多措並舉保護電信用戶個人信息安全
近年來,用戶個人信息安全問題日益嚴重,電信用戶個人信息洩露事件也屢屢見諸報端,引起了人們的高度關注。電信用戶個人信息一旦洩露,用戶將面臨垃圾短信、騷擾電話、電話欺詐等種種麻煩,給用戶的工作和生活帶來很大影響。而目前正在推行的電話用戶實名制,進一步加大了社會對電信用戶個人信息安全問題的擔憂。
電信用戶個人信息=公民個人信息?
有專家認為,公民個人信息是指現實生活中能識別特定公民個人的一切信息,包括姓名、年齡、體重、身高、檔案、醫療記錄、收入及消費、購買習慣、婚姻狀況、教育背景、家庭住址與電話號碼等。也有專家認為,公民個人信息是指以任何形式存在的、與公民個人存在關聯並可識別特定個人的信息,幾乎有關個人的一切信息、數據或者情況都可被認定為公民個人信息。關於電信用戶信息,根據工信部於2009年頒佈的《第三代移動通信服務規範(試行)》2.10條規定:本處所稱用戶信息,是指電信用戶的姓名或者名稱、有效證件號、住址、位置信息、用戶號碼、聯繫方式、交費賬號和通話清單等非通信內容。而根據《中國電信用戶信息管理指導意見》規定,中國電信用戶信息是指用戶向中國電信各級公司提供的與用戶相關的各種信息,以及在使用通信服務的過程中產生的各種通信記錄和消費記錄等非通信內容。具體包括個人與單位的身份信息、合作信息、通信信息和消費信息四個組成部分。
由此可知,電信用戶信息包括個人用戶信息和單位用戶信息兩個部分,而且均只包括非通信內容。對電信個人用戶而言,個人用戶信息是否等同於《刑法》規定的個人用戶的公民個人信息?筆者希望能保持統一的規定和解釋。
侵犯電信用戶個人信息的法律責任
用戶個人信息屬於用戶隱私,侵犯電信用戶個人信息屬於侵權行為,可能依法承擔相應的法律責任。
首先是民事責任。在2009年通過的《侵權責任法》頒佈之前,我國《民法通則》和最高人民法院相關司法解釋等均將隱私權納入名譽權的範疇進行法律保護。《侵權責任法》第一次明確將隱私權寫入法律。侵犯電信用戶個人信息可能承擔停止侵害、賠禮道歉、賠償損失等民事責任。當年弄得沸沸揚揚的昆明律師王衛甯訴昆明電信公司民事侵權一案,便是認為電信提供的來電顯示業務侵權了其隱私權。
其次是行政責任。工信部於2009年頒佈的《第三代移動通信服務規範(試行)》2.10條規定:電信業務經營者依照法律和有關規定對用戶資料負有保密義務。未經用戶同意,不得將用戶信息用於查詢服務或提供給第三方,不得洩露、刪除、篡改用戶信息。法律、行政法規另有規定的,從其規定。侵犯電信用戶個人信息,可能因損害消費者權益,違反消費者權益保護法律規定和電信相關監管規定,而遭受工商、通信管理等部門的行政查處。
最後還有刑事責任。針對日益嚴重的公民個人信息洩露問題,2009年2月28日頒佈實施的《刑法修正案(七)》新增了“出售公民個人信息罪”和“非法獲取公民個人信息罪”兩項新的罪名。該罪新設後,已經發生數起因侵犯電信用戶個人信息而被追究刑事責任的案件。
多舉措保護電信用戶個人信息安全
首先,要加強宣傳教育,提高保護用戶個人信息安全的法律意識。歐盟ENISA(EuropeanNetworkandInformationSecurityAgency歐洲網絡與信息安全局)在一份題為《提高信息安全意識(AwarenessRaising)》的文件中指出:“大量的研究報告表明,在所有的信息安全系統框架中,人這個要素往往是其最薄弱的環節。只有革新人們陳舊的安全觀念和認知文化,才能真正減少信息安全可能存在的隱患。”“具備高度信息安全意識的個人和有效的安全措施,被視作信息系統和網絡安全的第一道防線。因此,信息安全體系的所有參與者,包括信息技術業內人士、與信息安全攸關的利益方,以及信息系統的最終用戶群乃至用戶個體,都應擔負起提高安全意識,維護信息安全的責任。”為創造尊重和保護用戶個人信息安全的企業文化和經營環境,有必要加大相關宣傳教育力度,堅持以服務為首、以客戶感知為本的經營觀念,增強廣大員工特別是有機會接觸用戶個人信息的關鍵崗位員工以及企業經營管理人員的信息安全意識。
其次,要提高技術手段,完善相關信息管理系統。電信業是一個高度IT化的行業,大量的用戶個人信息通過計算機網絡進行存儲和傳輸,對企業信息系統安全提出了極大的挑戰。對電信企業而言,堵住人為漏洞可用制度,而堵住技術本身的漏洞,最好使用技術。電信運營商要加強新產品新技術的應用推廣,不斷完善信息系統安全設備諸如防火牆、VPN、入侵檢測系統、防病毒系統、認證系統等的性能,強化應用數據的存取和審計功能,確保系統中的用戶個人信息得到更加穩妥的安全技術防護。
再次,要梳理完善用戶個人信息安全管理制度和流程,構建全面有效的用戶個人信息安全保護機制。電信行業的特殊性和複雜性,造成了接觸用戶個人信息的部門和環節眾多,加大了安全防範風險。為建立全面有效的用戶個人信息安全保護機制,需要企業業務受理、客戶服務、運行維護、信息計費、人力資源、保密管理、法律事務等部門的密切配合,制定完善相關規章制度並嚴格執行。例如將用戶個人信息安全工作納入公司保密工作體系,在各級網絡、計費、賬務、業務平臺及電子渠道等後臺部門建立健全有關保障用戶個人信息安全的規章制度,嚴格管理後臺維護人員對用戶個人信息的訪問。
最後,要建立健全侵犯用戶個人信息的應急處理機制,確保在用戶個人信息發生洩露時,企業能迅速反應、妥善處理,將影響和損失降到最小,保證企業各項業務持續穩定開展。
|
搜索:通過此功能可以快速搜索本站內容.