刘建荣
近年来,用户个人信息安全问题日益严重,电信用户个人信息泄露事件也屡屡见诸报端,引起了人们的高度关注。电信用户个人信息一旦泄露,用户将面临垃圾短信、骚扰电话、电话欺诈等种种麻烦,给用户的工作和生活带来很大影响。而目前正在推行的电话用户实名制,进一步加大了社会对电信用户个人信息安全问题的担忧。
电信用户个人信息=公民个人信息?
有专家认为,公民个人信息是指现实生活中能识别特定公民个人的一切信息, 包括姓名、年龄、体重、身高、档案、医疗记录、收入及消费、购买习惯、婚姻状况、教育背景、家庭住址与电话号码等。也有专家认为, 公民个人信息是指以任何形式存在的、与公民个人存在关联并可识别特定个人的信息, 几乎有关个人的一切信息、数据或者情况都可被认定为公民个人信息。关于电信用户信息,根据工信部于2009年颁布的《第三代移动通信服务规范(试行)》2.10条规定:本处所称用户信息,是指电信用户的姓名或者名称、有效证件号、住址、位置信息、用户号码、联系方式、交费账号和通话清单等非通信内容。而根据《中国电信用户信息管理指导意见》规定,中国电信用户信息是指用户向中国电信各级公司提供的与用户相关的各种信息,以及在使用通信服务的过程中产生的各种通信记录和消费记录等非通信内容。具体包括个人与单位的身份信息、合作信息、通信信息和消费信息四个组成部分。
由此可知,电信用户信息包括个人用户信息和单位用户信息两个部分,而且均只包括非通信内容。对电信个人用户而言,个人用户信息是否等同于《刑法》规定的个人用户的公民个人信息?笔者希望能保持统一的规定和解释。
侵犯电信用户个人信息的法律责任
用户个人信息属于用户隐私,侵犯电信用户个人信息属于侵权行为,可能依法承担相应的法律责任。
首先是民事责任。在2009年通过的《侵权责任法》颁布之前,我国《民法通则》和最高人民法院相关司法解释等均将隐私权纳入名誉权的范畴进行法律保护。《侵权责任法》第一次明确将隐私权写入法律。侵犯电信用户个人信息可能承担停止侵害、赔礼道歉、赔偿损失等民事责任。当年弄得沸沸扬扬的昆明律师王卫宁诉昆明电信公司民事侵权一案,便是认为电信提供的来电显示业务侵权了其隐私权。
其次是行政责任。工信部于2009年颁布的《第三代移动通信服务规范(试行)》2.10条规定:电信业务经营者依照法律和有关规定对用户资料负有保密义务。未经用户同意,不得将用户信息用于查询服务或提供给第三方,不得泄露、删除、篡改用户信息。法律、行政法规另有规定的,从其规定。侵犯电信用户个人信息,可能因损害消费者权益,违反消费者权益保护法律规定和电信相关监管规定,而遭受工商、通信管理等部门的行政查处。
最后还有刑事责任。针对日益严重的公民个人信息泄露问题,2009年2月28日颁布实施的《刑法修正案(七)》新增了“出售公民个人信息罪”和“非法获取公民个人信息罪”两项新的罪名。该罪新设后,已经发生数起因侵犯电信用户个人信息而被追究刑事责任的案件。
多举措保护电信用户个人信息安全
首先,要加强宣传教育,提高保护用户个人信息安全的法律意识。欧盟 ENISA(European Network and Information Security Agency欧洲网络与信息安全局)在一份题为《提高信息安全意识 (Awareness Raising) 》的文件中指出:“大量的研究报告表明,在所有的信息安全系统框架中,人这个要素往往是其最薄弱的环节。只有革新人们陈旧的安全观念和认知文化,才能真正减少信息安全可能存在的隐患。”“具备高度信息安全意识的个人和有效的安全措施,被视作信息系统和网络安全的第一道防线。因此,信息安全体系的所有参与者,包括信息技术业内人士、与信息安全攸关的利益方,以及信息系统的最终用户群乃至用户个体,都应担负起提高安全意识,维护信息安全的责任。”为创造尊重和保护用户个人信息安全的企业文化和经营环境,有必要加大相关宣传教育力度,坚持以服务为首、以客户感知为本的经营观念,增强广大员工特别是有机会接触用户个人信息的关键岗位员工以及企业经营管理人员的信息安全意识。
其次,要提高技术手段,完善相关信息管理系统。电信业是一个高度IT化的行业,大量的用户个人信息通过计算机网络进行存储和传输,对企业信息系统安全提出了极大的挑战。对电信企业而言,堵住人为漏洞可用制度,而堵住技术本身的漏洞,最好使用技术。电信运营商要加强新产品新技术的应用推广,不断完善信息系统安全设备诸如防火墙、VPN、入侵检测系统、防病毒系统、认证系统等的性能,强化应用数据的存取和审计功能,确保系统中的用户个人信息得到更加稳妥的安全技术防护。
再次,要梳理完善用户个人信息安全管理制度和流程,构建全面有效的用户个人信息安全保护机制。电信行业的特殊性和复杂性,造成了接触用户个人信息的部门和环节众多,加大了安全防范风险。为建立全面有效的用户个人信息安全保护机制,需要企业业务受理、客户服务、运行维护、信息计费、人力资源、保密管理、法律事务等部门的密切配合,制定完善相关规章制度并严格执行。例如将用户个人信息安全工作纳入公司保密工作体系,在各级网络、计费、账务、业务平台及电子渠道等后台部门建立健全有关保障用户个人信息安全的规章制度,严格管理后台维护人员对用户个人信息的访问。
最后,要建立健全侵犯用户个人信息的应急处理机制,确保在用户个人信息发生泄露时,企业能迅速反应、妥善处理,将影响和损失降到最小,保证企业各项业务持续稳定开展。
刘建荣
近年来,用户个人信息安全问题日益严重,电信用户个人信息泄露事件也屡屡见诸报端,引起了人们的高度关注。电信用户个人信息一旦泄露,用户将面临垃圾短信、骚扰电话、电话欺诈等种种麻烦,给用户的工作和生活带来很大影响。而目前正在推行的电话用户实名制,进一步加大了社会对电信用户个人信息安全问题的担忧。
电信用户个人信息=公民个人信息?
有专家认为,公民个人信息是指现实生活中能识别特定公民个人的一切信息, 包括姓名、年龄、体重、身高、档案、医疗记录、收入及消费、购买习惯、婚姻状况、教育背景、家庭住址与电话号码等。也有专家认为, 公民个人信息是指以任何形式存在的、与公民个人存在关联并可识别特定个人的信息, 几乎有关个人的一切信息、数据或者情况都可被认定为公民个人信息。关于电信用户信息,根据工信部于2009年颁布的《第三代移动通信服务规范(试行)》2.10条规定:本处所称用户信息,是指电信用户的姓名或者名称、有效证件号、住址、位置信息、用户号码、联系方式、交费账号和通话清单等非通信内容。而根据《中国电信用户信息管理指导意见》规定,中国电信用户信息是指用户向中国电信各级公司提供的与用户相关的各种信息,以及在使用通信服务的过程中产生的各种通信记录和消费记录等非通信内容。具体包括个人与单位的身份信息、合作信息、通信信息和消费信息四个组成部分。
由此可知,电信用户信息包括个人用户信息和单位用户信息两个部分,而且均只包括非通信内容。对电信个人用户而言,个人用户信息是否等同于《刑法》规定的个人用户的公民个人信息?笔者希望能保持统一的规定和解释。
侵犯电信用户个人信息的法律责任
用户个人信息属于用户隐私,侵犯电信用户个人信息属于侵权行为,可能依法承担相应的法律责任。
首先是民事责任。在2009年通过的《侵权责任法》颁布之前,我国《民法通则》和最高人民法院相关司法解释等均将隐私权纳入名誉权的范畴进行法律保护。《侵权责任法》第一次明确将隐私权写入法律。侵犯电信用户个人信息可能承担停止侵害、赔礼道歉、赔偿损失等民事责任。当年弄得沸沸扬扬的昆明律师王卫宁诉昆明电信公司民事侵权一案,便是认为电信提供的来电显示业务侵权了其隐私权。
其次是行政责任。工信部于2009年颁布的《第三代移动通信服务规范(试行)》2.10条规定:电信业务经营者依照法律和有关规定对用户资料负有保密义务。未经用户同意,不得将用户信息用于查询服务或提供给第三方,不得泄露、删除、篡改用户信息。法律、行政法规另有规定的,从其规定。侵犯电信用户个人信息,可能因损害消费者权益,违反消费者权益保护法律规定和电信相关监管规定,而遭受工商、通信管理等部门的行政查处。
最后还有刑事责任。针对日益严重的公民个人信息泄露问题,2009年2月28日颁布实施的《刑法修正案(七)》新增了“出售公民个人信息罪”和“非法获取公民个人信息罪”两项新的罪名。该罪新设后,已经发生数起因侵犯电信用户个人信息而被追究刑事责任的案件。
多举措保护电信用户个人信息安全
首先,要加强宣传教育,提高保护用户个人信息安全的法律意识。欧盟 ENISA(European Network and Information Security Agency欧洲网络与信息安全局)在一份题为《提高信息安全意识 (Awareness Raising) 》的文件中指出:“大量的研究报告表明,在所有的信息安全系统框架中,人这个要素往往是其最薄弱的环节。只有革新人们陈旧的安全观念和认知文化,才能真正减少信息安全可能存在的隐患。”“具备高度信息安全意识的个人和有效的安全措施,被视作信息系统和网络安全的第一道防线。因此,信息安全体系的所有参与者,包括信息技术业内人士、与信息安全攸关的利益方,以及信息系统的最终用户群乃至用户个体,都应担负起提高安全意识,维护信息安全的责任。”为创造尊重和保护用户个人信息安全的企业文化和经营环境,有必要加大相关宣传教育力度,坚持以服务为首、以客户感知为本的经营观念,增强广大员工特别是有机会接触用户个人信息的关键岗位员工以及企业经营管理人员的信息安全意识。
其次,要提高技术手段,完善相关信息管理系统。电信业是一个高度IT化的行业,大量的用户个人信息通过计算机网络进行存储和传输,对企业信息系统安全提出了极大的挑战。对电信企业而言,堵住人为漏洞可用制度,而堵住技术本身的漏洞,最好使用技术。电信运营商要加强新产品新技术的应用推广,不断完善信息系统安全设备诸如防火墙、VPN、入侵检测系统、防病毒系统、认证系统等的性能,强化应用数据的存取和审计功能,确保系统中的用户个人信息得到更加稳妥的安全技术防护。
再次,要梳理完善用户个人信息安全管理制度和流程,构建全面有效的用户个人信息安全保护机制。电信行业的特殊性和复杂性,造成了接触用户个人信息的部门和环节众多,加大了安全防范风险。为建立全面有效的用户个人信息安全保护机制,需要企业业务受理、客户服务、运行维护、信息计费、人力资源、保密管理、法律事务等部门的密切配合,制定完善相关规章制度并严格执行。例如将用户个人信息安全工作纳入公司保密工作体系,在各级网络、计费、账务、业务平台及电子渠道等后台部门建立健全有关保障用户个人信息安全的规章制度,严格管理后台维护人员对用户个人信息的访问。
最后,要建立健全侵犯用户个人信息的应急处理机制,确保在用户个人信息发生泄露时,企业能迅速反应、妥善处理,将影响和损失降到最小,保证企业各项业务持续稳定开展。