案件评析
如何认定
本刊智库专家团专家陆晔
张家港市大新某餐厅未建立健全消费者个人信息保密和管理制度,致使消费者个人信息泄露丢失案例。
一、案情简介
2019年9月11日,我局执法人员对位于杨
舍镇步行街的张家港市杨舍西城某婚纱摄影
馆进行监督检查,现场发现该店1名员工正
在对照1份消费者名单拨打营销电话推销该
店的婚纱摄影业务。经调查,该名单可能由
当事人张家港市大新某餐厅提供,且名单上
的消费者均未将个人信息告知该摄影馆。9
月29日,我局对当事人的经营场所进行监督
检查,发现当事人前台有两本笔记本,用于
登记到该店预定婚宴的顾客信息,包括消费
者的姓名、手机号码、预定桌数、预定时间
等。经比对,其中有21条信息与名单上的信 息完全一致。
经查明,当事人张家港市大新某餐厅是 我市一家从事餐饮服务的个体工商户,当事 人在笔记本上登记了到店消费者的预定信 息,包括姓名、手机号码、预定桌数、预定 时间等信息,并将笔记本存放在前台。但当 事人未尽到保管义务、未建立消费者个人信 息保密和管理制度,导致部分消费者的个人 信息泄露、丢失。这些信息被张家港市杨舍西城某婚纱摄影馆获得,该店员工在未经消费
者同意的情况下,依据上述名单拨打了营销电 话。案发后,当事人积极配合调查、及时升级
案发后,我局依据《中华人民共和国消费
者权益保护法》第五十六条第一款第(九)项、《江苏省消费者权益保护条例》第六十二
条第(二)项的规定,分别对张家港市杨舍西
城某婚纱摄影馆和当事人的违法行为进行了行
政处罚。
__________M
监控系统、制定信息保管制度。
产品可靠性报告2020年第11期I
5
KKPOIVIS
、综合执法专刊
二、本案焦点
本案的争议焦点在于如何认定 对当事人的违法行为。
焦点1:什么样的信息属于“个人信息” ?
随着我国经济结构转型升级、电子商务的快速增长,消费者个人 信息逐渐成为一种重要资源,各种 侵害消费者个人信息违法行为也曰 益增加。但什么是“个人信息”,很多同志还存在一定的疑惑。根据 《最高人民检察院关 于办理侵犯公民个人信息刑事案件 适用法律若干问题的解释》第一 条:“刑法第二百五十三条之一规 定的‘公民个人信息’,是指以电 子或者其他方式记录的能够单独或 者与其他信息结合识别特定自然人 身份或者反映特定自然人活动情 况的各种信息,包括姓名、身份 证件号码、通信通讯、住址、账号密码、财产状况、行踪 轨迹等。”、《江苏省消费者权益 保护条例》第十六条第三款:“本条例所称个人信息,包括消费者的 姓名、性别、出生日期、身份证号 码、职业、学历、住址、联系方 式、婚姻状况、收入和财产状况、指纹、血型、病史等能够单独或者 与其他
信息结合识别消费者的信 息。”因此可见,只要能识别某一 特定的消费者的信息,都属于“个人信息”的范畴。本案中的21条个 人信息,不仅有这21名消费者的联 系方式,而且反应了这21名消费者 在特定时间、特定地点活动的情 况,对于消费者的个人信息安全危 害更大。
焦点2:当事人收集的个人信息是否属于"合法获取”?
《信息安全技术个人信息安全规范》(GB/T 35273- 2017) 3.5收集collect规定:“获得对个人信息的控制权的行 为,包括由个人信息主体主动提供、通过与个人信息主体交互 或记录个人信息主体行为等主动采集,以及通过共享、转让、搜集公开信息间接获取等方式。”消费者在当事人处预定婚 宴,为方便沟通联系,留下了消费者的姓名、等信 息,应当认为消费者默许当事人在严格保密的情况下使用其个 人信息。因此,当事人收集这些个人信息属于“合法获取”。
f t f t
焦点3:如何确认个人信息为当事人泄露?
在我局调查过程中,怎样确认这21条个人信息为当事人处 泄露是最大的争议焦点。因为消费者准备何时何处举办婚宴必 然已经提前告知了亲朋好友,任何人都可以通过某些方式从公 开渠道获得,即使有重合部分也可能是偶然情况。经过多次讨 论,执法人员达成了统一意见:虽然单个消费者的个人信息在
公开渠道可以获得,但这种存在是分散的,没有针对性的。当事人登记的是21名消费者的姓名、手机号码、预定桌数、预定 时间等信息,这些信息具有确定性、真实性和集中性,任何单 位和个人都无法从公开渠道获得上述整体信息。上述信息若非 被泄露或盗取,不可能为任何单位和个人整体获得。而当事人 记录了消费者的预约信息后,将登记载体置于任何人都可能接 触到的前台,并未指定专人保管,客观上造成泄露隐患。由此可以确认,上述信息应当为当事人处泄露。
6 I产品可靠性报告2020
年第11期
案件评析
四、本案启不
回顾本案查办的过程,值得我们思考的 有很多。最重要的是要提高专业知识,在案 件中发现案源。本案就是一个案中案,在曰 常监管中发现检查对象有未经消费者同意 拨打菅销电话的行为,进一步调查发现消费 者个人信息来源于当事人,从而案发。在日 常监管中,检查对象的违法行为往往是显而 易见的,而这个违法行为背后的案源,往往 因为没有足够的专业敏感性和法律法规知识 而被忽略了。作为市场监管执法人员必须全 面系统地理解所适用法条的内涵以及立法本 意,才能做到适用法律正确,定性准确。E
a
焦点4:怎样确定当事人是故意出售还是无意泄露?
当事人是否存在主观故意性,对于行政执法的处罚幅度大小有 较大的影响。本案中,由当事人处泄露的个人信息共21条,均集中 在当事人登记本的后2页;且执法人员对当事人的合作婚庆单位、 电子屏操作人员等可能接触到消费者个人信息的人员都进行了询问 调查,未发现其故意泄露或出售消费者信息的证据。本着有利于当 事人的原则,执法人员最后认定当事人的行为违反了《江苏省消费 者权益保护条例》第十七条第一款“经营者应当建立健全消费者个 人信息保密和管理制度,制订信息安全事件应急预案,确保信息安 全。在发生或者可能发生信息泄露、丢失时,应当立即采取补救措 施,及时通知消费
者,避免造成损失或者损失的扩大。”的规定, 不构成出售消费者个人信息,无违法所得。
三、案例评析
频繁收到垃圾短信、经常接到 骚扰电话甚至电话……此类事 件背后与消费者个人信息被非法收 集、买卖、使用、泄露有关。不仅 威胁着消费者的人身财产安全,也 影响着经济社会的健康发展。从 2019年4月开始,我局集中开展了 “守护消费”暨打击侵害消费者个 人信息违法行为专项执法行动,成 果丰硕,本案就是这次专项执法行 动中的一个案例。
-u c c c
,
{1'J c ;,1-'c o -0601o 0601(10O 0O 1O 000100000H 1010101
010
00-00-0
o l o l o o o o o o o n
o o o 1o o v (>-f -0(1(1-1(0o 0o 0o 0o 0o 0o 0o 1
.001010
—
o 001'0006000如10°010110为0010?0
-〇〇〇〇〇〇
个
f t
T O O O O 100001000001010
11i 1111100000n
100C C O O O C O G 1C O C C u o
o ^
U O 1
O 1
O 1O
1O 0
000
0O 01O 010-^
. 001
010
101000
00
■00
0000010
1010
1010
101o
o o
o
o o o
-100001
000
-o
t t o o o
l 111111
100000
010********
00;
o
1
o 1 o
1
f
10.U C 300 o ' - —
r
|
00000010
1
0000000
^r
p ^o n .•
O 1O 111
0O O 01^00 n ,.
■ o 1 o 1 o
1 o u y
1 o t ® ^
■ o o o o
u
o o 1
o o
u 00
1
000''a 十o o o
o 1 o
-o .®-p -'..^1
」>o 1010111G
V I 0100101 〔,1,:1P P ->0,Q
)
G D 0@0@1
通®®
圯
®
圯
®6r
o 101
101
01G 10
1000
o 0
0001000
o
0f ^101
01
010********
000010000000
1
11
1
1
1110000^
1000010
0010000010101010000000010010101110^•
--1
111
1100
000001
010
1
010101U U
L ^
■O 1O 1O 1
0Q O
000
00010
00
111
111
110O
>.
i ..— 010100000000001000000001u
1 0 1 ®
1
.
侵害公民个人信息 i o r -O I O O O O O O O O O O I O O O O O O O O T -T -l l l 'r j v l > ! L D 10D 000000111111110000000000
M
1—-S V I K
0000010101 Q s t .o y y a - 000
00102>59
000000
产品可靠性报告2020年第11期I
发布评论