电信用户个人信息的法律保护

电信企业用户信息的法律保护胡卫贵州大学法学院副教授/硕士生导师贵州辅正律师事务所律师中国财税法研究会理事2012年5月16日第一页，共一百四十五页。一、用户信息保护的法律规定截至目前，涉及个人信息保护的法律有30余部，行政法规达40余部，行政规章达200余部，地方性法规及地方规章未有完全统计。现就主要的法律规定进行梳理如下：第二页，共一百四十五页。第三页，共一百四十五页。1、中华人民共和国宪法第三十三条凡具有中华人民共和国国籍的人都是中华人民共和国公民。中华人民共和国公民在法律面前一律平等。国家尊重和保障人权。第三十八条中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。第三十九条中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。第四十条中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。第四十一条中华人民共和国公民对于任何国家机关和国家工作人员，有提出批评和建议的权利；对于任何国家机关和国家工作人员的违法失职行为，有向有关国家机关提出申诉、控告或者检举的权利，但是不得捏造或者歪曲事实进行诬告陷害。第四页，共一百四十五页。对于公民的申诉、控告或者检举，有关国家机关必须查清事实，负责处理。任何人不得压制和打击报由于国家机关和国家工作人员侵犯公民权利而受到损失的人，有依照法律规定取得赔偿的权利。第四十七条中华人民共和国公民有进行科学研究、文学艺术创作和其他文化活动的自由。国家对于从事教育、科学、技术、文学、艺术和其他文化事业的公民的有益于人民的创造性工作，给以鼓励和帮助。第五十一条中华人民共和国公民在行使自由和权利的时候，不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。中华人民共和国宪法修正案（2004年）第二十四条宪法第三十三条增加一款，作为第三款：“国家尊重和保障人权。”第三款相应地改为第四款。（个人信息的泄露等涉及到个人隐私、人格尊严、人格自由等——韩寒博文——《太平洋的风》所提及的核心价值观——诚实、善良、勤奋、进取、包容的核心价值）第五页，共一百四十五页。2、中华人民共和国民法通则第九十九条公民享有姓名权，有权决定、使用和依照规定改变自己的姓名，禁止他人干涉、盗用、假冒。法人、个体工商户、个人合伙享有名称权。企业法人、个体工商户、个人合伙有权使用、依法转让自己的名称。第一百条公民享有肖像权，未经本人同意，不得以营利为目的使用公民的肖像。第一百零一条公民、法人享有名誉权，公民的人格尊严受法律保护，禁止用侮辱、诽谤等方式损害公民、法人的名誉。第一百零二条公民、法人享有荣誉权，禁止非法剥夺公民、法人的荣誉称号。（“母女情深”案）第六页，共一百四十五页。第七页，共一百四十五页。3、中华人民共和国妇女权益保障法（2005修正）第四十二条妇女的名誉权、荣誉权、隐私权、肖像权等人格权受法律保护。禁止用侮辱、诽谤等方式损害妇女的人格尊严。禁止通过大众传播媒介或者其他方式贬低损害妇女人格。未经本人同意，不得以营利为目的，通过广告、商标、展览橱窗、报纸、期刊、图书、音像制品、电子出版物、网络等形式使用妇女肖像。（如前段时间在网络上经常发生擅自发他人裸照在网上，将他人的隐私信息公布，用他人肖像打卫生巾广告等）第八页，共一百四十五页。4、中华人民共和国未成年人保护法第三十九条任何组织或者个人不得披露未成年人的个人隐私。对未成年人的信件、日记、电子邮件，任何组织或者个人不得隐匿、毁弃；除因追查犯罪的需要，由公安机关或者人民检察院依法进行检查，或者对无行为能力的未成年人的信件、日记、电子邮件由其父母或者其他监护人代为开拆、查阅外，任何组织或者个人不得开拆、查阅。（贵州省未成年人保护条例及刑法修正案八还规定了未成年人犯罪消除记录制度，对此类记录亦不得擅自发布；孩子刚出生信息就泄露）第九页，共一百四十五页。《贵州省未成年人保护条例》（2010年修正）第五十条对不起诉、免予刑事处罚或者宣告缓刑、解除违法行为教育矫治、刑满释放以及受过治安管理处罚的未成年人，其复学、升学、就业等不受歧视。对违法和轻微犯罪的未成年人，可以试行违法和轻罪记录消除制度。第十页，共一百四十五页。5、中华人民共和国消费者权益保护法第十四条消费者在购买、使用商品和接受服务时，享有其人格尊严、民族风俗习惯得到尊重的权利。第二十五条经营者不得对消费者进行侮辱、诽谤，不得搜查消费者的身体及其携带的物品，不得侵犯消费者的人身自由。第四十三条经营者违反本法第二十五条规定，侵害消费者的人格尊严或者侵犯消费者人身自由的，应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。（不论电信企业还是银行、保险、证券、房屋中介等，消费者的个人信息容易泄露，进而会侵犯消费者人格尊严）第十一页，共一百四十五页。《贵州省消费者权益保护条例》第二十条经营者应当为消费者提供安全的消费环境，其经营场地、服务设施、店堂装潢、商品陈列等应当符合保障人身、财产安全的要求，对可能危及人身、财产安全的，应当设置警示标志，并采取相应的防范措施。经营者在经营场所采用的安全监控措施，不得侵害消费者的隐私权。（上海地铁热吻案）第二十五条经营者提供商品或者服务时，不得要求消费者提供与消费无关的个人信息。未经消费者同意，经营者不得将消费者的姓名、性别、职业、年龄、住址、身份证号码、学历、联系方式、婚姻状况、工作单位、收入和财产状况、指纹、血型、病史等个人信息及其家庭的有关信息向第三人披露或者用于其他用途。法律、法规另有规定的，从其规定。

第十二页，共一百四十五页。第二十七条第三款：医疗机构及其医务人员应当依法维护患者在接受医疗服务中的知情权、隐私权。对患者或者其直系亲属、监护人查阅、复印处方笺、住院志、医嘱单、检验检查报告、手术及麻醉记录单等病历资料提供方便；未经患者或者其直系亲属、监护人同意，不得公开患者病情。第五十九条违反本条例规定，有下列情形之一的，可以根据情节单处或者并处警告、没收违法所得、处以违法所得1倍以上5倍以下罚款；没有违法所得的，处以1万元以下罚款；情节严重的，责令停业整顿：（八）未经消费者同意，向第三人披露消费者个人信息；

第十三页，共一百四十五页。6、中华人民共和国邮政法（2009年修正）第三条公民的通信自由和通信秘密受法律保护。除因国家安全或者追查刑事犯罪的需要，由公安机关、国家安全机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。除法律另有规定外，任何组织或者个人不得检查、扣留邮件、汇款。第七条邮政管理部门、公安机关、国家安全机关和海关应当相互配合，建立健全安全保障机制，加强对邮政通信与信息安全的监督管理，确保邮政通信与信息安全。第十四页，共一百四十五页。第三十五条任何单位和个人不得私自开拆、隐匿、毁弃他人邮件。除法律另有规定外，邮政企业及其从业人员不得向任何单位或者个人泄露用户使用邮政服务的信息。

第三十六条因国家安全或者追查刑事犯罪的需要，公安机关、国家安全机关或者检察机关可以依法检查、扣留有关邮件，并可以要求邮政企业提供相关用户使用邮政服务的信息。邮政企业和有关单位应当配合，并对有关情况予以保密。

第十五页，共一百四十五页。7、中华人民共和国电信条例第四条电信监督管理遵循政企分开、破除垄断、鼓励竞争、促进发展和公开、公平、公正的原则。电信业务经营者应当依法经营，遵守商业道德，接受依法实施的监督检查。第六条电信网络和信息的安全受法律保护。任何组织或者个人不得利用电信网络从事危害国家安全、社会公共利益或者他人合法权益的活动。第五十七条任何组织或者个人不得利用电信网络制作、复制、发布、传播含有下列内容的信息：（八）侮辱或者诽谤他人，侵害他人合法权益的；第十六页，共一百四十五页。第五十八条任何组织或者个人不得有下列危害电信网络安全和信息安全的行为：（二）利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动；第六十六条电信用户依法使用电信的自由和通信秘密受法律保护。除因国家安全或者追查刑事犯罪的需要，由公安机关、国家安全机关或者人民检察院依照法律规定的程序对电信内容进行检查外，任何组织或者个人不得以任何理由对电信内容进行检查。电信业务经营者及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息的内容。第十七页，共一百四十五页。第十八页，共一百四十五页。第十九页，共一百四十五页。《互联网信息服务管理办法》第十五条互联网信息服务提供者不得制作、复制、发布、传播含有下列内容的信息：（八）侮辱或者诽谤他人，侵害他人合法权益的；（九）含有法律、行政法规禁止的其他内容的。第十六条互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条所列内容之一的，应当立即停止传输，保存有关记录，并向国家有关机关报告。第十八条国务院信息产业主管部门和省、自治区、直辖市电信管理机构，依法对互联网信息服务实施监督管理。新闻、出版、教育、卫生、药品监督管理、工商行政管理和公安、国家安全等有关主管部门，在各自职责范围内依法对互联网信息内容实施监督管理。第二十页，共一百四十五页。8、中华人民共和国计算机信息网络国际联网管理暂行规定实施办法第十八条用户应当服从接入单位的管理，遵守用户守则；不得擅自进入未经许可的计算机系统，篡改他人信息；不得在网络上散发恶意信息，冒用他人名义发出信息，侵犯他人隐私；不得制造、传播计算机病毒及从事其它侵犯网络和他人合法权益的活动。用户有权获得接入单位提供的各项服务；有义务交纳费用。第二十一页，共一百四十五页。9、互联网电子邮件服务管理办法第九条互联网电子邮件服务提供者对用户的个人注册信息和互联网电子邮件地址，负有保密的义务。互联网电子邮件服务提供者及其工作人员不得非法使用用户的个人注册信息资料和互联网电子邮件地址；未经用户同意，不得泄露用户的个人注册信息和互联网电子邮件地址，但法律、行政法规另有规定的除外。第二十二页，共一百四十五页。10、互联网电子公告服务管理规定第十二条

电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意不得向他人泄露，但法律另有规定的除外。第十九条违反本规定第十二条的规定，未经上网用户同意，向他人非法泄露上网用户个人信息的，由省、自治区、直辖市电信管理机构责令改正；给上网用户造成损害或者损失的，依法承担法律责任。

第二十三页，共一百四十五页。11、中华人民共和国治安管理处罚法第四十二条有下列行为之一的，处五日以下拘留或者五百元以下罚款；情节较重的，处五日以上十日以下拘留，可以并处五百元以下罚款：（五）多次发送淫秽、侮辱、恐吓或者其他信息，干扰他人正常生活的；（六）偷窥、偷拍、窃听、散布他人隐私的。

第二十四页，共一百四十五页。12.计算机信息网络国际联网安全保护管理办法第七条用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。第二十五页，共一百四十五页。13、医务人员医德规范及实施办法第三条医德规范如下（五)为病人保守医密。实行保护性医疗，不泄露病人隐私与秘密。医疗机构病历管理规定第五条医疗机构应当严格病历管理，严禁任何人涂改、伪造、隐匿、销毁、抢夺、窃取病历。第六条除涉及对患者实施医疗活动的医务人员及医疗服务质量监控人员外，其他任何机构和个人不得擅自查阅该患者的病历。因科研、教学需要查阅病历的，需经患者就诊的医疗机构有关部门同意后查阅。阅后应当立即归还。不得泄露患者隐私。第二十六页，共一百四十五页。14、中华人民共和国执业医师法第二十二条医师在执业活动中履行下列义务：（三）关心、爱护、尊重患者，保护患者的隐私；第三十七条医师在执业活动中，违反本法规定，有下列行为之一的，由县级以上人民政府卫生行政部门给予警告或者责令暂停六个月以上一年以下执业活动；情节严重的，吊销其执业证书；构成犯罪的，依法追究刑事责任：（九）泄露患者隐私，造成严重后果的；第二十七页，共一百四十五页。15、中华人民共和国传染病防治法第六十八条疾病预防控制机构违反本法规定，有下列情形之一的，由县级以上人民政府卫生行政部门责令限期改正，通报批评，给予警告；对负有责任的主管人员和其他直接责任人员，依法给予降级、撤职、开除的处分，并可以依法吊销有关责任人员的执业证书；构成犯罪的，依法追究刑事责任：（五）故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的。第二十八页，共一百四十五页。16、艾滋病监测管理的若干规定（1987年）第二十一条任何单位和个人不得歧视艾滋病病人、病毒感染者及其家属。不得将病人和感染者的姓名、住址等有关情况公布或传播。（有些地方实行艾滋病实名制导致登记和治疗率下降，也是担心个人信息泄露）第二十九页，共一百四十五页。17、中华人民共和国母婴保健法第三十四条从事母婴保健工作的人员应当严格遵守职业道德，为当事人保守秘密。（孩子刚出生信息就被卖的现象十分普遍，医院负有不可推卸的责任）第三十页，共一百四十五页。18、中华人民共和国商业银行法第六条商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。第二十九条：商业银行办理个人储蓄存款业务，应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。对个人储蓄存款，商业银行有权拒绝任何单位或者个人查询、冻结、扣划，但法律另有规定的除外。第三十条：对单位存款，商业银行有权拒绝任何单位或者个人查询，但法律、行政法规另有规定的除外；有权拒绝任何单位或者个人冻结、扣划，但法律另有规定的除外。（之前是中级法院等都可查询银行账户，现根据最高法院规定必须是省高院才有权，且定时查询。银行信息泄露会带来严重的后果——前天新闻还说一建行支行行长取走储户千万资金，账户仅剩一元。）第三十一页，共一百四十五页。《个人存款账户实名制规定》第八条金融机构及其工作人员负有为个人存款账户的情况保守秘密的责任。金融机构不得向任何单位或者个人提供有关个人存款账户的情况，并有权拒绝任何单位或者个人查询、冻结、扣划个人在金融机构的款项；但是，法律另有规定的除外。（网络实名制、手机实名制下带来规范管理的同时，也使得用户信息的泄露成为重大隐患，如何规制是须考虑的问题）第三十二页，共一百四十五页。19、中华人民共和国居民身份证法（2011年修正）第六条居民身份证式样由国务院公安部门制定。居民身份证由公安机关统一制作、发放。居民身份证具备视读与机读两种功能，视读、机读的内容限于本法第三条第一款规定的项目。公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息，应当予以保密。第十三条公民从事有关活动，需要证明身份的，有权使用居民身份证证明身份，有关单位及其工作人员不得拒绝。有关单位及其工作人员对履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息，应当予以保密。（此款为2011年10月29日修订时新增，2006年制定时首次正式使用“个人信息”的规范表述）第三十三页，共一百四十五页。20、中华人民共和国统计法第九条统计机构和统计人员对在统计工作中知悉的国家秘密、商业秘密和个人信息，应当予以保密。第二十五条统计调查中获得的能够识别或者推断单个统计调查对象身份的资料，任何单位和个人不得对外提供、泄露，不得用于统计以外的目的。

第三十九条县级以上人民政府统计机构或者有关部门有下列行为之一的，对直接负责的主管人员和其他直接责任人员由任免机关或者监察机关依法给予处分：（二）泄露统计调查对象的商业秘密、个人信息或者提供、泄露在统计调查中获得的能够识别或者推断单个统计调查对象身份的资料的；第三十四页，共一百四十五页。国家统计局央行两官员多次泄露经济数据获刑

第三十五页，共一百四十五页。《全国人口普查条例》第四条人口普查对象应当按照《中华人民共和国统计法》和本条例的规定，真实、准确、完整、及时地提供人口普查所需的资料。人口普查对象提供的资料，应当依法予以保密。第三十二条人口普查中获得的原始普查资料，按照国家有关规定保存、销毁。第三十三条人口普查中获得的能够识别或者推断单个普查对象身份的资料，任何单位和个人不得对外提供、泄露，不得作为对人口普查对象作出具体行政行为的依据，不得用于人口普查以外的目的。人口普查数据不得作为对地方人民政府进行政绩考核和责任追究的依据。第三十五条普查机构在组织实施人口普查活动中有下列违法行为之一的，由本级人民政府或者上级人民政府统计机构责令改正，予以通报；对直接负责的主管人员和其他直接责任人员，由任免机关或者监察机关依法给予处分：（六）泄露或者向他人提供能够识别或者推断单个普查对象身份的资料的。普查人员有前款所列行为之一的，责令其停止执行人口普查任务，予以通报，依法给予处分。（处罚太轻）第三十六页，共一百四十五页。20、中华人民共和国收养法第二十二条收养人、送养人要求保守收养秘密的，其他人应当尊重其意愿，不得泄露。第三十七页，共一百四十五页。21、《旅行社条例实施细则》第四十四条

旅行社应当妥善保存《条例》规定的招徕、组织、接待旅游者的各类合同及相关文件、资料，以备县级以上旅游行政管理部门核查。

前款所称的合同及文件、资料的保存期，应当不少于两年。

旅行社不得向其他经营者或者个人，泄露旅游者因签订旅游合同提供的个人信息；超过保存期限的旅游者个人信息资料，应当妥善销毁。第五十八条

违反本实施细则第四十四条的规定，未妥善保存各类旅游合同及相关文件、资料，保存期不够两年，或者泄露旅游者个人信息的，由县级以上旅游行政管理部门责令改正，没收违法所得，处违法所得3倍以下但最高不超过3万元的罚款；没有违法所得的，处1万元以下的罚款。第三十八页，共一百四十五页。22、中华人民共和国刑法修正案（七）在刑法第二百五十三条后增加一条，作为第二百五十三条之一：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。“窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。“单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”本条所涉及的两个罪名：出售、非法提供公民个人信息罪（可分开）和非法获取公民个人信息罪。第三十九页，共一百四十五页。去年１０月，公安部组织广东、北京等地公安机关开展深入调查，掌握了此类违法犯罪活动的特点：一是形成犯罪网络和利益链条。一些犯罪分子大肆向掌握信息的部门内部人员购买信息，并通过网络相互买卖，形成了公民个人信息的网络交易平台。有的犯罪分子掌握银行、民航、通信等涉及公民个人生活各方面的信息多达４０余项、上亿条；二是内外勾结，许多信息源头都来自掌握公民个人信息的单位和部门，个别“内鬼”为了经济利益非法出售大量公民个人资料。三是与各类下游犯罪相互交织，危害巨大。一些犯罪团伙和非法调查公司利用非法获取的公民个人信息进行电信诈骗、敲诈勒索和绑架、暴力讨债等违法犯罪活动。四是作案具有很强隐蔽性。犯罪分子主要是利用网络进行倒卖信息活动，用的都是虚拟身份，为了逃避打击，经常变换身份，交易成功后立即销毁作案证据。第四十页，共一百四十五页。23、中华人民共和国侵权责任法第二条侵害民事权益，应当依照本法承担侵权责任。本法所称民事权益，包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。第三条被侵权人有权请求侵权人承担侵权责任。第四条侵权人因同一行为应当承担行政责任或者刑事责任的，不影响依法承担侵权责任。因同一行为应当承担侵权责任和行政责任、刑事责任，侵权人的财产不足以支付的，先承担侵权责任。第五条其他法律对侵权责任另有特别规定的，依照其规定。第四十一页，共一百四十五页。第三十六条网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。第六十一条医疗机构及其医务人员应当按照规定填写并妥善保管住院志、医嘱单、检验报告、手术及麻醉记录、病理资料、护理记录、医疗费用等病历资料。患者要求查阅、复制前款规定的病历资料的，医疗机构应当提供。第六十二条医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料，造成患者损害的，应当承担侵权责任。（“人肉搜索”有望被禁止，即使是善意的也应当严格限定）第四十二页，共一百四十五页。24、中华人民共和国民事诉讼法第一百二十条人民法院审理民事案件，除涉及国家秘密、个人隐私或者法律另有规定的以外，应当公开进行。离婚案件，涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理。第四十三页，共一百四十五页。25、中华人民共和国刑事诉讼法第二条中华人民共和国刑事诉讼法的任务，是保证准确、及时地查明犯罪事实，正确应用法律，惩罚犯罪分子，保障无罪的人不受刑事追究，教育公民自觉遵守法律，积极同犯罪行为作斗争，维护社会主义法制，尊重和保障人权，保护公民的人身权利、财产权利、民主权利和其他权利，保障社会主义建设事业的顺利进行。第十一条人民法院审判案件，除本法另有规定的以外，一律公开进行。被告人有权获得辩护，人民法院有义务保证被告人获得辩护。第一百八十三条人民法院审判第一审案件应当公开进行。但是有关国家秘密或者个人隐私的案件，不公开审理；涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理。不公开审理的案件，应当当庭宣布不公开审理的理由。第四十四页，共一百四十五页。行政诉讼法、证据规则、相关规章、地方性法规（如江苏省信息化条例规定泄露个人信息单位最高罚50万元，个人最高罚1万元）等有相应的规定。法律规定实际上并不少，重要的问题是法律规定了，但执行力度或打击力度太弱。第四十五页，共一百四十五页。二、个人信息保护的制度与原则（一）个人信息相关术语1、个人信息：个人信息是指业已存在的与个人相关的，并且可用于识别特定个人的信息。如：姓名、出生日期、分派给个人的号码、标志以及其它符号、可以识别个人的图像或生物信息等（包括某些单独使用时无法识别，但与其他信息进行对比后，能够由此识别特定个人的信息）。电信用户个人信息=公民个人信息？第四十六页，共一百四十五页。有人认为，公民个人信息是指现实生活中能识别特定公民个人的一切信息，包括姓名、年龄、体重、身高、档案、医疗记录、收入及消费、购买习惯、婚姻状况、教育背景、家庭住址与电话号码等。也有人认为，公民个人信息是指以任何形式存在的、与公民个人存在关联并可识别特定个人的信息，几乎有关个人的一切信息、数据或者情况都可被认定为公民个人信息。关于电信用户信息，根据工信部于2009年颁布的《第三代移动通信服务规范(试行)》2.10条规定：本处所称用户信息，是指电信用户的姓名或者名称、有效证件号、住址、位置信息、用户号码、联系方式、交费账号和通话清单等非通信内容。而根据《中国电信用户信息管理指导意见》规定，中国电信用户信息是指用户向中国电信各级公司提供的与用户相关的各种信息，以及在使用通信服务的过程中产生的各种通信记录和消费记录等非通信内容。具体包括个人与单位的身份信息、合作信息、通信信息和消费信息四个组成部分。由此可知，电信用户信息包括个人用户信息和单位用户信息两个部分，而且均只包括非通信内容。对电信个人用户而言，个人用户信息是否等同于《刑法》规定的个人用户的公民个人信息？值得研究。第四十七页，共一百四十五页。目前，规定个人信息范围最为清楚、明晰的是《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》（银发〔2011〕17号）第四十八页，共一百四十五页。本通知所称个人金融信息，是指银行业金融机构在开展业务时，或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息：（一）个人身份信息，包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等；（二）个人财产信息，包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等；（三）个人账户信息，包括账号、账户开立时间、开户行、账户余额、账户交易情况等；（四）个人信用信息，包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的，能够反映其信用状况的其他信息；（五）个人金融交易信息，包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等；（六）衍生信息，包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息；（七）在与个人建立业务关系过程中获取、保存的其他个人信息。第四十九页，共一百四十五页。2、信息主体：根据特定信息进行识别或者能够识别的对象。指拥有该个人信息的本人。3、个人信息取得：是指为明确目的而获取个人信息的行为。4、个人信息处理：是指利用计算机和相关配套设备及软件对个人信息进行录入、存储、编辑、修改、检索、删除、输出、传输和销毁等行为。5、信息主体同意：信息主体对与自身相关的个人信息的取得以及使用表示同意，原则上以信息主体的签名、盖章为准，下述情况视为已取得信息主体同意：a）未成年人和无法对事情做出正确判断的成年人应由家长或监护人代表同意；b）在取得个人信息时，单位与信息主体签订的合同中规定了个人信息的使用，而且信息主体同意履行合同。第五十页，共一百四十五页。（二）国际个人信息保护法规建立情况国际上建立个人信息保护法规的国家和组织有50多个，最重要的和对国际上影响比较大是两个国际组织的个人信息保护法规:1、世界经济合作发展组织（OECD）《关于保护隐私和个人数据跨国流通指导原则》，其中所规定的个人信息保护八项基本原则，已经得到了国际上的认可。许多国家在此基础上不断进行补充和完善制定本国的个人信息保护相关法规。OECD八项原则为：第五十一页，共一百四十五页。（1）收集限制原则。个人信息的收集必须采取合理合法的手段，必须征得信息主体的同意；（2）信息内容的正确性原则。个人信息必须在利用目的范围内保持正确、完整及最新状态；（3）目的明确化原则。个人信息收集前要明确使用目的，并在目的范围内收集；（4）使用限制原则。对个人信息资料不得超出目的范围外使用；第五十二页，共一百四十五页。（5）安全保护原则。对个人信息的丢失、不当接触、破坏、利用、修改、公开等危险必须采取合理的安全保护措施加以保护；（6）公开原则。个人信息管理者必须用简单易懂的方法向公众公开个人信息保护的措施。（7）个人参加原则。信息主体有权知道自身信息的所在位置，有权对自身信息提出质疑，有权对自身信息进行修改、完善、补充和删除。（8）责任原则。个人信息的管理者对个人信息的保管负全责。第五十三页，共一百四十五页。2.欧盟的《欧盟数据保护指令》，在欧盟指令的要求下，欧盟的40多个国家都建立了个人信息保护相关法规。特别是，欧盟指令规定，第三国的隐私法律只有经欧盟委员会判定达到“充分的”保护标准，才能自欧盟进行跨境个人信息传输，在《欧盟数据保护指令》第四章向第三国进行个人数据转让中做了如下规定：第五十四页，共一百四十五页。《Directive95/46/ECoftheEuropeanParliamentandoftheCouncilof24October1995ontheprotectionofindividualswithregardtotheprocessingofpersonaldataandonthefreemovementofsuchdata》CHAPTERIV-TRANSFEROFPERSONALDATATOTHIRDCOUNTRIESArticle25Principles(1)TheMemberStatesshallprovidethatthetransfertoathirdcountryofpersonaldatawhichareundergoingprocessingorareintendedforprocessingaftertransfermaytakeplaceonlyif,withoutprejudicetocompliancewiththenationalprovisionsadoptedpursuanttotheotherprovisionsofthisDirective,thethirdcountryinquestionensuresanadequatelevelofprotection,……。第五十五页，共一百四十五页。这项规定也促使许多非欧盟国家为了满足欧盟的要求也开始制定个人信息保护相关法规。《欧盟数据保护指令》的基本要素是：透明度原则（Transparency）、良好的安全性（Goodsecurity）、独立的监管机关（Independentsupervisoryauthority）、法律的有效执行（Effectiveenforcement）、向第三国传输的控制（Controlsontransferstothirdcountries）；《欧盟数据保护指令》数据保护的基本原则是：个人数据必须被公平合法的处理（Personaldatamustbeprocessedfairlyandlawfully）；为特定目的而收集，且不能以与此无关的方式进行处理（collectedforspecifiedpurposesandnotprocessedinanincompatibleway）；具有合理的相关性并且不过度（adequaterelevantandnotexcessive）；准确且不断更新（accurateandkeptuptodate）；保存不超出完成收集时的目的所必需的期间（notkeptlongerthannecessaryforthepurposeforwhichtheywerecollected）；第五十六页，共一百四十五页。（三）个人信息保护标准1、国际相关标准目前国际上有关个人信息保护的标准并不多，对我国影响比较大的就是日本有关个人信息保护的工业规格标准：JISQ15001：2006（个人信息保护管理体系——要求事项），该标准于1999年制定并颁布，2006年修改。主要适用于处理个人信息的企业事业单位，规定了所有行业、所有规模的单位可以适用的个人信息保护管理体系的相关要求事项。在对跨境个人信息的保护方面，在3.4.3.4委托监督中规定“企业在委托别人使用全部或部分个人信息时，必须选定符合充分保护个人信息水平的企业，为此，委托者必须确立委托者的选定标准。”这造成了日本客户在委托相关个人信息时，向其它国家的企业提出个人信息保护方面的要求，中国在与日本企业的合作中如果没有相关的个人信息保护能力和水平，将会因此而失去订单，不实行个人信息保护影响到中国软件及信息服务外包产业的发展，特别是2005年4月1日，日本个人信息保护法颁布后，对我国对日外包软件信息服务业产生了一定的影响，这也促使了我们个人信息保护工作的开展。第五十七页，共一百四十五页。2、我国的个人信息保护标准——地方标准的建立我国目前已经通过和发布的个人信息保护标准有两个：（1）《软件及信息服务业个人信息保护规范》DB21/T1522-2007，该标准为辽宁省地方行业标准，是我国首个针对个人信息保护的地方行业标准，也是我国首个软件及信息服务行业的标准。于2007年6月13日正式发布，2007年8月1日开始实施。该标准是依据我国信息管理及信息安全相关法规和标准，并参考世界经济合作发展组织OECD《关于保护隐私和个人数据跨国流通指导原则》制定的。（2）《个人信息保护规范》BD21/T1628-2008，该标准为辽宁省地方标准，是我国首个针对个人信息保护的地方标准。于2008年6月16日正式发布，2008年7月16日开始实施。该标准依据国际、国内相关法律、法规及信息安全相关标准，遵循OECD（世界经济合作发展组织OrganizationforEconomicCo-operationandDevelopment）《关于保护隐私和个人数据跨国流通的指导原则》，参考国际通行的个人信息保护相关法规和行业自律模式制订。第五十八页，共一百四十五页。这两个标准都是在我国首次发布的个人信息保护标准。标准中规定了个人信息保护相关术语和定义，原则、负责人及责任、方针、风险分析与基本规章、运行与实施、检查、持续改进等单位个人信息保护体系建立所应具备的基本框架及要求。为企业个人信息保护体制的建立提供了参考依据，起到了指导作用。标准中规定了软件及信息服务业个人信息保护原则：1）取得与使用个人信息取得应采用合理合法手段，并应征得信息主体的同意。个人信息取得和使用应有明确目的，不得超范围使用。2）安全保障应采取必要的安全保护措施，防止个人信息的丢失、泄漏、篡改和破坏等事件发生。除信息主体同意外，个人信息不得提供给第三方。3）信息主体权利信息主体有权确认个人信息状态。并拥有对个人信息提出删除、修改和完善的权利。4）信息内容更新个人信息应确保在使用目的范围内的正确性和完整性，并做到及时更新。第五十九页，共一百四十五页。3、个人信息保护国家标准已制定待批由工信部牵头30多家单位起草，正报批国家标准；为企业处理个人信息提供行为准则。工信部直属的中国软件测评中心透露，他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审，正报批国家标准。这个指南能为行业开展自律工作提供了很好的参考，为企业处理个人信息制定了行为准则。我国信息技术保护不容乐观，甚至已形成利用个人信息从事非法获利的黑色链条。特别是去年年底揭露出的中国互联网最大规模的泄密事件，将个人信息保护推向了风口浪尖。第六十页，共一百四十五页。许多发达国家很早已开始个人信息的保护研究和立法工作。我国近年来也启动了个人信息保护的相关工作。去年，全国信息安全标准化技术委员会提出制定个人信息保护指南。这个委员会主要从事信息安全标准化工作，现任主任由工信部副部长杨学山兼任。个人信息保护指南的全称是《信息安全技术、公共及商用服务信息系统个人信息保护指南》，标准由工信部直属的中国软件测评中心牵头，联合近30家单位起草。指南目前还在等待批准文号，但其最终的发布应是“指日可待”。但这个指南并非国家强制性标准。结合该标准，中国软件评测中心还发布了《2012年网站个人信息保护政策测评报告》以及《2012年Android手机软件个人信息安全报告》。报告的发布为规范行业自律、企业个人信息保护行为以及政策的制定提供了合理依据。下面我简要介绍一下该行业标准的主要内容及发展趋势：第六十一页，共一百四十五页。（1）个人信息用后立即删除在个人信息安全缺少专门法律规范时，一部行业标准成为业内的希望。“去年正式通过了评审，报批国家标准”，若能通过这项标准，将拓展个人信息保护的体系。《个人信息保护指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节，其中还提出了个人信息保护的原则。这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。“最少使用”的原则就是获取一个人的信息量时，只要能满足使用的目的就行。举个例子说，一些网站本是办一个很小的事，却让用户填包括家庭住址、手机号在内等很多信息，这就不符合“最少使用”原则。“安全保障”则是要个人信息管理者一旦收集了个人信息，就必须建立一套个人信息保护制度，明确责任人和内部管理流程，以及应对个人信息泄露的风险。据估计个人信息泄露中70%-80%属内部作案，这是“安全保障”原则没能落实好所致。第六十二页，共一百四十五页。一些商业公司掌握大量个人信息，由于管理制度疏漏，一些内部员工未经授权就能获取客户信息。依照《个人信息保护指南》，在收集个人信息阶段告知的“使用目的”达到后应立即删除个人信息。有次，我在某航空公司网站购买机票，使用电话支付的时候，工作人员搜集了我的支付信息：姓名、身份证号、信用卡号和信用卡的最后三位支付号码。购票成功。过段时间再去购票时，对方问，“您还是使用卡号末四位是****的信用卡支付吗？如果是，只要告诉我就可以了。这家公司存储了我的信息。这就是航空公司在达到此次订票目的后，未能及时删除客户信息。还有，前段时间我在上海出差次数比较多，住过复旦大学周边的几家酒店，后来去住的时候酒店干脆不用我的身份证了，只讲名字什么信息都有了，到是省却了我旅途的很多麻烦，但却增加了我对个人信息保护的担忧。第六十三页，共一百四十五页。（2）信息保护指南非强制标准“为了经济效益，无利不起早。”目前没有哪个行业不存在信息泄露。比如孕妇生完孩子刚回家，卖奶粉的电话就过来了；病人检查完身体，检查单还没看懂，相应的医药公司就已经打电话卖药来了。有人把个人信息形象地比喻成“很多钱装在纸糊的银行里，很容易被黑客破解。”据他们调查，公众最关心的金融、电信等领域的个人信息安全。而让人担忧的是，这个指南标准不是强制性标准，甚至也不是推荐性标准，标准通过会对行业起到多大的规范效力，仍待观察。此次个人信息安全国家标准“属于技术指导文件”。国家标准分为三种，一个是强制性标准，一个是推荐性标准，一个是指导性技术文件，标准可以作为参考。而国家强制性标准多在食品安全领域。不过，标准适用于除了政府机关等行使公共管理职能以外的各类组织和机构，特别是电信、医疗等涉及个人敏感信息比较多的服务机构。第六十四页，共一百四十五页。（3）40部法律难约束个人信息泄露据统计，目前有近40部法律、30余部法规，以及近200部规章涉及个人信息保护，其中包括规范互联网信息规定，医疗信息规定，个人信用管理办法等。“针对个人信息的法律法规并不少，然而内容较为分散、法律法规层级偏低。刑法修正案（七）被认为是个人信息立法的标志性事件之一。2009年，刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名，首次将公民个人信息纳入刑法保护范畴，规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。但是，这一犯罪主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。除此之外，还存在着互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位。诸多法律界人士认为，刑法未明确该罪的具体界定标准，这一条款还有进一步改进和完善的空间。第六十五页，共一百四十五页。另外，法律中对信息泄露者惩罚机制不够。前段时间，警方破获CSDN（即中国软件开发联盟）的600多万条用户名和密码泄露案件，目前为止对网站的处罚只是提出行政警告，太轻了，这种处罚几乎没有威慑力。如果在国外，这样的大规模用户信息泄露，至少应该有经济处罚。2009年，《侵权责任法》的通过，使“人肉搜索”侵犯受害人权利的责任认定有了法律的统一规制，如果网站无视受害人提出的屏蔽、删除要求，就要承担连带责任。但是，《刑法》和《侵权责任法》都属于事后救济，在网络时代要对网络安全以及个人信息进行全流程的监管才更为有效。第六十六页，共一百四十五页。（4）个人信息安全法未入立法程序《个人信息安全法》并非从未尝试破冰。2003年的4月，国务院信息化办公室专门对个人信息立法研究课题进行部署，2005年《个人信息保护法》专家意见稿已经提交。不过这项立法建议一直未能进入正式的立法程序。当时文本已从国务院信息化办公室上报到国务院法制办，此次未能进入正式立法程序的原因很复杂，主要是“从紧迫性上讲还没太关注这个问题”。凡事总有轻重缓急，有关部门会综合考虑，但考虑到目前我国发生的个人信息泄露和被盗、个人隐私侵犯以及个人信息交易的事件愈演愈烈的现实，再发展下去可能会影响到整个社会经济活动，“我觉得紧迫性早就有了，可能各个层面感觉不一样，有人觉得没那么紧迫”。个人信息保护实行面广，一定要从法的角度规范，才能使这项工作在法律上有依据。在法律界和相关方的共同努力下，尤其是在今天个人信息保护已经成为社会迫切的问题，立法的进程就会加快。第六十七页，共一百四十五页。（三）个人信息保护认证1、国际相关认证国际上关个人信息保护的认证比较多，对我国有一定影响的认证主要有：（1）美国的BBOnLine隐私认证计划（BBBonlineprivacysealprogram）：美国BBBOnLine认证是网络安全认证，BBBonline是促进良好商业顾问局（councilofbetterbusinessbureau）的美国BetterBusinessBureau(BBB)全国性中小企业组织所成立的网站安全认证机构，它所提供的认证服务有ReliabilitySeal、PrivacySeal、Kids’PrivacySeal等。其中PrivacySeal、Kids和PrivacySeal都是针对网站的个人隐私保护认证。该机构在1999年3月17日建立并开始其隐私认证计划。第六十八页，共一百四十五页。（2）美国TRUSTe认证TRUSTe是由商务网络财团（CommerceNet

Consortium）和电子前线基金会（Electronic

Frontier

Foundation,

EFF）所组建的一个独立的非营利的组织，该组织成立于1997年6月10日，是美国首家网络隐私认证民间机构，是一家非盈利组织。主要采取认证和监督网站的隐私保护状况和电子邮件政策。TURSTe隐私计划包括：一般网页的隐私计划、欧盟安全港隐私认证计划、儿童的隐私认证计划、电子邮件隐私认证计划，TRUSTe各种计划都遵守许多政府和行业有关个人信息保护的法规和标准，包括加利福尼亚州网上隐私保护法（CaliforniaOnlinePrivacyProtectionAct）、联邦反垃圾邮件法（FederalCAN-SPAMAct）、联邦贸易委员会批准的公平资讯惯例（FairInformationPractices）以及美国商业部的安全港隐私保护原则（SafeHarborPrivacyPrinciples）。第六十九页，共一百四十五页。（3）日本的P-MARK认证P-MARK认证是日本针对计算机处理个人信息相关企业而开展的获取个人信息保护标志的认证，它的认证机构是日本财团法人情报处理开发协会（JIPDEC），认证标准是JISQ15001。日本P-MARK认证制度从1998年4月开始。2005年4月1日，日本正式颁布了《个人信息保护法》，促进了P-MARK认证数的快速增长，至2009年认证企业已经超过了10000家。第七十页，共一百四十五页。对以上三种认证体系的分析看：从认证对象来看，美国的认证范围主要是针对网络个人信息保护认证，特别是网络交易平台和网站注册的个人信息的保护，特别重视信息主体的权利和网站个人隐私的保护。日本的P-MARK认证是针对所有企业个人信息保护体制建立的标准，可以给企业一个比较全面的个人信息保护体制建立的指导和帮助。从认证范围看，美国的两个认证都是跨国界的认证，但由于各国法规、标准的不一致性，要真正得到其它国家的认可还存在许多问题。而日本的P-MARK认证是一个针对日本全国的全行业的国家级认证，不针对日本以外的国家。目前，还没有一个国际公认的个人信息保护的认证体系，但由于信息化社会的发展和全球经济体系的建立，必将会促进一个全球化的信息安全体系的建立，建立国际统一的个人信息保护认证体系也是非常必要的。第七十一页，共一百四十五页。2、

我国软件及信息服务业个人信息保护评价体系（PIPA）软件及信息服务业个人信息保护评价体系（PIPA）是我国目前最早的针对个人信息保护能力和水平的评价。目前已经与日本的P-MARK认证实现了相互认可。目的是帮助企业建立个人信息保护规章制度、运行实施并不断改进和完善，使单位的个人信息保护能力和单位信息安全级别得到提高，使客户、消费者和员工的个人信息得到有效保护。建立个人信息保护体制的单位可以通过PIPA评价，得到个人信息保护合格证书和PIPA标志使用权，以证明单位的个人信息保护能力和水平，以此得到客户和消费者的信任。第七十二页，共一百四十五页。（1）PIPA简介PIPA全称：个人信息保护评价（Personalinformationprotectionassessment）评价标准：《软件及信息服务业个人信息保护规范》（DB21/T1522-2007）（以下简称《规范》；评价机构：大连软件行业协会开始时间：2006年5月PIPA是针对计算机处理相关单位而开展的个人信息保护能力的评价，主要适用于利用计算机对个人信息进行处理的相关单位。评价程序按照前期审查→现场审核→公示→审批过程严格进行，通过PIPA的单位，可以得到个人信息保护合格证书、PIPA标志和PIPA-MARK互认标志使用权，有效期两年。第七十三页，共一百四十五页。（2）PIPA评价机构PIPA评价机构下设个人信息保护工作委员会和PIPA办公室。PIPA办公室主要负责PIPA文件管理和事务性工作，负责PIPA受理及投诉，负责评价员的聘任及管理工作，PIPA办公室下设培训教育部门，负责个人信息保护企业培训和评价员培训、考核。工作委员会主要负责标准和PIPA体系相关文件的制定、修改和完善，负责PIPA申批、投诉及事故的处理结果的审批，负责对PIPA的监督，聘任评价员的审批等工作。工作委员会下设：标准组、仲裁组、宣传推广组、国际交流组和教育培训组。标准组主要负责标准的研究和制定；仲裁组负责投诉及事故的调查及处理；宣传推广组负责PIPA宣传推广；国际交流组负责国际间的交流与合作；教育培训组负责个人信息保护人才的教育及培养研究及试点，开展个人信息保护人才培养工作。第七十四页，共一百四十五页。（3）PIPA的管理与监督申请个人信息保护评价单位需要按照《规范》要求建立本单位个人信息保护相关规章制度，在单位内实施个人信息保护，并至少运行三个月。申请方应在申请前三个月内没有发生过重大个人信息保护事故。申请方应是自愿参加评价。评价机构对个人信息保护合格单位有监督管理的权利，可以对单位个人信息保护情况进行抽查，对抽查不合格单位将限期整改，整改后仍不合格的单位，将取消个人信息保护合格证书和PIPA标志的使用资格。以下情况将对PIPA企业进行复审：一是在对申报单位在个人信息保护方面有重要举报和投诉并确认为事实时；二是，在个人信息保护方面发生重大事故时；三是，在企业更名、办公场所或业务有重大变化时，对抽查和复审不合格单位，将取消个人信息保护合格证书和PIPA标志的使用资格。第七十五页，共一百四十五页。三、个人信息保护的典型案例侵犯个人信息构成民事侵权、行政违法，严重的构成犯罪。但很多情况下，个人信息泄露往往造成侵犯个人信息之外的其他犯罪，如诈骗、敲诈勒索、绑架、盗窃等等关联性犯罪。第七十六页，共一百四十五页。1.英国：2007年英国皇家税务及海关总署寄出的两张数据光盘丢失，光盘中保存着英国所有儿童福利补贴受益人的信息，其中包括英国725万个家庭中2500万人的姓名、住址、出生日期、国家社会保险号码及相关银行账户信息，涉及人口将近英国总人口的一半。这些信息丢失可能使数千万家庭面临账号被窃或者受到金融诈骗风险。当时如同在政坛投下一枚深水炸弹。曾担任过10年财务大臣的英国首相布朗对此难逃其咎，他专门在议会向全国道歉。布朗：这件事情给许多儿童福利补贴受益家庭带来了不便和担心，对此我深表遗憾并且表示道歉，但执行部门的工作出现纰漏时我们有义务尽我们的所能来保护公众的利益。可以听到，布朗在议会通过电视转播进行道歉时，议会现场还传出了不满的嘘声。第七十七页，共一百四十五页。2.日本：日本前些年也曾出现过大批个人信息被泄露的事件。其中最著名的就是2004年发生的雅虎公司的个人信息泄露事件。当时雅虎公司的一个外包员工偷盗了450万份个人信息，被称为世界上第3大个人信息泄露事件。那名员工最终被判刑。雅虎公司给每位受害人500日元的赔偿，公司为此事件一共损失了100亿日元。日本在个人信息保护方面是一个法律和民众意识都比较健全的国家。但这样的状况也经过了不短的时间才得以完善的。在上个世纪末日本政府在推行电子化政府的时候，还没有估计到电子商务经营者在个人信息保护中应承担的义务，也就是没有考虑到民间企业在使用个人信息的时候对个人隐私的侵害，但是随着后来民间企业对个人信息的不正确使用和管理，造成个人信息泄漏事件不断的发生，引起了日本消费者对当时个人信息制度体系的不满。2005年4月个人信息保护法开始生效，这是日本保护个人信息安全的根本法律，经过这些年日本企业和个人的信息安全保护意识已经非常高了。第七十八页，共一百四十五页。3.美国：2010年，在美国就有1110万人的个人资料被盗窃，2010年中美国政府一项统计显示每20个成年人中就有1个人的个人资料被盗窃，总共经济损失高达540亿美元。政府在2004年到2009年期间对特殊执法机构每年增加200万美元的经费，协助调查侦办个人隐私资料盗窃案。对于违法者处以3-5年的监狱监禁，政府呼吁每个公民应该提高警惕保护自己的隐私资料，美国贸易委员会也推出各种宣传教育攻势迅速展开提升民众对个人隐私以及身份证明资料盗窃行为的防卫、辨认、举报等能力。私人信息泄漏是一个国际性的问题，即便是日本和美国这样的发达国家也经历过法律缺失的混乱阶段。那么中国在这方面的法律维护水平到底如何呢？相对来讲我们国家法律保护还是比较明确的，但执行及处罚力度是相当弱的。第七十九页，共一百四十五页。4、香港：法院裁定“八达通”泄露客户资料违规获利4400万第八十页，共一百四十五页。香港个人资料私隐专员公署2010年10月18日公布正式调查报告，认定“八达通”方面在收集和使用客户个人资料的过程中违反了保障资料私隐原则，并呼吁政府、市民携手推动从立法等层面加强规管。“八达通”从公交缴费卡发展为如今广为使用的电子储值消费卡，可在众多超市、零售店使用，在香港几乎人手一张。自2010年3月底以来，“八达通”涉嫌“倒卖”客户资料一事浮出水面；7月，“八达通”方面公开承认，确将参与“八达通日日赏”优惠计划的客户个人资料提供给合作公司做直接促销用途。特区法定独立机构个人资料私隐专员公署随即对此展开调查。由于这项优惠计划吸收逾240万名客户加入，牵涉面较广，事件迅速成为坊间热议话题，引起社会大众对个人资料私隐权的高度关注。香港个人资料私隐专员蒋任宏在18日召开的记者会上表示，“八达通”的客户优惠计划收集个人资料的目的是合法的，但是在收集和使用客户个人资料过程中违反了香港《个人资料（私隐）条例》内的保障资料私隐原则。“八达通”方面以认证客户身份的目的收集了“超乎适度”的个人资料，包括身份证号码、护照号码、出生年月等，其实完全可以仅收取电话号码、住址等侵犯隐私程度较低的资料；没有采取合理切实的举措确保已告知申请者其资料可能被转移给第三方，通过收集声明的条款使得“酌情权”完全由“八达通”方面掌握；为了金钱收益而与合作商户共用客户的个人资料，实际上就是“售卖个人资料”，未在面向客户的收集资料声明内交代清楚并经客户同意。第八十一页，共一百四十五页。“八达通”方面已确认停止或暂停向合作商户转移或共用客户个人资料作牟利用途的活动，并向公署签署“承诺书”，保证将在两个月内彻底删除及销毁过量收集的客户资料，并由独立专业第三方机构确认，重新设计收集个人资料声明的内容，再有为金钱收益而转移客户资料的情况须取得客户同意等。“八达通”方面8月初宣布，将把转售客户资料而获得的4400万港元捐给香港公益金。蒋任宏指出，“八达通”泄漏客户私隐一案绝非个案，而是当今商业社会里普遍存在的现象。由于违反保障资料原则本身不属于犯罪，公署在跟进事件时所能采取的惩罚行动受到严格限制，在公众期待日益提升的情况下，凸显现有法律条例的不足。特区政府将提交一套修例动议，呼吁市民共同参与讨论，应否以及如何加强管制、加重责罚、加强公署的执法权力等。香港是亚洲首个立法并设有独立的个人资料私隐专员来监管公私营机构的地区。特区政府去年年底检讨了《个人资料（私隐）条例》，正在研究优化有关法例的建议，将展开公众咨询。第八十二页，共一百四十五页。5.深圳：15万孩子刚刚出生就已经被“卖”15万孩子刚刚出生就已经被“卖”了，乍看这条新闻着实叫人大吃一惊，仔细读下去，原来深圳市警方近日抓获了一名贩卖婴儿信息的女子，当中记载了当地15万名新生婴儿的详细资料，每套300元。虽然卖的不是孩子，但仍然叫人心里不是滋味，现代社会身份信息捆绑着诸多利益关系，谁说这不是“卖”呢？深圳破获15万孩子信息泄露大案，是一个改变现状的契机。有关医疗机构明显难辞其咎。第八十三页，共一百四十五页。6.黑客病毒产业链盯上移动终端个人隐私，成为个人信息泄露的重要渠道在广州某公关公司工作的李小姐，经常需要用手机上网。此前，李小姐一个月的手机上网包月流量一般都用不完，今年元旦过后，李小姐发现，往往只用几天时间，自己的包月手机上网流量就全部耗尽。到维修中心一检查，才发现自己的手机中莫名其妙地安装了不少的恶意插件，而整个过程从未有任何提示。维修人员告知，这种手机木马是利用Android系统的漏洞进行攻击，危害非常严重。不仅可以强制开机自启动、强制联网、窃取并上传用户手机中各种信息，还会将病毒组件伪装成图片，持续不断地从后台大批量下载、安装插件。手机流量被大量消耗的同时，甚至会破坏系统完整性，影响手机的正常使用。（昨天我在花溪区政府开会，一个煤老板说了他手机两天时间挂了QQ和进入一个不知名网站，两天时间就废掉了490多元）第八十四页，共一百四十五页。相比李小姐，深圳陈先生的遭遇更让广大用户提心吊胆。陈先生是个生意人，为了业务方便，陈先生开通了手机银行业务。春节后的一天，陈先生发现自己的手机停机了。由于此事陈先生无法使用手机银行，所以当天下午他便亲自到银行办理业务。当他将卡插入ATM机后却发现自己账户上的三万元不翼而飞。银行的工作人员告知陈先生，三万元是在上午通过手机银行将卡内的钱取走的。而手机停机则是因为他的手机号在营业厅被人冒名补办，导致自己的手机被强制停机。经检测，陈先生的智能手机是感染了知名的“终极密盗”手机病毒，其典型特征为，侵入手机后会自动在后台监听用户的输入信息，捕获到用户的银行密码后通过短信外发给黑客，对方一旦远程修改密码，则可进行转账操作。第八十五页，共一百四十五页。7.倒卖个人信息从中赚取差价2009年10月，高某发现网上有一个叫“私家侦探”的QQ群，内有全国各地成员一百多人。许多成员通过该群发布调查招商广告，称可以帮助调查他人信息，包括个人身份、使用电话信息等。心动的高某立即加入该群，并把其QQ网名改为“福建专业调（中间商）”，个性签名改为“福建省联通单，需要的朋友请联系”。此后，高某开始通过网络向上家“小妍蛋蛋店”、“唐小丫”、“信息联盟”（已被公安部指挥其他省份公安机关查获）购买他人的联通电话信息、个人身份等资料信息，并发展下家“老叶”、“神鹰”、“石平”（本次福州警方此次行动中已抓获）等人。当下家提出需求信息后，高某便通过低价向上家购买信息，再高价转卖给下家，从中赚取差价。据高某供述，他向上家购买一个联通的机主信息（包括身份证号码、手机串号和户籍地址）或者机主话单（最多两个月）要支付80元人民币，购买一个联通机主的定位（近期通话的大概位置）要花180元钱；一般每条信息加价20元转卖下家，有时更高一些。至今已转卖300多条次联通电话信息，交易金额5万多元，获利约1万元。高某被抓获时，其电脑里仍保存有大约上百个联通电话的话单、机主资料、串码资料。目前，高某已因涉嫌非法获取公民个人信息罪被刑事拘留。第八十六页，共一百四十五页。第八十七页，共一百四十五页。8.利用侦察器材探取情感隐私2010年起，陈某注册了福州市凌鹰商务信息咨询服务部，主要从事婚外情调查（包括：拍照、跟踪、安装车辆GPS定位追踪）、查找关系人的住址、查询个人信息及关联人员信息、车辆信息、个人房产信息、工商部门查档、银行信息、电话单、手机定位、破解QQ密码等。当有客户需要调查时，陈某就通过QQ群上的上家购买公民个人信息，利用这些信息进行跟踪，或在被调查人的车上安装GPS定位仪器，再通过仪器查找该人的落脚点。在本次专项活动中，陈某已因涉嫌非法经营罪被刑事拘留。外号“老叶”的叶某，日常以向“国帮资”、“新浪顾问”、“小龙咨询”、“福州联邦”、“福建007”、“小研蛋蛋”等处购买公民个人信息用于其私人侦探业务，主要“业务”有：手机定位、行踪调查、婚情调查（跟踪、拍照摄像）、债务清欠、找人查人、资产调查、网络黑客等。收费标准不低：找人3000到8000元；婚外情调查3000到6000元；密码破解收费1000元；IP查询收费1500元。日前，叶某某同样因涉嫌非法经营罪被刑事拘留。第八十八页，共一百四十五页。9.“讨债公司”索取酬金高达债金50%吴某于2008年以其兄的名字注册了福州汇诚信息咨询服务部，但在对外广告及宣传册上都是以福州市凌凌漆商务管理顾问有限公司的名义活动，并宣称公司的业务范围是以债务催收、调查取证、打假维权、法律服务为一体的综合服务机构，调查一般收取1000元人民币至5000元人民币，如果是涉及追讨债务的业务，会和委托人约定将所追回债务的10%-50%作为追讨报酬。吴某一般会要求客户提供要找的人的姓名、身份证号码、家庭及单位住址及手机号码，如果相关信息太少，吴某还会通过非法购买公民个人信息来帮助查找被讨债人。吴某已因涉嫌非法经营罪被刑事拘留。李某在福州仓山区兰亭新天地一出租房以九杰龙商务咨询公司名义进行私家侦探、讨债等违法活动。2011年2月，其在网上接受了龙岩罗某的委托查找欠罗某800多万元的陈某，并谈妥事成之后收取18.7万元酬金。2011年7月3日，李某利用网络资源，非法得到欠债人陈某在安徽合肥某地的信息，即带罗某等多人共同驾驶3部小车前往合肥找到陈某，由罗某等人强行将陈某带走，李某另行返回福州。罗某因涉嫌非法拘禁罪被龙岩当地法院判处有期徒刑。日前，李某已因涉嫌非法经营罪被刑事拘留，其涉嫌的非法拘禁案件正在进一步审理中。第八十九页，共一百四十五页。10、警惕个人信息泄露成犯罪“黑洞”近年来，个人信息遭泄露的事件频频发生，给人们的生活带来严重困扰。一觉醒来查账，百万存款消失；网银交易刷卡，账户口令被盗；知名网站CSDN发生“泄密门”，600万网民密码丢失……信息买卖、信息诈骗，利用个人信息打开的一个个犯罪“黑洞”正在侵蚀着人们的安全底线。在网络时代，谁都有过自己的信息被倒卖的经历。而浙江警方的侦查表明，网上非法买卖个人信息犯罪已经形成了一条地下“产业链”。记者从浙江省公安厅获悉，在４月２０日开始的打击侵害公民个人信息犯罪的集中行动中。浙江警方共抓获犯罪嫌疑人１７０余名，摧毁侵害公民个人信息的数据平台和“资源大户”４０余个，打掉从事非法讨债、非法调查等违法犯罪活动的“非法调查公司”近６０个。倒卖个人信息已成地下产业链第九十页，共一百四十五页。11、业主频接租房电话怀疑个人信息被泄孟女士居住在朝阳区屯三里永利国际小区，本月她将自己房屋租出去后，就连续接到中介的招租电话，孟女士质疑物业公司泄露了自己的个人信息。物业方否认泄露业主电话，并称中介存在交易业主电话行为。孟女士本月将永利国际的房子，租给了自己的一个朋友，随后她到物业办理了相关备案手续，并留下了自己的常用电话。自此之后，她就连续接到数十个中介公司的招租电话。孟女士怀疑是物业公司泄露了自己的电话。第九十一页，共一百四十五页。12.网络“偷窥”折射个人信息保护缺失“强制加好友”“能看相册、日志”“２２元即可非好友查看”……一些网店明目张胆兜售起社交网站的“偷窥”服务，对用户个人信息安全造成威胁。近年来，社交网站已成为网民结识和联络朋友的重要途径，然而，由于个人信息保护