江苏省立法明确保护个人信息 买卖最高罚50万元

中国IDC圈10月18日报道：日前，《江苏省信息化条例》在江苏省人大常委会上获得通过。《条例》中几条明确对个人信息进行保护的条款引起社会广泛关注，业界更称其在个人信息保护上具有“里程碑式”意义。

“随着公民权利越来越受到重视，立法上对个人信息保护也显得越来越紧迫”，江苏省人大法制委员会副主任委员刘克希介绍，目前我国法律中涉及“隐私”保护的有17部法律，涉及“隐私权”的有3部法律，“但隐私和个人信息毕竟不同，譬如‘买房了’究竟是隐私还是个人信息？如果不是隐私，这样的个人信息要不要保护？”

刘克希介绍，《条例》从信息的采集、使用到法律责任都有具体条款保护个人信息，无论是信息的提供者还是获取者只要触犯相关条款都要承担法律责任，“可以说条例在公民个人信息保护上做到了‘全覆盖’”。

翻开《江苏省信息化条例》，其中的22条和23条在信息采集上分国家机关和非国家机关分别做出规定。其中关于国家机关的规定是：国家机关应当遵循一个数据一个来源和谁采集、谁更新、谁负责的原则，在各自职责范围内做好信息资源采集、维护、更新，不得重复采集、多头采集。关于非国家机关则规定：国家机关以外的单位和个人向公民、法人和其他组织采集信息，应当征得被采集人同意，并说明用途。信息采集人应当在向被采集人说明的用途范围内使用所采集的信息。

随着个人信息在买房、买车、通讯设备购买及安装、家装等领域的广泛采集，个人信息越来越被信息采集者滥用甚至用以买卖牟利……南京师范大学法学院姜涛博士认为，面对市场主体追逐高额利益、忽视社会公共利益情势，国家有关信息安全保护方面的法律需要更多地采用传统公法的手段对市场进行必要的干预，实现社会公共利益的最大化，保护公民的个人信息。从这个意义来看，《江苏省信息化条例》在我国信息安全法律制度上迈出了突破性的一步。

《条例》的第24条备受关注：任何单位和个人不得非法披露所采集的信息，不得将获取的公民、法人和其他组织的信息出售或者以其他方式非法提供给他人，不得以窃取、购买等方式非法获取上述信息。

刘克希解释说，个人信息的买卖是严格禁止的，不论是国家机关还是单位、个人，只要有买卖个人信息的行为，都是违法的，都要受到法律制裁。刘克希介绍，《条例》24条本来是《草案修改稿》的23条第三款，考虑到国家机关掌握大量个人信息，同样具有依法使用个人信息的责任，因此最终将其单独成条，国家机关和非国家机关共同适用。刘克希表示，国家机关有责任保护公民个人信息，国家机关也应当为侵犯个人信息的违法行为承担法律责任。

针对第24条内容，条例的43条规定了相关法律责任：非法披露、出售、提供信息，或者以窃取、购买等方式非法获取信息的，由县级以上政府信息化管理部门责令其删除信息，没收违法所得，对单位处以10万以上50万元以下罚款，对个人处以1万元以上5万元以下罚款；构成违反治安管理行为的，由公安机关给予治安管理处罚；构成犯罪的，依法追究刑事责任。

姜涛认为，《江苏省信息化条例》构筑了一个由行政处罚与刑事处罚为后盾的衔接点和安全网，但这一立法并没有规定与信息非法泄露或取得相关的民事救济途径。刘克希表示，条例中的责任条款主要是行政处罚，至于对信息被采集人的民事赔偿等问题，被采集人完全可以依据《侵权责任法》等法律通过民事诉讼来解决。