在7月24日国新办举行的新闻发布会上,关于电信用户个人信息保护和真实身份信息登记的“两项规定”成为许多记者追问的热点。此前不久,工信部同时公布了《电信和互联网用户个人信息保护规定》和《电话用户真实身份信息登记规定》,以电话实名制今年9月起施行为契机, 工信部在通信和互联网业界织起一张颇为严密的个人信息保护网。其中规定,信息服务提供商不得泄露用户姓名、身份证号等,违反者罚最高3万元以及“记入社会信用档案”等,其所针对的,既包括电信运营商,还包括大量的互联网服务商。
贯彻法律意志规范行业发展
专家指出,继全国人大常委会在法律层面确定保护用户个人信息之后,此次在电信和互联网行业层面推出具体的操作性规章,这不仅将惠及千家万户每个电信和互联网用户,还将对信息通信技术的发展、信息消费对经济增长的带动,发挥积极的促进作用。
截至2012年年底,全国电话用户达到13.9亿户。与此同时,利用未登记真实身份信息的电话传播淫秽电子信息、发送垃圾短信息、散布有害信息、实施诈骗等问题突出,影响了用户的合法权益,扰乱了社会秩序,甚至威胁国家安全。这两项规定是根据全国人大常委会《关于加强网络信息保护的决定》和《中华人民共和国电信条例》制定的规章。针对社会上广泛存在的用户个人身份信息外泄、垃圾短信等重又抬头的状况,新规中对用户身份信息保护采取了更加积极的措施。不仅在《电话用户真实身份信息登记规定》中明确了电信业务经营者对于用户真实身份信息发生泄露、毁损、丢失时相应的法律责任,还在《电信和互联网用户个人信息保护规定》中就电信和互联网用户个人信息的保护问题做了专门规定。
未经用户同意 不得收集个人信息
目前,互联网上泄露用户信息的事件频繁发生。垃圾信息有重新抬头的迹象。有调研报告显示,超过60%的被访者遭遇过个人信息被盗用,而且,这一数字仍在增长。
此次新规中明确要求,保护“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”。同时规定,“未经用户同意不得收集、使用用户个人信息;明确告知用户其收集、使用信息的目的、方式和范围等事项;不得收集提供服务所必需以外的用户个人信息;在用户终止使用服务后应当停止对用户个人信息的收集和使用,并提供注销号码或账号的服务;不得泄露、篡改、毁损、出售或者非法向他人提供用户个人信息等”。
创新监管方式防止危害扩大
工信部政策法规司巡视员李国斌表示,为了惩处和预防侵害用户个人信息的违法行为,不少人曾建议加大处罚力度。但根据《行政处罚法》和国务院的有关规定,部门规章只能设定警告和最高额为3万元的罚款。但工信部在法律规定的幅度内设定相关处罚的同时,还积极创新管理方式,设立了制止违法行为危害扩大的“叫停”制度、“向社会公告”行政处罚的制度和将违法行为“记入社会信用档案”的制度。这些富有新意的管制与处罚措施,对于遏制侵害用户个人信息的违法行为可望发生显著的作用。
代理商有义务保护个人信息
关于代理商经常泄露个人信息,此次出台的文件明确,按照“谁经营、谁负责”、“谁委托、谁负责”的原则,由电信业务经营者、互联网信息服务提供者负责对其代理商的个人信息保护工作实施管理。
其中要求:电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合《规定》有关用户个人信息保护要求的代理人代办相关服务。
实名制与保障用户信息安全同步
对于即将开始的电话实名制,由于实施过程中用户担心个人信息会泄密,工信部相关负责人表示,实施实名制过程中将要求电信企业采取各种便利措施,方便广大用户进行真实身份信息登记,确保不影响用户正常开通和使用电话业务。
另外,文件要求电信管理机构对用户个人信息保护情况实施监督检查,电信业务经营者、互联网信息服务提供者应当予以配合,将电信业务经营者、互联网信息服务提供者违规的行为记入其社会信用档案。
文件明确,对于广大用户而言,在办理电话入网手续时,只需向电信业务经营者出示有效证件,提供真实身份信息,配合电信业务经营者做好信息登记工作。电信业务经营者应采取便利措施,为《规定》施行前尚未提供真实身份信息或者信息不全的电话用户补办登记手续。
个人信息保护须综合治理
目前,各行业普遍存在收集、使用个人信息的情况,相应的信息保护工作也涉及众多的部门,工信部相关负责人此次明确,“工信部并不负责管理所有的个人信息”。
这次工信部两项《规定》,进一步明确电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施等。“公民个人电子信息”的保护,在工信部的监督管理范围内,主要是指电信业务经营者、互联网信息服务提供者在提供服务的过程中收集的能够识别用户的信息以及用户使用服务的信息,包括用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
《规定》要求电信业务经营者、互联网信息服务提供者遵守下列信息收集和使用规则:制定并公布其信息收集和使用的规则;未经用户同意不得收集、使用用户个人信息;明确告知用户其收集、使用信息的目的、方式和范围等事项;不得收集提供服务所必需以外的用户个人信息;在用户终止使用服务后应当停止对用户个人信息的收集和使用,并提供注销号码或账号的服务;不得泄露、篡改、毁损、出售或者非法向他人提供用户个人信息等。
而事实上,电话和互联网用户最为关注的个人信息泄露中所包含的背景资料、身份信息、在网络上活动的痕迹和偏好等,可以获取这些信息的并不仅限于通信运营企业和互联网信息服务提供商。所以,通信主管部门应当与公安、银行、保险、医疗、教育、交通等各个拥有用户个人信息资源的部门携手,齐抓共管,从源头加强个人信息保护。