■國網(wǎng)杭州市蕭山區(qū)供電公司 鐘曉紅 瞿寧寧 楊 健
浙江大有實(shí)業(yè)有限公司電力承裝分公司 張楚楚
在數(shù)字經(jīng)濟(jì)時(shí)代,用戶信息的保護(hù)受到各級(jí)政府部門及社會(huì)公眾的重視,隨著相關(guān)法律法規(guī)的完善,監(jiān)管部門監(jiān)管力度不斷加大,用戶信息收集、處理不當(dāng),將會(huì)受到相應(yīng)處罰,甚至承擔(dān)刑事責(zé)任,給企業(yè)造成負(fù)面影響。而供電企業(yè)在運(yùn)營過程中不可避免收集、處理用戶的相關(guān)信息,必須規(guī)范流程、嚴(yán)謹(jǐn)處置、正確對(duì)待。
供電企業(yè)在日常經(jīng)營中一般通過3個(gè)渠道獲取用戶信息:(1)用戶開戶時(shí)提交的用戶姓名(名稱)、住址(所在地)、身份證號(hào)(企業(yè)代碼)、銀行賬號(hào)等開戶信息;(2)通過電表采集到的用電量數(shù)據(jù)等數(shù)據(jù)信息;(3)通過“網(wǎng)上國網(wǎng)”等App獲取到的用電相關(guān)信息。這些信息根據(jù)對(duì)象不同可以分為個(gè)人用戶信息和企業(yè)用戶信息2種類型。
我國相關(guān)法律對(duì)用戶信息的獲取及使用的限制不是絕對(duì)的,而是在平衡信息保護(hù)與數(shù)據(jù)使用開發(fā)基礎(chǔ)上有選擇性地保護(hù)。
個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息??梢钥闯鰝€(gè)人信息的認(rèn)定是以“識(shí)別性”為準(zhǔn)則的,并能與“特定自然人”相關(guān)聯(lián)的。因此個(gè)人用戶信息能夠單獨(dú)或結(jié)合其他信息以識(shí)別出該特定用戶的身份或活動(dòng),如個(gè)人開戶信息及App可獲取的各項(xiàng)信息都屬于個(gè)人信息,采集數(shù)據(jù)若能結(jié)合其他信息可以識(shí)別到特定自然人,亦為個(gè)人信息。該類信息的使用、處理受到法律法規(guī)的嚴(yán)格限制。
對(duì)于企業(yè)類用戶信息,集中體現(xiàn)在商業(yè)秘密上。所謂商業(yè)秘密,是指不為公眾所知悉、具有商業(yè)價(jià)值并經(jīng)權(quán)利人采取相應(yīng)保密措施的技術(shù)信息、經(jīng)營信息等商業(yè)信息。也就是說若某一企業(yè)類用戶信息符合非公開性、價(jià)值性并經(jīng)權(quán)利人采取保密措施的要件,即為商業(yè)秘密,受相關(guān)法律法規(guī)保護(hù),收集、處理受限。
而企業(yè)類用戶信息中開戶信息一般具有公開性或因不具有價(jià)值性而不屬于商業(yè)秘密。
供電企業(yè)處理用戶信息具體可以分為收集、使用、與特定第三方共享以及對(duì)公眾披露4種情形。
供電企業(yè)與用戶作為平等的民事主體,用戶同意是電力企業(yè)收集用戶信息的首要前提。
個(gè)人類信息收集。我國法律法規(guī)要求信息收集主體在收集個(gè)人信息時(shí),應(yīng)取得信息主體的同意,并明確告知收集的目的、方式和范圍,因此同意是收集個(gè)人信息時(shí)普遍適用的合法性依據(jù)。值得注意的是我國《個(gè)人信息保護(hù)法》第13條規(guī)定了諸如個(gè)人簽訂合同、履行法定義務(wù)、應(yīng)對(duì)突發(fā)公共突發(fā)事件等5種例外情形。此外,某些特殊情形下公權(quán)力機(jī)關(guān)依據(jù)職權(quán)收集也無需個(gè)人同意。
企業(yè)類信息收集。對(duì)于企業(yè)類信息,規(guī)定不得以盜竊、賄賂、欺詐、脅迫、電子侵入或者其他不正當(dāng)手段獲取權(quán)利人的商業(yè)秘密,故供電企業(yè)在收集含有商業(yè)秘密的企業(yè)類信息前,應(yīng)獲得企業(yè)用戶的同意,否則會(huì)侵犯他人商業(yè)秘密。
一般來說,對(duì)用戶信息的使用根據(jù)使用形式的不同可以劃分為:直接使用,即直接使用用戶預(yù)留的通訊方式向其發(fā)送通知、廣告等信息;二次加工使用,例如錄入、存儲(chǔ)、修改、標(biāo)注、比對(duì)、挖掘、屏蔽等。
直接使用。根據(jù)相關(guān)法律規(guī)定及司法實(shí)踐案例,直接使用用戶信息應(yīng)以用戶同意為前提,而且對(duì)于直接使用用戶信息的限制因信息類型的不同而有所差異。首先,向用戶發(fā)送商業(yè)類信息是絕對(duì)禁止的,這不僅在《消費(fèi)者權(quán)益保護(hù)法》等法律法規(guī)中有所體現(xiàn),而且也被法院判例所確認(rèn)。其次,屬于雙方合同范圍內(nèi)的信息屬于可發(fā)送范圍。合約條款的約定代表了企業(yè)獲得了用戶的同意,同意企業(yè)使用其個(gè)人信息向其發(fā)送合同約定范圍內(nèi)的信息。因此,供電企業(yè)應(yīng)當(dāng)通過合同形式獲得用戶對(duì)直接使用用戶信息的同意,在與用戶的相關(guān)合同中約定,供電企業(yè)可以使用用戶留存的聯(lián)系方式發(fā)送服務(wù)質(zhì)量評(píng)價(jià)、催收電費(fèi)、停電通知等非商業(yè)類信息,以免除后續(xù)可能發(fā)生的侵權(quán)責(zé)任。
二次加工。在二次加工中,取得用戶同意仍然是普遍適用的合法性依據(jù)。加工前應(yīng)告知用戶加工的方法、手段、目的、范圍、加工主體,獲得用戶同意后嚴(yán)格按照告知進(jìn)行二次加工;在加工階段應(yīng)保證用戶信息不被泄露,且保證信息本身的完整、可用、最新;同時(shí)還應(yīng)保障用戶修改、查詢其個(gè)人信息的權(quán)利。
根據(jù)現(xiàn)有法律法規(guī),用戶信息共享無論出于何種目的,亦無論是個(gè)人用戶信息,還是企業(yè)用戶信息,供電企業(yè)未經(jīng)用戶同意向特定第三方共享用戶信息都是被禁止的。此外,目前法律法規(guī)等規(guī)范性文件中并未賦予民事主體公開個(gè)人信息、商業(yè)秘密的權(quán)利,且在對(duì)個(gè)人信息、商業(yè)秘密嚴(yán)格保護(hù)的背景下,即便是公權(quán)力機(jī)關(guān)無法律規(guī)定的特殊情況亦不可公開個(gè)人信息,或是商業(yè)秘密。
目前供電企業(yè)主要采用簽訂供用電合同的方式獲取、收集用戶信息。但該約定較為簡單,尚不能滿足企業(yè)正常運(yùn)營的需求,因此須完善相關(guān)條款,或另行簽訂協(xié)議來獲得用戶的書面授權(quán)或同意。(1)明確告知用戶在服務(wù)過程中信息的收集和使用范圍、信息保護(hù)措施等,且后續(xù)有使用相關(guān)信息的可能性。(2)在協(xié)議的醒目位置明確提示該授權(quán)或同意的可能后果,并在客戶簽署協(xié)議時(shí)提醒其注意上述提示。(3)給予用戶修訂或刪除相關(guān)信息的權(quán)利,并明確修訂或刪除途徑。
雖然用戶同意是供電企業(yè)收集、使用用戶信息的合法性前提,但同意并不是充分條件,收集、使用用戶信息還應(yīng)遵循必要性原則、遵守一些特殊規(guī)定,同時(shí)應(yīng)保證同意的有效性。(1)必要性原則,供電企業(yè)在收集、使用用戶信息時(shí)應(yīng)以最少夠用為標(biāo)準(zhǔn),只收集能夠達(dá)到已告知目的的最少信息,只處理與處理目的有關(guān)的最少信息。(2)特殊主體特殊規(guī)定,主要針對(duì)未成年人、精神病患者等無民事行為能力或限制民事行為能力者,供電企業(yè)應(yīng)當(dāng)針對(duì)特殊用戶制定有針對(duì)性的信息收集、使用程序。(3)確保同意的有效性。供電企業(yè)在擬定相關(guān)合同條款時(shí),應(yīng)注意平衡供用電雙方之間的權(quán)利、義務(wù),關(guān)注合同無效、可撤銷的情形,確保同意條款的有效性,為后續(xù)用戶信息的收集、使用工作開展打下合法性基礎(chǔ)。
防范用戶信息泄露最重要的是需要供電企業(yè)加強(qiáng)自身內(nèi)部管理,建立用戶信息安全保障機(jī)制,強(qiáng)化信息系統(tǒng)安全防護(hù)水平,提升員工信息安全保密意識(shí),加強(qiáng)供應(yīng)商保密管理,確保收集、使用用戶信息依法合規(guī)。
建立用戶信息安全保障機(jī)制。梳理用戶信息泄露高發(fā)環(huán)節(jié),健全用戶信息收集使用審批制度、用戶信息保護(hù)檢查等;建立客戶檔案等級(jí)管理,制定滿足不同信息安全保密等級(jí)用戶信息安全管理辦法;完善用戶信息披露、共享審查制度,用戶信息泄露調(diào)查、約談制度,嚴(yán)格責(zé)任追究,確保用戶信息安全。
完善信息安全技術(shù)防范措施。主要是加強(qiáng)相關(guān)軟硬件設(shè)施,定期維護(hù)、升級(jí)、檢查辦公、數(shù)據(jù)等信息系統(tǒng)和營銷終端設(shè)備,以保障企業(yè)安全防護(hù)系統(tǒng)的穩(wěn)定性、安全性、可靠性,確保用戶信息在收集、傳輸、加工、保存、使用等環(huán)節(jié)中不被泄露。
加強(qiáng)員工管理與培訓(xùn)。一方面制定相應(yīng)人員管理制度,規(guī)范從業(yè)人員收集、使用用戶信息的行為,并設(shè)置相應(yīng)的懲戒措施;另一方面加強(qiáng)員工培訓(xùn),宣貫相關(guān)法律、制度,簽訂保密承諾書,提升員工用戶信息保密意識(shí),促進(jìn)員工養(yǎng)成保密在心,依規(guī)辦事良好習(xí)慣。
重視供應(yīng)商保密管理。將用戶信息保護(hù)能力納入供應(yīng)商考核指標(biāo),完善與供應(yīng)商服務(wù)合同,增加保密義務(wù)條款和違約責(zé)任,增加供應(yīng)商泄露用戶信息成本。加強(qiáng)供應(yīng)商工作人員管理,固定項(xiàng)目外包人員,明確工作范圍,減少接觸用戶信息及相關(guān)數(shù)據(jù)機(jī)會(huì),確保用戶信息可控在控。