51電子網公益庫存:

A8932CLWATR-T

BAS21SLT1G

A7

B5819W

E1D

FDP15N65

78L05

4742A

3843GM-E1

2SK1830

1N4148

0504P

XL1530

WFA36N20

VLA517-01R

      近期，螞蟻“花唄”的用戶服務協議條款引發網絡用戶爭議，其因超范圍的用戶信息收集受到批評。有鑒于此，中國人民銀行慶陽市中支課題組對美國個人信息主要做法進行了研究分析，為我國個人信息安全技術和商用服務信息監管提供借鑒。http://xw168168.51dzw.com

      美國在個人信息保護方面的主要做法

      美國采取政府規范行業內個人信息處理行為，同時通過分散立法，輔助行業自律的實施。通過商業機構的自我規范、自我約束和行業協會的監督，實現個人信息的安全，以保證網絡秩序的安全、穩定。

      通過政府管理，統一規范行業行為。美國于1995年正式提出個人信息保護原則，美國政府信息基礎設施特別工作組（iitf）公布了《個人隱私和國家信息基礎設施：個人信息的使用和提供原則》報告，提出了有關個人信息收集、加工、處理、再利用的基本原則。隨后于1997年，美國政府發布了《全球電子商務政策框架》。報告中關于個人隱私部分占有很大比重，強調私營企業在保護網絡隱私權中的主導作用，支持私營企業為此進行的自我規范的努力，并提出第三方機構監督執行機制，即網絡隱私認證計劃。網絡隱私認證計劃是私人行業實體為實現網絡隱私保護采取的一種自律形式。美國商務網絡財團和電子前線基金會共同發起的非營利性網絡隱私認證機構制定了個人隱私保護基本原則，主要包括：制定經truste審查認可的隱私保護政策、可識別個人信息主體的個人信息的收集和利用必須告知個人信息主體、個人信息主體有個人信息的控制權等。

      通過分散立法，輔助行業自律管理。美國于1974年通過的《隱私權法》，對政府機構收集、使用、公開個人信息和個人信息保密制定了詳細的規范，明確“隱私權為聯邦憲法所保障的基本人權”。同時，美國國會在一些比較敏感的領域，如兒童信息、醫療檔案、金融數據等，采取分散立法形式保護個人信息，如《消費者網上隱私法》、《兒童網上隱私保護法》、《電子通訊隱私法案》等。1998年，美國聯邦貿易委員會（ftc）提出四項公平信息原則進一步規范個人信息保護行為：1.知會原則：收集和處理個人信息時，應將收集、利用的目的、用途、內容，明確告知個人信息主體。2.選擇權原則：個人信息主體對被收集個人信息的使用目的、使用方式、二次開發等享有完全的決定和選擇權利。3.通道與參與原則：個人信息主體有權查看所收集的本人的個人信息，并有權質疑個人信息的準確性和完整性。4.完全與完整性原則：應采取足夠的管理、技術措施，防止未經授權的查看、損毀、使用、披露個人信息。

      我國個人信息安全技術和商用服務信息監管現狀

      法律制度層面。自2013年我國加快了網絡治理的法制建設步伐，相繼頒布《電信和互聯網用戶個人信息保護規定》，明確了電信管理機構對個人信息保護的監督管理體制；《信息安全技術、公共及商用服務信息系統個人信息保護指南》是我國首個個人信息保護的國家標準；《貴陽大數據交易所702公約》是首個產業商家針對數據交易過程提出的自我規制約束公約；《中華人民共和國網絡安全法》是首個保障網絡安全，并將網絡與信息安全作為國家安全的保障任務之一。 http://xw168168.51dzw.com

      監管機制層面。我國對互聯網行業的監管是對從業機構業務范圍進行行政審批許可為主，對隱私泄露不具備事后監管和長效監管的能力。網絡安全和數據保護的責任主體是網絡運營者，實行“誰運營誰負責”管理機制。例如，全國人大常委會《關于加強網絡信息保護的決定》第四條規定，“網絡服務提供者和其他企業事業單位應當采取技術措施和其他必要措施，確保信息安全，防止在業務活動中收集的公民個人電子信息泄露、毀損、丟失。在發生或者可能發生信息泄露、毀損、丟失的情況時，應當立即采取補救措施。”

      技術開發層面。在云計算服務領域，2014年我國制定了《信息安全技術云計算服務安全能力要求》的國家標準，該標準規定了云服務供應商應具備的安全技術能力，從信息安全的角度為提供云計算服務的供應商確立了一個基本的市場準人標準。而在大數據服務領域，目前我國還未制定相關的標準或者市場準入制度。目前，我國個人信息保護監管存在大量的信息和技術障礙，消費者隱私權侵犯的監測和處理大多數都是事后審理，導致隱私保護的及時性和全面性存在顯著不足。

      我國個人信息安全技術和商用服務信息監管的不足

      個人信息保護基本法缺失。目前，我國個人信息隱私保護基本法的缺失，嚴重降低了法律法規的執行效力，個人信息保護立法雖然散見與各部門的立法中，但是有關個人信息保護條款的內容少。部門規章的處罰主要是警告和少量的罰款，不足以震懾網絡違法犯罪行為。地方性法規具有很強的地域性，效力范圍僅限于本地區。業內規范僅適用于本行業、本企業，直接影響實施的效果，限制了打擊網絡個人信息隱私侵權的執行力度。

      個人信息保護范圍過于狹窄。我國現行的法律法規和規章，對金融信息保護主體的界定主要局限于金融機構，未能涵蓋與金融信息有關聯的其他主體。我國《商業銀行法》第73條的保護對象是存款信息，《反洗錢法》第5條的保護對象是金融機構基于反洗錢義務而獲得的客戶身份資料和交易信息，《征信業管理條例》和《個人信用信息基礎數據庫管理暫行辦法》主要保護個人信用和征信信息安全，這些不同層級的立法并未形成統一的個人信息保護。

      信息保護監管機制不完善。現階段，我國對互聯網行業的監管是對從業機構業務范圍進行行政審批許可為主，數據一旦流通便無法追溯源頭，與之相輔相成的行政管理體系、監管機制隔離了政府對數據的掌控環節，不具備信息隱私泄露時問責到底的機制。

      借鑒和啟示，加快個人信息保護立法。一是國家層面應盡快制定出臺《個人信息保護法》，明確個人信息主體及商業服務機構的法律地位，個人信息的共享及向有權機構披露的程序、例外規則、權利救濟以及監管機構職責等內容。二是制定個人信息保護實施細則，明確具體保護事項、商業服務機構的保密義務及侵害金融信息權的民事責任和免責條款等內容。三是政府牽頭聯合相關行業協會共同制定涉及兒童信息、醫療檔案、金融數據等具體行業的個人信息保護法，補充基本法規執行力的不足。

加強信息保護監管體制建設。進一步完善個人信息保護監管體制。由監管機構負責建立個人信息保護管理的具體規則和標準，督促商業機構加強信息安全、個人信息數據庫管理和信息采集標準，防止個人信息隨意采集和使用。對商業機構個人信息保護工作開展非現場監測和現場檢查，視情形實施行政處罰或采取其他監管措施。

加強個人信息保護行業自律。一是健全完善內控機制。要完善客戶個人信息管理規章制度，細化操作流程，定期對信息采集標準、安全狀況進行評估檢查，及時發現和糾正個人信息管理工作中的隱患和漏洞。二是個人信息的收集機構要完善自身信息系統建設與管理。提升信息系統安全防衛能力。三是加強信息人員管理，不斷增強員工保密和法律意識以及對信息的管理能力。http://xw168168.51dzw.com

來源：中國金融家