关于制定广东个人信息保护条例的议案.docx
《关于制定广东个人信息保护条例的议案.docx》由会员分享,可在线阅读,更多相关《关于制定广东个人信息保护条例的议案.docx(8页珍藏版)》请在冰豆网上搜索。
关于制定广东个人信息保护条例的议案
关于制定《广东省个人信息保护条例》的议案
【议案背景】
近年来,随着互联网、云计算的迅猛发展,我省大数据经济高速发展,随之而来的个人信息安全问题也备受挑战。
大数据时代,个人信息复制、散播极其便捷,滥用个人信息给公众造成骚扰甚至伤害的现象普遍存在,侵犯个人隐私的事件也层出不穷。
一、个人信息被过度搜集
网络运营商、平台服务商等相关企业为了掌握更大市场主动权,往往通过各种渠道搜集用户个人隐私数据。
今年年初,支付宝年度账单事件引起社会强烈反响,账单中“服务协议”默认选项允许支付宝收集用户信息包括在第三方保存的信息,将支付宝年度账单推向了风口浪尖,此事更引起监管关注。
企业收集、保存、处理公民个人数据意味着数据将被进一步使用,个人隐私泄露的威胁持续存在。
二、个人信息泄露与非法买卖事件频发
近年来,我国信息泄露事件屡见报端。
据金羊网消息,2017年7月,省公安厅侦破一宗泄露信息源头最多、涉及行业最广的侵犯公民个人信息专案,一个名为“某汽车交易平台”的微信群中,某群成员非法买卖公民信息,其贩卖的公民个人信息种类繁多,包括住宿、计生、车主、法人、学籍等涉个人隐私的信息,网购收货、网约车出行、网络外卖等涉互联网信息,机主、宽带地址等涉电信运营商信息,以及多家快递公司的涉物流信息,缴获涉案公民个人信息5000万余条。
2018年1月18日,广东省公安厅召开新闻发布会透露,广东警方“安网2017”专项行动,全年缴获被泄露、窃取、买卖的公民个人信息高达7.1亿余条。
三、个人信息滥用引发违法犯罪活动
大规模的信息泄露和信息非法买卖助长了短信骚扰、电话诈骗等恶意违法行为,我国的个人信息滥用已经成为一种社会公害。
据央视网消息,2016年,珠海警方发现珠海一家社区医院登记的大量老年人身份证号码、电话号码、家庭住址等信息,被人在网上贩卖,为不法分子实施“精准诈骗”提供了帮助。
由中国互联网协会发布的《中国网民权益保护调查报告2016》显示,84%的网民亲身感受到了由于个人信息泄露带来的不良影响,我国网民因为垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失为人均133元,总体经济损失约915亿元。
【议案理由】
我国还没有针对公民个人信息保护的专项综合性法律规定,经初步检索,也未检索到其他省份针对个人信息保护的立法。
广东是世界瞩目的改革开放先行省,是互联网超级大省,有着大量的备案网站以及腾讯、网易等大批大型互联网企业,是网民人数最多的地区之一,如何在促进我省大数据经济发展的同时加强个人信息保护是大数据时代下急需解决的问题。
在当前的经济环境下,我们认为制定、出台符合我省实际情况的个人信息保护条例是解决这一问题的重要举措。
一、我省个人信息保护立法的必要性
1.满足大数据经济下我省公民对个人信息保护的法律需求
在我国现行立法中,确有部分法律、行政规章已涉及对个人信息的保护,包括:
2005年中国人民银行制定的《个人信用信息基础数据库管理暂行办法》、2005年《公证法》、2006年《护照法》、2009年《刑法修正案(七)》、2009年《侵权责任法》、2011年修正后的《居民身份证法》、2016年《网络安全法》、2017年《民法总则》等。
这些法律文件对其所调整领域的个人信息零星地列出了一些保护性规定,但是问题在于:
其一,这些法律规定是零散和个别性的,完全没有体系性,对于未涉及的大量其他领域的个人信息则无能为力;其二,这些极为有限的立法大多是原则性规定,缺乏可操作性,无法有效地保护信息主体的权利;其三,这些法律对个人信息保护的标准不统一,适用范围不一致,监管部门也不相同,不利于大数据经济下对个人信息的保护;其四,监管执法机制滞后,“九龙治水”的局面普遍存在,出现监管无序等现象。
同时,制定我省个人信息保护条例也是落实《民法总则》个人信息受法律保护法律规定的具体实施举措。
2.促进信息共享与自由流动
个人信息保护立法一方面要保护个人权利,另一方面,又不能阻碍正常的信息流动,加大市场主体交易成本,阻碍社会经济的发展。
尤其是在我省这样一个“信息经济”大省,信息是重要的战略资源,其自由流动具有极大的基础性意义。
如何协调好个人信息保护与促进信息自由流动的关系,是我省针对个人信息保护立法中最为重要的核心价值之一。
制定广东省个人信息保护条例,明确个人信息的保护和使用范围,有利于增加信息流动的信任度,实现信息共享与优化。
因此,通过立法建立完善个人信息保护制度,将促进信息共享与自由流动。
3.促进我省电子商务和电子政务健康发展
随着信息化进程的加快,电子商务得到快速发展,其规模、影响度及其在国民经济中的地位也快速提升,电子政务也被视作建设高效、透明政府的重要举措。
在电子商务中,参与者的许多个人信息往往会在知情或者不知情的情况下被商家收集和利用。
消费者往往因担心个人信息的安全而放弃进行网上交易、仍旧选择传统交易方式,从而阻碍着我国电子商务的发展。
同样,政府部门电子政务的建设也有赖于安全且值得信赖的个人信息保护体系。
鉴于此,我省应建立、健全个人信息保护法律制度,加强对个人信息的商业收集和利用行为的法律规制,从而促进我省电子商务与电子政务的发展,保障经济有序发展。
4.维护我省信息安全,加强行业自律
如议案背景所述,个人信息的滥用危及个人的生活安宁,大量个人信息被盗用,被卖往省外甚至国外,对我省的信息安全造成巨大威胁,不利于社会安定和秩序稳定。
同时,个人信息保护立法也会加强行业对于自身专业领域的信息维护,既有利于行业内公平竞争又能促进行业之间的相互监督,从而有利于信息合理有效的流动。
5.维护市场信息安全和健全个人信用征信体系
个人信息保护立法是市场信息安全与信用制度的前提。
市场经济是信用经济,这要求建立完善的个人信用征信体系,而建立良性个人征信制度必须具备这样前提:
个人信息权利得到法律的充分保护。
我国征信体系建立后未能充分发挥其作用的根本原因是没有个人信息保护制度的法律规定。
如果要真正建立、健全个人信用记录体系,其前提是必须有法律对进入记录的个人信息给予保护,使被记录人有安全感。
这正是个人信息安全与市场乃至社会安全的重要交结点。
二、我省个人信息保护立法的可行性
我国《宪法》第38条规定:
“中华人民共和国公民的人格尊严不受侵犯。
”第40条规定:
“中华人民共和国公民的通信自由和通信秘密受法律的保护。
”这是我省个人信息保护立法的宪法基础。
散见于各种法律中关于个人信息保护的条款,是我省个人立法的法律基础。
《民法总则》第111条规定:
“自然人的个人信息受法律保护。
任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
”《网络安全法》设置单章规定网络安全信息,涉及网络个人信息的保护。
《民法总则》《民法通则》确认姓名权、名誉权、肖像权等个人权利不可侵犯。
《侵权责任法》明确了对上述权利收到侵害时给予救济。
《居民身份证法》则对公权力领域的身份证使用行为作出了详细的规定,同时也规定公安机关和人民警察泄露因支付而获得的个人信息,应当承担行政责任或者其他法律责任。
目前,我国法律规定中有关个人信息保护的法律条文,为我省开展个人信息保护立法工作奠定了基础。
在国际层面,联合国于1968年提出“个人信息保护”的概念,这一年也被称为“个人信息”年。
1980年,经济合作与发展组织(OECD)在《关于保护隐私和个人信息跨国流通指导原则》中确立了国际通行的个人信息保护八大原则:
收集限制原则、资料质量原则、目的特定化原则、利用限制原则、安全保障原则、公开原则、个人参与原则、责任原则。
2016年5月24日欧盟通过《一般个人信息保护条例》,以欧盟法规的形式确定了对个人信息的保护原则和监管方式。
其他国家如美国、法国、日本等均有针对个人信息保护的专门立法。
我国台湾地区于1995年制定了“电脑处理个人资料保护法”作为个人信息保护的专门“法律”,2010年4月该法修正案通过,成为“个人资料保护法”;香港特别行政区于1996年12月20日起开始实施《个人资料(私隐)条例》,澳门特别行政区于2006年开始实施了《个人资料保护法》。
国际组织、外国以及中国台湾地区、香港特别行政区、澳门特别行政区的立法经验和模式,对当前我省个人信息保护立法提供了良好借鉴。
与此同时,经过多年的实践和发展,我省已具有成熟的立法技巧和程序,制定出台了一批高质量的地方性法规,我省对个人信息保护立法工作能做到“科学立法”“民主立法”的要求。
而且,经经初步检索,也未检索到其他省市针对个人信息保护的立法,我省率先制定出台适合我省经济发展策略的个人信息保护条例,既能抢占“信息经济”先机,也对其他省市起带头示范作用。
【议案内容】
为强化个人信息保护,建议我省人大根据广东省的发展情况,依照《民法总则》《网络安全法》《居民身份证法》等上位法,率先制定出台适合我省经济发展策略的个人信息保护条例。
我省个人信息保护立法应当遵循“规范收集,约束使用,预防、制裁滥用”的原则。
从内容体系来看,我省个人信息保护条例立法框架应分为总则(包括个人信息的定义、政府机构应履行的总体职责等方面)、个人信息的收集、个人信息的处理、个人信息的利用、监督管理、法律责任等六个方面。
建议立法应当着重从以下方面加以规范:
一、明确个人信息的定义与范围
应当明确个人信息的定义与范围,这有助于法律的实施。
建议采用“概括列举式”的方式对个人信息可作出定义。
这种概括列举式的规定具有一定的开放性,好处在于可以将随着科技发展而增加的个人信息类型纳入全面保护的范围。
《网络安全法》第76条正式在法律层面对于“个人信息”的含义予以了界定,为保持与上位法律概念的统一性,《广东省个人信息保护条例》采用了《网络安全法》中关于个人信息的界定。
如条例规定:
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
二、确立个人信息权
在中国之前的有关个人信息的立法之中,尚未明确提出公民个人信息权的相关规定。
从性质上讲,个人信息权是一种具体人格权,属于人身权的范畴,但是在大数据时代,个人信息还具有间接的财产权属性,为使公民的人格得到全面保护,我省个人信息保护立法时,可以结合欧美以及我国台湾地区的先进立法模式,率先确立个人信息权的概念。
《网络安全法》第43条以及49条赋予信息主体删除或者更正权,显然不足以概括个人信息的全部权利。
建议立法规定个人信息权时,可以采用击中列举式的规定,如个人信息权包括以下基本权利:
信息决定权、信息保密权、信息访问权、信息更正权、信息可携权、信息封锁权、信息删除权与被遗忘权等。
三、设立个人信息保护工作委员会
考虑到我省针对个人信息保护的监管执法机制滞后,存在“九龙治水”的局面,建议在立法中设立个人信息保护专门工作委员会,明确个人信息保护上不同政府机构的工作职责、范围,制定个人信息保护标准,引导企业开展个人信息保护工作。
鉴于《网络安全法》第八条第二款规定县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定,同时,大数据时代个人信息安全更多体现在网络安全上,建议个人信息保护工作委员会由省负责网络安全管理部门作为主导部门,电信、工商、公安等有关部门作为委员会的成员单位,各自根据工作职责开展工作。
四、建立个人信息规范、合理使用的制度
在大数据应用前景极为广阔的今天,应该为企业大数据应用留下空间,引导企业规范使用,而不能因噎废食,因限制过严导致企业无法开展大数据应用,公众也无法享受网络技术发展带来的便捷与进步。
因而,有必要规范个人信息的合理利用。
个人信息的合理使用,是指为履行与用户所订立合同目的,或者为保护用户之合法权益,按照最低必要限度原则收集个人信息,并诚实信用使用个人信用使用个人信息,包括身份验证,通知联络,履行合同订立的先合同义务以及履行合同后的附随义务等。
合理使用应当是非商业目的,并且不得违反法律的强制性规定。
由此,建议建立个人信息规范、合理使用制度,如在条例中确立在满足下面三个条件的前提下,允许企业采集、应用、存储、管理并销毁个人信息:
(1)经公示或者告知信息收集目的,收集、应用、存储和销毁规则,并且采取合理措施履行保护个人信息避免泄露和滥用;
(2)不披露具体个人的信息,也不能根据数据应用的结果反向联系或者确定到具体个人;(3)不违反隐私保护的强制性规定。
如有必要,也可以具体规定适当限制特殊行业领域对个人信息收集、应用,如:
(1)银行业和电信业采用的实名登记;
(2)医疗卫生行业对患者信息的获取;(3)新闻媒体行业的工作人员对违法者违法行为的曝光(新闻媒体应本着真实的基本原则进行核实,再未经当事人核实之前,不应播出);(4)政府部门对行政处罚行为的公开;(5)银行对个人征信信息的管理等;(6)快递行业应对快递单上的个人信息加密化处理。
此外,在政府公共管理方面,一些政府管理部门以维护社会诚信或“维稳”的理由推行各种“实名制”,影响群众生活。
针对实名制滥用问题,建议在《广东省个人信息保护条例》中规定只有那些涉及个人信用以及国家安全的情形才可以实行实名制,其他的情形不得滥用实名制,
五、建立个人信息收集使用登记制度以及追踪机制
建立个人信息数据库的同时也应该成立个人信息收集登记与追踪机制,方便信息主体对于个人信息进行更改与补充,确保信息的完整性与真实性。
《网络安全法》第四十二条第二款规定在发生或者可能发生个人信息泄露、毁损、丢失的情况时,网络运营者应当及时告知用户并向有关主管部门报告登记。
建议在《广东省个人信息保护条例》建立个人信息保护的登记制度,即有关单位在收集个人信息之前需要就个人信息的名称、内容、使用目的、期限、收集方法等向信息资源主管部门进行登记。
如此规定将使个人信息得以合理使用,也将起到为个人信息侵权案件提供有力证据,维护当事人合法权益的效果。
六、区分不同主体的个人信息保护标准
根据是否行使国家权力履行国家职责可将信息管理者划分为国家机关和非国家机关。
国家机关是指行使国家权力履行国家职责实现国家职能的社会组织。
非国家机关是指国家机关以外依目的事业或为业务进行而收集、处理和利用个人信息的自然人或法人。
由于国家机关收集、处理和利用个人信息具有强烈的公益性,因此,对国家机关和非国家机关收集、处理和利用个人信息的法律规制也有不同,表现在收集要件、利用目的、责任构成等方面。
非国家机关收集、处理和利用个人信息的条件比国家机关更为严格,这主要是出于保障国家机关顺利履行职责和公益的考虑;但其承担损害赔偿责任的条件与国家机关严格相比较为宽松,一般情况下国家机关承担无过错责任,而民事主体承担过错责任。
可以规定国家机关对信息主体的损害应承担无过错责任,非国家机关则承担过错推定责任。
七、设立个人信息跨境流通的监管制度
在现代社会,信息的跨境流通不仅是跨国企业运作、电子商务开展的重要基础,也是信息全球化的重要推动力量,而个人信息的跨境流通也己然不可避免。
在这种背景下,我省应当在兼顾个人信息的自由流通和信息安全的基础上,尽早明确信息跨境传输的相关规定,以保障我省公民的个人信息在境外能获得必要的保护。
为了保障个人信息的自由流通,在获得信息主体同意的情况下,原则上应允许公民个人信息被传输至境外。
但与此同时,为了保障公民个人信息的安全及公共利益,应当以例外条款的形式列明禁止个人信息跨境流通的若干情形,如规定:
向境外传输个人信息的,应当符合有关专门的法律法规规定。
如果接收地对个人信息提供的保护措施未达到我国法律规定的最低保护标准,或者向境外传输个人信息违反我国法律或公序良俗的,不得向境外传输个人信息。
八、完善侵犯个人信息行为的民事归责制度
鉴于刑事和行政手段的出发点主要是对侵权行为人进行惩罚而非对信息主体进行赔偿,我国应当完善个人信息侵权行为的民事归责制度,为信息主体提供全面的救济。
对此,我省在个人信息的后续立法过程中可以《消费者权益保护法(修订)》第50条中对侵犯“消费者个人信息依法得到保护的权利”所规定的民事责任为基础,对其加以修改并进行扩充。
首先,对于《消费者权益保护法(修订)》中规定的五项民事责任“停止侵权、恢复名誉、消除影响、赔礼道歉、要求赔偿损失”可以予以沿用,因为这是我国民事法律领域对于人格权进行救济的常用方式,且兼顾了对信息主体的金钱补偿;其次,由于在侵权过程中难以界定信息主体的损失,可以设定一个赔偿的上限,由法官在零至上限的区间内,综合考虑侵权人的获利情况、侵权的恶意、所侵犯个人信息的敏感程度、侵权行为给信息主体生活所带来的困扰等因素进行自由裁量。
这样一来,可以避免因无法举证自己的实际损失而打击信息主体依法维权的积极性。
升级会员 