■國網(wǎng)杭州市蕭山區(qū)供電公司 鐘曉紅 瞿寧寧 楊 健
浙江大有實業(yè)有限公司電力承裝分公司 張楚楚
在數(shù)字經(jīng)濟時代,用戶信息的保護受到各級政府部門及社會公眾的重視,隨著相關(guān)法律法規(guī)的完善,監(jiān)管部門監(jiān)管力度不斷加大,用戶信息收集、處理不當,將會受到相應(yīng)處罰,甚至承擔刑事責任,給企業(yè)造成負面影響。而供電企業(yè)在運營過程中不可避免收集、處理用戶的相關(guān)信息,必須規(guī)范流程、嚴謹處置、正確對待。
供電企業(yè)在日常經(jīng)營中一般通過3個渠道獲取用戶信息:(1)用戶開戶時提交的用戶姓名(名稱)、住址(所在地)、身份證號(企業(yè)代碼)、銀行賬號等開戶信息;(2)通過電表采集到的用電量數(shù)據(jù)等數(shù)據(jù)信息;(3)通過“網(wǎng)上國網(wǎng)”等App獲取到的用電相關(guān)信息。這些信息根據(jù)對象不同可以分為個人用戶信息和企業(yè)用戶信息2種類型。
我國相關(guān)法律對用戶信息的獲取及使用的限制不是絕對的,而是在平衡信息保護與數(shù)據(jù)使用開發(fā)基礎(chǔ)上有選擇性地保護。
個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息??梢钥闯鰝€人信息的認定是以“識別性”為準則的,并能與“特定自然人”相關(guān)聯(lián)的。因此個人用戶信息能夠單獨或結(jié)合其他信息以識別出該特定用戶的身份或活動,如個人開戶信息及App可獲取的各項信息都屬于個人信息,采集數(shù)據(jù)若能結(jié)合其他信息可以識別到特定自然人,亦為個人信息。該類信息的使用、處理受到法律法規(guī)的嚴格限制。
對于企業(yè)類用戶信息,集中體現(xiàn)在商業(yè)秘密上。所謂商業(yè)秘密,是指不為公眾所知悉、具有商業(yè)價值并經(jīng)權(quán)利人采取相應(yīng)保密措施的技術(shù)信息、經(jīng)營信息等商業(yè)信息。也就是說若某一企業(yè)類用戶信息符合非公開性、價值性并經(jīng)權(quán)利人采取保密措施的要件,即為商業(yè)秘密,受相關(guān)法律法規(guī)保護,收集、處理受限。
而企業(yè)類用戶信息中開戶信息一般具有公開性或因不具有價值性而不屬于商業(yè)秘密。
供電企業(yè)處理用戶信息具體可以分為收集、使用、與特定第三方共享以及對公眾披露4種情形。
供電企業(yè)與用戶作為平等的民事主體,用戶同意是電力企業(yè)收集用戶信息的首要前提。
個人類信息收集。我國法律法規(guī)要求信息收集主體在收集個人信息時,應(yīng)取得信息主體的同意,并明確告知收集的目的、方式和范圍,因此同意是收集個人信息時普遍適用的合法性依據(jù)。值得注意的是我國《個人信息保護法》第13條規(guī)定了諸如個人簽訂合同、履行法定義務(wù)、應(yīng)對突發(fā)公共突發(fā)事件等5種例外情形。此外,某些特殊情形下公權(quán)力機關(guān)依據(jù)職權(quán)收集也無需個人同意。
企業(yè)類信息收集。對于企業(yè)類信息,規(guī)定不得以盜竊、賄賂、欺詐、脅迫、電子侵入或者其他不正當手段獲取權(quán)利人的商業(yè)秘密,故供電企業(yè)在收集含有商業(yè)秘密的企業(yè)類信息前,應(yīng)獲得企業(yè)用戶的同意,否則會侵犯他人商業(yè)秘密。
一般來說,對用戶信息的使用根據(jù)使用形式的不同可以劃分為:直接使用,即直接使用用戶預(yù)留的通訊方式向其發(fā)送通知、廣告等信息;二次加工使用,例如錄入、存儲、修改、標注、比對、挖掘、屏蔽等。
直接使用。根據(jù)相關(guān)法律規(guī)定及司法實踐案例,直接使用用戶信息應(yīng)以用戶同意為前提,而且對于直接使用用戶信息的限制因信息類型的不同而有所差異。首先,向用戶發(fā)送商業(yè)類信息是絕對禁止的,這不僅在《消費者權(quán)益保護法》等法律法規(guī)中有所體現(xiàn),而且也被法院判例所確認。其次,屬于雙方合同范圍內(nèi)的信息屬于可發(fā)送范圍。合約條款的約定代表了企業(yè)獲得了用戶的同意,同意企業(yè)使用其個人信息向其發(fā)送合同約定范圍內(nèi)的信息。因此,供電企業(yè)應(yīng)當通過合同形式獲得用戶對直接使用用戶信息的同意,在與用戶的相關(guān)合同中約定,供電企業(yè)可以使用用戶留存的聯(lián)系方式發(fā)送服務(wù)質(zhì)量評價、催收電費、停電通知等非商業(yè)類信息,以免除后續(xù)可能發(fā)生的侵權(quán)責任。
二次加工。在二次加工中,取得用戶同意仍然是普遍適用的合法性依據(jù)。加工前應(yīng)告知用戶加工的方法、手段、目的、范圍、加工主體,獲得用戶同意后嚴格按照告知進行二次加工;在加工階段應(yīng)保證用戶信息不被泄露,且保證信息本身的完整、可用、最新;同時還應(yīng)保障用戶修改、查詢其個人信息的權(quán)利。
根據(jù)現(xiàn)有法律法規(guī),用戶信息共享無論出于何種目的,亦無論是個人用戶信息,還是企業(yè)用戶信息,供電企業(yè)未經(jīng)用戶同意向特定第三方共享用戶信息都是被禁止的。此外,目前法律法規(guī)等規(guī)范性文件中并未賦予民事主體公開個人信息、商業(yè)秘密的權(quán)利,且在對個人信息、商業(yè)秘密嚴格保護的背景下,即便是公權(quán)力機關(guān)無法律規(guī)定的特殊情況亦不可公開個人信息,或是商業(yè)秘密。
目前供電企業(yè)主要采用簽訂供用電合同的方式獲取、收集用戶信息。但該約定較為簡單,尚不能滿足企業(yè)正常運營的需求,因此須完善相關(guān)條款,或另行簽訂協(xié)議來獲得用戶的書面授權(quán)或同意。(1)明確告知用戶在服務(wù)過程中信息的收集和使用范圍、信息保護措施等,且后續(xù)有使用相關(guān)信息的可能性。(2)在協(xié)議的醒目位置明確提示該授權(quán)或同意的可能后果,并在客戶簽署協(xié)議時提醒其注意上述提示。(3)給予用戶修訂或刪除相關(guān)信息的權(quán)利,并明確修訂或刪除途徑。
雖然用戶同意是供電企業(yè)收集、使用用戶信息的合法性前提,但同意并不是充分條件,收集、使用用戶信息還應(yīng)遵循必要性原則、遵守一些特殊規(guī)定,同時應(yīng)保證同意的有效性。(1)必要性原則,供電企業(yè)在收集、使用用戶信息時應(yīng)以最少夠用為標準,只收集能夠達到已告知目的的最少信息,只處理與處理目的有關(guān)的最少信息。(2)特殊主體特殊規(guī)定,主要針對未成年人、精神病患者等無民事行為能力或限制民事行為能力者,供電企業(yè)應(yīng)當針對特殊用戶制定有針對性的信息收集、使用程序。(3)確保同意的有效性。供電企業(yè)在擬定相關(guān)合同條款時,應(yīng)注意平衡供用電雙方之間的權(quán)利、義務(wù),關(guān)注合同無效、可撤銷的情形,確保同意條款的有效性,為后續(xù)用戶信息的收集、使用工作開展打下合法性基礎(chǔ)。
防范用戶信息泄露最重要的是需要供電企業(yè)加強自身內(nèi)部管理,建立用戶信息安全保障機制,強化信息系統(tǒng)安全防護水平,提升員工信息安全保密意識,加強供應(yīng)商保密管理,確保收集、使用用戶信息依法合規(guī)。
建立用戶信息安全保障機制。梳理用戶信息泄露高發(fā)環(huán)節(jié),健全用戶信息收集使用審批制度、用戶信息保護檢查等;建立客戶檔案等級管理,制定滿足不同信息安全保密等級用戶信息安全管理辦法;完善用戶信息披露、共享審查制度,用戶信息泄露調(diào)查、約談制度,嚴格責任追究,確保用戶信息安全。
完善信息安全技術(shù)防范措施。主要是加強相關(guān)軟硬件設(shè)施,定期維護、升級、檢查辦公、數(shù)據(jù)等信息系統(tǒng)和營銷終端設(shè)備,以保障企業(yè)安全防護系統(tǒng)的穩(wěn)定性、安全性、可靠性,確保用戶信息在收集、傳輸、加工、保存、使用等環(huán)節(jié)中不被泄露。
加強員工管理與培訓(xùn)。一方面制定相應(yīng)人員管理制度,規(guī)范從業(yè)人員收集、使用用戶信息的行為,并設(shè)置相應(yīng)的懲戒措施;另一方面加強員工培訓(xùn),宣貫相關(guān)法律、制度,簽訂保密承諾書,提升員工用戶信息保密意識,促進員工養(yǎng)成保密在心,依規(guī)辦事良好習(xí)慣。
重視供應(yīng)商保密管理。將用戶信息保護能力納入供應(yīng)商考核指標,完善與供應(yīng)商服務(wù)合同,增加保密義務(wù)條款和違約責任,增加供應(yīng)商泄露用戶信息成本。加強供應(yīng)商工作人員管理,固定項目外包人員,明確工作范圍,減少接觸用戶信息及相關(guān)數(shù)據(jù)機會,確保用戶信息可控在控。