各单位:
近年来,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题十分突出,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。近段时间,信息中心接到多起上级网监部门通报以及教师投诉,反映学校一些部门在处理涉及个人信息的收集、公示业务中,存在如下不同程度的个人隐私泄露与侵犯:
(1)公示信息时,公示了过多的个人信息且没有做脱敏处理
(2)在QQ群或微信群里通过上传群文件或文件共享编辑方式收集个人信息,导致全体成员(包括混入群内寻找“商机”的诈骗分子)均获得
这些个人信息的泄露,将给网络犯罪以极大可乘之机,给相关人员的学习生活带来严重安全隐患,给学校工作带来较大损失。
网络安全管理实行“谁主办,谁负责”,单位负责人是本单位网络安全管理第一责任人。各单位应组织学习、领会并遵循《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《中华人民共和国网络安全法》、《全国人大常委会关于加强网络信息保护的决定》、《中华人民共和国民法典》等国家相关法律法规的要求依法依规处理个人信息,特别注意以下四个原则:
1.合法、正当原则——自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
2.最少够用原则——各系统、业务只收集、存储、发布完成业务必要的最少个人信息类型和数量,不得借机收集、存储与业务无关的个人信息。任务完成后,应及时删除相关个人信息,不得超业务范围使用,不得过度处理。
3.确保安全原则——具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性;不得将个人信息存储在没有安全保障的地方。
4.脱敏原则——公开发布信息时,不应包括身份证号码、家庭地址等敏感信息,若确需增加公示的可信度,则原则上应进行脱敏处理,如身份证号码可公布前后若干位、中间使用“*”号代替。
请各单位务必高度重视在业务中对个人信息的保护,按照上述原则开展以下整改工作,避免因信息泄露和不当使用而承担行政、民事责任乃至刑事责任:
1.清理并删除各网络群组里涉及不宜公开个人信息的文档,通知本单位师生员工今后不得通过网络群组上传群文件或共享编辑方式收集个人信息。
2.检查单位网站有无公布、存储了不合规的个人信息,对不合规个人信息做删除或脱敏处理。
3.按照“最少够用原则”梳理单位网站中收集的个人信息,论证每项信息的必要性,删除不必要的信息项。
4.加强对存储个人信息设备、介质和系统的保护,不将信息存储于没有安全保障的计算机,防范信息泄露;严控接触个人信息的人员范围,与接触个人信息的业务人员、运维人员签署保密协议。
5.系统运维服务外包的,要与承担服务的公司及个人签署保密协议,规范运维行为,经常检查保密协议是否落实到位。
信息中心
2020年11月11日
附件:
1.个人信息的定义
2.《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
3.《中华人民共和国网络安全法》与个人信息保护相关的条款
4.《全国人民代表大会常务委员会关于加强网络信息保护的决定》
5.《中华人民共和国民法典》与个人信息保护相关的条款
附件一:个人信息的定义
个人信息:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括但不限于自然人的姓名、性别、民族、信仰、出生日期、身份证件号码、个人生物识别信息、通讯联系方式、住址、通信记录、账号密码、财产状况、行踪轨迹、住宿信息、健康生理信息、交易信息等。
个人敏感信息:一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,例如身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。
附件二:《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
(2017年3月20日最高人民法院审判委员会第1712次会议、2017年4月26日最高人民检察院第十二届检察委员会第63次会议通过,自2017年6月1日起施行)
为依法惩治侵犯公民个人信息犯罪活动,保护公民个人信息安全和合法权益,根据《中华人民共和国刑法》《中华人民共和国刑事诉讼法》的有关规定,现就办理此类刑事案件适用法律的若干问题解释如下:
第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
第二条 违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。
第三条 向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。
未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
第四条 违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。
第六条 为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)利用非法购买、收受的公民个人信息获利五万元以上的;
(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;
(三)其他情节严重的情形。
实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。
第七条 单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。
第八条 设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。
第九条 网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。
第十条 实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。
第十一条 非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。
向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。
对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
第十二条 对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。
第十三条 本解释自2017年6月1日起施行。
附件三:《中华人民共和国网络安全法》与个人信息保护相关的条款
(第十二届全国人民代表大会常务委员会第二十四次会议2016年11月7日通过,自2017年6月1日起施行)
第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
第四十五条 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
附件四:《全国人民代表大会常务委员会关于加强网络信息保护的决定》
(2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过)
为了保护网络信息安全,保障公民、法人和其他组织的合法权益,维护国家安全和社会公共利益,特作如下决定:
一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。
任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。
二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。
网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。
三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
四、网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。
五、网络服务提供者应当加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
六、网络服务提供者为用户办理网站接入服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。
七、任何组织和个人未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。
八、公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。
九、任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为,有权向有关主管部门举报、控告;接到举报、控告的部门应当依法及时处理。被侵权人可以依法提起诉讼。
十、有关主管部门应当在各自职权范围内依法履行职责,采取技术措施和其他必要措施,防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为。有关主管部门依法履行职责时,网络服务提供者应当予以配合,提供技术支持。
国家机关及其工作人员对在履行职责中知悉的公民个人电子信息应当予以保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
十一、对有违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任。
十二、本决定自公布之日起施行。
附件五:《中华人民共和国民法典》与个人信息保护相关的条款
第一百一十一条 自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
第九百九十九条 为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等;使用不合理侵害民事主体人格权的,应当依法承担民事责任。
第一千零三十二条 自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。
隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
第一千零三十三条 除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为:
(一)以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;
(二)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;
(三)拍摄、窥视、窃听、公开他人的私密活动;
(四)拍摄、窥视他人身体的私密部位;
(五)处理他人的私密信息;
(六)以其他方式侵害他人的隐私权。
第一千零三十四条 自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
第一千零三十六条 处理个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人或者其监护人同意的范围内合理实施的行为;
(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
第一千零三十七条 自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。
自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。
第一千零三十八条 信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
第一千零三十九条 国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。
第一千二百二十六条 医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。
