关于出台保护公民个人信息安全的相关规定的建议 - 人大建议

琼公函〔2017〕1062号
    分类：（B）

    关于海南省五届人大五次会议代表
    建议、批评和意见第552259号
    办理情况的答复

    符传泉代表：
    您在省五届人大五次会议上提出的关于“出台保护公民个人信息安全的相关规定”的建议（第552259号），省人大常委会交由省金融办、省通信管理局和省公安厅分别主办。我厅在办理提案的过程中依据公安厅的职责，查阅了国家已出台的相关法律、法规，同银行、通信部门多次进行沟通交流，认真研究，深入调查分析，现逐条答复如下：
    一、第一条提议
    （一）提案具体内容
    手机和银行卡实名制谁不落实谁担责。尽管国家早就要求，手机卡和银行卡实名制，但没有做到未实名制的一律停机，但从现在来看，只要还有电信诈骗在，实名制就有缺口，现在还有虚拟号段没有实名制。所谓实名制，不能只是手机卡和银行卡有一个实实在在的名字，使用手机的和注册人必须是同一个人。建议在海南出台地方管理细则，如果警方办案查出，实名制不是本人办理，也不是本人使用，那么首先由办卡部门先行赔偿损失，还要追究办卡人的责任，有利于保护受害人。
    （二）答复意见
    据了解，国家已出台手机卡、银行卡实名制相关法律规定，但要求手机卡、银行卡登记与使用人必须同一尚未明确。
    1、手机卡实名制。2013年9月1日施行的《电话用户真实身份信息登记规定》（工业和信息化部令第25号）第六条规定：电信业务经营者为用户办理入网手续时，应当要求用户出示有效证件、提供真实身份信息，用户应当予以配合。2017年6月1日，《中华人民共和国网络安全法》（以下简称《网络安全法》）正式实施，其第二十四条规定：网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供发布、即时通讯服务，在与用户签订协议或者确定提供服务时，应当要求用户提供真实身份信息，用户不提供真实身份信息的，网络运营者不得为其提供相关服务。
    2、银行卡实名制。2000年3月20日，国务院出台《个人存款账户实名制规定》（国务院令第285号，2000年4月1日起施行），要求个人或代理人在金融机构开立个人存款账户时，应当出示本人或代理人身份证件，使用实名登记。金融机构应对开立个人存款账户本人或代理人身份进行核对。不出示本人身份证件或不使用本人身份证件上的姓名的，金融机构不得为其开立个人存款账户。
    对银行金融机构和电信运营商不实名登记手机卡、银行卡，或泄露、出售办卡人个人信息的，《电话用户真实身份信息登记规定》第十七条、《网络安全法》第六十一条和第六十四条第二款、《个人存款账户实名制规定》第九条也已分别予以了规定，并明确其因此将承担的相关法律责任，包括处予罚金、或追究刑事责任等。但是，要求手机卡、银行卡登记和使用人为同一人的情形，法律、规定尚未明确。
    综上所述，出台手机卡、银行卡登记与使用人同一的细则，恐无上位法支持。
    二、第二条提议
    （一）提案具体内容
    预防电信诈骗，重在事先预防，不在事后追究。现在个人信息泄露严重，警察办案查证大都是内鬼造成的。海南作为有立法权的最大的经济特区，建议率先出台个人信息保护条例。严惩泄露、倒卖个人信息，减少办事预留身份证复印件的要求，身份证是用来查验的，不是用来复印的。凡是要求预留身份证的，必须经过一定的程序；凡是能用大数据查询的，一律不得复印身份证。
    （二）答复意见
    保护公民个人信息安全，国家也已出台了相关法律规定，相关单位也落实了保护措施。
    1、现行法律、政策、规定
    （1）法律。《中华人民共和国刑法》（简称：《刑法》）第二百五十三条之一规定：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金；违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。《网络安全法》第四十二条规定：网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。
    （2）规定。《个人存款账户实名制规定》第八条第一、第二款规定：金融机构及工作人员负有为个人存款账户的情况保守秘密的责任。金融机构不得向任何单位或者个人提供有关个人存款账户的情况，并有权拒绝任何单位或者个人查询、冻结、扣划个人在金融机构的款项；但是，法律另有规定的除外。《电信和互联网用户个人信息保护规定》（工业和信息化部令第24号）第十条规定：电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。
    （3）政策。人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》（银发[2011]17号），规定银行业金融机构相关人员应加强个人金融信息管理的权限设置，防止信息泄露或滥用。
    2、相关职能部门开展保护公民个人信息工作情况
    （1）公安机关打击泄露倒卖个人信息和维护个人信息安全的情况。一直以来，公安机关高度重视保护公民个人信息安全工作，依照《刑法》、《网络安全法》等法律、规定也落实了 “打、防、控”措施。一是按照国务院打击电信网络新型违法犯罪部际联席会议的要求，牵头建立海南省打击电信网络新型违法犯罪联席会议制度，成立海南省反电信网络诈骗中心，止付、冻结涉案银行卡，封堵关停涉案手机或网络信息，并依法打击电信网络新型违法犯罪。二是组织开展打击侵犯公民个人信息犯罪专项行动。据统计，2017年以来，共侦破了5起侵犯公民个人信息案件，抓获犯罪嫌疑人27人，缴获涉案手机、电脑、银行卡、U盘一批，提取涉案公民信息近亿条。三是协同省通信管理局建立诈骗防范电话拦截系统，对可疑电话进行拦截、阻断，或将涉案电话号码列为黑名单等，有效地减少了因个人信息泄露被违法犯罪分子利用实施诈骗案件的发生。四是群发短信、创建微信公众号、举办宣传活动，普及防范电信网络诈骗知识，提高公民的防范意识，有效地保护了我省公民个人信息和财产安全。
    （2）银行业金融机构、电信运营商开展工作的情况。针对个人信息保护问题，银行业金融机构、电信运营商已开展了大量的工作。提议中提出的“凡是能用大数据查询的，一律不得复印身份证件”。据调查了解，以往银行业金融机构、电信运营商在为用户办理入网手续或开立银行存款账户时，确需预留办理人员的身份证复印件。但是，随着信息化技术的不断推进，银行业金融机构、电信运营商的工作系统已与公安机关公民身份核查系统进行了对接，实现了网上核实相关人员信息，不需要预留身份证复印件了。
    3、工作意见
    目前，国家虽已立法保护了公民个人信息安全，银行业金融机构、电信运营商以及公安机关也已加大了防范、打击泄露、倒卖个人信息犯罪的力度。但是，泄露、倒卖个人信息案件仍时有发生，源头尚未控制。下一步，公安机关将继续开展专项工作，深化对泄露或倒卖个人信息的违法犯罪行为进行打击处理；建议银行业金融机构、电信运营商下一步出台相关实施细则，保护公民个人信息安全。
    三、第三条提议
    （一）提案具体内容
    银行卡从技术上建立预警程序，凡是不正常的金融活动，可先预警求证后方可继续进行。电信诈骗，说到底是为了金融诈骗，建议海南金融管理，参照国外对银行卡的管理经验，对一般客户，如果短时间内大量转出，如果在非正常的时段转账，银行可在程序上设置预警障碍，得电话求证后方可进行。如果银行没做到这些，可让银行先行垫付储户损失，待破案后再分清责任。
    （二）答复意见
    1.据向银行工作人员了解，当前，针对银行卡客户的资产、交易情况和交易特征，银行部门均有了分析模型，主要目的之一是为了风险控制。但是，对不正常的金融活动，银行部门尚未统一界定。监测发现异常的情况，银行虽有了预警应急措施，但是与公安机关尚未实现资源共享，防范打击工作滞后。
    2.建议银行业金融机构建立银行卡交易预警机制，实现资源共享，快速打击违法犯罪。
    四、第四条提议
    （一）提案具体内容
    银行与储户之间的关系，是合同关系。保障储户资金安全，是银行起码的责任。现在ATM机出了故障，损失由储户承担，追查由警察进行，作为当事人的银行，反而没事免责。如果海南能率先出台电信诈骗防范管理条例，谁主张，谁举证，没法举证的，由银行担责。只有这样，才能倒逼银行尽职尽责，减少电信金融诈骗的发生。
    （二）答复意见
    储户在银行开立账户时，与银行机构签订协议，双方虽已明确了各自责任义务，但是，从公安机关掌握的数据来看，近年来银行卡被盗刷现象突出，最常见的盗刷形式是伪卡盗刷，主要原因是个人银行卡信息泄露、或被泄露、被复制所致。建议银行业金融机构出台相关管理条例，保护公民个人信息安全。


    海南省公安厅
    2017年7月17日
    （此件主动公开）


    抄送：省人大常委会办公厅
    联系单位：省公安厅刑警总队
    联系人：刘非
    联系电话：15208956161

题　　目：	关于出台保护公民个人信息安全的相关规定的建议
领衔代表：	符传泉；	代表团：	海口代表团；

主办单位	会办	交办日期
省政府金融办；省公安厅；省通信管理局；		2017-04-01

承办单位	答复日期	答复内容
公安厅	2017年7月21日	详细查看关闭关于出台保护公民个人信息安全的相关规定的建议（B类）琼公函〔2017〕1062号分类：（B）关于海南省五届人大五次会议代表建议、批评和意见第552259号办理情况的答复符传泉代表：您在省五届人大五次会议上提出的关于“出台保护公民个人信息安全的相关规定”的建议（第552259号），省人大常委会交由省金融办、省通信管理局和省公安厅分别主办。我厅在办理提案的过程中依据公安厅的职责，查阅了国家已出台的相关法律、法规，同银行、通信部门多次进行沟通交流，认真研究，深入调查分析，现逐条答复如下：一、第一条提议（一）提案具体内容手机和银行卡实名制谁不落实谁担责。尽管国家早就要求，手机卡和银行卡实名制，但没有做到未实名制的一律停机，但从现在来看，只要还有电信诈骗在，实名制就有缺口，现在还有虚拟号段没有实名制。所谓实名制，不能只是手机卡和银行卡有一个实实在在的名字，使用手机的和注册人必须是同一个人。建议在海南出台地方管理细则，如果警方办案查出，实名制不是本人办理，也不是本人使用，那么首先由办卡部门先行赔偿损失，还要追究办卡人的责任，有利于保护受害人。（二）答复意见据了解，国家已出台手机卡、银行卡实名制相关法律规定，但要求手机卡、银行卡登记与使用人必须同一尚未明确。 1、手机卡实名制。2013年9月1日施行的《电话用户真实身份信息登记规定》（工业和信息化部令第25号）第六条规定：电信业务经营者为用户办理入网手续时，应当要求用户出示有效证件、提供真实身份信息，用户应当予以配合。2017年6月1日，《中华人民共和国网络安全法》（以下简称《网络安全法》）正式实施，其第二十四条规定：网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供发布、即时通讯服务，在与用户签订协议或者确定提供服务时，应当要求用户提供真实身份信息，用户不提供真实身份信息的，网络运营者不得为其提供相关服务。 2、银行卡实名制。2000年3月20日，国务院出台《个人存款账户实名制规定》（国务院令第285号，2000年4月1日起施行），要求个人或代理人在金融机构开立个人存款账户时，应当出示本人或代理人身份证件，使用实名登记。金融机构应对开立个人存款账户本人或代理人身份进行核对。不出示本人身份证件或不使用本人身份证件上的姓名的，金融机构不得为其开立个人存款账户。对银行金融机构和电信运营商不实名登记手机卡、银行卡，或泄露、出售办卡人个人信息的，《电话用户真实身份信息登记规定》第十七条、《网络安全法》第六十一条和第六十四条第二款、《个人存款账户实名制规定》第九条也已分别予以了规定，并明确其因此将承担的相关法律责任，包括处予罚金、或追究刑事责任等。但是，要求手机卡、银行卡登记和使用人为同一人的情形，法律、规定尚未明确。综上所述，出台手机卡、银行卡登记与使用人同一的细则，恐无上位法支持。二、第二条提议（一）提案具体内容预防电信诈骗，重在事先预防，不在事后追究。现在个人信息泄露严重，警察办案查证大都是内鬼造成的。海南作为有立法权的最大的经济特区，建议率先出台个人信息保护条例。严惩泄露、倒卖个人信息，减少办事预留身份证复印件的要求，身份证是用来查验的，不是用来复印的。凡是要求预留身份证的，必须经过一定的程序；凡是能用大数据查询的，一律不得复印身份证。（二）答复意见保护公民个人信息安全，国家也已出台了相关法律规定，相关单位也落实了保护措施。 1、现行法律、政策、规定（1）法律。《中华人民共和国刑法》（简称：《刑法》）第二百五十三条之一规定：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金；违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。《网络安全法》第四十二条规定：网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。（2）规定。《个人存款账户实名制规定》第八条第一、第二款规定：金融机构及工作人员负有为个人存款账户的情况保守秘密的责任。金融机构不得向任何单位或者个人提供有关个人存款账户的情况，并有权拒绝任何单位或者个人查询、冻结、扣划个人在金融机构的款项；但是，法律另有规定的除外。《电信和互联网用户个人信息保护规定》（工业和信息化部令第24号）第十条规定：电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。（3）政策。人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》（银发[2011]17号），规定银行业金融机构相关人员应加强个人金融信息管理的权限设置，防止信息泄露或滥用。 2、相关职能部门开展保护公民个人信息工作情况（1）公安机关打击泄露倒卖个人信息和维护个人信息安全的情况。一直以来，公安机关高度重视保护公民个人信息安全工作，依照《刑法》、《网络安全法》等法律、规定也落实了 “打、防、控”措施。一是按照国务院打击电信网络新型违法犯罪部际联席会议的要求，牵头建立海南省打击电信网络新型违法犯罪联席会议制度，成立海南省反电信网络诈骗中心，止付、冻结涉案银行卡，封堵关停涉案手机或网络信息，并依法打击电信网络新型违法犯罪。二是组织开展打击侵犯公民个人信息犯罪专项行动。据统计，2017年以来，共侦破了5起侵犯公民个人信息案件，抓获犯罪嫌疑人27人，缴获涉案手机、电脑、银行卡、U盘一批，提取涉案公民信息近亿条。三是协同省通信管理局建立诈骗防范电话拦截系统，对可疑电话进行拦截、阻断，或将涉案电话号码列为黑名单等，有效地减少了因个人信息泄露被违法犯罪分子利用实施诈骗案件的发生。四是群发短信、创建微信公众号、举办宣传活动，普及防范电信网络诈骗知识，提高公民的防范意识，有效地保护了我省公民个人信息和财产安全。（2）银行业金融机构、电信运营商开展工作的情况。针对个人信息保护问题，银行业金融机构、电信运营商已开展了大量的工作。提议中提出的“凡是能用大数据查询的，一律不得复印身份证件”。据调查了解，以往银行业金融机构、电信运营商在为用户办理入网手续或开立银行存款账户时，确需预留办理人员的身份证复印件。但是，随着信息化技术的不断推进，银行业金融机构、电信运营商的工作系统已与公安机关公民身份核查系统进行了对接，实现了网上核实相关人员信息，不需要预留身份证复印件了。 3、工作意见目前，国家虽已立法保护了公民个人信息安全，银行业金融机构、电信运营商以及公安机关也已加大了防范、打击泄露、倒卖个人信息犯罪的力度。但是，泄露、倒卖个人信息案件仍时有发生，源头尚未控制。下一步，公安机关将继续开展专项工作，深化对泄露或倒卖个人信息的违法犯罪行为进行打击处理；建议银行业金融机构、电信运营商下一步出台相关实施细则，保护公民个人信息安全。三、第三条提议（一）提案具体内容银行卡从技术上建立预警程序，凡是不正常的金融活动，可先预警求证后方可继续进行。电信诈骗，说到底是为了金融诈骗，建议海南金融管理，参照国外对银行卡的管理经验，对一般客户，如果短时间内大量转出，如果在非正常的时段转账，银行可在程序上设置预警障碍，得电话求证后方可进行。如果银行没做到这些，可让银行先行垫付储户损失，待破案后再分清责任。（二）答复意见 1.据向银行工作人员了解，当前，针对银行卡客户的资产、交易情况和交易特征，银行部门均有了分析模型，主要目的之一是为了风险控制。但是，对不正常的金融活动，银行部门尚未统一界定。监测发现异常的情况，银行虽有了预警应急措施，但是与公安机关尚未实现资源共享，防范打击工作滞后。 2.建议银行业金融机构建立银行卡交易预警机制，实现资源共享，快速打击违法犯罪。四、第四条提议（一）提案具体内容银行与储户之间的关系，是合同关系。保障储户资金安全，是银行起码的责任。现在ATM机出了故障，损失由储户承担，追查由警察进行，作为当事人的银行，反而没事免责。如果海南能率先出台电信诈骗防范管理条例，谁主张，谁举证，没法举证的，由银行担责。只有这样，才能倒逼银行尽职尽责，减少电信金融诈骗的发生。（二）答复意见储户在银行开立账户时，与银行机构签订协议，双方虽已明确了各自责任义务，但是，从公安机关掌握的数据来看，近年来银行卡被盗刷现象突出，最常见的盗刷形式是伪卡盗刷，主要原因是个人银行卡信息泄露、或被泄露、被复制所致。建议银行业金融机构出台相关管理条例，保护公民个人信息安全。海南省公安厅 2017年7月17日（此件主动公开）抄送：省人大常委会办公厅联系单位：省公安厅刑警总队联系人：刘非联系电话：15208956161
通管局	2017年8月9日	详细查看关闭海南省通信管理局关于海南省第五届人大第五次会议代表建议第552259号办理情况的答复（B类）符传泉代表：您在省五届人大五次会议提出的“关于出台保护公民个人信息安全的相关规定的建议”，我局是省政府办公厅交办的单位之一。经我局认真研究，深入调查分析，现答复如下：一、关于电话用户实名登记工作的落实情况 2012年12月全国人大常委会出台了《关于加强网络信息保护的决定》（以下简称《决定》），从法律上明确了电话用户真实身份信息登记制度（以下简称“电话实名制”）。2013年7月，工信部出台了《电话用户真实身份信息登记制度》（工信部令第25号），明确从2013年9月1日起实行电话实名制。随后工信部又陆续出台了《电话用户真实身份信息登记方案》《工业和信息化部公安部工商总局关于印发电话“黑卡”治理专项行动工作方案的通知》等相关实施细则及专项行动方案来落实电话实名制工作并将企业落实电话实名制情况纳入网络与信息安全责任考核。我局按照工信部的统一部署，通过明查、暗访，加大对违规企业的处罚力度、约谈违规企业主要负责人等积极稳妥地推进我省电话实名制工作的落实。自2013年实行电话实名制工作以来，我局先后对近2000个营销网点进行检查，及时通报检查中发现的问题，对36次违规行为进行了行政处罚。截至2016年12月31日，我省电话实名率达到100%。二、有关电信用户个人信息保护工作落实情况根据《决定》精神，工信部于2013年7月出台了《电信和互联网用户个人信息保护规定》（工信部令第24号），进一步明确了电信业务经营者和互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施；于2014年10月出台了《电信和互联网用户个人电子信息保护通用技术要求和管理要求》标准，明确规范了电信和互联网用户个人电子信息分类别的技术和管理方面的安全防护要求；于2016年将各基础电信企业落实用户个人电子信息保护情况列入网络与信息安全责任考核内容之一。自2013年来，我局根据工信部的统一部署，通过加大监督检查力度、聘请第三方机构对企业的信息安全防护情况进行评估考核等方式督促各企业逐步建立并完善用户个人电子信息收集、使用等安全管理制度，不断提升技术防控手段。目前，我省各基础电信企业已设立专人、专区对用户纸质资料统一归档保存，对工号开通、关闭以及权限的开通、取消等严格按审批流程和制度执行，与合作伙伴、第三方合作商签订保密协议并进行信息安全生产教育，将涉及重要数据和用户个人电子信息的系统纳入管控平台管理，涉及敏感数据的资源纳入金库模式管理等一系列用户信息保护机制。在我局的多次督导检查中，未发现有安全责任落实不到位造成用户信息泄露的情况。依法落实电话实名制，依法保护用户个人信息，依法打击电信网络违法犯罪行为，我局负有义不容辞的管理责任。今后，我局将继续履行职责，充分发挥技术优势，积极配合其它职能部门，齐抓共管，共同促进电信网络的健康持续发展。感谢您长期以来为我省通信业发展所付出的努力和贡献。海南省通信管理局 2017年6月29日联系单位及联系人：海南省通信管理局法规处刘健联系电话：66533299、13876329899
金融工作办公室	2017年10月10日	详细查看关闭关于出台保护公民个人信息安全的相关规定的建议（B类）符传泉代表：衷心感谢您对我省信用体系建设工作的关心和支持！您提出的《关于出台保护公民个人信息安全的相关规定的建议》中涉及出台个人信息保护条例的有关问题，经认真研究，现答复如下： 2016年12月，国务院办公厅印发《关于加强个人诚信体系建设的指导意见》（国办发〔2016〕98号），明确了加快个人诚信体系建设的总体要求和基本原则，以及加强个人诚信教育、加快推进个人诚信记录建设、强化保障措施等工作任务，其中包括“逐步建立和完善个人诚信体系建设法律法规，加强个人信息安全和个人隐私的保护，有力维护个人信息的主体权利和合法权益”。2017年1月，时任省长、现任省委书记的刘赐贵批示：“请办公厅按指导意见抓落实”，省政府常务副省长毛超峰常务副省长批示：“请发改委阅办”。按照省政府领导的批示精神，我省个人诚信体系建设工作已明确省发改委为牵头部门，负责各项工作的具体落实。 2017年3月，省政府办公厅印发《关于建立完善守信联合激励和失信联合惩戒制度加快推进社会诚信建设的实施方案》（琼府办〔2017〕44号），明确了完善个人信用记录，推动联合惩戒措施到人，以互联网、邮寄快递、电信、金融账户等领域为重点，推动完善个人实名登记制度，逐步建立起政府部门间失信联合惩戒机制，让失信者寸步难行、处处受限。