——————

從兩起案例看侵害消費者個人信息之認定與處罰

黃璞琳

案例一：

2016年2月24日，F市L區消費者陳某向F市市場監管局投訴稱：其爲F市電信分公司用戶，持有並使用該電信分公司提供的固定電話07**82***85、手機電話133******86。但近幾個月來，多次收到該電信分公司的欠費催繳手機短信及電話，稱其使用的固定電話07**43***43欠費，要求及時繳費，否則將起訴追繳。陳某稱07**43***43固定電話並非其登記使用的，而是電信分公司擅自在其名下登記給他人使用的。陳某稱其與電信分公司多次溝通仍未能解決相關問題，甚至被迫替欠費的07**43***43固定電話繳了幾個月的話費。

經查，陳某投訴情況屬實。07**43***43固定電話是F市D縣電信分公司發放的，安裝使用在D縣，事發之前均由D縣的用戶在D縣電信分公司繳費（D縣電信分公司隸屬於F市電信分公司）。07**43***43固定電話登記的用戶姓名及身份證號，與投訴人陳某的姓名與身份證號一致，並將陳某註冊使用的電信手機號碼綁定爲聯繫電話。F市電信分公司承認07**43***43固定電話並非投訴人陳某登記使用，辯稱是電信業務受理系統升級錯誤合併帳戶導致，但未能提供證據證明此申辯。收到F市市場監管局送達的《限期提供證據通知書》後，F市電信分公司仍未能提供證據證明其申辯事實，也未能提供有關D縣07**43***43固定電話的原始登記申請材料、實際使用者身份證明材料，更未能提供證據證明在07**43***43固定電話上使用投訴人陳某姓名及身份證號獲得陳某的同意。

F市市場監管局認爲，F市電信分公司未經投訴人陳某同意，擅自將陳某姓名及身份證號使用在07**43***43固定電話上，違反了《消費者權益保護法》第二十九條第一款之規定，侵害了消費者個人信息依法得到保護的權利。根據《消費者權益保護法》第五十六條第一款第（九）項之規定，F市市場監管局對F市電信分公司作出責令改正，處以2萬元罰款的行政處罰決定。

案例二：

2014年10月，F市移動通信分公司與第三方的S公司簽訂《外呼營銷服務合同》：F市移動通信分公司將其掌握的移動通信用戶資料，包括手機號碼及其單位、參考推薦業務和資費名稱、對應的信用等級、信用度、前三個月度消費金額、是否辦理流量自動升級包等，提供給S公司。由S公司按F市移動通信分公司認可的電話營銷腳本，向用戶介紹推廣F市移動通信分公司的業務及服務。F市移動通信分公司根據S公司業務推廣的成功率，計算並給付報酬。至2016年3月案發時，F市移動通信分公司一直在實施前述使用其用戶個人信息，並委託他人向用戶發送廣告推廣信息的行爲，且未徵得用戶同意。

F市市場監管局認爲：F市移動通信分公司向S公司提供的用戶信息，雖然未包括消費者姓名和身份證號，但提供的手機號碼及所屬單位、消費金額等信息，已經足以識別消費者的身份及其個人消費習慣等，構成消費者個人信息。F市移動通信分公司未經消費者同意，將其掌握的消費者個人信息提供給第三方，用於電話介紹推廣相關業務，違反了《中華人民共和國消費者權益保護法》第二十九條第二款的規定，構成泄露消費者個人信息行爲。根據《消費者權益保護法》第五十六條第一款第（九）項之規定，F市市場監管局對F市移動通信分公司作出責令改正，處以10萬元罰款的行政處罰決定。

評析：

（一）消費者個人信息之界定

2014年1月1日生效的《消費者權益保護法》第十四條規定，消費者享有個人信息依法得到保護的權利。但該法未就消費者個人信息的範圍與內涵作出界定。2015年3月15日生效的原國家工商總局《侵害消費者權益行爲處罰辦法》第十一條第二款，將消費者個人信息界定爲：經營者在提供商品或者服務活動中收集的消費者姓名、性別、職業、出生日期、身份證件號碼、住址、聯繫方式、收入和財產狀況、健康狀況、消費情況等能夠單獨或者與其他信息結合識別消費者的信息。

2016年11月7日通過的《中華人民共和國網絡安全法》第七十六條第（五）項則規定：個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

因此，能夠單獨或者與其他信息結合識別特定消費者個人身份的信息，都屬於消費者個人信息。案例一，投訴人陳某姓名及身份證號及使用的手機號碼，當然屬於消費者個人信息。案例二，移動通信用戶的手機號碼及其單位、對應的信用等級、信用度、前三個月度消費金額等信用，雖然未包括消費者的姓名、身份證號，但已足以單獨或者與其他信息結合用來識別特定消費者的個人身份，同樣屬於消費者個人信息。

（二）侵害消費者個人信息依法得到保護的權利之界定

《消費者權益保護法》第二十九條，從經營者責任角度，明確了經營者收集、使用、保護消費者個人信息的規則。《網絡安全法》第二十二條第三款、第四十一條至第四十三條，則規定了網絡運營者、網絡產品或者服務的提供者收集、存儲、使用、保護個人信息的規則。值得注意的是，《網絡安全法》第四十二條第一款在禁止網絡運營者泄露、篡改、毀損或者擅自向他人提供其收集的個人信息時，作了例外但書規定：“經過處理無法識別特定個人且不能復原的除外。”本文認爲，《消費者權益保護法》雖無類似的但書規定，但法理上是相通的。即，經營者將其依法收集的消費者個人信息，在經過處理無法識別特定消費者個人且不能復原的情況下，將相關信息處理成果提供給他人，未侵害消費者個人信息依法得到保護的權利。

根據《消費者權益保護法》第二十六條、第二十九條，以及《網絡安全法》第二十二條第三款、第四十一條至第四十三條的規定，經營者下列情形，屬於侵害消費者個人信息依法得到保護的權利的行爲：

1.未經消費者同意，擅自收集消費者個人信息。2. 未經消費者同意，擅自使用消費者個人信息。3. 收集、使用消費者個人信息時，未公開其收集、使用規則，未明示其收集、使用信息的目的、方式和範圍。4. 未遵循合法、正當原則，而是採取強制、欺騙等違法手段，收集、使用消費者個人信息。5. 收集、使用消費者個人信息的範圍、目的和方式，明顯不符合正當、必要原則。如，收集與其提供的商品、服務無關的個人信息。又如，利用格式條款並藉助技術手段，或者採取有意將相關格式條款夾雜在衆多條款之間等手段，誘導或者強制消費者簽署或者點擊有關同意其收集、使用個人信息的條款。6. 超出當初明示並經消費者同意的範圍、目的和方式，收集、使用消費者個人信息。7. 對收集的消費者個人信息未依法嚴格保密，或者信息安全措施不完善，造成消費者個人信息被泄露、丟失、損毀或者篡改。8. 在發生或者可能發生信息泄露、丟失、損毀或者篡改、錯誤的情況時，未立即採取補救、更正措施，造成消費者個人信息被泄露、丟失、損毀、篡改，或者造成損害擴大。9. 泄露、出售消費者個人信息，或者未經消費者同意擅自向他人提供消費者個人信息，但經過處理無法識別特定消費者個人且不能復原的除外。10. 未經消費者同意或者請求，向消費者發送商業性信息。11. 在消費者明確表示拒絕的情況下，仍向消費者發送商業性信息。12.其他違反法律、法規的規定，收集、使用消費者個人信息的行爲。

案例一的F市電信分公司，未經投訴人陳某同意，在並非投訴人陳某登記使用的07**43***43固定電話的運營過程中，使用了投訴人陳某的姓名、身份證號、手機號碼等個人信息。無論該電信分公司申辯的電信業務受理系統升級錯誤合併帳戶的情況是否客觀存在，都不能否認其擅自使用了消費者個人信息的事實成立，不能否認其行爲違反《消費者權益保護法》第二十九條第一款。倘若真的是電信業務受理系統升級錯誤合併帳戶導致擅自使用投訴人的個人信息，則說明該電信分公司在保護消費者個人信息安全的技術等措施方面，不符合《消費者權益保護法》第二十九條第二款的要求。

案例二的F市移動通信分公司，雖然是爲了介紹推廣自己的業務，而將其掌握的消費者個人信息，交給第三方用於電話營銷。但是，F市移動通信分公司將其掌握的消費者個人信息用於自己其他業務推廣，以及將消費者個人信息向第三方披露、提供，均未事先向消費者明示並徵得消費者同意，分別違反了《消費者權益保護法》第二十九條第一款和第二款之規定，侵害了消費者個人信息依法得到保護的權利。

（三）侵害消費者個人信息依法得到保護的權利之處罰

《消費者權益保護法》第五十六條第一款第（九）項，就經營者侵害消費者個人信息依法得到保護的權利之行爲設定了行政處罰：其他有關法律、法規對處罰機關和處罰方式有規定的，依照法律、法規的規定執行；法律、法規未作規定的，由工商行政管理部門或者其他有關行政部門責令改正，可以根據情節單處或者並處警告、沒收違法所得、處以違法所得一倍以上十倍以下的罰款，沒有違法所得的，處以五十萬元以下的罰款；情節嚴重的，責令停業整頓、吊銷營業執照。

《網絡安全法》第六十四條，則就網絡運營者、網絡產品或者服務的提供者違反該法第二十二條第三款、第四十一條至第四十三條規定，侵害個人信息依法得到保護的權利之行爲設定行政處罰：由有關主管部門責令改正，可以根據情節單處或者並處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款；情節嚴重的，並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。

2018年8月31日通過、將於2019年1月1日生效的《電子商務法》第七十九條，則就電子商務經營者違反法律、行政法規有關個人信息保護的規定之行爲，作了轉致適用相關法律實施行政處罰規定：“依照《中華人民共和國網絡安全法》等法律、行政法規的規定處罰。”

《消費者權益保護法》第五十六條在行政處罰機關及處罰方式幅度設定上，是“綜述加補充式”。即，其他有關法律、法規對處罰機關和處罰方式有規定的，從其規定；未作規定的，由工商行政管理部門或者其他有關行政部門按照職責分工適用該法條實施行政處罰。《網絡安全法》第六十四條在行政處罰機關方面，也未直接明確，而是規定“由有關主管部門”執法；在處罰方式幅度設定上，較《消費者權益保護法》第五十六條的差異主要體現在：一是沒有違法所得時的法定最高罰款金額更高，爲一百萬元；二是對情節嚴重者，在“責令停業整頓、吊銷營業執照”的基礎上，增加了“責令暫停相關業務、關閉網站、吊銷相關業務許可證”之處罰方式；三是實行了“雙罰制”，除了處罰網絡運營者、網絡產品或者服務的提供者之外，還對直接負責的主管人員和其他直接責任人員設定了“處一萬元以上十萬元以下罰款”的處罰。

《網絡安全法》所稱“網絡”，是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統，既包括經營性網絡系統，也包括非經營性網絡系統，如政務網絡及其他非經營性網絡。所稱的“網絡運營者”，既可能是經營者，也可能是經營者之外的其他主體。相應地，該法所稱的“個人信息”，既包括網絡消費者個人信息，也包括不屬消費者的其他網絡用戶個人信息。因此，《消費者權益保護法》第五十六條第一款第（九）項所稱的“（經營者）侵害消費者個人信息依法得到保護的權利”之行爲，與《網絡安全法》第六十四條所稱的“（網絡運營者、網絡產品或者服務的提供者）侵害個人信息依法得到保護的權利”之行爲，屬於法條交叉競合，但後者的處罰方式設定涵蓋了前者，且法定處罰幅度設定重於前者。

存在交叉競合情形的法條之間，並無“特別法與一般法”關係。《網絡安全法》第六十四條所稱的“有關主管部門”，也包括《消費者權益保護法》第五十六條規定的“工商行政管理部門”。本文認爲，《網絡安全法》生效施行後，對於網絡經營者實施的侵害網絡消費者個人信息依法得到保護的權利之行爲，工商行政管理部門（市場監管部門）可以直接適用《網絡安全法》第六十四條實施行政處罰，但“關閉網站、吊銷相關業務許可證”應由相關主管部門依法實施。當然，前述案例一、案例二的違法行爲發生時，《網絡安全法》尚未公佈施行，也就不存在適用《網絡安全法》的問題了。