胡敏、何光东代表:

您提出的关于《关于加强通讯行业公民个人信息安全监管的建议》的建议收悉。现答复如下:

首先感谢您对通信行业公民个人信息安全监管工作的关注和支持。您提出的关于加强通信行业公民个人信息安全监管的建议,对于保障公民合法权益、维护社会稳定具有重要意义。我局高度重视,并采取了一系列措施来加强监管工作。

一、当前工作开展情况

(一)我国相关法律日趋完善。

1. 《中华人民共和国个人信息保护法》已由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过,现予公布,自2021年11月1日起施行。

第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。

第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

2.《中华人民共和国反电信网络诈骗法》已由中华人民共和国第十三届全国人民代表大会常务委员会第三十六次会议于2022年9月2日通过,并于2022年12月1日起施行。反诈法中第25条、29条对个人信息保护工作进行了明确。

第二十五条 明确“任何单位和个人不得为他人实施电信网络诈骗活动提供下列支持或者帮助:(一)出售、提供个人信息;”

第二十九条 个人信息处理者应当依照《中华人民共和国个人信息保护法》等法律规定,规范个人信息处理,加强个人信息保护,建立个人信息被用于电信网络诈骗的防范机制。履行个人信息保护职责的部门、单位对可能被电信网络诈骗利用的物流信息、交易信息、贷款信息、医疗信息、婚介信息等实施重点保护。公安机关办理电信网络诈骗案件,应当同时查证犯罪所利用的个人信息来源,依法追究相关人员和单位责任。

(二)我市通信行业基本情况

1.管理制度情况。

(1)市经信局:一是制发了《关于加强通信行业公民个人信息保护的通知》,二是建立了通信公司反诈月报制度,三是定期检查营业厅在办理业务是否存在违法违规行为。

(2)市电信公司:《关于印发中国电信湖北公司个人信息保护管理办法(2024版)的通知》(中电信鄂〔2024〕67号)文件;本地网层面下发有专门文件,设置有网信安工作牵头部门及专职管理员《关于十堰分公司网络与信息安全管理部门专职安全员变更的报告》(中电信十堰〔2022〕145号)。

(3)市移动公司:制发《十堰分公司关于防范治理电信网络诈骗工作方案(2024版)的通知》(十堰移网络〔2024〕253号)、《十堰分公司关于成立打击治理电信网络诈骗犯罪工作攻坚小组的通知》(十堰移网络〔2023〕362号)、《关于下发<十堰分公司“断卡”行动工作方案>的通知》(十堰移字〔2021〕22号)、《十堰分公司关于进一步加强“断卡”行动相关工作要求的通知》(十堰移字〔2020〕484号)

(4)市联通公司:制发了《关于修订印发<中国联通湖北省分公司合规管理办法>的通知》(联通湖北〔2023〕52号)、《关于印发<业务经营中侵犯公民个人信息行为的合规指引>的通知》(联通湖北企发/法律函〔2024〕7号)、《关于印发<十堰联通2024年“十大工程”(合规经营及安全生产保障工程)>执行方案的通知》(联通十堰办字〔2024〕5号)、《关于落实十堰联通信息安全主体责任进一步加强市场从业人员合法合规经营的通知》(联通十堰支撑字〔2021〕31号)。

    2.员工管理情况。各通信公司自营营业厅所有营业员及店长均为省公司统一招聘,经业务技能、从业规范培训后方可上岗;加盟营业厅需经业务技能培训、行业从业规范培训方可签订合作协议,合作协议中,有专门的公民个人信息保护要求,并须签订《用户真实身份信息登记及用户信息保护承诺书》。同时,要求市场线从业人员学习《违法违规行为风险告知书》,签订《业务办理行为信息安全责任承诺书》。将信安管理要求纳入营业厅标准化执行手册,并通过加强日常警示教育学习,树牢营业人员合规经营意识红线,坚决杜绝涉诈、助诈等违规行为发生。

4.系统技术管理。

(1)市电信公司:一是从涉敏信息(如公民的住址、身份证号码)的工号上进行管理,如投诉处理系统、客户服务系统等系统工号要进行100%实名认证(姓名+身份证号+手机号码),一人一工号;从信息查询方面,对敏感信息的关键字段予以“*”展示,如身份证号中间6位,仅保留后4位便于用户线上咨询时做身份识别;二是涉敏信息的工号实行三级审批机制,区县需求部门——区县分公司——市公司三级审批,对从业人员做到人员离岗工号要同时收回,工号三个月不使用自动收回。投诉处理人员、客服系统操作人员等人员的工号创建、授权、权限变更及工号撤销的全过程进行安全管理并纳入工号安全操作审计,操作审计结果应保留记录。对工号的操作行为予以监控,对涉及投申诉信息、用户个人信息等信息的查询、统计、分析、导出,用户短信发送等操作行为留存日志,便于事后查询。

(2)市移动公司:根据营业员角色,创建不同类型账号,如:代理商营业员、自营厅营业员、值班长等,每个类型账号权限不同,办理重要业务时需要审批。所有账号登录需绑定授权码,如需更换登录电脑,需通过申请流程绑定新的授权码才可登录。营业员为用户办理业务需通过验证码、密码或扫脸实名认证方可办理。

(3)市联通公司:营业厅工号权限的设置遵循公司相关规定,其权限根据岗位性质设定,工号按使用人配发,做到一人一号。营业人员仅可使用与本职工作相关的系统权限办理业务和查询资料,同时签订安全生产协议保密书,严格遵守保密要求,不得向无关人员泄露资料内容。同时,营业厅实行业务分权限管理,自有营业厅和社会合作营业厅业务权限不同。自有营业厅店长和营业员工号权限不同,部分业务需店长办理。

4. 开展宣传教育。 组织通信公司开展多种形式的个人信息保护宣传活动,通过网站、微信公众号、短信等渠道,向广大用户普及个人信息保护知识和法律法规,提高用户的自我保护意识和能力。对通信运营企业的员工进行个人信息保护培训,增强企业员工的法律意识和责任意识,提高个人信息保护工作水平。移动公司开展进社区、进校园、进乡村宣传活动 20余次,电信公司共计制作宣传条幅900余条、广告贴570余块、宣传折页9000余份,联通公司张贴海报2800余张、悬挂横幅900多条、发放宣传单页10万余份。

二、取得成效

1.源头治理取得阶段性成果,震慑犯罪分子。随着我国警方针对缅北等境外电信网络诈骗犯罪集团打击力度的加大,2023年共有4.1万名电信网络诈骗犯罪嫌疑人移交我国警方,以明学昌为首的家族犯罪集团重要头目明国平、明菊兰、明珍珍被缉拿归案,首犯明学昌畏罪自杀,一大批境外诈骗窝点被成功铲除,狠狠打击了境外诈骗集团的嚣张气焰。

2.市公安机关加大打击力度,保持高压态势。自2017年侵犯公民个人信息罪司法解释出台以来,公安部持续开展打击侵犯公民个人信息罪(以下简称“侵公”)专项行动,提出“摧平台、断链条、打源头”的工作目标和要求,按照部局统一部署,十堰市公安局采取警种联合、市县联动方式,开展打击侵犯公民个人信息犯罪工作,先后侦办了孟某等“侵公”案等案件123起,其中部督4起,省督20起,抓获“侵公”源头83人,涉及行政部门、国有企事业单位,大型网络公司等多部门,涵盖我市教育培训、物流,房产物业、装修装饰、家电促销等多领域,上报相关“侵公”领域线索1000余条,关于侵公领域被侵害生态调研报告2篇,有力的推动了“侵公”案的治理,达到以打促建的效果。

3.强化通信行业内部管理,严防内鬼发生。经与市公安局网安部门核实,我市自2023年以来,没有发生一起涉及通信行业公民个人信息泄露案件。通信行业公民 个人信息泄露、买卖事件得到有效遏制,通信行业个人信息保护工作取得了阶段性成果。

三、下一步工作计划

1. 强化与市通信发展管理办公室沟通,加大对通信运营企业的监督检查,加大执法力度,对违法违规行为严肃查处,确保个人信息保护工作落到实处。

2. 进一步完善个人信息保护的法律法规和标准规范,加强与相关部门的沟通协调,形成工作合力。

3. 鼓励通信运营企业加大技术研发投入,不断创新个人信息保护技术手段,提高防护能力。

4. 持续开展个人信息保护宣传教育活动,营造全社会共同关注和参与个人信息保护的良好氛围。

                                                        十堰市经济和信息化局      

                                                            2024年8月20日