杭州互聯(lián)網(wǎng)法院發(fā)布個人信息保護(hù)十大典型案例
信息技術(shù)和數(shù)字經(jīng)濟(jì)的飛速發(fā)展,對個人信息司法保護(hù)提出新的要求和挑戰(zhàn)。人民法院如何貫徹“以人民為中心”的根本立場,切實(shí)將人民群眾網(wǎng)絡(luò)空間合法權(quán)益維護(hù)好、保障好、發(fā)展好,助力數(shù)字經(jīng)濟(jì)真正行穩(wěn)致遠(yuǎn)?杭州互聯(lián)網(wǎng)法院聚焦個人信息保護(hù)領(lǐng)域的突出問題和人民群眾的重大關(guān)切,在成立五周年之際,特別發(fā)布“個人信息保護(hù)十大典型案例”。
案例一:民法典實(shí)施后全國首例個人信息保護(hù)民事公益訴訟案——杭州市上城區(qū)人民檢察院訴孫某非法買賣個人信息民事公益訴訟案
【入選理由】
隨著信息技術(shù)的高速發(fā)展,社會生活已高度數(shù)字化,個人信息被大規(guī)模、自動化地收集和存儲的情形幾乎無處不在、無時不在。與此同時,大數(shù)據(jù)與人工智能技術(shù)的發(fā)展使得對海量數(shù)據(jù)的分析與使用變得異常簡單,自然人個人信息被濫用甚至侵害的可能性也大幅上升。圍繞個人信息的非法獲取、非法出售、非法提供、非法利用,儼然已形成了一條完整的非法產(chǎn)業(yè)鏈。其中,侵犯個人信息的違法犯罪居于上游,而中游、下游滋生出如電信詐騙、金融詐騙、敲詐勒索等犯罪行為,以及信息騷擾、網(wǎng)絡(luò)暴力等社會現(xiàn)象成為不容忽視的社會問題。隨著個人信息保護(hù)正式寫入民法典,個人信息保護(hù)開啟了新篇章。個人信息保護(hù)不僅涉及自然人個人的權(quán)益保障,同時也具有社會公共利益的屬性,在各行各業(yè)對個人信息依賴程度逐漸加深的背景下,個人信息的保護(hù)力度必須提升。本案系全國首例適用民法典的個人信息保護(hù)民事公益訴訟案,體現(xiàn)了法律對涉及社會公共利益的社會不特定民事主體個人信息的保護(hù)和重視,也體現(xiàn)了司法對不特定自然人個人信息保護(hù)路徑的積極探索和有益創(chuàng)新。
本案入選最高人民法院《民法典頒布后人格權(quán)司法保護(hù)典型民事案例》。
【案例索引】
一審:杭州互聯(lián)網(wǎng)法院(2020)浙0192民初10605號
【案情介紹】
2019年2月起,被告孫某以34000元的價格,將自己從網(wǎng)絡(luò)購買、互換得到的4萬余條含姓名、電話號碼、電子郵箱等的個人信息,通過微信、QQ等方式販賣給案外人劉某。案外人劉某在獲取相關(guān)信息后用于虛假的外匯業(yè)務(wù)推廣。公益訴訟起訴人認(rèn)為,被告孫某未經(jīng)他人許可,在互聯(lián)網(wǎng)上公然非法買賣、提供個人信息,造成4萬余條個人信息被非法買賣、使用,嚴(yán)重侵害社會眾多不特定主體的個人信息權(quán)益,致使社會公共利益受到侵害,據(jù)此提起民事公益訴訟。
【裁判內(nèi)容】
杭州互聯(lián)網(wǎng)法院經(jīng)審理認(rèn)為,民法典第一百一十一條規(guī)定,任何組織或者個人需要獲取他人個人信息的,應(yīng)當(dāng)依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。被告孫某在未取得眾多不特定自然人同意的情況下,非法獲取不特定主體個人信息,又非法出售牟利,侵害了承載在不特定社會主體個人信息之上的公共信息安全利益。遂判決孫某按照侵權(quán)行為所獲利益支付公共利益損害賠償款34000元,并向社會公眾賠禮道歉。判決后,當(dāng)事人均服從法院判決未提起上訴,判決已生效。
【裁判要旨】
《中華人民共和國民法典》第一千零三十四條規(guī)定,自然人的個人信息受法律保護(hù)。個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。該法第一百一十一條規(guī)定,任何組織或者個人需要獲取他人個人信息的,應(yīng)當(dāng)依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。本案中,孫某在未取得相關(guān)主體同意的情況下,非法獲取含有自然人姓名、電話號碼、電子郵箱的個人信息,并以牟利為目的將獲取的4萬余條個人信息進(jìn)行非法出售。孫某的行為屬于非法收集、買賣個人信息的大規(guī)模侵權(quán)行為,侵害了承載在不特定社會主體個人信息之上的公共信息安全這一公共利益,構(gòu)成對公共信息安全領(lǐng)域的社會公共利益侵害。
案例二:兒童個人信息的司法保護(hù)——杭州市余杭區(qū)人民檢察院訴某短視頻平臺未成年人保護(hù)民事公益訴訟案
【入選理由】
本案系全國首例兒童個人信息、網(wǎng)絡(luò)安全保護(hù)民事公益訴訟。案件涉及對大型移動互聯(lián)網(wǎng)(APP)平臺處理兒童用戶個人信息,是否侵害兒童用戶主體權(quán)益,以及平臺是否盡到對兒童用戶網(wǎng)絡(luò)安全保障義務(wù)的司法認(rèn)定,屬于社會關(guān)注度高且新型、疑難復(fù)雜的案件。新修訂的未成年人保護(hù)法增設(shè)未成人網(wǎng)絡(luò)保護(hù)專章,對互聯(lián)網(wǎng)企業(yè)如何合法、合規(guī)處理兒童個人信息做出了原則性規(guī)定,但目前在司法實(shí)踐中案件量極少,司法機(jī)關(guān)對此類案件審理還處于起步探索階段。本案從平臺對兒童用戶的識別責(zé)任,平臺如何獲得監(jiān)護(hù)人有效明示同意,平臺能否對兒童用戶基于畫像進(jìn)行個性化推薦,平臺能否對兒童用戶進(jìn)行自動化決策,以及平臺如何對兒童隱私信息進(jìn)行主動安全保護(hù)等多個維度,全方位對大型互聯(lián)網(wǎng)平臺保護(hù)未成年人個人信息權(quán)益做出典范。
本案入選 “第十三屆全國人民代表大會最高人民法院工作報告”“最高人民檢察院第三十五批指導(dǎo)性案例”“最高人民檢察院個人信息保護(hù)典型案例”“浙江法院個人信息保護(hù)典型案例”等。
【案例索引】
一審:杭州互聯(lián)網(wǎng)法院(2020)浙0192民初10993號
【案情介紹】
公益訴訟起訴人在辦理徐某某猥褻兒童刑事案件時發(fā)現(xiàn),某科技公司運(yùn)營的某短視頻App存在侵害眾多不特定兒童個人信息的侵權(quán)行為,具體包括:1.未以顯著、清晰的方式告知并征得兒童監(jiān)護(hù)人有效明示同意的情況下,允許注冊兒童賬戶,并收集、存儲兒童網(wǎng)絡(luò)賬號、位置、聯(lián)系方式,以及兒童面部識別特征、聲音識別特征等個人敏感信息;2.在未再次征得兒童監(jiān)護(hù)人有效明示同意的情況下,運(yùn)用后臺算法,向具有瀏覽兒童內(nèi)容視頻喜好的用戶直接推送含有兒童個人信息的短視頻;3.某短視頻App未對兒童用戶采取區(qū)分管理措施,默認(rèn)用戶點(diǎn)擊“關(guān)注”后即可與兒童賬戶私信聯(lián)系,并能獲取其地理位置、面部特征等個人信息。公益訴訟起訴人認(rèn)為,某科技公司前述行為侵害了社會公共利益,遂提起民事公益訴訟。在法院調(diào)解下,公益訴訟起訴人與被告某科技公司達(dá)成調(diào)解協(xié)議,某科技公司對調(diào)解事項(xiàng)已經(jīng)履行完畢。
【裁判內(nèi)容】
杭州互聯(lián)網(wǎng)法院于2021年3月11日作出(2020)浙0192民初10993號民事調(diào)解書:1.被告某科技公司停止對兒童個人信息的侵權(quán)行為,按照《中華人民共和國民法典》、《中華人民共和國未成年人保護(hù)法》(2021年6月1日施行)、《中華人民共和國網(wǎng)絡(luò)安全法》、《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》等法律法規(guī)對兒童個人信息保護(hù)的要求,對某短視頻APP網(wǎng)絡(luò)平臺進(jìn)行整改。針對案涉問題,被告某科技公司承諾,按雙方確認(rèn)的合規(guī)整改方案、時間推進(jìn)表(具體內(nèi)容以附件為準(zhǔn)),落實(shí)、執(zhí)行;2.被告某科技公司完成整改后,應(yīng)對整改完成情況及效果進(jìn)行評估,并向公益訴訟起訴人、人民法院出具詳細(xì)的整改完成情況報告書;3.被告某科技公司應(yīng)根據(jù)相關(guān)監(jiān)管法規(guī)要求,將整改措施方案及整改完成情況報告書報送網(wǎng)信部門,自覺接受合規(guī)審查;4.被告某科技公司就涉案侵權(quán)行為,在《法治日報》及某短視頻App官方帳號首頁顯著位置公開賠禮道歉;5.被告某公司承諾在今后的運(yùn)營過程中嚴(yán)格遵守兒童個人信息保護(hù)的法律、法規(guī),并自覺接受網(wǎng)信等行政監(jiān)管部門的監(jiān)督檢查;6.被告某公司于調(diào)解協(xié)議生效后七個工作日內(nèi),賠償因侵權(quán)行為造成的社會公共利益損失人民幣150萬元,款項(xiàng)交相關(guān)兒童公益保護(hù)組織,專門用于兒童個人信息安全保護(hù)等公益事項(xiàng)。
【裁判要旨】
1. 面向兒童用戶提供網(wǎng)絡(luò)服務(wù)的互聯(lián)網(wǎng)平臺(信息處理者)在缺乏單獨(dú)《兒童個人信息/隱私保護(hù)政策》和《兒童個人用戶協(xié)議》,未采取合理措施通知監(jiān)護(hù)人并征得監(jiān)護(hù)人有效明示同意的情況下,處理兒童用戶地理定位、聯(lián)系方式、面部、肢體、聲音等個人信息的,應(yīng)認(rèn)定為違法處理用戶個人信息。
2. 兒童個人信息屬敏感個人信息,信息處理者未對兒童個人信息建立專門保護(hù)池,采取加密存儲措施,應(yīng)認(rèn)定為違規(guī)存儲兒童個人信息。
3. 信息處理者在未獲得兒童監(jiān)護(hù)人單獨(dú)授權(quán)同意的情況下,基于算法的自動化決策將含有兒童用戶個人信息的短視頻向其他用戶進(jìn)行推送,應(yīng)認(rèn)定為違法處理兒童個人信息。
4. 信息處理者對兒童用戶進(jìn)行畫像,未獲監(jiān)護(hù)人同意默認(rèn)開啟個性化推薦,運(yùn)用算法進(jìn)行內(nèi)容推送,應(yīng)認(rèn)定為違法處理兒童個人信息。
5. 信息處理者在征得監(jiān)護(hù)人同意前,對兒童用戶未強(qiáng)制開啟陌生人關(guān)注限制功能、未強(qiáng)制隱藏兒童用戶位置、未強(qiáng)制開啟兒童用戶私信限制、未強(qiáng)制關(guān)閉兒童用戶通訊錄推薦、未強(qiáng)制關(guān)閉通過手機(jī)號搜索兒童用戶功能、未強(qiáng)制關(guān)閉兒童“熟人圈”功能、未強(qiáng)制關(guān)閉兒童動態(tài)展示功能、未強(qiáng)制關(guān)閉推薦兒童給可能感興趣的人、未強(qiáng)制開啟兒童作品在同城不顯示等功能,應(yīng)認(rèn)定為未履行對兒童用戶的隱私安全保護(hù)義務(wù)。
6. 信息處理者侵害平臺內(nèi)不特定兒童用戶個人信息權(quán)益,應(yīng)認(rèn)定為侵害社會不特定未成年人群體的社會公共利益。
案例三:手機(jī)APP收集、使用用戶個人信息的限度——杭州市余杭區(qū)人民檢察院訴某網(wǎng)絡(luò)科技有限公司個人信息民事公益訴訟案
【入選理由】
大數(shù)據(jù)時代的來臨為公民生活帶來極大便利,同時,個人信息被惡意非法泄露的現(xiàn)象也普遍存在。尤其在消費(fèi)領(lǐng)域,消費(fèi)者個人信息經(jīng)常被網(wǎng)絡(luò)信息服務(wù)提供商大規(guī)模的違法收集、使用,嚴(yán)重侵?jǐn)_公民個人生活安寧,破壞社會秩序,加強(qiáng)消費(fèi)者個人信息保護(hù)具有迫切性和重要性。本案體現(xiàn)出在侵犯眾多消費(fèi)者個人信息行為損害社會公共利益的情況下,檢察機(jī)關(guān)在消費(fèi)領(lǐng)域提起個人信息保護(hù)民事公益訴訟具有可行性與必要性。同時,本案針對移動互聯(lián)網(wǎng)應(yīng)用程序(App)未按要求公布隱私政策或隱私政策不規(guī)范、強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個人信息等行為進(jìn)行審查,明確上述行為邊界和違法性范圍。
本案入選 “最高人民檢察院檢察機(jī)關(guān)個人信息保護(hù)公益訴訟典型案例”“浙江法院個人信息保護(hù)典型案例”。
【案例索引】
一審:杭州互聯(lián)網(wǎng)法院(2020)浙0192民初4252號
【案情介紹】
案涉APP是被告某網(wǎng)絡(luò)科技有限公司開發(fā)、運(yùn)營的一款音樂視頻教學(xué)類手機(jī)應(yīng)用程序,主要功能為在線音樂教育,通過直播教學(xué),提供熱門樂器線上教學(xué)視頻。該APP應(yīng)用程序在安裝、使用過程中存在以下涉及用戶個人信息的違法、違規(guī)現(xiàn)象:1.該APP在下載安裝及使用過程中未顯示隱私政策條款,未通過彈窗等明顯方式提示用戶閱讀隱私政策等個人信息收集使用規(guī)則,且沒有具體隱私政策的內(nèi)容;2.該APP因用戶不同意收集非必要個人信息或打開非必要權(quán)限,而拒絕提供業(yè)務(wù)功能;3.該APP在申請打開可收集用戶行蹤軌跡等個人敏感信息時,未同步告知用戶其目的、方式和范圍。
【裁判內(nèi)容】
在審理過程中,經(jīng)法院組織調(diào)解,雙方當(dāng)事人達(dá)成調(diào)解協(xié)議:1.被告立即停止實(shí)施侵害案涉App用戶個人信息的違法、違規(guī)行為,按照《中華人民共和國網(wǎng)絡(luò)安全法》、《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》(國信辦秘字〔2019〕191號)、《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273-2017)等法律、規(guī)范性文件對APP用戶個人信息保護(hù)的要求,于2020年9月9日前對該App進(jìn)行全面整改,即該App存在的未公開收集使用規(guī)則、未明示收集使用個人信息的目的、方式和范圍、未經(jīng)用戶同意收集使用個人信息、違反必要原則收集與其提供的服務(wù)無關(guān)的個人信息、未按法律規(guī)定提供刪除或更正個人信息功能等違法違規(guī)收集個人信息的行為;2.被告于2020年9月9日完成前述第一項(xiàng)承諾的整改內(nèi)容,并由轄區(qū)內(nèi)行政監(jiān)管部門認(rèn)可的第三方檢測機(jī)構(gòu)對整改情況進(jìn)行全面的APP個人信息收集合規(guī)檢測,若第三方檢測機(jī)構(gòu)提供的檢測報告顯示該App仍存在有違法違規(guī)收集用戶個人信息的行為,被告立即對該App做全面下架整改直至檢測通過;3.被告立即刪除違法違規(guī)收集、儲存的全部用戶個人信息,包括用戶精確定位信息(經(jīng)緯度信息)、手機(jī)設(shè)備號信息(IMEI)幾十萬余條等,相關(guān)信息刪除情況由轄區(qū)內(nèi)行政監(jiān)管部門認(rèn)可的第三方檢測機(jī)構(gòu)在檢測報告中予以查詢、確認(rèn);4.被告就侵害案涉App用戶個人信息的行為,在法治日報及該App首頁向社會公眾做公開賠禮道歉(賠禮道歉的內(nèi)容需經(jīng)公益訴訟起訴人、人民法院審核通過,案涉App首頁的致歉信持續(xù)置頂時間不少于7個工作日);5.被告承諾在今后的運(yùn)營過程中嚴(yán)格遵守個人信息保護(hù)的法律、法規(guī),不再有違法違規(guī)收集使用個人信息行為,并自覺接受轄區(qū)內(nèi)行政監(jiān)管部門的監(jiān)督檢查;6.若被告未按前述協(xié)議約定的內(nèi)容履行,存在違反本協(xié)議約定的行為,其相關(guān)違法、違規(guī)收集用戶個人信息行為一經(jīng)行政主管部門或司法機(jī)關(guān)確認(rèn),將自愿向公益訴訟起訴人杭州市余杭區(qū)人民檢察院支付50萬元違約金(該違約金全部用于全國性個人信息保護(hù)公益基金的公益支出)。
【裁判要旨】
未在顯著位置公布隱私政策,未主動提示用戶閱讀收集個人信息規(guī)則、在申請收集用戶行蹤軌跡(定位)等個人敏感信息時,未同步告知用戶其目的、在用戶拒絕授權(quán)的情況下默認(rèn)獲取部分權(quán)限、要求用戶給予“獲取手機(jī)號碼、IMEI、IMSI權(quán)限”“讀取手機(jī)中已安裝應(yīng)用列表”“通過網(wǎng)絡(luò)或者衛(wèi)星對設(shè)備定位”權(quán)限等行為分別違反“未公開收集使用規(guī)則”“未明示收集使用個人信息的目的、方式和范圍”“未經(jīng)用戶同意收集使用個人信息”“違反必要原則,收集與其提供的服務(wù)無關(guān)的個人信息”等規(guī)定,屬于違法違規(guī)處理用戶個人信息的侵害行為。
案例四:銀行處理個人征信信息是否侵害個人信息權(quán)益——王某訴某銀行股份有限公司個人信息保護(hù)糾紛案
【入選理由】
本案例圍繞個人信息保護(hù)的爭議展開,并于《個人信息保護(hù)法》施行當(dāng)日宣判,獲得了社會廣泛關(guān)注。自然人有獨(dú)立人格,有權(quán)防范他人不當(dāng)處理涉及個人的信息,以維護(hù)憲法賦予個體享有的人格自由與尊嚴(yán)。于此同時,個人信息權(quán)益作為一項(xiàng)人格權(quán)益并非絕對權(quán),需權(quán)衡個人信息上存在的個人利益、社會利益和公共利益。在對該項(xiàng)權(quán)益進(jìn)行保護(hù)時,應(yīng)在保護(hù)個人尊嚴(yán)和自由、規(guī)范個人信息處理活動的同時,促進(jìn)個人信息合法合理使用。本案中,征信信息不同于一般個人信息,其既可以防范風(fēng)險,為交易安全創(chuàng)造條件,又可以促使個體保持良好信用,以較低的交易成本獲得較多的交易機(jī)會,而缺乏良好信用記錄的個人則相反。本案通過厘清征信信息的法律屬性,明確信貸業(yè)務(wù)機(jī)構(gòu)處理征信信息行為的審查標(biāo)準(zhǔn),以及個人信息權(quán)益保護(hù)的兩項(xiàng)請求權(quán)基礎(chǔ),對逾期的不誠信行為進(jìn)行否定性評價,引導(dǎo)個人維護(hù)自身良好信用,促進(jìn)征信業(yè)健康發(fā)展,構(gòu)建誠實(shí)守信的社會信用體系,形成“誠信受益,失信懲戒”的社會環(huán)境。體現(xiàn)了個人信息保護(hù)的時代精神,對類案處理有一定的參考價值。
【案例索引】
一審:杭州互聯(lián)網(wǎng)法院(2021)浙0192民初5426號
【案情介紹】
2021年4月26日,原告王某發(fā)現(xiàn)其個人征信報告中有若干筆由被告某銀行的放款記錄,其中2021年1月13日放款45萬元。原告主張其對該放款不知情也未與該銀行簽訂過借款合同。被告某銀行單方面制作虛假電子借款合同、征信查詢授權(quán)書等,并未經(jīng)原告同意單方面查詢原告征信,上傳原告不良征信,私自收集原告人臉、聲音信息等侵犯原告?zhèn)€人信息。被告某銀行認(rèn)為雙方存在合法有效的金融借款合同關(guān)系。為了放款需要,被告在征得原告同意后查詢了原告的征信,并根據(jù)規(guī)定向征信系統(tǒng)報送了原告貸款情況,不存在侵權(quán)行為。原告貸款逾期造成自身不良征信記錄,應(yīng)自行承擔(dān)責(zé)任。
【裁判內(nèi)容】
杭州互聯(lián)網(wǎng)法院經(jīng)審理認(rèn)為,原告通過在線系統(tǒng)與被告簽訂涉案金融借款合同。根據(jù)放貸前原告與客服的面談雙錄視頻顯示,原告對涉案45萬元借款的放款銀行等信息系明知,原告主張未簽訂涉案合同的意見法院不予采信。在涉案合同簽訂過程中,被告銀行根據(jù)放款審批需要,在原告自行簽署授權(quán)書授權(quán)被告查詢的情況下查詢原告的個人征信情況,并通過在線雙錄視頻的方式核實(shí)原告的行為能力、貸款意愿真實(shí)性等內(nèi)容,符合合法、正當(dāng)、必要原則,屬于合理使用。原告逾期還款后,被告向中國人民銀行個人信用信息基礎(chǔ)數(shù)據(jù)庫報送其逾期情況符合金融機(jī)構(gòu)管理要求,亦有原告書面授權(quán),并有相應(yīng)規(guī)范依據(jù),不存在侵權(quán)行為。遂判決駁回原告訴訟請求。判決后,當(dāng)事人均服從法院判決未提起上訴,判決已生效。
【裁判要旨】
1. 放貸銀行在貸款人知情同意的情況下向中國人民銀行個人信用信息基礎(chǔ)數(shù)據(jù)庫報送貸款人不良征信信息,屬于個人信息的合理使用。
2. 放貸銀行在審核貸款過程中,通過在線雙錄視頻的方式核實(shí)原告的身份信息、貸款意愿真實(shí)性等內(nèi)容,符合合法、正當(dāng)、必要原則,屬于個人信息的合理使用。
案例五:組織搭建平臺買賣個人信息的賠償標(biāo)準(zhǔn)認(rèn)定——杭州市拱墅區(qū)人民檢察院與鄧某、肖某某未成年人保護(hù)、個人信息保護(hù)民事公益訴訟案
【入選理由】
在數(shù)字時代的背景下買賣個人信息的侵權(quán)行為顯著增多,多數(shù)公益訴訟案件仍然局限于規(guī)制個人信息買賣侵權(quán)行為。本案系首例對組織搭建平臺買賣個人信息行為的公益訴訟進(jìn)行司法審查的典型案例。本案涉及組織搭建平臺買賣個人信息共同侵權(quán)認(rèn)定及損害賠償責(zé)任確定和承擔(dān)的問題,從立法本意出發(fā),結(jié)合案件實(shí)際侵害程度與影響范圍,根據(jù)整個平臺涉及的總體交易量、銷售額來評判組織搭建平臺買賣個人信息的侵權(quán)行為損害賠償,對公民信息保護(hù)與未成年人保護(hù)具有雙重意義。
【案例索引】
一審:杭州互聯(lián)網(wǎng)法院(2021)浙0192民初9214號
【案情介紹】
2020年3月,肖某通過QQ群向群友購買發(fā)卡平臺源碼,后找人搭建平臺,并注冊發(fā)卡平臺網(wǎng)站。2020年4月,肖某因自己尚未成年,找到鄧某借用其公民身份證件注冊公司,并以注冊的公司綁定涉案平臺網(wǎng)站。2020年8月,涉案平臺網(wǎng)站對外開放注冊,涉案平臺主要用于出售未實(shí)名注冊某網(wǎng)絡(luò)平臺賬戶、公民身份號碼等個人信息交易。肖某對每筆交易訂單抽成。至案發(fā)時,肖某自述涉案平臺共有200多個賣家,累計(jì)收取抽成20000余元。根據(jù)杭州市公安局拱墅區(qū)分局網(wǎng)絡(luò)警察大隊(duì)的調(diào)查統(tǒng)計(jì),涉案平臺網(wǎng)站數(shù)據(jù)庫內(nèi)共存有去重的公民身份號碼90余萬條。根據(jù)生效刑事判決的認(rèn)定,涉案平臺交易總金額超過470000元,涉案平臺現(xiàn)已關(guān)閉。另查明,杭州市拱墅區(qū)人民法院于2021年3月以侵犯公民個人信息罪分別判處鄧某有期徒刑4年,并處罰金60000元,退出違法所得30000元,予以沒收,上繳國庫;肖某有期徒刑4年3個月,并處罰金110000元,退出違法所得100000元,予以沒收,上繳國庫。公益訴訟起訴人認(rèn)為,鄧某、肖某在互聯(lián)網(wǎng)上公然非法收集、建立網(wǎng)站非法買賣未成年人身份信息的行為違反相關(guān)規(guī)定,對承載在未成年人個人信息之上的公共信息安全造成損害,因此向法院提起公益訴訟,請求判令鄧某、肖某賠償損失300000元并在國家級媒體上公開賠禮道歉。
【裁判內(nèi)容】
杭州互聯(lián)網(wǎng)法院審理認(rèn)為:公益訴訟起訴人系就鄧某、肖某某搭建、運(yùn)營涉案平臺,非法出售并允許他人出售未成年人身份信息的行為損害未成年人公共利益提起訴訟。本案爭議焦點(diǎn)為:一、鄧某、肖某某所實(shí)施的被訴侵權(quán)行為是否侵害社會公共利益;二、鄧某、肖某某各自應(yīng)承擔(dān)何種民事責(zé)任。
關(guān)于被訴侵權(quán)行為是否侵害社會公共利益。《中華人民共和國民法總則》第一百一十一條規(guī)定:“自然人的個人信息受法律保護(hù)。任何組織和個人需要獲取他人個人信息的,應(yīng)當(dāng)依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。”《中華人民共和國網(wǎng)絡(luò)安全法》第四十四條規(guī)定:“任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。”本案中,由于被侵權(quán)人數(shù)眾多,被侵權(quán)人分布全國各地,侵害的未成年人群體的公共利益,已足以達(dá)到《中華人民共和國民事訴訟法》第五十八條第二款所規(guī)定的“眾多”的標(biāo)準(zhǔn),構(gòu)成對公共信息安全領(lǐng)域的社會公共利益侵害。
關(guān)于被訴侵權(quán)行為的實(shí)施主體認(rèn)定。根據(jù)本院業(yè)已查明的事實(shí),肖某某系利用發(fā)卡平臺源碼,找人搭建、注冊涉案平臺。后肖某某經(jīng)鄧某同意用其公民身份證件注冊了錦江區(qū)余琪范網(wǎng)絡(luò)工作室,并綁定、備案涉案平臺。此過程中,肖某某已明確告知鄧某借用其公民身份證件的目的系為了注冊公司及運(yùn)營涉案平臺,而鄧某在接受公安機(jī)關(guān)訊問及本院庭審中均自認(rèn)其知曉建立、運(yùn)營涉案平臺的目的系非法出售并允許他人出售公民個人身份信息。應(yīng)當(dāng)明確的是,包括鄧某、肖某某在內(nèi)的涉案平臺所有賣家所實(shí)施的出售未實(shí)名某網(wǎng)絡(luò)平臺賬戶、公民身份號碼等個人信息的侵權(quán)行為,均依托于涉案平臺。換言之,涉案平臺即鄧某、肖某某等人實(shí)施侵權(quán)行為的手段。故鄧某、肖某某共同實(shí)施了非法收集、買賣個人信息的侵權(quán)行為,主觀上亦具有共同意思聯(lián)絡(luò)的故意,侵害了眾多個人的信息權(quán)益和社會公共利益,該損害后果與被訴侵權(quán)行為具有直接因果關(guān)系,構(gòu)成共同侵權(quán)。
關(guān)于責(zé)任承擔(dān)的問題。由于鄧某、肖某某通過搭建、運(yùn)營涉案平臺,在未取得眾多、不特定未成年人同意的情況下,非法獲取、出售未成年人身份信息的行為,極大地傷害了上述信息涉及的未成年人的人格尊嚴(yán)和人格自由,鄧某、肖某某應(yīng)當(dāng)通過公開賠禮道歉的方式就其行為向社會公眾表達(dá)歉意。考慮到被訴侵權(quán)行為可能波及的范圍,公益訴訟起訴人請求判令鄧某、肖某某在國家級媒體上向社會公眾賠禮道歉,理由正當(dāng),應(yīng)予以支持。關(guān)于損害賠償?shù)膯栴}。本案中,鄧某、肖某某均否認(rèn)其搭建、運(yùn)營涉案平臺的行為造成他人的財產(chǎn)損害,且二人均只認(rèn)可在單獨(dú)出售個人身份信息的范圍內(nèi)承擔(dān)財產(chǎn)賠償責(zé)任。本院認(rèn)為,涉案平臺賣家均依托于涉案平臺才能夠向買家出售未成年人身份信息,而肖某某系涉案平臺的實(shí)際控制人,且從涉案平臺所有賣家的交易中抽成2.5%,顯然肖某某并非僅從其出售的個人店鋪訂單中獲利。而雖然現(xiàn)有證據(jù)不足以證明鄧某存在分享抽成的事實(shí),但搭建、運(yùn)營平臺亦系所有非法交易的基礎(chǔ),該危害性亦應(yīng)當(dāng)從整個涉案平臺出售的未成年人身份信息予以考量。由于鄧某、肖某某侵害的是眾多、不特定未成年人的利益,對社會公共利益造成的損失難以界定。但涉案平臺共計(jì)出售多達(dá)90余萬條未成年人身份信息,僅憑現(xiàn)有生效刑事判決統(tǒng)計(jì)的平臺總銷售額亦已超過470000元,公益訴訟起訴人要求鄧某、肖某某承擔(dān)300000元的損害賠償金,具有事實(shí)根據(jù)和法律依據(jù),亦符合比例原則,依法予以支持。關(guān)于鄧某要求與肖某某劃責(zé)區(qū)分出其應(yīng)獨(dú)立承擔(dān)責(zé)任的請求。本院認(rèn)為,雖然肖某某基于涉案平臺抽成在總體獲利上可能較鄧某稍多,但從侵權(quán)責(zé)任的因果關(guān)系分析,被訴侵權(quán)行為所表現(xiàn)出的社會危害性及所造成的實(shí)際損害后果,系主要表現(xiàn)在涉案平臺出售的未成年人身份信息上,故鑒于被訴侵權(quán)行為系鄧某、肖某某二人共同實(shí)施,并不存在可分性,本院對鄧某上述抗辯意見不予采納。
法院判決:一、被告鄧某、肖某某于本判決生效之日起十日內(nèi)支付侵害社會公共利益的損害賠償款人民幣300000元(此款交由公益訴訟起訴人代為保管,專門用于個人信息保護(hù)或信息安全等公益事項(xiàng));二、被告鄧某、肖某某于本判決生效之日起十日內(nèi)在國家級媒體上向社會公眾刊發(fā)賠禮道歉聲明(道歉聲明的內(nèi)容須經(jīng)本院審核),相關(guān)費(fèi)用由被告鄧某、肖某某負(fù)擔(dān)。判決后,當(dāng)事人均服從法院判決未提起上訴,判決已生效。
【裁判要旨】
搭建平臺銷售個人信息的共同侵權(quán)行為既侵害信息主體的個人信息權(quán)益,也侵害不特定多數(shù)人的權(quán)益,構(gòu)成對社會公共利益的侵害。共同侵權(quán)人之間具有共同意思聯(lián)絡(luò),且共同實(shí)施了侵權(quán)行為,故應(yīng)當(dāng)對平臺內(nèi)所有銷售個人信息的行為損害后果負(fù)賠償責(zé)任。同時,從侵權(quán)行為人對損害的原因力和過錯大小分析,共同侵權(quán)人應(yīng)當(dāng)共同承擔(dān)連帶責(zé)任。
案例六:電子公交卡場景下的個人信息權(quán)益保護(hù)與利用——黃某某訴某信用管理有限公司個人信息保護(hù)糾紛案
【入選理由】
本案主要涉及具有先享后付功能的電子公交卡場景下個人信息保護(hù)與利用。本案通過場景理論,動態(tài)的場景分析、風(fēng)險評估、利益均衡機(jī)制,著重審查開通某信用服務(wù)是否具備電子公交卡場景下個人信息處理的必要性,認(rèn)定某信用服務(wù)以最小的代價即對用戶進(jìn)行事先信譽(yù)評估的方式,彌補(bǔ)了先享后付功能的短板,為信息處理者履行合同所必需,符合必要原則。本案肯定了提供某信用服務(wù)和先享后付功能的電子公交卡的商業(yè)運(yùn)營模式,在個人信息權(quán)益和社會公共利益之間作出利益權(quán)衡,為其他信息處理者處理個人信息作出規(guī)范引導(dǎo)。
【案例索引】
一審:杭州互聯(lián)網(wǎng)法院(2021)浙0192民初8058號
【案情介紹】
2021年3月15日,黃某某發(fā)現(xiàn)其某信用賬戶未經(jīng)其允許被擅自開通,詢問某信用管理有限公司(以下簡稱某信用公司)客服得知系其于2021年3月7日開通了重慶公共交通乘車碼時自動開通某信用賬戶所致,其中通過某應(yīng)用開通重慶公共交通乘車碼時需點(diǎn)擊“同意協(xié)議并開通”,下方會有藍(lán)色字體載明“查看《某應(yīng)用重慶公共交通付款服務(wù)協(xié)議》與《某服務(wù)協(xié)議》《用戶授權(quán)協(xié)議》,授權(quán)重慶公共交通乘車碼獲取你的姓名、手機(jī)號、身份證用于實(shí)名領(lǐng)卡”。黃某某當(dāng)即要求某信用公司客服關(guān)閉其某信用賬戶及刪除賬戶內(nèi)個人信息。2021年3月25日,黃某某在某應(yīng)用開通清遠(yuǎn)電子公交卡時,需點(diǎn)擊“同意協(xié)議并開通”,下方會有藍(lán)色字體載明“查看《乘車碼服務(wù)協(xié)議》《用戶授權(quán)協(xié)議》,授權(quán)清遠(yuǎn)市民卡有限公司獲取你的姓名、手機(jī)號、身份證用于實(shí)名領(lǐng)卡”。黃某某未點(diǎn)擊閱讀前述協(xié)議即開通清遠(yuǎn)電子公交卡,后某信用公司將黃某某某信用賬戶被開通的信息通過某應(yīng)用推送。黃某某查閱《乘車碼服務(wù)協(xié)議》,載明“本服務(wù)協(xié)議由《清遠(yuǎn)電子公交卡服務(wù)協(xié)議》和《某公交付款服務(wù)協(xié)議》《某服務(wù)協(xié)議》協(xié)議構(gòu)成……”,其中《某公交付款服務(wù)協(xié)議》《某服務(wù)協(xié)議》均用藍(lán)色字體標(biāo)注,可點(diǎn)擊查閱。2021年4月25日,黃某某自行注銷某信用賬戶。另查明,黃某某于2015年2月3日首次開通某信用賬戶,于2020年12月25日注銷;于2020年12月29日第二次開通某信用賬戶,于2020年12月29日注銷;于2021年2月28日第三次開通某信用賬戶,于2021年3月16日注銷;于2021年3月25日第四次開通某信用賬戶,于2021年4月25日注銷。
【裁判內(nèi)容】
杭州互聯(lián)網(wǎng)法院審理認(rèn)為:《中華人民共和國民法典》第一千零三十五條第一款對個人信息處理行為的合法性基礎(chǔ)、個人信息處理規(guī)則做出了原則性的規(guī)定,明確“知情同意”規(guī)則是個人信息處理行為是否合法的基本規(guī)則,信息處理者原則上只有在依法告知并取得信息主體的同意后才能對個人信息進(jìn)行收集、存儲、使用、加工、傳輸、提供、公開等活動,否則屬于違法處理個人信息行為。處理個人信息的,應(yīng)當(dāng)征得該自然人或者其監(jiān)護(hù)人同意,但是法律、行政法規(guī)另有規(guī)定的除外。具體到本案:首先,開通某信用服務(wù)的行為符合正當(dāng)原則。黃某某如需使用上述兩地電子公交卡,均需要查閱協(xié)議后,方可申領(lǐng)。在此過程中,相關(guān)協(xié)議均已在顯著位置,通過有別于頁面其他黑色字體的方式,提醒用戶注意查閱。因此,黃某某以某信用公司存在誤導(dǎo)其開通某信用服務(wù),依據(jù)不足。其次,開通某信用服務(wù)的行為符合必要原則。本案中,公交服務(wù)公司與某網(wǎng)絡(luò)平臺通過合作,在原有乘車碼的基礎(chǔ)上,提供先享后付功能,會極大地改善機(jī)器故障、網(wǎng)絡(luò)信號遲緩、賬戶資金不足等諸多弊端。而先享后付功能的提供,需要一些必要的基礎(chǔ)條件支撐,其中最主要的即需要考慮如何減輕第三方公司墊資的損失,即如何督促未支付車費(fèi)的用戶還款以及避免該部分用戶因后續(xù)乘車可能帶來的資損。因此,公交服務(wù)公司與某網(wǎng)絡(luò)平臺通過與某信用公司三方合作,解決先享后付功能的弊端。某信用服務(wù)在先享后付功能中提供的主要作用有三:一是某信用公司以其運(yùn)營的某信用服務(wù)評價體系向公交服務(wù)公司、某網(wǎng)絡(luò)平臺提供用戶的信用和風(fēng)險狀況,二是公交服務(wù)公司、某網(wǎng)絡(luò)平臺向某信用公司同步推送用戶乘車訂單信息及付款狀態(tài),進(jìn)一步積累訂單信息,分析用戶履約能力;三是公交服務(wù)公司、某網(wǎng)絡(luò)平臺通過某信用服務(wù)向未履約用戶推送還款信息。某信用服務(wù)以最小的代價即對用戶進(jìn)行事先信譽(yù)評估的方式,彌補(bǔ)了先享后付功能的短板。故某信用服務(wù)在先享后付功能下具有充分必要性,為信息處理者履行合同所必需。再次,開通某信用服務(wù)的行為符合合法原則。某信用服務(wù)系作為電子公交卡付款碼服務(wù)和先享后付服務(wù)的基礎(chǔ)條件,此點(diǎn)通過《清遠(yuǎn)電子公交卡服務(wù)協(xié)議》約定的,用戶理解并接受,電子公交卡申領(lǐng)需要同時符合《某應(yīng)用公交付款服務(wù)協(xié)議》《某服務(wù)協(xié)議》中的相關(guān)條件即可印證。無論是公交服務(wù)公司、某網(wǎng)絡(luò)平臺以及某信用公司均充分給予了用戶相應(yīng)的自主選擇服務(wù)的權(quán)利。黃某某認(rèn)為其不需要使用某信用服務(wù),完全可以不使用該服務(wù),但如果不符合《某服務(wù)協(xié)議》中的相關(guān)條件,則黃某某亦會被公交服務(wù)公司拒絕提供電子公交卡服務(wù)。故某信用公司征得黃某某同意開通某信用服務(wù)并無強(qiáng)迫之意,已充分保障用戶的自主決定權(quán),未違反相關(guān)法律規(guī)定。綜上,法院判決駁回原告黃某某的全部訴訟請求。判決后,當(dāng)事人均服從法院判決未提起上訴,判決已生效。
【裁判要旨】
開通案涉信用服務(wù)已盡到提醒注意義務(wù),并取得黃某某同意,符合正當(dāng)原則。該信用服務(wù)以最小的代價即對用戶進(jìn)行事先信譽(yù)評估的方式,彌補(bǔ)了先享后付功能的短板,為信息處理者履行合同所必需,符合必要原則。案涉信用服務(wù)充分保障用戶的自主決定權(quán),未違反相關(guān)法律規(guī)定,符合合法原則。
案例七:網(wǎng)購平臺向內(nèi)嵌支付機(jī)構(gòu)提供用戶個人信息的合法性認(rèn)定——吳某某訴上海某信息服務(wù)有限公司等違規(guī)提供用戶個人信息保護(hù)糾紛案
【入選理由】
個人信息權(quán)益屬于人格權(quán)益,個人信息保護(hù)源自于對個人私生活的尊重和個人事務(wù)自決(自由)原則,違法處理個人信息可能會侵害到自然人的人格尊嚴(yán),但個人信息權(quán)益不等同于人格權(quán),個人信息權(quán)益只是一種民事權(quán)益,不具有絕對權(quán)的保護(hù)強(qiáng)度,侵害個人信息權(quán)益并不必然導(dǎo)致人格尊嚴(yán)受損等精神損害后果,特別是尚未發(fā)生實(shí)質(zhì)性損害的情況下更是如此。故在尚未發(fā)生實(shí)質(zhì)性損害的情況下,違法處理信息主體的個人信息是否造成人格尊嚴(yán)等精神損害,應(yīng)充分考慮處理行為的特點(diǎn)、量級、違法性和個人信息類型等因素,判斷信息主體是否因違法處理行為陷入可能預(yù)見的風(fēng)險和焦慮中,若答案為肯定,則應(yīng)認(rèn)定構(gòu)成對人格尊嚴(yán)、人格自由的精神損害。該案前述相關(guān)問題進(jìn)行了有益的探索。
【案例索引】
一審:杭州互聯(lián)網(wǎng)法院(2021)浙0192民初2929號
二審:杭州中院(2021)浙01民終12780號
【案情介紹】
原告吳某訴稱,其下載某電商購物App并使用個人手機(jī)號注冊了賬號。登錄App后,原告發(fā)現(xiàn)某電商購物App“個人中心”欄項(xiàng)下有“某錢包”選項(xiàng),遂按照App界面要求,在輸入原告本人真實(shí)姓名及身份號碼后開通了“某錢包”。在使用“某錢包”提供的“免輸卡號添加銀行卡”功能時,原告原本打算選擇自己有卡的銀行進(jìn)行關(guān)聯(lián),但誤觸了列表中的某銀行,得到了“暫無銀行卡可以綁定”的反饋。原告認(rèn)為,其并未授權(quán)某電商購物平臺經(jīng)營方告知某銀行自己真實(shí)姓名及身份號碼,某銀行能夠得知原告本人并無銀行卡在該行開具,系案涉App泄露原告的敏感個人信息所致,而某銀行亦因此非法獲得了原告的敏感個人信息。其后,原告在某電商購物App內(nèi)查閱了相關(guān)用戶協(xié)議內(nèi)容后還進(jìn)一步發(fā)現(xiàn), App的運(yùn)營主體上海某公司與“某錢包”經(jīng)營主體某付費(fèi)通公司的運(yùn)營主體并不一致,而在原告并未明確知情同意的情況下,其真實(shí)身份信息還由上海某公司傳輸給了某付費(fèi)通公司,并極可能又由某付費(fèi)通公司傳輸給了某銀行。原告自覺權(quán)利受損,遂決定注銷“某錢包”,但竟然無法注銷。故向法院提起訴訟。
經(jīng)查,案涉電商購物平臺(APP)系由被告上海某公司運(yùn)營的電商平臺。某電商購物APP在應(yīng)用程序個人用戶界面上線了名為“某錢包”的支付服務(wù)應(yīng)用功能,用戶可通過“某錢包”的支付功能在平臺內(nèi)購物交易時進(jìn)行充值、支付及提現(xiàn)等應(yīng)用。“某錢包”的實(shí)際運(yùn)營主體為某付費(fèi)通公司。被告某付費(fèi)通公司為實(shí)現(xiàn)用戶“某錢包”賬戶綁定銀行卡并具備銀行卡快捷支付功能,與包括某銀行公司在內(nèi)的多家銀行機(jī)構(gòu)開展有銀行卡快捷支付合作。原告吳某某使用案涉賬號首次進(jìn)入某電商購物APP“某錢包”界面填入的個人姓名、公民身份號碼等信息,先由上海某公司收集、存儲,在原告不知情的情況下,再由上海某公司提供給某付費(fèi)通公司。當(dāng)原告進(jìn)入“某錢包”添加銀行卡界面選擇免輸卡號進(jìn)行銀行卡綁定操作時,某付費(fèi)通公司則會將其姓名、公民身份號碼信息提供給選定綁卡的銀行,銀行獲取前述信息后根據(jù)提供的信息驗(yàn)證該信息主體是否為該銀行的持卡人,若為該行持卡人則留存該信息并進(jìn)入后一步綁卡操作流程;若非為該行持卡人亦留存該信息并向某付費(fèi)通公司反饋結(jié)果。
【裁判內(nèi)容】
杭州互聯(lián)網(wǎng)法院判決認(rèn)為,某電商購物平臺向某付費(fèi)通公司提供其收集的吳某某個人信息的行為屬于未明示信息處理的目的、方式、范圍的行為,吳某某系在未充分知情的情況下實(shí)施對其個人信息披露的同意。某電商購物平臺的上述行為既違反了其與吳某某之間的合同約定,也不符合個人信息處理活動應(yīng)遵循的知情同意規(guī)則。某付費(fèi)通公司收集吳某某個人信息時,某電商平臺APP未以任何形式告知吳某某,某付費(fèi)通公司將獲取其案涉?zhèn)€人信息,更未以任何形式獲得過吳某某的同意,亦不存在通過訂立、履行合同必需規(guī)則或履行法定義務(wù)規(guī)則等獲得處理吳某某個人信息的合法性基礎(chǔ)。綜上,某電商購物平臺經(jīng)營者、某付費(fèi)通公司對吳某某個人信息的處理行為缺乏合法性基礎(chǔ),法院認(rèn)定二者的信息處理行為侵害了吳某某的個人信息權(quán)益。
某電商購物平臺經(jīng)營者、某付費(fèi)通公司違法處理吳某某的個人敏感信息。吳某某在未被充分告知的情況下披露了個人敏感信息,其因個人敏感信息被違法處理產(chǎn)生對個人信息風(fēng)險的擔(dān)憂,對個人生命健康、人格尊嚴(yán)或經(jīng)濟(jì)利益可能遭受嚴(yán)重?fù)p害或極易遭受損害產(chǎn)生恐懼、焦慮等情緒,可以認(rèn)定為遭受到精神利益的損害。且某電商購物平臺經(jīng)營者、某付費(fèi)通公司作為行業(yè)內(nèi)具有較大影響力的公司,更應(yīng)嚴(yán)格依照法律法規(guī)處理用戶個人信息,對于平臺中違法處理個人信息的設(shè)置應(yīng)予以及時發(fā)現(xiàn)、改進(jìn),并對相關(guān)的個人信息處理活動采取更加審慎、周密的方式,本案中某電商購物平臺經(jīng)營者、某付費(fèi)通公司顯未盡到前述注意義務(wù),存在明顯的過錯。考慮到某電商購物平臺經(jīng)營者、某付費(fèi)通公司對吳某某個人信息的處理行為存在意思聯(lián)絡(luò),故判令兩被告向吳某某進(jìn)行書面道歉并賠償相應(yīng)合理維權(quán)支出。
宣判后,被告上訴,二審法院駁回上訴,維持原判。
【裁判要旨】
《個人信息保護(hù)法》第十三條對個人信息處理行為的合法性基礎(chǔ)、個人信息處理規(guī)則做出了原則性的規(guī)定,并構(gòu)建了以取得同意為原則,以豁免同意為例外的個人信息處理合法性基礎(chǔ)的二元結(jié)構(gòu)。這表明,知情同意規(guī)則并非信息處理行為的唯一合法性基礎(chǔ),為了在保護(hù)個人信息權(quán)益的同時,也能實(shí)現(xiàn)個人信息的合理利用,同時維護(hù)公共利益、國家利益等,通常對于信息處理者為訂立、履行個人作為一方當(dāng)事人的合同所必需以及為履行法定職責(zé)或者法定義務(wù)所必需的處理行為等情形,也可認(rèn)定為法定許可的情形,具有合法性基礎(chǔ),不屬于違法處理行為。但信息處理者運(yùn)用訂立、履行合同必需規(guī)則、履行法定職責(zé)或法定義務(wù)規(guī)則等作為其信息處理行為的合法性基礎(chǔ)時,需確保其處理行為符合對應(yīng)規(guī)則的要求。
案例八:購物類APP自動化推薦應(yīng)用的合法性基礎(chǔ)判定——郭某某訴某網(wǎng)絡(luò)有限公司個人信息保護(hù)糾紛案
【入選理由】
隨著web2.0技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)平臺大量涌現(xiàn),用戶的信息總量也巨幅增長,平臺運(yùn)營者為了更好的篩選出最優(yōu)信息,開發(fā)出不同種類的個性化推薦算法,通過用戶行動蹤跡、操作習(xí)慣、瀏覽偏好等維度,向用戶推薦與其需求相契合的內(nèi)容,這已然成為互聯(lián)網(wǎng)時代的潮流。自動化算法推薦,依賴用戶個人信息的采集,在《個人信息保護(hù)法》出臺后,個性化推薦與用戶個人信息保護(hù)之間還缺少明晰的邊界。本案為網(wǎng)絡(luò)用戶針對互聯(lián)網(wǎng)平臺收集、使用用戶個人信息進(jìn)行自動化推薦,提起的個人信息保護(hù)糾紛。互聯(lián)網(wǎng)時代更貼近用戶的個性化服務(wù)代表著用戶的普遍需求。如果認(rèn)定其推送廣告的行為構(gòu)成侵權(quán),將極大阻礙互聯(lián)網(wǎng)新興技術(shù)和業(yè)務(wù)的正常健康發(fā)展,會限制互聯(lián)網(wǎng)新業(yè)務(wù)的發(fā)展空間,本案判決試圖在利用個人信息自動化決策與個人信息權(quán)益保護(hù)之間進(jìn)行平衡,并尋找《個人信息保護(hù)法》第16條、24條的適用規(guī)則,在充分保障個人信息安全合法權(quán)益的同時,也保障和促進(jìn)網(wǎng)絡(luò)服務(wù)行業(yè)的正常開展。
【案例索引】
一審:杭州互聯(lián)網(wǎng)法院(2021)浙0192民初5626號
【案情介紹】
原告郭某某在注冊、使用被告公司運(yùn)營的某購物APP過程中發(fā)現(xiàn),打開案涉APP時,APP會彈窗顯示《隱私權(quán)政策》《用戶協(xié)議》等,要求其選擇“同意”或“拒絕”,若其選擇“拒絕”,則不能繼續(xù)使用該購物APP。原告郭某某認(rèn)為《隱私權(quán)政策》中含有以下內(nèi)容:“向您展示商品或服務(wù)信息為向您展示更契合您需求的商品或服務(wù)信息,我們會收集和使用您在訪問或使用淘寶平臺網(wǎng)站或客戶端時的瀏覽、搜索記錄及設(shè)備信息、服務(wù)日志信息,以及其他取得您授權(quán)的信息,通過算法模型預(yù)測您的偏好特征,匹配您可能感興趣的商品、服務(wù)或其他信息,并根據(jù)您點(diǎn)擊、瀏覽或購買的情況,對向您展示的商品、服務(wù)或其他信息進(jìn)行排序。為滿足您的多元需求,我們會在排序過程中引入多樣化推薦技術(shù),拓展推薦的內(nèi)容,避免同類型內(nèi)容過度集中。我們也會基于您的偏好特征在淘寶及其他第三方應(yīng)用程序向您推送您可能感興趣的商業(yè)廣告及其他信息,或者向您發(fā)送商業(yè)性短信息”,違反《個人信息保護(hù)法》第16條、第24條的相關(guān)規(guī)定,侵犯其個人信息權(quán)益,請求法院判令被告公司提供在原告不同意上述隱私政策內(nèi)容時仍能使用案涉APP的選項(xiàng),并就侵害原告?zhèn)€人信息權(quán)益的行為進(jìn)行賠禮道歉、賠償經(jīng)濟(jì)損失。經(jīng)查,案涉購物APP對于自動化決策及其在信息推送、商業(yè)營銷行為中的應(yīng)用,已通過下述APP內(nèi)措施保障用戶的選擇權(quán)(拒絕權(quán)):(1)在APP內(nèi)路徑“我的APP-設(shè)置-隱私設(shè)置-廣告管理”中,用戶可依照不同商品(或服務(wù))類目選擇性地剔除個性化廣告,也可點(diǎn)擊按鈕整體關(guān)閉個性化廣告;(2)在APP內(nèi)路徑“我的APP-設(shè)置-隱私設(shè)置-推薦管理”中,用戶可點(diǎn)擊按鈕整體關(guān)閉個性化推薦;(3)在APP內(nèi)路徑“我的APP-足跡”“搜索框-歷史搜索”中,用戶可選擇刪除瀏覽、搜索記錄;(4)若用戶需要查看不針對其個人特征的排序,可以在搜索結(jié)果頁面點(diǎn)擊“篩選”,選擇其中的“銷量”“價格”“通用排序”進(jìn)行設(shè)置。上述用戶選擇權(quán)(拒絕權(quán))保障措施亦明晰載于案涉《隱私權(quán)政策》中。
【裁判內(nèi)容】
杭州互聯(lián)網(wǎng)法院認(rèn)為,案涉購物APP在《隱私權(quán)政策》中采取了首次運(yùn)行時、用戶注冊時均提示用戶是否同意隱私政策的事前概括同意機(jī)制,對用戶基本知情同意權(quán)進(jìn)行了保障。同時,通過在APP內(nèi)部設(shè)置便捷的拒絕自動化推薦選項(xiàng),對用戶個人信息權(quán)益保障提供了事后選擇機(jī)制。具體而言,案涉APP對于自動化決策及其在信息推送、商業(yè)營銷行為中的應(yīng)用,已通過APP內(nèi)措施保障用戶的選擇權(quán):一是在“我的APP-設(shè)置-隱私設(shè)置-廣告管理”中,用戶可依照不同商品(或服務(wù))類目選擇刪除個性化廣告,或點(diǎn)擊按鈕整體關(guān)閉個性化廣告;二是在“我的APP-設(shè)置-隱私設(shè)置推薦管理”中,用戶可以點(diǎn)擊按鈕整體關(guān)閉個性化推薦;三是在“我的APP-足跡”“搜索框-歷史搜索”中,用戶可以選擇刪除瀏覽、搜索記錄;四是用戶可以在搜索結(jié)果頁面點(diǎn)擊“篩選”,選擇其中的“銷量”“價格”“通用排序”進(jìn)行不針對其個人特征的排序設(shè)置。故案涉APP提供的前述選擇機(jī)制,符合《個人信息保護(hù)法》第二十四條的規(guī)定,APP在首次運(yùn)行時、用戶注冊時提示郭某某閱讀并請求其同意《隱私權(quán)政策》,并非以拒絕提供服務(wù)的形式強(qiáng)迫用戶同意的行為。綜上,被告公司未侵害原告?zhèn)€人信息權(quán)益,法院依法駁回了原告的訴訟請求。判決后,當(dāng)事人均服從法院判決未提起上訴,判決已生效。
【裁判要旨】
信息處理者利用自動化決策方式進(jìn)行個人信息處理活動,如收集、使用了具有個人特質(zhì)的信息,個人信息處理者應(yīng)當(dāng)在第一次使用時,向個人提供便捷的拒絕方式。信息處理者事前通過隱私政策等取得個人概括性同意,以及事后提供拒絕方式,可視為對個人知情同意權(quán)的保障,此時,信息處理者利用個人信息進(jìn)行自動化決策具有合法性基礎(chǔ)。
信息處理者通過自動化決策方式進(jìn)行信息推送,未向個人提供拒絕的方式或拒絕的方式完全不能達(dá)到便捷性要求的,使用戶不能依據(jù)自己的真實(shí)意思表示進(jìn)行拒絕,則個人信息處理者違反了法定義務(wù),具有違法性,應(yīng)認(rèn)定侵害用戶個人信息權(quán)益。
案例九:個人信息權(quán)利請求權(quán)訴權(quán)行使的前置條件——杜某訴某網(wǎng)絡(luò)公司個人信息保護(hù)糾紛案
【入選理由】
本案系首例個人信息權(quán)利請求權(quán)訴權(quán)行使前置條件審查的典型案例。《中華人民共和國個人信息保護(hù)法》填補(bǔ)了我國個人信息保護(hù)的專門立法空白,但實(shí)踐中如何準(zhǔn)確適用法律,如何厘清個人信息權(quán)利請求權(quán)基礎(chǔ),如何解決多部法律協(xié)調(diào)適用的選擇難題,明確不同請求權(quán)所形成的司法保護(hù)路徑選擇等,均有待進(jìn)一步探索完善。本案旨在探索信息主體行使個人信息權(quán)利時訴權(quán)的前置條件的司法審查標(biāo)準(zhǔn),厘清《中華人民共和國個人信息保護(hù)法》第五十條與第六十九條不同請求權(quán)的適用條件,敦促不得濫用個人信息保護(hù)訴權(quán),同時避免司法介入過多而抑制個人信息的有效傳播和共享,強(qiáng)調(diào)個人信息處理者所應(yīng)承擔(dān)的權(quán)利保障義務(wù),引導(dǎo)當(dāng)事人直接向信息處理者或信息保護(hù)履職部門進(jìn)行維權(quán)。
【案例索引】
一審:杭州互聯(lián)網(wǎng)法院(2022)浙0192民初4330號
【案情介紹】
原告杜某系某電商平臺(系被告某網(wǎng)絡(luò)公司運(yùn)營)用戶,并在該平臺多次購買商品。某日,杜某在購物過程中,被平臺發(fā)布的“好友圈好友等你開拼手氣紅包”字樣吸引,遂點(diǎn)擊該字樣,隨后頁面跳出“進(jìn)圈并邀請好友”的跳轉(zhuǎn)鏈接,杜某受吸引點(diǎn)擊進(jìn)入“好友圈”。隨后,杜某發(fā)現(xiàn)其在該平臺的購物記錄被自動公開并被分享到“好友圈”為其自動設(shè)定的第三人視線之下。社會交往中,朋友通過此功能看到了其購物記錄的部分信息,杜某認(rèn)為隱私受到了侵犯。對此,杜某曾向該電商平臺咨詢“好友圈”的功能。杜某認(rèn)為,某網(wǎng)絡(luò)公司在對用戶個人信息處理活動中未依法保障自身的知情權(quán)和決定權(quán),侵犯了個人信息權(quán)的合法權(quán)益,且已嚴(yán)重違反誠實(shí)信用原則,造成了相應(yīng)精神損失,并在訴訟中明確其系依據(jù)個人信息保護(hù)法第十四條和第四十四條的規(guī)定,認(rèn)為某網(wǎng)絡(luò)公司構(gòu)成對其對個人信息的處理享有知情權(quán)、決定權(quán)的侵害。某網(wǎng)絡(luò)公司提交了關(guān)于行使個人信息權(quán)利的申請受理和處理機(jī)制路徑的相關(guān)材料,并指出,杜某在用戶注冊時,已通過協(xié)議約定明確告知用戶收集及使用用戶個人信息的方式、范圍及目的,并獲得用戶同意,且未收到杜某對其個人信息處理活動的查詢申請或投訴信息,不存在侵犯個人信息權(quán)益的行為。
【裁判內(nèi)容】
杭州互聯(lián)網(wǎng)法院于2022年6月23日作出(2022)浙0192民初4330號民事裁定書:本案立案后,結(jié)合案情和證據(jù)材料作程序?qū)彶椋⑽磳η謾?quán)情形作實(shí)體審理。原告杜某主張網(wǎng)絡(luò)購物信息在其不知情情況下由被告某網(wǎng)絡(luò)公司所經(jīng)營的電商平臺處理,導(dǎo)致原告杜某不愿被他人知曉的個人信息在一定范圍內(nèi)公開,侵犯了原告杜某在個人信息處理活動中的知情權(quán)、決定權(quán),造成原告杜某人格利益受損,故本案系網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛中的個人信息保護(hù)糾紛。個人信息保護(hù)法第五十條和第六十九條分別對個人信息的司法保護(hù)做出了規(guī)定。前者適用于個人在個人信息保護(hù)法第四章所規(guī)定的個人信息權(quán)利受到侵害或妨礙,但沒有產(chǎn)生損害時所產(chǎn)生的一種“個人信息權(quán)利請求權(quán)”;后者適用于個人信息權(quán)益受到侵權(quán)損害而產(chǎn)生的一種“侵權(quán)損害賠償請求權(quán)”。由于“個人信息權(quán)利請求權(quán)”的請求權(quán)基礎(chǔ)為民法典第九百九十五條規(guī)定的人格權(quán)保護(hù),只要個人信息權(quán)利受到侵害或侵害即將發(fā)生,即可請求行為人承擔(dān)停止侵害、排除妨礙、消除危險等民事責(zé)任,在構(gòu)成要件上無需考慮個人信息處理者的主觀過錯和造成實(shí)際損害之要件,其目的在于保障個人信息權(quán)利的行使和排除對個人信息權(quán)利的妨害,從而為個人信息權(quán)利提供一種防御性的保護(hù),避免侵權(quán)行為進(jìn)一步產(chǎn)生實(shí)質(zhì)化的損害后果,最終達(dá)到恢復(fù)個人信息權(quán)利人對人格利益圓滿支配狀態(tài),保障個人人格的完整性。同時,因個人信息流動大、使用頻率高、范圍廣,如果直接向法院起訴,不但會造成不必要的訴累,增加個人信息處理的成本,而且可能導(dǎo)致訴訟頻發(fā)、浪費(fèi)司法資源,甚至成為惡意訴訟人濫用訴權(quán)的工具。實(shí)踐中,通過向個人信息處理者的積極主張,應(yīng)是最快捷、最便利、最有效的維權(quán)方式。基于此,個人信息保護(hù)法第五十條第二款明確規(guī)定“個人信息處理者拒絕個人行使權(quán)利的請求的,個人可以依法向人民法院起訴。”換言之,本條的訴權(quán)是以“個人信息處理者拒絕個人行使權(quán)利的請求”為前提,即設(shè)置了個人向法院提起請求權(quán)救濟(jì)的前置條件。也就是說,個人信息主體應(yīng)先向個人信息處理者請求行使具體權(quán)利,只有在個人信息處理者無正當(dāng)理由拒絕履行義務(wù)或一定期限內(nèi)不予以處理,或者個人信息處理者提供的申請受理機(jī)制失效的情況下,個人方可向法院提起訴訟以獲得救濟(jì)。本案中,被告某網(wǎng)絡(luò)公司已通過協(xié)議約定和后臺設(shè)置構(gòu)建了個人行使權(quán)利的申請受理及處理機(jī)制,原告杜某可通過以上方式行使個人信息知情權(quán)和決定權(quán)。但原告杜某提起本案訴訟前并未向被告某網(wǎng)絡(luò)公司(信息處理者)提出請求,而是徑行向本院請求救濟(jì)其在個人信息處理活動享有的權(quán)利,顯然不符合法律規(guī)定中關(guān)于“個人信息權(quán)利請求權(quán)”的起訴受理?xiàng)l件,故駁回原告杜某的起訴。
【裁判要旨】
1. 當(dāng)個人信息主體以《中華人民共和國個人信息保護(hù)法》第四章所規(guī)定的個人信息權(quán)利受到侵害或妨礙,但沒有產(chǎn)生損害時所產(chǎn)生的一種“個人信息權(quán)利請求權(quán)”行使訴權(quán),應(yīng)以“個人信息處理者拒絕個人行使權(quán)利的請求”為受理前提。因個人信息流動大、使用頻率高、范圍廣,如果直接向法院起訴,不但會造成不必要的訴累,增加個人信息處理的成本,而且可能導(dǎo)致訴訟頻發(fā)、浪費(fèi)司法資源,甚至成為惡意訴訟人濫用訴權(quán)的工具。實(shí)踐中,個人信息主體根據(jù)現(xiàn)有法律規(guī)定,向個人信息處理者積極主張權(quán)利,應(yīng)是最快捷、最便利、最有效的維權(quán)方式。
2.個人信息權(quán)利行使的落實(shí)有賴于處理者的尊重和依法履行保護(hù)義務(wù),故個人信息保護(hù)法全面規(guī)定了個人在信息處理中的權(quán)利,并明確規(guī)定個人信息處理者應(yīng)當(dāng)建立便捷的個人行使權(quán)利的申請受理和處理機(jī)制,強(qiáng)化個人信息處理者的權(quán)利保障義務(wù)。只有在申請受理和處理機(jī)制未建立、有限時間內(nèi)未答復(fù)、無正當(dāng)理由拒絕或機(jī)制失效等情況下,方可向法院行使訴權(quán)。
案例十:個人征信信息商業(yè)使用合法性的判定——徐某與被告某信用管理有限公司隱私權(quán)糾紛案
【入選理由】
個人信息只有流通利用起來才有價值,但必須保障個人信息權(quán)益。本案明確用戶個人信息商業(yè)使用的規(guī)則和邊界,認(rèn)定收集于政府、法院等國家機(jī)關(guān)依法公開的個人征信信息,可以進(jìn)行合理化的商業(yè)使用。本案既明確濫用個人征信信息的法律責(zé)任,也為信用經(jīng)濟(jì)的發(fā)展保駕護(hù)航,確立了收集于政府、法院等國家機(jī)關(guān)依法公開的個人征信信息,可以進(jìn)行合理化的商業(yè)使用的規(guī)則,同時,本案涉及對隱私信息的判斷問題,明確了個人信息主體對國家機(jī)關(guān)依法向社會公眾公開的內(nèi)容不享有隱私權(quán)。法院借助互聯(lián)網(wǎng)平臺,向當(dāng)事人依法公開其被執(zhí)行案件信息及進(jìn)展,是履行工作職責(zé)、保障當(dāng)事人訴訟權(quán)利的一項(xiàng)重要措施,不屬于非法披露的情形。本案入選“浙江法院個人信息保護(hù)典型案例”。
【案例索引】
一審:杭州互聯(lián)網(wǎng)法院(2018)浙0192 民初302 號
【案情介紹】
原告通過某APP開通信用服務(wù),與被告某信用管理有限公司簽訂信用《服務(wù)協(xié)議》。協(xié)議載明“在您使用本服務(wù)的全部期間,您授權(quán)本公司向可以合法提供您的用戶信息的主體采集該等信息。為了免除您重復(fù)授權(quán)的不便,您作出前述授權(quán),表明前述信息提供者無需再逐一向您另行獲取其向本公司提供您的信息的授權(quán),該等信息提供者可以依您在本協(xié)議中的授權(quán)徑行向本公司提供您的用戶信息。”后原告收到某信用平臺的信息,內(nèi)容包括:被執(zhí)行人、案件號、執(zhí)行單位、履行情況、過程記錄等。原告認(rèn)為沒有取得個人征信業(yè)務(wù)經(jīng)營許可證,也沒有取得工商個人征信業(yè)務(wù)經(jīng)營范圍的情況下,違法搜集了原告的個人征信數(shù)據(jù),并作為商業(yè)用途,此行為嚴(yán)重?fù)p害了原告的隱私權(quán)。
【裁判內(nèi)容】
杭州互聯(lián)網(wǎng)法院經(jīng)審理認(rèn)為,隱私權(quán)是自然人享有的私生活安寧與私人信息依法受到保護(hù),不被他人非法侵?jǐn)_、知悉、收集、利用和公開等的一種人格權(quán)。但并不是自然人對其所有的私人事務(wù)均享有隱私權(quán)。首先,本案中,原告所訴的被執(zhí)行案件信息中,除了案件狀態(tài)外,執(zhí)行案號、執(zhí)行法院、當(dāng)事人、立案時間等,均為人民法院依法向社會公眾公開的內(nèi)容。而某信用平臺向原告發(fā)送的執(zhí)行案件信息,只有“履行情況”和結(jié)案時間是普通公眾通過浙江法院公開網(wǎng)查詢不了的。可見,除了“案件狀態(tài)”外,執(zhí)行案件的其他內(nèi)容是法院依法向社會公眾公開的內(nèi)容,本案原告對該部分內(nèi)容并不享有隱私權(quán)。其次,本案被訴侵權(quán)信息披露主體為某高院,關(guān)于非法披露的問題,根據(jù)《最高人民法院關(guān)于人民法院執(zhí)行公開的若干規(guī)定》的相關(guān)規(guī)定,原告的被執(zhí)行案件信息,尤其是該案案件狀態(tài),系某高院借助被告運(yùn)營的互聯(lián)網(wǎng)平臺,向作為案件當(dāng)事人的原告依法公開其被執(zhí)行案件信息及進(jìn)展,這是法院履行工作職責(zé),確保當(dāng)事人訴訟權(quán)利的一項(xiàng)重要措施。最后,從《服務(wù)協(xié)議》的內(nèi)容來看,該《協(xié)議》雖為某信用管理公司制定的格式條款,但其以加粗加黑的字體這一合理方式提請用戶注意免除或者限制其責(zé)任的條款,應(yīng)視為合法有效,對雙方均有約束力,故本案并不存在非法披露的情形。本案中,原告雖主張某信用管理有限公司侵害其隱私權(quán),但其未提交有效證據(jù),故其全部訴訟請求,依據(jù)不足,本院不予支持,故駁回原告的訴訟請求。判決后,當(dāng)事人均服從法院判決未提起上訴,判決已生效。
【裁判要旨】
隱私權(quán)是自然人享有的私生活安寧與私人信息依法受到保護(hù),不被他人非法侵?jǐn)_、知悉、收集、利用和公開等的一種人格權(quán)。但并不是所有的私人事務(wù)均屬于隱私的范疇。也就是說,并不是自然人對其所有的私人事務(wù)均享有隱私權(quán)。個人隱私保護(hù)不能相悖于政府、法院等國家機(jī)關(guān)對于個人征信信息的依法公開,個人信息主體對國家機(jī)關(guān)依法向社會公眾公開的內(nèi)容不享有隱私權(quán)。互聯(lián)網(wǎng)平臺經(jīng)個人信息主體授權(quán)可以對個人征信信息進(jìn)行合法性使用。人民法院借助互聯(lián)網(wǎng)平臺,向案件當(dāng)事人依法公開其被執(zhí)行案件信息及進(jìn)展,是法院履行工作職責(zé),確保當(dāng)事人訴訟權(quán)利的一項(xiàng)重要措施。
來源:杭州互聯(lián)網(wǎng)法院
京公網(wǎng)安備11010802021390號