cn en
研究报告

国内个人敏感信息保护法律实践

发布时间:2017-10-20 来源:谷安研究院 浏览次数:2135

1 国内法律现状

目前,我国尚未制定关于个人信息保护的专项法律,个人信息保护由具体的法律、行政法规、地方性法规和规章、各类规范性文件和部门规章等共同组成,形成多层次、多领域、内容分散、体系庞杂的个人信息保护模式。

《中华人民共和国宪法》第33条、第38条、第39条和第40条关于保障人权、人格尊严、通信和住宅隐私的有关规定,是中国个人信息权利的宪法来源。《中华人民共和国民法通则》《中华人民共和国侵权责任法》等关于人格权保护与侵权救济条款,奠定了个人信息保护的民事制度基础,但内容过于单薄并欠缺体系化和针对性。

2009年《中华人民共和国刑法修正案(七)》第7条针对个人信息犯罪做了规定;2015 11 月,《刑法修正案(九)》增加的第 286 条之一,针对网络服务提供者不履行网络安全管理义务造成危害后果,构成犯罪的有关情况做了明确规定。2016 年最高人民法院完成了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(送审稿)

20121228日全国人大常委会表决通过《关于加强网络信息保护的决定》首次在法律层面确立了网络信息规范;2016117日全国人大常委会通过《中华人民共和国网络安全法》(201761日实施),进一步明确规范网络空间用户个人信息安全;《中华人民共和国消费者权益保护法》、《中华人民共和国居民身份证法》、《中华人民共和国统计法(2009年修正)》、《中华人民共和国商业银行法(2003年修正)》等一系列法律法规,对于个人信息的保护也均有体现。

表1-部分国内个人信息保护法律与规定

    

序号

法律(规定名称)

概述

    

01

《中华人民共和国宪法》

《宪法》第四十条明确了对公民通信自由和通信秘密的保护,这是我国法律对隐私权进行保护的最根本的依据。



02

《中华人民共和国民法总则》

新修订的《民法总则》对公民的隐私权做出相应的规定。规定自然人享有包括隐私权在内的多项权利;自然人的个人信息受法律保护。



03

《刑法》

《刑法》对侵犯公民通信自由、侵犯公民个人信息等犯罪行为和金融机构、证券机构信息犯罪等行为的量刑和惩罚进行了规定。



04

《中华人民共和国保守国家秘密法》

该法律对国家秘密的范围和密级、保密制度等内容做出了详细描述。



05

《中华人民共和国反不正当竞争法》

该法律对商业秘密和侵犯商业秘密的手段进行了定义。



06

《中华人民共和国居民身份证法》

该法律规定了居民身份证在使用过程中,有关单位及其工作人员应对该过程获取的公民信息进行保密。



07

《中华人民共和国邮政法》

该法律规定了除因国家安全或者追查刑事犯罪的需要,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密;任何单位和个人不得私自开拆、隐匿、毁弃他人邮件;邮政企业及其从业人员不得透漏获取的用户服务信息。



08

《中华人民共和国统计法》

该法律规定统计机构和统计人员对在统计工作中知悉的国家秘密、商业秘密和个人信息,应当予以保密;获得的能够识别或者推断单个统计调查对象身份的资料,任何单位和个人不得对外提供、泄露,不得用于统计以外的目的。



09

《关于加强网络信息保护的决定》

该决定明确指出“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息”,同时,对网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息提出了监管要求。



10

《中华人民共和国网络安全法》

该法律对网络安全等级保护制度、关键信息基础设施保护和用户个人信息保护制度等从法律层面上进行了规定,同时规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”;此外,对网络运营者处理个人信息的行为做出了规范,并对个人信息保护的责任主体和个人信息安全事件发生后的强制告知、报告进行了明确和规定。



11

《中央企业商业秘密保护暂行规定》

《中央企业商业秘密信息安全技术指引》

前者为中央企业商业秘密保护提供了重要法律依据,将极大地推动中央企业加强商业秘密保护工作,确保企业核心经营信息和技术信息安全,为国有资产保值增值发挥重要保障作用。后者则要求中央企业依法确定本企业商业秘密的保护范围,根据商业秘密的密级对商业信息进行保护,避免企业利益遭受损失。



12

《中华人民共和国商业银行法》

该法律规定了商业银行对客户信息的保密义务,商业银行有权拒绝对于非法进行个人查询、冻结、扣划等行为,以及商业银行的工作人员不得泄露其在任职期间知悉的国家秘密、商业秘密。



13

《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》

该通知对所涉及的个人金融信息做出了明确分类,银行业金融机构不得篡改、违法使用个人金融信息。使用个人金融信息时,应当符合收集该信息的目的,并不得进行个人金融信息出售、泄露等行为。



14

《中华人民共和国电信条例》

该条例规定“任何组织或者个人不得利用电信网络制作、复制、发布、传播含有包括危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的内容的信息;任何组织或者个人不得有包括利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动的危害电信网络安全和信息安全的行为”。



15

《电信和互联网用户个人信息保护规定》

该规定对所称的“用户个人信息”进行了定义,并对在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的合法活动做出了规定。



16

《未成年人保护法》

该法律规定任何组织或者个人不得披露未成年人的个人隐私。对未成年人的信件、日记、电子邮件,任何组织或者个人不得隐匿、毁弃;除因法律需要外任何组织或者个人不得开拆、查阅未成年人的个人隐私信息。同时规定新闻报道、影视节目、公开出版物、网络等不得披露该未成年人的姓名、住所、照片、图像以及可能推断出该未成年人的资料。



17

《中华人民共和国传染病防治法》

该防治法规定疾病预防控制机构、医疗机构不得在有关传染病调查、检验、采集样本、隔离治疗等预防、控制过程中非法泄露涉及个人隐私的有关信息和资料。



18

《人口健康信息管理办法(试行)》

该办法规定了负责人口健康信息采集、利用、管理、安全和隐私保护的责任单位,其应保证信息安全,保护个人隐私;并对人口健康信息的存储和披露进行的规定。



19

《信息安全技术 公共及商用服务信息系统个人信息保护指南》

该标准对处理个人信息应具有的特定、明确和合理目的,以及在个人信息主体知情的情况下获得个人信息主体同意和在达成个人信息使用目的之后删除个人信息提出了明确要求。同时规定“未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构”


总体上看,我国对于个人信息保护较为分散,甚至与现行的立法内容之间存在冲突的情况,现有法律体系还不能充分地解决个人信息保护这一现实问题。


目前针对个人信息保护的相关法律还存在如下不足:

(1)对于个人信息的界定不一致

根据个人可识别信息的定义,个人信息为能够直接或者间接识别出某一特定自然人身份的信息或者信息的组合。欧洲比较倾向于叫个人数据,美国倾向于叫信息隐私或者隐私。目前,国内现行相关法律对其尚无统一的定义。

(2)对于个人敏感信息的分类尚无准确定义

信息敏感与否,因人而异、因行业而异。所以,在法律制定过程中,应对所指的敏感信息范围进行准确界定和说明。在国内,由于没有对公民个人信息进行准确定义,法官只能凭借自身的经验和社会的一般评价进行规范的构成要件要素的判断,而这也是造成目前公民个人信息认定混乱的主要原因。

我国台湾地区出台的《个人资料保护法》对其中的“个人信息”进行了定义,即包含自然人的姓名、出生年月日、身份证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接识别该个人之数据等相关内容。

(3)对于个人敏感信息的保护程度未做明确定义

敏感信息(隐私)在不同学科、不同语境、不同文化地域下可能有不同的含义,这就需要法律对其保护程度做出准确定义,即应区分不同性质的个人信息。

我国司法实践中对“情节严重”的判断主要集中在信息数量、信息类型、营利数额、信息用途、危害后果、获取手段六个方面。不仅考虑范围不全面,而且在这六种情形当中也存在认定上的差异。例如在信息数量这一情节中,认定的标准就存在较大的不同,既有以万为单位认定侵害公民个人信息数量巨大,情节严重的;也有以几十条个人信息认定行为人构成犯罪的。

2 个人信息保护立法缺失的影响

个人信息权利是信息社会中公民基本权利的一部分,保护个人信息权利也是维护国家安全和公共安全的基础。个人信息保护立法缺失所带来的影响主要体现在以下几点:

(1)个人信息保护不足导致个人权利受到侵害

当前,对于个人信息的广泛使用已经严重冲击到了个人隐私和安全。

首先,个人信息的不规范采集、不安全处理和无约束使用,导致公众的个人信息严重泄漏,因此滋生的电信、网络诈骗等下游违法犯罪行为已造成社会巨大损失,严重影响社会安定,成为社会公害,更严重还会出现根据用户特征设计实施的“精准式”诈骗,威胁公众的财产和人身安全。“徐玉玉案”的发生引发了全社会对个人信息泄露现状的高度关注和热议,也再次将个人信息保护和相关立法工作再次推向的大众视野。

2016年7月20日,公安部官网以《公安机关打击整治网络侵犯公民个人信息犯罪成效显著》为题报道了公安部门打击侵犯公民个人信息犯罪的努力。截止发稿时,全国公安机关累计查破刑事案件750余起,抓获犯罪嫌疑人1,900余名,缴获信息230余亿条,清理违法有害信息35.2万余条,关停网站、栏目610余个。

广东公安机关开展了打击整治网络侵犯公民个人信息犯罪“安网1号”系列专案收网行动,抓获犯罪嫌疑人379名,打掉犯罪团伙78个,侦破案件130起,带破诈骗、盗窃、敲诈勒索等案件832起。山东公安机关集中力量、重点攻坚,破获网络侵犯公民个人信息案件126起,抓获违法犯罪嫌疑人339名,打掉泄露公民个人信息的源头30个,摧毁网上贩卖公民个人信息的网站、论坛18个。北京公安机在查破案件的同时,清理违法有害信息2万余条,删除、关停发布侵犯公民个人信息的违法有害信息账号1,000余个。

其次,由于目前法律对个人信息的财产属性尚未界定,各互联网平台、各商家在在客户不知情的情况下交易转让用户数据,严重地侵害了用户的财产权益。2016年2月,江苏省淮安市有人利用互联网大肆倒卖车主、车牌号、车辆类型等公民个人信息。经淮安公安机关缜密侦查抓获犯罪嫌疑人并当场查获公民信息1,500余万条,另据犯罪嫌疑人交代,自2015年以来,其非法售卖、提供公民个人信息1,177万余条,牟利3,000余元。该犯在线下向他人非法售卖公民个人信息100余万条,而购买者又从他人开办的网站购买各类公民信息500余万条,用于推销产品,并在网络上贩卖。

(2)个人信息保护不力影响企业和行业健康与可持续发展

近些年,航空售票系统、医疗卫生系统个人信息系统由于遭受黑客攻击或由于内部管理不善,导致个人信息泄露事件发生,降低相关企业甚至行业的公信力,影响其健康和可持续发展。

2014年3月,国内知名旅游网——携程旅行网被报道,其支付日志存在漏洞,用户银行卡信息可被黑客任意读取。黑客可通过用户的手机号码、银行卡号和信用卡验证码注册第三方支付账号,从而跳过用户和银行绑定的手机,进行盗刷。这些数据可以用来创建或关联第三方支付,国内第三方支付公司多达几百家,可以利用的点很多。受害者很容易出现资金被盗的情况。显然,携程网的做法已经明显违反了中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》。一时间,公众对于隐私安全的敏感神经再一次被挑动。而互联网大数据应用的信息安全问题也被推至风口浪尖。

同年12月2日,作为国内知名航空公司的东方航空也被报道大量用户订单信息遭到泄露。资深航空从业人士指出,这样的漏洞会导致关于旅客姓名、手机号以及航班信息等资料外泄,部分乘客接到恶意诈骗短信的通知而遭受大量经济损失,给消费者造成伤害已经显而易见。东航系统漏洞的存在更是相当于将旅客信息赤裸裸地暴露在犯罪分子的目光之下,而最为个人信息的持有者和管理者则未尽到所应承担的责任和义务。

同年12月25日,作为国内权威的铁路售票系统网站——12306网站的大量用户数据在网络疯狂传播。本次泄露事件被泄露的数据达131,653 条,包括用户账号、明文密码、身份证和邮箱等多种信息,共约14M数据。这不是12306网站第一次发生用户信息泄露事件,但是最大的一次。这些账号信息以明文方式传播,一旦被不发分子利用,试图登陆相关账号的其他平台账号,可能会操作涉案人员的经济损失;另外,已经有利用泄露信息非法登陆其他人12306账号并退票的相关报道,对相关的人员造成一些损失。

2016年6月,山东省青岛市公安局破获了一起网民利用黑客技术非法控制计算机信息系统窃取信息,并将非法获取的各类信息在网络上出售的案件。该犯罪嫌疑人利用所学的黑客技术,从2014年开始入侵航空公司订票服务系统、贵金属交易平台、医疗中心、职教中心等数百家网站,窃取各类公民个人信息数据10亿余条,贩卖公民个人信息数据获利20余万元。

(3)个人信息保护不力影响国家信息安全和国际竞争力

由于中国个人信息保护力度不及欧美等国,在国际经贸往来中,在华外资金融机构选择将境内客户个人信息转移到境外处理已成惯例。此外,在互联网信息化时代和大数据背景下基于规模化个体信息的加工分析,可形成对国家安全的细微洞察,公民个体信息失去保护,中长期看国家安全也难以得到切实保障。

3 个人信息保护立法的必要性与合理性

(1)个人信息保护立法保障国家战略顺利实施

宏观层面上来看,包括国家大数据战略在内的“互联网+”行动计划和“走出去”战略以及“一带一路”等国家宏伟蓝图的实现,其中必然伴随着对个人敏感信息和跨境数据的处理。

如何尽快制定相关个人信息保护的法律,使得相关方对个人数据在国家法律框架之下得到合规操作,妥善保护个人信息,促进大数据产业发展,实现大数据战略,落实“互联网+”行动计划就成为当务之急。特别是在当前云技术和移动互联迅猛发展的大背景下,其所带来的挑战更不容小觑,同时也会影响国家形象和国际竞争的参与。

(2)个人信息保护立法是完善国家法律体系的必然需要

由于目前我国没有统一的个人信息保护法,个人信息保护方面的工作通过特定法律、一般性规范和具体规定来保障,侵害个人信息需要承担民事、行政乃至刑事责任。但是,这些规范在形式上过于分散,对于普通民众和商家来说都难以形成直观的认知,应尽快制定统一的个人信息保护法,对其进行系统化梳理和整合,无论是从立法资源的节省、立法技术的提高、规则体系的优化,还是向民众普及个人信息法律,保护的常识和意识来看,都存在必要性和合理性。

虽然网络安全法作为我国网络领域的基础性法律将个人信息保护列入其中,既是出于国家网络空间主权和网络安全考虑,也是对当前个人网络信息安全严峻现实的直接回应。但对于公众所关心的,若个人或组织通过网络运营平台发布和泄露个人信息,网络运营方是否要承担相应的连带责任,网络安全法并未做出明确规定。

”互联网+“时代,个人信息保护的漏洞与风险被进一步放大,加强个人信息保护的重心,其实已经转移到网络。网络安全法的出台,虽然是对此现状的积极补漏,但远不能全方位的保护个人信息安全,也存在个人信息保护的法律漏洞。一方面,它侧重于网络安全,而非针对个人信息保护的专门性法规;另一方面,当前涉及个人信息保护的法律条款仍多散见于相关法规中,在权威和效力上都有待提升。

所以,应通过制定个人信息保护法,明确国家对于个人信息保护的决心,树立其法律地位。同时,在法律层面上明确线上、线下及跨境数据传输过程中的各类个人信息采集及使用的方式、范围及标准,并严格规范各类数据采集及使用主体在信息处理方面的细则,完善个人信息安全方面的保障要求与信息披露义务,以及针对个人信息权层面的相关权益保障要求,充分保障用户在信息层面的知情权、选择权、受尊重权及信息安全权在内的各项基础性权利。

(3)个人信息保护立法是依法执法的基础

目前在国内,不同政府部门和社会机构掌握着不同的个人信息,如公安部门掌握着公民的户籍身份、家庭成员及住址信息,金融部门和机构掌握着公民的账户信息、财产信息、交易信息和信用信息,教育部门和学校掌握着公民的就学及考试成绩信息,税务部门掌握着公民的纳税信息,劳动人事部门掌握着公民的人事档案信息,电信部门和机构掌握着公民的通信信息,铁路、公路和民航部门和企业掌握着公民的出行信息,医疗卫生部门和医院掌握着公民的疾病信息、就医信息,司法部门掌握着公民的诉讼信息等等,而互联网公司掌握着公民全部的上网搜索、浏览、购物、社交等网络信息。

各相关部门和商业机构在对个人信息进行收集、加工等过程中,势必会发生信息收集不当、滥用和泄露的事件,从而导致个人权利和利益频遭侵害。2016年发生的高考学生遭电信诈骗后自杀等恶性事件,就是因为学生个人信息遭到泄露引发。此外,任由外国组织收集中国公民个人信息,还可能使危及国家安全的情形扩大蔓延,尤其是伴随互联网传播而导致对个人权益的危害快速扩大并且不易消除。

这些就迫使国家必需尽快制定个人信息保护法律,使得公民在个人信息权益遭到侵害进行法律诉讼时有法可寻、有法可依,社会公共机构和商业机构在公民个人信息收集和处理过程中做到有法必依,司法部门在执法过程中做到有法可依、违法必究。

(4)公众观念改变促使立法工作更为迫切

 据中国互联网络信息中心第39次《中国互联网络发展状况统计报告》显示,截至2016年12月,中国网民规模达7.31亿,互联网普及率达到53.2%,互联网已经成为我们生活的一部分,而伴随互联网普及所带来的个人信息和商业秘密的泄露也就日趋常见。

通过“徐玉玉案”等一系列恶性案件给社会带来的不良影响,也使人们充分意识到了个人信息泄露和滥用所带来的严重社会危害,个人信息保护重要性意识更加强烈,需求更加迫切,这就出现了民众对个人信息法律保护的需求与个人信息保护法律缺位之间的矛盾。

4 对个人敏感信息保护的建议

(1)采取统一立法模式,系统确立原则和规范

充分吸收、借鉴欧盟、美国、日本和我国香港、澳门及台湾地区个人信息保护立法的成功经验,采取统一立法的模式,制定《个人信息保护法》并完善相关法律体系,明确规定个人信息的涵义,确立个人信息权,明确国家机关信息处理主体和非国家机关信息处理主体收集、利用和处理个人信息的基本原则和规范,特别是立法原则应体现五大国际原则和所提交的《信息安全技术 公共及商用服务信息系统个人信息保护指南》(征求意见稿)中确立的个人信息安全基本原则。

(2)明确个人信息分类保护

凡涉及到与个人身份识别相关各个方面的信息,在其收集、存储、利用过程当中应当符合“目的明确原则”、“最少够用原则”、和“合法必要原则”。

以2013年1月21日国务院公布的行政法规《征信业管理条例》为例,第二十条规定:“信息使用者应当按照与个人信息主体约定的用途使用个人信息,不得用作约定以外的用途,不得未经个人信息主体同意向第三方提供”。

第十四条规定:“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。”

(3)全面落实用户授权和公开透明机制

个人信息的收集和处理过程应满足“同意和选择原则”,即经过信息主体的授权。《征信业管理条例》第十三条规定,“采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。”

第十八条规定:“向征信机构查询个人信息的,应当取得信息主体本人的书面同意并约定用途。但是,法律规定可以不经同意查询的除外。 征信机构不得违反前款规定提供个人信息。

第十九条规定:“征信机构或者信息提供者、信息使用者采用格式合同条款取得个人信息主体同意的,应当在合同中做出足以引起信息主体注意的提示,并按照信息主体的要求做出明确说明。”

(4)规范个人信息管理机构对个人信息的安全管理

确保我国公民个人信息安全不仅是各管理机构所应承担的法律责任和义务,同时也关系到国家安全。所以,应在个人信息保护法律中明确对涉及个人信息采集、加工、存储、使用及销毁等全数据生命周期过程提出对相关机构的法律约束,并要求其建立并制定相应的内部管控流程和制度,确保在我国境内的个人信息安全。

《征信业管理条例》第二十四条规定的“征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。征信机构向境外组织或者个人提供信息,应遵守法律、行政法规和国务院征信业监督管理部门的有关规定。”

 2014年5月由国家卫生计生委发布的《人口健康信息管理办法(试行)》和2016年6月21日,由国务院办公厅发布的《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》。前者第十条规定“不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器”;后者则要求“在健康医疗大数据保障体系建设方面要加强大数据安全监测和预警,建立安全信息通报和应急处置联动机制,建立健全‘互联网+健康’医疗服务安全工作机制,完善风险隐患化解和应对工作措施,加强对涉及国家利益、公共安全、患者隐私、商业秘密等重要信息的保护,加强医学院、科研机构等方面的安全防范。”

(5)完善信息泄露应急预案

尽管在现行法律、法规没有对个人信息泄露的应对措施作具体规定,但是出于个人信息管理者所应承担社会责任的需要,并参考《网络安全法》 “监测预警和应急处置”的相关内容,可对信息泄露应急处置提出要求,制定应急预案并不定期进行应急演练,从而保证在极端情况下发生信息泄露时,可以准确定位到信息泄露的原因及问题所在,并在最短时间内进行处置与控制信息安全风险,以争取将信息泄露风险控制在最低程度。
此外,鉴于大规模个人信息泄露发生时会对公共社会稳定性造成巨大影响,所以还应对舆情监测和涉及公共关系管理等内容提出要求。

二维码

谷安咨询

IT治理信息安全IT风险数字风险

谷安审计

IT审计服务 IT审计体系IT审计师联盟

谷安学院

关于学院学院动态安全易视在线教育学术体系合作交流校友社区

谷安研究

关于研究院研究框架研究报告顾问服务

创新中心

IT-GRC 安全值 极质软件 云安全

媒体社区

安全牛 牛聘 任务平台

关于我们

谷安简介新闻动态荣誉资质加入谷安联系我们

京ICP备13013886号-9

北京: 010-51626887 深圳: 0755-82986930 上海: 021-22310533