供电企业收集与处理用户信息的合法性研究

■国网杭州市萧山区供电公司 钟晓红 瞿宁宁 杨 健

浙江大有实业有限公司电力承装分公司 张楚楚

在数字经济时代，用户信息的保护受到各级政府部门及社会公众的重视，随着相关法律法规的完善，监管部门监管力度不断加大，用户信息收集、处理不当，将会受到相应处罚，甚至承担刑事责任，给企业造成负面影响。而供电企业在运营过程中不可避免收集、处理用户的相关信息，必须规范流程、严谨处置、正确对待。

供电企业获取用户信息的分类及属性

供电企业在日常经营中一般通过3个渠道获取用户信息：（1）用户开户时提交的用户姓名（名称）、住址（所在地）、身份证号（企业代码）、银行账号等开户信息；（2）通过电表采集到的用电量数据等数据信息；（3）通过“网上国网”等App获取到的用电相关信息。这些信息根据对象不同可以分为个人用户信息和企业用户信息2种类型。

个人用户信息

我国相关法律对用户信息的获取及使用的限制不是绝对的，而是在平衡信息保护与数据使用开发基础上有选择性地保护。

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。可以看出个人信息的认定是以“识别性”为准则的，并能与“特定自然人”相关联的。因此个人用户信息能够单独或结合其他信息以识别出该特定用户的身份或活动，如个人开户信息及App可获取的各项信息都属于个人信息，采集数据若能结合其他信息可以识别到特定自然人，亦为个人信息。该类信息的使用、处理受到法律法规的严格限制。

企业类用户信息

对于企业类用户信息，集中体现在商业秘密上。所谓商业秘密，是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。也就是说若某一企业类用户信息符合非公开性、价值性并经权利人采取保密措施的要件，即为商业秘密，受相关法律法规保护，收集、处理受限。

而企业类用户信息中开户信息一般具有公开性或因不具有价值性而不属于商业秘密。

供电企业处理用户信息权利边界

供电企业处理用户信息具体可以分为收集、使用、与特定第三方共享以及对公众披露4种情形。

用户信息收集的合法性前提

供电企业与用户作为平等的民事主体，用户同意是电力企业收集用户信息的首要前提。

个人类信息收集。我国法律法规要求信息收集主体在收集个人信息时，应取得信息主体的同意，并明确告知收集的目的、方式和范围，因此同意是收集个人信息时普遍适用的合法性依据。值得注意的是我国《个人信息保护法》第13条规定了诸如个人签订合同、履行法定义务、应对突发公共突发事件等5种例外情形。此外，某些特殊情形下公权力机关依据职权收集也无需个人同意。

企业类信息收集。对于企业类信息，规定不得以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密，故供电企业在收集含有商业秘密的企业类信息前，应获得企业用户的同意，否则会侵犯他人商业秘密。

用户信息使用的限制

一般来说，对用户信息的使用根据使用形式的不同可以划分为：直接使用，即直接使用用户预留的通讯方式向其发送通知、广告等信息；二次加工使用，例如录入、存储、修改、标注、比对、挖掘、屏蔽等。

直接使用。根据相关法律规定及司法实践案例，直接使用用户信息应以用户同意为前提，而且对于直接使用用户信息的限制因信息类型的不同而有所差异。首先，向用户发送商业类信息是绝对禁止的，这不仅在《消费者权益保护法》等法律法规中有所体现，而且也被法院判例所确认。其次，属于双方合同范围内的信息属于可发送范围。合约条款的约定代表了企业获得了用户的同意，同意企业使用其个人信息向其发送合同约定范围内的信息。因此，供电企业应当通过合同形式获得用户对直接使用用户信息的同意，在与用户的相关合同中约定，供电企业可以使用用户留存的联系方式发送服务质量评价、催收电费、停电通知等非商业类信息，以免除后续可能发生的侵权责任。

二次加工。在二次加工中，取得用户同意仍然是普遍适用的合法性依据。加工前应告知用户加工的方法、手段、目的、范围、加工主体，获得用户同意后严格按照告知进行二次加工；在加工阶段应保证用户信息不被泄露，且保证信息本身的完整、可用、最新；同时还应保障用户修改、查询其个人信息的权利。

用户信息共享、对外披露禁止

根据现有法律法规，用户信息共享无论出于何种目的，亦无论是个人用户信息，还是企业用户信息，供电企业未经用户同意向特定第三方共享用户信息都是被禁止的。此外，目前法律法规等规范性文件中并未赋予民事主体公开个人信息、商业秘密的权利，且在对个人信息、商业秘密严格保护的背景下，即便是公权力机关无法律规定的特殊情况亦不可公开个人信息，或是商业秘密。

供电企业用户信息管理措施

完善供用电合同

目前供电企业主要采用签订供用电合同的方式获取、收集用户信息。但该约定较为简单，尚不能满足企业正常运营的需求，因此须完善相关条款，或另行签订协议来获得用户的书面授权或同意。（1）明确告知用户在服务过程中信息的收集和使用范围、信息保护措施等，且后续有使用相关信息的可能性。（2）在协议的醒目位置明确提示该授权或同意的可能后果，并在客户签署协议时提醒其注意上述提示。（3）给予用户修订或删除相关信息的权利，并明确修订或删除途径。

规范信息收集和使用

虽然用户同意是供电企业收集、使用用户信息的合法性前提，但同意并不是充分条件，收集、使用用户信息还应遵循必要性原则、遵守一些特殊规定，同时应保证同意的有效性。（1）必要性原则，供电企业在收集、使用用户信息时应以最少够用为标准，只收集能够达到已告知目的的最少信息，只处理与处理目的有关的最少信息。（2）特殊主体特殊规定，主要针对未成年人、精神病患者等无民事行为能力或限制民事行为能力者，供电企业应当针对特殊用户制定有针对性的信息收集、使用程序。（3）确保同意的有效性。供电企业在拟定相关合同条款时，应注意平衡供用电双方之间的权利、义务，关注合同无效、可撤销的情形，确保同意条款的有效性，为后续用户信息的收集、使用工作开展打下合法性基础。

加强对用户信息安全的保障

防范用户信息泄露最重要的是需要供电企业加强自身内部管理，建立用户信息安全保障机制，强化信息系统安全防护水平，提升员工信息安全保密意识，加强供应商保密管理，确保收集、使用用户信息依法合规。

建立用户信息安全保障机制。梳理用户信息泄露高发环节，健全用户信息收集使用审批制度、用户信息保护检查等；建立客户档案等级管理，制定满足不同信息安全保密等级用户信息安全管理办法；完善用户信息披露、共享审查制度，用户信息泄露调查、约谈制度，严格责任追究，确保用户信息安全。

完善信息安全技术防范措施。主要是加强相关软硬件设施，定期维护、升级、检查办公、数据等信息系统和营销终端设备，以保障企业安全防护系统的稳定性、安全性、可靠性，确保用户信息在收集、传输、加工、保存、使用等环节中不被泄露。

加强员工管理与培训。一方面制定相应人员管理制度，规范从业人员收集、使用用户信息的行为，并设置相应的惩戒措施；另一方面加强员工培训，宣贯相关法律、制度，签订保密承诺书，提升员工用户信息保密意识，促进员工养成保密在心，依规办事良好习惯。

重视供应商保密管理。将用户信息保护能力纳入供应商考核指标，完善与供应商服务合同，增加保密义务条款和违约责任，增加供应商泄露用户信息成本。加强供应商工作人员管理，固定项目外包人员，明确工作范围，减少接触用户信息及相关数据机会，确保用户信息可控在控。