《电信和互联网用户个人信息保护规定》出台

继 2013 年 4 月 10 日工业和信息化部（以下简称“工信部” ）发布征求意见稿后，2013 年 7 月 16日，工信部正式颁布了《电信和互联网用户个人信息保护规定》（以下简称“ 《个人信息保护规定》 ” ），并将于 2013 年 9 月 1 日起实施。近几年来，工信部持续关注并逐步加强个人信息保护方面的立法工作。从《互联网电子邮件服务管理办法》、《互联网电子公告服务管理规定》之中零星原则的规定，到 2012 年 3 月 15 日实施的《规范互联网信息服务市场秩序若干规定》（以下简称“ 《2012 年规定》 ” ）中关于个人信息保护的具体规定， 再到组织起草 《信息安全技术 - 公共及商用服务信息系统个人信息保护指南》（标准号：GB/Z 28828-2012，以下简称“ 《指南》 ” ，国家质量监督检验检疫总局与国家标准化管理委员会于2012 年 11 月 5 日正式发布，2013 年 2 月 1 日实施）， 工信部关于个人信息保护方面的思路逐渐清晰。一方面加强监管，但在目前这个阶段并未也不可能像欧盟一样设立严格的监管要求；另一方面，学习美国的行业自律，希望形成有一定中国特色的、 既能保护用户， 又不给电信/互联网公司上太重的枷锁的中间道路。

2012 年 12 月 28 日，全国人民代表大会常务会员会颁布了《关于加强网络信息保护的决定》（以下简称“ 《决定》 ” ），为《个人信息保护规定》的起草和颁布提供了基础和铺垫。《个人信息保护规定》在《决定》的基础上，进一步细化和落实了《决定》涉及电信和互联网方面的规则。这也体现出立法机关对于近几年来个人信息泛滥、无法得到有效保护的应对。

一、《个人信息保护规定》的主要内容

（一）义务主体

《个人信息保护规定》所规范的主体是“电信业务经营者和互联网信息服务提供者” （以下简称“电信互联网服务商” ）。

（二）保护对象

《个人信息保护规定》中所保护的对象为“用户个人信息” ，并将其定义为“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码 、住址、电话号码 、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。 ”

（三）信息收集和使用规范

《个人信息保护规定》要求电信互联网服务商在收集、使用用户个人信息时，遵循合法、正当、必要的原则，对用户个人信息的安全负责。《个人信息保护规定》对电信互联网服务商的具体要求如下：

（1）制定用户个人信息收集、使用规则并予以公布；

（2）未经用户同意，不得收集、使用用户个人信息；

（3）明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项；

（4）不得收集提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息；

（5）在用户终止使用服务后，停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务；

（6）对用户个人信息严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供；

（7）委托他人代理涉及收集、使用用户个人信息的，对代理人的用户个人信息保护工作进行监督和管理，不得委托不符合本规定有关用户个人信息保护要求的代理人；

（8）建立用户投诉处理机制，公布有效的联系方式，接受与用户个人信息保护有关的投诉，并自接到投诉之日起十五日内答复投诉人。

（四）安全保障措施

《个人信息保护规定》就电信互联网服务商对于用户个人信息的管理责任、管理制度、人员权限、信息审查、保管储存、系统审查、操作记录、安全防护工作方面等提出了较为具体的安保措施要求。此外，还规定了电信互联网服务商采取补救措施、向电信管理机构报告、配合调查处理及监督检查、对工作人员进行培训、定期自查等义务。

（五）监督检查

《个人信息保护规定》明确提出了电信管理机构对于电信互联网服务商保护用户个人信息情况的监督检查责任，并确定了电信管理机构在监督检查时的权力和义务，且要求电信管理机构在实施电信业务经营许可及经营许可证年检时，对用户个人信息保护情况进行审查，并将有违反规定的电信互联网服务商记入其社会信用档案并予以公布。

（六）法律责任

《个人信息保护规定》对于法律责任部分规定了责令限期改正、警告和罚款。对于未按规定制定和公布个人信息收集、使用规则，或未建立和公布用户投诉处理机制的电信互联网服务商，责令限期改正，予以警告，可并处以一万元以下的罚款；对于违反其他实质性个人信息保护义务的行为，责令限期改正，予以警告，可并处以一万元以上三万元以下的罚款，向社会公告。构成犯罪的，追究刑事责任。

二、简评

《个人信息保护规定》将《决定》的原则性规定落实到具体规范和操作。对于个人信息收集和使用、安全保障措施、监督检查方面，相比《决定》，《个人信息保护规定》对电信互联网服务商和电信管理机构均提出了更高且更加细致的要求。当然《个人信息保护规定》的规定均在《决定》的范围之内，并未有所突破。

《个人信息保护规定》延续了《2012 年规定》的立法方向，扩充和细化了《2012 年规定》中有关个人信息保护的内容。例如， 《个人信息保护规定》增加了“电信业务经营者”这一义务主体，对于个人信息的定义进行了列举，大大扩充了《2012 年规定》对于个人信息收集和使用、安全保障措施、监督检查方面的规定。因此，电信互联网服务商将面临制定业务规范，明确人员职责和权限，建立审查和记录机制等要求。

《个人信息保护规定》出台后， 《指南》作为非强制性国家标准，对于其今后的实施仍具有指导意义。特别是《指南》中关于信息处理的各个环节（收集、加工、转移、删除）的细致要求，将对电信互联网服务商在制定业务规范和进行日常经营管理时达到《个人信息保护规定》的要求起到一定的指导作用。

当然， 《个人信息保护规定》出台后，实践中众多的互联网电信服务商是否将遵守相关规定，每一条具体要求将如何落实，工信部如何进行合规监管，都将有待进一步在实践中检验。另外，如果由于互联网电信服务商未能遵守《个人信息保护规定》的要求，侵害了用户个人权益的，个人虽然可以提请工信部门调查处罚相关的互联网电信服务商，但是，个人权益的根本保护还是需要依靠《侵权责任法》项下的民事诉讼。《侵权责任法》下个人的隐私权诉讼在实践中的发展也值得进一步关注。