,责任方式等方面有很大的不同,从而体现了网络侵权的复杂性、特殊性。 1.网络操作简单,网络侵权行为人可以在任何时间、地点实施侵权行为,无需太高的技术水平和投入,违法的可能性较其他侵权行为显然要高。 2.网络侵权行为地点的随意性,使传统管辖权无法适应网络空间的特性。管辖权无法确定,公检法国家机关的求责也难以跟上。 3.网络侵权行为取证艰难,我国民诉法规定七类证据,网络侵权案件证据不在此类证据之列。而当事人证据不在法定证据类型范围,很难产生法律效力。网络的传播速度很快,举证时也难以找到原始性证据,证明力也相应会打折扣。 4.网络侵权传播迅速,损害时效性强,无需印刷纸张等传统媒体信息传播载体,仅凭借无形的高速运转的网络,造成侵权内容迅速扩展,广为曼延。 网络水军助推也使网络侵权主体难以确定,方式多种多样 正是由于网络侵权的特殊性,使得个人信息安全岌岌可危,很有必要通过立法规定和司法程序的完善,来保障个人信息安全。 2010年7月1日实行的《侵权责任法》第36条对网络侵权作出了专门的规定,“网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。”这一法条使网络侵权现象有法可依,但法条却过于简单,可实行性不强。随着网络在生活中的进一步普及,相关问题仍会有很多。要真正解决网络侵权现象,根本在于确立个人信息权制度。 何为个人信息,理论和实务界对个人信息做出的界定不一,主要有隐私说和识别说两种:隐私说认为个人信息是指个人不愿向外透露的或是个人极为敏感而不愿他人知道的个人信息;识别说认为个人信息是指一切足以构成对个人进行识别的信息,比如姓名、性别、身高、血型、住所、职业、财产及婚姻状况都包括在内。 隐私说重点在于主观,即自己不愿透露的、自认为敏感的信息,而识别说重在于客观,即客观上能为他人识别的信息。笔者认为以识别说为主,兼采隐私说更为合理。隐私本身就是一个十分不确定的概念,同一信息,可能往往一个人认为是隐私,而另一个人认为不是隐私,通常标准难以确定。而且隐私说要真正运用于诉讼中,还需要证明这一信息确实属于自己的隐私,此时即涉及到识别说。隐私本身就不确定,若再用隐私去界定个人信息,显然是不合理的,而以识别说为主,兼采隐私说,可以直接界定哪些属于个人信息,并且可以得出哪些个人信息除自己之外其他人“动不得”。 国内目前立法对个人信息的保护主要有民法、行政法、刑法等。其中民法多规定为事后保护,事后保护中也局限于侵权责任,事后保护中的违约责任,以及确立个人信息权为基础的事前保护没有确立。 我国涉及个人信息民法保护的主要立法有民法通则,侵权责任法等法律及司法解释。《民法通则》第五条规定“公民、法人的合法民事权益受法律保护,任何组织和个人不得侵犯。”可以视作个人信息受民法保护的基本依据,《侵权责任法》对网络侵权做出了规定。为个人信息保护提供了保障。不过立法仍然存在不足,个人信息缺乏系统保护,只能从零散的法规中寻找依据,缺乏事前保护。 刑法方面刑法修正案七增加了保护公众私人信息安全的条款,把当前社会上反响强烈的非法出售、散布、窃取公众信息、致人隐私被严重侵害的现象,列入了刑事追究的范畴,增加了非法出售、出售、提供、窃取公民个人信息罪。在刑法第二百五十三条后增加一条,作为二百五十三条之一:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”这一修正案将犯罪对象从原来的只限于邮件,扩大到包括所有个人不愿让社会公众普遍知悉的个人作息,犯罪方式也不限于私自开拆、隐匿、毁弃,而包括新出现的出售或非法提供、窃取的行为。但该条对犯罪主体的规定却只限于国家工作人员,属于身份犯。无法保护日常生活中大量存在的个人侵犯信息权的行为。在刑法中予以规定也是不现实的。 可见刑法对于生活中时时处处可能出现泄漏或者非法获取个人信息但情节轻微的行为是束手无策的。而通过行政方法规制涉及个人信息的相关行为具有合理性。随着社会的进步与发展,政府部门、授权行使职能的组织,常会收集、保存、处理大量的个人信息,同时侵犯个人信息的行为影响到人们正常生活时,采用行政方法加以适当干涉是必须的,但是在行政方法调整的过程中,由于行政机关牵涉其中,程序可能变得严格,解决问题的途径不如民法灵活。 个人信息的处理活动,涉及的是他人同个人信息的本人之间的私人关系,本质上属于平等主体之间的关系。属于意思自治的范畴,对于这一民事行为,其调整法律规范理应由民法承担。同时与它法相比,民法对个人信息保护也具有成本低,效率高、灵活、便利的优势。 而当前民法对于个人信息侵权、个人网络侵权的保护,最主要的是缺少一个有权可依的上位概念,即个人信息权。当然也缺少很多相关的配套详细法规及程序规范。建议立法机关首先应该在民法通则中加入个人信息权,也可以制定个人信息保护法,通过立法形式规范披露、传播和利用信息的行为。让公民包括网民在法律框架内发表自己的言论,保护公民信息权。
完善银行客户个人信息保护机制的思考
完善银行客户个人信息保护机制的思考 一、我国银行客户个人信息保护的法律法规建设情况 (一)国家法律法规建设情况 我国《民法通则》、《刑法》和《商业银行法》均对银行客户个人信息保护作出规定。《民法通则》第99—101条分别对公民的姓名权、肖像权和名誉权作出保护规定。《刑法修正案(七)》将侵犯公民个人信息的行为纳入刑事犯罪的范畴,规定了出售、非法提供公民个人信息罪及非法获取公民个人信息罪两个罪名。《商业银行法》第29条则规定:“商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则”。“为存款人保密”是指商银行业对存款人的姓名、住址、存款金额、储蓄种类、存款次数、提取情况、印鉴以及其他各种情况都要严格的保守秘密,不得披露。对个人储蓄银存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。这一原则是保护存款人合法权益的最基本要求,是商业银行在办理个人存款业务时必须遵循的原则。 (二)部门规章建设情况 人民银行、银监会等部门在其规章中针对电子银行、反洗钱及信用卡业务等方面对银行客户个人信息保护作出规定。如《电子银行业务管理办法》第52条规定:“金融机构应采取适当措施,保证电子银行业务符合相关法律法规对客户信息和隐私保护的规定”;《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第28条规定:“金融机构应采取必要管理措施和技术措施,防止客户身份资料和交易记录的缺失、损毁,防止泄漏客户身份信息和交易信息”;银监会《商业银行信息科技风险管理指引》第四章以专章形式规定了信息安全,对信息安全管理职能、信息安全级别划分和信息安全措施等作出具体规定。人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》第2条规定:“银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用”;《商业银行信用卡业务监督管理办法》第3条规定:“商业银行经营信用卡业务(https://www.360docs.net/doc/2c4461745.html,整理提供),应当依法保护客户合法权益和相关信息安全。未经客户授权,不得将相关信息用于本行信用卡业务以外的其他用途”。 二、我国银行客户个人信息保护存在的主要问题 (一)客户个人信息保护法律法规缺失 1.行政法责任缺失。我国尚未制订专门的《个人信息保护法》,对个人信息
个人信息保护(精)
个人信息保护 摘要:随着个人信息侵权事件的频繁发生,有关个人信息保护的立法问题也成为学界关注的焦点,而对于个人信息权的保护模式一直是理论界关注的焦点之一。本文通过对美国和德国两国的个人信息权保护模式的分析,提出对我国个人信息权保护模式应选择人格权保护模式,将其确定为一项具体人格权加以保护。关键词:个人信息个人信息权保护模式 日常生活中,我们经常遇到这样的事情:超市开业,会员卡会莫名其妙地寄到了家里;新房刚拿到钥匙,就有装修公司跟踪而至;新车刚买,就接到电话,询问是否需要购买车辆保险等等。大量的个人信息在不知不觉中被收集、利用,现代人因此而成为“透明人”或“半透明人”,而个人信息保护制度的缺失使人们的工作和生活受到了严重影响,09年央视3.15晚会上的分众传媒“短信门”事件更提醒我们加强个人信息保护已经刻不容缓。因此,个人信息的法律保护就成为法律亟需解决的一个问题。虽然我国从2005年就已经开始将个人信息保护法纳入立法日程,但至今尚未出台,而对个人信息相关问题的争论在理论界也从未停止,对个人信息权保护模式的选择理论界也存在颇多争议,本文将对此进行探讨,发表本人一点浅薄的看法。 一、个人信息权 (一个人信息 个人信息是指可以识别出信息主体本人的一切信息的总和,包括了信息主体生理信息、心理信息、智力信息以及有关信息主体个体的信息、社会的信息、经济的信息、文化的信息、家庭的信息等等。对于个人信息,学界有不同的称谓,有的称为个人隐私,有的称为个人资料(数据,下面对这三个概念进行一下比较. 1.个人信息与个人隐私 隐私是近年来在我们生活中频繁出现的词语,一般是指不愿告诉别人的或不想公开的个人的事情,或者说与公共利益无关的个人私生活秘密方面的事情。“个人隐私”与“个人信息”最大的区别在于范围上的差异,个人信息的范围大于个人隐私,即
国家个人信息保护法律法规相关要求
国家个人信息保护法律法规相关要求 为进一步强对个人信息的保护,国家先后出台了《中华人民共和国网络安全法》(以下简称《网安法》)、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)、《中华人民共和国刑法修正案(九)》(以下简称《修正案(九)》)等一系列法律法规。 这些法律法规解释了个人信息的定义,提出了个人信息收集、使用、传输、存储的相关要求,并明确了个人信息泄露后的罚则,其中主要条款有: 1、《解释》定义了公民个人信息,第一条指出公民个人信息包括“姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。 2、《网安法》对网络运营者提出个人信息保护相关管理要求,第四十条指出“应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”。《网安法》对网络运营者提出个人信息保护相关技术要求,第四十二条指出“应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失”。 3、《网安法》明确网络运营者收集、使用个人信息需经被收集者同意,第四十一条指出“网络运营者应当明示收集、使用信息的目
的、方式和范围,并经被收集者同意,不得收集与其提供的服务无关的个人信息”。 4、《网安法》明确了网络安全实名制要求,第二十四条指出“网络运营者在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。” 5、《网安法》对关键信息基础设施个人信息出境提出安全评估要求,第三十七条指出“关键信息基础设施的运营者在境内收集和产生的个人信息应当在境内存储。因业务需要,确需向境外提供的,应当按照有关部门制定的办法进行安全评估”。 6、《修正案(九)》对网络服务提供者的个人信息泄露情形提出量刑标准,指出“网络服务提供者不履行信息网络安全管理义务,致使用户信息泄露,造成严重后果的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金”。《解释》定义了拒不履行信息网络安全管理义务罪,第九条指出“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,致使用户的公民个人信息泄露,造成严重后果的,以拒不履行信息网络安全管理义务罪定罪处罚”。 7、《解释》中提出企业在经营过程中可能采集或生成的公民个人信息主要包括:姓名、身份证号码、通信通讯联系方式、住址、征信信息、财产交易信息等,如员工以出售、交换等方式故意征信信息、泄露财产信息超过50条的,交易信息超过500条的,其他信息超过5000条的,或者违法所得5000元以上的,将构成侵犯公民个人信息
信息安全保障措施28658
信息安全保障措施 网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全,社会的稳定。我公司将认真开展网络与信息安全工作,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件。对有毒有害的信息进行过滤,对用户信息进行保密,确保网络与信息安全。 我公司承诺在开展信息服务业务时,将依照信息产业部颁布的《增值电信业务网络信息安全保障基本要求》(YDN126-2005)完善公司的网络与信息安全保障措施,制定相应的信息安全管理制度,建立网络与信息安全应急流程,落实信息安全责任.具体措施如下: 8-1、信息安全管理人员的要求: 8-1-1、信息安全联络员制度: 我公司将建立信息安全联络员制度,具体由赵建强担任,7*24小时,我公司承诺,如我公司信息安全联络员人员有变动和调整,将在2个工作日内以书面的方式向陕西省通信管理局进行汇报。 8-1-2、信息安全管理组织机构: 我公司将建立以副总经理徐国华为主的的,以公司技术部、研发部、市场部、客户部三个部门主管领导为成员的信息安全管理组织机构,全面负责公司网络与信息安全工作.具体由信息安全联络员赵建强负责实施,由公司技术部经理高强(7*24小时)担任公司信息系统安全员,由研发部经理刘斌(7*24小时)担任公司网络技术安全员具体实施和维护网络和信息安全。 8-2、信息安全管理制度要求: 8-2-1、信息安全管理职责 我公司信息安全主要由我公司信息安全联络员赵建强督促技术部和研发部实施,具体包含以下方面: A、对整个所管范围的信息系统安全问题负责。在安全方面网络安全员、系统管理员、网络管理员和操作员要服从信息系统安全员的领导和管理; B、负责信息系统安全策略、计划和事件处理程序的决策; C、负责安全建设和运营方案的决策; D、负责安全事件处理的决策;