一次短暂的宽带办理经历,却长期困扰着李丽(化名),因为她的个人信息被泄露了。
李丽家住北京,“双11”期间,她在某网络运营商App上订购了一款宽带产品。这款产品是该网络运营商推出的一款促销业务:办宽带享爱奇艺特权,而且宽带是300M。享受这项优惠的条件是,客户需要购买爱奇艺电视果产品,售价249元。
本来是一次愉快的购物经历,没想到在办理宽带业务时,李丽在非该网络运营商职工的快递员手上看到了自己的个人信息。
接受记者采访的业内人士认为,网络运营商掌握大量客户信息,在未经涉事客户同意,且未明确告知客户使用方式及目的、范围的情况下,任意提供给第三方公司,不符合网络安全法、消费者权益保护法等法律相关规定。
未经同意泄露信息
公司回应约定保密
李丽通过该网络运营商手机营业厅App提交办理宽带申请后,其工作人员打电话给李丽,称可办理此业务,并告知需购买爱奇艺电视果产品,该产品将由快递人员送货上门,需要付款给快递员。
数天后,快递员送来了爱奇艺的电视果产品,同时也带来了办理宽带的合约单。
李丽看到,这张合约单上有她的个人信息,包括个人身份证照片、家庭住址、电话号码等,“所有我在App上办理宽带时提交的信息均在合约单上清楚呈现。而且为了确认本人签收,快递员还要求我出示身份证原件,并用手持机器扫描”。
当李丽签完字后,快递员留下了客户联,将其余几联拿走。
李丽认为,自己在该网络运营商办理的宽带,个人信息却被暴露给了快递员,而且快递员还承担客户身份识别和信息核验工作,她对此“不能理解”。
李丽询问快递员是否是该网络运营商的工作人员,对方告知其只是一名快递员,而且刚上岗几天,快递公司也没有给他们上任何劳动保险。
对此,李丽向该网络运营商进行投诉,该网络运营商处理投诉的客服人员称,该网络运营商与快递公司是合作关系,签有保密协议。
“可是之前该网络运营商的工作人员和我电话确认订单时,并未告诉我会将办理业务的合约文件也交给快递员,更没有明确询问我是否同意将这份包含个人信息的合约单交给快递人员。”李丽说。
记者打电话给该网络运营商客服人员,获悉该套餐办理可通过手机网上营业厅App、网上营业厅及爱奇艺App入口预约办理,而且电视果确实会由快递员上门配送。
任意提供个人信息
涉嫌滥用违法违规
网络运营商把包含客户信息的合约单交由快递公司完成确认签字,并让快递员来完成身份确认和信息核验是否合适?
北京政法职业学院副教授刘爱君说,网络运营商把客户信息交给第三方公司及人员的行为于法无据。
刘爱君进一步解释称,客户办理业务,与网络运营商形成合约关系,这些合约内容及客户个人信息应当仅限于网络运营商和涉事客户自己知晓并掌握,如果需要委托第三方公司递送材料,应当只提供给快递公司及快递人员必要的联系信息,没必要把客户众多的个人信息以毫无保留的方式提供给快递公司及快递人员,这属于超出原有的目的使用个人信息,存在信息被泄露的风险。
“此外,网络运营商掌握大量客户信息,在未经涉事客户同意,且未明确告知客户使用方式及目的、范围的情况下,任意提供给第三方公司,不符合网络安全法、消费者权益保护法、侵权责任法的相关规定。”刘爱君说,“未获法律授权、未经本人许可的情况下,超出必要限度地披露他人个人信息或将所掌握的个人信息提供给其他机构的行为属于对个人信息的滥用。”
根据《中华人民共和国网络安全法》第七十六条第五款规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
中国传媒大学法律系副教授郑宁判断称,合约单上的信息属于个人信息。
此外,网络安全法第二十四条规定,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
网络安全法第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
“因此,网络运营商没有依法告知客户收集、使用个人信息的规则,也并未获得客户的同意,违反了法律规定。”郑宁对记者分析说。
告知信息使用规则
建立申诉管理机制
网络运营商使用个人信息有哪些法律规范?
郑宁告诉记者,刑法第二百五十三条之一规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
网络安全法中也进行了详细的规定。例如,网络安全法第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
网络安全法第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络安全法第四十三条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
此外,民法第一百一十一条规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
关于网络运营商如何规范使用个人信息,郑宁建议:首先,网络运营商应当告知消费者收集、使用个人信息的规则,在征得消费者同意后,按照告知的内容收集、使用个人信息;其次,在收集、使用个人信息的过程中,应当注重保护个人信息,在通过快递等方式使用个人信息时,应当采取保护措施,确保他人不会接触到消费者的个人信息;最后,网络运营商应当建立申诉管理机制,及时处理消费者的申诉。(记者 韩丹东 实习生 刘金波)