企业的个人信息保护义务

个人信息保护是中国近年来比较受人关注的一个话题。尽管时至今日，中国仍未出台统一的《个人信息保护法》，但立法呈现出对于个人信息保护的强化趋势，特别是 2012 年末《关于加强网络信息保护的决定》（“《决定》”），作为全国人大常委会公布的法律，标志着企业的个人信息保护义务被立法确定下来。

《民法通则》、《侵权责任法》对于个人信息之保护局限于个人隐私之范畴，且对于企业的个人信息收集使用并无特别规制。《刑法修正案七》虽然规定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”，但是对于规制主体限定为国家机关或者金融、电信、交通、教育、医疗等单位。2011 年工信部出台的《规范互联网信息服务市场秩序若干规定》对互联网服务供应商（ISP）如何收集、使用其用户的个人信息以及如何保护用户个人信息进行规范，但该规定主要针对对象互联网服务供应商，并不包括其他企业。

为了应对频发的“个人信息泄密门”事件，2012 年 12 月全国人大常委会通过了《决定》，在明确个人电子信息基本范围（即“能够识别公民个人身份和涉及公民个人隐私的电子信息”）的基础上，对网络服务提供者和其他企业事业单位收集、使用个人信息作了规定，明确了企业对个人信息的保护义务。

但是，《决定》保护对象限于个人电子信息，同时对于企业的个人信息保护义务的规定还是比较原则的，其主要包括：（1）目的明确原则。企业在“收集、使用公民个人电子信息，应当明示收集、使用信息的目的、方式和范围”。（2）被收集者同意原则。（3）个人信息的收集及使用规则必须公开原则。（4）严格保密原则。企业及其员工“对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供”。（5）妥善保管原则。相关企业“应当采取技术措施和其他必要措施，确保信息安全”，“在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施”。

对于企业而言，如何全面、适当履行个人信息保护义务，以防范个人信息泄密事件的发生，成为一个重要的课题。

建议企业可以参照工信部《信息安全技术公共及商用服务信息系统个人信息保护指南》（非强制性标准，2013 年 2 月 1 日起施行）的相关规定，结合企业实际状况，建立企业自己的个人信息保护制度。一般来说，企业的个人信息保护制度主要包括两个方面：

对企业员工的个人信息保护。可以采取的主要措施包括：告知员工收集个人信息数据的范围和目的；要求员工入职时签署确认书，同意公司收集、使用员工提供的个人信息；规定员工个人信息保管、使用的人员、条件和程序等，并严格监督执行。

对企业用户的个人信息保护。可以考虑的主要措施有：制定统一的用户个人信息收集规则，并通过公司网站、手册、咨询窗口等合理的途径公开；要求用户签署信息收集使用同意书，并严格对相关文件进行管理；明确限定知晓用户个人信息的员工的范围，并要求相关员工签订保密承诺；建立完善的用户个人信息使用、管理、审批制度；建立用户个人信息定期审核、删除制度，对于符合法律法规或者公司规定年限的过期信息，及时予以删除等等。