■國網(wǎng)杭州市蕭山區(qū)供電公司 鐘曉紅 瞿寧寧 楊 健

浙江大有實(shí)業(yè)有限公司電力承裝分公司 張楚楚

在數(shù)字經(jīng)濟(jì)時(shí)代，用戶信息的保護(hù)受到各級(jí)政府部門及社會(huì)公眾的重視，隨著相關(guān)法律法規(guī)的完善，監(jiān)管部門監(jiān)管力度不斷加大，用戶信息收集、處理不當(dāng)，將會(huì)受到相應(yīng)處罰，甚至承擔(dān)刑事責(zé)任，給企業(yè)造成負(fù)面影響。而供電企業(yè)在運(yùn)營過程中不可避免收集、處理用戶的相關(guān)信息，必須規(guī)范流程、嚴(yán)謹(jǐn)處置、正確對(duì)待。

供電企業(yè)獲取用戶信息的分類及屬性

供電企業(yè)在日常經(jīng)營中一般通過3個(gè)渠道獲取用戶信息：（1）用戶開戶時(shí)提交的用戶姓名（名稱）、住址（所在地）、身份證號(hào)（企業(yè)代碼）、銀行賬號(hào)等開戶信息；（2）通過電表采集到的用電量數(shù)據(jù)等數(shù)據(jù)信息；（3）通過“網(wǎng)上國網(wǎng)”等App獲取到的用電相關(guān)信息。這些信息根據(jù)對(duì)象不同可以分為個(gè)人用戶信息和企業(yè)用戶信息2種類型。

個(gè)人用戶信息

我國相關(guān)法律對(duì)用戶信息的獲取及使用的限制不是絕對(duì)的，而是在平衡信息保護(hù)與數(shù)據(jù)使用開發(fā)基礎(chǔ)上有選擇性地保護(hù)。

個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息?？梢钥闯鰝€(gè)人信息的認(rèn)定是以“識(shí)別性”為準(zhǔn)則的，并能與“特定自然人”相關(guān)聯(lián)的。因此個(gè)人用戶信息能夠單獨(dú)或結(jié)合其他信息以識(shí)別出該特定用戶的身份或活動(dòng)，如個(gè)人開戶信息及App可獲取的各項(xiàng)信息都屬于個(gè)人信息，采集數(shù)據(jù)若能結(jié)合其他信息可以識(shí)別到特定自然人，亦為個(gè)人信息。該類信息的使用、處理受到法律法規(guī)的嚴(yán)格限制。

企業(yè)類用戶信息

對(duì)于企業(yè)類用戶信息，集中體現(xiàn)在商業(yè)秘密上。所謂商業(yè)秘密，是指不為公眾所知悉、具有商業(yè)價(jià)值并經(jīng)權(quán)利人采取相應(yīng)保密措施的技術(shù)信息、經(jīng)營信息等商業(yè)信息。也就是說若某一企業(yè)類用戶信息符合非公開性、價(jià)值性并經(jīng)權(quán)利人采取保密措施的要件，即為商業(yè)秘密，受相關(guān)法律法規(guī)保護(hù)，收集、處理受限。

而企業(yè)類用戶信息中開戶信息一般具有公開性或因不具有價(jià)值性而不屬于商業(yè)秘密。

供電企業(yè)處理用戶信息權(quán)利邊界

供電企業(yè)處理用戶信息具體可以分為收集、使用、與特定第三方共享以及對(duì)公眾披露4種情形。

用戶信息收集的合法性前提

供電企業(yè)與用戶作為平等的民事主體，用戶同意是電力企業(yè)收集用戶信息的首要前提。

個(gè)人類信息收集。我國法律法規(guī)要求信息收集主體在收集個(gè)人信息時(shí)，應(yīng)取得信息主體的同意，并明確告知收集的目的、方式和范圍，因此同意是收集個(gè)人信息時(shí)普遍適用的合法性依據(jù)。值得注意的是我國《個(gè)人信息保護(hù)法》第13條規(guī)定了諸如個(gè)人簽訂合同、履行法定義務(wù)、應(yīng)對(duì)突發(fā)公共突發(fā)事件等5種例外情形。此外，某些特殊情形下公權(quán)力機(jī)關(guān)依據(jù)職權(quán)收集也無需個(gè)人同意。

企業(yè)類信息收集。對(duì)于企業(yè)類信息，規(guī)定不得以盜竊、賄賂、欺詐、脅迫、電子侵入或者其他不正當(dāng)手段獲取權(quán)利人的商業(yè)秘密，故供電企業(yè)在收集含有商業(yè)秘密的企業(yè)類信息前，應(yīng)獲得企業(yè)用戶的同意，否則會(huì)侵犯他人商業(yè)秘密。

用戶信息使用的限制

一般來說，對(duì)用戶信息的使用根據(jù)使用形式的不同可以劃分為：直接使用，即直接使用用戶預(yù)留的通訊方式向其發(fā)送通知、廣告等信息；二次加工使用，例如錄入、存儲(chǔ)、修改、標(biāo)注、比對(duì)、挖掘、屏蔽等。

直接使用。根據(jù)相關(guān)法律規(guī)定及司法實(shí)踐案例，直接使用用戶信息應(yīng)以用戶同意為前提，而且對(duì)于直接使用用戶信息的限制因信息類型的不同而有所差異。首先，向用戶發(fā)送商業(yè)類信息是絕對(duì)禁止的，這不僅在《消費(fèi)者權(quán)益保護(hù)法》等法律法規(guī)中有所體現(xiàn)，而且也被法院判例所確認(rèn)。其次，屬于雙方合同范圍內(nèi)的信息屬于可發(fā)送范圍。合約條款的約定代表了企業(yè)獲得了用戶的同意，同意企業(yè)使用其個(gè)人信息向其發(fā)送合同約定范圍內(nèi)的信息。因此，供電企業(yè)應(yīng)當(dāng)通過合同形式獲得用戶對(duì)直接使用用戶信息的同意，在與用戶的相關(guān)合同中約定，供電企業(yè)可以使用用戶留存的聯(lián)系方式發(fā)送服務(wù)質(zhì)量評(píng)價(jià)、催收電費(fèi)、停電通知等非商業(yè)類信息，以免除后續(xù)可能發(fā)生的侵權(quán)責(zé)任。

二次加工。在二次加工中，取得用戶同意仍然是普遍適用的合法性依據(jù)。加工前應(yīng)告知用戶加工的方法、手段、目的、范圍、加工主體，獲得用戶同意后嚴(yán)格按照告知進(jìn)行二次加工；在加工階段應(yīng)保證用戶信息不被泄露，且保證信息本身的完整、可用、最新；同時(shí)還應(yīng)保障用戶修改、查詢其個(gè)人信息的權(quán)利。

用戶信息共享、對(duì)外披露禁止

根據(jù)現(xiàn)有法律法規(guī)，用戶信息共享無論出于何種目的，亦無論是個(gè)人用戶信息，還是企業(yè)用戶信息，供電企業(yè)未經(jīng)用戶同意向特定第三方共享用戶信息都是被禁止的。此外，目前法律法規(guī)等規(guī)范性文件中并未賦予民事主體公開個(gè)人信息、商業(yè)秘密的權(quán)利，且在對(duì)個(gè)人信息、商業(yè)秘密嚴(yán)格保護(hù)的背景下，即便是公權(quán)力機(jī)關(guān)無法律規(guī)定的特殊情況亦不可公開個(gè)人信息，或是商業(yè)秘密。

供電企業(yè)用戶信息管理措施

完善供用電合同

目前供電企業(yè)主要采用簽訂供用電合同的方式獲取、收集用戶信息。但該約定較為簡單，尚不能滿足企業(yè)正常運(yùn)營的需求，因此須完善相關(guān)條款，或另行簽訂協(xié)議來獲得用戶的書面授權(quán)或同意。（1）明確告知用戶在服務(wù)過程中信息的收集和使用范圍、信息保護(hù)措施等，且后續(xù)有使用相關(guān)信息的可能性。（2）在協(xié)議的醒目位置明確提示該授權(quán)或同意的可能后果，并在客戶簽署協(xié)議時(shí)提醒其注意上述提示。（3）給予用戶修訂或刪除相關(guān)信息的權(quán)利，并明確修訂或刪除途徑。

規(guī)范信息收集和使用

雖然用戶同意是供電企業(yè)收集、使用用戶信息的合法性前提，但同意并不是充分條件，收集、使用用戶信息還應(yīng)遵循必要性原則、遵守一些特殊規(guī)定，同時(shí)應(yīng)保證同意的有效性。（1）必要性原則，供電企業(yè)在收集、使用用戶信息時(shí)應(yīng)以最少夠用為標(biāo)準(zhǔn)，只收集能夠達(dá)到已告知目的的最少信息，只處理與處理目的有關(guān)的最少信息。（2）特殊主體特殊規(guī)定，主要針對(duì)未成年人、精神病患者等無民事行為能力或限制民事行為能力者，供電企業(yè)應(yīng)當(dāng)針對(duì)特殊用戶制定有針對(duì)性的信息收集、使用程序。（3）確保同意的有效性。供電企業(yè)在擬定相關(guān)合同條款時(shí)，應(yīng)注意平衡供用電雙方之間的權(quán)利、義務(wù)，關(guān)注合同無效、可撤銷的情形，確保同意條款的有效性，為后續(xù)用戶信息的收集、使用工作開展打下合法性基礎(chǔ)。

加強(qiáng)對(duì)用戶信息安全的保障

防范用戶信息泄露最重要的是需要供電企業(yè)加強(qiáng)自身內(nèi)部管理，建立用戶信息安全保障機(jī)制，強(qiáng)化信息系統(tǒng)安全防護(hù)水平，提升員工信息安全保密意識(shí)，加強(qiáng)供應(yīng)商保密管理，確保收集、使用用戶信息依法合規(guī)。

建立用戶信息安全保障機(jī)制。梳理用戶信息泄露高發(fā)環(huán)節(jié)，健全用戶信息收集使用審批制度、用戶信息保護(hù)檢查等；建立客戶檔案等級(jí)管理，制定滿足不同信息安全保密等級(jí)用戶信息安全管理辦法；完善用戶信息披露、共享審查制度，用戶信息泄露調(diào)查、約談制度，嚴(yán)格責(zé)任追究，確保用戶信息安全。

完善信息安全技術(shù)防范措施。主要是加強(qiáng)相關(guān)軟硬件設(shè)施，定期維護(hù)、升級(jí)、檢查辦公、數(shù)據(jù)等信息系統(tǒng)和營銷終端設(shè)備，以保障企業(yè)安全防護(hù)系統(tǒng)的穩(wěn)定性、安全性、可靠性，確保用戶信息在收集、傳輸、加工、保存、使用等環(huán)節(jié)中不被泄露。

加強(qiáng)員工管理與培訓(xùn)。一方面制定相應(yīng)人員管理制度，規(guī)范從業(yè)人員收集、使用用戶信息的行為，并設(shè)置相應(yīng)的懲戒措施；另一方面加強(qiáng)員工培訓(xùn)，宣貫相關(guān)法律、制度，簽訂保密承諾書，提升員工用戶信息保密意識(shí)，促進(jìn)員工養(yǎng)成保密在心，依規(guī)辦事良好習(xí)慣。

重視供應(yīng)商保密管理。將用戶信息保護(hù)能力納入供應(yīng)商考核指標(biāo)，完善與供應(yīng)商服務(wù)合同，增加保密義務(wù)條款和違約責(zé)任，增加供應(yīng)商泄露用戶信息成本。加強(qiáng)供應(yīng)商工作人員管理，固定項(xiàng)目外包人員，明確工作范圍，減少接觸用戶信息及相關(guān)數(shù)據(jù)機(jī)會(huì)，確保用戶信息可控在控。