中国IDC圈7月22日报道:工业和信息化部公布《电信和互联网用户个人信息保护规定》(中华人民共和国工业和信息化部令第24号)。记者就的问题采访了工信部政法司巡视员李国斌,请他对《规定》进行解读。记者:最近,工信部发布了《电信和互联网用户个人信息保护规定》,《规定》的意义是什么?李国斌:近年来,我国电信和互联网行业发展迅速,新技术新应用层出不穷,对经济社会发展起到了积极的推动作用。同时,用户个人信息泄露风险和保护难度不断加大,加强用户个人信息保护立法成为社会普遍关注的问题。《规定》的推出,可以进一步完善电信和互联网行业的个人信息保护制度。目前,部分电信业务经营者和互联网信息服务提供者对用户个人信息安全重视不够,安全保护措施不完善,管理制度不健全,信息安全责任不到位。地方。要进一步完善用户个人信息保护法律制度,规范电信服务和互联网信息服务过程中收集、使用用户个人信息的行为。《规定》的出台,也是贯彻落实全国人大常委会《关于加强网络信息保护的决定》(以下简称《决定》)的需要。为落实好个人信息收集和使用制度,有必要出台相关配套规定。制定《规定》,进一步明确电信业务经营者、互联网信息服务提供者收集、使用用户个人信息等规则和信息安全保护措施,是贯彻落实人大常委会规定的制度和措施。人大《决定》切实保障用户合法权益的要求。记者:能介绍一下《规定》的制作过程吗?李国斌:2012年5月,工业和信息化部启动了《规定》立法的研究起草工作。起草过程中,赴吉林、广东、四川等地调研,征求部有关司局、省(区、市)通信管理局、基础电信企业、互联网企业的书面意见。《规定(征求意见稿)》意见,组织省级通信管理局、基础电信企业、互联网企业参加的立法座谈会,通过国务院法制办“中国政府法制信息网”公开征求社会意见和我们的部门网站。征求意见后,社会各方面都对《规定》的制定给予了积极肯定,没有原则性的不同意见。在充分听取各方意见,进一步完善相关制度的基础上,我们形成了《规定(草案)》。2013年6月28日,我部第2次部务会议审议通过了《规定》。7月16日,工业和信息化部令第24号公布《规定》。《规定》将于9月1日起实施。记者:能介绍一下在用户个人信息保护和管理方面的定位吗?李国斌:全国人大常委会《决定》对“公民个人电子信息”进行了界定,明确了信息收集和使用的原则和相关规则。目前,个人信息的收集和使用在各行各业普遍存在,相应的信息保护工作也涉及多个部门。我司不负责所有个人信息的管理。《规定》根据《决定》的有关规定,基于我部电信和互联网行业的管理职责,我部负责监督管理的用户个人信息范围规定如下:“汇总列举”,即:电信业务经营者、互联网信息服务提供者在提供服务过程中收集的能够识别用户身份的信息和用户使用服务的信息,包括用户姓名、出生日期、身份证号码、住址、电话号码号码、帐号、密码等。其他信息包括识别用户身份的信息和用户使用服务的时间、地点等信息。记者:能介绍一下《规定》的主要内容吗?李国斌:《规定》共有6章25条,主要规定了以下内容:(1)电信和互联网用户个人信息的保护范围。《规定》根据全国人大常委会有关规定《决定》,明确要求保护电信业务经营者收集的“用户姓名、出生日期、身份证件号码、地址、电话号码和互联网信息服务提供者在提供服务过程中单独或者与其他信息结合能够识别用户身份的号码、账号、密码等信息,以及用户使用服务的时间、地点等信息。”(二)用户个人信息的收集和使用原则。《规定》根据全国人大常委会规定《决定》,电信业务经营者、互联网信息服务提供者应当按照合法、正当、必要的原则收集、使用用户个人信息,并对用户个人信息的安全负责。(三)用户个人信息收集、使用规则。《规定》电信业务经营者和互联网信息服务提供者应当遵守下列信息收集和使用规则:制定并公布其信息收集和使用规则;未经用户同意,不得收集、使用用户个人信息;、使用信息的目的、方式和范围;不得收集用户个人信息,除提供服务所必需的;用户终止使用服务后,将停止收集和使用用户个人信息,并提供注销号码或账号的服务;不得泄露、篡改、损毁、出售或非法向他人提供用户个人信息。(4)代理人管理。《规定》按照“谁管理、谁负责”和“谁委托、谁负责”的原则,按照民法中的委托代理制度,明确规定电信业务经营者和互联网信息服务提供者负责以其代理人的个人责任实施和管理信息保护工作。《规定》要求:电信业务经营者、互联网信息服务提供者委托他人代理开展营销、技术服务等直接面向用户的服务工作,涉及收集、使用用户个人信息的,应当保护代理用户的个人信息。对工作进行监督管理,不得委托不符合用户个人信息保护要求的代理人办理相关服务。(五)安全保障体系。《规定》从岗位职责、管理制度、权限管理、存储介质、信息系统、操作记录、安全防护等方面,明确了电信业务经营者和互联网信息服务提供者应当采取的防止用户被盗用的措施。个人信息不被泄露、损坏和保护。篡改或丢失的措施。同时,《规定》对用户个人信息保护的自查和培训也做出了相应的规定。(六)监督检查制度。《规定》要求电信管理机构对用户个人信息保护工作进行监督检查,电信业务经营者和互联网信息服务提供者应当配合。《规定》还明确规定,电信管理机构应当在电信业务经营许可和年检中对用户个人信息保护情况进行审查,将电信业务经营者和互联网信息服务提供者违反的行为记入社会信用记录。文件。记者:有人认为,对《规定》的处罚是有限度的。《规定》在制度设计上如何解决惩罚过低的问题?李国斌:如你所说,在征求意见过程中,确实有意见认为的罚款数额过低,处罚过轻,不利于惩治和预防侵权违法行为。用户的个人信息。建议增加惩罚强度。根据《行政处罚法》和国务院相关规定,部门规章只能设置警告和最高3万元的罚款。《规定》遵守上述规定,对相关违规行为处以警告和3万元以下罚款。同时,为有效防范和打击相关违法行为,我们还积极创新管理方式。在将相关处罚设置在法律规定的范围内的同时,我们还建立了“制止”制度,制止违法行为的扩大化,“向社会反映”。《公告》行政处罚制度和“违法行为记入社会信用档案”制度。我们相信,综合运用上述管理制度和处罚措施,可以有效遏制侵犯用户个人信息的违法行为。
