近日,上海市人民檢察院等三部門聯合發布6件涉在校生電信網絡詐騙及“兩卡”犯罪典型案例,其中“周某、施某幫助信息網絡犯罪活動案”引人關注。據判決書(2021)滬0112刑初1165號,某營業廳工作人員周某和施某,利用校園營業點的工作便利,在學生申請售卡后,私自替學生辦理校園寬帶賬號500余個,并非法售賣學生寬帶賬號牟利。近年來,高校學生辦理手機卡業務時被非法獲取、盜用個人信息的情況時有發生。本文以“校園電信售卡”活動為例,結合2021年11月1日起將施行的《中華人民共和國個人信息保護法》,談談校園電信售卡業務中存在侵害個人信息行為的成因、類型及其對策。
校園電信業務中侵害個人信息權的成因及類型
校園手機卡業務辦理基數大、時間集中。總體來看,校園電信售卡業務中容易發生侵害個人信息權益的原因主要有三點:一是大學新生社會經驗不足,缺乏個人信息保護意識,容易在商家誘導甚至欺騙下辦理手機卡并簽訂高額月租套餐合同,或被不法商家套取個人信息后非法辦卡。二是電信營業廳在校園內從事電信業務經營活動,本質上不屬于學校內部管理范疇,校園管理無法有效監管電信經營者的經營活動。三是電信經營者內部監管不足。校園開學季,電信經營者人手不足,為了搶占消費市場,往往招聘在校學生或其他社會人員進行電話卡兼職推廣銷售,容易出現侵害用戶個人信息的行為。
依據《電話用戶真實身份信息登記規定》,手機售卡業務需進行實名登記。手機號碼實名登記需采用身份證拍照、人臉識別等方式收集個人信息。該活動過程中,可能存在侵害學生個人信息權益的情形,有以下幾種:
侵害學生個人信息知情同意權。依據個人信息保護法第十三條、第四十四條的規定,個人對其個人信息擁有知情權、決定權,個人信息處理者應取得個人同意才能收集個人信息,且收集的個人信息只能適用于特定目的。電信售卡業務中,一些電信售卡銷售人員,通過虛假宣傳方式,在未經學生同意前提下騙取其個人信息,非法進行實名登記,侵害學生個人信息知情同意權。
違背個人信息處理最小侵害原則。個人信息保護法第六條規定:“處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。”手機號碼實名登記制度僅需收集個人基本身份信息即可,但在校園電信售卡業務中,有的還收集學生學號信息、班級信息等。
個人信息處理缺失事前告知程序。個人信息保護法第十七條列舉了四類處理個人信息前應當告知個人的事項,包括:“(一)個人信息處理者的名稱或者姓名和聯系方式;(二)個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;(三)個人行使本法規定權利的方式和程序;(四)法律、行政法規規定應當告知的其他事項。”在校園電信售卡業務中,有的銷售人員為了短時間獲得大量銷售業績,違反個人信息處理的正當法律程序要求。
個人信息處理者未盡委托處理行為的監管義務。個人信息保護法第二十一條、第五十五條等規定了個人信息處理者對委托處理行為的要求,明確個人信息處理者對受托人的個人信息處理活動進行監督,對處理個人信息行為負責。實踐中,有的電信運營商為了降低經營成本實現利益最大化,并未對校園電信售卡兼職人員進行有效監督和培訓,從而增加了學生個人信息泄露的風險。
校園電信售卡業務中個人信息保護的策略
個人信息保護法規定了個人信息處理的基本原則、規則,明確了個人在個人信息處理活動中享有的權利以及個人信息處理者承擔的義務。保護校園電信售卡業務過程中學生的個人信息,需要學生、學校、電信經營者共同發力。
對學生而言,校園辦理電信卡時,應加強個人信息保護意識,選擇在營業廳等正規場所辦理,提供個人信息前,應主動了解個人信息處理者的身份信息及其聯絡方式,詢問個人信息處理的目的、方式及其保存期限等,妥善保存業務辦理的賬號密碼,及時查詢個人月租套餐情況,防止電信業務被他人非法辦理使用。遇到個人信息泄露情況時,可選擇登錄工信部官網“電信申訴”板塊進行申訴。
對學校而言,應加強對校內人員的管理,防止校外人員進入學校收集學生個人信息。開學季,學校應加強對電信辦卡活動的監管,禁止進入學生宿舍園區從事電信售卡活動,規范校園電信辦卡業務。此外,學校可通過宣傳欄、廣播等方式加強對個人信息保護的宣傳,提醒學生保護個人信息安全,警惕電信詐騙。
對電信經營者而言,在校園內從事電信辦卡業務,應加強對工作人員合法開展個人信息處理行為的培訓,增強個人信息處理者的法律意識。電信經營者在委托兼職銷售人員辦理售卡業務時,不得以兼職售卡人員不屬于企業人員為由規避個人信息處理義務,應加強對兼職售卡人員進行業務培訓,監督其處理個人信息行為,加強內部管理監督,避免用戶個人信息被非法利用。
(作者單位:東南大學法學院)