新《消费者权益保护法实施条例》强化保护消费者个人信息
作者:吴鹏飞 吴金冬 林静 2024-09-06《消费者权益保护法实施条例》(以下简称“条例”)自2024年7月1日起施行,其中,第二十三条和第二十四条1重申和细化了保护消费者个人信息的规定。该两条规定既加强了对消费者权益的保护,同时也对经营者提出了新的挑战。
一、最小必要原则
(一)要点
条例第二十三条规定了消费者个人信息保护的以下两个要点:
1、收集消费者个人信息遵循最小必要原则:条例明确禁止经营者过度收集消费者个人信息,不得采用一次概括授权、默认授权等方式,强制或者变相强制消费者同意收集、使用与经营活动无直接关系的个人信息。
2、敏感个人信息保护:经营者处理消费者的敏感个人信息必须符合法律法规的规定。
上述规定均是对《个人信息保护法》已有原则和规定在消费场景下的重申。
(二)相关规定
《民法典》为消费者个人信息保护提供了基础性法律支撑2,第一千零三十五条提出了处理个人信息应遵循必要原则,不得过度处理个人信息。《个人信息保护法》作为我国个人信息保护的主要法律依据,其第五条、和第六条确立了个人信息处理的基本原则,旨在确保个人信息的收集和使用既满足必要性,又最大限度地保护个人隐私和权益。《个人信息保护法》在第二章个人信息的处理规则中专设第二节,规定了敏感个人信息的处理规则,对敏感个人信息的处理设置了更高的门槛和更严格的保护要求,包括单独同意原则、强化告知义务、必要性与严格保护原则以及遵守法律、行政法规的特别规定等。
除此之外,国家网信办等部门联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》,明确了39种常见类型APP的必要个人信息范围,规定APP运营者不得因用户不同意收集非必要个人信息而拒绝用户使用APP的基本功能服务,经营者如运行APP应注意遵守该等规定。
(三)相关案例
近两年来,部分经营者(尤其是互联网平台)在经营的过程中,存在超出必要范围收集和使用个人信息的情况,这也导致了多起个人信息保护纠纷案件的发生。正如王某、深圳市腾讯计算机系统有限公司个人信息保护纠纷案件3中,深圳市中级人民法院认为,微视APP收集、使用王某“地区、性别”信息,同时又允许用户随意更改和填写该信息,其收集处理该信息不符合必要性原则。某科技公司与某房地产公司商品房委托代理销售合同纠纷案4中,佛山市禅城区人民法院认为,房地产公司未经有关机关许可、也未经消费者同意,为其经营目的,擅自设置人脸图像采集、个人身份识别设备,长时间收集、储存客户人脸信息,其以该方式所收集的证据属于非法证据,否定违法采集公民个人图像信息作为民事证据的效力。
另外,全国范围的整治APP过度收集信息的活动体现了相关行政部门在消费者个人信息保护方面的执法力度和决心,如2024年上海市网信办和市市场监管局启动了“亮剑浦江·消费领域个人信息权益保护专项执法行动”,面向扫码点餐、停车缴费、商超购物、少儿培训等八大日常消费场景开展个人信息保护综合整治,旨在通过联合约谈、指导整改等措施,促进企业将获取消费者个人信息的“最小和必要原则”落到实处。
二、保护消费者的安宁权
(一)要点
条例第二十四条强调了保护消费者安宁权:未经消费者同意,经营者不得向消费者发送商业性信息或拨打商业性电话,且要求经营者为消费者提供便捷的取消方式。经营者违反条例第二十四条的,行政管理部门将按照《消费者权益保护法》第五十六条,根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照。
(二)相关规定
条例第二十四条并非全新的规定,《广告法》、《网络交易监督管理办法》和《消费者权益保护法》等已包含消费者安宁权的规定。《广告法》第四十三条规定了“任何单位或者个人未经当事人同意或者请求,不得向其住宅、交通工具等发送广告,也不得以电子信息方式向其发送广告。以电子信息方式发送广告的,应当明示发送者的真实身份和联系方式,并向接收者提供拒绝继续接收的方式。”《网络交易监督管理办法》第十六条也规定了“网络交易经营者未经消费者同意或者请求,不得向其发送商业性信息。”《消费者权益保护法》第二十九条第三款规定了经营者未经消费者同意不得向其发送商业性信息,此次条例第二十四条增加了对经营者“向消费者拨打商业性电话”的限制。
(三)相关处罚案例
现实中,商家拨打营销电话、向消费者发送短信是普遍的营销手段,鉴于此,行政机关对此类营销手段给予了密切关注。2022年8月,针对上海四凸兄弟信息科技有限公司向不特定消费者发送商业短信的行为,奉贤区市监局认定其行为违反《中华人民共和国消费者权益保护法》第二十九条第三款、《网络交易监督管理办法》第十六条第一款的规定,依法对其作出罚款五千元的行政处罚。2023年10月,针对台州恒贯贸易有限公司未取得短信接收人的同意向其发送广告短信,温岭市市监局认定其违反《中华人民共和国广告法》第四十三条第一款、《互联网广告管理办法》第十七条第二款,依法对其作出罚款五千元的行政处罚。
三、对经营者的建议
为了应对条例的要求,经营者应采取以下措施:
1、制定和实施个人信息保护的内部政策和程序,并确保所有员工都了解并遵守。
2、最小化信息收集:只收集业务所必需的最少量个人信息,避免过度收集。
3、透明的信息使用规则:公开信息使用规则,明确如何使用、存储和保护个人信息。
4、告知并获取明确同意:在收集个人信息前,必须明确告知消费者收集的目的、方式和范围,并获取其明确的同意。
5、尊重消费者选择:为消费者提供拒绝接收商业性信息的选项,并在消费者选择退出后,立即停止向其发送相关信息。
通过采取上述措施,经营者严格遵守条例及相关法规,不仅能够减少违法风险,还能够提升经营者的品牌声誉。
注释
1.《消费者权益保护法实施条例》第二十三条:经营者应当依法保护消费者的个人信息。经营者在提供商品或者服务时,不得过度收集消费者个人信息,不得采用一次概括授权、默认授权等方式,强制或者变相强制消费者同意收集、使用与经营活动无直接关系的个人信息。
经营者处理包含消费者的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息以及不满十四周岁未成年人的个人信息等敏感个人信息的,应当符合有关法律、行政法规的规定。
第二十四条:未经消费者同意,经营者不得向消费者发送商业性信息或者拨打商业性电话。消费者同意接收商业性信息或者商业性电话的,经营者应当提供明确、便捷的取消方式。消费者选择取消的,经营者应当立即停止发送商业性信息或者拨打商业性电话。
2.《中华人民共和国民法典》第一千零三十四条:自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
第一百一十一条:自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
3.参见王某、深圳市腾讯计算机系统有限公司个人信息保护纠纷案,(2021)粤03民终9583号。
4.参见某科技公司与某房地产公司商品房委托代理销售合同纠纷案——广东高院发布个人信息保护典型案例之五。