首页 / 文章发布 / 君合法评 / 君合法评详情

个人电子信息保护立法新发展(二) 工信部就电信和互联网用户个人信息保护及电话用户实名制征求意见

2013.04.18 封锐 卓晖 闵娜娜 马致远

2013年4月10日,工信部同时公布了《电信和互联网用户个人信息保护规定(征求意见稿)》(以下简称“《信息保护规定》”)和《电话用户真实身份信息登记规定(征求意见稿)》(以下简称“《电话实名制规定》”),向社会公开征求意见。这是继2012年12月28日全国人大常委会《关于加强网络信息保护的决定》(以下简称“《决定》”)和2012年11月5日《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012)(以下简称“《指南》”)相继出台后,个人信息保护立法的又一进展。


尚处在公开征求意见阶段的《信息保护规定》和《电话实名制规定》均属部门规章,是为具体实施《决定》中的各项原则性规定而即将颁行的配套措施。


一、《信息保护规定》


1、保护范围


《信息保护规定》明确将“用户个人信息”定义为“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的能够单独或者与其他信息结合识别用户的信息,包括用户姓名、出生日期、身份证件号码、住址等身份信息以及用户使用服务的号码、账号、时间、地点等日志信息。”显然,上述定义涵盖了《决定》中提及的“在业务活动中”、“能够识别公民个人身份和涉及公民个人隐私的电子信息”,以及《指南》中提及的“能够单独或通过与其他信息结合识别该特定自然人”等关键词。


《决定》的保护仅限于目前中国法律体系中尚无明确定义的“个人电子信息”。而《信息保护规定》则使用了似乎更为宽泛的“用户个人信息”概念。然而,《信息保护规定》引用的上位行政法规为《电信条例》和《互联网信息服务管理办法》。从电信服务和互联网信息服务的性质来看,用户个人信息的收集、使用、存储、传输过程通常都在电子化后才能有效实现。因此,《信息保护规定》实则以电信服务语境下的“电子信息”为基本前提,并未突破《决定》划定的保护范围。


2、适用主体


受《信息保护规定》所规范的主体为“电信业务经营者和互联网信息服务提供者及其工作人员”(以下简称“电信运营服务商”)。这与《决定》重点关注的“网络服务提供者和其他企业事业单位及其工作人员”相呼应。


3、信息收集、使用及安全保障措施


《信息保护规定》逐一细化了《决定》对个人信息收集、使用的一系列原则规范,并在一定程度上借鉴和发展了《指南》所建议的个人信息处理基本原则和具体要求。比如,《信息保护规定》要求电信运营服务商:

  • 制定并公布个人信息收集、使用规则;未经用户同意不得收集、使用个人信息;明确告知用户收集、使用信息的目的、方式和范围,留存信息的期限,查询、更正信息的渠道以及拒绝提供信息的后果。

  • 在委托他人代理直接面向用户的服务性工作涉及收集、使用用户个人信息时,应当对代理人的工作进行监督和管理,对不能满足用户个人信息保护要求的代理人不得委托代办相关服务。

  • 建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起十五日内答复投诉人。

  • 采取措施以防止用户个人信息泄露、毁损或者丢失,包括“对工作人员实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施”。


4、监督管理与法律责任


《信息保护规定》明确了电信管理机构对相关个人信息保护工作的监管权力。电信管理机构可以在执法过程中要求电信运营服务商提供相关材料,进入其生产经营场所调查情况;在实施相关许可证年检时对用户个人信息保护情况进行审查;将有违规行为的电信运营服务商记入其社会信用档案并予以公布。


鉴于《决定》已经规定了“警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务”等处罚方式,依据《行政处罚法》,《信息保护规定》应该遵循“违反何种规定、达到何种程度即应该适用哪类处罚”的模式对法律责任的承担做出细化。但在公布的征求意见稿中,仅规定了责令限期改正、警告和最高三万元的罚款。如果违法行为导致几千万用户帐号泄密这种严重后果,显然无法通过数万元的罚款来解决问题。那么,为类似吊销许可、停业整顿、从业人员禁入这种“重磅炸弹”设定具体适用标准,防止执法中的宽严失据和恣意妄为,当属电信运营服务商的核心关切之一。


二、《电话实名制规定》


实践中,固定电话的实名制入网早已实施。2010年9月1日起,手机服务实名制也开始推行(尽管实践中仍有漏网之鱼)。根据此次《电话实名制规定》,“无线上网卡”作为移动电话的一种被纳入“电话用户真实身份信息登记”的范围。更进一步,新出台的《国务院办公厅关于实施<国务院机构改革和职能转变方案>任务分工的通知》提出,2014年政府的任务之一就是出台并实施信息网络实名登记制度,并计划在2014年6月底前完成。


无疑,上述措施有利于电信运营服务商及相关政府机构更加精准的确认以“违法”方式使用或滥用电信服务的用户身份。但作为硬币的另一面,有义务提供真实个人身份信息的用户也必然对个人信息的安全性提出更高的要求。此次《电话实名制规定》与《信息保护规定》同时出台征求意见,或许说明相关政府管理部门已经对这种辩证关系有充分的体察。


为回应信息安全诉求,《电话实名制规定》用了近半篇幅对用户个人信息保护做出规定。在信息收集阶段,要求电信业务经营者在用户身份证明复印件上注明电信业务经营者名称、复印目的和日期。这是对《决定》、《指南》和《信息保护规定》关于“公开告知”原则的适用。在信息处理阶段,《电话实名制规定》亦反复强调了《决定》、《指南》和《信息保护规定》中的多项原则要求。例如:应当建立健全保密管理制度;电信工作人员对在提供服务过程中登记的用户真实身份信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供,不得用于提供服务之外的目的;信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施、向相关电信管理机构报告、配合调查处理;对电话入网手续代理人进行监督和管理,对于不能满足用户真实身份信息登记和保护要求的代理人,不得委托代办相关手续。


三、综述


《信息保护规定》和《电话实名制规定》两部征求意见稿总体上反映了《决定》的原则,并在具体操作层面多处借鉴了《指南》中的技术细节。这一趋势,对电信运营服务商升级技术、优化流程、加强自律提出了紧迫的要求。

另一方面,随着“实名制”要求由电话扩大到互联网、由入网扩大到内容提供,个人电子信息保护的议题会受到更加广泛的关注。


对上面两部规章草案征求意见的截至期限为2013年5月15日。我们欢迎客户从维护自身权益的角度出发提出自己的忧虑、意见和建议,并通过我们一并向工信部汇总。

君合是两大国际律师协作组织Lex MundiMultilaw中唯一的中国律师事务所成员,同时还与亚欧主要国家最优秀的一些律师事务所建立Best Friends协作伙伴关系。通过这些协作组织和伙伴,我们的优质服务得以延伸至几乎世界每一个角落。
北京绿化基金会与君合共同发起的“北京绿化基金会碳中和专项基金”,是中国律师行业参与发起设立的第一支碳中和专项基金。旨在充分利用公开募捐平台优势,积极联合社会力量,宣传碳中和理念,鼓励和动员社会单位和个人参与“增汇减排”、“植树造林”等公益活动。