个人信息保护

个人信息保护

摘要：随着个人信息侵权事件的频繁发生，有关个人信息保护的立法问题也成为学界关注的焦点，而对于个人信息权的保护模式一直是理论界关注的焦点之一。本文通过对美国和德国两国的个人信息权保护模式的分析，提出对我国个人信息权保护模式应选择人格权保护模式，将其确定为一项具体人格权加以保护。关键词：个人信息个人信息权保护模式

日常生活中，我们经常遇到这样的事情：超市开业，会员卡会莫名其妙地寄到了家里；新房刚拿到钥匙，就有装修公司跟踪而至；新车刚买，就接到电话，询问是否需要购买车辆保险等等。大量的个人信息在不知不觉中被收集、利用，现代人因此而成为“透明人”或“半透明人”，而个人信息保护制度的缺失使人们的工作和生活受到了严重影响，09年央视3.15晚会上的分众传媒“短信门”事件更提醒我们加强个人信息保护已经刻不容缓。因此，个人信息的法律保护就成为法律亟需解决的一个问题。虽然我国从2005年就已经开始将个人信息保护法纳入立法日程，但至今尚未出台，而对个人信息相关问题的争论在理论界也从未停止，对个人信息权保护模式的选择理论界也存在颇多争议，本文将对此进行探讨，发表本人一点浅薄的看法。

一、个人信息权

（一）个人信息

个人信息是指可以识别出信息主体本人的一切信息的总和，包括了信息主体生理信息、心理信息、智力信息以及有关信息主体个体的信息、社会的信息、经济的信息、文化的信息、家庭的信息等等。对于个人信息,学界有不同的称谓,有的称为个人隐私,有的称为个人资料(数据),下面对这三个概念进行一下比较.

1.个人信息与个人隐私

隐私是近年来在我们生活中频繁出现的词语，一般是指不愿告诉别人的或不想公开的个人的事情，或者说与公共利益无关的个人私生活秘密方面的事情。“个人隐私”与“个人信息”最大的区别在于范围上的差异，个人信息的范围大于个人隐私，即“个人信息”包含“个人隐私”，个人隐私是个人信息的下位概念，是个人信息的一部分。如个人的手机号码、家庭住址、医药档案、职业等,这些也许算不上隐私，但都属于个人信息的范畴。如果我们在立法中选择“个人隐私”的概念，那就表示法律仅保护个人信息中涉及个人隐私的信息，而不保护不涉及

个人隐私的信息。法律对个人信息的保护，应是对满足一定条件的全部个人信息进行保护，并不限于隐私利益。因此，“个人隐私”的概念是不可取的。

2.个人信息与个人资料（数据）

“资料”和“数据”的英文均为“Data”，指用有意义的、可以识别的符号对客观事物加以表示而得到的符号序列，是代表人、事、时、地的一种符号序列（不以文字为限)。信息的英文是“Information”，指资料（数据）经过处理后可以为人所用的内容。资料（数据）与信息的区别主要在于：资料侧重于客观的外在形式，信息注重于资料（数据）反映的内容与人的互动关系，即资料（数据）作用于人的大脑所形成的认识。从资料（数据）与信息的内在关系看，资料（数据）是信息的载体，信息是资料（数据）表现的内容。[1]同时，我们可以看到个人信息的存在方式和表现方式也是多种多样的，并不一定必然表现为个人资料（数据），没有物化成个人资料的信息比比皆是，如一个人自然流露出的个人属性信息。通过上面的比较可以看出,个人信息的范围大于个人资料，而且保护个人资料（数据）的目的并不在于保护资料（数据）本身，而在于保护个人信息主体的权利。因此从这个意义上说，使用“个人信息”更能体现人文关怀。

（二）个人信息权

1.概念

个人信息权是个人信息的拥有者对个人信息所享有的支配、控制并排除他人侵害的权利。随着世界和我国信息化步伐的加快，个人信息被越来越广泛地控制、处理和利用，在个人信息使用过程中如何保护信息主体的合法权益不受侵害就成为立法者所关注的问题。因此，个人信息权的概念就应运而生了。在法律中确立个人信息权的目的在于：使信息主体能够实现个人信息利益，排除他人干涉，并对非法侵害个人信息的行为提供法律救济。

个人信息权具有以下特征:

(1)个人信息权的主体是个人信息的拥有者本人,也就是产生个人信息的自然人。法人是否应为个人信息权的主体，理论界存在争议，但学界一般认为法人并不存在与自然人一样的人格权，不应作为个人信息权的主体。[2]笔者也赞同此观点。法人信息大致可分为两部分，一为原则上应对外公开的信息，如法人的名称、专利、商标等，各国公司法、证券法等商事法规已有明文规定并已建立起相应的制度。二为原则上不对外公开的信息，如法人的商业秘密。各国或有专门

立法予以保护，或通过反不正当竞争法予以规制。因此，个人信息保护法没有必要对法人信息再次作出调整。

(2)个人信息权的客体是信息主体所拥有的个人信息，其具体范围需要由法律进行具体界定。如果在法律中没有明确界定个人信息权的范围，则可能会影响个人信息正常的传播和利用。

(3)个人信息权的内容是拥有个人信息的信息主体对其个人信息的控制权，一般包括：个人信息决定权（即直接控制与支配其个人信息否被收集、处理与利用的权利）、信息保密权（请求信息处理主体保持信息隐秘性的权利）、信息查询权（本人可以查询其信息及处理情况，并要求答复的权利）、信息更正权（对个人信息更正补充的权利）、信息封锁权（特定情形出现时本人可以要求信息处理主体暂时停止信息的处理与利用的权利）、信息删除权（特定情形出现时信息主体请求删除其个人信息的权利）、信息报酬请求权（个人信息被商业性利用时请求支付对价的权利）等。

2.个人信息权的性质

关于个人信息权的性质，学界普遍认为它是一种民事权利，但对其应当纳物权的范畴还是人格权的范畴，存在着较大的争议。有学者认为个人信息是物的一种形式，个人信息权属于物权的范畴；[3]也有人认为，个人信息的收集、处理与利用涉及个人的人格尊严，个人信息所体现的利益是公民人格利益的一部分，这一利益是一种独立的、新型的法律利益，应该被赋予新的权利，这一权利就是资料权。[4]

不可否认，个人信息进行商业运用时会产生一定的财产价值，但是不能因为其具有财产价值就将个人信息权定性为物权。在民法领域，在确定权利的性质时，一般以直接保护的常态利益为标准，而不考虑“转化”问题。因此，如果直接保护的常态利益为财产利益，我们就认定为财产权，为身份利益就认定为身份权，为人格利益的就认定为人格权。从个人信息权的内容来看，个人信息权直接保护的利益是人格利益，虽然个人信息权的客体在一定条件下也会体现一定的财产利益，对个人信息权的保护也包含对主体财产利益的保护，但并不能掩盖其作为人格权的基本性质，其仍属于人格权范畴，只不过是一种具有财产利益的人格权。从权利归属来看，资料权属于人格权的一种，人格权是资料权的上位权利。因此，个人信息权从性质上说应是一种人格权。

二、国外个人信息保护模式

从世界上看，目前已有50多个国家建立起了比较完善的个人信息法律保护体系，而由于法律体系的不同以及法律理念的差异，各国分别采用了不同的保护模式。法律渊源、法律制度和理论等方面存在着广泛的差异，而这种差异也体现在个人信息保护法制上。如英美法系的代表——美国以隐私权作为个人信息保护的民法基础和核心制度，采间接保护模式，而大陆法系的代表——德国则以一般人格权为民法基础，采用以本人个人信息权为核心的直接保护模式。下面对美国和德国两国的个人信息保护模式作一下分析。

（一）美国隐私权保护模式

1890年，美国人萨缪尔.D.沃伦和路易斯.D.布兰戴斯在《哈佛法学评论》上发表的著名的《论隐私权》一文，从此揭开了法学研究、立法和司法的一个新篇章[5]。此后，隐私权理论在美国一直处于不断的发展过程中，并通过判例确认隐私权为一项独立的权利，通过侵权行为法进行保护。在美国宪法中没有隐私权的明确规定，但宪法修正案第四条隐含了保护公民隐私权之一部分——宁静生活的内容，第五条涉及公民的自由权，因此也通常被解释为隐含了保护公民隐私的内容。

20世纪六七十年代后，美国隐私权不断向成文法扩张。例如，1970年《公平信用报告法》，1974年《隐私权法》，1974年《家庭教育权利及隐私权法》，1978年《财物隐私权法》，1980年《隐私保护法》，1984年《有线通讯政策法》，1986年《电子通讯隐私权法》，1988年《电脑比对和隐私权保护法》，1988年《员工测谎保护法》，1988年《录影带隐私权保护法》，1991年《电话消费者保护法》，1994年《驾驶人隐私保护法》，1996年《健保便利性及可说明性法案》1998年《儿童线上隐私保护法》，1999年《金融服务现代化法案》等。对公民的隐私权保护则比较集中的反映在侵权行为法领域，法院通过大量的判断确立了隐私权的基本制度。为全面保护公民的隐私利益，隐私权的范围也不断扩张，涵盖了婚姻生育、避孕、堕胎、家庭关系、对子女的养育与教育等活动。

根植于英美法传统的美国隐私权是一个调整所有的精神性人格利益和部分物质人格利益的框架性权利，在美国隐私权是作为一种保持人格完整独立、人格不受侵犯的权利而存在的。在美国法上，隐私权所保障的就是个人人格不受侵犯。随着信息时代的到来，美国隐私权由消极隐私权向积极隐私权转化，产生了信息

隐私权的概念，信息隐私权是指自然人对其个人信息保密、公开和支配控制享有的隐私权。其主要涉及两方面内容:(1)对个人信息保密、公开和利用的利益。(2)支配、控制已公开的个人信息的利益。美国对个人信息的保护除了侵权行为法和普通法外，主要是通过一系列的单项成文法，从义务角度调整和规范个人信息的收集、利用、处理行为，并赋予信息主体在某些特定领域对其个人信息的积极请求权。如《家庭教育权和隐私权法》规定18周岁以下的学生的父母、18周岁以上的学生本人有权检查、要求修改教育机构公布的学生的个人信息。

综上，在美国隐私权是作为一种保持人格完整和独立人格不受侵犯的权利而存在，是全面保护个人人格的法律制度，是美国的人格权制度。其不仅包括身体、生命、生育等物质具体人格权的部分内容，还包括姓名、肖像、隐私、甚至是知识产权中的人格权等具体的精神性人格权的内容，它是“口袋权利”，可以包容保护自然人的一切权利。美国就是通过这种独具特色的隐私权制度，为个人信息的保护提供了权利基础。

（二）德国一般人格权保护模式

德国民法中的一般人格权制度是建立个人信息保护的重要民法基础。1954年，德联邦最高法院在“读者来信案”中确立了一般人格权，从此，一般人格权作为德国民法的一项重要制度影响着人格权的发展。一般人格权作为一项民事权利，包括名誉领域(保护名誉免受陈述事实发表言论的伤害)、隐私领域(保护隐私信息不被非法收集)、秘密领域(保护个人信息不被非法公开、传播或擅自使用)以及其他人格权益领域。在德国侵害这些精神性具体人格权领域的行为并不当然具有违法性，其违法性的确定必须根据一套严格的规则来进行。[1]对于个人信息的保护，德国在最初的理论和立法上，曾经一度接受了美国的隐私权理论。1977年德国《个人资料保护法》规定，个人资料保护的目的在于保护隐私。随着个人信息保护在德国的深入开展,隐私权保护模式逐渐暴露出与德国大陆法体系不相容的弊病。关于修改法律的呼声此起彼伏。1983年德国联邦宪法法院通过“人口普查案”判决推翻了隐私权理论，确立了信息自决权。信息自决权突破了以往的一般人格权范围，在维护主体人性尊严与自由发展的基础上，赋予了主体有作为和不作为的自由决定权，在消极防御性的一般人格权上增加了“积极请求权”的权能，在事后保护的基础上为人格利益设置保护程序，这一规定更有利于防范信息时代信息处理与利用给个信息带来的威胁。但是，由联邦基本

法衍生出来的信息自决权过于抽象，而且受到一般人格权制度的影响，在适用中多采用利益衡量法，保护标准多基于道德规范，在司法实务中引起许多矛盾和不确定。为此，德国制定了专门的《个人资料保护法》，对个人信息进行专门保护，信息主体对其个人信息享有知悉权、更正权、删除权、封锁权、自动化决策权和禁止直接营销权，且主要针对公务机关和非公务机关的信息处理，为私人目的或家居目的的信息处理不在调整之列。

由于个人信息权体现的是自然人的人格利益，个人信息的收集、处理或利用直接关系到信息主体的人格尊严，因而德国法将其纳入民法中的一般人格权保护体系予以保护。

三、我国个人信息权保护模式的选择

（一）隐私权保护模式不能成为我国的选择

如前所述，个人信息权直接保护的利益是人格利益，个人信息权虽然在某些方面具有财产权的特征，但并不能因此掩盖其作为人格权的本质属性，因而应将其确立为人格权。那么我国是否应采用隐私权保护模式对个人信息权进行保护呢？从我国民法典草案来看，对个人信息权的保护主要集中于隐私保护条款中，但笔者认为隐私权保护模式不适合我国，理由如下：

第一，隐私权与个人信息概念本身存在着差异。（1）从特征上看，虽然目前在理论界对隐私权的内容和范围仍存在争议，但一般都认为“不愿为他人所知晓”是隐私权的基本特征，而个人信息的概念特征在于“识别”，即通过个人信息能够将信息主体“认出来”。[6]例如个人姓名、肖像、学号等是个人信息，但却不是隐私；（2）从权利内容上看，隐私权不直接表现为财产利益，而个人信息权在行使过程中往往体现了直接或间接的财产利益。（3）从权利的表现方式来看，隐私权一般表现为消极的不受侵害的权利，相对人仅在法律规定的范围内负有不作为的义务，而个人信息权在很多情况下都表现为该个人对其信息予以自由支配和控制的积极性权利，信息主体能够完全基于自己的意思自由地行使该权利，该权利表现为确认、了解个人信息的储存、利用与流通情况，并排除第三人对信息的不法侵害。（4）从权利的行使来看，隐私权是与人身密不可分的，隐私权不能转让，不能作为交易的客体，而个人信息权的显著特征就是个人信息能够进行商业交易并产生财产利益。[7]（5）从救济方式来看，对隐私权的保护通常是采用事后救济的方式实现的，而对个人信息的保护则是采用事前防范和事后救济相结合的

方式达到的。[8]

第二，美国法上的隐私权在范围和内容上与大陆法系国家的隐私权是不同的。美国法上的隐私权观念，实质上相当于大陆法系的一般人格权。在大陆法系国家，无论是理论界还是立法上隐私权都是法律所保护的具体人格权之一种，是与健康权、贞操权、名誉权、信用权等具体人格权相并列的一种人格权。美国法中的隐私权的范围和内容远远超过大陆法系中隐私权的内容。此外，美国采用隐私权模式有其历史传统，它能够通过行业自律实现个人信息的保护，但它的这种发达的行业自律机制是我国无法企及的。

第三，在隐私的认定上也不具有文化上的差异性，此隐私非彼隐私。由于我国的历史、文化背景与国外不同，风俗习惯也存在很大差异，在外国人眼里属于隐私的资料，在国人眼中往往是饭后闲谈碎语的佐料。即使是现在，中国大陆和香港、台湾地区在隐私的概念上也有较大的差异。

此外，美国由于其独特的法律体系，使得隐私保护显得格外的错综复杂。宪法、联邦法规、判例法各有各的保护方式，各有各的侧重点。信息隐私的保护呈现的最明显的特征就是“条块分割”。不同类的信息由不同的法律管辖，不同机构涉及个人信息的行为也由不同法律管辖。[9]这种分散式的立法模式与我国大陆法系成文法的传统是相悖的，德国法放弃隐私权的理念转求人格权理论，也说明了这一点。因而美国隐私权保护模式不能成为我国个人信息保护立法的选择。

综上，隐私权保护模式不能成为我国的立法选择。

（二）一般人格权保护模式也不适合我国

那么，德国的一般人格权保护模式是否适合我国呢？

首先，从权利性质来看，一般人格权是对具体人格权的一种补充，当遇到侵害个人人格利益时，首先应当适用具体人格权，不能适用时才能运用一般人格权来予以保护。当然，一般人格权还有权利创设的功能，它为生成具体人格权提供了前提条件或温床，可以使某些具体人格利益先依一般人格权受到保护，在成熟后，再提升为具体人格权。

[10]但是从目前个人信息权的发展来看，个人信息权的内容越来越丰富、范围越来越广泛，即使在有着完整的一般人格权制度的德国，由于一般人格权制度的难以确定性，最终也不得不制定了专门的《个人资料保护法》，对个人信息进行专门保护，因此，在我国一般人格权制度不太健全的情况下，采用一般人格权制度

无法达到保护个人信息权的目的。其次，从权利的行使情况来看，一般人格权与人身密不可分，不得抛弃，不得转让，不得作为交易的客体，而个人信息权的一个显著特点就是个人信息能够作为商业交易的对象，而且在市场经济条件下，个人信息的商业价值越来越高。因此，用一般人格权的方式来保护个人信息权既不能充分体现个人信息的独特性，也不能给个人信息提供有针对性的有效保护。

此外，德国法中将个人资料列为了一般人格权的调整对象,这是基于德国的国情和法律传统,因此具有了一定的合理性。但是在我国将并未建立起一套完整的一般人格权保护制度作为个人信息保护的基础。而且从个人信息权的发展来看，个人信息权的内容越来越丰富、范围越来越广泛，在我国一般人格权制度不太健全的情况下，采用一般人格权模式无法达到保护个人信息权的目的。采用一般人格权的方式来保护个人信息权既不能充分体现个人信息的独特性，也不能给个人信息提供有针对性的有效保护，因此笔者认为一般人格权保护模式也不适合我国。

（三）我国个人信息权保护模式的选择

如前所述，个人信息权是一项独立的内涵丰富的人格权，在我国采用“隐私权”或一般人格权理论均无法对其实现充分的保护。此外个人信息权与民法中的姓名权、肖像权和名誉权虽有着一些重合，但这些既有的具体人格权利不能包含个人信息权的所有内容。我国《民法通则》第99条、第100条和第101分别对公民的姓名权、肖像权和名誉权作了规定，第120条规定：“公民的姓名权、肖像权、名誉权、荣誉权受到侵害的，有权要求停止侵害，恢复名誉，消除影响，赔礼道歉，并可以要求赔偿损失。”可以认为，公民有关姓名、肖像和名誉的个人信息受到侵害时，可通过侵权行为法对这些具体的人格权进行保护。但是，《民法通则》以上规定的初衷是为了保护姓名权、肖像权、名誉权这些具体人格利益，并不是为了保护个人这些方面的信息权利，且个人信息的范围远远宽于以上这些具体人格权的范围，这种附带式的保护不能对个人信息提供有效而全面的保护。

[11]

另外，隐私权对于个人信息的保护仅仅局限于个人信息中那些个人敏感信息和当事人不愿公开的个人信息，但诸如姓名、性别等这些显而易见的个人信息却不在保护之列，这种保护远远不能满足现代社会对个人信息保护的需要。虽然个人信息权和隐私权对于个人信息的保护有交叉重复的地方，但个人信息的收集、

处理与利用涉及到个人对其信息的支配、控制的权利与自由，其所体现的利益是一种新型的法律利益，已非传统的隐私权制度所能包容。

鉴于个人信息权独特的人格利益属性，笔者认为在我国对个人信息权的保护应采取民法基本规定与专门立法相结合的形式，即在未来民法典中应确立个人信息权的人格权地位，将个人信息权确立为区别于其他具体人格权的专门的具体人格权，确定其权利内容包括信息决定权、信息保密权、信息查询权、信息更正权、信息封锁权、信息删除权和报酬请求权。在此基础上，制定专门的个人信息保护法，对个人信息的相关问题作出全面规定。只有这样，才能对信息主体的权利提供周到的保护。

应该如何保护我们个人信息安全

1.应该如何保护我们个人信息安全？ 对于个人的自我保护是网络隐私权保护第一重要环节。网民进行保护网络隐私权的方式有很多。 一是将个人信息与互联网隔离。当某计算机中有重要资料时，最安全的办法就是将该计算机与其他上网的计算机切断连接。这样，可以有效避免被入侵的个人数据隐私权侵害和数据库的删除、修改等带来的经济损失。换句话说，网民用来上网的计算机里最好不要存放重要个人信息。这也是目前很多单位通行的做法。 二是传输涉及个人信息的文件时，使用加密技术。在计算机通讯中，采用密码技术将信息隐蔽起来，再将隐蔽后的信息传输出去，使信息在传输过程中即使被窃取或截获，窃取者也不能了解信息的内容，发送方使用加密密钥，通过加密设备或算法，将信息加密后发送出去。接收方在收到密文后，使用解密密钥将密文解密，恢复为明文。如果传输中有人窃取，他也只能得到无法理解的密文，从而保证信息传输的安全。 三是不要轻易在网络上留下个人信息。网民应该非常小心保护自己的资料，不要随便在网络上泄露包括电子邮箱等个人资料。现在，一些网站要求网民通过登记来获得某些“会员”服务，还有一些网站通过赠品等方式鼓励网民留下个人资料。网民对此应该十分注意，要养成保密的习惯，仅仅因为表单或应用程序要求填写私人信息并不意味着你应该自动泄漏这些信息。如果喜欢的话，可以化被动为主动，用一些虚假信息来应付对个人信息的过分要求。当被要求中输入数据时，可以简单地改动姓名、邮政编号、社会保险号的几个字母，这就会使输入的信息跟虚假的身份相联系，从而抵制了数据挖掘和特征测验技术。对唯一标识身份类的个人信息应该更加小心翼翼，不要轻易泄漏。这些信息应该只限于在在线银行业务、护照重新申请或者跟可信的公司和机构打交道的事务中使用。即使一定要留下个人资料，在填写时也应先确定网站上是否具有保护网民隐私安全的政策和措施。 四是在计算机系统中安装防火墙。防火墙是一种确保网络安全的方法。防火墙可以被安装在一个单独的路由器中，用来过滤不想要的信息包，也可以被安装在路由器和主机中。在保护网络隐私权方面，防火墙主要起着保护个人数据安全和个人网络空间不受到非法侵入和攻击等作用。 五是利用软件，反制Cookie和彻底删除档案文件。如前所述，建立Cookie 信息的网站，可以凭借浏览器来读取网民的个人信息，跟踪并收集网民的上网习惯，对个人隐私权造成威胁和侵害。网民可以采取一些软件技术，来反制Cookie软件。另外，由于一些网站会传送一些不必要的信息给网络使用者的计算机中，因此，网民也可以通过每次上网后清除暂存在内存里的资料，从而保护自己的网络隐私权。 六是针对未成年人的网络隐私保护，除了对未成年人进行隐私知识和媒介素养教育外，应在家长或监护人的帮助下，借助相关的软件技术进行。

信息安全技术 公共及商用服务信息系统个人信息保护指南

信息安全技术公共及商用服务信息系统个人信息保护指南 随着信息技术的广泛应用和互联网的不断普及，个人信息在社会、经济活动中的地位日益凸显，滥用个人信息的现象随之出现，给社会秩序和个人切身利益带来了危害。为促进个人信息的合理利用，指导和规范利用信息系统处理个人信息的活动，制定本指导性技术文件。 信息安全技术公共及商用服务信息系统个人信息保护指南 1 范围 本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程，为信息系统中个人信息处理不同阶段的个人信息保护提供指导。 本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构，如电信、金融、医疗等领域的服务机构，开展信息系统中的个人信息保护工作。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 20269-2006 信息安全技术信息系统安全管理要求 GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南 3术语和定义 GB/T 20269-2006 和GB/Z 20986-2007中界定的以及下列术语和定义适用于本技术性指导文件。 3.1 信息系统information system 即计算机信息系统，由计算机（含移动通信终端）及其相关的和配套的设备、设施（含网络）构成，能够按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理。 3.2 个人信息personal information 可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。 3.3 个人信息主体subject of personal information 个人信息指向的自然人。 3.4 个人信息管理者administrator of personal information 决定个人信息处理的目的和方式，实际控制个人信息并利用信息系统处理个人信息的组织和机构。 3.5 个人信息获得者receiver of personal information 从信息系统获取个人信息的个人、组织和机构，依据个人信息主体的意愿对获得的个人信息进行处理。 3.6 第三方测评机构third party testing and evaluation agency

电信和互联网用户个人信息保护规定

电信和互联网用户个人信息保护规定 （2013年6月28日中华人民共和国工业和信息化部第2次部务会议审议通过2013 年7月16日中华人民共和国工业和信息化部第24号令公布自2013年9月1日起施行） 第一章总则 第一条为了保护电信和互联网用户的合法权益，维护网络信息安全，根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规，制定本规定。 第二条在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动，适用本规定。 第三条工业和信息化部和各省、自治区、直辖市通信管理局（以下统称电信管理机构）依法对电信和互联网用户个人信息保护工作实施监督管理。 第四条本规定所称用户个人信息，是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。 第五条电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息，应当遵循合法、正当、必要的原则。 第六条电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。 第七条国家鼓励电信和互联网行业开展用户个人信息保护自律工作。 第二章信息收集和使用规范 第八条电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则，并在其经营或者服务场所、网站等予以公布。 第九条未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。 电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项。 电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。

国外个人信息保护或隐私保护法规汇总

国外在企业收集、利用公众信息方面的 政策、措施、规定、法规。 一、美国 1.《隐私权法》 1974 年12 月31 日, 美国参众两院通过了《隐私权法》（Privacy Act）1, 1979 年, 美国第96届国会修订《联邦行政程序法》时将其编入《美国法典》。该法又称《私生活秘密法》, 是美国行政法中保护公民隐私权和了解权的一项重要法律。就“行政机关”对个人信息的采集、使用、公开和保密问题作出详细规定, 以此规范联邦政府处理个人信息的行为, 平衡公共利益与个人隐私权之间的矛盾。2该法中的“行政机关”, 包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司, 以及行政部门的其他机构, 包括总统执行机构在内。该法也适用于不受总统控制的独立行政机关, 但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。该法中的“记录”, 是指包含在某一记录系统中的个人记录。个人记录是指“行政机关根据公民的姓名或其他标识而记载的一项或一组信息”。其中, “其他标识”包括别名、相片、指纹、音纹、社会保障号码、护照号码、汽车执照号码, 以及其他一切能够用于识别某一特定个人的标识。个人记录涉及教育、经济活动、医疗史、工作履历以及其他一切关于个人情况的记载。 《隐私权法》规定了行政机关“记录”的收集、登记、公开、保存等方面应遵守的准则。 2.《电子通讯隐私法》 到目前为止，美国并没有一部综合性法典对个人信息的隐私权提供保护，主2摘自《情报科学》，周健：美国《隐私权法》与公民个人信息保护

要依靠联邦和州政府制定的各种类型的隐私和安全条例。其中最为重要的条例是1986 年颁布的《电子通讯隐私法》（The Electronic Communication Privacy Act，简称ECPA）3。 尽管《电子通讯隐私法》还存在不足，但它是目前有关保护网络上的个人信息最全面的一部数据保护立法。《电子通讯隐私法》涵盖了声音通讯、文本和数字化形象的传输等所有形式的数字化通讯，它不仅禁止政府部门未经授权的窃听，而且禁止所有个人和企业对通讯内容的窃听，同时还禁止对存贮于电脑系统中的通讯信息未经授权的访问及对传输中的信息未经授权的拦截。 3.《金融服务现代化法案》 Financial Services Modernization Act of 1999，也就是格雷姆-里奇-比利雷法（Gramm-Leach-Bliley Act，GLB Act）4，它规定了金融机构处理个人私密信息的方式。这部法案包括三部分：金融秘密规则（Financial Privacy Rule），它管理私密金融信息的收集和公开；安全维护规则（Safeguards Rule），它规定金融机构必须实行安全计划来保护这些信息；借口防备规定（Pretexting provisions），它禁止使用借口的行为（使用虚假的借口来访问私密信息）。这部法律还要求金融机构给顾客一个书面的保密协议，以说明他们的信息共享机制。 4、《儿童在线隐私权保护法案》 The Children’s Online Privacy Protection Act,，简称COPPA5，它规定网站经营者必须向父母提供隐私权保护政策的通知，以儿童为目标的网站必须在网站主页上或是从儿童处收集信息的每一网页上提供链接连接到此通知。它还详细规定了网站对13 岁以下儿童个人信息的收集和处理。 3摘自

保护客户信息心得体会

保护客户信息心得体会 客户的信息关系着个人的隐私权，下面就是小编为您收集整理的保护客户信息心得体会的相关文章，希望可以帮到您，如果你觉得不错的话可以分享给更多小伙伴哦！ 保护客户信息心得体会一一、商业银行个人客户信息保护的现状分析 1、我国商业银行个人客户信息保护的法律现状 商业银行是金融服务机构，在提供服务的同时，不可避免的接触到客户的个人隐私，对于客户信息的保护，商业银行自然存在着一定的责任。而客户信息作为客户重要的个人隐私，必然受到国家相应法律法规的保护。为了清楚地划分权利和义务，我国制订了相应的法律法规。其中，1995 年颁布了《中华人民共和国商业银行法》，规定了银行办理个人业务遵循保密原则以及违反保密原则所需要付出的相关法律责任。随后，XX 年的《刑法修正案(七)》又规定了对公民个人信息非法泄露属于犯罪，并规定了相应的处罚政策。除了以上规定的法律以外，中国人民银行还制订了相应的规定。XX 年，中国人民银行就印发了《关于银行业金融机构做好个人金融信息保护工作的通知》，其中明确规定了金融机构对个人信息的监管要求。同时，我国在银行卡及账户管理业务监管规定上明确指出发卡银行对持卡人的资信资料负有保密的责任。为保护商业银行个人客户信息制订的法律

法规，一方面有利于银行取信于民，另一方面也是对银行的强制规定，有利于对客户个人隐私的保护。 2、商业银行个人客户信息保护的现实情况 目前，我国商业银行对个人客户信息的使用大致分为三种，一是银行内部对信息的使用;二是银行界相互使用客户信息;三是因业务需要提供给第三方。第一种，因为银行内部开展业务的需要，在各个业务部门之间共享客户信息。银行对信息实行严格控制，银行信息保护率极高。第二种，在各个银行之间，为了银行业务的需要，比如转账业务、境内外交易等，银行之间需要共享客户信息。这种使用方式因为存在跨不同银行或跨境信息共享，信息的保护可能会存在漏洞，需要设立一定的监管制度。第三种，当银行与第三方进行业务交流与合作的时候，比如和以支付宝为主的第三方网络平台进行合作的时候，可能存在与第三方共享客户信息的情况。在这种情况下，因为信息可能会脱离银行监控，客户信息的泄露和滥用的机率大大增强，客户信息的保护会受到极大的挑战。 二、商业银行个人客户信息保护存在的问题 1、缺乏法治理念 我国在XX 年《侵权责任法》颁布以后，隐私权才被正式作为一项独立的法律权利。隐私权是公民一项重要权利，公民依法享有。隐私权的设立，是历史的要求，更是人民的

微博个人信息保护政策

1.微博个人信息保护政策 为切实保护微博用户隐私权，优化用户体验，新浪公司根据现行法规及政策，制定本《个人信息保护政策》。本《个人信息保护政策》将详细说明微博在获取、管理及保护用户个人信息方面的政策及措施。本《个人信息保护政策》适用于微博向您提供的所有服务，无论您是通过计算机设备、移动终端或其他设备获得的微博服务。 2.个人信息的收集 您已知悉且同意，在您注册微博或使用微博提供的服务时，微博将记录您提供的相关个人信息，如：、手机等，上述个人信息是您获得微博提供服务的基础。同时，基于优化用户体验之目的，微博会获取与提升微博服务有关的其他信息，例如当您访问微博时，我们可能会收集哪些服务的受欢迎程度、浏览器软件信息等以便优化我们的服务。 3.个人信息的管理 为了向您提供更好的服务或产品，微博会在下述情形使用您的个人信息： 1)根据相关法律法规的要求； 2)根据您的授权； 3)根据微博相关服务条款、应用许可使用协议的约定。 此外，您已知悉并同意：在现行法律法规允许的围，微博可能会将您非隐私的个人信息用于市场营销，使用方式包括但不限于：在微博平台中向您展示或提供广告和促销资料，向您通告或推荐微博的服务或产品信息，以及其他此类根据您使用微博服务或产品的情况所认为您可能会感兴趣的信息。其中也包括您在采取授权等某动作时选择分享的信息，例如当您新增朋友、在动态中新增地标、使用微博的联络人汇入工具等。 未经您本人允许，微博不会向任何第三方披露您的个人信息，下列情形除外： 1)微博已经取得您或您监护人的授权； 2)司法机关或行政机关给予法定程序要求微博披露的； 3)微博为维护自身合法权益而向用户提起诉讼或仲裁时； 4)根据您与微博相关服务条款、应用许可使用协议的约定； 5)法律法规规定的其他情形。 4.个人信息的保护 微博将尽一切合理努力保护其获得的用户个人信息。为防止用户个人信息在意外的、未经授权的情况下被非法访问、复制、修改、传送、遗失、破坏、处理或使用，微博已经并将继续采取以下措施保护您的个人信息： 1)以适当的方式对用户的个人信息进行加密处理； 2)在适当的位置使用密码对用户个人信息进行保护；

互联网个人信息安全保护指南

互联网个人信息安全保护指南 前言 为有效防范侵犯公民个人信息违法行为，保障网络数据安全和公民合法权益，公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握 的情况，组织北京市网络行业协会和公安部第三研究所等单位相关专家，研究起草了《互联网个人信息安全保护指南》，供互联网服务单位在个人信息保护工作中参考借鉴。 1范围 本文件制定了个人信息安全保护的管理机制、安全技术措施和业务流程。 适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作 参考使用。本文件适用于通过互联网提供服务的企业，也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069—2010 信息安全技术术语 GB/T 35273—2017 信息安全技术个人信息安全规范 GB/T 22239 信息安全技术网络安全等级保护基本要求（信息系统安全等 级保护基本要求） 3术语和定义 3.1 个人信息

以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 [中华人民共和国网络安全法，第七十六条（五）] 注：个人信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 3.2 个人信息主体 个人信息所标识的自然人。 [GB/T 35273-2017，定义3.3] 3.3 个人信息持有 对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。 3.4 个人信息持有者 对个人信息进行控制和处理的组织或个人。 3.5 个人信息收集 获得对个人信息的控制权的行为，包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集，以及通过共享、转让、搜集公开信息间接获取等方式。 [GB/T 35273-2017，定义3.5] 3.6 个人信息使用

个人信息保护法律法规汇总

1、中华人民共和国宪法 第三十三条凡具有中华人民共和国国籍的人都是中华人民共和国公民。 中华人民共和国公民在法律面前一律平等。 国家尊重和保障人权。 第三十八条中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。 第三十九条中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。 第四十条中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。 第四十一条中华人民共和国公民对于任何国家机关和国家工作人员，有提出批评和建议的权利；对于任何国家机关和国家工作人员的违法失职行为，有向有关国家机关提出申诉、控告或者检举的权利，但是不得捏造或者歪曲事实进行诬告陷害。 对于公民的申诉、控告或者检举，有关国家机关必须查清事实，负责处理。任何人不得压制和打击报 由于国家机关和国家工作人员侵犯公民权利而受到损失的人，有依照法律规定取得赔偿的权利。 第四十七条中华人民共和国公民有进行科学研究、文学艺术创作和其他文化活动的自由。国家对于从事教育、科学、技术、文学、艺术和其他文化事业的公民的有益于人民的创造性工作，给以鼓励和帮助。 第五十一条中华人民共和国公民在行使自由和权利的时候，不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。 中华人民共和国宪法修正案（2004年） 第二十四条宪法第三十三条增加一款，作为第三款：“国家尊重和保障人权。”第三款相应地改为第四款。 2、中华人民共和国民法通则 第九十九条公民享有姓名权，有权决定、使用和依照规定改变自己的姓名，禁止他人干涉、盗用、假冒。 法人、个体工商户、个人合伙享有名称权。企业法人、个体工商户、个人合伙有权使用、依法转让自己的名称。 第一百条公民享有肖像权，未经本人同意，不得以营利为目的使用公民的肖像。第一百零一条公民、法人享有名誉权，公民的人格尊严受法律保护，禁止用侮辱、诽谤等方式损害公民、法人的名誉。 第一百零二条公民、法人享有荣誉权，禁止非法剥夺公民、法人的荣誉称号。 3、中华人民共和国妇女权益保障法（2005修正） 主席令[2005]第40号 第四十二条妇女的名誉权、荣誉权、隐私权、肖像权等人格权受法律保护。

关于网络信息安全与客户信息保护专项自查报告

关于网络信息安全与客户信息保护专项自查报 告 内部编号：（YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128）

**农村信用合作联社 关于加强网络信息安全与客户信息保护工作自查报告 **： 按照《**关于转发加强网络信息安全与客户信息保护有关事项的通知》文件精神，为切实加强网络信息安全与客户信息保护水平，防止信息泄露和盗用，从源头上打击防范电信网络新型违法犯罪各类风险，我**加强了对信息系统安全与客户信息保护工作的领导，并组织**等客户信息保护相关部门对网络信息安全与客户信息保护进行自查，现将自查情况报告如下： 一、自查安排部署情况 为确保网络信息安全与客户信息保护工作取得实效，**专门成立由分管领导任组长的网络信息安全与客户信息保护领导小组，由**为成员。制定并下发了《**网络信息安全与客户信息保护自查方案》，进一步明确了工作职责。 二、自查时间 2017年2月22日-28日 三、自查情况 通过对我网络信息安全和客户信息保护水平进行自查，未发现存在网络信息安全隐患和客户信息泄露等方面的问题。具体情况如下： （一）内部防控方面。 1、通过此次自查，将客户信息保护工作及保护水平作为业务发展的重点工作来抓。对客户信息保护建立客户信息保护制度、机制、流程。**为管理客户信息保护工作的牵头部门，**对客户信息保护工作进行落实。**加强银行卡相关业

务制度的制订、执行、日常检查和持续改进，及时调整制度、流程、风险控制措施，切实维护银行卡持卡人的个人信息安全。 2、作为客户信息保护第二、三道防线的联社****，定期开展各项自查。统计信息部按月对联社中心机房、网络设备、防病毒软件等进行安全检查。生产终端、桌面机、ATM等，根据《关于安装全市防病毒系统的通知》要求，对全内网计算机安装了由**统一部署的卡巴斯基杀毒软件，现内网PC电脑、ATM机已全部安装完毕；ATM、网络设备均与专业公司签有维保合同，在合同中明确约定服务事项、安全措施、保密措施。公司定期进行巡检和维护，保障各类设备的正常运行。 **及时梳理制度、流程，加强合规文化建设，开展合规检查，规范员工行为，加强客户信息安全领域的合规风险管理；稽核审计中心在信息安全方面专项审计方面，需加大频度与力度，从而全面识别风险隐患，及时发现问题。 3、建立了客户信息保护行为准则和保密规定，**进行监督检查，加强对基层营业网点的指导、检查和考核，明确了管理要求和管理责任。 4、加强数据治理工作。在客户存款开户、激活、存款、取款、销户等各交易环节中，加强实名制管理，严格操作流程，提高客户信息的真实性、完整性、一致性 5、加强对记录有银行卡信息的业务凭证及其档案影像的管理。对作废卡、遗失卡、吞没卡等非正常卡片的管理，实行逐笔登记、专人保管。 6、加强重点业务和重要岗位管理，遵循“权责对应”原则，对具有访问客户敏感信息权限的账号实行实名制管理，明确责任人。禁止违规查询、下载、复印、保存客户信息。加强员工操作行为实行监控。

《电信和互联网用户个人信息保护规定》解读

《电信和互联网用户个人信息保护规定》解读2013年7月16日，工业和信息化部公布了《电信和互联网用户个人信息保护规定》（中华人民共和国工业和信息化部令第24号）。记者就《规定》采访了工业和信息化部政法司巡视员李国斌，请他对《规定》进行了解读。 记者：近日，工业和信息化部出台了《电信和互联网用户个人信息保护规定》，请问《规定》出台的意义是什么？ 李国斌：近年来，我国电信和互联网行业快速发展，新技术、新应用层出不穷，对促进经济社会发展起到了积极的作用。与此同时，用户个人信息的泄露风险和保护难度不断增大，加强用户个人信息保护立法成为社会广泛关注的问题。 出台《规定》，可以进一步完善电信和互联网行业个人信息保护制度。目前，部分电信业务经营者、互联网信息服务提供者对用户个人信息安全重视不够，安全防护措施不完善，管理制度不健全，信息安全责任落实不到位，需要进一步完善用户个人信息保护法律制度，规范电信服务、互联网信息服务过程中收集、使用用户个人信息的活动。 出台《规定》，也是贯彻落实全国人大常委会《关于加强网络信息保护的决定》（以下简称《决定》）的需要。贯彻执行好《决定》有关收集、使用个人信息的制度，需要出台相关配套规定。制定《规定》，进一步明确电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施等，是落实全国人大常委会《决定》规定的制度和措施，切实保护用户合法权益的要求。?

记者：您能否介绍一下《规定》的制定过程？ 李国斌：2012年5月，工业和信息化部启动了《规定》立法研究和起草工作。在起草过程中，我们赴吉林、广东、四川等地进行了调研，多次书面征求了部机关相关司局、各省（区、市）通信管理局、基础电信企业和互联网企业对《规定（征求意见稿）》的意见，组织召开了省级通信管理局、基础电信企业和互联网企业参加的立法座谈会，并通过国务院法制办的“中国政府法制信息网”和我部门户网站向社会公开征求了意见。经征求意见，社会各方面对制定《规定》给予了积极的肯定，没有原则性的不同意见。在充分听取各方面意见并进一步完善有关制度的基础上，我们形成了《规定（草案）》。 2013年6月28日，我部第2次部务会议审议通过了《规定》。7月16日，工业和信息化部第24号令公布了《规定》。《规定》将于9月1日生效。 记者:?您能否介绍一下《规定》关于用户个人信息保护管理工作的定位？ 李国斌：全国人大常委会《决定》对“公民个人电子信息”做了界定，并明确了信息收集、使用的原则和相关规则。 目前，各行业普遍存在收集、使用个人信息的情况，相应的信息保护工作也涉及到众多的部门，我部并不负责管理所有的个人信息。《规定》依据《决定》的有关规定，立足我部电信和互联网行业管理职责，以“概括加列举”的方式规定了由我部负责监督管理的用户个人

个人信息的保护和安全措施

个人信息的保护和安全措施 一、广电公众平台将尽一切合理努力保护获得的用户个人信息，并由专门的数据安全部门对个人信息进行保护。为防止用户个人信息在意外的、未经授权的情况下被非法访问、复制、修改、传送、遗失、破坏、处理或使用，广电公众平台已经并将继续采取以下措施保护用户的个人信息： 通过采取加密技术对用户个人信息进行加密保存，并通过隔离技术进行隔离。在个人信息使用时，例如个人信息展示、个人信息关联计算，广电公众平台会采用包括内容替换、加密脱敏等多种数据脱敏技术增强个人信息在使用中安全性。设立严格的数据使用和访问制度，采用严格的数据访问权限控制和多重身份认证技术保护个人信息，避免数据被违规使用。 二、保护个人信息采取的其他安全措施 1、通过建立数据分类分级制度、数据安全管理规范、数据安全开发规范来管理规范个人信息的存储和使用。 2、建立数据安全专项部门，负责安全应急响应组织来推进和保障个人信息安全。 3、个人信息安全事件的通知 1）如发生个人信息引发的安全事件，广电公众平台将第一事件向相应主管机关报备，并即时进行问题排查，开展应急措施。 2）通过与全量用户发送通知提醒更改密码。还可能通过电话、短信等各种方式触达用户知晓，在公共运营平台运营宣传，制止数据

泄露。 尽管已经采取了上述合理有效措施，并已经遵守了相关法律规定要求的标准，但广电公众平台仍然无法保证用户的个人信息通过不安全途径进行交流时的安全性。因此，用户个人应采取积极措施保证个人信息的安全，如：定期修改账号密码，不将自己的账号密码等个人信息透露给他人。 网络环境中始终存在各种信息泄漏的风险，当出现意外事件、不可抗力等情形导致用户的信息出现泄漏时，广电公众平台将极力控制局面，及时告知用户事件起因、广电公众平台采取的安全措施、用户可以主动采取的安全措施等相关情况。

个人信息保护指南(征求意见稿)

个人信息保护指南（征求意见稿） 发布时间：2010-04-24 00:35 来源：作者： 第一章总则 第一条[目的] 为提高个人信息保护意识，保护个人合法权益，促进个人信息有序利用，指导和规范利用信息系统处理个人信息的活动，制定本指南。 第二条[适用范围和方式]企事业单位部分或全部采用信息系统进行个人信息处理时，可依据本指南的原则和要求，制定个人信息保护政策、个人信息处理准则或办法，规范本单位的个人信息处理活动。 行业协会、标准化组织、第三方机构等可依据本指南的原则和要求，制定个人信息处理自律手则、标准和评估办法等，规范、指导相关单位的个人信息处理活动。 第三条[不适用范围]本指南不适用于以下情况的个人信息处理活动： （1）因统计和科学研究需要由统计机构和研究机构匿名进行的个人信息处理； （2）因家庭事务和个人交往需要由自然人进行的个人信息处理； （3）法律法规对个人信息处理有明确规定的其他情形。

第四条[术语定义]本指南中， “个人信息”是指与特定自然人相关、能够单独或与其他信息结合识别该特定自然人的任何信息。 “个人信息主体”是指可通过个人信息识别的特定自然人。“信息处理”是指收集、储存、修改、编辑、整理、汇编、检索、标注、挖掘、转移、披露、公开、传输、交换、删除、销毁等等针对信息所进行的所有行为。 “信息系统”是指为实现信息处理目的，按照一定规则组合并运行的计算机及其配套的设备、设施（含网络）。 “收集”是指获取并记录个人信息的行为。 “加工”是指录入、整理、聚合、挖掘、恢复等除收集、转移、使用、销毁或删除之外的一切信息处理行为。 “转移”是指将保存或拥有的个人信息移交给其他自然人、法人或组织的行为。 “使用”是指运用个人信息的行为，包括向公众或特定群体披露、在决策中加以考虑、依据个人信息作出决定或决策，依据个人信息实施某种行动或行为等。 “销毁”是指从物理上毁灭记录个人信息的载体。 “删除”是指从信息系统和载体上永久清除个人信息并不可恢复。 第二章个人信息处理原则 第五条【遵循原则要求】利用信息系统进行个人信息处理，

保护个人信息安全的六大措施

保护个人信息安全的六大措施 现今，数据泄露渐成常态，在此种环境下，如何保护个人的信息安全，成为每个人都应该注意并为之采取措施的问题。 1.网上注册内容时不要填写个人私密信息 互联网时代用户数和用户信息量已然和企业的盈利关联了起来，企业希望尽可能多地获取用户信息。但是很多企业在数据保护上所做的工作存在缺陷，时常会有用户信息泄露事件发生，对于我们普通用户而言，无法干预到企业的采取数据安全保护措施，只能从己方着手，尽可能少地暴露自己的用户信息。 2.尽量远离社交平台涉及的互动类活动 现在很多社交平台，会有一些填写个人信息即可生成有趣内容并可以和朋友分享的活动，看似有趣的表面，实质上却以游戏的手段获取了大量的用户信息，遇到那些奔着个人隐私信息去的“趣味”活动，建议不要参与。 3.安装病毒防护软件 不管是计算机还是智能手机，都已经成为信息泄露的高发地带，往往由于不小心间点击一个链接、下载一个文件，就成功被不法分子攻破，安装防病毒软件进行病毒防护和病毒查杀成为设备使用时的必要手段。 4.不要连接未知WiFi 现在公共场所常常会有些免费WiFi，有些是为了人们提供便利而专门设置的，但是不能忽视的是不法分子也会在公共场所设置钓鱼WiFi，一旦连接到他们的钓鱼WiFi，我们的设备就会被他们反扫描，如果在使用过程中输入账号密码等信息，就会被对方获得。在公众场所尽量不要去连接免费WiFi。 5.警惕手机诈骗 科技在进步，骗子的手段也变得层出不穷，常见莫过于利用短信骗取手机用户的信息。更有可能进行财产诈骗，让受害者遭受重大损失。警惕手机短信里的手机账户异常、银行账户异常、银行系统升级等信息，有可能是骗子利用伪基站发送的诈骗信息。遇到这种短信不要管它，去联系官方工作人员，询问情况。 6.妥善处理好涉及到个人信息的单据 在快递单上会有我们的手机、地址等信息，一些消费小票上也包含部分姓名、银行卡号、消费记录等信息，翼火蛇提示对于已经废弃掉的单据，需要进行妥善处置。

个人信息保护

个人信息保护 摘要：随着个人信息侵权事件的频繁发生，有关个人信息保护的立法问题也成为学界关注的焦点，而对于个人信息权的保护模式一直是理论界关注的焦点之一。本文通过对美国和德国两国的个人信息权保护模式的分析，提出对我国个人信息权保护模式应选择人格权保护模式，将其确定为一项具体人格权加以保护。关键词：个人信息个人信息权保护模式 日常生活中，我们经常遇到这样的事情：超市开业，会员卡会莫名其妙地寄到了家里；新房刚拿到钥匙，就有装修公司跟踪而至；新车刚买，就接到电话，询问是否需要购买车辆保险等等。大量的个人信息在不知不觉中被收集、利用，现代人因此而成为“透明人”或“半透明人”，而个人信息保护制度的缺失使人们的工作和生活受到了严重影响，09年央视3.15晚会上的分众传媒“短信门”事件更提醒我们加强个人信息保护已经刻不容缓。因此，个人信息的法律保护就成为法律亟需解决的一个问题。虽然我国从2005年就已经开始将个人信息保护法纳入立法日程，但至今尚未出台，而对个人信息相关问题的争论在理论界也从未停止，对个人信息权保护模式的选择理论界也存在颇多争议，本文将对此进行探讨，发表本人一点浅薄的看法。 一、个人信息权 （一）个人信息 个人信息是指可以识别出信息主体本人的一切信息的总和，包括了信息主体生理信息、心理信息、智力信息以及有关信息主体个体的信息、社会的信息、经济的信息、文化的信息、家庭的信息等等。对于个人信息,学界有不同的称谓,有的称为个人隐私,有的称为个人资料(数据),下面对这三个概念进行一下比较. 1.个人信息与个人隐私 隐私是近年来在我们生活中频繁出现的词语，一般是指不愿告诉别人的或不想公开的个人的事情，或者说与公共利益无关的个人私生活秘密方面的事情。“个人隐私”与“个人信息”最大的区别在于范围上的差异，个人信息的范围大于个人隐私，即“个人信息”包含“个人隐私”，个人隐私是个人信息的下位概念，是个人信息的一部分。如个人的手机号码、家庭住址、医药档案、职业等,这些也许算不上隐私，但都属于个人信息的范畴。如果我们在立法中选择“个人隐私”的概念，那就表示法律仅保护个人信息中涉及个人隐私的信息，而不保护不涉及

企业如何有效保护客户信息

作者简介： 葛吉虎，谷安天下咨询顾问，CISA、CIA。主要从事SOX404、 IT内部控 制、IT治理、IT审计、信息安全管理体系（ISO27001）咨询等方面工作， 曾全程参与中国移动萨班斯合规审计项目，在电信、证券等行业具有丰富 的项目实施经验。 相信大多数人都有过类似的经历，如果你是股民，经常会有陌生的电话打过来向你推荐股票；如果你是业主，会有陌生的电话问你的房子是否打算出售或者出租；如果你是刚生完小孩的母亲，会收到推销婴儿用品的电话等等。他们对你的家庭详细情况，包括家里几口人，收入情况，住宅详细地址等等个人信息了如指掌。但是你根本不认识打电话的这个人，更不知道他如何知道你的电话和家庭详细情况。为此，很多人都会非常困惑甚至气愤，我的个人信息到底到底是怎么被泄露出去的？熟不知，在网络上，类似新开楼盘业主信息、车主信息、孕妇信息、股民信息、各公司高管的信息等等各种各样的个人隐私信息正在被明码标价的贩卖，非法传播。 针对个人信息被广泛泄露的情况，近日，十一届全国人大常委会第七次会议通过了《中华人民共和国刑法修正案（七）》，自公布之日起正式施行，就此我国对个人信息的保护已经有法可依。以下是其中关于个人信息安全的条文： 国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，将本单位在履行职责或提供服务过程中获得的公民个人信息，出售或非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或单处罚金。 “窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。” “单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。” 这意味着，随意出售个人隐私信息，将可能触犯刑法。另外，还有一部《个人信息保护法》已经提交国务院审批，对于如何有效的保护个人信息做出了更加细节性的规定。 以下，我来从多个方面整体的分析如何有效的保护个人信息。 从法律方面，值得庆幸的是，对于个人信息的非法泄露，《中华人民共和国刑法修正案（七）》已经明确了正式的罚则，随着日后《个人信息保护法》的出台，对于个人信息的保护已经有法可依，不再是以前没人管的状态。但是仅有这

浅谈个人信息保护制度的完善

浅谈个人信息保护制度的完善 【摘要】个人信息是社会发展中的重要资源，信息技术的发展为个人信息的收集和处理提供了便利，同时在个人信息本身蕴含的利益驱动下，搜集与贩卖个人信息并从中牟利的事件频发并且成为了危害公众利益和社会秩序的不良现象，所以从法律层面强化个人信息的保护十分重要。本文从民法角度出发，对个人信息保护制度的完善做出探讨。 【关键词】个人信息；个人信息权；保护制度 一、在民法中对个人信息权进行明确规定 个人的信息不仅具有人格权属性，同时也具有财产权属性，对社会个体的个人信息进行保护同时也是对社会个体人格尊严的保护，所以个人信息权构建的理论基础为人格权理论。我国在《侵权责任法》以及《民法通则》中对肖像权、隐私权、名誉权等人格权利的保护进行了明确规定，所以在民法中对个人信息权进行明确规定符合我国在保护人格权方面的立法习惯。个人信息权所包括的内容应当体现为以下四个方面：一是社会个体对个人信息享有控制权。社会个体对个人信息的使用以及处置是社会个体支配人格利益的重要表现；二是社会个体对个人信息享有查询权。社会个体有权了解个人信息被使用以及被收集的情况，并且以这些内容为依据来对侵害个人信息权的行为提出异议；三是社会个体享有对个人信息进行更正的权利。社会个体为了让个人信息保持完整和正确，有权要求收集与使用个人信息的行为人采取相应措施对个人信息进行更正。如果社会个体发现个人信息出现错误后，不仅享有更正个人信息的权利，同时享有要求收集与处理个人信息的行为人将自身个人信息进行删除的权利；四是社会个体对个人信息享有救济权。当社会个体的个人信息被非法存储和传播时，社会个体有权利要求侵害个人信息的行为人停止侵害行为并赔偿相应损失。个人信息权保护的原则可以以《隐私保护与个人数据跨国流通指南》中的八项原则为参照，此八项原则分别为限制收集原则、信息完整正确原则、特地目的原则、限制利用原则、安全保护原则、公开原则、个人参与原则以及责任原则。 二、对个人信息财产利益的保护进行强化 在现实社会生活中，侵害他人个人信息的行为大部分都是受到经济利益的驱动，所以要对个人信息进行有效的保护，就应当从法律层面明确对个人信息财产利益的保护，在此前提下，如果没有经过信息主体的许可就利用其个人信息获取商业利益的行为，个人信息的拥有者则能够根据法律规定的救济权来请求民事赔偿。尤其是对于商业机构而言，其行为产生的主要动力是经济利益所发挥的驱动作用，而当商业机构必须为自身的侵权行为承担民事责任时，商业机构通过侵害他人个人信息所获得经济利益会被剥夺，在此基础上，商业机构选择放弃或者是降低侵害他人个人信息的倾向会更加明显，从而在很大程度上对侵害他人个人信息的行为进行抑制与预防。由于我国当前法律并没有明确个人的信息应当属于个人的财产范围，即个人的信息并没有财产权的属性，所以当个人信息受到侵害时，

儿童个人信息网络保护规定(2019)

儿童个人信息网络保护规定（2019） 第一条为了保护儿童个人信息安全，促进儿童健康成长，根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规，制定本规定。 第二条本规定所称儿童，是指不满十四周岁的未成年人。 第三条在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动，适用本规定。 第四条任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。 第五条儿童监护人应当正确履行监护职责，教育引导儿童增强个人信息保护意识和能力，保护儿童个人信息安全。 第六条鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等，加强行业自律，履行社会责任。 第七条网络运营者收集、存储、使用、转移、披露儿童个人信息的，应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。 第八条网络运营者应当设置专门的儿童个人信息保护规则和用户协议，并指定专人负责儿童个人信息保护。 第九条网络运营者收集、使用、转移、披露儿童个人信息的，应当以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意。 第十条网络运营者征得同意时，应当同时提供拒绝选项，并明确告知以下事项： （一）收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围； （二）儿童个人信息存储的地点、期限和到期后的处理方式； （三）儿童个人信息的安全保障措施； （四）拒绝的后果； （五）投诉、举报的渠道和方式； （六）更正、删除儿童个人信息的途径和方法； （七）其他应当告知的事项。 前款规定的告知事项发生实质性变化的，应当再次征得儿童监护人的同意。

第十一条网络运营者不得收集与其提供的服务无关的儿童个人信息，不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。 第十二条网络运营者存储儿童个人信息，不得超过实现其收集、使用目的所必需的期限。 第十三条网络运营者应当采取加密等措施存储儿童个人信息，确保信息安全。 第十四条网络运营者使用儿童个人信息，不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要，确需超出约定的目的、范围使用的，应当再次征得儿童监护人的同意。 第十五条网络运营者对其工作人员应当以最小授权为原则，严格设定信息访问权限，控制儿童个人信息知悉范围。工作人员访问儿童个人信息的，应当经过儿童个人信息保护负责人或者其授权的管理人员审批，记录访问情况，并采取技术措施，避免违法复制、下载儿童个人信息。 第十六条网络运营者委托第三方处理儿童个人信息的，应当对受委托方及委托行为等进行安全评估，签署委托协议，明确双方责任、处理事项、处理期限、处理性质和目的等，委托行为不得超出授权范围。 前款规定的受委托方，应当履行以下义务： （一）按照法律、行政法规的规定和网络运营者的要求处理儿童个人信息； （二）协助网络运营者回应儿童监护人提出的申请； （三）采取措施保障信息安全，并在发生儿童个人信息泄露安全事件时，及时向网络运营者反馈； （四）委托关系解除时及时删除儿童个人信息; （五）不得转委托； （六）其他依法应当履行的儿童个人信息保护义务。 第十七条网络运营者向第三方转移儿童个人信息的，应当自行或者委托第三方机构进行安全评估。 第十八条网络运营者不得披露儿童个人信息，但法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外。 第十九条儿童或者其监护人发现网络运营者收集、存储、使用、披露的儿童个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当及时采取措施予以更正。

银行客户个人金融信息保护工作自查报告

关于做好客户个人金融信息保护工作自查报告银行才中心支行： 根据人民银行中心支行《转发<中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知>》（银发［2012］65号）要求，我行成立了领导小组，对本单位个人金融信息保护工作规贯彻落实情况进行自查，现将自查情况汇报如下： 一、组织领导为确保本次自查工作有效开展，特成立自查领导小组。组长：。。副组长：。。成员：。。二、自查时间 三、自查内容 个人金融信息保护工作相关法律法规贯彻落实情况、本机构相关内控制度、信息安全防范技术措施的制定和实施情况、员工的培训教育情况。四、自查结果 （一）个人金融信息保护工作相关法律法规贯彻落实情况能够进行个人信息查询的相关岗位工作人员及业务主管都能够熟悉相关金融信息查询的有关规定，深刻了解法律法规、制度办法，有较强的法律意识、安全意识和责任意识，能够自觉进行个人金融信息保护工作，有效规避业务风险。 （二）本机构相关内控制度、信息安全防范技术措施的制定和实施情况 1.总行制定了《农村商业银行股份有限公司个人征信业务管理暂行规定》、《农村商业银行股份有限公司个人信用基础信息数据库查询使用管理实施细则》、《农村商业银行股份有限公司个人信用信息基础

数据库操作规程》、《农村商业银行股份有限公司个人信用报告异议信息处理管理暂行办法》、《农村商业股份有限公司反洗钱保密业务制度》、《农村商业银行股份有限公司金融机构大额交易和可疑交易报告制度》、《农村商业银行股份有限公司金融机构客户身份识别和客户身份资料及交易记录保存制度》、《农村商业银行股份有限公司反洗钱业务操作规程》等10余项相关制度。 2.总行拟对个人金融信息管理和使用的检查制度、数据库管理员操作规章制度及报告制度等相关内控制度进行逐步完善，并按照制度要求定期检查。对各支行个人金融信息采集、查询的授权、管理等方面进行不定期抽查，发现问题能够及时整改。 3.我行原有的综合业务处理系统对个人金融信息的查 询有权限设置但没有业务人员查询过程的痕迹保留，不便于事后追溯问题责任人。由于我行正在研发新的综合业务操作系统，业务管理人员已经根据相关的文件要求对新系统提出了保留查询痕迹的需求。 （三）员工的培训教育情况 通过对业务主管的专题培训，使业务主管对个人金融信息管理、使用的法律法规及制度办法有了深刻、透彻的了解。业务主管对支行员工进行了全面系统的二级培训，使相关岗位的工作人员都能够深入了解相关制度及业务操作，为有效规避业务风险奠定基础。 在人民银行中心支行的指导下，农村商业银行积极部署，完成了