随着我国信息化建设的不断推进和互联网应用的日趋普及,在推动社会发展和技术变革的同时,也为企业和个人信息保护带来了新的挑战。特别是近些年,个人信息在被各类主体挖掘和利用的同时,因个人信息泄露所引发的侵权、欺诈等信息犯罪行为日益严重,已为全社会造成了巨大损失,严重影响了社会安定。
对此,国家陆续颁布、实施了一系列法律、规范。特别是将于2017年6月1日正式实施的《中华人民共和国网络安全法》,强调了中国境内网络运营者对所收集到的个人信息所应承担的保护责任和违规处罚措施。
关键发现
√国际个人信息与隐私保护典型的法律模式以欧盟、美国和日本为代表。欧盟采用统一立法模式,通过制定综合性的个人信息保护法律对个人信息全生命周期进行管理;美国采用分散立法和行业自律相结合的模式,对个人隐私保护进行分散立法;日本则以专项保护法律为核心,同其他法律共同构成个人隐私保护法律体系。
√国际通行的个人信息保护原则以美国《公平信息实践》(FIPs)为参考,最终形成公开性原则、限制性原则、数据质量原则、责任与安全原则和个人信息权利保护原则等五大原则。
√国内对于个人信息保护的法律目前由具体的法律、行政法规、地方性法规和规章、各类规范性文件和部门规章等共同组成,形成多层次、多领域、内容分散、体系庞杂的个人信息保护模式,但尚未制定专项的《个人信息保护法》,立法工作进程有待快速推进。
√个人信息在网络日趋普及、云计算和大数据背景之下,特别是由于信息安全技术漏洞的出现和管理不当造成个人信息泄露和非法使用,个人信息犯罪案件频发。
引言
在当前信息社会,个人信息已成为一种重要的社会资源。随着数字时代的到来,数字化信息处理日趋普遍。对于个人信息处理而言,人们在享受数字化所带来的诸多便利同时,也面临着由个人信息数字化所带来的风险。特别云计算、大数据等高新技术的发展,如何保护个人信息已成为现代社会所面临的挑战,并成为一个全球性的法律问题。因此,个人信息保护立法工作成为各国的主要立法运动之一对于引导公民权利意识,规范政府和社会行为,明确不法侵害,保护个人权益都具有重要意义和作用。
一、个人信息与隐私的关系
1.个人信息的概念与分类
1.1个人信息的概念
从各国立法看,学界目前比较一致的看法是,个人信息的概念始于1968年联合国“国际人权会议”中提出的“资料保护”。
由我国社会科学院法学研究所周汉华研究员牵头负责的个人数据保护法研究课题组所起草的《中华人民共和国个人信息保护法(专家建议稿)》以及由广西大学法学院齐爱民教授所拟定的《中华人民共和国个人信息保护法示范草案学者建议稿》所使用的概念均为“个人信息”。
总体而言,个人信息涵盖内容非常广泛。
依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定,“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
1.2个人信息的分类
根据不同的标准,个人信息可以划分为不同的类别:
2.个人信息与个人数据和隐私的关系
2.1个人信息与个人数据的关系
与个人信息在概念上最为接近的是“个人数据”。如前所述,个人数据概念使用的较多的主要是欧盟成员国以及其他受1995年欧盟《个人数据保护指令》影响而立法的其他大多数国家。在普通法国家(英国作为欧盟成员国除外),如美国、澳大利亚、新西兰、加拿大等,以及受美国影响较大的亚太经济合作组织(APEC),则大多使用隐私法概念。在日本、韩国、俄罗斯等国,则使用“个人信息法”概念。所以,从个人数据较为统一的概念上理解,个人信息与个人数据两个概念的基本内涵是相同的,区别在于表述的不同,在国内一般习惯将其概括为个人信息(personalinformation),而西方国家或者说国际立法上则更习惯于称其为个人数据(personaldata)。
2.2个人信息与隐私的关系
与个人信息在内容上有较多重合之处的另一个概念是隐私。
所谓隐私权,通常是指“私生活不受干涉的权利”,“或个人私事未经允许不得公开的权利”。也就是说,每一个人均有“不受旁人干涉搅扰的权利”。隐私权的实质在于,个人自由决定何时、何地以何种方式与外界沟通。就此而言,隐私权表现为个人对自身的支配权。
从个人信息和隐私的权利角度来看,个人信息权和隐私权都是人格权的一种,它们之间存在密切的关联性,在权利内容等方面存在一定的交叉,其相似性体现在以下几点:
第一,二者的权利主体都仅限于自然人,而不包括法人。从隐私权的权利功能来看,其主要是为了保护个人私人生活的安宁与私密性,因此,隐私权的主体应当限于自然人,法人不享有隐私权;个人信息因具有可识别性,即能直接或间接指向某个特定的个人,所以个人信息的权利主体限于自然人,而法人的信息资料不具有人格属性,法人不宜对其享有具有人格权性质的个人信息权,侵害法人信息资料应当通过知识产权法或反不正当竞争法予以保护。
第二,二者都体现了个人对其私人生活的自主决定。无论是个人隐私还是个人信息,都是专属自然人享有的权利,而且都彰显了一种个人的人格尊严和个人自由。
第三,二者在客体上具有交错性。隐私和个人信息的联系在于:一方面,许多未公开的个人信息本身就属于隐私的范畴。事实上,很多个人信息都是人们不愿对外公布的私人信息,是个人不愿他人介入的私人空间,不论其是否具有经济价值,都体现了一种人格利益。一方面,部分隐私权保护客体也属于个人信息的范畴。尤其应当看到,数字化技术的发展使得许多隐私同时具有个人信息的特征,如个人通讯,都可以通过技术的处理而被数字化进而被纳入个人信息的范畴;同样,某些隐私因基于公共利益而受到一定的限制被查阅或纰漏,但并不意味着这些信息不再属于个人信息。
虽然二者都属于人格权,但是从保护内容、法律属性、权利角度、防范角度和保护方式来看,二者又存在区别。
第二,从法律属性上来看,隐私权主要是一种精神性的人格权,隐私主要体现的是人格利益,侵害隐私权也主要导致的是精神损害。而个人信息权在性质上属于一种集人格利益与财产利益于一体的综合性权利,并不完全是精神性的人格权,其既包括了精神价值,也包括了财产价值。另外,隐私权是一种消极的、防御性的权利,在该权利遭受侵害之前,个人无法积极主动地行使权利,而只能在遭受侵害的情况下请求他人排除妨害、赔偿损失等。个人信息权并不完全是一种消极地排除他人使用的权利。权利人除了被动防御第三人的侵害之外,还可以对其进行积极利用。
第三,从防范角度来看,隐私权制度的重心在于防范个人秘密不被非法披露,而并不在于保护这种秘密的控制与利用,这显然并不属于个人信息自决的问题;而对个人信息权的侵害主要体现为未经许可而收集和利用个人信息、侵害个人信息,主要表现为非法搜集、非法利用、非法存储、非法加工或非法倒卖个人信息等行为形态。其中,大量侵害个人信息的行为都表现为非法篡改、加工个人信息的行为。
第四,从保护方式来看,对个隐私的保护注重事后救济,隐私权保护主要采用法律保护的方式;而对人信息的保护则注重预防,保护方式则呈现多样性和综合性,尤其是可以通过行政手段对其加以保护,例如,对非法储存、利用他人个人信息的行为,政府有权进行制止,并采用行政处罚等方式。
因此,只要不涉及到公共利益,个人信息的私密性应该被尊重和保护,而法律保护个人信息在很大程度上就是维护个人信息不被非法公开和披露等;另一方面,私密的个人信息被非法公开则可能会对个人生活安宁造成破坏。在这种紧密的关联下,如何界分个人信息权和隐私权,反而显得更加必要。
二、国外个人信息与隐私保护实践
1.个人信息保护法律模式与立法原则
1.1个人信息保护的法律模式
目前,世界范围内有关个人信息保护比较好的模式主要有三种,即欧盟模式、美国模式和日本模式。
在欧洲,以德国为代表的大陆法系国家,将个人信息视作公民人格和人权的一部分,认为个人信息是自然人人格的载体,沿着一般人格权的保护思路引入“信息自决权”。以美国为代表的英美法系国家,则将个人信息视作公民隐私和自由的一部分,沿着隐私保护的思路提出“信息隐私权”概念。
欧盟模式又可称为统一立法模式,即制定一个综合性的个人信息保护法来规范个人信息的收集、处理和利用,该法统一适用于公共部门和非公共部门,并设置一个综合监管部门集中监管。1995年,欧盟通过经典的《个人数据保护指令》,这部在全欧洲范围内实行的个人信息保护立法,涉及范围广,执行机制清晰。欧盟凭借此法律,对进入欧盟的外企在信息保护方面,使欧洲成为全球个人信息保护的典范。
美国模式以隐私权为基础,是分散立法和行业自律相结合的模式。在公共领域,美国以隐私权作为宪法和行政法的基础,采取分散立法模式逐一立法。在私人领域,美国依靠自律机制(包括企业的行为准则,民间认证制度以及替代争议解决机制)实现对个人信息的保护,根据个人信息的具体内容,由相应的监管部门监管。
在借鉴欧洲和美国的信息保护模式下,日本在2005年通过《个人信息保护法》,通过这部法律全方面地实现个人信息保护。同时日本也注重行业自律和社团参与,从而形成独特的日本个人信息保护模式。
1.2个人信息保护的立法原则
1973年,美国健康、教育和社会福利部(HEW)首次提出了《公平信息实践》(FairInformationPractices,FIPs)并处于美国1974《隐私法案》的核心位置。
后期,在此基础之上逐渐完善,1980年,经济合作与发展组织(OECD)在《关于保护隐私和个人信息跨国流通指导原则》中揭示了个人信息保护八大原则,即:收集限制原则(CollectionLimitationPrinciple)、数据质量原则(DataQualityPrinciple)、目的明确原则(PurposeSpecificationPrinciple)、使用限制原则(UseLimitationPrinciple)、安全保障原则(SecuritySafeguardsPrinciple)、公开性原则(OpennessPrinciple)、个人参与原则(IndividualParticipationPrinciple)和问责制原则(AccountabilityPrinciple)。这些指导原则对全球各国的立法产生了巨大的影响,有“已经成为制定个人信息保护文件的国际标准”之称。
自上世纪七十年代初个人信息保护问题提出以来,经过40余年的发展演变和提炼,目前基本形成了以下五大国际原则,作为各国和国际组织制定个人信息保护政策的基础:
即个人信息处理机构应公开关于个人信息处理的一切政策、流程和处理实践,禁止个人信息被秘密的处理;
包括个人信息的所有处理行为要坚持合法原则,个人信息数据库要坚持服务特定目的,在最少必须原则下收集和处理,信息的收集和使用范围、保存期限和销毁应受到限制;
即个人信息应当准确、完整和适时更新,机构对此责无旁贷;
充分保障信息主体的知情权、查询权、异议与纠错权,甚至是可携带权等。
2.美国个人隐私保护法律实践
1974年12月31日,美国参众两院通过的《隐私权法》(PrivacyAct)后经国会修订后编入《美国法典》,是美国行政法中保护公民隐私权和了解权的一项重要法律,并就“行政机关”,包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司,以及行政部门的其他机构等(如隐私保护研究委员会、管理与预算办公室)对个人信息的采集、使用、公开和保密问题做出详细规定,以此规范联邦政府处理个人信息的行为,平衡公共利益与个人隐私权之间的矛盾,但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。
《隐私权法》§552a中对涉及个人可识别信息的“记录”进行了定义,即关于个人的一项或一组信息,其由一个机构进行维护。个人记录包括,但不限于其教育、经济活动、医疗史、工作履历或犯罪记录以及其包括姓名、社会保障号码以及其他一切能够用于识别某一特定个人的标识,如指纹、音纹或相片等。此外,还对系统记录、统计记录和日常使用进行了定义。此外,该法还规定了行政机关对于“记录”的收集、登记、公开、保存等方面应遵守的准则。
部分OMB隐私管理指引
总体而言,美国已形成针对政府和征信、医疗、电信等若干具体行业的个人隐私保护立法体系:
此外,美国还建立了发达的司法救济系统,在行政监管领域也建立了高效的执法机制,但对于买卖个人信息的行为,从其现有法律上很难找到有效的法律适用,并且没有建立包含对个人数据获取、存储和使用进行监管的专项法律,对跨境数据传输也未做特殊限制。
3.欧盟个人信息保护法律实践
在欧盟,典型的个人信息保护法律是1995年的《个人数据保护指令》(DataProtectionDirective)。该指令源于美国早期的FIPs原则,从法系上讲受德国和法国影响较大,所以,欧盟强调的个人信息保护,从民法上讲就是信息自主、信息控制和信息自决,其对国内的学者影响较大。
不论是早期的《个人数据保护指令》还是新颁布的《通用数据保护指令》,均体现了欧洲大陆法系国家在个人信息保护领域统一化、标准化和一体化的立法和执法特点。总体上,欧盟基本上是把个人信息等同于个人隐私,然后各国设立隐私官行政主管机构,用公权力来进行介入。
以谷歌为例,2010年5月20日美国《纽约时报》网站报道,西班牙、法国和捷克官员宣布,计划就谷歌从本国无线网络用户那里搜集数据一事展开调查,因为谷歌的行为违反了当地的隐私保护法律,从而增加了谷歌公司在欧洲遭受制裁的可能性,而事情的起因则是谷歌公司在5天前表示,该公司无意间从全世界未加密的无线网络用户那里搜集到600G的数据,据称这些数据属于电子邮件等个人信息。
无独有偶,2014年8月,著名社交媒体Facebook在欧洲也遭遇了类似的起诉。奥地利隐私保护人士马克西米利安·施雷姆斯(MaximilianSchrems)指控Facebook违背了欧洲数据保护法律,理由是Facebook包括参与美国国家安全局的“棱镜”项目,收集公共互联网的个人数据,违背欧洲数据保护法律,侵权用户隐私等。同时,施雷姆斯还指出,Facebook还通过“赞”按钮追踪第三方网站上的用户。另外,根据Facebook的数据使用政策和做法,他们会通过“大数据系统”监视用户在网上的行为,施雷姆斯表示此举违背了欧洲数据保护法律。该诉讼到了2.5万人的原告人数上限,另外3.5万名签名者都是表达自己对这起隐私诉讼的支持。大多数原告来自德国和奥地利这样的德语国家,他们对Facebook的隐私政策感到不满。荷兰、芬兰和英国也有大量用户参与其中。
即便如此,欧盟在个人信息保护和立法方面还是值得学习和借鉴。其从个人信息的采集,到信息的使用和交流,一直到信息的销毁,整个信息的全流程、全周期都有很明确的行为规范要求。
作为个人信息的最大拥有者——政府机构,也同样和其他私有主体一样受到法律监管。欧盟设立的独立信息保护机构可对政府机关的个人信息泄露采取法律制裁。信息保护机构还可对企业的个人信息泄露行为进行检查、要求整改和定期报告,并追究法律责任。此外,该法律对于进入欧洲市场的企业也同样具有法律约束力,特别是向第三方进行个人信息转移。
4.日本个人信息保护法律实践
自19世纪70年代中期开始,日本法开始走上全面西方化的道路,以欧洲大陆,尤其德国法律为模式,其法律制度以欧陆法系德国及法国为蓝本进行设计。
2005年4月1日生效实施的《个人信息保护法》,由于其基本思想是为正确处理个人信息保护和利用之间的关系,确保个人信息有效利用的同时保护个人信息的安全,约束和防范滥用个人信息等不法行为,从而在日本隐私权行政法规保护方面居于绝对的核心地位,对日本国民隐私起到重要的保护作用。
5.中国香港地区个人信息保护法律实践
我国香港地区在个人信息与隐私保护方面具有良好的社会和法制环境。除香港居民具有很强的个人信息保护意识外,香港还设有亚洲国家和地区唯一的个人信息保护机构——香港个人隐私专员公署,并颁布了《个人资料(隐私)条例》。
作为香港个人信息保护的主要法规,《个人资料(隐私)条例》规定了个人信息的收集、持有、处理和使用的规则,适用于所有产业和所有类型的个人信息,但不适用于法人隐私。其立法原则主要包括:个人信息的收集原则、准确性及保留期限原则、个人信息使用原则、个人信息的安全性原则、信息公开原则和信息获取原则。
6.部分国家和地区个人信息/隐私保护法律概述
除欧盟、美国和日本之外,其他国家和地区也紧跟欧美步伐逐步完善本国的信息保护体系,个人信息保护立法和监管也非常成熟,落实个人信息保护的国际共识性原则,正成为个人信息保护的国际趋势。
三、国内个人信息保护法律实践
1.个人信息保护法律现状
目前,我国尚未制定关于个人信息保护的专项法律,个人信息保护由具体的法律、行政法规、地方性法规和规章、各类规范性文件和部门规章等共同组成,形成多层次、多领域、内容分散、体系庞杂的个人信息保护模式。
2009年《中华人民共和国刑法修正案(七)》第7条针对个人信息犯罪做了规定;2015年11月,《刑法修正案(九)》增加的第286条之一,针对网络服务提供者不履行网络安全管理义务造成危害后果,构成犯罪的有关情况做了明确规定。2016年最高人民法院完成了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(送审稿)。
2012年12月28日全国人大常委会表决通过《关于加强网络信息保护的决定》首次在法律层面确立了网络信息规范;2016年11月7日全国人大常委会通过《中华人民共和国网络安全法》(2017年6月1日实施),进一步明确规范网络空间用户个人信息安全;《中华人民共和国消费者权益保护法》、《中华人民共和国居民身份证法》、《中华人民共和国统计法(2009年修正)》、《中华人民共和国商业银行法(2003年修正)》等一系列法律法规,对于个人信息的保护也均有体现。
部分国内个人信息/隐私保护法律与规定
针对早期关于公民个人信息范围界定和侵害个人信息量刑标准不一致等方面存在的问题,在最高人民法院、最高人民检察院首次就打击侵犯个人信息犯罪出台的司法解释中有了明确规定。
但是,对于列举之外的个人信息还有很多。如我国台湾地区出台的《个人资料保护法》对“个人信息”的定义,不仅包含了常见的自然人姓名、出生年月日、身份证统一编号、护照号码、婚姻、家庭、教育、职业、病历、医疗、联络方式、财务情况、社会活动、健康检查等常见的个人信息,还包括了特征、指纹、基因、性生活、犯罪前科等其他个人信息。因此,个人信息的保护范围可予以扩大。
此外,虽然个人信息权和隐私权之间存在密切联系,但仍需要在法律上明确个人信息权的性质和内容,界分与隐私权的关系,进而使得个人信息获得全面充分的保护,增强全社会对于个人信息权利保护的观念。
另外,我国目前还未成立专门的个人数据信息的监督保护机构,这也会造成了个人数据信息安全保护的缺失和遭受侵害时的救济缺失。
2.个人信息保护现状
个人信息权利是信息社会中公民基本权利的一部分,保护个人信息权利也是维护国家安全和公共安全的基础。对此,国家也不遗余力,大力整治个人信息犯罪。
2016年7月20日,公安部官网以《公安机关打击整治网络侵犯公民个人信息犯罪成效显著》为题报道了公安部门打击侵犯公民个人信息犯罪的努力。截止发稿时,全国公安机关累计查破刑事案件750余起,抓获犯罪嫌疑人1,900余名,缴获信息230余亿条,清理违法有害信息35.2万余条,关停网站、栏目610余个。
但是,国内对于个人信息的保护仍存在不足之处,主要体现在以下几方面:
当前,因个人信息在收集、存储和使用过程中管理不善所造成的危害已经严重冲击到了个人权益甚至社会稳定。
《2015中国网民权益保护调查报告》显示,近一年来,有82.3%的网民亲身感受到由于个人信息泄露对日常生活造成的影响,网民人均蒙受实际经济损失124元,总体损失约805亿元(我国网民数量6.49亿x网民平均经济损失124元=804.76亿元);高达7%的网民(估算约4500万)近一年由于各类权益侵害造成的经济损失在1000元以上。
此外,个人信息的泄露不仅造成用户数据在互联网平台非法交易,还由此滋生了大量的电信、网络诈骗等下游违法犯罪行为,造成社会巨大损失,严重影响社会安定,成为社会公害,更严重还会出现根据用户特征设计实施的“精准式”诈骗,威胁公众财产和人身安全。
同年12月2日,作为国内知名航空公司的东方航空也被报道大量用户订单信息遭到泄露。资深航空从业人士指出,这样的漏洞会导致关于旅客姓名、手机号以及航班信息等资料外泄,部分乘客接到恶意诈骗短信的通知而遭受大量经济损失,给消费者造成伤害已经显而易见。东航系统漏洞的存在更是相当于将旅客信息赤裸裸地暴露在犯罪分子的目光之下,而作为个人信息的持有者和管理者则未尽到所应承担的责任和义务。
由于中国个人信息保护力度不及欧美等国,在国际经贸往来中,在华外资金融机构选择将境内客户个人信息转移到境外处理已成惯例。此外,在互联网信息化时代和大数据背景下基于规模化个体信息的加工分析,可形成对国家安全的细微洞察,公民个体信息失去保护,中长期看国家安全也难以得到切实保障。
3.个人信息保护立法的必要性与合理性
3.1个人信息保护立法保障国家战略顺利实施
宏观层面上来看,包括国家大数据战略在内的“互联网+”行动计划和“走出去”战略以及“一带一路”等国家宏伟蓝图的实现,其中必然伴随着对个人敏感信息和跨境数据的处理。
3.2个人信息保护立法是完善国家法律体系的必然需要
由于目前我国没有统一的个人信息保护法,个人信息保护方面的工作通过特定法律、一般性规范和具体规定来保障,侵害个人信息需要承担民事、行政乃至刑事责任。但是,这些规范在形式上过于分散,对于普通民众和商家来说都难以形成直观的认知,应尽快制定统一的个人信息保护法,对其进行系统化梳理和整合,无论是从立法资源的节省、立法技术的提高、规则体系的优化,还是向民众普及个人信息法律,保护的常识和意识来看,都存在必要性和合理性。
3.3个人信息保护立法是依法执法的基础
目前在国内,不同政府部门和社会机构掌握着不同的个人信息,如公安部门掌握着公民的户籍身份、家庭成员及住址信息,金融部门和机构掌握着公民的账户信息、财产信息、交易信息和信用信息,教育部门和学校掌握着公民的就学及考试成绩信息,税务部门掌握着公民的纳税信息,劳动人事部门掌握着公民的人事档案信息,电信部门和机构掌握着公民的通信信息,铁路、公路和民航部门和企业掌握着公民的出行信息,医疗卫生部门和医院掌握着公民的疾病信息、就医信息,司法部门掌握着公民的诉讼信息等等,而互联网公司掌握着公民全部的上网搜索、浏览、购物、社交等网络信息。
这些就迫使国家必需尽快制定个人信息保护法律,使得公民在个人信息权益遭到侵害进行法律诉讼时有法可寻、有法可依,社会公共机构和商业机构在公民个人信息收集和处理过程中做到有法必依,司法部门在执法过程中做到有法可依、违法必究。
3.4公众观念改变促使立法工作更为迫切
据中国互联网络信息中心第39次《中国互联网络发展状况统计报告》显示,截至2016年12月,中国网民规模达7.31亿,互联网普及率达到53.2%,互联网已经成为我们生活的一部分,而伴随互联网普及所带来的个人信息和商业秘密的泄露也就日趋常见。
通过“徐玉玉案”等一系列恶性案件给社会带来的不良影响,也使人们充分意识到了个人信息泄露和滥用所带来的严重社会危害,个人信息保护重要性意识更加强烈,需求更加迫切,这就出现了民众对个人信息法律保护的需求与个人信息保护法律缺位之间的矛盾。
4.对于个人信息保护的建议
4.1采取统一立法模式,系统确立原则和规范
4.2明确个人信息分类保护
以2013年1月21日国务院公布的行政法规《征信业管理条例》为例,第二十条规定:“信息使用者应当按照与个人信息主体约定的用途使用个人信息,不得用作约定以外的用途,不得未经个人信息主体同意向第三方提供”。
第十四条规定:“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。”
第十八条规定:“向征信机构查询个人信息的,应当取得信息主体本人的书面同意并约定用途。但是,法律规定可以不经同意查询的除外。征信机构不得违反前款规定提供个人信息。
第十九条规定:“征信机构或者信息提供者、信息使用者采用格式合同条款取得个人信息主体同意的,应当在合同中做出足以引起信息主体注意的提示,并按照信息主体的要求做出明确说明。”
4.4规范个人信息管理机构对个人信息的安全管理
《征信业管理条例》第二十四条规定的“征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。征信机构向境外组织或者个人提供信息,应遵守法律、行政法规和国务院征信业监督管理部门的有关规定。”
2014年5月由国家卫生计生委发布的《人口健康信息管理办法(试行)》和2016年6月21日,由国务院办公厅发布的《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》。前者第十条规定“不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器”;后者则要求“在健康医疗大数据保障体系建设方面要加强大数据安全监测和预警,建立安全信息通报和应急处置联动机制,建立健全‘互联网+健康’医疗服务安全工作机制,完善风险隐患化解和应对工作措施,加强对涉及国家利益、公共安全、患者隐私、商业秘密等重要信息的保护,加强医学院、科研机构等方面的安全防范。”
4.5完善信息泄露应急预案
此外,鉴于大规模个人信息泄露发生时会对公共社会稳定性造成巨大影响,所以还应对舆情监测和涉及公共关系管理等内容提出要求。