多措并舉保護電信用戶個人信息安全

　　劉建榮

　　近年來，用戶個人信息安全問題日益嚴重，電信用戶個人信息泄露事件也屢屢見諸報端，引起了人們的高度關(guān)注。電信用戶個人信息一旦泄露，用戶將面臨垃圾短信、騷擾電話、電話欺詐等種種麻煩，給用戶的工作和生活帶來很大影響。而目前正在推行的電話用戶實名制，進一步加大了社會對電信用戶個人信息安全問題的擔(dān)憂。

　　電信用戶個人信息=公民個人信息？

　　有專家認為，公民個人信息是指現(xiàn)實生活中能識別特定公民個人的一切信息， 包括姓名、年齡、體重、身高、檔案、醫(yī)療記錄、收入及消費、購買習(xí)慣、婚姻狀況、教育背景、家庭住址與電話號碼等。也有專家認為， 公民個人信息是指以任何形式存在的、與公民個人存在關(guān)聯(lián)并可識別特定個人的信息， 幾乎有關(guān)個人的一切信息、數(shù)據(jù)或者情況都可被認定為公民個人信息。關(guān)于電信用戶信息，根據(jù)工信部于2009年頒布的《第三代移動通信服務(wù)規(guī)范(試行)》2.10條規(guī)定：本處所稱用戶信息，是指電信用戶的姓名或者名稱、有效證件號、住址、位置信息、用戶號碼、聯(lián)系方式、交費賬號和通話清單等非通信內(nèi)容。而根據(jù)《中國電信用戶信息管理指導(dǎo)意見》規(guī)定，中國電信用戶信息是指用戶向中國電信各級公司提供的與用戶相關(guān)的各種信息，以及在使用通信服務(wù)的過程中產(chǎn)生的各種通信記錄和消費記錄等非通信內(nèi)容。具體包括個人與單位的身份信息、合作信息、通信信息和消費信息四個組成部分。

　　由此可知，電信用戶信息包括個人用戶信息和單位用戶信息兩個部分，而且均只包括非通信內(nèi)容。對電信個人用戶而言，個人用戶信息是否等同于《刑法》規(guī)定的個人用戶的公民個人信息？筆者希望能保持統(tǒng)一的規(guī)定和解釋。

　　侵犯電信用戶個人信息的法律責(zé)任

　　用戶個人信息屬于用戶隱私，侵犯電信用戶個人信息屬于侵權(quán)行為，可能依法承擔(dān)相應(yīng)的法律責(zé)任。

　　首先是民事責(zé)任。在2009年通過的《侵權(quán)責(zé)任法》頒布之前，我國《民法通則》和最高人民法院相關(guān)司法解釋等均將隱私權(quán)納入名譽權(quán)的范疇進行法律保護�！肚謾�(quán)責(zé)任法》第一次明確將隱私權(quán)寫入法律。侵犯電信用戶個人信息可能承擔(dān)停止侵害、賠禮道歉、賠償損失等民事責(zé)任。當(dāng)年弄得沸沸揚揚的昆明律師王衛(wèi)寧訴昆明電信公司民事侵權(quán)一案，便是認為電信提供的來電顯示業(yè)務(wù)侵權(quán)了其隱私權(quán)。

　　其次是行政責(zé)任。工信部于2009年頒布的《第三代移動通信服務(wù)規(guī)范(試行)》2.10條規(guī)定：電信業(yè)務(wù)經(jīng)營者依照法律和有關(guān)規(guī)定對用戶資料負有保密義務(wù)。未經(jīng)用戶同意，不得將用戶信息用于查詢服務(wù)或提供給第三方，不得泄露、刪除、篡改用戶信息。法律、行政法規(guī)另有規(guī)定的，從其規(guī)定。侵犯電信用戶個人信息，可能因損害消費者權(quán)益，違反消費者權(quán)益保護法律規(guī)定和電信相關(guān)監(jiān)管規(guī)定，而遭受工商、通信管理等部門的行政查處。

　　最后還有刑事責(zé)任。針對日益嚴重的公民個人信息泄露問題，2009年2月28日頒布實施的《刑法修正案(七)》新增了“出售公民個人信息罪”和“非法獲取公民個人信息罪”兩項新的罪名。該罪新設(shè)后，已經(jīng)發(fā)生數(shù)起因侵犯電信用戶個人信息而被追究刑事責(zé)任的案件。

　　多舉措保護電信用戶個人信息安全

　　首先，要加強宣傳教育，提高保護用戶個人信息安全的法律意識。歐盟 ENISA(European Network and Information Security Agency歐洲網(wǎng)絡(luò)與信息安全局)在一份題為《提高信息安全意識 (Awareness Raising) 》的文件中指出：“大量的研究報告表明，在所有的信息安全系統(tǒng)框架中，人這個要素往往是其最薄弱的環(huán)節(jié)。只有革新人們陳舊的安全觀念和認知文化，才能真正減少信息安全可能存在的隱患�！薄熬邆涓叨刃畔�安全意識的個人和有效的安全措施，被視作信息系統(tǒng)和網(wǎng)絡(luò)安全的第一道防線。因此，信息安全體系的所有參與者，包括信息技術(shù)業(yè)內(nèi)人士、與信息安全攸關(guān)的利益方，以及信息系統(tǒng)的最終用戶群乃至用戶個體，都應(yīng)擔(dān)負起提高安全意識，維護信息安全的責(zé)任。”為創(chuàng)造尊重和保護用戶個人信息安全的企業(yè)文化和經(jīng)營環(huán)境，有必要加大相關(guān)宣傳教育力度，堅持以服務(wù)為首、以客戶感知為本的經(jīng)營觀念，增強廣大員工特別是有機會接觸用戶個人信息的關(guān)鍵崗位員工以及企業(yè)經(jīng)營管理人員的信息安全意識。

　　其次，要提高技術(shù)手段，完善相關(guān)信息管理系統(tǒng)。電信業(yè)是一個高度IT化的行業(yè)，大量的用戶個人信息通過計算機網(wǎng)絡(luò)進行存儲和傳輸，對企業(yè)信息系統(tǒng)安全提出了極大的挑戰(zhàn)。對電信企業(yè)而言，堵住人為漏洞可用制度，而堵住技術(shù)本身的漏洞，最好使用技術(shù)。電信運營商要加強新產(chǎn)品新技術(shù)的應(yīng)用推廣，不斷完善信息系統(tǒng)安全設(shè)備諸如防火墻、VPN、入侵檢測系統(tǒng)、防病毒系統(tǒng)、認證系統(tǒng)等的性能，強化應(yīng)用數(shù)據(jù)的存取和審計功能，確保系統(tǒng)中的用戶個人信息得到更加穩(wěn)妥的安全技術(shù)防護。

　　再次，要梳理完善用戶個人信息安全管理制度和流程，構(gòu)建全面有效的用戶個人信息安全保護機制。電信行業(yè)的特殊性和復(fù)雜性，造成了接觸用戶個人信息的部門和環(huán)節(jié)眾多，加大了安全防范風(fēng)險。為建立全面有效的用戶個人信息安全保護機制，需要企業(yè)業(yè)務(wù)受理、客戶服務(wù)、運行維護、信息計費、人力資源、保密管理、法律事務(wù)等部門的密切配合，制定完善相關(guān)規(guī)章制度并嚴格執(zhí)行。例如將用戶個人信息安全工作納入公司保密工作體系，在各級網(wǎng)絡(luò)、計費、賬務(wù)、業(yè)務(wù)平臺及電子渠道等后臺部門建立健全有關(guān)保障用戶個人信息安全的規(guī)章制度，嚴格管理后臺維護人員對用戶個人信息的訪問。

　　最后，要建立健全侵犯用戶個人信息的應(yīng)急處理機制，確保在用戶個人信息發(fā)生泄露時，企業(yè)能迅速反應(yīng)、妥善處理，將影響和損失降到最小，保證企業(yè)各項業(yè)務(wù)持續(xù)穩(wěn)定開展。