供電企業收集與處理用戶信息的合法性研究

■國網杭州市蕭山區供電公司 鐘曉紅 瞿寧寧 楊 健

浙江大有實業有限公司電力承裝分公司 張楚楚

在數字經濟時代，用戶信息的保護受到各級政府部門及社會公眾的重視，隨著相關法律法規的完善，監管部門監管力度不斷加大，用戶信息收集、處理不當，將會受到相應處罰，甚至承擔刑事責任，給企業造成負面影響。而供電企業在運營過程中不可避免收集、處理用戶的相關信息，必須規范流程、嚴謹處置、正確對待。

供電企業獲取用戶信息的分類及屬性

供電企業在日常經營中一般通過3個渠道獲取用戶信息：（1）用戶開戶時提交的用戶姓名（名稱）、住址（所在地）、身份證號（企業代碼）、銀行賬號等開戶信息；（2）通過電表采集到的用電量數據等數據信息；（3）通過“網上國網”等App獲取到的用電相關信息。這些信息根據對象不同可以分為個人用戶信息和企業用戶信息2種類型。

個人用戶信息

我國相關法律對用戶信息的獲取及使用的限制不是絕對的，而是在平衡信息保護與數據使用開發基礎上有選擇性地保護。

個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。可以看出個人信息的認定是以“識別性”為準則的，并能與“特定自然人”相關聯的。因此個人用戶信息能夠單獨或結合其他信息以識別出該特定用戶的身份或活動，如個人開戶信息及App可獲取的各項信息都屬于個人信息，采集數據若能結合其他信息可以識別到特定自然人，亦為個人信息。該類信息的使用、處理受到法律法規的嚴格限制。

企業類用戶信息

對于企業類用戶信息，集中體現在商業秘密上。所謂商業秘密，是指不為公眾所知悉、具有商業價值并經權利人采取相應保密措施的技術信息、經營信息等商業信息。也就是說若某一企業類用戶信息符合非公開性、價值性并經權利人采取保密措施的要件，即為商業秘密，受相關法律法規保護，收集、處理受限。

而企業類用戶信息中開戶信息一般具有公開性或因不具有價值性而不屬于商業秘密。

供電企業處理用戶信息權利邊界

供電企業處理用戶信息具體可以分為收集、使用、與特定第三方共享以及對公眾披露4種情形。

用戶信息收集的合法性前提

供電企業與用戶作為平等的民事主體，用戶同意是電力企業收集用戶信息的首要前提。

個人類信息收集。我國法律法規要求信息收集主體在收集個人信息時，應取得信息主體的同意，并明確告知收集的目的、方式和范圍，因此同意是收集個人信息時普遍適用的合法性依據。值得注意的是我國《個人信息保護法》第13條規定了諸如個人簽訂合同、履行法定義務、應對突發公共突發事件等5種例外情形。此外，某些特殊情形下公權力機關依據職權收集也無需個人同意。

企業類信息收集。對于企業類信息，規定不得以盜竊、賄賂、欺詐、脅迫、電子侵入或者其他不正當手段獲取權利人的商業秘密，故供電企業在收集含有商業秘密的企業類信息前，應獲得企業用戶的同意，否則會侵犯他人商業秘密。

用戶信息使用的限制

一般來說，對用戶信息的使用根據使用形式的不同可以劃分為：直接使用，即直接使用用戶預留的通訊方式向其發送通知、廣告等信息；二次加工使用，例如錄入、存儲、修改、標注、比對、挖掘、屏蔽等。

直接使用。根據相關法律規定及司法實踐案例，直接使用用戶信息應以用戶同意為前提，而且對于直接使用用戶信息的限制因信息類型的不同而有所差異。首先，向用戶發送商業類信息是絕對禁止的，這不僅在《消費者權益保護法》等法律法規中有所體現，而且也被法院判例所確認。其次，屬于雙方合同范圍內的信息屬于可發送范圍。合約條款的約定代表了企業獲得了用戶的同意，同意企業使用其個人信息向其發送合同約定范圍內的信息。因此，供電企業應當通過合同形式獲得用戶對直接使用用戶信息的同意，在與用戶的相關合同中約定，供電企業可以使用用戶留存的聯系方式發送服務質量評價、催收電費、停電通知等非商業類信息，以免除后續可能發生的侵權責任。

二次加工。在二次加工中，取得用戶同意仍然是普遍適用的合法性依據。加工前應告知用戶加工的方法、手段、目的、范圍、加工主體，獲得用戶同意后嚴格按照告知進行二次加工；在加工階段應保證用戶信息不被泄露，且保證信息本身的完整、可用、最新；同時還應保障用戶修改、查詢其個人信息的權利。

用戶信息共享、對外披露禁止

根據現有法律法規，用戶信息共享無論出于何種目的，亦無論是個人用戶信息，還是企業用戶信息，供電企業未經用戶同意向特定第三方共享用戶信息都是被禁止的。此外，目前法律法規等規范性文件中并未賦予民事主體公開個人信息、商業秘密的權利，且在對個人信息、商業秘密嚴格保護的背景下，即便是公權力機關無法律規定的特殊情況亦不可公開個人信息，或是商業秘密。

供電企業用戶信息管理措施

完善供用電合同

目前供電企業主要采用簽訂供用電合同的方式獲取、收集用戶信息。但該約定較為簡單，尚不能滿足企業正常運營的需求，因此須完善相關條款，或另行簽訂協議來獲得用戶的書面授權或同意。（1）明確告知用戶在服務過程中信息的收集和使用范圍、信息保護措施等，且后續有使用相關信息的可能性。（2）在協議的醒目位置明確提示該授權或同意的可能后果，并在客戶簽署協議時提醒其注意上述提示。（3）給予用戶修訂或刪除相關信息的權利，并明確修訂或刪除途徑。

規范信息收集和使用

雖然用戶同意是供電企業收集、使用用戶信息的合法性前提，但同意并不是充分條件，收集、使用用戶信息還應遵循必要性原則、遵守一些特殊規定，同時應保證同意的有效性。（1）必要性原則，供電企業在收集、使用用戶信息時應以最少夠用為標準，只收集能夠達到已告知目的的最少信息，只處理與處理目的有關的最少信息。（2）特殊主體特殊規定，主要針對未成年人、精神病患者等無民事行為能力或限制民事行為能力者，供電企業應當針對特殊用戶制定有針對性的信息收集、使用程序。（3）確保同意的有效性。供電企業在擬定相關合同條款時，應注意平衡供用電雙方之間的權利、義務，關注合同無效、可撤銷的情形，確保同意條款的有效性，為后續用戶信息的收集、使用工作開展打下合法性基礎。

加強對用戶信息安全的保障

防范用戶信息泄露最重要的是需要供電企業加強自身內部管理，建立用戶信息安全保障機制，強化信息系統安全防護水平，提升員工信息安全保密意識，加強供應商保密管理，確保收集、使用用戶信息依法合規。

建立用戶信息安全保障機制。梳理用戶信息泄露高發環節，健全用戶信息收集使用審批制度、用戶信息保護檢查等；建立客戶檔案等級管理，制定滿足不同信息安全保密等級用戶信息安全管理辦法；完善用戶信息披露、共享審查制度，用戶信息泄露調查、約談制度，嚴格責任追究，確保用戶信息安全。

完善信息安全技術防范措施。主要是加強相關軟硬件設施，定期維護、升級、檢查辦公、數據等信息系統和營銷終端設備，以保障企業安全防護系統的穩定性、安全性、可靠性，確保用戶信息在收集、傳輸、加工、保存、使用等環節中不被泄露。

加強員工管理與培訓。一方面制定相應人員管理制度，規范從業人員收集、使用用戶信息的行為，并設置相應的懲戒措施；另一方面加強員工培訓，宣貫相關法律、制度，簽訂保密承諾書，提升員工用戶信息保密意識，促進員工養成保密在心，依規辦事良好習慣。

重視供應商保密管理。將用戶信息保護能力納入供應商考核指標，完善與供應商服務合同，增加保密義務條款和違約責任，增加供應商泄露用戶信息成本。加強供應商工作人員管理，固定項目外包人員，明確工作范圍，減少接觸用戶信息及相關數據機會，確保用戶信息可控在控。