人大代表：个人信息如不严密保护如同“裸奔”

　　疫情防控期间，绝大多数人都在不同地方、不止一次地留下了自己手机号、身份证号、家庭地址……在遵守防控规定同时，不少人担心若这些信息不能妥善保管一旦泄露会被不法分子利用。

　　面对层出不穷的个人信息泄露导致的危害，正在参加“两会”的全国人大代表崔荣华提交了“关于加快‘个人信息保护法’立法的议案”，希望加快立法进程，从八个方面切实保护公民个人信息，严格企业和机构的信息保护责任，加大违法处罚力度。

　　人大代表：个人信息如不严密保护 如同“裸奔”

　　华商报记者曾就防疫期间个人信息如何保护，走访超市、小区、药店等多个公共场所，有的表示会统一保护或集中销毁，有的也不知道该怎么办，要等上级通知。

　　崔荣华也关注到上述危险，“对互联网的普及和依赖，让个人信息泄露并由此带来的财产损失、人身伤害案不断增加，涉及个人信息保护的违法屡见不鲜。”她说，尤其是电信诈骗，已成公害，“根源就是公民个人信息的泄露。”

　　崔荣华说，疫情防控期间公民填写了包括身份证号码、住址、手机号码等详细的个人信息。这些信息指向性更明确，若不严密保护，公民个人信息如同“裸奔”，一旦被不法分子利用，伤害更甚。

　　有网络安全专家在接受华商报记者采访时分析，当网络空间和物理空间融合后，不法分子更容易去诈骗;编造的骗局更具迷惑性;更易办假身份证、伪造信用卡;身边人也更易被骗;老年人更易被骗。

　　2017年“两会” 代表提交立法议案

　　因此，崔荣华建议加快“个人信息保护法”立法进程，加强个人信息保护，从源头杜绝电信诈骗等犯罪，斩断这一黑色产业链，保护公民信息和财产安全。

　　据华商报记者查询，2017年的全国“两会”，45位全国人大代表提交了《关于制定“中华人民共和国个人信息保护法”的议案》，建议尽快制定这部法律，议案还以附件形式提交了该法草案。

　　同年12月全国人大常委会的相关报告中也指出：用户信息泄露呈现渠道多、窃取违法行为成本低、追查难度大等特点，导致用户个人信息保护工作形势严峻，建议通过加快个人信息保护法立法进程、加大打击力度等方式,进一步加大用户个人信息保护力度。

　　崔荣华分析，制定个人信息保护法，让大数据在法律的严密保护下安全地收集和流通，才有利于促进我国社会信息化进程，才能推动我国信息产业与世界接轨。截至目前，全球已有90多个国家和地区制定了专门保障个人信息的法律。“我们借鉴相应的立法经验，结合国情和信息技术发展现状，取长补短，尽快制定该法。”

　　“要把个人信息上升到公民基本权利”

　　崔荣华建议，“应把个人信息上升为个人基本权利”，突出个人信息保护的知情同意、目的明确、使用限制、信息质量、安全管理、禁止泄露、保存时限和自由流通等八项原则，严格企业和机构的信息保护责任，加大处罚力度。

　　在合法和保障知情权方面，任何机关和个人收集公民个人信息都应当遵循合法性原则，保证收集主体和手段必须合法;知情权是个人信息权的核心。除法律强制规定以外，没有当事人知情，任何的个人信息收集行为都是没有合法性基础的。对一些重要信息，尤其关系个人核心隐私信息的收集，必须征得本人同意，并向当事人告知信息采集目的、用途、使用范围和期限等。

　　目的限定原则是指个人信息收集必须要符合特定目的，不能在此目的之外使用相关信息。风险限定原则认为，个人信息的二次利用是否合理，关键取决于新目的能否给用户带来精神压力、差别待遇及人身财产损害的可能性。显然，风险限定原则的边界较目的限定原则更为宽泛，更加灵活，但无论采用哪种原则，都需要对数据风险进行审慎评估，保护公民个人信息安全。

　　信息收集范围方面，应明确规定哪些个人信息可以被收集，哪些不能。收集时要“尽可能少收集，不能收集超出法律允许范围内的个人信息,更不能无限制、大面积收集。”

　　还要妥善保管，个人信息收集后须有专人保管负责，收集主体应当对个人信息收集后的泄露承担责任，收集主体因对个人信息保管不善而造成公民利益受损的，应当承担相应责任。掌握信息的相关行业，也要建立信息保护与信息安全防火墙，个人信息录入后，只有专业人员履行相关程序后才能接触。

　　第三方非法获取信息 采集机构须担责

　　查询也须审慎，这些私密信息应受法律保护，不能任何人都可以查询，只有法律规定的利益相关者在经过合法程序后才能查询他人信息。“还要明确最少使用的原则，”崔荣华说，为保护个人信息，因某一特定事项可使用、也可不使用个人信息时“要尽量不使用。”

　　崔荣华建议，立法应当明确侵害个人信息权利的责任，如因信息采集主体保管不善导致个人信息泄露，则信息采集主体应当依法承担相应责任;如工作人员私自泄露了个人信息，除该个人应当承担责任外，信息采集主体业应视具体情节也依法承担责任;如信息采集主体对个人信息保管不善，同时又有第三方非法获取并使用个人信息，则信息采集主体与第三方共同承担赔偿责任。

　　个人数据跨境方面也应明确相应监管制度。立法应对涉及国家安全等重大国家利益的个人数据禁止转移到国外;将用户个人数据转移至境外，应取得用户明确同意;国家应制定数据跨境转移的合同范本，指导企业跨境转移事务;对于将个人数据转移至他国，以提供给他国政府的，应当取得数据保护机构的同意。

　　华商报记者 冯强

编辑：报社方正