织密司法保护网 守牢信息安全关
——广东高院发布个人信息保护典型案例
2023-01-14 08:46:04 | 来源:人民法院报 | 作者:吁青 陈康秀 楚惠如
 

图为广州互联网法院网上开庭审理李某诉某网络科技公司网络侵权责任纠纷案。刘梦薇 摄

  导读

  当前,个人信息保护已成为数字经济发展中不可忽视的议题,平衡个人信息保护与数据要素流动的关系,对数字经济健康发展、行稳致远至关重要。日前,广东省高级人民法院发布了一批个人信息保护典型案例,涉及依法保护个人信息查阅复制权、个人信息的界定、恶意公布个人信息等内容,法院充分发挥审判职能,保护个人信息权益和规范个人信息处理,不断推进网络治理、数据治理法治化的司法实践。

  保障平台用户个人信息知情权

  广州某电子商务有限公司系某平台的运营主体,周某系该平台的注册用户。2021年3月,周某致电平台客服,表示其担心个人信息泄露后被其他平台或商家利用,为避免被电话推销等广告骚扰,希望该公司能披露所收集到的其个人信息。平台客服表示:“用户有填写的信息,可以在App个人中心予以查看,且这些信息采取了加密的保护措施,不会泄露;对于用户没有填写的信息,平台无法展示。”同日,周某通过电子邮件向平台隐私专职部门邮箱发送邮件,请求披露个人信息,平台未予回复。后周某将该电子商务公司诉至法院,要求该公司向其披露收集的个人信息。

  广东省广州市中级人民法院审理后认为,周某要求平台向其披露个人信息,实质上是主张个人信息查阅复制权。个人对于个人信息处理者收集的个人信息,除存在依法不得查阅复制或权利滥用等情形外,均可依法行使查阅复制的权利,并不以个人信息泄露或存在泄露风险为前提条件。周某作为平台注册用户,对于平台所收集的个人信息及相关处理情况,有权要求平台进行披露。故判决该电子商务有限公司提供其收集的周某相关个人信息,以及其处理的相关情况,供周某查阅、复制。

  ■专家点评

  中国人民大学法学院教授  丁晓东

  该案明确了个人信息查阅复制权的边界,体现了个人信息国家保护义务的制度性保障,具有十分重要的典型意义。查阅复制权是一种程序性的、防御性的权利,既是个人信息处理公开、透明原则的重要体现,也是个人实现信息处理知情权的重要途径,同时是个人行使更正、补充、删除等其他个人信息权利的重要前提。查阅复制权的行使会影响到平台企业的合规成本、运行效率,不应给相关企业造成过重的负担,更不能侵害其他用户的合法权益。

  使用公民个人信息应合理必要

  2021年4月4日,张某等6人到某商家购买了“剧本杀”游戏服务,游戏结束后感觉体验不佳,在相关游戏微信群中发表游戏体验的负面言论,并在相关平台给予“差评”。该商家因上述负面评价导致桌面游戏热门榜及点评星级均有所下降。商家在与张某等人沟通协商未果后,在其微信公众号上发布“澄清证明”,内容有张某等人的微信群聊记录、游戏包厢监控视频录像片段、张某等人的微信账号信息,并称“可向公众提供全程监控录像”。张某等人认为商家上述行为侵害其隐私权、名誉权和个人信息权益,遂起诉至法院,要求停止侵权、赔礼道歉及赔偿精神损失。商家则以张某等人恶意发布差评为由,提起反诉要求其承担侵害名誉权的责任。

  广州互联网法院审理后认为,张某等人在某商家提供的包间内的游戏活动具有私密性,未征得张某等人的同意,商家擅自公开监控录像,构成对消费者隐私权的侵害。商家因提供服务获取的张某等人微信个人账号属个人信息,擅自公开亦构成对个人信息权益的侵害。张某等发布的“差评”系对游戏服务体验的主观感受,不属于虚构事实,商家店铺排名因差评降低,也属正常经营风险,因此张某等发布差评,不构成对该商家的侵权。法院遂判令该商家立即停止在微信公众号中公开含有张某等画面的监控录像,删除“可提供全程监控录像”的表述,以及张某等人的微信个人账号信息,通过微信公众号发布致歉声明,并向张某等人赔偿精神损害抚慰金各1000元。

  ■专家点评

  北京理工大学法学院教授  洪延青

  在大数据时代,网络技术为消费者购买商品和服务提供了快捷与便利,人们之间信息隐私无论是主动还是被动的交换、流转都越来越频繁,但是同时也应注意到商家对其掌握的消费者个人信息的合理使用界限。本案商家因提供“剧本杀”服务获取张某等的微信账号信息,如需公开必须满足个人信息保护法的要求,否则即属于违法处理个人

  信息。值得注意的是,消费者很多零散、杂乱信息不具备身份特征属性,但经处理组合后可能具有一定的识别度,如果经组合后擅自披露能识别消费者身份或其他信息,且未经本人许可或者超出必要限度,也可能涉及违法。

  保护用户个人信息是平台应有之责

  某互联网公司开发了某App借贷平台,并持有、保管贷款人提交的个人资料信息。杨某于2017年7月至10月在该App借贷平台借款4万余元。借款前,杨某按照该App借贷平台要求,注册登记个人信息,提供身份证正反面照片和本人手持身份证照片,授权通讯录联系人。后因杨某逾期未还款,杨某及其亲属、同事、朋友频繁收到了自称是某App或陌生人的催收信息。催收信息内容除了借贷情况的基本信息外,还制作并向杨某发送了诋毁杨某的图文信息。杨某认为该公司捏造事实肆意诽谤,并以辱骂、威胁方式催款、并向他人恶意泄露其个人信息,侵犯了其个人隐私权、名誉权,遂于2018年8月,将该公司诉至法院,要求其赔礼道歉、消除影响、恢复名誉,赔偿精神损害抚慰金。

  广东省珠海市香洲区人民法院审理后认为,催收人掌握了杨某与某App之间的借款详情及杨某提交给某App的个人信息,且发送信息目的是为某App向杨某催收欠款,表明是互联网公司向第三方提供了杨某的相关个人信息。该公司通过某App软件取得杨某的个人信息,应依法确保杨某的个人信息安全,但其向第三方催收人提供杨某的个人信息,侵犯了杨某个人信息受法律保护的民事权利。催收人向杨某及其朋友发送带有毁损杨某名誉的图文信息及骚扰信息等威胁方式进行讨债,对杨某构成精神损害,故判决该互联网公司向杨某书面赔礼道歉,并酌情支付精神损害抚慰金2000元。

  ■专家点评

  华南理工大学法学院教授  滕宏庆

  网贷平台在放贷前利用优势地位过度收集借款人各种信息,一旦借款人违约还款,采取骚扰借款人本人和借款人手机通讯录中的联系人等方式催收,不仅涉及侵犯网络信息安全和公民个人信息与隐私的法律风险,情节严重的,还将构成侵犯公民个人信息罪。因此,网贷公司应通过包括调解和诉讼等多元的合法手段对逾期借款人进行催收,不能因回收债权而侵犯公民个人信息安全和人格权。网络借贷作为互联网金融的典型形式之一,应同时受到金融和互联网等多重领域法律的规制。国家立法需从网贷商业模式的角度进一步细化网贷平台的相关义务,逐步规范信用评级和监管机制,保障合法合规经营。

  过度收集个人信息当心侵权

  某网络科技公司开发运营了供消费者、商家开展交易的某电子商务平台App,该App的《隐私政策》在“用户信息的收集和使用”中列举了拟收集的用户信息,并未包括用户剪贴板信息,安装App后手机页面显示的权限内容也未包含剪贴板信息。2020年1月,李某通过扫描某网络科技公司的官方网站下载该App,其在使用过程中发现该App存在未经用户许可监测、读取剪贴板信息的行为。李某认为剪贴板可以存储身份证号等个人敏感隐私信息,该网络科技公司的行为侵害其个人信息权益以及隐私权,遂诉至法院,要求某网络科技公司赔礼道歉、消除影响等。

  广州互联网法院审理后认为,案涉App在其《隐私政策》中对App拟收集的用户信息进行了列举,但用户剪贴板信息并未列举其中。在成功安装App后,手机页面显示的App权限内容也未包含剪贴板信息,结合鉴定意见和某公司的答辩情况,可以确认某公司未经李某许可,对其剪贴板信息进行监测和读取。某公司作为该App实际运营者、网络服务提供者,未向李某主动告知上述情况,且未经李某许可,存在过错。因此,案涉App未经许可监测、读取李某手机剪贴板信息的行为,侵害李某的隐私权。故判决某网络科技公司向李某赔礼道歉。

  ■专家点评

  中国社会科学院法学研究所网络与信息法研究室副主任  周  辉

  公民个人信息被过度收集是各种侵犯公民个人信息案件频发的重要原因之一。合理与过度收集的界限划定,应结合收集个人信息的场景、目的等进行判断。合理收集用途应具有正当性,收集范围应当限于实现处理目的的最小范围,不得未经用户同意擅自扩大收集信息的范围。收集的信息与提供的服务间应有必要联系,为消费者提供相关服务才可以合理收集相关的个人信息,但超出范围的就属于过度收集。如打车软件要求获取地址信息可以理解,但在此基础上收集用户身份证号等就是过度收集,“跨出”了合理界限,可能会侵害用户的个人信息权益。

  ■记者观察

  2021年11月个人信息保护法正式实施。作为一部保护公民个人信息的专门法律,它与民法典、数据安全法、消费者权益保护法等法律共同编织成一张个人信息保护网。数字经济时代,以App安全为代表的网络安全关系到个体层面的隐私保护,产业层面的科技竞争、创新和发展,以及国家层面的数据安全和全球数字竞争力。在打击个人信息处理犯罪同时,要促进个人信息合理利用,推进网络空间治理法治化,以更好地筑牢个人信息安全堤坝。

  此类案件主要呈现出泄密信息种类多样化、个人信息涉及面广、与下游犯罪结合紧密、社会应对消极、利益链条长等特点,由此也引起了社会各界的高度关注。

  司法层面如何保护网络个人信息已成为时代之问、人民之问、未来之问。从此次广东高院发布的个人信息司法保护典型案例来看,人民群众对个人信息,特别是网络个人信息的需求在不断提升的同时,司法保护的力度和范围也在不断加强,在所发布的典型案例中,其中就包括了侵犯公民个人信息犯罪、个人信息基础权利行使、敏感个人信息的保护、遏制恶意公布个人信息等多个方面。

  以App为代表的数字经济时代,极大地方便了人们的生活,同时也带来了公民个人信息收集的边界之争。对此,广州互联网法院关于李某诉某网络科技公司一案予以了明确,相关App未经许可监测、读取手机剪贴板信息属于侵犯隐私权的行为。该案进一步警示了相关平台收集用户资料应遵循正当和合理性原则,且收集行为应限于最小范围,对未经用户同意擅自扩大收集信息范围是法律不予允许的。明确了个人信息收集的界限,将更好地理顺提供服务与收集信息之间的内在联系,对平台的健康发展和个人隐私权的保护将会是和谐共赢的局面。

  新时代的个人信息保护呼唤全社会的共同参与,不断织密信息保护安全网。在香洲区法院审理的案例中,法院依法认定平台方在未经本人许可或者超出必要限度的使用个人信息的行为构成侵权,并在判决中指出对掌握大量公民个人信息的企业和从业人员,要持续加强行业自律,尊重用户隐私,保护数据安全,通过建立内部数据合规管理制度,将用户权益保护作为企业发展的生命线,确保个人网络信息洪流始终流淌在安全的大河里,并真正实现服务个人、服务社会和经济发展大局。

责任编辑:于子平