随着我国电信和互联网行业快速发展,新技术、新业务、新应用层出不穷,对促进经济社会发展起到了积极的作用。与此同时,用户个人信息的泄露风险和保护难度不断增大,加强用户个人信息保护立法成为社会广泛关注的问题。为此,工业和信息化部依据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规,于2013年7月16日颁布了《电信和互联网用户个人信息保护规定》(中华人民共和国工业和信息化部令第24号),并于2013年9月1日生效。这是工业和信息化部以部门规章的形式,对个人信息在信息通信行业领域进行保护管理的规定。
欲具体了解相关工业和信息化部以部门规章介绍的请进入。
一、该规章的意义
该《规定》的发布,一是进一步完善了电信和互联网行业个人信息保护制度。由于部分电信业务经营者、互联网信息服务提供者对用户个人信息安全重视不够,安全防护措施不完善,管理制度不健全,信息安全责任落实不到位,需要进一步完善用户个人信息保护法律制度,规范电信服务、互联网信息服务过程中收集、使用用户个人信息的活动。二是贯彻落实全国人大常委会《关于加强网络信息保护的决定》(以下简称《决定》)的需要。贯彻执行好《决定》有关收集、使用个人信息的制度,需要出台相关配套规定。制定《规定》,进一步明确电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施等,是落实全国人大常委会《决定》规定的制度和措施,切实保护用户合法权益的要求。
欲详细了解全国人大常委会《关于加强网络信息保护的决定》的请进入。
二、该规定的内容介绍
《电信和互联网用户个人信息保护规定》(中华人民共和国工业和信息化部令第24号)共六章、二十五条,其规定的主要内容可归纳如下。若要详细了解该《规定》具体内容的请查阅下附件。
附件:《电信和互联网用户个人信息保护规定》(中华人民共和国工业和信息化部令第24号)
1、电信和互联网用户个人信息的保护范围
该《规定》依据全国人大常委会《决定》的有关规定,明确要求保护“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”。
2、用户个人信息收集和使用原则
该《规定》根据全国人大常委会《决定》的规定,要求电信业务经营者、互联网信息服务提供者收集、使用用户个人信息应当遵循合法、正当、必要的原则,并对用户个人信息的安全负责。
3、用户个人信息收集和使用规则
该《规定》要求电信业务经营者、互联网信息服务提供者遵守下列信息收集和使用规则:制定并公布其信息收集和使用的规则;未经用户同意不得收集、使用用户个人信息;明确告知用户其收集、使用信息的目的、方式和范围等事项;不得收集提供服务所必需以外的用户个人信息;在用户终止使用服务后应当停止对用户个人信息的收集和使用,并提供注销号码或账号的服务;不得泄露、篡改、毁损、出售或者非法向他人提供用户个人信息等。
4、代理商的管理
该《规定》按照“谁经营、谁负责”、“谁委托、谁负责”的原则,根据民法上的委托代理制度,明确规定由电信业务经营者、互联网信息服务提供者负责对其代理商的个人信息保护工作实施管理。《规定》要求:电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合《规定》有关用户个人信息保护要求的代理人代办相关服务。
5、安全保障制度
该《规定》从岗位责任、管理制度、权限管理、存储介质、信息系统、操作记录、安全防护等方面,明确了电信业务经营者、互联网信息服务提供者应当采取的防止用户个人信息泄露、毁损、篡改或者丢失的措施。与此同时,该《规定》对用户个人信息保护情况自查和培训等制度作了相应的规定。
6、监督检查制度
该《规定》要求电信管理机构对用户个人信息保护情况实施监督检查,电信业务经营者、互联网信息服务提供者应当予以配合。该《规定》还明确规定电信管理机构在电信业务经营许可和年检中应当审查用户个人信息保护的情况,将电信业务经营者、互联网信息服务提供者违反《规定》的行为记入其社会信用档案。
三、相关说明
1、关于管理范围
由于各行各业普遍存在收集、使用个人信息的情况,相应的信息保护工作也涉及到众多的部门,工信部部并不负责管理所有的个人信息。因此,该《规定》依据《决定》的有关规定,立足工信部电信和互联网行业管理职责,以“概括加列举”的方式规定了由工信部负责监督管理的用户个人信息的范围,即:电信业务经营者、互联网信息服务提供者在提供服务的过程中收集的能够识别用户的信息以及用户使用服务的信息,包括用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
2、关于处罚力度
该《规定》规定,对相关违法行为设定了警告和三万元以下的罚款处罚。可能有人认为《规定》设定的罚款数额过低,处罚力度过小,不利于惩处和预防侵害用户个人信息的违法行为。但这是根据《中华人民共和国行政处罚法》和国务院的有关规定,部门规章只能设定警告和最高额为三万元的罚款。为此,为有效预防和打击相关违法行为,工信部还将积极创新管理方式,在法律规定的幅度内设定相关处罚的同时,设立了制止违法行为危害扩大的“叫停”制度、“向社会公告”行政处罚的制度和将违法行为“记入社会信用档案”的制度等。综合运用上述管理制度和处罚措施,必将能够有效地遏制侵害用户个人信息的违法行为。
值得指出的是:在2021年8月20日我国首次颁布了《中华人民共和国个人信息保护法》。该法对于个人信息的保护有更全面、更详细的法律规定。
欲进一步了解《中华人民共和国个人信息保护法》内容的请进入。