原创 张家港市场监管局 产品可靠性报告
典型案例
张家港市大新某餐厅未建立健全消费者个人信息保密和管理制度致使消费者个人信息泄露丢失案例
【一、案情简介】
2019年9月11日,我局执法人员对位于杨舍镇步行街的张家港市杨舍西城某婚纱摄影馆进行监督检查,现场发现该店1名员工正在对照1份消费者名单拨打营销电话推销该店的婚纱摄影业务。经调查,该名单可能由当事人张家港市大新某餐厅提供,且名单上的消费者均未将个人信息告知该摄影馆。9月29日,我局对当事人的经营场所进行监督检查,发现当事人前台有两本笔记本,用于登记到该店预定婚宴的顾客信息,包括消费者的姓名、手机号码、预定桌数、预定时间等。经比对,其中有21条信息与名单上的信息完全一致。
经查明,当事人张家港市大新某餐厅是我市一家从事餐饮服务的个体工商户,当事人在笔记本上登记了到店消费者的预定信息,包括姓名、手机号码、预定桌数、预定时间等信息,并将笔记本存放在前台。但当事人未尽到保管义务、未建立消费者个人信息保密和管理制度,导致部分消费者的个人信息泄露、丢失。这些信息被张家港市杨舍西城某婚纱摄影馆获得,该店员工在未经消费者同意的情况下,依据上述名单拨打了营销电话。案发后,当事人积极配合调查、及时升级监控系统、制定信息保管制度。
案发后,我局依据《中华人民共和国消费者权益保护法》第五十六条第一款第(九)项、《江苏省消费者权益保护条例》第六十二条第(二)项的规定,分别对张家港市杨舍西城某婚纱摄影馆和当事人的违法行为进行了行政处罚。
【二、本案焦点】
本案的争议焦点在于如何认定对当事人的违法行为。
焦点1:什么样的信息属于“个人信息”?
随着我国经济结构转型升级、电子商务的快速增长,消费者个人信息逐渐成为一种重要资源,各种侵害消费者个人信息违法行为也日益增加。但什么是“个人信息”,很多同志还存在一定的疑惑。根据《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条:“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
《江苏省消费者权益保护条例》第十六条第三款:“本条例所称个人信息,包括消费者的姓名、性别、出生日期、身份证号码、职业、学历、住址、联系方式、婚姻状况、收入和财产状况、指纹、血型、病史等能够单独或者与其他信息结合识别消费者的信息。”因此可见,只要能识别某一特定的消费者的信息,都属于“个人信息”的范畴。本案中的21条个人信息,不仅有这21名消费者的联系方式,而且反应了这21名消费者在特定时间、特定地点活动的情况,对于消费者的个人信息安全危害更大。
焦点2:当事人收集的个人信息是否属于“合法获取”?
《信息安全技术 个人信息安全规范》(GB/T 35273-2017)3.5收集collect规定:“获得对个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等主动采集,以及通过共享、转让、搜集公开信息间接获取等方式。”
消费者在当事人处预定婚宴,为方便沟通联系,留下了消费者的姓名、联系电话等信息,应当认为消费者默许当事人在严格保密的情况下使用其个人信息。因此,当事人收集这些个人信息属于“合法获取”。
焦点3:如何确认个人信息为当事人泄露?
在我局调查过程中,怎样确认这21条个人信息为当事人处泄露是最大的争议焦点。因为消费者准备何时何处举办婚宴必然已经提前告知了亲朋好友,任何人都可以通过某些方式从公开渠道获得,即使有重合部分也可能是偶然情况。经过多次讨论,执法人员达成了统一意见:虽然单个消费者的个人信息在公开渠道可以获得,但这种存在是分散的,没有针对性的。
当事人登记的是21名消费者的姓名、手机号码、预定桌数、预定时间等信息,这些信息具有确定性、真实性和集中性,任何单位和个人都无法从公开渠道获得上述整体信息。
上述信息若非被泄露或盗取,不可能为任何单位和个人整体获得。而当事人记录了消费者的预约信息后,将登记载体置于任何人都可能接触到的前台,并未指定专人保管,客观上造成泄露隐患。由此可以确认,上述信息应当为当事人处泄露。
焦点4:怎样确定当事人是故意出售还是无意泄露?
当事人是否存在主观故意性,对于行政执法的处罚幅度大小有较大的影响。本案中,由当事人处泄露的个人信息共21条,均集中在当事人登记本的后2页;且执法人员对当事人的合作婚庆单位、电子屏操作人员等可能接触到消费者个人信息的人员都进行了询问调查,未发现其故意泄露或出售消费者信息的证据。
本着有利于当事人的原则,执法人员最后认定当事人的行为违反了《江苏省消费者权益保护条例》第十七条第一款“经营者应当建立健全消费者个人信息保密和管理制度,制订信息安全事件应急预案,确保信息安全。在发生或者可能发生信息泄露、丢失时,应当立即采取补救措施,及时通知消费者,避免造成损失或者损失的扩大。”的规定,不构成出售消费者个人信息,无违法所得。
【三、案件评析】
频繁收到垃圾短信、经常接到骚扰电话甚至诈骗电话……此类事件背后与消费者个人信息被非法收集、买卖、使用、泄露有关。不仅威胁着消费者的人身财产安全,也影响着经济社会的健康发展。从2019年4月开始,我局集中开展了“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动,成果丰硕,本案就是这次专项执法行动中的一个案例。
【四、本案启示】
回顾本案查办的过程,值得我们思考的有很多。最重要的是要提高专业知识,在案件中发现案源。本案就是一个案中案,在日常监管中发现检查对象有未经消费者同意拨打营销电话的行为,进一步调查发现消费者个人信息来源于当事人,从而案发。
在日常监管中,检查对象的违法行为往往是显而易见的,而这个违法行为背后的案源,往往因为没有足够的专业敏感性和法律法规知识而被忽略了。作为市场监管执法人员必须全面系统地理解所适用法条的内涵以及立法本意,才能做到适用法律正确,定性准确。
更多资讯:
▲点击图片即可了解▲
▲点击图片即可了解▲
▲点击图片即可了解▲
作者:江苏省张家港市市场监管局
整理编辑:产品可靠性报告
申明:文章不代表平台立场、也不具有法定效力,仅供交流学习,原创作品,转载请联系本刊授权,谢谢!
本期主编:李俊
《产品可靠性报告》是国家市场监管总局主管,中国质量报刊社主办,在国内外公开发行的国家一级期刊;我们将围绕汽车及周边产品、10类重点消费品及民生关切度高的消费品为消费者的购买决策提供参考,为行业扶优治劣提供有力依据。
原标题:《你会频繁收到垃圾短信、经常接到骚扰电话甚至诈骗电话? | 致使消费者个人信息泄露丢失案例分享》