关于制订广东省个人信息保护条例的建议

发布日期：2017-01-22

提案第20170176号

案题：关于制订广东省个人信息保护条例的建议

提出人：农工党广东省委会(共1名)

分类：政法

近年来，互联网新技术正前所未有的改变着个人信息的收集、处理和使用方式，对个人信息保护带来挑战。网络时代和大数据的使用在很大程度上加大了个人隐私泄露的风险，更容易侵犯个人信息。山东临沂“徐玉玉被电信诈骗致死案”轰动全国，更是折射出个人信息保护的严峻形势。

一、个人信息保护立法存在的主要问题

(一)个人信息法律保护缺乏专门性规定

当前，我国对个人信息保护的法律主要在行政法规和部门规章中，缺少个人信息保护方面的专门性立法，没有一部基本法律来全面系统地就个人信息保护的基本原则、个人信息主体的权利、监管机构及其职责、个人信息和隐私权受到侵犯时有效权利救济等重要问题作出规定。

(二)个人信息保护监管缺乏有效的执法和保障机制

个人信息保护属于多头监管，多头监管容易造成监管无序。公安部、工信部、国家工商总局、商务部、中国人民银行、银监会、保监会、证监会等都负有个人信息监管职责，实践中没有得到很好地执行。

二、加快个人信息安全保护立法的必要性、迫切性及合法性

(一)必要性

纵观专门涉及个人信息安全的法规、条例、办法，有几方面特点：从颁布者来看，为国务院、工业和信息化部、公安部等行政部门，部门法规的效力和权威要低于国家法律;从内容来看，对侵害个人信息安全的行为的界定、处置依据尚比较模糊，对各类参与主体的责任划分不够清晰明确，特别是对互联网企业在信息安全方面没有明确的规定，难以适应当前严峻的互联网个人信息安全形势。

(二)迫切性

随着大量个人信息泄露事件的发生，公民私权意识的增强，以及信息技术尤其是大数据应用的发展，个人信息保护的立法更具迫切性。针对个人信息保护的现实需要，加快对个人信息保护方面的立法，在严格保护个人隐私的前提下推动大数据建设，是我们迫在眉睫的形势需要。

(三)合法性

目前国家没有关于个人信息安全保护的专门性法律，一些个人信息保护相关的法律规定散见于单项法律法规中，主要有：

《宪法》中关于公民人格尊严不受侵犯的规定被作为保护公民个人信息的基础。《民法通则》中针对公民人格尊严受法律保护的规定成为该部门法保护个人信息的基础。2009年刑法修正案(七)增加了两个罪名，即出售、非法提供公民个人信息罪和非法获取公民个人信息罪。2015年，刑法修正案(九)又对此进行了修改，确立了侵犯公民个人信息罪。然而，刑法打击的范围有限，仅指向向他人出售或提供公民个人信息的不法分子，对更为广泛存在的需求端并没有做出规范。2016年11月7日《中华人民共和国网络安全法》作为我国网络领域的基础性法律，明确加强对个人信息保护，打击网络诈骗。民法总则(草案二审稿)首次明确，公民个人信息受法律保护，强调任何组织和个人不得非法收集、利用、加工、传输个人信息，不得非法提供、公开或出售个人信息，迈出我国加强公民个人信息保护的第一步

综上所述，个人信息安全已经引起了立法界较高程度的关注，对个人信息保护而言，更多的保护发生在民事和行政领域，这也是大数据能够得以健康发展的社会基础。我国已经在个人信息安全立法方面建立了《中华人民共和国个人信息保护法》基本框架。

我省如果能加快制定出台专门性的个人信息保护领域的法律法规，在国内将是重要的创新，也是我省当好实践科学发展排头兵的具体体现。

三、加快制定个人信息保护条例的基本原则和主要内容个人信息保护条例以是公民个人和法人或其他组织在收集、处理和利用个人信息的过程中发生的社会关系为调整对象的法律。调整的是平等主体之间的民事法律关系和纵向的行政法律关系，个人信息保护同时涉及信息主体的人格权保护和财产权保护。

(一)个人信息保护的一般规定和基本原则

首先应当明确个人信息权利的私权性质，明确规定个人享有的信息保护权。对个人信息的概念进行定义，个人信息不仅局限于涉及到隐私权或人格权，任何人都享有与其相关的个人信息保护的权利;对个人相关数据信息的人身性和财产性分别加以规定和保护，以逐步完善对个人数据信息的保护。个人信息保护条例适用于中华人民共和国境内或者中华人民共和国主权范围内所有主体(自然人和法人或其他组织)所涉及的收集与处理个人信息(包括境外信息)的活动。包括以下主要原则：

·知情同意原则，即个人信息的收集应当合法公正，没有法律规定或在信息主体知情同意下，不得收集;进而应当充分尊重交易双方在个人信息安排和处分中的意愿自治原则。

·搜集限制原则，即所搜集的个人信息的种类应当法定，同时，对任何个人信息的搜集都应该采取合法、公开的手段和方式，并于适当的场合通知信息本人或取得信息本人的同意。

·限制利用原则，对个人信息的处理和利用必须与收集目的一致，必要情况下的变更应有法律依据或取得信息主体同意。

·关键信息基础设施实行重点保护原则，关键信息基础设施的运营者应当存储在中华人民共和国境内运营中收集和产生的公民个人信息等重要数据;应兼顾信息流动和国家信息安全。

四、进一步明确特定领域的保护对于特定领域的个人信息的保护，应当制定明确的法律规范。比如互联网领域、医疗信息领域、儿童信息领域和电信及金融信息等领域的保护。尤其是金融信息和通讯信息，涉及用户的重大利益，同时也涉及国家的金融和信息安全。

五、关于保护方法和保护机制在个人信息的法律保护方面，应当是采取直接的保护方法，即在政府主导下的个人数据信息的保护模式。制定统一的个人信息保护法，尽快形成个人信息保护的中国立法路径。

在个人信息的获取、搜集、持有、使用、传输、处理和营销等各个环节应建立相应的管理保护机制;在法律责任方面，构建个人信息侵权责任追究和赔偿机制，进一步加重其民事责任及行政责任。对于非法搜集、营销以及其他非法使用个人信息，构成犯罪的，依法追究刑事责任。

六、设立独立的个人信息保护监督机构个人信息保护监督机构是保护与信息数据处理相关的基本权利的监督机构，负责监督执行个人信息保护条款;处理公民提起的申诉和控告;终止或关闭对个人产生伤害的数据处理活动;检查数据主体和使用部门所进行的数据处理活动;提升公众隐私权保护意识;对个人信息保护活动进行监督检查并处以行政处罚;发挥辅助司法机关处理个人信息争议的作用。

关于制订广东省个人信息保护条例的建议

数字证书

技术支持

关于沃通

旗下网站