新闻链接：1c9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3#2G2L8X3g2&6i4K6u0W2x3e0j5K6i4K6u0W2j5$3!0E0i4K6u0r3x3e0c8Q4x3V1j5I4x3e0p5^5i4K6u0r3x3e0m8Q4x3V1k6m8b7V1q4g2f1p5&6e0e0U0l9H3x3U0f1K6b7U0m8t1i4K6u0W2K9s2c8E0L8l9`.`.
新闻时间：2014-11-18 10:06:26
新闻正文：
智慧城市建设中的各行各业为了改善管理、扩大营销、提升客户体验的需要，无不在收集、处理和利用市民的个人信息（国外和中国港澳台地区称为“个人资料”、“个人数据”）。个人信息已经成为了智慧城市产业链上的重要资产。但不容忽视的是，物联网、云计算和大数据等新一代信息技术的普及和应用极大地降低了个人信息的获取和利用成本，促使围绕个人信息获取、利用和控制的竞争日趋激烈，使得保障智慧城市建设中的个人信息安全已成为重要议题。

保护个人信息的台湾经验

借助法律来保护市民个人信息，提高不法分子的违法成本，加大不法行为的惩处力度，为防范、制止、惩处私自搜集、滥用市民个人信息的行为提供专门的法律支持是国际上的通行做法。

个人信息泄露和滥用已经形成了一条灰色产业链。如2013年10月如家等大批酒店涉及2000万条用户信息泄露事件、2014年3月携程支付系统漏洞导致大量用户银行卡信息泄露事件。这些个人信息泄露事件的后果，不止造成家庭不和、个人隐私权和财产权受损等局部风险，而且严重打击人们参与智慧城市建设和享受信息消费的信心，进而成为挑战现实社会管理系统和诚信体系，威胁国家信息安全等的亟待解决的问题。

借助法律来保护市民个人信息，提高不法分子的违法成本，加大不法行为的惩处力度，为防范、制止、惩处私自搜集、滥用市民个人信息的行为提供专门的法律支持是国际上的通行做法。时至今日，大陆尚未将《个人信息保护法》纳入立法进程，但反观海峡对岸的台湾地区，早在1995年就制定了《电脑处理个人资料保护法》及其施行细则。随后在2010年4月正式通过了新修订的《个人资料保护法》（已将《电脑处理个人资料保护法》改名为《个人资料保护法》）（以下均称为“新法”），并于2012年10月1日正式施行。

台湾各界对新法的施行非常重视，比如台湾媒体反复播报；有些银行由于害怕员工私自复制并传播用户个人信息，已经将许多电脑的USB插槽封了起来；有些学校在公布同学有关个人信息时，都采用了一定的匿名化手段；公务机关用近乎“铜墙铁壁”的手段保护广大纳税人的网络报税信息；从人数爆满的大学讲座到标价不菲的商业课程，许多人都在学习如何解读和适应这部法律。

这部法律对我国未来研究出台《个人信息保护法》以及上海正在起草的《上海市公共信息系统个人信息保护管理办法》有较强的借鉴意义：

1.个人信息保护范围和适用主体。包括自然人的姓名、出生年月日、国民身份证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接方式识别该个人的信息。“新法”将医疗、基因、性生活、健康检查、犯罪前料等五种个人信息作为特种信息，原则上不得搜集、处理或利用，除非符合“法律明文规定”、“公务机关执行法定职务或非公务机关履行法定义务所必要，且有适当安全维护措施”、“当事人自行公开或其他已合法公开之个人资料”、“公务机关或学术研究机构基于医疗、卫生或犯罪预防之目的，为统计或学术研究而有必要，且经一定程序所为搜集、处理或利用之个人资料”等四项条件。“新法”的适用主体也从扩展到任何自然人、法人或其他团体。

2.告知义务。公务机关或者非公务机关向当事人搜集个人信息时须明确告知当事人搜集公务机关或非公务机关名称、搜集目的、个人信息类别、个人信息利用方式、个人信息来源等项目，并同时明确列举了公务机关执行法定职务或非公务机关履行法定义务免于告知的情形，并就当事人对个人信息的搜集、处理、利用等有关事项的书面同意予以明确界定。另外一种告知形式就是发生个人信息被窃取、泄露、篡改或受到其他侵害时，作为个人信息保管者的公务机关或非公务机关有义务查明并通知当事人，让受害者了解个人信息受到侵害，并防止损害扩大化。

3.个人信息收集、处理、利用和删除环节的全生命周期保护。个人信息搜集、处理或利用，应尊重当事人的权益，不得逾越特定目的的必要范围，并应与搜集的目的有正当合理的联系。在直接搜集当事人信息时，都需要具备“特定目的”且符合该条文规范的特定情形，其中对公务机关搜集个人信息来说，必须是“执行法定职务必要范围内”或“经当事人书面同意”或“对当事人权益无侵害”才能实行。个人信息处理是指将搜集来的个人信息，进行归档并对其进行单纯的维护或在机构内部进行交流，并不涉及将该信息传输至机构外部或用于其他方面等行为。个人信息利用范围除了要符合特定情况外，都要同搜集的特定目的相符合。公务机关在利用个人信息时，有7种例外情况，包括“法律明文规定”、“为维护国家安全或增进公共利益”、“为免除当事人的生命、身体、自由或财产上的危险”、“为防止他人权益的重大危害”、“公务机关或学术研究机构基于公共利益为统计或学术研究而有必要，且信息经过提供者处理后或搜集者根据其揭露方式无从识别特定当事人”、“有利于当事人权益”或“经当事人书面同意”。非公务机关在从事营销行为时，个人信息当事人享有表示拒绝接受营销的权利，即当事人表示拒绝接受营销时，非公务机关应立即停止利用个人信息从事营销行为，并支付当事人行使拒绝营销的费用。当个人信息搜集的特定目的消失或期限届满的时候，应主动或依当事人的请求，删除、停止处理或利用该个人信息。另外，当公务机关被裁撤或改组而没有继续承担相关业务机关、非公务机关歇业、解散而无承受机关，或所经营的项目发生变更而与原来的搜集目的不再符合时，有关个人信息均应被删除、停止处理或利用。

4.外包过程中的个人信息保护。“新法”规定，受公务机关或非公务机关委托搜集、处理或利用个人信息的机构，均与委托机构一视同仁，即受委托进行个人信息搜集、处理、利用者，如果其行为违反“新法”，责任主体为委托机构。“新法”施行细则指出，受委托搜集、处理或利用个人信息的法人、团体或自然人，须按照委托机构适用的通用规定从事有关业务。即使公务机关或非公务机关通过外包方式进行个人信息的搜集、处理、利用等有关行为，仍需确保受委托机构就所托业务的执行，在符合有关法律规定和双方约定的情况下进行。委托他人搜集、处理或利用个人信息时，委托机构应对受委托者进行适当的监督。

5.个人信息安全防护。公务机关要指派专人从技术和组织管理层面出发处理有关信息安全防护事项，防止个人信息被窃取、篡改、毁损、丢失或泄露。公务机关为了让专人具有办理信息安全维护事项的能力，应使专人接受相关专业的教育培训。非公务机关，也要实行合适的信息安全管理措施。对于一些特定的非公务机关，主管部门要指定其制定个人信息安全防护计划或业务终止后个人信息处理方法。

6.个人信息安全侵害的惩罚和救济。“新法”加重了“意图营利”、“意图为自己或第三人的不法利益或损害他人的利益”等情形下当事人应负的刑事责任，并将无营利意图的违法搜集、处理、利用个人资料造成他人损害的公务机关、非公务机关归入承担形式责任的范围。在行政责任方面，“新法”提高了对非公务机关所得判处罚额为新台币5万元以上50万元以下。“新法”加大了对非公务机关管理层的处罚力度，即要求非公务机关必须拿出证据证明自己没有故意或者过失泄露用户个人信息，否则就负有损害赔偿责任。在民事责任部分，为了通过赔偿来加强对受害者的保护，并督促个人信息的拥有者重视安全保障措施，“新法”将最高赔偿金额提高到新台币2亿元，但因该原因事实所涉利益超过新台币2亿元者，以该所涉利益为限；被害人不易或不能证明其实际损害额时，得请求法院依侵害情节，以每人每一事件新台币500元以上2万元以下计算。在诉讼救济环节，“新法”特引入团体诉讼相关规定，借助符合条件的财团法人或公益社团法人的参与，共同推动个人信息保护工作索赔。

上海学什么

“界定个人信息的范围”和“个人信息的风险评估及管理机制”正是国际上非常流行的“隐私冲击评价”理念的最新体现，上海有关部门可进一步研究深化落实。

“新法”各项规定均以保障“人”的权利为出发点，并促进个人信息的正常流通与合理利用。“新法”按照国际上对于个人信息保护的相关原则和要求，从个人信息的搜集、处理、利用到删除等各项环节所需规范、当事人权利保障与行使要求、组织机构在个人信息保护的安全措施、外包过程中的个人信息保护、主管机关的监管、行政检查、违反规定的刑罚、行政处罚和民事赔偿等方面进行了规定。“新法”值得仔细研读，这一方面是两岸在文化传统、社会心理基础等各方面均有一致性，台湾地区的立法和执法实践会有积极的借鉴意义。另一方面，“新法”具备较高的国际化水平。

《上海市公共信息系统个人信息保护管理办法》可积极吸收“新法”的各个条款，比如可将“新法”中的全生命周期的个人信息保护理念加以吸收，让个人信息保护贯穿至信息收集、处理、利用和删除的每个环节，也可将“新法”施行细则列出的个人信息安全防护11项基本措施加以吸收，进而内化成为上海公务机关和非公务机关的个人信息安全管理制度，具体包括“配置管理人员及相当资源”、“界定个人信息的范围”、“个人信息的风险评估及管理机制”、“事故的预防、通报及应变机制”、“个人信息搜集、处理及利用的内部管理程序”、“数据安全管理及人员管理”、“意识倡导及教育训练”、“设备安全管理”、“数据安全审计机制”、“使用记录、轨迹数据及证据保存”、“个人资料安全维护的整体持续改善”等。

“界定个人信息的范围”和“个人信息的风险评估及管理机制”正是国际上非常流行的“隐私冲击评价”理念的最新体现，上海有关部门可进一步研究深化落实。针对目前上海公务机关和非公务机关的信息化项目外包现象非常普遍，也可将“新法”中关于外包过程中的个人信息保护条款加以吸收深化，并在有关机构的外包合同和服务条款中加以实现。还可加大个人信息泄露和滥用的惩罚和救济力度，导入团体诉讼的有关规定，既让广大违法者的违法成本大幅上升，又为普通市民增加投诉和举报的渠道。甚至有可能将仅仅局限在公共信息系统的个人信息保护管理办法扩展至非公共信息系统以及尚未电子化处理的个人信息，即将适用主体加以扩大至所有个人信息，因为目前存放在非公共信息系统和尚未电子化处理的个人信息总量已经非常庞大。

对于“新法”的不足，也要相当清醒，比如台湾至今没有主管个人信息保护的机构，这值得我们下一步进行研究，避免有关行业主管单位推诿责任。可以预见的是，随着参考吸收各方立法经验实践的《上海市公共信息系统个人信息保护管理办法》、有关个人信息安全管理制度的出台和个人信息保护主管机构的设立，上海公务机关和非公务机关的个人信息安全管理能力将得到有效提升，上海智慧城市建设将更有保障。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课