電信用戶個人信息的法律保護

電信企業(yè)用戶信息的法律保護/碩士生導師貴州輔正律師事務所律師中國財稅法研究會理事2012年5月16日一、用戶信息保護的法律規(guī)定截至目前，涉及個人信息保護的法律有30余部，行政法規(guī)達40余部，行政規(guī)章達200余部，地方性法規(guī)及地方規(guī)章未有完全統(tǒng)計?，F(xiàn)就主要的法律規(guī)定進行梳理如下：1、中華人民共和國憲法第三十三條凡具有中華人民共和國國籍的人都是中華人民共和國公民。中華人民共和國公民在法律面前一律平等。國家尊重和保障人權。第三十八條中華人民共和國公民的人格尊嚴不受侵犯。禁止用任何方法對公民進行侮辱、誹謗和誣告陷害。第三十九條中華人民共和國公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。第四十條中華人民共和國公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要，由公安機關或者檢察機關依照法律規(guī)定的程序對通信進行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。第四十一條中華人民共和國公民對于任何國家機關和國家工作人員，有提出批評和建議的權利；對于任何國家機關和國家工作人員的違法失職行為，有向有關國家機關提出申訴、控告或者檢舉的權利，但是不得捏造或者歪曲事實進行誣告陷害。對于公民的申訴、控告或者檢舉，有關國家機關必須查清事實，負責處理。任何人不得壓制和打擊報由于國家機關和國家工作人員侵犯公民權利而受到損失的人，有依照法律規(guī)定取得賠償?shù)臋嗬５谒氖邨l中華人民共和國公民有進行科學研究、文學藝術創(chuàng)作和其他文化活動的自由。國家對于從事教育、科學、技術、文學、藝術和其他文化事業(yè)的公民的有益于人民的創(chuàng)造性工作，給以鼓勵和幫助。第五十一條中華人民共和國公民在行使自由和權利的時候，不得損害國家的、社會的、集體的利益和其他公民的合法的自由和權利。中華人民共和國憲法修正案（2004年）第二十四條憲法第三十三條增加一款，作為第三款：“國家尊重和保障人權?！钡谌钕鄳馗臑榈谒目?。（個人信息的泄露等涉及到個人隱私、人格尊嚴、人格自由等——韓寒博文——《太平洋的風》所提及的核心價值觀——誠實、善良、勤奮、進取、包容的核心價值）2、中華人民共和國民法通則第九十九條公民享有姓名權，有權決定、使用和依照規(guī)定改變自己的姓名，禁止他人干涉、盜用、假冒。法人、個體工商戶、個人合伙享有名稱權。企業(yè)法人、個體工商戶、個人合伙有權使用、依法轉讓自己的名稱。第一百條公民享有肖像權，未經(jīng)本人同意，不得以營利為目的使用公民的肖像。第一百零一條公民、法人享有名譽權，公民的人格尊嚴受法律保護，禁止用侮辱、誹謗等方式損害公民、法人的名譽。第一百零二條公民、法人享有榮譽權，禁止非法剝奪公民、法人的榮譽稱號。（“母女情深”案）3、中華人民共和國婦女權益保障法（2005修正）第四十二條婦女的名譽權、榮譽權、隱私權、肖像權等人格權受法律保護。禁止用侮辱、誹謗等方式損害婦女的人格尊嚴。禁止通過大眾傳播媒介或者其他方式貶低損害婦女人格。未經(jīng)本人同意，不得以營利為目的，通過廣告、商標、展覽櫥窗、報紙、期刊、圖書、音像制品、電子出版物、網(wǎng)絡等形式使用婦女肖像。（如前段時間在網(wǎng)絡上經(jīng)常發(fā)生擅自發(fā)他人裸照在網(wǎng)上，將他人的隱私信息公布，用他人肖像打衛(wèi)生巾廣告等）4、中華人民共和國未成年人保護法第三十九條任何組織或者個人不得披露未成年人的個人隱私。對未成年人的信件、日記、電子郵件，任何組織或者個人不得隱匿、毀棄；除因追查犯罪的需要，由公安機關或者人民檢察院依法進行檢查，或者對無行為能力的未成年人的信件、日記、電子郵件由其父母或者其他監(jiān)護人代為開拆、查閱外，任何組織或者個人不得開拆、查閱。（貴州省未成年人保護條例及刑法修正案八還規(guī)定了未成年人犯罪消除記錄制度，對此類記錄亦不得擅自發(fā)布；孩子剛出生信息就泄露）《貴州省未成年人保護條例》（2010年修正）第五十條對不起訴、免予刑事處罰或者宣告緩刑、解除違法行為教育矯治、刑滿釋放以及受過治安管理處罰的未成年人，其復學、升學、就業(yè)等不受歧視。對違法和輕微犯罪的未成年人，可以試行違法和輕罪記錄消除制度。5、中華人民共和國消費者權益保護法第十四條消費者在購買、使用商品和接受服務時，享有其人格尊嚴、民族風俗習慣得到尊重的權利。第二十五條經(jīng)營者不得對消費者進行侮辱、誹謗，不得搜查消費者的身體及其攜帶的物品，不得侵犯消費者的人身自由。第四十三條經(jīng)營者違反本法第二十五條規(guī)定，侵害消費者的人格尊嚴或者侵犯消費者人身自由的，應當停止侵害、恢復名譽、消除影響、賠禮道歉，并賠償損失。（不論電信企業(yè)還是銀行、保險、證券、房屋中介等，消費者的個人信息容易泄露，進而會侵犯消費者人格尊嚴）《貴州省消費者權益保護條例》第二十條經(jīng)營者應當為消費者提供安全的消費環(huán)境，其經(jīng)營場地、服務設施、店堂裝潢、商品陳列等應當符合保障人身、財產安全的要求，對可能危及人身、財產安全的，應當設置警示標志，并采取相應的防范措施。經(jīng)營者在經(jīng)營場所采用的安全監(jiān)控措施，不得侵害消費者的隱私權。（上海地鐵熱吻案）第二十五條經(jīng)營者提供商品或者服務時，不得要求消費者提供與消費無關的個人信息。未經(jīng)消費者同意，經(jīng)營者不得將消費者的姓名、性別、職業(yè)、年齡、住址、身份證號碼、學歷、聯(lián)系方式、婚姻狀況、工作單位、收入和財產狀況、指紋、血型、病史等個人信息及其家庭的有關信息向第三人披露或者用于其他用途。法律、法規(guī)另有規(guī)定的，從其規(guī)定。

第二十七條第三款：醫(yī)療機構及其醫(yī)務人員應當依法維護患者在接受醫(yī)療服務中的知情權、隱私權。對患者或者其直系親屬、監(jiān)護人查閱、復印處方箋、住院志、醫(yī)囑單、檢驗檢查報告、手術及麻醉記錄單等病歷資料提供方便；未經(jīng)患者或者其直系親屬、監(jiān)護人同意，不得公開患者病情。第五十九條違反本條例規(guī)定，有下列情形之一的，可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處以違法所得1倍以上5倍以下罰款；沒有違法所得的，處以1萬元以下罰款；情節(jié)嚴重的，責令停業(yè)整頓：（八）未經(jīng)消費者同意，向第三人披露消費者個人信息；

6、中華人民共和國郵政法（2009年修正）第三條公民的通信自由和通信秘密受法律保護。除因國家安全或者追查刑事犯罪的需要，由公安機關、國家安全機關或者檢察機關依照法律規(guī)定的程序對通信進行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。除法律另有規(guī)定外，任何組織或者個人不得檢查、扣留郵件、匯款。第七條郵政管理部門、公安機關、國家安全機關和海關應當相互配合，建立健全安全保障機制，加強對郵政通信與信息安全的監(jiān)督管理，確保郵政通信與信息安全。第三十五條任何單位和個人不得私自開拆、隱匿、毀棄他人郵件。除法律另有規(guī)定外，郵政企業(yè)及其從業(yè)人員不得向任何單位或者個人泄露用戶使用郵政服務的信息。

第三十六條因國家安全或者追查刑事犯罪的需要，公安機關、國家安全機關或者檢察機關可以依法檢查、扣留有關郵件，并可以要求郵政企業(yè)提供相關用戶使用郵政服務的信息。郵政企業(yè)和有關單位應當配合，并對有關情況予以保密。

7、中華人民共和國電信條例第四條電信監(jiān)督管理遵循政企分開、破除壟斷、鼓勵競爭、促進發(fā)展和公開、公平、公正的原則。電信業(yè)務經(jīng)營者應當依法經(jīng)營，遵守商業(yè)道德，接受依法實施的監(jiān)督檢查。第六條電信網(wǎng)絡和信息的安全受法律保護。任何組織或者個人不得利用電信網(wǎng)絡從事危害國家安全、社會公共利益或者他人合法權益的活動。第五十七條任何組織或者個人不得利用電信網(wǎng)絡制作、復制、發(fā)布、傳播含有下列內容的信息：（八）侮辱或者誹謗他人，侵害他人合法權益的；第五十八條任何組織或者個人不得有下列危害電信網(wǎng)絡安全和信息安全的行為：（二）利用電信網(wǎng)從事竊取或者破壞他人信息、損害他人合法權益的活動；第六十六條電信用戶依法使用電信的自由和通信秘密受法律保護。除因國家安全或者追查刑事犯罪的需要，由公安機關、國家安全機關或者人民檢察院依照法律規(guī)定的程序對電信內容進行檢查外，任何組織或者個人不得以任何理由對電信內容進行檢查。電信業(yè)務經(jīng)營者及其工作人員不得擅自向他人提供電信用戶使用電信網(wǎng)絡所傳輸信息的內容?！痘ヂ?lián)網(wǎng)信息服務管理辦法》第十五條互聯(lián)網(wǎng)信息服務提供者不得制作、復制、發(fā)布、傳播含有下列內容的信息：（八）侮辱或者誹謗他人，侵害他人合法權益的；（九）含有法律、行政法規(guī)禁止的其他內容的。第十六條互聯(lián)網(wǎng)信息服務提供者發(fā)現(xiàn)其網(wǎng)站傳輸?shù)男畔⒚黠@屬于本辦法第十五條所列內容之一的，應當立即停止傳輸，保存有關記錄，并向國家有關機關報告。第十八條國務院信息產業(yè)主管部門和省、自治區(qū)、直轄市電信管理機構，依法對互聯(lián)網(wǎng)信息服務實施監(jiān)督管理。新聞、出版、教育、衛(wèi)生、藥品監(jiān)督管理、工商行政管理和公安、國家安全等有關主管部門，在各自職責范圍內依法對互聯(lián)網(wǎng)信息內容實施監(jiān)督管理。8、中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法第十八條用戶應當服從接入單位的管理，遵守用戶守則；不得擅自進入未經(jīng)許可的計算機系統(tǒng)，篡改他人信息；不得在網(wǎng)絡上散發(fā)惡意信息，冒用他人名義發(fā)出信息，侵犯他人隱私；不得制造、傳播計算機病毒及從事其它侵犯網(wǎng)絡和他人合法權益的活動。用戶有權獲得接入單位提供的各項服務；有義務交納費用。9、互聯(lián)網(wǎng)電子郵件服務管理辦法第九條互聯(lián)網(wǎng)電子郵件服務提供者對用戶的個人注冊信息和互聯(lián)網(wǎng)電子郵件地址，負有保密的義務?；ヂ?lián)網(wǎng)電子郵件服務提供者及其工作人員不得非法使用用戶的個人注冊信息資料和互聯(lián)網(wǎng)電子郵件地址；未經(jīng)用戶同意，不得泄露用戶的個人注冊信息和互聯(lián)網(wǎng)電子郵件地址，但法律、行政法規(guī)另有規(guī)定的除外。10、互聯(lián)網(wǎng)電子公告服務管理規(guī)定第十二條

電子公告服務提供者應當對上網(wǎng)用戶的個人信息保密，未經(jīng)上網(wǎng)用戶同意不得向他人泄露，但法律另有規(guī)定的除外。第十九條違反本規(guī)定第十二條的規(guī)定，未經(jīng)上網(wǎng)用戶同意，向他人非法泄露上網(wǎng)用戶個人信息的，由省、自治區(qū)、直轄市電信管理機構責令改正；給上網(wǎng)用戶造成損害或者損失的，依法承擔法律責任。

11、中華人民共和國治安管理處罰法第四十二條有下列行為之一的，處五日以下拘留或者五百元以下罰款；情節(jié)較重的，處五日以上十日以下拘留，可以并處五百元以下罰款：（五）多次發(fā)送淫穢、侮辱、恐嚇或者其他信息，干擾他人正常生活的；（六）偷窺、偷拍、竊聽、散布他人隱私的。

12.計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法第七條用戶的通信自由和通信秘密受法律保護。任何單位和個人不得違反法律規(guī)定，利用國際聯(lián)網(wǎng)侵犯用戶的通信自由和通信秘密。13、醫(yī)務人員醫(yī)德規(guī)范及實施辦法第三條醫(yī)德規(guī)范如下（五)為病人保守醫(yī)密。實行保護性醫(yī)療，不泄露病人隱私與秘密。醫(yī)療機構病歷管理規(guī)定第五條醫(yī)療機構應當嚴格病歷管理，嚴禁任何人涂改、偽造、隱匿、銷毀、搶奪、竊取病歷。第六條除涉及對患者實施醫(yī)療活動的醫(yī)務人員及醫(yī)療服務質量監(jiān)控人員外，其他任何機構和個人不得擅自查閱該患者的病歷。因科研、教學需要查閱病歷的，需經(jīng)患者就診的醫(yī)療機構有關部門同意后查閱。閱后應當立即歸還。不得泄露患者隱私。14、中華人民共和國執(zhí)業(yè)醫(yī)師法第二十二條醫(yī)師在執(zhí)業(yè)活動中履行下列義務：（三）關心、愛護、尊重患者，保護患者的隱私；第三十七條醫(yī)師在執(zhí)業(yè)活動中，違反本法規(guī)定，有下列行為之一的，由縣級以上人民政府衛(wèi)生行政部門給予警告或者責令暫停六個月以上一年以下執(zhí)業(yè)活動；情節(jié)嚴重的，吊銷其執(zhí)業(yè)證書；構成犯罪的，依法追究刑事責任：（九）泄露患者隱私，造成嚴重后果的；15、中華人民共和國傳染病防治法第六十八條疾病預防控制機構違反本法規(guī)定，有下列情形之一的，由縣級以上人民政府衛(wèi)生行政部門責令限期改正，通報批評，給予警告；對負有責任的主管人員和其他直接責任人員，依法給予降級、撤職、開除的處分，并可以依法吊銷有關責任人員的執(zhí)業(yè)證書；構成犯罪的，依法追究刑事責任：（五）故意泄露傳染病病人、病原攜帶者、疑似傳染病病人、密切接觸者涉及個人隱私的有關信息、資料的。16、艾滋病監(jiān)測管理的若干規(guī)定（1987年）第二十一條任何單位和個人不得歧視艾滋病病人、病毒感染者及其家屬。不得將病人和感染者的姓名、住址等有關情況公布或傳播。（有些地方實行艾滋病實名制導致登記和治療率下降，也是擔心個人信息泄露）17、中華人民共和國母嬰保健法第三十四條從事母嬰保健工作的人員應當嚴格遵守職業(yè)道德，為當事人保守秘密。（孩子剛出生信息就被賣的現(xiàn)象十分普遍，醫(yī)院負有不可推卸的責任）18、中華人民共和國商業(yè)銀行法第六條商業(yè)銀行應當保障存款人的合法權益不受任何單位和個人的侵犯。第二十九條：商業(yè)銀行辦理個人儲蓄存款業(yè)務，應當遵循存款自愿、取款自由、存款有息、為存款人保密的原則。對個人儲蓄存款，商業(yè)銀行有權拒絕任何單位或者個人查詢、凍結、扣劃，但法律另有規(guī)定的除外。第三十條：對單位存款，商業(yè)銀行有權拒絕任何單位或者個人查詢，但法律、行政法規(guī)另有規(guī)定的除外；有權拒絕任何單位或者個人凍結、扣劃，但法律另有規(guī)定的除外。（之前是中級法院等都可查詢銀行賬戶，現(xiàn)根據(jù)最高法院規(guī)定必須是省高院才有權，且定時查詢。銀行信息泄露會帶來嚴重的后果——前天新聞還說一建行支行行長取走儲戶千萬資金，賬戶僅剩一元。）《個人存款賬戶實名制規(guī)定》第八條金融機構及其工作人員負有為個人存款賬戶的情況保守秘密的責任。金融機構不得向任何單位或者個人提供有關個人存款賬戶的情況，并有權拒絕任何單位或者個人查詢、凍結、扣劃個人在金融機構的款項；但是，法律另有規(guī)定的除外。（網(wǎng)絡實名制、手機實名制下帶來規(guī)范管理的同時，也使得用戶信息的泄露成為重大隱患，如何規(guī)制是須考慮的問題）19、中華人民共和國居民身份證法（2011年修正）第六條居民身份證式樣由國務院公安部門制定。居民身份證由公安機關統(tǒng)一制作、發(fā)放。居民身份證具備視讀與機讀兩種功能，視讀、機讀的內容限于本法第三條第一款規(guī)定的項目。公安機關及其人民警察對因制作、發(fā)放、查驗、扣押居民身份證而知悉的公民的個人信息，應當予以保密。第十三條公民從事有關活動，需要證明身份的，有權使用居民身份證證明身份，有關單位及其工作人員不得拒絕。有關單位及其工作人員對履行職責或者提供服務過程中獲得的居民身份證記載的公民個人信息，應當予以保密。（此款為2011年10月29日修訂時新增，2006年制定時首次正式使用“個人信息”的規(guī)范表述）20、中華人民共和國統(tǒng)計法第九條統(tǒng)計機構和統(tǒng)計人員對在統(tǒng)計工作中知悉的國家秘密、商業(yè)秘密和個人信息，應當予以保密。第二十五條統(tǒng)計調查中獲得的能夠識別或者推斷單個統(tǒng)計調查對象身份的資料，任何單位和個人不得對外提供、泄露，不得用于統(tǒng)計以外的目的。

第三十九條縣級以上人民政府統(tǒng)計機構或者有關部門有下列行為之一的，對直接負責的主管人員和其他直接責任人員由任免機關或者監(jiān)察機關依法給予處分：（二）泄露統(tǒng)計調查對象的商業(yè)秘密、個人信息或者提供、泄露在統(tǒng)計調查中獲得的能夠識別或者推斷單個統(tǒng)計調查對象身份的資料的；國家統(tǒng)計局央行兩官員多次泄露經(jīng)濟數(shù)據(jù)獲刑

《全國人口普查條例》第四條人口普查對象應當按照《中華人民共和國統(tǒng)計法》和本條例的規(guī)定，真實、準確、完整、及時地提供人口普查所需的資料。人口普查對象提供的資料，應當依法予以保密。第三十二條人口普查中獲得的原始普查資料，按照國家有關規(guī)定保存、銷毀。第三十三條人口普查中獲得的能夠識別或者推斷單個普查對象身份的資料，任何單位和個人不得對外提供、泄露，不得作為對人口普查對象作出具體行政行為的依據(jù)，不得用于人口普查以外的目的。人口普查數(shù)據(jù)不得作為對地方人民政府進行政績考核和責任追究的依據(jù)。第三十五條普查機構在組織實施人口普查活動中有下列違法行為之一的，由本級人民政府或者上級人民政府統(tǒng)計機構責令改正，予以通報；對直接負責的主管人員和其他直接責任人員，由任免機關或者監(jiān)察機關依法給予處分：（六）泄露或者向他人提供能夠識別或者推斷單個普查對象身份的資料的。普查人員有前款所列行為之一的，責令其停止執(zhí)行人口普查任務，予以通報，依法給予處分。（處罰太輕）20、中華人民共和國收養(yǎng)法第二十二條收養(yǎng)人、送養(yǎng)人要求保守收養(yǎng)秘密的，其他人應當尊重其意愿，不得泄露。21、《旅行社條例實施細則》第四十四條

旅行社應當妥善保存《條例》規(guī)定的招徠、組織、接待旅游者的各類合同及相關文件、資料，以備縣級以上旅游行政管理部門核查。

前款所稱的合同及文件、資料的保存期，應當不少于兩年。

旅行社不得向其他經(jīng)營者或者個人，泄露旅游者因簽訂旅游合同提供的個人信息；超過保存期限的旅游者個人信息資料，應當妥善銷毀。第五十八條

違反本實施細則第四十四條的規(guī)定，未妥善保存各類旅游合同及相關文件、資料，保存期不夠兩年，或者泄露旅游者個人信息的，由縣級以上旅游行政管理部門責令改正，沒收違法所得，處違法所得3倍以下但最高不超過3萬元的罰款；沒有違法所得的，處1萬元以下的罰款。22、中華人民共和國刑法修正案（七）在刑法第二百五十三條后增加一條，作為第二百五十三條之一：“國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。“竊取或者以其他方法非法獲取上述信息，情節(jié)嚴重的，依照前款的規(guī)定處罰?！皢挝环盖皟煽钭锏模瑢挝慌刑幜P金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規(guī)定處罰?！北緱l所涉及的兩個罪名：出售、非法提供公民個人信息罪（可分開）和非法獲取公民個人信息罪。去年１０月，公安部組織廣東、北京等地公安機關開展深入調查，掌握了此類違法犯罪活動的特點：一是形成犯罪網(wǎng)絡和利益鏈條。一些犯罪分子大肆向掌握信息的部門內部人員購買信息，并通過網(wǎng)絡相互買賣，形成了公民個人信息的網(wǎng)絡交易平臺。有的犯罪分子掌握銀行、民航、通信等涉及公民個人生活各方面的信息多達４０余項、上億條；二是內外勾結，許多信息源頭都來自掌握公民個人信息的單位和部門，個別“內鬼”為了經(jīng)濟利益非法出售大量公民個人資料。三是與各類下游犯罪相互交織，危害巨大。一些犯罪團伙和非法調查公司利用非法獲取的公民個人信息進行電信詐騙、敲詐勒索和綁架、暴力討債等違法犯罪活動。四是作案具有很強隱蔽性。犯罪分子主要是利用網(wǎng)絡進行倒賣信息活動，用的都是虛擬身份，為了逃避打擊，經(jīng)常變換身份，交易成功后立即銷毀作案證據(jù)。23、中華人民共和國侵權責任法第二條侵害民事權益，應當依照本法承擔侵權責任。本法所稱民事權益，包括生命權、健康權、姓名權、名譽權、榮譽權、肖像權、隱私權、婚姻自主權、監(jiān)護權、所有權、用益物權、擔保物權、著作權、專利權、商標專用權、發(fā)現(xiàn)權、股權、繼承權等人身、財產權益。第三條被侵權人有權請求侵權人承擔侵權責任。第四條侵權人因同一行為應當承擔行政責任或者刑事責任的，不影響依法承擔侵權責任。因同一行為應當承擔侵權責任和行政責任、刑事責任，侵權人的財產不足以支付的，先承擔侵權責任。第五條其他法律對侵權責任另有特別規(guī)定的，依照其規(guī)定。第三十六條網(wǎng)絡用戶、網(wǎng)絡服務提供者利用網(wǎng)絡侵害他人民事權益的，應當承擔侵權責任。網(wǎng)絡用戶利用網(wǎng)絡服務實施侵權行為的，被侵權人有權通知網(wǎng)絡服務提供者采取刪除、屏蔽、斷開鏈接等必要措施。網(wǎng)絡服務提供者接到通知后未及時采取必要措施的，對損害的擴大部分與該網(wǎng)絡用戶承擔連帶責任。網(wǎng)絡服務提供者知道網(wǎng)絡用戶利用其網(wǎng)絡服務侵害他人民事權益，未采取必要措施的，與該網(wǎng)絡用戶承擔連帶責任。第六十一條醫(yī)療機構及其醫(yī)務人員應當按照規(guī)定填寫并妥善保管住院志、醫(yī)囑單、檢驗報告、手術及麻醉記錄、病理資料、護理記錄、醫(yī)療費用等病歷資料。患者要求查閱、復制前款規(guī)定的病歷資料的，醫(yī)療機構應當提供。第六十二條醫(yī)療機構及其醫(yī)務人員應當對患者的隱私保密。泄露患者隱私或者未經(jīng)患者同意公開其病歷資料，造成患者損害的，應當承擔侵權責任。（“人肉搜索”有望被禁止，即使是善意的也應當嚴格限定）24、中華人民共和國民事訴訟法第一百二十條人民法院審理民事案件，除涉及國家秘密、個人隱私或者法律另有規(guī)定的以外，應當公開進行。離婚案件，涉及商業(yè)秘密的案件，當事人申請不公開審理的，可以不公開審理。25、中華人民共和國刑事訴訟法第二條中華人民共和國刑事訴訟法的任務，是保證準確、及時地查明犯罪事實，正確應用法律，懲罰犯罪分子，保障無罪的人不受刑事追究，教育公民自覺遵守法律，積極同犯罪行為作斗爭，維護社會主義法制，尊重和保障人權，保護公民的人身權利、財產權利、民主權利和其他權利，保障社會主義建設事業(yè)的順利進行。第十一條人民法院審判案件，除本法另有規(guī)定的以外，一律公開進行。被告人有權獲得辯護，人民法院有義務保證被告人獲得辯護。第一百八十三條人民法院審判第一審案件應當公開進行。但是有關國家秘密或者個人隱私的案件，不公開審理；涉及商業(yè)秘密的案件，當事人申請不公開審理的，可以不公開審理。不公開審理的案件，應當當庭宣布不公開審理的理由。行政訴訟法、證據(jù)規(guī)則、相關規(guī)章、地方性法規(guī)（如江蘇省信息化條例規(guī)定泄露個人信息單位最高罰50萬元，個人最高罰1萬元）等有相應的規(guī)定。法律規(guī)定實際上并不少，重要的問題是法律規(guī)定了，但執(zhí)行力度或打擊力度太弱。二、個人信息保護的制度與原則（一）個人信息相關術語1、個人信息：個人信息是指業(yè)已存在的與個人相關的，并且可用于識別特定個人的信息。如：姓名、出生日期、分派給個人的號碼、標志以及其它符號、可以識別個人的圖像或生物信息等（包括某些單獨使用時無法識別，但與其他信息進行對比后，能夠由此識別特定個人的信息）。電信用戶個人信息=公民個人信息？有人認為，公民個人信息是指現(xiàn)實生活中能識別特定公民個人的一切信息，包括姓名、年齡、體重、身高、檔案、醫(yī)療記錄、收入及消費、購買習慣、婚姻狀況、教育背景、家庭住址與電話號碼等。也有人認為，公民個人信息是指以任何形式存在的、與公民個人存在關聯(lián)并可識別特定個人的信息，幾乎有關個人的一切信息、數(shù)據(jù)或者情況都可被認定為公民個人信息。關于電信用戶信息，根據(jù)工信部于2009年頒布的《第三代移動通信服務規(guī)范(試行)》2.10條規(guī)定：本處所稱用戶信息，是指電信用戶的姓名或者名稱、有效證件號、住址、位置信息、用戶號碼、聯(lián)系方式、交費賬號和通話清單等非通信內容。而根據(jù)《中國電信用戶信息管理指導意見》規(guī)定，中國電信用戶信息是指用戶向中國電信各級公司提供的與用戶相關的各種信息，以及在使用通信服務的過程中產生的各種通信記錄和消費記錄等非通信內容。具體包括個人與單位的身份信息、合作信息、通信信息和消費信息四個組成部分。由此可知，電信用戶信息包括個人用戶信息和單位用戶信息兩個部分，而且均只包括非通信內容。對電信個人用戶而言，個人用戶信息是否等同于《刑法》規(guī)定的個人用戶的公民個人信息？值得研究。目前，規(guī)定個人信息范圍最為清楚、明晰的是《人民銀行關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》（銀發(fā)〔2011〕17號）本通知所稱個人金融信息，是指銀行業(yè)金融機構在開展業(yè)務時，或通過接入中國人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)獲取、加工和保存的以下個人信息：（一）個人身份信息，包括個人姓名、性別、國籍、民族、身份證件種類號碼及有效期限、職業(yè)、聯(lián)系方式、婚姻狀況、家庭狀況、住所或工作單位地址及照片等；（二）個人財產信息，包括個人收入狀況、擁有的不動產狀況、擁有的車輛狀況、納稅額、公積金繳存金額等；（三）個人賬戶信息，包括賬號、賬戶開立時間、開戶行、賬戶余額、賬戶交易情況等；（四）個人信用信息，包括信用卡還款情況、貸款償還情況以及個人在經(jīng)濟活動中形成的，能夠反映其信用狀況的其他信息；（五）個人金融交易信息，包括銀行業(yè)金融機構在支付結算、理財、保險箱等中間業(yè)務過程中獲取、保存、留存的個人信息和客戶在通過銀行業(yè)金融機構與保險公司、證券公司、基金公司、期貨公司等第三方機構發(fā)生業(yè)務關系時產生的個人信息等；（六）衍生信息，包括個人消費習慣、投資意愿等對原始信息進行處理、分析所形成的反映特定個人某些情況的信息；（七）在與個人建立業(yè)務關系過程中獲取、保存的其他個人信息。2、信息主體：根據(jù)特定信息進行識別或者能夠識別的對象。指擁有該個人信息的本人。3、個人信息取得：是指為明確目的而獲取個人信息的行為。4、個人信息處理：是指利用計算機和相關配套設備及軟件對個人信息進行錄入、存儲、編輯、修改、檢索、刪除、輸出、傳輸和銷毀等行為。5、信息主體同意：信息主體對與自身相關的個人信息的取得以及使用表示同意，原則上以信息主體的簽名、蓋章為準，下述情況視為已取得信息主體同意：a）未成年人和無法對事情做出正確判斷的成年人應由家長或監(jiān)護人代表同意；b）在取得個人信息時，單位與信息主體簽訂的合同中規(guī)定了個人信息的使用，而且信息主體同意履行合同。（二）國際個人信息保護法規(guī)建立情況國際上建立個人信息保護法規(guī)的國家和組織有50多個，最重要的和對國際上影響比較大是兩個國際組織的個人信息保護法規(guī):1、世界經(jīng)濟合作發(fā)展組織（OECD）《關于保護隱私和個人數(shù)據(jù)跨國流通指導原則》，其中所規(guī)定的個人信息保護八項基本原則，已經(jīng)得到了國際上的認可。許多國家在此基礎上不斷進行補充和完善制定本國的個人信息保護相關法規(guī)。OECD八項原則為：（1）收集限制原則。個人信息的收集必須采取合理合法的手段，必須征得信息主體的同意；（2）信息內容的正確性原則。個人信息必須在利用目的范圍內保持正確、完整及最新狀態(tài)；（3）目的明確化原則。個人信息收集前要明確使用目的，并在目的范圍內收集；（4）使用限制原則。對個人信息資料不得超出目的范圍外使用；（5）安全保護原則。對個人信息的丟失、不當接觸、破壞、利用、修改、公開等危險必須采取合理的安全保護措施加以保護；（6）公開原則。個人信息管理者必須用簡單易懂的方法向公眾公開個人信息保護的措施。（7）個人參加原則。信息主體有權知道自身信息的所在位置，有權對自身信息提出質疑，有權對自身信息進行修改、完善、補充和刪除。（8）責任原則。個人信息的管理者對個人信息的保管負全責。2.歐盟的《歐盟數(shù)據(jù)保護指令》，在歐盟指令的要求下，歐盟的40多個國家都建立了個人信息保護相關法規(guī)。特別是，歐盟指令規(guī)定，第三國的隱私法律只有經(jīng)歐盟委員會判定達到“充分的”保護標準，才能自歐盟進行跨境個人信息傳輸，在《歐盟數(shù)據(jù)保護指令》第四章向第三國進行個人數(shù)據(jù)轉讓中做了如下規(guī)定：《Directive95/46/ECoftheEuropeanParliamentandoftheCouncilof24October1995ontheprotectionofindividualswithregardtotheprocessingofpersonaldataandonthefreemovementofsuchdata》CHAPTERIV-TRANSFEROFPERSONALDATATOTHIRDCOUNTRIESArticle25Principles(1)TheMemberStatesshallprovidethatthetransfertoathirdcountryofpersonaldatawhichareundergoingprocessingorareintendedforprocessingaftertransfermaytakeplaceonlyif,withoutprejudicetocompliancewiththenationalprovisionsadoptedpursuanttotheotherprovisionsofthisDirective,thethirdcountryinquestionensuresanadequatelevelofprotection,……。這項規(guī)定也促使許多非歐盟國家為了滿足歐盟的要求也開始制定個人信息保護相關法規(guī)?！稓W盟數(shù)據(jù)保護指令》的基本要素是：透明度原則（Transparency）、良好的安全性（Goodsecurity）、獨立的監(jiān)管機關（Independentsupervisoryauthority）、法律的有效執(zhí)行（Effectiveenforcement）、向第三國傳輸?shù)目刂疲–ontrolsontransferstothirdcountries）；《歐盟數(shù)據(jù)保護指令》數(shù)據(jù)保護的基本原則是：個人數(shù)據(jù)必須被公平合法的處理（Personaldatamustbeprocessedfairlyandlawfully）；為特定目的而收集，且不能以與此無關的方式進行處理（collectedforspecifiedpurposesandnotprocessedinanincompatibleway）；具有合理的相關性并且不過度（adequaterelevantandnotexcessive）；準確且不斷更新（accurateandkeptuptodate）；保存不超出完成收集時的目的所必需的期間（notkeptlongerthannecessaryforthepurposeforwhichtheywerecollected）；（三）個人信息保護標準1、國際相關標準目前國際上有關個人信息保護的標準并不多，對我國影響比較大的就是日本有關個人信息保護的工業(yè)規(guī)格標準：JISQ15001：2006（個人信息保護管理體系——要求事項），該標準于1999年制定并頒布，2006年修改。主要適用于處理個人信息的企業(yè)事業(yè)單位，規(guī)定了所有行業(yè)、所有規(guī)模的單位可以適用的個人信息保護管理體系的相關要求事項。在對跨境個人信息的保護方面，在3.4.3.4委托監(jiān)督中規(guī)定“企業(yè)在委托別人使用全部或部分個人信息時，必須選定符合充分保護個人信息水平的企業(yè)，為此，委托者必須確立委托者的選定標準?！边@造成了日本客戶在委托相關個人信息時，向其它國家的企業(yè)提出個人信息保護方面的要求，中國在與日本企業(yè)的合作中如果沒有相關的個人信息保護能力和水平，將會因此而失去訂單，不實行個人信息保護影響到中國軟件及信息服務外包產業(yè)的發(fā)展，特別是2005年4月1日，日本個人信息保護法頒布后，對我國對日外包軟件信息服務業(yè)產生了一定的影響，這也促使了我們個人信息保護工作的開展。2、我國的個人信息保護標準——地方標準的建立我國目前已經(jīng)通過和發(fā)布的個人信息保護標準有兩個：（1）《軟件及信息服務業(yè)個人信息保護規(guī)范》DB21/T1522-2007，該標準為遼寧省地方行業(yè)標準，是我國首個針對個人信息保護的地方行業(yè)標準，也是我國首個軟件及信息服務行業(yè)的標準。于2007年6月13日正式發(fā)布，2007年8月1日開始實施。該標準是依據(jù)我國信息管理及信息安全相關法規(guī)和標準，并參考世界經(jīng)濟合作發(fā)展組織OECD《關于保護隱私和個人數(shù)據(jù)跨國流通指導原則》制定的。（2）《個人信息保護規(guī)范》BD21/T1628-2008，該標準為遼寧省地方標準，是我國首個針對個人信息保護的地方標準。于2008年6月16日正式發(fā)布，2008年7月16日開始實施。該標準依據(jù)國際、國內相關法律、法規(guī)及信息安全相關標準，遵循OECD（世界經(jīng)濟合作發(fā)展組織OrganizationforEconomicCo-operationandDevelopment）《關于保護隱私和個人數(shù)據(jù)跨國流通的指導原則》，參考國際通行的個人信息保護相關法規(guī)和行業(yè)自律模式制訂。這兩個標準都是在我國首次發(fā)布的個人信息保護標準。標準中規(guī)定了個人信息保護相關術語和定義，原則、負責人及責任、方針、風險分析與基本規(guī)章、運行與實施、檢查、持續(xù)改進等單位個人信息保護體系建立所應具備的基本框架及要求。為企業(yè)個人信息保護體制的建立提供了參考依據(jù)，起到了指導作用。標準中規(guī)定了軟件及信息服務業(yè)個人信息保護原則：1）取得與使用個人信息取得應采用合理合法手段，并應征得信息主體的同意。個人信息取得和使用應有明確目的，不得超范圍使用。2）安全保障應采取必要的安全保護措施，防止個人信息的丟失、泄漏、篡改和破壞等事件發(fā)生。除信息主體同意外，個人信息不得提供給第三方。3）信息主體權利信息主體有權確認個人信息狀態(tài)。并擁有對個人信息提出刪除、修改和完善的權利。4）信息內容更新個人信息應確保在使用目的范圍內的正確性和完整性，并做到及時更新。3、個人信息保護國家標準已制定待批由工信部牽頭30多家單位起草，正報批國家標準；為企業(yè)處理個人信息提供行為準則。工信部直屬的中國軟件測評中心透露，他們聯(lián)合30多家單位起草的《信息安全技術、公共及商用服務信息系統(tǒng)個人信息保護指南》已正式通過評審，正報批國家標準。這個指南能為行業(yè)開展自律工作提供了很好的參考，為企業(yè)處理個人信息制定了行為準則。我國信息技術保護不容樂觀，甚至已形成利用個人信息從事非法獲利的黑色鏈條。特別是去年年底揭露出的中國互聯(lián)網(wǎng)最大規(guī)模的泄密事件，將個人信息保護推向了風口浪尖。許多發(fā)達國家很早已開始個人信息的保護研究和立法工作。我國近年來也啟動了個人信息保護的相關工作。去年，全國信息安全標準化技術委員會提出制定個人信息保護指南。這個委員會主要從事信息安全標準化工作，現(xiàn)任主任由工信部副部長楊學山兼任。個人信息保護指南的全稱是《信息安全技術、公共及商用服務信息系統(tǒng)個人信息保護指南》，標準由工信部直屬的中國軟件測評中心牽頭，聯(lián)合近30家單位起草。指南目前還在等待批準文號，但其最終的發(fā)布應是“指日可待”。但這個指南并非國家強制性標準。結合該標準，中國軟件評測中心還發(fā)布了《2012年網(wǎng)站個人信息保護政策測評報告》以及《2012年Android手機軟件個人信息安全報告》。報告的發(fā)布為規(guī)范行業(yè)自律、企業(yè)個人信息保護行為以及政策的制定提供了合理依據(jù)。下面我簡要介紹一下該行業(yè)標準的主要內容及發(fā)展趨勢：（1）個人信息用后立即刪除在個人信息安全缺少專門法律規(guī)范時，一部行業(yè)標準成為業(yè)內的希望。“去年正式通過了評審，報批國家標準”，若能通過這項標準，將拓展個人信息保護的體系。《個人信息保護指南》對個人信息的處理包括收集、加工、轉移和刪除四個主要環(huán)節(jié)，其中還提出了個人信息保護的原則。這個原則包括目的明確、最少使用、公開告知、個人同意、質量保證、安全保障、誠信履行和責任明確等八項?！白钌偈褂谩钡脑瓌t就是獲取一個人的信息量時，只要能滿足使用的目的就行。舉個例子說，一些網(wǎng)站本是辦一個很小的事，卻讓用戶填包括家庭住址、手機號在內等很多信息，這就不符合“最少使用”原則?！鞍踩Ｕ稀眲t是要個人信息管理者一旦收集了個人信息，就必須建立一套個人信息保護制度，明確責任人和內部管理流程，以及應對個人信息泄露的風險。據(jù)估計個人信息泄露中70%-80%屬內部作案，這是“安全保障”原則沒能落實好所致。一些商業(yè)公司掌握大量個人信息，由于管理制度疏漏，一些內部員工未經(jīng)授權就能獲取客戶信息。依照《個人信息保護指南》，在收集個人信息階段告知的“使用目的”達到后應立即刪除個人信息。有次，我在某航空公司網(wǎng)站購買機票，使用電話支付的時候，工作人員搜集了我的支付信息：姓名、身份證號、信用卡號和信用卡的最后三位支付號碼。購票成功。過段時間再去購票時，對方問，“您還是使用卡號末四位是****的信用卡支付嗎？如果是，只要告訴我就可以了。這家公司存儲了我的信息。這就是航空公司在達到此次訂票目的后，未能及時刪除客戶信息。還有，前段時間我在上海出差次數(shù)比較多，住過復旦大學周邊的幾家酒店，后來去住的時候酒店干脆不用我的身份證了，只講名字什么信息都有了，到是省卻了我旅途的很多麻煩，但卻增加了我對個人信息保護的擔憂。（2）信息保護指南非強制標準“為了經(jīng)濟效益，無利不起早?！蹦壳皼]有哪個行業(yè)不存在信息泄露。比如孕婦生完孩子剛回家，賣奶粉的電話就過來了；病人檢查完身體，檢查單還沒看懂，相應的醫(yī)藥公司就已經(jīng)打電話賣藥來了。有人把個人信息形象地比喻成“很多錢裝在紙糊的銀行里，很容易被黑客破解?！睋?jù)他們調查，公眾最關心的金融、電信等領域的個人信息安全。而讓人擔憂的是，這個指南標準不是強制性標準，甚至也不是推薦性標準，標準通過會對行業(yè)起到多大的規(guī)范效力，仍待觀察。此次個人信息安全國家標準“屬于技術指導文件”。國家標準分為三種，一個是強制性標準，一個是推薦性標準，一個是指導性技術文件，標準可以作為參考。而國家強制性標準多在食品安全領域。不過，標準適用于除了政府機關等行使公共管理職能以外的各類組織和機構，特別是電信、醫(yī)療等涉及個人敏感信息比較多的服務機構。（3）40部法律難約束個人信息泄露據(jù)統(tǒng)計，目前有近40部法律、30余部法規(guī)，以及近200部規(guī)章涉及個人信息保護，其中包括規(guī)范互聯(lián)網(wǎng)信息規(guī)定，醫(yī)療信息規(guī)定，個人信用管理辦法等?！搬槍€人信息的法律法規(guī)并不少，然而內容較為分散、法律法規(guī)層級偏低。刑法修正案（七）被認為是個人信息立法的標志性事件之一。2009年，刑法修正案(七)確定了“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”罪名，首次將公民個人信息納入刑法保護范疇，規(guī)定要追究泄露、竊取和售賣公民個人信息行為的刑事責任。但是，這一犯罪主體是“國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”。除此之外，還存在著互聯(lián)網(wǎng)公司、房地產公司、物業(yè)公司、汽車廠商、賓館酒店、會計師事務所等掌握個人信息的機構和單位。諸多法律界人士認為，刑法未明確該罪的具體界定標準，這一條款還有進一步改進和完善的空間。

另外，法律中對信息泄露者懲罰機制不夠。前段時間，警方破獲CSDN（即中國軟件開發(fā)聯(lián)盟）的600多萬條用戶名和密碼泄露案件，目前為止對網(wǎng)站的處罰只是提出行政警告，太輕了，這種處罰幾乎沒有威懾力。如果在國外，這樣的大規(guī)模用戶信息泄露，至少應該有經(jīng)濟處罰。2009年，《侵權責任法》的通過，使“人肉搜索”侵犯受害人權利的責任認定有了法律的統(tǒng)一規(guī)制，如果網(wǎng)站無視受害人提出的屏蔽、刪除要求，就要承擔連帶責任。但是，《刑法》和《侵權責任法》都屬于事后救濟，在網(wǎng)絡時代要對網(wǎng)絡安全以及個人信息進行全流程的監(jiān)管才更為有效。（4）個人信息安全法未入立法程序《個人信息安全法》并非從未嘗試破冰。2003年的4月，國務院信息化辦公室專門對個人信息立法研究課題進行部署，2005年《個人信息保護法》專家意見稿已經(jīng)提交。不過這項立法建議一直未能進入正式的立法程序。當時文本已從國務院信息化辦公室上報到國務院法制辦，此次未能進入正式立法程序的原因很復雜，主要是“從緊迫性上講還沒太關注這個問題”。凡事總有輕重緩急，有關部門會綜合考慮，但考慮到目前我國發(fā)生的個人信息泄露和被盜、個人隱私侵犯以及個人信息交易的事件愈演愈烈的現(xiàn)實，再發(fā)展下去可能會影響到整個社會經(jīng)濟活動，“我覺得緊迫性早就有了，可能各個層面感覺不一樣，有人覺得沒那么緊迫”。個人信息保護實行面廣，一定要從法的角度規(guī)范，才能使這項工作在法律上有依據(jù)。在法律界和相關方的共同努力下，尤其是在今天個人信息保護已經(jīng)成為社會迫切的問題，立法的進程就會加快。（三）個人信息保護認證1、國際相關認證國際上關個人信息保護的認證比較多，對我國有一定影響的認證主要有：（1）美國的BBOnLine隱私認證計劃（BBBonlineprivacysealprogram）：美國BBBOnLine認證是網(wǎng)絡安全認證，BBBonline是促進良好商業(yè)顧問局（councilofbetterbusinessbureau）的美國BetterBusinessBureau(BBB)全國性中小企業(yè)組織所成立的網(wǎng)站安全認證機構，它所提供的認證服務有ReliabilitySeal、PrivacySeal、Kids’PrivacySeal等。其中PrivacySeal、Kids和PrivacySeal都是針對網(wǎng)站的個人隱私保護認證。該機構在1999年3月17日建立并開始其隱私認證計劃。（2）美國TRUSTe認證TRUSTe是由商務網(wǎng)絡財團（CommerceNet

Consortium）和電子前線基金會（Electronic

Frontier

Foundation,

EFF）所組建的一個獨立的非營利的組織，該組織成立于1997年6月10日，是美國首家網(wǎng)絡隱私認證民間機構，是一家非盈利組織。主要采取認證和監(jiān)督網(wǎng)站的隱私保護狀況和電子郵件政策。TURSTe隱私計劃包括：一般網(wǎng)頁的隱私計劃、歐盟安全港隱私認證計劃、兒童的隱私認證計劃、電子郵件隱私認證計劃，TRUSTe各種計劃都遵守許多政府和行業(yè)有關個人信息保護的法規(guī)和標準，包括加利福尼亞州網(wǎng)上隱私保護法（CaliforniaOnlinePrivacyProtectionAct）、聯(lián)邦反垃圾郵件法（FederalCAN-SPAMAct）、聯(lián)邦貿易委員會批準的公平資訊慣例（FairInformationPractices）以及美國商業(yè)部的安全港隱私保護原則（SafeHarborPrivacyPrinciples）。（3）日本的P-MARK認證P-MARK認證是日本針對計算機處理個人信息相關企業(yè)而開展的獲取個人信息保護標志的認證，它的認證機構是日本財團法人情報處理開發(fā)協(xié)會（JIPDEC），認證標準是JISQ15001。日本P-MARK認證制度從1998年4月開始。2005年4月1日，日本正式頒布了《個人信息保護法》，促進了P-MARK認證數(shù)的快速增長，至2009年認證企業(yè)已經(jīng)超過了10000家。對以上三種認證體系的分析看：從認證對象來看，美國的認證范圍主要是針對網(wǎng)絡個人信息保護認證，特別是網(wǎng)絡交易平臺和網(wǎng)站注冊的個人信息的保護，特別重視信息主體的權利和網(wǎng)站個人隱私的保護。日本的P-MARK認證是針對所有企業(yè)個人信息保護體制建立的標準，可以給企業(yè)一個比較全面的個人信息保護體制建立的指導和幫助。從認證范圍看，美國的兩個認證都是跨國界的認證，但由于各國法規(guī)、標準的不一致性，要真正得到其它國家的認可還存在許多問題。而日本的P-MARK認證是一個針對日本全國的全行業(yè)的國家級認證，不針對日本以外的國家。目前，還沒有一個國際公認的個人信息保護的認證體系，但由于信息化社會的發(fā)展和全球經(jīng)濟體系的建立，必將會促進一個全球化的信息安全體系的建立，建立國際統(tǒng)一的個人信息保護認證體系也是非常必要的。2、

我國軟件及信息服務業(yè)個人信息保護評價體系（PIPA）軟件及信息服務業(yè)個人信息保護評價體系（PIPA）是我國目前最早的針對個人信息保護能力和水平的評價。目前已經(jīng)與日本的P-MARK認證實現(xiàn)了相互認可。目的是幫助企業(yè)建立個人信息保護規(guī)章制度、運行實施并不斷改進和完善，使單位的個人信息保護能力和單位信息安全級別得到提高，使客戶、消費者和員工的個人信息得到有效保護。建立個人信息保護體制的單位可以通過PIPA評價，得到個人信息保護合格證書和PIPA標志使用權，以證明單位的個人信息保護能力和水平，以此得到客戶和消費者的信任。（1）PIPA簡介PIPA全稱：個人信息保護評價（Personalinformationprotectionassessment）評價標準：《軟件及信息服務業(yè)個人信息保護規(guī)范》（DB21/T1522-2007）（以下簡稱《規(guī)范》；評價機構：大連軟件行業(yè)協(xié)會開始時間：2006年5月PIPA是針對計算機處理相關單位而開展的個人信息保護能力的評價，主要適用于利用計算機對個人信息進行處理的相關單位。評價程序按照前期審查→現(xiàn)場審核→公示→審批過程嚴格進行，通過PIPA的單位，可以得到個人信息保護合格證書、PIPA標志和PIPA-MARK互認標志使用權，有效期兩年。（2）PIPA評價機構PIPA評價機構下設個人信息保護工作委員會和PIPA辦公室。PIPA辦公室主要負責PIPA文件管理和事務性工作，負責PIPA受理及投訴，負責評價員的聘任及管理工作，PIPA辦公室下設培訓教育部門，負責個人信息保護企業(yè)培訓和評價員培訓、考核。工作委員會主要負責標準和PIPA體系相關文件的制定、修改和完善，負責PIPA申批、投訴及事故的處理結果的審批，負責對PIPA的監(jiān)督，聘任評價員的審批等工作。工作委員會下設：標準組、仲裁組、宣傳推廣組、國際交流組和教育培訓組。標準組主要負責標準的研究和制定；仲裁組負責投訴及事故的調查及處理；宣傳推廣組負責PIPA宣傳推廣；國際交流組負責國際間的交流與合作；教育培訓組負責個人信息保護人才的教育及培養(yǎng)研究及試點，開展個人信息保護人才培養(yǎng)工作。（3）PIPA的管理與監(jiān)督申請個人信息保護評價單位需要按照《規(guī)范》要求建立本單位個人信息保護相關規(guī)章制度，在單位內實施個人信息保護，并至少運行三個月。申請方應在申請前三個月內沒有發(fā)生過重大個人信息保護事故。申請方應是自愿參加評價。評價機構對個人信息保護合格單位有監(jiān)督管理的權利，可以對單位個人信息保護情況進行抽查，對抽查不合格單位將限期整改，整改后仍不合格的單位，將取消個人信息保護合格證書和PIPA標志的使用資格。以下情況將對PIPA企業(yè)進行復審：一是在對申報單位在個人信息保護方面有重要舉報和投訴并確認為事實時；二是，在個人信息保護方面發(fā)生重大事故時；三是，在企業(yè)更名、辦公場所或業(yè)務有重大變化時，對抽查和復審不合格單位，將取消個人信息保護合格證書和PIPA標志的使用資格。三、個人信息保護的典型案例侵犯個人信息構成民事侵權、行政違法，嚴重的構成犯罪。但很多情況下，個人信息泄露往往造成侵犯個人信息之外的其他犯罪，如詐騙、敲詐勒索、綁架、盜竊等等關聯(lián)性犯罪。1.英國：2007年英國皇家稅務及海關總署寄出的兩張數(shù)據(jù)光盤丟失，光盤中保存著英國所有兒童福利補貼受益人的信息，其中包括英國725萬個家庭中2500萬人的姓名、住址、出生日期、國家社會保險號碼及相關銀行賬戶信息，涉及人口將近英國總人口的一半。這些信息丟失可能使數(shù)千萬家庭面臨賬號被竊或者受到金融詐騙風險。當時如同在政壇投下一枚深水炸彈。曾擔任過10年財務大臣的英國首相布朗對此難逃其咎，他專門在議會向全國道歉。布朗：這件事情給許多兒童福利補貼受益家庭帶來了不便和擔心，對此我深表遺憾并且表示道歉，但執(zhí)行部門的工作出現(xiàn)紕漏時我們有義務盡我們的所能來保護公眾的利益。可以聽到，布朗在議會通過電視轉播進行道歉時，議會現(xiàn)場還傳出了不滿的噓聲。2.日本：日本前些年也曾出現(xiàn)過大批個人信息被泄露的事件。其中最著名的就是2004年發(fā)生的雅虎公司的個人信息泄露事件。當時雅虎公司的一個外包員工偷盜了450萬份個人信息，被稱為世界上第3大個人信息泄露事件。那名員工最終被判刑。雅虎公司給每位受害人500日元的賠償，公司為此事件一共損失了100億日元。日本在個人信息保護方面是一個法律和民眾意識都比較健全的國家。但這樣的狀況也經(jīng)過了不短的時間才得以完善的。在上個世紀末日本政府在推行電子化政府的時候，還沒有估計到電子商務經(jīng)營者在個人信息保護中應承擔的義務，也就是沒有考慮到民間企業(yè)在使用個人信息的時候對個人隱私的侵害，但是隨著后來民間企業(yè)對個人信息的不正確使用和管理，造成個人信息泄漏事件不斷的發(fā)生，引起了日本消費者對當時個人信息制度體系的不滿。2005年4月個人信息保護法開始生效，這是日本保護個人信息安全的根本法律，經(jīng)過這些年日本企業(yè)和個人的信息安全保護意識已經(jīng)非常高了。3.美國：2010年，在美國就有1110萬人的個人資料被盜竊，2010年中美國政府一項統(tǒng)計顯示每20個成年人中就有1個人的個人資料被盜竊，總共經(jīng)濟損失高達540億美元。政府在2004年到2009年期間對特殊執(zhí)法機構每年增加200萬美元的經(jīng)費，協(xié)助調查偵辦個人隱私資料盜竊案。對于違法者處以3-5年的監(jiān)獄監(jiān)禁，政府呼吁每個公民應該提高警惕保護自己的隱私資料，美國貿易委員會也推出各種宣傳教育攻勢迅速展開提升民眾對個人隱私以及身份證明資料盜竊行為的防衛(wèi)、辨認、舉報等能力。私人信息泄漏是一個國際性的問題，即便是日本和美國這樣的發(fā)達國家也經(jīng)歷過法律缺失的混亂階段。那么中國在這方面的法律維護水平到底如何呢？相對來講我們國家法律保護還是比較明確的，但執(zhí)行及處罰力度是相當弱的。4、香港：法院裁定“八達通”泄露客戶資料違規(guī)獲利4400萬香港個人資料私隱專員公署2010年10月18日公布正式調查報告，認定“八達通”方面在收集和使用客戶個人資料的過程中違反了保障資料私隱原則，并呼吁政府、市民攜手推動從立法等層面加強規(guī)管?！鞍诉_通”從公交繳費卡發(fā)展為如今廣為使用的電子儲值消費卡，可在眾多超市、零售店使用，在香港幾乎人手一張。自2010年3月底以來，“八達通”涉嫌“倒賣”客戶資料一事浮出水面；7月，“八達通”方面公開承認，確將參與“八達通日日賞”優(yōu)惠計劃的客戶個人資料提供給合作公司做直接促銷用途。特區(qū)法定獨立機構個人資料私隱專員公署隨即對此展開調查。由于這項優(yōu)惠計劃吸收逾240萬名客戶加入，牽涉面較廣，事件迅速成為坊間熱議話題，引起社會大眾對個人資料私隱權的高度關注。香港個人資料私隱專員蔣任宏在18日召開的記者會上表示，“八達通”的客戶優(yōu)惠計劃收集個人資料的目的是合法的，但是在收集和使用客戶個人資料過程中違反了香港《個人資料（私隱）條例》內的保障資料私隱原則?！鞍诉_通”方面以認證客戶身份的目的收集了“超乎適度”的個人資料，包括身份證號碼、護照號碼、出生年月等，其實完全可以僅收取電話號碼、住址等侵犯隱私程度較低的資料；沒有采取合理切實的舉措確保已告知申請者其資料可能被轉移給第三方，通過收集聲明的條款使得“酌情權”完全由“八達通”方面掌握；為了金錢收益而與合作商戶共用客戶的個人資料，實際上就是“售賣個人資料”，未在面向客戶的收集資料聲明內交代清楚并經(jīng)客戶同意?！鞍诉_通”方面已確認停止或暫停向合作商戶轉移或共用客戶個人資料作牟利用途的活動，并向公署簽署“承諾書”，保證將在兩個月內徹底刪除及銷毀過量收集的客戶資料，并由獨立專業(yè)第三方機構確認，重新設計收集個人資料聲明的內容，再有為金錢收益而轉移客戶資料的情況須取得客戶同意等?！鞍诉_通”方面8月初宣布，將把轉售客戶資料而獲得的4400萬港元捐給香港公益金。蔣任宏指出，“八達通”泄漏客戶私隱一案絕非個案，而是當今商業(yè)社會里普遍存在的現(xiàn)象。由于違反保障資料原則本身不屬于犯罪，公署在跟進事件時所能采取的懲罰行動受到嚴格限制，在公眾期待日益提升的情況下，凸顯現(xiàn)有法律條例的不足。特區(qū)政府將提交一套修例動議，呼吁市民共同參與討論，應否以及如何加強管制、加重責罰、加強公署的執(zhí)法權力等。香港是亞洲首個立法并設有獨立的個人資料私隱專員來監(jiān)管公私營機構的地區(qū)。特區(qū)政府去年年底檢討了《個人資料（私隱）條例》，正在研究優(yōu)化有關法例的建議，將展開公眾咨詢。5.深圳：15萬孩子剛剛出生就已經(jīng)被“賣”15萬孩子剛剛出生就已經(jīng)被“賣”了，乍看這條新聞著實叫人大吃一驚，仔細讀下去，原來深圳市警方近日抓獲了一名販賣嬰兒信息的女子，當中記載了當?shù)?5萬名新生嬰兒的詳細資料，每套300元。雖然賣的不是孩子，但仍然叫人心里不是滋味，現(xiàn)代社會身份信息捆綁著諸多利益關系，誰說這不是“賣”呢？深圳破獲15萬孩子信息泄露大案，是一個改變現(xiàn)狀的契機。有關醫(yī)療機構明顯難辭其咎。6.黑客病毒產業(yè)鏈盯上移動終端個人隱私，成為個人信息泄露的重要渠道在廣州某公關公司工作的李小姐，經(jīng)常需要用手機上網(wǎng)。此前，李小姐一個月的手機上網(wǎng)包月流量一般都用不完，今年元旦過后，李小姐發(fā)現(xiàn)，往往只用幾天時間，自己的包月手機上網(wǎng)流量就全部耗盡。到維修中心一檢查，才發(fā)現(xiàn)自己的手機中莫名其妙地安裝了不少的惡意插件，而整個過程從未有任何提示。維修人員告知，這種手機木馬是利用Android系統(tǒng)的漏洞進行攻擊，危害非常嚴重。不僅可以強制開機自啟動、強制聯(lián)網(wǎng)、竊取并上傳用戶手機中各種信息，還會將病毒組件偽裝成圖片，持續(xù)不斷地從后臺大批量下載、安裝插件。手機流量被大量消耗的同時，甚至會破壞系統(tǒng)完整性，影響手機的正常使用。（昨天我在花溪區(qū)政府開會，一個煤老板說了他手機兩天時間掛了QQ和進入一個不知名網(wǎng)站，兩天時間就廢掉了490多元）相比李小姐，深圳陳先生的遭遇更讓廣大用戶提心吊膽。陳先生是個生意人，為了業(yè)務方便，陳先生開通了手機銀行業(yè)務。春節(jié)后的一天，陳先生發(fā)現(xiàn)自己的手機停機了。由于此事陳先生無法使用手機銀行，所以當天下午他便親自到銀行辦理業(yè)務。當他將卡插入ATM機后卻發(fā)現(xiàn)自己賬戶上的三萬元不翼而飛。銀行的工作人員告知陳先生，三萬元是在上午通過手機銀行將卡內的錢取走的。而手機停機則是因為他的手機號在營業(yè)廳被人冒名補辦，導致自己的手機被強制停機。經(jīng)檢測，陳先生的智能手機是感染了知名的“終極密盜”手機病毒，其典型特征為，侵入手機后會自動在后臺監(jiān)聽用戶的輸入信息，捕獲到用戶的銀行密碼后通過短信外發(fā)給黑客，對方一旦遠程修改密碼，則可進行轉賬操作。7.倒賣個人信息從中賺取差價2009年10月，高某發(fā)現(xiàn)網(wǎng)上有一個叫“私家偵探”的QQ群，內有全國各地成員一百多人。許多成員通過該群發(fā)布調查招商廣告，稱可以幫助調查他人信息，包括個人身份、使用電話信息等。心動的高某立即加入該群，并把其QQ網(wǎng)名改為“福建專業(yè)調（中間商）”，個性簽名改為“福建省聯(lián)通單，需要的朋友請聯(lián)系”。此后，高某開始通過網(wǎng)絡向上家“小妍蛋蛋店”、“唐小丫”、“信息聯(lián)盟”（已被公安部指揮其他省份公安機關查獲）購買他人的聯(lián)通電話信息、個人身份等資料信息，并發(fā)展下家“老葉”、“神鷹”、“石平”（本次福州警方此次行動中已抓獲）等人。當下家提出需求信息后，高某便通過低價向上家購買信息，再高價轉賣給下家，從中賺取差價。據(jù)高某供述，他向上家購買一個聯(lián)通的機主信息（包括身份證號碼、手機串號和戶籍地址）或者機主話單（最多兩個月）要支付80元人民幣，購買一個聯(lián)通機主的定位（近期通話的大概位置）要花180元錢；一般每條信息加價20元轉賣下家，有時更高一些。至今已轉賣300多條次聯(lián)通電話信息，交易金額5萬多元，獲利約1萬元。高某被抓獲時，其電腦里仍保存有大約上百個聯(lián)通電話的話單、機主資料、串碼資料。目前，高某已因涉嫌非法獲取公民個人信息罪被刑事拘留。8.利用偵察器材探取情感隱私2010年起，陳某注冊了福州市凌鷹商務信息咨詢服務部，主要從事婚外情調查（包括：拍照、跟蹤、安裝車輛GPS定位追蹤）、查找關系人的住址、查詢個人信息及關聯(lián)人員信息、車輛信息、個人房產信息、工商部門查檔、銀行信息、電話單、手機定位、破解QQ密碼等。當有客戶需要調查時，陳某就通過QQ群上的上家購買公民個人信息，利用這些信息進行跟蹤，或在被調查人的車上安裝GPS定位儀器，再通過儀器查找該人的落腳點。在本次專項活動中，陳某已因涉嫌非法經(jīng)營罪被刑事拘留。外號“老葉”的葉某，日常以向“國幫資”、“新浪顧問”、“小龍咨詢”、“福州聯(lián)邦”、“福建007”、“小研蛋蛋”等處購買公民個人信息用于其私人偵探業(yè)務，主要“業(yè)務”有：手機定位、行蹤調查、婚情調查（跟蹤、拍照攝像）、債務清欠、找人查人、資產調查、網(wǎng)絡黑客等。收費標準不低：找人3000到8000元；婚外情調查3000到6000元；密碼破解收費1000元；IP查詢收費1500元。日前，葉某某同樣因涉嫌非法經(jīng)營罪被刑事拘留。9.“討債公司”索取酬金高達債金50%吳某于2008年以其兄的名字注冊了福州匯誠信息咨詢服務部，但在對外廣告及宣傳冊上都是以福州市凌凌漆商務管理顧問有限公司的名義活動，并宣稱公司的業(yè)務范圍是以債務催收、調查取證、打假維權、法律服務為一體的綜合服務機構，調查一般收取1000元人民幣至5000元人民幣，如果是涉及追討債務的業(yè)務，會和委托人約定將所追回債務的10%-50%作為追討報酬。吳某一般會要求客戶提供要找的人的姓名、身份證號碼、家庭及單位住址及手機號碼，如果相關信息太少，吳某還會通過非法購買公民個人信息來幫助查找被討債人。吳某已因涉嫌非法經(jīng)營罪被刑事拘留。李某在福州倉山區(qū)蘭亭新天地一出租房以九杰龍商務咨詢公司名義進行私家偵探、討債等違法活動。2011年2月，其在網(wǎng)上接受了龍巖羅某的委托查找欠羅某800多萬元的陳某，并談妥事成之后收取18.7萬元酬金。2011年7月3日，李某利用網(wǎng)絡資源，非法得到欠債人陳某在安徽合肥某地的信息，即帶羅某等多人共同駕駛3部小車前往合肥找到陳某，由羅某等人強行將陳某帶走，李某另行返回福州。羅某因涉嫌非法拘禁罪被龍巖當?shù)胤ㄔ号刑幱衅谕叫?。日前，李某已因涉嫌非法?jīng)營罪被刑事拘留，其涉嫌的非法拘禁案件正在進一步審理中。10、警惕個人信息泄露成犯罪“黑洞”近年來，個人信息遭泄露的事件頻頻發(fā)生，給人們的生活帶來嚴重困擾。一覺醒來查賬，百萬存款消失；網(wǎng)銀交易刷卡，賬戶口令被盜；知名網(wǎng)站CSDN發(fā)生“泄密門”，600萬網(wǎng)民密碼丟失……信息買賣、信息詐騙，利用個人信息打開的一個個犯罪“黑洞”正在侵蝕著人們的安全底線。在網(wǎng)絡時代，誰都有過自己的信息被倒賣的經(jīng)歷。而浙江警方的偵查表明，網(wǎng)上非法買賣個人信息犯罪已經(jīng)形成了一條地下“產業(yè)鏈”。記者從浙江省公安廳獲悉，在４月２０日開始的打擊侵害公民個人信息犯罪的集中行動中。浙江警方共抓獲犯罪嫌疑人１７０余名，摧毀侵害公民個人信息的數(shù)據(jù)平臺和“資源大戶”４０余個，打掉從事非法討債、非法調查等違法犯罪活動的“非法調查公司”近６０個。倒賣個人信息已成地下產業(yè)鏈11、業(yè)主頻接租房電話懷疑個人信息被泄孟女士居住在朝陽區(qū)屯三里永利國際小區(qū)，本月她將自己房屋租出去后，就連續(xù)接到中介的招租電話，孟女士質疑物業(yè)公司泄露了自己的個人信息。物業(yè)方否認泄露業(yè)主電話，并稱中介存在交易業(yè)主電話行為。孟女士本月將永利國際的房子，租給了自己的一個朋友，隨后她到物業(yè)辦理了相關備案手續(xù)，并留下了自己的常用電話。自此之后，她就連續(xù)接到數(shù)十個中介公司的招租電話。孟女士懷疑是物業(yè)公司泄露了自己的電話。12.網(wǎng)絡“偷窺”折射個人信息保護缺失“強制加好友”“能看相冊、日志”“２２元即可非好友查看”……一些網(wǎng)店明目張膽兜售起社交網(wǎng)站的“偷窺”服務，對用戶個人信息安全造成威脅。近年來，社交網(wǎng)站已成為網(wǎng)民結識和聯(lián)絡朋友的重要途徑，然而，由于個人信息保護存在漏洞，社交網(wǎng)站竟成為個人信息泄露的“溫床”。專家認為，需通過法律途徑“扎緊籬笆”，構建網(wǎng)絡個人信息保護的屏障。13、網(wǎng)上公開叫賣老板手機號侵犯隱私涉嫌違法近一段時間，網(wǎng)上很多網(wǎng)站、網(wǎng)頁公開叫賣“全國企業(yè)老板手機號大全”，而且還涌現(xiàn)出專業(yè)網(wǎng)站，通過QQ等網(wǎng)絡手段大張旗鼓地從事買賣業(yè)務。賣家聲稱，老板個人信息來源于政府權威部門，準確率幾乎百分之百。記者調查得知，由于個人信息外泄，部分企業(yè)老板常被陌生電話騷擾。14、央視曝光分眾傳媒收集大量個人信息2008年的央視3.15晚會揭露了一條重大消息，分眾無線傳媒技術有限公司掌握了中國5億多手機用戶中一半的手機用戶信息。該公司對機主的信息進行詳盡分類，精確到機主的性別、年齡、消費水平等。僅僅一個企業(yè)，竟掌握了2億多人的個人信息，如此令人駭然的現(xiàn)實，印證了公眾長期以來對個人信息保護的擔憂，更揭示出，個人隱私被泄露傳播，早已脫離了小打小鬧，已經(jīng)成為了一種專業(yè)化、規(guī)?；?、商業(yè)化的運作，足以讓每個人岌岌可危。個人信息被肆意竊取傳播，使許多人幾乎都沒隱私可言。15、垃圾短信漫天飛目前的垃圾短信主要有以下幾種類型：一是賭博信息；二是以抽獎、中獎為誘餌的詐騙信息；三是辦假證、假公章、販賣走私黑車、槍支等不法信息；四是利用短信傳播淫穢、色情信息；五是短信服務商擅自提供的信息服務。這些不同類型的垃圾短信存在的共同特點是傳播速度快，覆蓋面積廣。傳播者使用的號碼大多沒有登記身份信息或使用假的身份證，一般很難查到用戶信息，傳播者使用的號碼大多是漫游的，存在跨地域問題。垃圾短信的成因，包括技術、管理等多方面的因素，究其根源在于兩個方面，一是巨大的商業(yè)利益驅使；二是人們觀念上的誤解。尤其是后者，一般人都會認為，這種利用手機發(fā)送廣告短信的行為，目前的法律無法規(guī)制，故而放縱這種現(xiàn)象的發(fā)生。16、銀行私查市民信用記錄被判侵權

南京一市民狀告民生銀行，玄武法院認為此舉侵犯他人隱私權，銀行不服已上訴。市民郭先生曾在民生銀行南京分行申領過信用卡，后來注銷了，但是去年5月他意外發(fā)現(xiàn)，該行在他注銷信用卡后仍以信用卡審批和貸款審批的名義，兩次未經(jīng)他授權向中國人民銀行南京分行(下稱人行南京分行)查詢他的個人信用信息。民生銀行南京分行給予的解釋是“二次開發(fā)客戶”，郭先生不能接受，以隱私權受到侵犯為由起訴到玄武法院。上個月，玄武法院一審判他勝訴，民生銀行南京分行需書面賠禮道歉。民生銀行南京分行不服一審判決，已經(jīng)提起上訴。17、上海泰夢公司非法獲取公民個人信息案2005年2月，30歲的武漢人周娟注冊了上海泰夢信息技術有限公司，雇用了親戚李之召、張偉等人，通過互聯(lián)網(wǎng)買賣企業(yè)信息、公民個人信息，大肆在網(wǎng)上公開“叫賣”他人的身份證號、手機號、賬號、住址等“私密”信息，內容涉及房產、汽車、金融、娛樂、IT等行業(yè)，受害者遍及男女老幼，甚至連剛出生的嬰兒也沒能幸免，公民的個人信息被隨意掌握和交易高達3000余萬條。周娟事后在公安機關交代，自2005年至案發(fā)時止，她個人獲利高達100萬元。

8月5日，上海市浦東新區(qū)人民法院對涉嫌非法獲取公民個人信息罪的李之召等10名被告人進行開庭審理。法庭作出了一審判決，10名被告人均犯非法獲取公民個人信息罪，其中9名被分別判處有期徒刑二年至拘役六個月,緩刑六個月不等，罰金4萬元至1萬元不等，另有1名被告人被免予刑事處罰。18、首例電信企業(yè)員工泄露公民個人信息案因非法從事討債、婚姻調查等活動，并在討債過程中涉嫌敲詐勒索，2010年2月，北京東方亨特商務調查公司等5家調查公司的7名“私家偵探”被以涉嫌非法經(jīng)營罪和敲詐勒索罪公訴至北京市朝陽區(qū)法院。與他們同時被訴的，還有3名來自中國電信、中國聯(lián)通及原中國網(wǎng)通三大電信企業(yè)的員工，作為泄露個人