第二节　互联网行业个人信息保护现状及存在的问题

一、互联网行业个人信息立法现状

近年来个人信息泄露事件多发于互联网行业，直接推动了互联网领域个人信息保护相关法律法规的颁布。

互联网行业个人信息保护适用法律关于个人信息保护的一般规定，主要包括《刑法修正案（七）》及《消费者权益保护法》。专门适用于互联网行业的法律规范主要包括《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《关于加强移动智能终端进网管理的通知》以及《网络交易管理办法》。

此外，我国首个个人信息保护国家标准《信息安全技术、公共及商用服务信息系统个人信息保护指南》（简称《指南》）于2013年2月1日实施。该《指南》为软国标，并无法律约束力及强制性，仅为行业倡导性意见。

二、互联网行业个人信息保护存在的问题

根据我们的实务经验，以上电信与互联网行业的相关法律、法规及规章，确立了“正当、告知、同意”的基本原则与规则，并规定了一些具有操作性的制度，在一定程度上推动了我国互联网行业的个人信息保护。据此，互联网行业企业的个人信息保护意识明显增强，特别是大型国企、跨国企业、知名公司等内部对法律合规性要求较高的企业，对于用户个人信息保护的制度建设，以及开展新业务时在个人信息保护合规审查方面都较为重视。但是，总体而言，我国互联网行业个人信息保护仍然较为不完善，笔者认为主要存在以下问题：

第一，我国缺乏统一的个人信息保护的法律规范，尚未形成完整的个人信息安全的法律保护体系，对个人信息保护不够全面，就实务中常遇到的个人信息的范围、分类保护、传输、处理及删除等方面都存在规定不明确的问题。

第二，在监管方面，没有专门的监管执行机构。在互联网行业，监管部门为通信管理部门。而在保护个人信息时，往往涉及不同的部门与行业，而目前个人信息保护执法权高度分散的现状，必然导致执法力度弱化。

第三，在救济方面，用户个人信息受到侵犯，无有效的投诉途径及救济措施，在举证方面都存在重重困难，用户即使维权成功，与较高的救济成本相比，难以获得有效的赔偿。

第四，在违规处罚方面，处罚力度较轻。与欧美国家对于违反个人信息保护规定的处罚数额动辄上千万美元相比，我国的情况是，根据《电信和互联网用户个人信息保护规定》，由电信管理机构依据职权责令限期改正，予以警告，可以并处3万元以下的罚款。因为根据《行政处罚法》，部门规章只能设定警告和最高额为3万元的罚款。通信管理部门也意识到了罚款数额过低的问题，还综合采用了其他管理措施，如设立了制止违法行为危害扩大的“叫停”制度、“向社会公告”行政处罚的制度、将违法行为“记入社会信用档案”的制度、电信管理机构实施电信业务经营许可及经营许可证年检时，对用户个人信息保护情况进行审查。但是，该等措施在实践中效果并不明显。例如，据新华网2012年1月15日报道，一些媒体报道或在网上流传的CSDN.NET等数家网站用户信息被泄露的事件，引起互联网管理部门的高度重视，但是最后的处罚却几乎不了了之。