全国人大常委会于 2012年12 月28日颁布了《关于加强网络信息保护的决定》,并自颁布之日起实施。
《决定》规范的主体主要是网络服务提供者,同时也适用于其他企业事业单位,因此该《决定》可能适用于中国所有的雇主。
《决定》对个人电子信息的收集、使用和保护做出了相对具体的规定。
具体来说,雇主在收集和使用员工个人电子信息时,现在必须要向被收集者(包括员工)明示和告知收集信息的目的、方式以及使用,并征得员工的同意。
现行法规仅模糊规定雇主在“发布”个人信息之前需要取得员工的同意,但新《决定》现在要求在收集个人信息之前就需要征得同意。
告知被收集者(包括员工)收集信息的目的和使用也是新的规定。
《决定》规定的处罚措施包括警告、罚款和没收违法所得,不过这些处罚措施似乎主要是针对网络服务提供者的,而且《决定》也未规定具体的处罚标准。尽管该《决定》并不是一部“法律”,但是企业仍然须尽最大努力遵守其规定,因为法院在审理信息隐私诉讼案件时可能会参考该决定。
此外,国家质检总局与国家标准化管理委员会就信息系统个人信息保护联合发布了一系列国家指南,已于2013年2月1日起生效。
《指南》对“个人信息”的界定提供了指引,它将个人信息分为个人敏感信息和个人一般信息。与《决定》一样,《指南》对个人信息使用者在收集个人信息之前应当完成的事情进行了详细的规定。《指南》还规定转移个人信息至境外时,必须要征得个人信息主体的同意。
不过,《指南》并不具有直接的法律约束力,并且没有规定违反义务的处罚措施。尽管如此,由于现行法律法规对个人信息问题缺少法律指导,执法机关和法院在处理有关问题时可能会参考《指南》。
