消费者个人信息保护法律规定及风险分析
一、法律、行政法规和地方性法规的规定
《消费者权益保护法》
第十四条消费者在购买、使用商品和接受服务时，享有人格尊严、民族风俗习惯得到尊重的权利，享有个人信息依法得到保护的权利。

国务院法制办公室《中华人民共和国消费者权益保护法实施条例（送审稿）》第二十二条经营者收集、使用消费者个人信息应当遵循合法、必要、正当的原则，明示收集、使用信息的目的、方式和范围并征得消费者同意，经营者不得收集与经营业务无关的信息或者采取不正当方式收集信息。

消费者明确要求经营者删除、修改其个人信息的，除法律法规另有规定外，经营者应当按照消费者的要求予以删除、修改。

经营者应当建立健全信息保密和管理制度，确保消费者个人信息安全。

经营者及其工作人员不得泄露其收集的消费者个人信息;未经消费者同意，不得向他人提供消费者个人信息。

但是，经过处理无法识别特定消费者且不能复原的除外。

在发生或者可能发生信息泄露、丢失的情况时，经营者应当采取补救措施，及时通知消费者。

经营者已履行明示义务并征得消费者同意的证明资料应当留存至少三年。

消费者个人信息是指经营者在提供商品或者服务活动中收集的消费者姓名、性别、职业、出生日期、身份证件号码、住址、联系方式、收入和财产状况、健康状况、消费情况、生物识别特征等能够单独或者与其他信息结合识别消费者的信息。

第二十三条未经消费者明确同意或者请求，经营者不得向消费者的固定电话、移动电话等通讯设备，电脑等电子终端或者电子邮箱、网络硬盘等电子信息空间发送商业性电子信息或者拨打商业性推销电话。

消费者同意经营者向其发送商业性电子信息或者拨打商业性推销电话的，除双方另有约定以外，不得要求消费者承担费用。

《江苏省消费者权益保护条例》2017年7月1日施行。

第十六条经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式、范围和具体规则，并征得消费者同意。

但法律、法规要求登记消费者信息的除外。

消费者明确要求经营者删除、修改其个人信息的，经营者应当予以删除、修改。

本条例所称个人信息，包括消费者的姓名、性别、出生日期、身份证号码、职业、学历、住址、联系方式、婚姻状况、收入和财产状况、指纹、血型、病史等能够单独或者与其他信息结合识别消费者的信息。

第十七条经营者应当建立健全消费者个人信息保密和管理制度，制订信息安全事件应急预案，确保信息安全。

在发生或者可能发生信息泄露、丢失时，应当立即采取补救措施，及时通知消费者，避免造成损失或者损失的扩大。

经营者及其工作人员对收集的消费者个人信息应当严格保密，不得泄露、出售或者非法向他人提供。

第十八条未经消费者同意、请求，或者消费者明确表示拒绝的，经营者不得向其发送商业性信息或者拨打商业性推销电话。

消费者同意经营者向其发送商业性信息的，除双方另有约定外，不得增加消费者的费用。

第六十二条经营者有下列情形之一的，法律、法规对处罚机关和处罚方式已有规定的，从其规定；法律、法规未作规定的，由工商行政管理部门或者其他有关行政部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款；没有违法所得的，处以五万元以上五十万元以下的罚款：（一）违反第十六条规定，未经消费者同意违法收集、使用消费者个人信息，或者收集消费者与消费无关的个人信息的；
（二）违反第十七条规定，未建立健全消费者个人信息保密和管理制度致使消费者个人信息泄露、丢失，或者出售、非法向他人提供消费者个人信息的；
《中华人民共和国刑法》
第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释（2017年5月8日）
第五条非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：
（一）出售或者提供行踪轨迹信息，被他人用于犯罪的；
（二）知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；
（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；
（四）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；
（五）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；
（六）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；
（七）违法所得五千元以上的；
（八）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；
（九）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；
（十）其他情节严重的情形。

二、我公司目前有关消费者信息保护工作中的风险点
1、依据《消法实施条例》和《江苏省消法条例》保密和管理制度尚未建立，信息安全事件应急预案未建立。

2、产品销售过程中大量收集了消费者受法律保护的个人信息。

这些信息在收集、储存、使用过程中仅靠工作人员的个人职业道德来保护。

3、产品售后管理中，未经消费者同意，不可避免的会将个人信息提供给售后服务第三方，仅依靠合同约定保密义务。

三、处理建议：
1、建立《信息安全应急预案》可专门制定，也可合并在其他应急预案制度中，以在法律要求范围内尽责从而可能维护公司合法权益。

2、收集产品信息的过程中，尽量事先格式条款告知消费者同意在
售后服务范围内将个人信息提供给第三方服务机构以提供服务为目的合法使用。

相关接触个人信息的工作人员要进行法律宣导并确认。

3、在确保以上两条做到的前提下，与第三方在合同条款上约定消费者个人信息保护条款，严禁非法转提供或出售，如违约将追究违约责任。

4、技术处理：经处理后应达到无法识别特定消费者且不能复原的效果。

法务组：
2019年3月11日。