本条是关于经营者应当依法收集、使用消费者个人信息的义务的规定。
本条共3款,对经营者收集、使用消费者个人信息时应当遵循的原则、履行的义务作了规定。
一、本条的修改情况
本条是本次修改新增的规定。
所谓消费者的个人信息,是指为某个消费者所特有的信息,如某个消费者的姓名、性别、民族、出生日期、身份证件号码、本人相片、工作单位、居住地址、收入状况、电话号码、电子邮箱、银行账号和密码、病史、购物习惯等。
消费者的个人信息涉及消费者的姓名权、肖像权、隐私权等,受到法律的保护。除民法通则外,
居民身份证法第19条第1款规定,国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关处10日以上15日以下拘留,并处5000元罚款,有违法所得的,没收违法所得。《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条第1款规定,网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。第3条规定,网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。第4条规定,网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。第7条规定,任何组织和个人未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。《网络商品交易及有关服务行为管理暂行办法》第16条规定,网络商品经营者和网络服务经营者对收集的消费者信息,负有安全保管、合理使用、限期持有和妥善销毁义务;不得收集与提供商品和服务无关的信息,不得不正当使用,不得公开、出租、出售。但是法律、法规另有规定的除外。第25条规定,提供网络交易平台服务的经营者应当采取必要措施保护涉及经营者商业秘密或者消费者个人信息的数据资料信息的安全。非经交易当事人同意,不得向任何第三方披露、转让、出租或者出售交易当事人名单、交易记录等涉及经营者商业秘密或者消费者个人信息的数据。但是法律、法规另有规定的除外。《第三方电子商务交易平台服务规范》第7条第1款规定,未经用户同意,平台经营者不得向任何第三方披露或转让用户名单、交易记录等数据,但法律、法规另有规定的除外。《电信和互联网用户个人信息保护规定》第5条规定,电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。第9条第1—3款规定,未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息;电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项;电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。第10条规定,电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。本法第14条也明确规定,消费者在购买、使用商品和接受服务时,享有个人信息依法得到保护的权利。
在实践中,存在着经营者非法收集或者使用消费者的个人信息、擅自泄露或者非法向他人提供消费者个人信息的现象,严重影响了消费者正常生活,侵害了消费者的合法权益。在本法的修改过程中,各方面普遍要求增加保护消费者个人信息的规定。为此,修改后的本法增加了本条规定。
二、经营者收集、使用消费者个人信息应当遵循的原则
本条第1款规定,经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则。合法,是指符合法律、法规等规定,不存在违反规定的地方。正当,是指符合正常的情理和一般规则。必要,是指不可缺少。在实践中,一些经营者进行经营活动,由于法律、法规的规定或者经营活动的性质所决定,需要获知消费者的个人信息。例如,按照《银行帐户管理办法》的规定,个人申请开立基本存款账户,应向开户银行出具个人的居民身份证、户口簿。因此,消费者开立存款账户,银行就可以依法收集到消费者的身份证件信息。又如,《旅馆业治安管理办法》规定,旅馆接待旅客住宿必须登记。登记时,应当查验旅客的身份证件,按规定的项目如实登记。因此,旅馆在为旅客提供服务时,可以依法收集到旅客的身份证件信息。还如,将商品送货上门或者进行装饰装修的经营者,只有在获知相关地址的情况下,才能提供商品或者服务。因此,这些经营者为消费者提供商品或者服务,可以依法收集到消费者的个人信息。根据本条第1款的规定,经营者无论是收集消费者个人信息,还是收集后使用消费者的个人信息,都应当遵循合法、正当、必要的原则。凡属不合法,或者不正当,或者不必要的,经营者都不得收集、使用,否则,应当依法承担相应的法律责任。
三、经营者收集、使用消费者个人信息应当明示的事项
本条第1款规定,经营者收集、使用消费者个人信息,应当明示收集、使用信息的目的、方式和范围。明示,是指明确地表示。收集、使用的目的,是指收集、使用消费者个人信息所想要达到的结果。收集、使用的方式,是指收集、使用消费者个人信息所采用的方法和形式。收集、使用的范围,是指收集、使用消费者个人信息的一定界限。根据本条第1款的规定,经营者在收集、使用消费者个人信息之前,应当向消费者明确表示收集、使用信息的目的、方式和范围。未经明示的,经营者不得收集、使用。
四、经营者收集、使用消费者个人信息应当经消费者同意
本条第1款规定,经营者收集、使用消费者个人信息,应当经消费者同意。所谓经消费者同意,是指经营者收集、使用其个人信息,已经获得消费者的允许。消费者的个人信息与其权利保障、日常生活息息相关,其对权利的行使、生活的安排,应当由其自行决定,任何其他人都不得予以强迫。因此,经营者收集、使用消费者个人信息,应当经消费者同意。未经消费者同意的,经营者不得收集、使用。
五、经营者收集、使用消费者个人信息应当公开相关规则
本条第1款规定,经营者收集、使用消费者个人信息,应当公开其收集、使用规则。所谓公开,是指以某种方式,如在店堂内张贴、在网站上发布等,使社会公众能够获知。收集、使用规则,是指经营者收集、使用消费者个人信息时应当遵守的制度、标准。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,以便于消费者监督,使经营者的收集、使用行为受到约束,防止滥用,并便于消费者在了解相关规则的基础上作出是否同意经营者收集其个人信息的决定。
六、经营者收集、使用消费者个人信息不得违反法律、法规的规定和双方的约定
本条第1款规定,经营者收集、使用消费者个人信息,不得违反法律、法规的规定和双方的约定收集、使用信息。不得违反法律、法规的规定,是指不得违反全国人大及其常委会制定的法律,国务院制定的行政法规,省、自治区、直辖市以及较大的市、经济特区所在地的省市人大及其常委会制定的地方性法规,自治区、自治州、自治县人大制定的自治条例和单行条例。不得违反双方的约定,是指当消费者与经营者对该经营者收集、使用该消费者个人信息的有关事项,达成了一致意见的,经营者收集、使用消费者个人信息,不得与双方达成的一致意见相冲突。
法律、法规的规定,包括经营者在内的任何人都应当遵守,不得违反。双方的约定是消费者与经营者之间的合同。合同法第60条第1款规定,当事人应当按照约定全面履行自己的义务。因此,经营者收集、使用消费者个人信息,不得违反双方的约定。
七、经营者及其工作人员对收集的消费者个人信息必须严格保密
消费者的个人信息与其权利保障、日常生活息息相关,一旦被他人非法获知,就可能被他人非法利用而对消费者的权利和生活造成不利影响。为保证经营者及其工作人员对收集的消费者个人信息能够保密,本条第2款从三个方面进行了规定。
1.经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。即经营者和为经营者工作的人员,对收集的消费者个人信息,都必须严格保守秘密,不得让他人知道,不得为获利而将其出卖给他人,也不得在不符合法定条件的情况下将其提供给他人。
2.经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。所谓技术措施,是指技术方面的设施和方法。其他必要措施,是指除技术措施以外,能够确保信息安全的其他不可少的设施和方法。技术措施和其他必要措施是客观的、对所有人一视同仁的措施,能够比较有效地防止某个人故意或者过失泄露、丢失信息,从而确保信息安全。
3.在发生或者可能发生信息泄露、丢失的情况时,经营者应当立即采取补救措施。所谓补救措施,是指针对信息泄露、丢失的情况而采取的修补和挽救办法。采取补救措施的目的是防止损害的扩大或者产生。因此,在发生或者可能发生信息泄露、丢失的情况时,经营者应当立即采取补救措施,而不得有任何拖延。
八、经营者不得非法向消费者发送商业性信息
商业性信息,是指能够为经营者带来经济利益的信息,例如,推销某种商品或者服务的信息。在现实生活中,经营者通过信件、电子邮箱、电话、手机短信等向消费者发送商业信息的情况大量存在,已经成为社会公害。为此,本条第3款规定,经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。
