|
推荐阅读:黄璞琳有关消费维权、产品质量、食品安全的原创文章(一) —————— 从两起案例看侵害消费者个人信息之认定与处罚 黄璞琳 案例一: 2016年2月24日,F市L区消费者陈某向F市市场监管局投诉称:其为F市电信分公司用户,持有并使用该电信分公司提供的固定电话07**82***85、手机电话133******86。但近几个月来,多次收到该电信分公司的欠费催缴手机短信及电话,称其使用的固定电话07**43***43欠费,要求及时缴费,否则将起诉追缴。陈某称07**43***43固定电话并非其登记使用的,而是电信分公司擅自在其名下登记给他人使用的。陈某称其与电信分公司多次沟通仍未能解决相关问题,甚至被迫替欠费的07**43***43固定电话缴了几个月的话费。 经查,陈某投诉情况属实。07**43***43固定电话是F市D县电信分公司发放的,安装使用在D县,事发之前均由D县的用户在D县电信分公司缴费(D县电信分公司隶属于F市电信分公司)。07**43***43固定电话登记的用户姓名及身份证号,与投诉人陈某的姓名与身份证号一致,并将陈某注册使用的电信手机号码绑定为联系电话。F市电信分公司承认07**43***43固定电话并非投诉人陈某登记使用,辩称是电信业务受理系统升级错误合并帐户导致,但未能提供证据证明此申辩。收到F市市场监管局送达的《限期提供证据通知书》后,F市电信分公司仍未能提供证据证明其申辩事实,也未能提供有关D县07**43***43固定电话的原始登记申请材料、实际使用者身份证明材料,更未能提供证据证明在07**43***43固定电话上使用投诉人陈某姓名及身份证号获得陈某的同意。 F市市场监管局认为,F市电信分公司未经投诉人陈某同意,擅自将陈某姓名及身份证号使用在07**43***43固定电话上,违反了《消费者权益保护法》第二十九条第一款之规定,侵害了消费者个人信息依法得到保护的权利。根据《消费者权益保护法》第五十六条第一款第(九)项之规定,F市市场监管局对F市电信分公司作出责令改正,处以2万元罚款的行政处罚决定。 2014年10月,F市移动通信分公司与第三方的S公司签订《外呼营销服务合同》:F市移动通信分公司将其掌握的移动通信用户资料,包括手机号码及其单位、参考推荐业务和资费名称、对应的信用等级、信用度、前三个月度消费金额、是否办理流量自动升级包等,提供给S公司。由S公司按F市移动通信分公司认可的电话营销脚本,向用户介绍推广F市移动通信分公司的业务及服务。F市移动通信分公司根据S公司业务推广的成功率,计算并给付报酬。至2016年3月案发时,F市移动通信分公司一直在实施前述使用其用户个人信息,并委托他人向用户发送广告推广信息的行为,且未征得用户同意。 F市市场监管局认为:F市移动通信分公司向S公司提供的用户信息,虽然未包括消费者姓名和身份证号,但提供的手机号码及所属单位、消费金额等信息,已经足以识别消费者的身份及其个人消费习惯等,构成消费者个人信息。F市移动通信分公司未经消费者同意,将其掌握的消费者个人信息提供给第三方,用于电话介绍推广相关业务,违反了《中华人民共和国消费者权益保护法》第二十九条第二款的规定,构成泄露消费者个人信息行为。根据《消费者权益保护法》第五十六条第一款第(九)项之规定,F市市场监管局对F市移动通信分公司作出责令改正,处以10万元罚款的行政处罚决定。 (一)消费者个人信息之界定 2014年1月1日生效的《消费者权益保护法》第十四条规定,消费者享有个人信息依法得到保护的权利。但该法未就消费者个人信息的范围与内涵作出界定。2015年3月15日生效的原国家工商总局《侵害消费者权益行为处罚办法》第十一条第二款,将消费者个人信息界定为:经营者在提供商品或者服务活动中收集的消费者姓名、性别、职业、出生日期、身份证件号码、住址、联系方式、收入和财产状况、健康状况、消费情况等能够单独或者与其他信息结合识别消费者的信息。 2016年11月7日通过的《中华人民共和国网络安全法》第七十六条第(五)项则规定:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 因此,能够单独或者与其他信息结合识别特定消费者个人身份的信息,都属于消费者个人信息。案例一,投诉人陈某姓名及身份证号及使用的手机号码,当然属于消费者个人信息。案例二,移动通信用户的手机号码及其单位、对应的信用等级、信用度、前三个月度消费金额等信用,虽然未包括消费者的姓名、身份证号,但已足以单独或者与其他信息结合用来识别特定消费者的个人身份,同样属于消费者个人信息。 (二)侵害消费者个人信息依法得到保护的权利之界定 《消费者权益保护法》第二十九条,从经营者责任角度,明确了经营者收集、使用、保护消费者个人信息的规则。《网络安全法》第二十二条第三款、第四十一条至第四十三条,则规定了网络运营者、网络产品或者服务的提供者收集、存储、使用、保护个人信息的规则。值得注意的是,《网络安全法》第四十二条第一款在禁止网络运营者泄露、篡改、毁损或者擅自向他人提供其收集的个人信息时,作了例外但书规定:“经过处理无法识别特定个人且不能复原的除外。”本文认为,《消费者权益保护法》虽无类似的但书规定,但法理上是相通的。即,经营者将其依法收集的消费者个人信息,在经过处理无法识别特定消费者个人且不能复原的情况下,将相关信息处理成果提供给他人,未侵害消费者个人信息依法得到保护的权利。 根据《消费者权益保护法》第二十六条、第二十九条,以及《网络安全法》第二十二条第三款、第四十一条至第四十三条的规定,经营者下列情形,属于侵害消费者个人信息依法得到保护的权利的行为: 1.未经消费者同意,擅自收集消费者个人信息。2. 未经消费者同意,擅自使用消费者个人信息。3. 收集、使用消费者个人信息时,未公开其收集、使用规则,未明示其收集、使用信息的目的、方式和范围。4. 未遵循合法、正当原则,而是采取强制、欺骗等违法手段,收集、使用消费者个人信息。5. 收集、使用消费者个人信息的范围、目的和方式,明显不符合正当、必要原则。如,收集与其提供的商品、服务无关的个人信息。又如,利用格式条款并借助技术手段,或者采取有意将相关格式条款夹杂在众多条款之间等手段,诱导或者强制消费者签署或者点击有关同意其收集、使用个人信息的条款。6. 超出当初明示并经消费者同意的范围、目的和方式,收集、使用消费者个人信息。7. 对收集的消费者个人信息未依法严格保密,或者信息安全措施不完善,造成消费者个人信息被泄露、丢失、损毁或者篡改。8. 在发生或者可能发生信息泄露、丢失、损毁或者篡改、错误的情况时,未立即采取补救、更正措施,造成消费者个人信息被泄露、丢失、损毁、篡改,或者造成损害扩大。9. 泄露、出售消费者个人信息,或者未经消费者同意擅自向他人提供消费者个人信息,但经过处理无法识别特定消费者个人且不能复原的除外。10. 未经消费者同意或者请求,向消费者发送商业性信息。11. 在消费者明确表示拒绝的情况下,仍向消费者发送商业性信息。12.其他违反法律、法规的规定,收集、使用消费者个人信息的行为。 案例一的F市电信分公司,未经投诉人陈某同意,在并非投诉人陈某登记使用的07**43***43固定电话的运营过程中,使用了投诉人陈某的姓名、身份证号、手机号码等个人信息。无论该电信分公司申辩的电信业务受理系统升级错误合并帐户的情况是否客观存在,都不能否认其擅自使用了消费者个人信息的事实成立,不能否认其行为违反《消费者权益保护法》第二十九条第一款。倘若真的是电信业务受理系统升级错误合并帐户导致擅自使用投诉人的个人信息,则说明该电信分公司在保护消费者个人信息安全的技术等措施方面,不符合《消费者权益保护法》第二十九条第二款的要求。 案例二的F市移动通信分公司,虽然是为了介绍推广自己的业务,而将其掌握的消费者个人信息,交给第三方用于电话营销。但是,F市移动通信分公司将其掌握的消费者个人信息用于自己其他业务推广,以及将消费者个人信息向第三方披露、提供,均未事先向消费者明示并征得消费者同意,分别违反了《消费者权益保护法》第二十九条第一款和第二款之规定,侵害了消费者个人信息依法得到保护的权利。 (三)侵害消费者个人信息依法得到保护的权利之处罚 《消费者权益保护法》第五十六条第一款第(九)项,就经营者侵害消费者个人信息依法得到保护的权利之行为设定了行政处罚:其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照。 《网络安全法》第六十四条,则就网络运营者、网络产品或者服务的提供者违反该法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利之行为设定行政处罚:由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 2018年8月31日通过、将于2019年1月1日生效的《电子商务法》第七十九条,则就电子商务经营者违反法律、行政法规有关个人信息保护的规定之行为,作了转致适用相关法律实施行政处罚规定:“依照《中华人民共和国网络安全法》等法律、行政法规的规定处罚。” 《消费者权益保护法》第五十六条在行政处罚机关及处罚方式幅度设定上,是“综述加补充式”。即,其他有关法律、法规对处罚机关和处罚方式有规定的,从其规定;未作规定的,由工商行政管理部门或者其他有关行政部门按照职责分工适用该法条实施行政处罚。《网络安全法》第六十四条在行政处罚机关方面,也未直接明确,而是规定“由有关主管部门”执法;在处罚方式幅度设定上,较《消费者权益保护法》第五十六条的差异主要体现在:一是没有违法所得时的法定最高罚款金额更高,为一百万元;二是对情节严重者,在“责令停业整顿、吊销营业执照”的基础上,增加了“责令暂停相关业务、关闭网站、吊销相关业务许可证”之处罚方式;三是实行了“双罚制”,除了处罚网络运营者、网络产品或者服务的提供者之外,还对直接负责的主管人员和其他直接责任人员设定了“处一万元以上十万元以下罚款”的处罚。 《网络安全法》所称“网络”,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,既包括经营性网络系统,也包括非经营性网络系统,如政务网络及其他非经营性网络。所称的“网络运营者”,既可能是经营者,也可能是经营者之外的其他主体。相应地,该法所称的“个人信息”,既包括网络消费者个人信息,也包括不属消费者的其他网络用户个人信息。因此,《消费者权益保护法》第五十六条第一款第(九)项所称的“(经营者)侵害消费者个人信息依法得到保护的权利”之行为,与《网络安全法》第六十四条所称的“(网络运营者、网络产品或者服务的提供者)侵害个人信息依法得到保护的权利”之行为,属于法条交叉竞合,但后者的处罚方式设定涵盖了前者,且法定处罚幅度设定重于前者。 存在交叉竞合情形的法条之间,并无“特别法与一般法”关系。《网络安全法》第六十四条所称的“有关主管部门”,也包括《消费者权益保护法》第五十六条规定的“工商行政管理部门”。本文认为,《网络安全法》生效施行后,对于网络经营者实施的侵害网络消费者个人信息依法得到保护的权利之行为,工商行政管理部门(市场监管部门)可以直接适用《网络安全法》第六十四条实施行政处罚,但“关闭网站、吊销相关业务许可证”应由相关主管部门依法实施。当然,前述案例一、案例二的违法行为发生时,《网络安全法》尚未公布施行,也就不存在适用《网络安全法》的问题了。 |
|
|
