文:上海君倫律師事務所
2022年6月30日,上海市市場監管局開展的2022民生領域案件查辦“鐵拳”行動,曝光了一起房產租售行業違法收集消費者個人資訊案件。
壹、案件詳情
近日,靜安區市場監管局依法對上海梵訊網路技術有限公司涉嫌侵犯公民個人資訊的違法行為開展調查。經查,當事人自2018年1月起,在其自行開發、運營的電腦軟體“梵訊房屋管理系統”及手機軟體“手機梵訊”中加入了抓取、收集二手房源資訊及業主姓名、聯繫方式等資訊的採集功能的程式。當事人的上述行為,未取得原始房源資訊發佈者及消費者同意,並有償提供給房屋仲介等客戶使用。截至案發,當事人共抓取、收集真實房源資訊及消費者個人資訊3806條。因該軟體二手房源資訊及消費者個人資訊抓取、收集的單項功能無法單獨開通,故無法計算當事人侵害消費者個人資訊的違法所得。
當事人的行為違反了《中華人民共和國消費者權益保護法》(以下簡稱《消費者權益保護法》)的相關規定,構成未經消費者同意收集消費者個人資訊的違法行為。靜安區市場監管局根據《消費者權益保護法》第五十六條第一款第(九)項的規定,依法作出責令當事人立即改正違法行為、罰款壹拾萬元整的行政處罰。
貳、點評
2019年3月12日,市場監管總局開展了“守護消費”暨打擊侵害消費者個人資訊違法行為專項執法行動。據報導,房產租售行業是侵害消費者個人資訊的高發領域,行動期間針對該行業相關案件共罰沒款428.2萬元,占總數的22%。
時隔三載,《中華人民共和國民法典》(以下簡稱《民法典》)《中華人民共和國個人資訊保護法》(以下簡稱《個人資訊保護法》)等法律相繼出臺,對於公民個人資訊的保護力度得到進一步加強。然而,房產租售行業資訊販賣黑色產業鏈多年來形成的“慣性”,無法在短時間內消除。在如此環境下,相關APP又該如何“走上正軌”,擺脫“行業潛規則”?而對於其他行業來說,如何合法合規收集、使用消費者個人資訊亦是大家共同面臨的難題。下文將從三個方面淺析:APP收集消費者個人資訊的責任邊界。
一、收集消費者個人資訊,應遵循最小必要原則
《個人資訊保護法》第六條規定:“處理個人資訊應當具有明確、合理的目的,並應當與處理目的直接相關,取對個人權益影響最小的方式。收集個人資訊,應當限於實現處理目的的最小範圍,不得過度收集個人資訊。”2021年5月1日起施行的《常見類型移動互聯網應用程式必要個人資訊範圍規定》(以下簡稱《規定》)則進一步明確了各類移動互聯網應用程式(APP)可以收集的“必要個人資訊”的範圍。所謂“必要個人資訊”,即保障APP基本功能服務正常運行所必需的個人資訊,缺少該資訊APP即無法實現基本功能服務。
在上述案例中,被處罰企業所開發運營的APP便屬於《規定》第五條中列舉的“房屋租售類”APP。《規定》第五條指出:“常見類型APP的必要個人資訊範圍:……(十三)房屋租售類,基本功能服務為‘個人房源資訊發佈、房屋出租或買賣’,必要個人資訊包括:1.註冊用戶行動電話號碼;2.房源基本資訊:房屋地址、面積/戶型、期望售價或租金。” 因此,以該類應用程式APP為例,其所能收集的資訊必須嚴格限定在上述“必要個人資訊”範圍內,超出該範圍收集的個人資訊,即涉嫌違法。
二、收集消費者個人資訊,還應遵循知情同意原則
儘管《規定》明確了APP可以收集的“必要個人資訊”範圍,但並非賦予APP、房產租售經營者可以任意向公民收集“必要個人資訊”的權利。在收集個人資訊時,仍需遵守“知情同意”原則。《個人資訊保護法》規定:“個人資訊處理者處理個人資訊應當取得個人的同意。基於個人同意處理個人資訊的,該同意應當由個人在充分知情的前提下自願、明確作出。”《消費者權益保護法》第二十九條第一款亦規定了經營者收集、使用消費者個人資訊,應當明示收集、使用資訊的目的、方式和範圍,並經消費者同意。
在上述案例中,該行政處罰相對人即違反了《消費者權益保護法》第二十九條第一款規定的知情同意原則。因而,即便其收集、使用的資訊可以認定為必要個人資訊,未經消費者同意仍然構成違法行為。APP運營單位應當認識到,消費者在APP中主動錄入資訊,並不意味著其同意經營者將其個人資訊用於其他用途。換言之,“非必要不收集”並非意味著“必要資訊可任意收集”,知情同意原則與最小必要原則共同構成經營者合法收集、使用消費者個人資訊的要件,兩者缺一不可。從反面來說,即便滿足了知情同意原則,忽略最小必要原則也同樣構成侵權。
三、收集個人資訊後,還應履行保密義務
《民法典》第一千零三十八條規定了資訊處理者的保密義務:“資訊處理者不得洩露或者篡改其收集、存儲的個人資訊;未經自然人同意,不得向他人非法提供其個人資訊,但是經過加工無法識別特定個人且不能復原的除外。”
《消費者權益保護法》第二十九條第二款規定:“經營者及其工作人員對收集的消費者個人資訊必須嚴格保密,不得洩露、出售或者非法向他人提供。”
《個人資訊保護法》第十條規定:“任何組織、個人不得非法收集、使用、加工、傳輸他人個人資訊,不得非法買賣、提供或者公開他人個人資訊。”
因此,諸如上述案例中,未經消費者同意而向他人出售消費者個人資訊的行為,系嚴重違反資訊處理者保密義務的違法行為。
參、非法收集、使用、買賣、提供他人個人資訊的法律責任
在上述案例中,上海市靜安區市場監管局行使了行政執法權力,根據《消費者權益保護法》第五十六條第一款第(九)項的規定,對侵害消費者個人資訊依法得到保護的權利的經營者,依法作出責令改正違法行為、罰款十萬元整的行政處罰。
對於非法收集、使用、買賣、提供他人個人資訊的行為,相關經營者還應承擔相應民事責任,根據《個人資訊保護法》第六十九條規定,處理個人資訊侵害個人資訊權益造成損害,個人資訊處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。
此外,《刑法》第二百五十三條之一規定了“侵犯公民個人資訊罪”,經營者非法向他人出售、提供公民的個人資訊情節嚴重的,可能構成刑事犯罪,被追究刑事責任。
肆、結語
羅馬並非一天建成,個人資訊安全“防護牆”亦待繼續構建。諸如房產租售行業過去普遍存在的侵犯公民個人資訊亂象,近年來不斷加強的執法打擊力度或能加快重塑新的業態規範,但我們更應指引從業人員“由內而外”去遵循法律制度,提升行業自律,明確企業責任。當下,從源頭上遏制未經同意收集使用個人資訊等侵犯公民個人資訊的行為,需要行業加強自律意識,明確企業在個人資訊保護過程中所應當承擔的責任。
在收集使用個人資訊時,應當盡可能完整地、積極主動地告知個人資訊收集範圍、收集目的、處理規則等與使用者利益密切相關的事項,保證消費者的知情權。在以經濟利益為目標的同時,主動告知收集使用個人資訊規則,做好個人資訊保護的第一道防線。
另一方面,作為消費者、也要提升個人資訊安全意識。提升對資訊收集使用規則的辨別能力,例如不輕易在App上、網站上留下身份證號碼、支付資訊等較為重要的個人資訊;拒絕不合理的資訊收集規則。
一旦知悉個人資訊被違法違規收集,提供、買賣,應勇於並善於通過法律手段維護自己的合法權益,可以向消費者權益保護機構、市場監督管理部門、網路資訊安全管理部門投訴、舉報;可以向人民法院提起侵權訴訟,要求侵權人停止侵權、消除影響、賠禮道歉、賠償損失等;對於情節嚴重的侵害行為,還可以向公安機關舉報、控告,追究刑事責任。
