个人信息被随意抓取、手机APP非法推送商业信息、大数据频繁“杀熟”……你是否经常被这些问题困扰?别担心,11月1日开始正式实施的《个人信息保护法》,从明确个人信息和敏感个人信息处理规则到完善个人信息保护投诉、举报工作机制,再到从严惩治违法行为,全面系统地回应了一系列社会关注的热点问题。这部保护公民个人信息的专门法律,将为个人信息重新装上“安全锁”。本文特邀北京互联网法院的法官,根据以往审结的案例深入剖析个人信息纠纷案件,解读其背后的涉法问题。
案例一
退订商业短信被收费
法院判“每日优鲜”承担
王女士注册了“每日优鲜”后,频繁收到含有每日优鲜推广内容的商业短信,多次回复“N”才得以退订,在此期间还产生0.1元的短信资费。王女士认为,自己的合法权益遭到侵害,便将北京每日优鲜电子商务有限公司(简称“每日优鲜公司”)诉至北京互联网法院。
王女士认为,每日优鲜公司频繁发送商业广告短信,在她回复第一条退订短信后,仍继续发送商业短信的行为存在违约。且APP的《用户协议》和《隐私政策》中均约定可以向用户发送商业广告信息,属于非常典型的格式条款,排除了消费者主要权利,应当认定为无效。最后,她表示每日优鲜公司应当对其相关条款进行修改,赋予消费者在同意《用户协议》《隐私政策》时可以选择拒绝接受推送商业广告短信的选项。
每日优鲜公司则认为,王女士在注册“每日优鲜”时,已同意协议中的相关条款,因此,公司依据协议获取王女士账户信息并发送商业推广信息合法,不存在任何无效情形。此外,每日优鲜公司已经根据相关规定,在收到退订短信后及时将王女士的手机号码屏蔽。但王女士此前未成功发送退订短信,因而导致其再次收到商业短信,对此每日优鲜公司不存在任何过错。
法院经审理认定,每日优鲜公司向王女士推送商业短信不违反双方合同约定,但王女士因退订短信而产生的1毛钱短信资费,应由每日优鲜公司负担。
李文超法官
【法官解读】
本案是由每日优鲜APP推送的商业推广短信引起,涉及互联网平台行为的监管问题。由于互联网产品的多元性和丰富性、用户的广泛性和差异性,不同用户对互联网平台服务体验的期待也可能存在差异。如在购物应用软件中,有用户反感基于用户画像的产品信息推送,有用户则享受该推送带来的便捷。为满足不同用户需求、提高交易效率,在事前明确告知、合理提示的情况下,互联网平台将信息推送等个性化、差异化的服务纳入到“一揽子”平台的授权协议中,再根据不同用户需要提供有效的拒绝(取消授权)方式,平衡了隐私权保护和行业发展需要,更符合此类互联网平台的特征,也更有利于互联网平台经济的发展。如果要求互联网平台就每一项服务均单独提示用户进行选择,不仅增加交易成本,造成程序繁琐,也不利于提升用户体验。
当下,为提升用户体验,扩展业务范围,互联网平台往往在基础服务外为用户提供更加多元的个性化、差异化服务,基于用户画像的产品信息推送即是如此。互联网平台可以按照合同约定向用户推送商业广告,但用户因退订商业推广短信而产生的短信资费应由负有提供退订服务的平台负担。
案例二
未关注却能看到好友书单
“微信读书”用户起诉腾讯
认为在未授权情况下,微信读书APP使用了自己微信好友名单,并分享了阅读读物和读书感想等信息,黄女士称该APP侵犯了自己的个人信息权益及隐私权,故将微信读书APP、微信开发者、运营者腾讯科技(深圳)有限公司等多家公司(下统称腾讯公司)起诉至北京互联网法院。
黄女士称,在使用微信读书时发现,没有授权的情况下,微信读书的“关注”栏目下出现了自己的微信好友名单。在没有进行任何添加关注操作的情况下,自己账户中“我关注的”和“关注我的”页面下出现了大量微信好友。不仅如此,黄女士还发现,即使自己在使用微信读书时与微信好友没有任何关注关系,也能相互查看对方书架、正在阅读的读物、读书想法等信息,然而上述信息属于她并不愿向他人展示的隐私信息。
但腾讯公司称,黄女士并未证明微信读书存在自动添加关注的行为。此外,微信读书中的读书记录向共同使用该APP的好友开放,这在用户协议中已经进行告知,并经用户同意,不构成侵权。
法院经审理认为,基于微信读书中的信息组合与人格利益较为密切、微信读书迁移微信好友关系、默认向未关注的微信好友公开读书信息等因素,微信读书存在较高侵害用户隐私的风险。因此,应将好友列表、读书信息的处理方式对用户进行显著告知。但微信读书在用户协议中并未对上述事项进行充分告知,反而易让用户对微信和微信读书两个APP中的“好友”产生混淆,故不能视为获得用户有效的知情同意。此外,微信读书为原告自动添加微信好友的行为,显然未征得本人同意,构成侵害个人信息权益。同时,不同用户对于读书信息的隐私期待有所不同。黄女士阅读的两本书不具有“不愿为他人知晓”的“私密性”,故黄女士主张腾讯公司侵害其隐私权,法院不予支持。综上,法院判决腾讯对黄女士书面道歉,并赔偿6000余元。
孙铭溪法官
【法官解读】
“微信读书”一案囊括了民法典及《个人信息保护法》关于个人信息保护和利用的主要规定,其争议焦点生动演绎了法律在实践中适用要点,裁判说理更是准确诠释了法律的价值追求。《个人信息保护法》在其总则部分开宗明义确立了多项处理个人信息应当遵循的原则,包括了应遵循合法、正当、必要和诚信原则;采取对个人权益影响最小的方式,限于实现处理目的的最小范围原则;遵循公开、透明原则;保证个人信息质量原则;确保个人信息安全原则。这些原则除了具有指导意义、解释价值、填补功能之外,本身也是裁判规范。
在司法实践中,个人信息纠纷案件的争议焦点往往比较集中于具体规则,而其中最为核心的即为知情同意规则,即“告知—知情—同意”规则,该规则存在着形式和实质两方面的要求。例如,本案从形式上看,阅读应用通过页面授权的方式获取同意并不违反法律规定,其履行告知义务的方式是合法的;但从实质上看,阅读应用请求授权时并未对用户进行显著告知,确保用户充分了解、知悉信息处理的方式、范围及风险,违反了公开、透明原则,使得个人并非处于充分知情的状态。该状态下用户即使点击“授权登录”,也只是形式同意,并不具备实质意义,不构成用户的有效同意。
《个人信息保护法》旨在平衡个人信息的保护与利用,关键即在于知情同意制度,因此准确理解和适用知情同意制度其意义并不仅仅在于保护个人信息,同时也在于为信息处理者确立行为标准和要求,为其合理利用个信息提供指引。
案例三
“校友录”头像被爬取 网友索赔获支持
2018年,小孙在百度网站搜索姓名“孙某某”关键词,发现百度网站非法收录并置顶了其在校友录网站上传的个人账户头像,即个人证件照。随后,小孙向百度发出通知要求删除证件照,但未获任何回复。
小孙认为,涉案照片以及其与小孙姓名的关联关系涉及个人隐私、个人信息,在校友录网站图片源地址已关闭的情况下,百度公司的爬取行为构成侵权。于是,小孙以百度搜索引擎网站侵犯其隐私权、个人信息权益为由,诉至法院。
百度公司辩称,展示小孙照片的行为不侵犯其个人隐私和个人信息权益。百度仅为网络搜索服务提供者,提供中立的技术服务,涉案照片存储于可正常浏览的第三方网页,百度公司只是基于搜索功能实施了正常合法的抓取行为,因此不构成侵权。
而校友录网站的运营者搜狐公司也称此案中被控侵权行为与本公司无关。公司表示,显示有小孙肖像的网站并非搜狐公司所运营,涉案信息与搜狐公司无任何关联性,校友录网站早在2012年到2013年间就已对外停止服务和访问,不存在授权任何人和机构使用校友录任何信息的可能。
经查明,校友录的网址虽已无法访问,但由于其存放照片的精确服务器地址仍向用户开放,通常的搜索引擎爬虫技术还可访问到涉案照片。所以百度在提供搜索服务时,用户仍可搜索到相关信息。
法院认为,搜狐公司将涉案信息置于公开网络后,百度公司的搜索行为使涉案信息在小孙授权范围之外被公开,属于未经同意处理个人信息的行为。对于“百度公司是否构成侵害个人信息权益行为”问题,应以小孙的“通知删除”为节点。在通知删除前,百度公司对涉案信息不存在明知或应知的主观过错,不构成侵害;但收到删除通知后,百度公司在其有能力采取相匹配必要措施的情况下,未给予任何回复,导致涉案侵权损失进一步扩大,构成侵害小孙的个人信息权益。最终,法院判决百度公司赔偿小孙经济损失和合理支出。
颜君法官
【法官解读】
“校友录”头像被爬案为民法典出台背景下一起典型的涉及公开个人信息侵权认定的案件,也是“通知删除”规则在个人信息领域适用的范例。新实施的《个人信息保护法》对个人信息保护采取了有梯度的区分保护政策,对敏感个人信息、一般个人信息和公开个人信息采取不同保护方式。例如,按照本法的一般规定,个人信息处理者利用个人信息需征得授权同意,而对于已经合法公开的,个人信息处理者则可以在合理范围内处理,不用事先征得同意,仅在个人明确拒绝或对个人权益有重大影响的除外。因此,在明确个人信息处理的行为界限、判定处理行为是否违法时,应先区分个人信息的类型。
本案中首先需明确小孙的头像信息是一般个人信息还是公开个人信息,进而才能判断涉案行为是否构成违法。从客观上看,涉案的头像和姓名信息组合已被置于服务器开放空间,属于公开信息。但小孙上传其个人信息时并未授权公开该信息,仅同意在同班同学的范围内可见,因此,即便涉案信息客观上处于公开状态,但并非合法公开信息,对其利用仍应遵循授权同意规则。
当然,这种情况下,后续信息处理者往往难以判断信息来源的公开是否合法,这可能会对信息的自由流动和利用增加困难,例如,在通用全网爬取技术应用场景下,核实个人信息合法性来源存在一定的现实困难和技术障碍。因此,应强调信息初始处理者的源头责任,同时通过对后续信息处理者过错认定的调节阀,对一些技术中立且尽到一定信息管理义务的运营者适用“避风港”规则。如此,一方面,可通过落实信息后续利用者对信息来源授权范围的核查义务,加强对个人信息的全流程动态保护;另一方面,通过引入网络服务提供者“避风港”规则的过错责任调节阀,对某些中立的技术行为进行豁免,通过利益衡量维持权益保护和数据利用的适度平衡。
【法官提示】
对于此类涉及个人信息保护案件,颜君法官表示,以往的法律对于个人信息的具体内涵、行为规范缺乏明确规定,个人信息领域也缺乏专门的、体系化的法律制度。为了多维度、全方位地保护广大网络用户的合法权益,新实施的《个人信息保护法》为广泛的信息处理者提供了明确的行为指引。
第一,关于个人信息填写。比如在注册某APP过程中,界面出现用户信息填写页面,要求填写年龄、手机号、职业等信息,不填则无法完成注册。随后,《隐私条款》同意勾选界面弹出,需点击同意整个条款内容才能最终完成注册。这种就属于APP强制收集。此次《个人信息保护法》明确规定了如果收集的信息并非提供产品或服务所必须,则涉嫌违法收集。
第二,关于未成年人个人信息保护问题。《个人信息保护法》强化对未成年人个人信息的特别保护,将未满十四岁未成年人的个人信息纳入敏感信息处理规则范围。本法规定了“个人信息处理者处理不满十四周岁未成年人个人信息,应当取得未成年人的父母或者其他监护人的同意”。这意味着近年来盛行的在线教育、在线游戏将不能随意收集未成年人身份证号、学校、住址、联系方式等信息,而应先取得其父母或其他监护人的同意。本法还强调处理未满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
第三,关于垃圾短信。生活中会频繁接到各种恶意骚扰电话或营销信息。针对商家销售短信,有的是我们在订购服务过程中,达成同意接收广告、服务进程等订阅信息的合意,在这种情况下推送的广告是有法律依据的,比如我们需要关注购物快递进展信息、手机流量使用信息、银行支付信息等。但如果我们之前并未向来电单位披露过手机号等个人信息,但却频繁接到电话,比如刚买了房子就接到很多中介、装修公司来电,如果你并未在购房合同中签署披露个人信息的授权同意,那么购房信息很有可能在某个环节被人非法泄露。如果这些销售公司没有正当合法的个人信息来源,就可能涉嫌违法了。
文/北京青年报记者 王静
编辑/韩世容