前言:中文期刊网精心挑选了公民个人信息安全范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
公民个人信息安全范文1
关键词:大数据:信息安全;个人信息保护
一、引言
当人们欢呼大数据时代降临时,棱镜门事件就如平地惊雷,炸响了人们对个人信息保护的重视。然而,与国外相比,我国的个人信息保护工作仍停滞不前,行政单位缺乏监管,过度收集个人信息:企业自律性不足,任意获取公民信息,满足商业目的:而普通公民则缺乏个人信息保护意识,变成了“透明人”。随着这些问题的日益突出,大数据时代的个人信息保护研究显得愈发重要。
二、大数据时代个人信息保护研究的主要内容
本文以CNKI中的相关文献为基础,从个人信息安全风险、个人信息保护立法、监管以及个人隐私保护四个方面介绍个人信息保护的主要研究成果。
(一)大数据时代个人信息安全的风险研究
大数据技术的快速发展给个人信息安全增加风险,但随着更多研究者的推进,风险也给个人信息安全保护带来了机遇。本文从法律、监管、技术三方面进行风险研究,探寻保护个人信息的有效方法。
法律风险方面,史为民从立法的角度分析了个人信息安全风险,提议出台具有权威性的相关法律。张毅菁则希望政府借鉴他国经验,引入域外立法机制,构建适应我国国情的立法模式。
监管风险方面,我国相关研究者普遍认为我国行政机构职权不够细化,缺乏明确的监管体系。王丽萍等人提出行业自律问题,认为企事业单位缺乏自制力,容易侵犯公民个人权益。
技术风险方面,李睿等人以信息抓取和数据分析技术为着力点分析相关的技术风险。另外,也有学者分析了用户搜索行为,并从网络与现实两方面阐述个人信息安全受到的影响。
现阶段的风险研究虽取得一定成果,但本层面的讨论还需进一步发展,立法方面,我国还需借鉴域外模式,形成一套适应时代的立法体系:监管机制方面还要调到政府、行业、公民一体化:技术方面需重点开发最新防御技术。
(二)大数据时代个人信息保护的立法研究
针对国内外发生的隐私泄漏事件,公民对个人隐私权愈发重视,然而相关法律至今未完善。针对现实情况,众多学者将研究重点投入到立法研究上,分为:法律研究与权利研究。
通过回顾,童园园等人认为应从刑法的角度完善个人信息保护法律条款,为个人信息保护提供制度背景。侯富强则提议将“欧美模式”与我国国情相结合,制定统一立法。
权利研究主要集中在两方面:一是隐私权研究:二是主体权利研究。连志英等人强调了隐私权对我国个人信息保护立法的重要意义。在主体权利方面,侯富强提出个人信息保护法的立法目的在于保护信息主体的权利。
立法研究一直是个人信息保护研究的主要方向,但现有研究明显底气不足。为了本领域的更好发展,未来的的研究方向应集中在立法体系的建立,法律内容的细化,吸收发达国家经验,形成成熟的立法机制。
(三)大数据时代个人信息保护的监管研究
大数据的飞速发展带来经济利益,但随之而来的也有信息安全问题。为解决该项问题,本领域研究者提出了一套政府、企业、公民相结合的个人信息保护监管体系,根据主体不同,分为行政监管、行业自律与公共监督。
从行政监管效果来看,李庆峰等人列举了行政监管体系的不足之处,提议整合相关部门,明确责权。张毅菁则重点分析政府过度监管行为产生的不利影响,呼吁政府加强自我管理,强化法律意识。
在行政监管体系研究后,行业自律受到关注。侯富强一方面肯定行业协会的积极作用,另一方面要求加大企业监管力度。史为民则分析了行业自律的局限性,提出改善措施,促进行业对个人信息的保护。
在公共监督研究方面,刘雅琦等人认为一个完善的监督机制除了行政监管与行业自律,还需公众的监督,只有三者相互配合,才能更好地发挥监管体系的作用,保护好公民的个人信息安全。
虽然监管体系发挥了一定保护作用,但也存在局限性:监管机构职权不定、行业主体自律不足、公民保护意识不强等。为此,政府应加大作为,运用行政手段和法律手段,严厉打击泄漏个人信息行为。
(四)个人隐私保护研究
随着近几年个人隐私侵犯现象加剧,个人隐私保护开始受到高度关注,与个人信息保护研究相比,隐私保护研究在法律、监管、技术层面具有一些新内容。
法律研究的目的是为个人隐私保护提供制度依据,维护公民的隐私与尊严。例如李睿分析了个人隐私泄漏问题,为个人隐私保护提供法律指导。童圆圆呼吁社会加强对个人隐私权的重视,并提出几项保护个人隐私安全的建议。
监管研究将个人隐私保护置于监管体系内,降低高额的社会执法成本。李庆峰认为公民自身可加强对企业的监督,保护网络隐私。王丽萍等人则将目光重点投向行业自律上。
技术研究是隐私保护研究的重点。刘晓霞提议将加密、匿名技术与隐私保护规则相结合保护用户个人隐私。连志英则提出加大安全技术开发与资金投入,依仗安全技术应对高级持续的技术攻击。
个人隐私保护主要从法律、监管、技术三大方向进行研究。法律方向,提出隐私权与被遗忘权:监管方向,强调了对网络隐私的监管:在技术方向,提出开发加密技术与匿名技术,这反映了公民对个人隐私的重视。
三、大数据时代个人信息保护研究展望
大数据时代的个人信息保护研究在理论与应用方面都取得了一定成果,但仍存在较多问题,本文拟从公共监管、域外立法模式、隐私权方面做进一步讨论。
(一)公共监管研究
当审视现行监管机制时,不难发现政府占据主导地位,若政府监管不力,将导致整个监管体系崩盘。为此,政府应发挥公民个人作用,将个人信息保护责任承担给每一位公民,形成公共监管模式。
(二)域外立法模式研究
通过对现有法律的分析,我国个人信息保护立法还在发展阶段。因此,国内相关学者一方面提出完善法律体系,出台专门的个人信息保护法,另一方面大力研究国外个人信息保护立法体系,吸收具有可行性的立法方案。
(三)加大隐私权研究
对于隐私权的探讨,我国一直处于缓慢阶段。例如:缺乏系统性的司法解释、政府内部监管存在漏洞、行业自律性差、数据挖掘技术存在争议等。为此,加大隐私权研究仍是今后的主要任务。
公民个人信息安全范文2
问题严重
中国社会科学院的“法治蓝皮书”指出,个人信息被泄露的渠道很多。个人信息泄露情况大致归纳为如下三大类:
一是过度收集个人信息。有关机构超出办理业务的需要,收集大量非必要或完全无关的个人信息。一些商家在办理积分卡时,要求客户提供身份证号码、工作机构、受教育程度、婚姻状况、子女状况等信息。
二是擅自披露个人信息。有关机构未获法律授权、未经本人许可或者超出必要限度披露他人个人信息。一些地方对行人、非机动车交通违法人员的姓名、家庭住址、工作单位以及违法行为进行公示;有些银行通过网站、有关媒体披露欠款者的姓名、证件号码、通信地址等信息。
三是擅自提供个人信息。有关机构在未经法律授权或者本人同意的情况下,将所掌握的个人信息提供给其他机构。银行、保险公司、航空公司等机构之间未经客户授权或者超出授权范围共享客户信息。
个人信息安全亟待保护
面对势不可当的信息化浪潮,该如何合理利用和有效保护个人信息?今年全国两会期间,个人信息安全问题成为热议话题之一。
全国政协委员郭为表示,国家应加快个人信息安全及隐私保护的相关立法工作。首先应该建立一套符合中国国情的网络公民身份体系并逐步推动网络实名制的真正实施,建立信息安全产品安全审查和管理制度,同时还应加大监管机制的建设并修订相关法律。
早在2003年,国务院信息化工作办公室就委托中国社科院法学研究所个人数据保护法研究课题组承担“个人数据保护法”比较研究课题及草拟一份专家建议稿。经过近两年的工作,最终形成了近8万字的“中华人民共和国个人信息保护法(专家建议稿)及立法研究报告”,但时至今日却仍未正式进入国家立法程序。
中国人民西安政治学院副教授傅达林认为,国家需要完善立法,执法部门需要加大对违法犯罪的打击力度,完善监管措施,同时也需要建立行业诚信。有专家指出,现实中更多的相关案件还达不到犯罪的标准,所以迫切需要的是行业自律,提高从业人员的法律意识,以阻断涉及公民个人信息违法犯罪的信息来源。
国外如何保护个人信息
如何有效维护公民个人信息安全是一个令各国政府头疼的问题。不少发达国家早就制定了相应的法律和措施。
德国在保护公民个人信息的立法方面走在世界前列。早在1970年德国黑森州就颁布了德国首部地方性《数据保护法》,从而在全球开辟了一个新的立法领域。《联邦数据保护法》和《州数据保护法》在1977年和1981年先后出台。为适应时代变化,德国又于2001年和2006年根据欧盟的新规定两度修订《联邦数据保护法》。2005年4月生效的《个人信息保护法》是日本保护个人信息安全的根本法律。根据这一法律,日本国家行政机关、独立行政法人和地方公共团体还制定了多项法律和条例,为个人信息保护中遇到的各种具体问题提供法律依据。
公民个人信息安全范文3
>> 个人信息谨防泄露 高校学生个人信息泄露成因及保护对策探究 从公众个人信息泄露看信息安全防护 关闭个人信息泄露之门 个人信息泄露将被通知 网络环境下快递行业泄露消费者个人信息原因分析及防范对策 个人信息安全管理与防护对策 官员财产公开不能靠个人信息泄露 个人信息被泄露,消费添烦恼 诈骗和勒索的源头都是个人信息泄露 防止“个人信息”泄露,需打好“法治牌” 好习惯可防个人信息泄露 用什么堵住公民个人信息泄露的缺口 浅析个人信息权 网络社会下个人信息泄露所引发的对个人信息保护的思考 怀孕女教师不堪骚扰,谁泄露了我的个人信息? 购车后个人信息被泄露,账户被盗谁担责? 2.2万伊斯兰国”名单泄露 包含2.2万名成员个人信息 斩断个人信息泄露利益链,亟需法律“保驾护航” 个人信息 常见问题解答 当前所在位置:.
[3] 中国市场报告网.2010年中国互联网络发展状况深度研究及统计分析报告.编号:0626508.[2011-03-30]. .
【参考文献】
[1] 齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿[J].河北法学,2005(6)2.
[2] 郎庆斌等.个人信息保护概论[M].人民出版社,2008.11-12.
[3] 齐爱民.论个人信息的法律保护[J].苏州大学学报,2005(2)32-35.
[4] 罗力.社交网络中用户个人信息安全研究[J].图书馆学研究,2012(14)36-40.
[5] 田桂兰.网络环境下个人信息安全问题及其保护[J].信息化建设,2007(6)42-44.
[6] 颜祥林.网络环境下个人信息安全与隐私问题的探析[J].情报科学,2002(9)938-940 .
公民个人信息安全范文4
关键词:公民的信息;出现问题;刑法保护
一、引言
近几年来,许多企业及个人乱用公民个人信息给公民造成了很大的财产损失,甚至危及人身安全,这就要求各国政府在发展本国经济的过程当中加快刑法保护个人信息安全的步伐,同时制定更加严厉的手段,防止不法企业或个人对公民个人信息的侵犯。但是现在我国刑法对公民信息的保护还处于起步阶段,对许多细节问题还存在不明晰的情况,例如,个人信息概念界定不明确,“情节严重”标准模糊等问题,因此司法实践的过程也存在着巨大的阻碍。本文针对这些问题,提出相关的建议,以便全面保护公民的合法权益不受侵犯,防止犯罪的发生。
二、公民个人信息概述
(一)公民个人信息的概念和属性
公民的个人信息是与公民的人格权、人身权相关,并且和公共生活没有相关联的客观信息。主要包括公民个人的自然信息,如姓名、电话、体重身高、既往病史、情感经历、兴趣爱好等信息;公民个人的社会信息:如家庭住址、家庭关系、社会状况、工作单位、个人履历等信息。首先,我们要了解关于个人信息法律属性的学说。目前主要分为所有权说、人格权说、隐私权说等三种观点。以上的几种学说都是根据不同的历史条件和特定的地域而形成的。但是我国目前范围内关于个人信息权是刚刚兴起的,对于其主要的法律属性没有明确的定位,现在主要支持的是人格权说。其次,认清个人信息的人格权属性以及财产属性。随着社会的不断的向前发展,人格权的物质利益逐渐凸显出来,某些不法的组织为追求利益,就公然擅自开发人格利益的财产价值。因此在司法的过程之中我们要不断地进行实践,并且不断地完善相关的法律,保护公民的个人信息权。
(二)明确与个人信息相关联的概念
首先,明确个人信息与个人隐私联系。个人信息包含个人隐私,我们要在刑法设置上保护公民个人信息,保障公民个人领域的平稳、安定并且必须保障公民个人的隐私不受到任何不合理的侵害。但是在目前情况下,每个人都依赖隐私权得到维护从而获得平稳的生活,同时隐私权又与人的尊严和性格相连接,因此对于公民信息权的保护要不断进行加强。其次,理清个人信息与个人资料、个人数据的关系。两者既相互关联也存在区别,两者所关注的重点不同,具体来说个人资料关注是具体的表现形式,具体的内容以及人与人之间的关系并不是十分关注。但是个人信息关注的重点在人与人之间的关系。
(三)我国公民个人信息受侵犯的现状
在我国侵犯公民个人信息的现象大量存在,主要具有以下特点:首先,公民个人信息受侵犯是手段十分多样化。比如:通过传播“木马”病毒窃取、通过设立虚假或假冒网站窃取、通过非法手段对用户的电子邮件进行跟踪等等;其次,公民个人信息被泄露的次数多。据公安部2012年到2013年开展的专项打击侵害个人信息犯罪活动专项行动的成果显示:破获案件4300余起,打掉团伙近1000个,查获公民信息高达50亿条。由此可见,犯罪程度之深。[1]再次,公民个人信息受侵犯的范围十分广。比如:通过网络购物、支付平台、社会交往、商业贸易等等。百姓在网上实名注册并提供个人详细信息的现象也越来越流行,使这些单位很容易地获得了公民个人信息,造成了个人信息泄露严重,急需法律严格规定。
三、我国公民个人信息保护的立法
关于我国刑法对公民个人信息保护的立法,1997年《刑法》没有这方面的相关规定,刑法对侵犯公民个人信息犯罪的规定是由《刑法修正案(七)》开始的,《刑法修正案(九)》进行了完善,主要表现在以下几个方面。
(一)扩大了犯罪主体的范围
《刑法修正案(七)》在刑法第二百五十三条后增加一条,作为第二百五十三条之一,由条文中规定可知:《刑法修正案(七)》对此罪所采取的是特殊的犯罪主体,即仅限于“国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员”。在没有明确的司法解释出台之前,并且根据罪刑法定原则的相关要求,我们只能采用在上述法条列举的几种情况。[2]但《刑法修正案(九)》第17条新规定删除了上述限制,将犯罪主体扩大为一般主体及单位,扩大了犯罪主体的范围,起到了很好的震慑作用。
(二)犯罪客观方面包涵所有的“提供”行为
在犯罪客观方面,《刑法修正案(九)》颁布以前,刑法条文指出“出售、非法提供和非法获取”这三种本罪行为方式。一些笔者甚至一些从事法律的工作人员认为条文的规定是不完善的,其中所列举的太过于局限,并不能完全解决现实社会中所有侵犯公民个人信息的违法行为。目前我国的司法实践过程之中,侵犯公民的信息权利的行为方式确实不只有这几种。最常见就是,非法使用个人信息行为或者擅自披露个人的信息。这样的行为一样会是公民的信息权造成危害。其中最严重的就是人肉搜索这种擅自披露公民个人信息权的行为。这种行为将公民的个人信息完全暴露在公众的视野之内,并且自身的隐私权受到严重的危害,而且还会遭到辱骂,这样的行为,给公民带来严重的危害。《刑法修正案(九)》规定“向他人出售或者提供公民个人信息”,这就意味着只要是出售或者违反规定提供,情节严重的都要追究。恰好弥补了这一空白点,体现出对个人信息有了更大边界的保护,目的就在于扩大了此类犯罪的客观行为方式,加大了惩罚犯罪的范围,保障公民的合法权利。
(三)刑罚配置相对完善,加大处罚力度
《刑法修正案(七)》规定凡是构成此罪的最高刑期均为三,但是这样的规定也是不完全合理的。《刑法修正案(九)》在刑罚配置方面做出了明确的完善,把最高刑期提高至七年,加大了惩罚力度,由此可见立法机关在刑罚上采取了更加严厉的打击方式。此次《刑法修正案(九)》对“253条之一”的修改,将会使得公民个人信息被侵犯的情形相对减少,有利于社会的稳定发展。
四、我国个人信息权在刑法保护中的缺陷及对策
(一)公民个人信息的界定不明确
我国目前现行的法律并没有对公民个人信息做出明确的界定。我国首先是在《刑法修正案(七)》中规定了“公民个人信息”一词,但目前刑法条文以及相关司法解释还没有就什么才是公民个人信息做出更加准确的规范。因为没有权威的认定,导致现在司法实践的过程之中出现诸多的困难,学术界也是存在着百家争鸣。但是最终关于哪些信息才是本罪的犯罪对象,才能作为公民个人信息的界定,我们还是根据刑法之中的立法原意进行判断和界定。目前,在我国现在的司法实践之中还是普遍存在人为对刑法之中的模糊概念不加限定,这样虽然利于目前的司法实践,符合刑法增加此罪的目的。但是最好还是要对刑法进行完善,明确指出本罪的犯罪对象。首先,我国应该尽快正式颁布《个人信息保护法》。目前,世界上的很多国家制定出台了《个人信息保护法》,通过刑法的强制性规定对侵犯公民个人信息的行为给予法律的规制。据不完全统计,全球已有《个人信息保护法》的国家和地区达到了50个。[3]我国还没有正式颁布《个人信息保护法》,因此,要加快颁布《个人信息保护法》的步伐。其次,明确个人信息法律保护的内容。法律应该明确:在某一范围内什么样的权利义务是允许个人信息使用的。一旦超出这样的领域,就要承担相应的法律责任。再次,个人信息保护的事前管理和事后救济制度都要完善。比如可以建立相应的监管部门,事前进行管理宣传。事后完善我国的司法救济制度。
(二)“情节严重”具体标准模糊
我国《刑法》第253条第2款对侵犯个人信息罪的“情节严重”程度进行明文规定,也就是说,如果某人侵犯了公民个人信息就构成了违法犯罪,如果对受害人造成的损失达不到“情节严重”,则不构成犯罪,反之则构成犯罪。但是对于区分情节严重与不严重的标准却没有完整的阐述,这种没有完整的标准形式对司法实践是具有重大的阻碍。何为情节严重,对于大量的侵犯个人信息的犯罪来说,由于该问题尚无立法或者司法上的解释,司法实践在具体的工作中难以有书面的文件作为裁判的标准,从而影响审理效果,容易出现标准不一、出入人罪的情况。对于一些情节比较严重的情形需要通过立法解释给予明确规定,从而为日后案件审理提供保证。因此,务必通过立法解释完善“情节严重”的具体界定。下列情形可以认为侵犯公民个人信息情节严重:第一,行为造成严重的后果的或者有恶劣的影响的视为情节严重。具体来说就是造成公民的人身权以及财产权的损害,对公民以后再社会上发展造成阻碍。第二,出售或者非法提供以及非法获取公民大量的信息数量较大并且次数较多的视为构成情节严重的行为。第三,行为人在出售或者非法泄露公民的信息之后,取得较高的利润。此上都属于情节严重的表现形式,也是明确情节严重的标准。拥有这些标准之后,可以使司法实践更加公正化,从而避免司法实践的过程之中出现不一致的现象,保证了司法公平。[4]
(三)罚金刑没有规定相应额度
随着时代的不断地向前发展,公民的个人信息不仅体现在精神属性而且体现在物质属性,因此刑法对侵犯公民信息的行为规定了罚金刑。在司法实践当中,由于没有规定具体的惩罚额度,法官会在自己的控制范围内扩大裁量权,在某种程度上有悖于刑法当中罪刑法定原则的实现。单纯只是由法官进行判罚也是不符合实际情况的,不能保证法律的公平性。因此,应该将无限额度罚金改为有限额度罚金,这样可以更加有效地促进平等的适用法律,对犯罪人进行更好地追究,同时也更加符合刑法的罪刑法定原则。
五、结语
在信息化的时代,公民对于个人信息也越来越重视。公民个人信息的法律保护包括刑法的保护已经成为了当前社会发展所不可忽视的问题。只有每个人的信息得到保护,公民自身才能具有更大的安全感和满足感,法律才会更加进步,社会才会稳定发展。本文对我国公民个人信息安全的现状进行了分析,阐述了目前我国对公民个人信息的立法完善,并且指出了存在的不足,希望能够对我国公民个人信息刑法保护的完善有所帮助。
[参考文献]
[1]何春中.为何会有大量公民个人信息泄露[N].中国青年报,2013-6-20(11).
[2]李雪燕.我国公民个人信息刑法保护制度研究[J].湖北函授大学学报,2014(12).
[3]周汉华.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006.28.
公民个人信息安全范文5
一、档案信息化过程中存在的安全问题
1.信息在传输、存储中存在泄露、损坏隐患。传统的档案运输和储存通常受到时间和空间的限制,需要耗费较多的人力、物力,但信息泄露的渠道较为单一,窃取和损坏信息的成本较高。而在信息化的档案管理中,档案数据的传输和存储一般通过互联网或者移动存储设备来进行,流通流程大大减少,成本低、速度快,但这同时也加大了信息泄露、丢失、篡改的风险,并且与传统纸质存储方式不同的是,数据信息一旦泄露便无法完全回收,这也导致其泄露的后果更为严重。而在档案的保管环节,也存在着数据损毁的风险,如不定期对电子器件、计算机系统进行定期的维护和更新,如一旦发生硬件损坏,就极有可能导致数据的丢失。2.恶意攻击和病毒威胁。病毒攻击对档案信息化建设有着巨大威胁。随着大数据和云计算技术的应用,档案存储方式多样化,许多机构选择将档案数据存放在第三方云平台来降低数据管理的成本,这也一定程度上增加了档案数据被攻击的风险。同时,由于对信息化的过度依赖,缺乏应急机制,当发生病毒攻击事件时,档案管理工作直接瘫痪,对公民造成不便。2017年5月,比特币勒索病毒在全球超过74个国家爆发流行,我国多所大学和政府机构的档案管理系统被攻击,公民个人信息、院校学术资料被窃取锁定,给国家和人民带来了巨大的经济损失。3.公民信息安全意识淡薄。公民个人信息安全意识淡薄也对我国的档案信息化管理造成了一定的影响。在公民进行电子信息的填报和存储时,对信息安全起不到足够的重视,如不注重个人电脑的病毒查杀和定期维护,浏览钓鱼网站使电脑被木马软件入侵等,这些行为都会导致公民的个人信息受到威胁。同时,在日常的信息数据处理时由于粗心大意,导致页面忘记关闭、密码没有遮挡等也都会泄露信息。2016年轰动一时的“高考志愿篡改”案的一部分原因就是由于部分考生未对初始密码进行修改,导致犯罪分子通过身份证信息来篡改这些考生的志愿,产生了极其恶劣的影响。
二、档案信息化的安全对策
公民个人信息安全范文6
关键词:金融消费者;个人金融信息;权益保护
中图分类号:F830.31 文献标识码:B 文章编号:1674-0017-2012(10)-0038-03
一、基本情况
本文调查采取实地调查和问卷调查相结合的方式,对克拉玛依市工、农、中、建、邮储、昆仑银行等全部7家银行机构进行了实地调查,并选取100名一般居民和个体工商户发放100份调查问卷,问卷回收率为100%。
(一)金融机构个人金融信息管理意识较弱。从被调查金融机构情况来看,金融机构对个人金融信息保护的意识较为薄弱,普遍未认识到个人金融信息是关乎客户隐私保护和金融安全的重要因素,辖区7家银行机构均未将个人金融信息泄漏作为一种重要风险来对待,未将个人金融信息保护纳入金融机构整体风险管理框架中。调查还显示,75%的一般居民和个体工商户表示金融机构在对其营销业务产品和提供服务过程中未进行个人金融信息保护知识的培训,未履行对客户风险防护和告知义务;仅25%表示在办理业务中金融机构提及过。
(二)金融机构个人金融信息管理制度建设不到位。从实地调查情况看,辖区银行机构均建立了金融消费者保护工作机构,并建立健全相应的管理制度,但在个人金融信息保护制度建设方面还不到位,辖区7家银行机构均未形成完善的个人金融信息保护管理制度,已有的制度主要分散于信息安全管理或银行卡、存贷款等各类具体业务制度中,没有形成体系,也不符合《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》规定的要求覆盖信息采集、传输、加工、保存、使用和销毁等所有工作环节的要求。
(三)客户个人金融信息保护意识整体不强。金融机构客户层次有差异,素质参差不齐,对个人金融信息保护工作的认知度一般,调查显示25%的一般居民和个体工商户对个人金融信息领域金融消费者权益保护工作比较了解,40%的听说过,35%表示不知道;55%的被调查居民和个体工商户对个人金融信息的如何使用保管表示不了解,知道一些的仅占25%,且都在不同程度上存在办理业务时的泄露个人金融信息的现象;65%的被调查居民和个体工商户不清楚个人金融信息泄露的途径以及相应的维权措施,了解的仅占15%。
二、个人金融信息领域金融消费者权益保护不足和问题
(一)个人金融信息保护法律不完善、行政法律责任缺失。一是目前我国尚未设立专门的个人信息保护法,立法散乱,呈零星、分散状态,不成体系,主要是:《宪法》中规定公民的人格尊严不受侵犯、公民住宅不受侵犯、公民享有通信自由和通信秘密的权利、国家尊重和保障人权等。在《民法通则》中规定公民、法人享有名誉权。《刑法修正案》中规定了出售、非法提供公民个人信息罪及非法获取公民个人信息罪两个罪名。二是行政责任缺失,对于侵犯银行客户个人信息但尚未构成犯罪的行为,没有规定直接适用的罚则,监管部门也缺乏对金融机构违规泄漏客户信息进行处罚的直接依据。
(二)金融机构个人金融信息管理内控机制不健全。辖区金融机构普遍未形成个人金融信息保护的有效组织管理机制,各业务部门在个人金融信息保护方面各自为政,缺乏统一管理。一是没有专门的组织机构,缺乏专职个人信息保护人员,个人信息保护的职能难于充分发挥。二是信息查询监测不到位,缺乏信息调阅查询的监测检查记录,难于跟踪个人信息使用的全过程。三是个人信息保护保密安全教育不到位,对外包人员行为的控制也有所欠缺。
(三)金融机构个人金融信息技术管控能力不强、信息系统建设管理不完善。金融机构存储个人金融信息的系统建设管理不完善,各系统缺乏保护监督制约机制,未对系统进行统一整合。以农业银行为例,当前个人金融信息分散在存贷款、支付结算、银行卡、电子银行等业务中,业务又分属不同部门运营,且由不同信息系统支持,形成许多信息孤岛,使得信息保护更加困难。一是各系统之间缺乏信息保护监督制约机制,对系统查询信息的权限控制不足,工作人员查询时,往往能够获取超过其权限的信息。二是技术防控手段较弱,安装或使用个人金融信息系统的计算机未设置光驱、USB等数据输出屏蔽设备,对信息的导出、下载、打印、复制难以有效实施管控。
(四)对个人金融信息保护工作监管不到位。2011年人民银行出台了《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》,但总体来说监管还处于起步阶段。一是现有监管制度较为零散且可操作性不强,主要针对存款、电子银行、信用卡业务等领域的个人信息保护作出个别规定,无法覆盖各类业务,也不能全面规范个人信息采集、使用、保管的全流程。二是针对性不强,如《个人存款账户实名制管理规定》主要是针对个人存款账户个人信息的管理,《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》是为加强反洗钱监管,不是针对个人信息保护。
三、发达国家经验借鉴
(一)确立对隐私权和个人信息权的法律地位。在很多国家,个人信息保护方面的法律直接采用“个人隐私”称谓,如1974年美国《隐私权法》、1988年澳大利亚《隐私权法》、德国《联邦数据保护法》、英国1998年《数据保护法》等,都无一例外地把保护个人隐私权和信息权作为首要任务。美国国会于1978年通过的《金融隐私权法》(RFPA)主要用于保护客户隐私,《金融服务现代法》,要求每个金融机构有明确和长期的尊重客户隐私义务,并保护客户的非公开信息的安全性和机密性。
(二)针对个人金融信息保护的法律防范措施。为保护消费者的隐私权,各国对数据的采集、利用、保管都有明确规定。如欧盟《个人数据保护指令》以法律形式明确数据使用管理六大原则:一是合法性原则,个人数据仅为指定目的而处理;二是终极原则,个人数据仅为指定、明示、合法的目的而收集,不得与目的相违背;三是透明性原则,应当告知当事人有关数据处理情况;四是合适原则,收集处理数据时应保证数据的充分性、相关性和合适性;五是个人保密性和安全性原则,应采取相应的手段、措施确保处理信息的保密性和安全性;六是监控性原则,数据保护机构应该监控数据的处理,数据使用只有经数据主体明确表示同意才能进行处理,若未征得客户同意,超出使用目的使用个人信息属违法行为。
(三)建立完善的权利救济制度。一是建立民事责任制度。根据欧盟《个人数据保护指令》,对于非法收集、处理、使用个人信息,故意或过失提供错误信息或不完整信息等给有关当事人造成损害的,都应当承担民事赔偿责任。二是行政救济制度。确立个人信息保护机构,负责个人信息保护法规的执行和对信息控制人的监督,并采取行政措施防止违法行为的发生或及时制止违法行为。如德国的联邦数据保护专员对未经授权收集、处理通常情况下无法取得的个人数据等严重违法行为处以25万欧元以下的罚款。三是刑事责任的规定,对违反个人信息保护法律规定的行为,造成信息非法泄露而侵犯个人隐私或引起资金安全损失的要严格追究刑事责任。
四、对策建议
(一)健全完善个人金融信息法律法规体系。一是尽快制定《个人信息保护法》,明确个人信息的法律性质、立法宗旨、基本原则、信息主体对本人信息享有的权利、侵犯个人信息权利的救济等重要问题,保证整个法律体系的系统性和协调性。二是建议在国家层面建立一整套系统化、多层次的个人信息保护法规制度,如完善信息主体权益保护法规制度,完善征信监管主体法规制度,建立依法合规的个人信息查询办法和规定,建立行业监管机制等。三是明确并设立专门个人信息管理机构,对使用私人信息的社会团体或个人进行严格监督,同时确立信息侵权的民事赔偿责任制度,通过行政、司法等手段将信息收集、处理和使用机构及其工作人员故意泄露信息、篡改信息、损害个人信用行为应当承担损害赔偿责任以及法律责任。
(二)加强对金融机构的监督管理。一是将个人金融信息保护纳入对银行总体风险监管框架中,制定个人信息保护部门监督管理制度,对客户个人信息的采集、使用、保管、保密等环节作出详细规定,明确对金融机构违规泄漏客户个人信息的监管处罚措施。二是建立统一的个人金融信息保护的规范和标准,促进金融机构构建个人信息保护工作体制和机制,更好地保护个人信息。三是加强对金融机构个人金融信息保护工作检查监测力度,督促加强信息系统安全管理,规范个人信息数据库管理。
(三)健全金融机构个人信息安全保护内控制度。一是督促金融机构应尽快完善个人信息管理规章制度,对个人信息采集、使用、存储管理做出明确规定,有效保护客户个人信息安全;二是明确各岗位人员保密管理职责权限,制定安全控制流程,对信息查阅、下载、拷贝实行严格审批、登记和权限管理;三是强化监督问责,定期对信息安全状况进行评估、审计和检查监督,同时监督机构应加大对金融机构涉及客户信息系统执法检查力度,排查个人金融信息外泄隐患。
(四)加强金融机构系统技术支持和管理。一是提升信息安全保护水平,综合运用先进的防火墙、身份识别与认证、数据加密、数字签名、第三方认证以及网络安全监控等技术并及时更新,有效防范来自于外部的攻击。二是强化内部信息管理,建立健全完整的信息系统监测制度,通过软硬件等方式切断或控制接入信息系统的计算机信息输出功能,并建立各种违规操作信息系统安全预警机制。三要进一步整合完善个人金融信息系统建设与管理工作,全面整合金融机构业务部门个人金融信息,以便于进行统一保护管理。
(五)加强个人金融信息保护宣传教育力度。一方面加强对金融机构员工安全保密教育管理,增强员工法律意识,认真落实加强个人金融信息保护的各项法律规定和规章,严格遵守“为客户保密”的原则,杜绝信息非法使用、泄露和出售事件的发生。同时,金融机构应严格履行信息披露和安全提示职责,及时告知客户个人金融信息泄漏后造成的风险以及信息泄露后如何处置和维权,并引导客户采取安全有效的方式保护客户个人金融信息。另一方面,注重提高公民自我保护意识,通过开展形式多样的专题宣传教育活动,积极引导民众注意保护个人信息,提高防范意识。
参考文献
[1]唐友伟.对商业银行个人金融信息保护工作的调查与思考[J].中国信用卡,2012,(3):32-34。
[2]唐友伟.个人金融信息保护工作亟待完善[J].金融会计,2012,(4):64-66。
[3]张志峰.个人金融信息保护法律的探讨[N].金融时报.2011-07-18。