杭州互聯網法院發布個人信息保護十大典型案例
信息技術和數字經濟的飛速發展,對個人信息司法保護提出新的要求和挑戰。人民法院如何貫徹“以人民為中心”的根本立場,切實將人民群眾網絡空間合法權益維護好、保障好、發展好,助力數字經濟真正行穩致遠?杭州互聯網法院聚焦個人信息保護領域的突出問題和人民群眾的重大關切,在成立五周年之際,特別發布“個人信息保護十大典型案例”。
案例一:民法典實施后全國首例個人信息保護民事公益訴訟案——杭州市上城區人民檢察院訴孫某非法買賣個人信息民事公益訴訟案
【入選理由】
隨著信息技術的高速發展,社會生活已高度數字化,個人信息被大規模、自動化地收集和存儲的情形幾乎無處不在、無時不在。與此同時,大數據與人工智能技術的發展使得對海量數據的分析與使用變得異常簡單,自然人個人信息被濫用甚至侵害的可能性也大幅上升。圍繞個人信息的非法獲取、非法出售、非法提供、非法利用,儼然已形成了一條完整的非法產業鏈。其中,侵犯個人信息的違法犯罪居于上游,而中游、下游滋生出如電信詐騙、金融詐騙、敲詐勒索等犯罪行為,以及信息騷擾、網絡暴力等社會現象成為不容忽視的社會問題。隨著個人信息保護正式寫入民法典,個人信息保護開啟了新篇章。個人信息保護不僅涉及自然人個人的權益保障,同時也具有社會公共利益的屬性,在各行各業對個人信息依賴程度逐漸加深的背景下,個人信息的保護力度必須提升。本案系全國首例適用民法典的個人信息保護民事公益訴訟案,體現了法律對涉及社會公共利益的社會不特定民事主體個人信息的保護和重視,也體現了司法對不特定自然人個人信息保護路徑的積極探索和有益創新。
本案入選最高人民法院《民法典頒布后人格權司法保護典型民事案例》。
【案例索引】
一審:杭州互聯網法院(2020)浙0192民初10605號
【案情介紹】
2019年2月起,被告孫某以34000元的價格,將自己從網絡購買、互換得到的4萬余條含姓名、電話號碼、電子郵箱等的個人信息,通過微信、QQ等方式販賣給案外人劉某。案外人劉某在獲取相關信息后用于虛假的外匯業務推廣。公益訴訟起訴人認為,被告孫某未經他人許可,在互聯網上公然非法買賣、提供個人信息,造成4萬余條個人信息被非法買賣、使用,嚴重侵害社會眾多不特定主體的個人信息權益,致使社會公共利益受到侵害,據此提起民事公益訴訟。
【裁判內容】
杭州互聯網法院經審理認為,民法典第一百一十一條規定,任何組織或者個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。被告孫某在未取得眾多不特定自然人同意的情況下,非法獲取不特定主體個人信息,又非法出售牟利,侵害了承載在不特定社會主體個人信息之上的公共信息安全利益。遂判決孫某按照侵權行為所獲利益支付公共利益損害賠償款34000元,并向社會公眾賠禮道歉。判決后,當事人均服從法院判決未提起上訴,判決已生效。
【裁判要旨】
《中華人民共和國民法典》第一千零三十四條規定,自然人的個人信息受法律保護。個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。該法第一百一十一條規定,任何組織或者個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。本案中,孫某在未取得相關主體同意的情況下,非法獲取含有自然人姓名、電話號碼、電子郵箱的個人信息,并以牟利為目的將獲取的4萬余條個人信息進行非法出售。孫某的行為屬于非法收集、買賣個人信息的大規模侵權行為,侵害了承載在不特定社會主體個人信息之上的公共信息安全這一公共利益,構成對公共信息安全領域的社會公共利益侵害。
案例二:兒童個人信息的司法保護——杭州市余杭區人民檢察院訴某短視頻平臺未成年人保護民事公益訴訟案
【入選理由】
本案系全國首例兒童個人信息、網絡安全保護民事公益訴訟。案件涉及對大型移動互聯網(APP)平臺處理兒童用戶個人信息,是否侵害兒童用戶主體權益,以及平臺是否盡到對兒童用戶網絡安全保障義務的司法認定,屬于社會關注度高且新型、疑難復雜的案件。新修訂的未成年人保護法增設未成人網絡保護專章,對互聯網企業如何合法、合規處理兒童個人信息做出了原則性規定,但目前在司法實踐中案件量極少,司法機關對此類案件審理還處于起步探索階段。本案從平臺對兒童用戶的識別責任,平臺如何獲得監護人有效明示同意,平臺能否對兒童用戶基于畫像進行個性化推薦,平臺能否對兒童用戶進行自動化決策,以及平臺如何對兒童隱私信息進行主動安全保護等多個維度,全方位對大型互聯網平臺保護未成年人個人信息權益做出典范。
本案入選 “第十三屆全國人民代表大會最高人民法院工作報告”“最高人民檢察院第三十五批指導性案例”“最高人民檢察院個人信息保護典型案例”“浙江法院個人信息保護典型案例”等。
【案例索引】
一審:杭州互聯網法院(2020)浙0192民初10993號
【案情介紹】
公益訴訟起訴人在辦理徐某某猥褻兒童刑事案件時發現,某科技公司運營的某短視頻App存在侵害眾多不特定兒童個人信息的侵權行為,具體包括:1.未以顯著、清晰的方式告知并征得兒童監護人有效明示同意的情況下,允許注冊兒童賬戶,并收集、存儲兒童網絡賬號、位置、聯系方式,以及兒童面部識別特征、聲音識別特征等個人敏感信息;2.在未再次征得兒童監護人有效明示同意的情況下,運用后臺算法,向具有瀏覽兒童內容視頻喜好的用戶直接推送含有兒童個人信息的短視頻;3.某短視頻App未對兒童用戶采取區分管理措施,默認用戶點擊“關注”后即可與兒童賬戶私信聯系,并能獲取其地理位置、面部特征等個人信息。公益訴訟起訴人認為,某科技公司前述行為侵害了社會公共利益,遂提起民事公益訴訟。在法院調解下,公益訴訟起訴人與被告某科技公司達成調解協議,某科技公司對調解事項已經履行完畢。
【裁判內容】
杭州互聯網法院于2021年3月11日作出(2020)浙0192民初10993號民事調解書:1.被告某科技公司停止對兒童個人信息的侵權行為,按照《中華人民共和國民法典》、《中華人民共和國未成年人保護法》(2021年6月1日施行)、《中華人民共和國網絡安全法》、《兒童個人信息網絡保護規定》等法律法規對兒童個人信息保護的要求,對某短視頻APP網絡平臺進行整改。針對案涉問題,被告某科技公司承諾,按雙方確認的合規整改方案、時間推進表(具體內容以附件為準),落實、執行;2.被告某科技公司完成整改后,應對整改完成情況及效果進行評估,并向公益訴訟起訴人、人民法院出具詳細的整改完成情況報告書;3.被告某科技公司應根據相關監管法規要求,將整改措施方案及整改完成情況報告書報送網信部門,自覺接受合規審查;4.被告某科技公司就涉案侵權行為,在《法治日報》及某短視頻App官方帳號首頁顯著位置公開賠禮道歉;5.被告某公司承諾在今后的運營過程中嚴格遵守兒童個人信息保護的法律、法規,并自覺接受網信等行政監管部門的監督檢查;6.被告某公司于調解協議生效后七個工作日內,賠償因侵權行為造成的社會公共利益損失人民幣150萬元,款項交相關兒童公益保護組織,專門用于兒童個人信息安全保護等公益事項。
【裁判要旨】
1. 面向兒童用戶提供網絡服務的互聯網平臺(信息處理者)在缺乏單獨《兒童個人信息/隱私保護政策》和《兒童個人用戶協議》,未采取合理措施通知監護人并征得監護人有效明示同意的情況下,處理兒童用戶地理定位、聯系方式、面部、肢體、聲音等個人信息的,應認定為違法處理用戶個人信息。
2. 兒童個人信息屬敏感個人信息,信息處理者未對兒童個人信息建立專門保護池,采取加密存儲措施,應認定為違規存儲兒童個人信息。
3. 信息處理者在未獲得兒童監護人單獨授權同意的情況下,基于算法的自動化決策將含有兒童用戶個人信息的短視頻向其他用戶進行推送,應認定為違法處理兒童個人信息。
4. 信息處理者對兒童用戶進行畫像,未獲監護人同意默認開啟個性化推薦,運用算法進行內容推送,應認定為違法處理兒童個人信息。
5. 信息處理者在征得監護人同意前,對兒童用戶未強制開啟陌生人關注限制功能、未強制隱藏兒童用戶位置、未強制開啟兒童用戶私信限制、未強制關閉兒童用戶通訊錄推薦、未強制關閉通過手機號搜索兒童用戶功能、未強制關閉兒童“熟人圈”功能、未強制關閉兒童動態展示功能、未強制關閉推薦兒童給可能感興趣的人、未強制開啟兒童作品在同城不顯示等功能,應認定為未履行對兒童用戶的隱私安全保護義務。
6. 信息處理者侵害平臺內不特定兒童用戶個人信息權益,應認定為侵害社會不特定未成年人群體的社會公共利益。
案例三:手機APP收集、使用用戶個人信息的限度——杭州市余杭區人民檢察院訴某網絡科技有限公司個人信息民事公益訴訟案
【入選理由】
大數據時代的來臨為公民生活帶來極大便利,同時,個人信息被惡意非法泄露的現象也普遍存在。尤其在消費領域,消費者個人信息經常被網絡信息服務提供商大規模的違法收集、使用,嚴重侵擾公民個人生活安寧,破壞社會秩序,加強消費者個人信息保護具有迫切性和重要性。本案體現出在侵犯眾多消費者個人信息行為損害社會公共利益的情況下,檢察機關在消費領域提起個人信息保護民事公益訴訟具有可行性與必要性。同時,本案針對移動互聯網應用程序(App)未按要求公布隱私政策或隱私政策不規范、強制授權、過度索權、超范圍收集個人信息等行為進行審查,明確上述行為邊界和違法性范圍。
本案入選 “最高人民檢察院檢察機關個人信息保護公益訴訟典型案例”“浙江法院個人信息保護典型案例”。
【案例索引】
一審:杭州互聯網法院(2020)浙0192民初4252號
【案情介紹】
案涉APP是被告某網絡科技有限公司開發、運營的一款音樂視頻教學類手機應用程序,主要功能為在線音樂教育,通過直播教學,提供熱門樂器線上教學視頻。該APP應用程序在安裝、使用過程中存在以下涉及用戶個人信息的違法、違規現象:1.該APP在下載安裝及使用過程中未顯示隱私政策條款,未通過彈窗等明顯方式提示用戶閱讀隱私政策等個人信息收集使用規則,且沒有具體隱私政策的內容;2.該APP因用戶不同意收集非必要個人信息或打開非必要權限,而拒絕提供業務功能;3.該APP在申請打開可收集用戶行蹤軌跡等個人敏感信息時,未同步告知用戶其目的、方式和范圍。
【裁判內容】
在審理過程中,經法院組織調解,雙方當事人達成調解協議:1.被告立即停止實施侵害案涉App用戶個人信息的違法、違規行為,按照《中華人民共和國網絡安全法》、《App違法違規收集使用個人信息行為認定方法》(國信辦秘字〔2019〕191號)、《信息安全技術 個人信息安全規范》(GB/T 35273-2017)等法律、規范性文件對APP用戶個人信息保護的要求,于2020年9月9日前對該App進行全面整改,即該App存在的未公開收集使用規則、未明示收集使用個人信息的目的、方式和范圍、未經用戶同意收集使用個人信息、違反必要原則收集與其提供的服務無關的個人信息、未按法律規定提供刪除或更正個人信息功能等違法違規收集個人信息的行為;2.被告于2020年9月9日完成前述第一項承諾的整改內容,并由轄區內行政監管部門認可的第三方檢測機構對整改情況進行全面的APP個人信息收集合規檢測,若第三方檢測機構提供的檢測報告顯示該App仍存在有違法違規收集用戶個人信息的行為,被告立即對該App做全面下架整改直至檢測通過;3.被告立即刪除違法違規收集、儲存的全部用戶個人信息,包括用戶精確定位信息(經緯度信息)、手機設備號信息(IMEI)幾十萬余條等,相關信息刪除情況由轄區內行政監管部門認可的第三方檢測機構在檢測報告中予以查詢、確認;4.被告就侵害案涉App用戶個人信息的行為,在法治日報及該App首頁向社會公眾做公開賠禮道歉(賠禮道歉的內容需經公益訴訟起訴人、人民法院審核通過,案涉App首頁的致歉信持續置頂時間不少于7個工作日);5.被告承諾在今后的運營過程中嚴格遵守個人信息保護的法律、法規,不再有違法違規收集使用個人信息行為,并自覺接受轄區內行政監管部門的監督檢查;6.若被告未按前述協議約定的內容履行,存在違反本協議約定的行為,其相關違法、違規收集用戶個人信息行為一經行政主管部門或司法機關確認,將自愿向公益訴訟起訴人杭州市余杭區人民檢察院支付50萬元違約金(該違約金全部用于全國性個人信息保護公益基金的公益支出)。
【裁判要旨】
未在顯著位置公布隱私政策,未主動提示用戶閱讀收集個人信息規則、在申請收集用戶行蹤軌跡(定位)等個人敏感信息時,未同步告知用戶其目的、在用戶拒絕授權的情況下默認獲取部分權限、要求用戶給予“獲取手機號碼、IMEI、IMSI權限”“讀取手機中已安裝應用列表”“通過網絡或者衛星對設備定位”權限等行為分別違反“未公開收集使用規則”“未明示收集使用個人信息的目的、方式和范圍”“未經用戶同意收集使用個人信息”“違反必要原則,收集與其提供的服務無關的個人信息”等規定,屬于違法違規處理用戶個人信息的侵害行為。
案例四:銀行處理個人征信信息是否侵害個人信息權益——王某訴某銀行股份有限公司個人信息保護糾紛案
【入選理由】
本案例圍繞個人信息保護的爭議展開,并于《個人信息保護法》施行當日宣判,獲得了社會廣泛關注。自然人有獨立人格,有權防范他人不當處理涉及個人的信息,以維護憲法賦予個體享有的人格自由與尊嚴。于此同時,個人信息權益作為一項人格權益并非絕對權,需權衡個人信息上存在的個人利益、社會利益和公共利益。在對該項權益進行保護時,應在保護個人尊嚴和自由、規范個人信息處理活動的同時,促進個人信息合法合理使用。本案中,征信信息不同于一般個人信息,其既可以防范風險,為交易安全創造條件,又可以促使個體保持良好信用,以較低的交易成本獲得較多的交易機會,而缺乏良好信用記錄的個人則相反。本案通過厘清征信信息的法律屬性,明確信貸業務機構處理征信信息行為的審查標準,以及個人信息權益保護的兩項請求權基礎,對逾期的不誠信行為進行否定性評價,引導個人維護自身良好信用,促進征信業健康發展,構建誠實守信的社會信用體系,形成“誠信受益,失信懲戒”的社會環境。體現了個人信息保護的時代精神,對類案處理有一定的參考價值。
【案例索引】
一審:杭州互聯網法院(2021)浙0192民初5426號
【案情介紹】
2021年4月26日,原告王某發現其個人征信報告中有若干筆由被告某銀行的放款記錄,其中2021年1月13日放款45萬元。原告主張其對該放款不知情也未與該銀行簽訂過借款合同。被告某銀行單方面制作虛假電子借款合同、征信查詢授權書等,并未經原告同意單方面查詢原告征信,上傳原告不良征信,私自收集原告人臉、聲音信息等侵犯原告個人信息。被告某銀行認為雙方存在合法有效的金融借款合同關系。為了放款需要,被告在征得原告同意后查詢了原告的征信,并根據規定向征信系統報送了原告貸款情況,不存在侵權行為。原告貸款逾期造成自身不良征信記錄,應自行承擔責任。
【裁判內容】
杭州互聯網法院經審理認為,原告通過在線系統與被告簽訂涉案金融借款合同。根據放貸前原告與客服的面談雙錄視頻顯示,原告對涉案45萬元借款的放款銀行等信息系明知,原告主張未簽訂涉案合同的意見法院不予采信。在涉案合同簽訂過程中,被告銀行根據放款審批需要,在原告自行簽署授權書授權被告查詢的情況下查詢原告的個人征信情況,并通過在線雙錄視頻的方式核實原告的行為能力、貸款意愿真實性等內容,符合合法、正當、必要原則,屬于合理使用。原告逾期還款后,被告向中國人民銀行個人信用信息基礎數據庫報送其逾期情況符合金融機構管理要求,亦有原告書面授權,并有相應規范依據,不存在侵權行為。遂判決駁回原告訴訟請求。判決后,當事人均服從法院判決未提起上訴,判決已生效。
【裁判要旨】
1. 放貸銀行在貸款人知情同意的情況下向中國人民銀行個人信用信息基礎數據庫報送貸款人不良征信信息,屬于個人信息的合理使用。
2. 放貸銀行在審核貸款過程中,通過在線雙錄視頻的方式核實原告的身份信息、貸款意愿真實性等內容,符合合法、正當、必要原則,屬于個人信息的合理使用。
案例五:組織搭建平臺買賣個人信息的賠償標準認定——杭州市拱墅區人民檢察院與鄧某、肖某某未成年人保護、個人信息保護民事公益訴訟案
【入選理由】
在數字時代的背景下買賣個人信息的侵權行為顯著增多,多數公益訴訟案件仍然局限于規制個人信息買賣侵權行為。本案系首例對組織搭建平臺買賣個人信息行為的公益訴訟進行司法審查的典型案例。本案涉及組織搭建平臺買賣個人信息共同侵權認定及損害賠償責任確定和承擔的問題,從立法本意出發,結合案件實際侵害程度與影響范圍,根據整個平臺涉及的總體交易量、銷售額來評判組織搭建平臺買賣個人信息的侵權行為損害賠償,對公民信息保護與未成年人保護具有雙重意義。
【案例索引】
一審:杭州互聯網法院(2021)浙0192民初9214號
【案情介紹】
2020年3月,肖某通過QQ群向群友購買發卡平臺源碼,后找人搭建平臺,并注冊發卡平臺網站。2020年4月,肖某因自己尚未成年,找到鄧某借用其公民身份證件注冊公司,并以注冊的公司綁定涉案平臺網站。2020年8月,涉案平臺網站對外開放注冊,涉案平臺主要用于出售未實名注冊某網絡平臺賬戶、公民身份號碼等個人信息交易。肖某對每筆交易訂單抽成。至案發時,肖某自述涉案平臺共有200多個賣家,累計收取抽成20000余元。根據杭州市公安局拱墅區分局網絡警察大隊的調查統計,涉案平臺網站數據庫內共存有去重的公民身份號碼90余萬條。根據生效刑事判決的認定,涉案平臺交易總金額超過470000元,涉案平臺現已關閉。另查明,杭州市拱墅區人民法院于2021年3月以侵犯公民個人信息罪分別判處鄧某有期徒刑4年,并處罰金60000元,退出違法所得30000元,予以沒收,上繳國庫;肖某有期徒刑4年3個月,并處罰金110000元,退出違法所得100000元,予以沒收,上繳國庫。公益訴訟起訴人認為,鄧某、肖某在互聯網上公然非法收集、建立網站非法買賣未成年人身份信息的行為違反相關規定,對承載在未成年人個人信息之上的公共信息安全造成損害,因此向法院提起公益訴訟,請求判令鄧某、肖某賠償損失300000元并在國家級媒體上公開賠禮道歉。
【裁判內容】
杭州互聯網法院審理認為:公益訴訟起訴人系就鄧某、肖某某搭建、運營涉案平臺,非法出售并允許他人出售未成年人身份信息的行為損害未成年人公共利益提起訴訟。本案爭議焦點為:一、鄧某、肖某某所實施的被訴侵權行為是否侵害社會公共利益;二、鄧某、肖某某各自應承擔何種民事責任。
關于被訴侵權行為是否侵害社會公共利益。《中華人民共和國民法總則》第一百一十一條規定:“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。”《中華人民共和國網絡安全法》第四十四條規定:“任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。”本案中,由于被侵權人數眾多,被侵權人分布全國各地,侵害的未成年人群體的公共利益,已足以達到《中華人民共和國民事訴訟法》第五十八條第二款所規定的“眾多”的標準,構成對公共信息安全領域的社會公共利益侵害。
關于被訴侵權行為的實施主體認定。根據本院業已查明的事實,肖某某系利用發卡平臺源碼,找人搭建、注冊涉案平臺。后肖某某經鄧某同意用其公民身份證件注冊了錦江區余琪范網絡工作室,并綁定、備案涉案平臺。此過程中,肖某某已明確告知鄧某借用其公民身份證件的目的系為了注冊公司及運營涉案平臺,而鄧某在接受公安機關訊問及本院庭審中均自認其知曉建立、運營涉案平臺的目的系非法出售并允許他人出售公民個人身份信息。應當明確的是,包括鄧某、肖某某在內的涉案平臺所有賣家所實施的出售未實名某網絡平臺賬戶、公民身份號碼等個人信息的侵權行為,均依托于涉案平臺。換言之,涉案平臺即鄧某、肖某某等人實施侵權行為的手段。故鄧某、肖某某共同實施了非法收集、買賣個人信息的侵權行為,主觀上亦具有共同意思聯絡的故意,侵害了眾多個人的信息權益和社會公共利益,該損害后果與被訴侵權行為具有直接因果關系,構成共同侵權。
關于責任承擔的問題。由于鄧某、肖某某通過搭建、運營涉案平臺,在未取得眾多、不特定未成年人同意的情況下,非法獲取、出售未成年人身份信息的行為,極大地傷害了上述信息涉及的未成年人的人格尊嚴和人格自由,鄧某、肖某某應當通過公開賠禮道歉的方式就其行為向社會公眾表達歉意。考慮到被訴侵權行為可能波及的范圍,公益訴訟起訴人請求判令鄧某、肖某某在國家級媒體上向社會公眾賠禮道歉,理由正當,應予以支持。關于損害賠償的問題。本案中,鄧某、肖某某均否認其搭建、運營涉案平臺的行為造成他人的財產損害,且二人均只認可在單獨出售個人身份信息的范圍內承擔財產賠償責任。本院認為,涉案平臺賣家均依托于涉案平臺才能夠向買家出售未成年人身份信息,而肖某某系涉案平臺的實際控制人,且從涉案平臺所有賣家的交易中抽成2.5%,顯然肖某某并非僅從其出售的個人店鋪訂單中獲利。而雖然現有證據不足以證明鄧某存在分享抽成的事實,但搭建、運營平臺亦系所有非法交易的基礎,該危害性亦應當從整個涉案平臺出售的未成年人身份信息予以考量。由于鄧某、肖某某侵害的是眾多、不特定未成年人的利益,對社會公共利益造成的損失難以界定。但涉案平臺共計出售多達90余萬條未成年人身份信息,僅憑現有生效刑事判決統計的平臺總銷售額亦已超過470000元,公益訴訟起訴人要求鄧某、肖某某承擔300000元的損害賠償金,具有事實根據和法律依據,亦符合比例原則,依法予以支持。關于鄧某要求與肖某某劃責區分出其應獨立承擔責任的請求。本院認為,雖然肖某某基于涉案平臺抽成在總體獲利上可能較鄧某稍多,但從侵權責任的因果關系分析,被訴侵權行為所表現出的社會危害性及所造成的實際損害后果,系主要表現在涉案平臺出售的未成年人身份信息上,故鑒于被訴侵權行為系鄧某、肖某某二人共同實施,并不存在可分性,本院對鄧某上述抗辯意見不予采納。
法院判決:一、被告鄧某、肖某某于本判決生效之日起十日內支付侵害社會公共利益的損害賠償款人民幣300000元(此款交由公益訴訟起訴人代為保管,專門用于個人信息保護或信息安全等公益事項);二、被告鄧某、肖某某于本判決生效之日起十日內在國家級媒體上向社會公眾刊發賠禮道歉聲明(道歉聲明的內容須經本院審核),相關費用由被告鄧某、肖某某負擔。判決后,當事人均服從法院判決未提起上訴,判決已生效。
【裁判要旨】
搭建平臺銷售個人信息的共同侵權行為既侵害信息主體的個人信息權益,也侵害不特定多數人的權益,構成對社會公共利益的侵害。共同侵權人之間具有共同意思聯絡,且共同實施了侵權行為,故應當對平臺內所有銷售個人信息的行為損害后果負賠償責任。同時,從侵權行為人對損害的原因力和過錯大小分析,共同侵權人應當共同承擔連帶責任。
案例六:電子公交卡場景下的個人信息權益保護與利用——黃某某訴某信用管理有限公司個人信息保護糾紛案
【入選理由】
本案主要涉及具有先享后付功能的電子公交卡場景下個人信息保護與利用。本案通過場景理論,動態的場景分析、風險評估、利益均衡機制,著重審查開通某信用服務是否具備電子公交卡場景下個人信息處理的必要性,認定某信用服務以最小的代價即對用戶進行事先信譽評估的方式,彌補了先享后付功能的短板,為信息處理者履行合同所必需,符合必要原則。本案肯定了提供某信用服務和先享后付功能的電子公交卡的商業運營模式,在個人信息權益和社會公共利益之間作出利益權衡,為其他信息處理者處理個人信息作出規范引導。
【案例索引】
一審:杭州互聯網法院(2021)浙0192民初8058號
【案情介紹】
2021年3月15日,黃某某發現其某信用賬戶未經其允許被擅自開通,詢問某信用管理有限公司(以下簡稱某信用公司)客服得知系其于2021年3月7日開通了重慶公共交通乘車碼時自動開通某信用賬戶所致,其中通過某應用開通重慶公共交通乘車碼時需點擊“同意協議并開通”,下方會有藍色字體載明“查看《某應用重慶公共交通付款服務協議》與《某服務協議》《用戶授權協議》,授權重慶公共交通乘車碼獲取你的姓名、手機號、身份證用于實名領卡”。黃某某當即要求某信用公司客服關閉其某信用賬戶及刪除賬戶內個人信息。2021年3月25日,黃某某在某應用開通清遠電子公交卡時,需點擊“同意協議并開通”,下方會有藍色字體載明“查看《乘車碼服務協議》《用戶授權協議》,授權清遠市民卡有限公司獲取你的姓名、手機號、身份證用于實名領卡”。黃某某未點擊閱讀前述協議即開通清遠電子公交卡,后某信用公司將黃某某某信用賬戶被開通的信息通過某應用推送。黃某某查閱《乘車碼服務協議》,載明“本服務協議由《清遠電子公交卡服務協議》和《某公交付款服務協議》《某服務協議》協議構成……”,其中《某公交付款服務協議》《某服務協議》均用藍色字體標注,可點擊查閱。2021年4月25日,黃某某自行注銷某信用賬戶。另查明,黃某某于2015年2月3日首次開通某信用賬戶,于2020年12月25日注銷;于2020年12月29日第二次開通某信用賬戶,于2020年12月29日注銷;于2021年2月28日第三次開通某信用賬戶,于2021年3月16日注銷;于2021年3月25日第四次開通某信用賬戶,于2021年4月25日注銷。
【裁判內容】
杭州互聯網法院審理認為:《中華人民共和國民法典》第一千零三十五條第一款對個人信息處理行為的合法性基礎、個人信息處理規則做出了原則性的規定,明確“知情同意”規則是個人信息處理行為是否合法的基本規則,信息處理者原則上只有在依法告知并取得信息主體的同意后才能對個人信息進行收集、存儲、使用、加工、傳輸、提供、公開等活動,否則屬于違法處理個人信息行為。處理個人信息的,應當征得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外。具體到本案:首先,開通某信用服務的行為符合正當原則。黃某某如需使用上述兩地電子公交卡,均需要查閱協議后,方可申領。在此過程中,相關協議均已在顯著位置,通過有別于頁面其他黑色字體的方式,提醒用戶注意查閱。因此,黃某某以某信用公司存在誤導其開通某信用服務,依據不足。其次,開通某信用服務的行為符合必要原則。本案中,公交服務公司與某網絡平臺通過合作,在原有乘車碼的基礎上,提供先享后付功能,會極大地改善機器故障、網絡信號遲緩、賬戶資金不足等諸多弊端。而先享后付功能的提供,需要一些必要的基礎條件支撐,其中最主要的即需要考慮如何減輕第三方公司墊資的損失,即如何督促未支付車費的用戶還款以及避免該部分用戶因后續乘車可能帶來的資損。因此,公交服務公司與某網絡平臺通過與某信用公司三方合作,解決先享后付功能的弊端。某信用服務在先享后付功能中提供的主要作用有三:一是某信用公司以其運營的某信用服務評價體系向公交服務公司、某網絡平臺提供用戶的信用和風險狀況,二是公交服務公司、某網絡平臺向某信用公司同步推送用戶乘車訂單信息及付款狀態,進一步積累訂單信息,分析用戶履約能力;三是公交服務公司、某網絡平臺通過某信用服務向未履約用戶推送還款信息。某信用服務以最小的代價即對用戶進行事先信譽評估的方式,彌補了先享后付功能的短板。故某信用服務在先享后付功能下具有充分必要性,為信息處理者履行合同所必需。再次,開通某信用服務的行為符合合法原則。某信用服務系作為電子公交卡付款碼服務和先享后付服務的基礎條件,此點通過《清遠電子公交卡服務協議》約定的,用戶理解并接受,電子公交卡申領需要同時符合《某應用公交付款服務協議》《某服務協議》中的相關條件即可印證。無論是公交服務公司、某網絡平臺以及某信用公司均充分給予了用戶相應的自主選擇服務的權利。黃某某認為其不需要使用某信用服務,完全可以不使用該服務,但如果不符合《某服務協議》中的相關條件,則黃某某亦會被公交服務公司拒絕提供電子公交卡服務。故某信用公司征得黃某某同意開通某信用服務并無強迫之意,已充分保障用戶的自主決定權,未違反相關法律規定。綜上,法院判決駁回原告黃某某的全部訴訟請求。判決后,當事人均服從法院判決未提起上訴,判決已生效。
【裁判要旨】
開通案涉信用服務已盡到提醒注意義務,并取得黃某某同意,符合正當原則。該信用服務以最小的代價即對用戶進行事先信譽評估的方式,彌補了先享后付功能的短板,為信息處理者履行合同所必需,符合必要原則。案涉信用服務充分保障用戶的自主決定權,未違反相關法律規定,符合合法原則。
案例七:網購平臺向內嵌支付機構提供用戶個人信息的合法性認定——吳某某訴上海某信息服務有限公司等違規提供用戶個人信息保護糾紛案
【入選理由】
個人信息權益屬于人格權益,個人信息保護源自于對個人私生活的尊重和個人事務自決(自由)原則,違法處理個人信息可能會侵害到自然人的人格尊嚴,但個人信息權益不等同于人格權,個人信息權益只是一種民事權益,不具有絕對權的保護強度,侵害個人信息權益并不必然導致人格尊嚴受損等精神損害后果,特別是尚未發生實質性損害的情況下更是如此。故在尚未發生實質性損害的情況下,違法處理信息主體的個人信息是否造成人格尊嚴等精神損害,應充分考慮處理行為的特點、量級、違法性和個人信息類型等因素,判斷信息主體是否因違法處理行為陷入可能預見的風險和焦慮中,若答案為肯定,則應認定構成對人格尊嚴、人格自由的精神損害。該案前述相關問題進行了有益的探索。
【案例索引】
一審:杭州互聯網法院(2021)浙0192民初2929號
二審:杭州中院(2021)浙01民終12780號
【案情介紹】
原告吳某訴稱,其下載某電商購物App并使用個人手機號注冊了賬號。登錄App后,原告發現某電商購物App“個人中心”欄項下有“某錢包”選項,遂按照App界面要求,在輸入原告本人真實姓名及身份號碼后開通了“某錢包”。在使用“某錢包”提供的“免輸卡號添加銀行卡”功能時,原告原本打算選擇自己有卡的銀行進行關聯,但誤觸了列表中的某銀行,得到了“暫無銀行卡可以綁定”的反饋。原告認為,其并未授權某電商購物平臺經營方告知某銀行自己真實姓名及身份號碼,某銀行能夠得知原告本人并無銀行卡在該行開具,系案涉App泄露原告的敏感個人信息所致,而某銀行亦因此非法獲得了原告的敏感個人信息。其后,原告在某電商購物App內查閱了相關用戶協議內容后還進一步發現, App的運營主體上海某公司與“某錢包”經營主體某付費通公司的運營主體并不一致,而在原告并未明確知情同意的情況下,其真實身份信息還由上海某公司傳輸給了某付費通公司,并極可能又由某付費通公司傳輸給了某銀行。原告自覺權利受損,遂決定注銷“某錢包”,但竟然無法注銷。故向法院提起訴訟。
經查,案涉電商購物平臺(APP)系由被告上海某公司運營的電商平臺。某電商購物APP在應用程序個人用戶界面上線了名為“某錢包”的支付服務應用功能,用戶可通過“某錢包”的支付功能在平臺內購物交易時進行充值、支付及提現等應用。“某錢包”的實際運營主體為某付費通公司。被告某付費通公司為實現用戶“某錢包”賬戶綁定銀行卡并具備銀行卡快捷支付功能,與包括某銀行公司在內的多家銀行機構開展有銀行卡快捷支付合作。原告吳某某使用案涉賬號首次進入某電商購物APP“某錢包”界面填入的個人姓名、公民身份號碼等信息,先由上海某公司收集、存儲,在原告不知情的情況下,再由上海某公司提供給某付費通公司。當原告進入“某錢包”添加銀行卡界面選擇免輸卡號進行銀行卡綁定操作時,某付費通公司則會將其姓名、公民身份號碼信息提供給選定綁卡的銀行,銀行獲取前述信息后根據提供的信息驗證該信息主體是否為該銀行的持卡人,若為該行持卡人則留存該信息并進入后一步綁卡操作流程;若非為該行持卡人亦留存該信息并向某付費通公司反饋結果。
【裁判內容】
杭州互聯網法院判決認為,某電商購物平臺向某付費通公司提供其收集的吳某某個人信息的行為屬于未明示信息處理的目的、方式、范圍的行為,吳某某系在未充分知情的情況下實施對其個人信息披露的同意。某電商購物平臺的上述行為既違反了其與吳某某之間的合同約定,也不符合個人信息處理活動應遵循的知情同意規則。某付費通公司收集吳某某個人信息時,某電商平臺APP未以任何形式告知吳某某,某付費通公司將獲取其案涉個人信息,更未以任何形式獲得過吳某某的同意,亦不存在通過訂立、履行合同必需規則或履行法定義務規則等獲得處理吳某某個人信息的合法性基礎。綜上,某電商購物平臺經營者、某付費通公司對吳某某個人信息的處理行為缺乏合法性基礎,法院認定二者的信息處理行為侵害了吳某某的個人信息權益。
某電商購物平臺經營者、某付費通公司違法處理吳某某的個人敏感信息。吳某某在未被充分告知的情況下披露了個人敏感信息,其因個人敏感信息被違法處理產生對個人信息風險的擔憂,對個人生命健康、人格尊嚴或經濟利益可能遭受嚴重損害或極易遭受損害產生恐懼、焦慮等情緒,可以認定為遭受到精神利益的損害。且某電商購物平臺經營者、某付費通公司作為行業內具有較大影響力的公司,更應嚴格依照法律法規處理用戶個人信息,對于平臺中違法處理個人信息的設置應予以及時發現、改進,并對相關的個人信息處理活動采取更加審慎、周密的方式,本案中某電商購物平臺經營者、某付費通公司顯未盡到前述注意義務,存在明顯的過錯。考慮到某電商購物平臺經營者、某付費通公司對吳某某個人信息的處理行為存在意思聯絡,故判令兩被告向吳某某進行書面道歉并賠償相應合理維權支出。
宣判后,被告上訴,二審法院駁回上訴,維持原判。
【裁判要旨】
《個人信息保護法》第十三條對個人信息處理行為的合法性基礎、個人信息處理規則做出了原則性的規定,并構建了以取得同意為原則,以豁免同意為例外的個人信息處理合法性基礎的二元結構。這表明,知情同意規則并非信息處理行為的唯一合法性基礎,為了在保護個人信息權益的同時,也能實現個人信息的合理利用,同時維護公共利益、國家利益等,通常對于信息處理者為訂立、履行個人作為一方當事人的合同所必需以及為履行法定職責或者法定義務所必需的處理行為等情形,也可認定為法定許可的情形,具有合法性基礎,不屬于違法處理行為。但信息處理者運用訂立、履行合同必需規則、履行法定職責或法定義務規則等作為其信息處理行為的合法性基礎時,需確保其處理行為符合對應規則的要求。
案例八:購物類APP自動化推薦應用的合法性基礎判定——郭某某訴某網絡有限公司個人信息保護糾紛案
【入選理由】
隨著web2.0技術為基礎的網絡平臺大量涌現,用戶的信息總量也巨幅增長,平臺運營者為了更好的篩選出最優信息,開發出不同種類的個性化推薦算法,通過用戶行動蹤跡、操作習慣、瀏覽偏好等維度,向用戶推薦與其需求相契合的內容,這已然成為互聯網時代的潮流。自動化算法推薦,依賴用戶個人信息的采集,在《個人信息保護法》出臺后,個性化推薦與用戶個人信息保護之間還缺少明晰的邊界。本案為網絡用戶針對互聯網平臺收集、使用用戶個人信息進行自動化推薦,提起的個人信息保護糾紛。互聯網時代更貼近用戶的個性化服務代表著用戶的普遍需求。如果認定其推送廣告的行為構成侵權,將極大阻礙互聯網新興技術和業務的正常健康發展,會限制互聯網新業務的發展空間,本案判決試圖在利用個人信息自動化決策與個人信息權益保護之間進行平衡,并尋找《個人信息保護法》第16條、24條的適用規則,在充分保障個人信息安全合法權益的同時,也保障和促進網絡服務行業的正常開展。
【案例索引】
一審:杭州互聯網法院(2021)浙0192民初5626號
【案情介紹】
原告郭某某在注冊、使用被告公司運營的某購物APP過程中發現,打開案涉APP時,APP會彈窗顯示《隱私權政策》《用戶協議》等,要求其選擇“同意”或“拒絕”,若其選擇“拒絕”,則不能繼續使用該購物APP。原告郭某某認為《隱私權政策》中含有以下內容:“向您展示商品或服務信息為向您展示更契合您需求的商品或服務信息,我們會收集和使用您在訪問或使用淘寶平臺網站或客戶端時的瀏覽、搜索記錄及設備信息、服務日志信息,以及其他取得您授權的信息,通過算法模型預測您的偏好特征,匹配您可能感興趣的商品、服務或其他信息,并根據您點擊、瀏覽或購買的情況,對向您展示的商品、服務或其他信息進行排序。為滿足您的多元需求,我們會在排序過程中引入多樣化推薦技術,拓展推薦的內容,避免同類型內容過度集中。我們也會基于您的偏好特征在淘寶及其他第三方應用程序向您推送您可能感興趣的商業廣告及其他信息,或者向您發送商業性短信息”,違反《個人信息保護法》第16條、第24條的相關規定,侵犯其個人信息權益,請求法院判令被告公司提供在原告不同意上述隱私政策內容時仍能使用案涉APP的選項,并就侵害原告個人信息權益的行為進行賠禮道歉、賠償經濟損失。經查,案涉購物APP對于自動化決策及其在信息推送、商業營銷行為中的應用,已通過下述APP內措施保障用戶的選擇權(拒絕權):(1)在APP內路徑“我的APP-設置-隱私設置-廣告管理”中,用戶可依照不同商品(或服務)類目選擇性地剔除個性化廣告,也可點擊按鈕整體關閉個性化廣告;(2)在APP內路徑“我的APP-設置-隱私設置-推薦管理”中,用戶可點擊按鈕整體關閉個性化推薦;(3)在APP內路徑“我的APP-足跡”“搜索框-歷史搜索”中,用戶可選擇刪除瀏覽、搜索記錄;(4)若用戶需要查看不針對其個人特征的排序,可以在搜索結果頁面點擊“篩選”,選擇其中的“銷量”“價格”“通用排序”進行設置。上述用戶選擇權(拒絕權)保障措施亦明晰載于案涉《隱私權政策》中。
【裁判內容】
杭州互聯網法院認為,案涉購物APP在《隱私權政策》中采取了首次運行時、用戶注冊時均提示用戶是否同意隱私政策的事前概括同意機制,對用戶基本知情同意權進行了保障。同時,通過在APP內部設置便捷的拒絕自動化推薦選項,對用戶個人信息權益保障提供了事后選擇機制。具體而言,案涉APP對于自動化決策及其在信息推送、商業營銷行為中的應用,已通過APP內措施保障用戶的選擇權:一是在“我的APP-設置-隱私設置-廣告管理”中,用戶可依照不同商品(或服務)類目選擇刪除個性化廣告,或點擊按鈕整體關閉個性化廣告;二是在“我的APP-設置-隱私設置推薦管理”中,用戶可以點擊按鈕整體關閉個性化推薦;三是在“我的APP-足跡”“搜索框-歷史搜索”中,用戶可以選擇刪除瀏覽、搜索記錄;四是用戶可以在搜索結果頁面點擊“篩選”,選擇其中的“銷量”“價格”“通用排序”進行不針對其個人特征的排序設置。故案涉APP提供的前述選擇機制,符合《個人信息保護法》第二十四條的規定,APP在首次運行時、用戶注冊時提示郭某某閱讀并請求其同意《隱私權政策》,并非以拒絕提供服務的形式強迫用戶同意的行為。綜上,被告公司未侵害原告個人信息權益,法院依法駁回了原告的訴訟請求。判決后,當事人均服從法院判決未提起上訴,判決已生效。
【裁判要旨】
信息處理者利用自動化決策方式進行個人信息處理活動,如收集、使用了具有個人特質的信息,個人信息處理者應當在第一次使用時,向個人提供便捷的拒絕方式。信息處理者事前通過隱私政策等取得個人概括性同意,以及事后提供拒絕方式,可視為對個人知情同意權的保障,此時,信息處理者利用個人信息進行自動化決策具有合法性基礎。
信息處理者通過自動化決策方式進行信息推送,未向個人提供拒絕的方式或拒絕的方式完全不能達到便捷性要求的,使用戶不能依據自己的真實意思表示進行拒絕,則個人信息處理者違反了法定義務,具有違法性,應認定侵害用戶個人信息權益。
案例九:個人信息權利請求權訴權行使的前置條件——杜某訴某網絡公司個人信息保護糾紛案
【入選理由】
本案系首例個人信息權利請求權訴權行使前置條件審查的典型案例。《中華人民共和國個人信息保護法》填補了我國個人信息保護的專門立法空白,但實踐中如何準確適用法律,如何厘清個人信息權利請求權基礎,如何解決多部法律協調適用的選擇難題,明確不同請求權所形成的司法保護路徑選擇等,均有待進一步探索完善。本案旨在探索信息主體行使個人信息權利時訴權的前置條件的司法審查標準,厘清《中華人民共和國個人信息保護法》第五十條與第六十九條不同請求權的適用條件,敦促不得濫用個人信息保護訴權,同時避免司法介入過多而抑制個人信息的有效傳播和共享,強調個人信息處理者所應承擔的權利保障義務,引導當事人直接向信息處理者或信息保護履職部門進行維權。
【案例索引】
一審:杭州互聯網法院(2022)浙0192民初4330號
【案情介紹】
原告杜某系某電商平臺(系被告某網絡公司運營)用戶,并在該平臺多次購買商品。某日,杜某在購物過程中,被平臺發布的“好友圈好友等你開拼手氣紅包”字樣吸引,遂點擊該字樣,隨后頁面跳出“進圈并邀請好友”的跳轉鏈接,杜某受吸引點擊進入“好友圈”。隨后,杜某發現其在該平臺的購物記錄被自動公開并被分享到“好友圈”為其自動設定的第三人視線之下。社會交往中,朋友通過此功能看到了其購物記錄的部分信息,杜某認為隱私受到了侵犯。對此,杜某曾向該電商平臺咨詢“好友圈”的功能。杜某認為,某網絡公司在對用戶個人信息處理活動中未依法保障自身的知情權和決定權,侵犯了個人信息權的合法權益,且已嚴重違反誠實信用原則,造成了相應精神損失,并在訴訟中明確其系依據個人信息保護法第十四條和第四十四條的規定,認為某網絡公司構成對其對個人信息的處理享有知情權、決定權的侵害。某網絡公司提交了關于行使個人信息權利的申請受理和處理機制路徑的相關材料,并指出,杜某在用戶注冊時,已通過協議約定明確告知用戶收集及使用用戶個人信息的方式、范圍及目的,并獲得用戶同意,且未收到杜某對其個人信息處理活動的查詢申請或投訴信息,不存在侵犯個人信息權益的行為。
【裁判內容】
杭州互聯網法院于2022年6月23日作出(2022)浙0192民初4330號民事裁定書:本案立案后,結合案情和證據材料作程序審查,并未對侵權情形作實體審理。原告杜某主張網絡購物信息在其不知情情況下由被告某網絡公司所經營的電商平臺處理,導致原告杜某不愿被他人知曉的個人信息在一定范圍內公開,侵犯了原告杜某在個人信息處理活動中的知情權、決定權,造成原告杜某人格利益受損,故本案系網絡侵權責任糾紛中的個人信息保護糾紛。個人信息保護法第五十條和第六十九條分別對個人信息的司法保護做出了規定。前者適用于個人在個人信息保護法第四章所規定的個人信息權利受到侵害或妨礙,但沒有產生損害時所產生的一種“個人信息權利請求權”;后者適用于個人信息權益受到侵權損害而產生的一種“侵權損害賠償請求權”。由于“個人信息權利請求權”的請求權基礎為民法典第九百九十五條規定的人格權保護,只要個人信息權利受到侵害或侵害即將發生,即可請求行為人承擔停止侵害、排除妨礙、消除危險等民事責任,在構成要件上無需考慮個人信息處理者的主觀過錯和造成實際損害之要件,其目的在于保障個人信息權利的行使和排除對個人信息權利的妨害,從而為個人信息權利提供一種防御性的保護,避免侵權行為進一步產生實質化的損害后果,最終達到恢復個人信息權利人對人格利益圓滿支配狀態,保障個人人格的完整性。同時,因個人信息流動大、使用頻率高、范圍廣,如果直接向法院起訴,不但會造成不必要的訴累,增加個人信息處理的成本,而且可能導致訴訟頻發、浪費司法資源,甚至成為惡意訴訟人濫用訴權的工具。實踐中,通過向個人信息處理者的積極主張,應是最快捷、最便利、最有效的維權方式。基于此,個人信息保護法第五十條第二款明確規定“個人信息處理者拒絕個人行使權利的請求的,個人可以依法向人民法院起訴。”換言之,本條的訴權是以“個人信息處理者拒絕個人行使權利的請求”為前提,即設置了個人向法院提起請求權救濟的前置條件。也就是說,個人信息主體應先向個人信息處理者請求行使具體權利,只有在個人信息處理者無正當理由拒絕履行義務或一定期限內不予以處理,或者個人信息處理者提供的申請受理機制失效的情況下,個人方可向法院提起訴訟以獲得救濟。本案中,被告某網絡公司已通過協議約定和后臺設置構建了個人行使權利的申請受理及處理機制,原告杜某可通過以上方式行使個人信息知情權和決定權。但原告杜某提起本案訴訟前并未向被告某網絡公司(信息處理者)提出請求,而是徑行向本院請求救濟其在個人信息處理活動享有的權利,顯然不符合法律規定中關于“個人信息權利請求權”的起訴受理條件,故駁回原告杜某的起訴。
【裁判要旨】
1. 當個人信息主體以《中華人民共和國個人信息保護法》第四章所規定的個人信息權利受到侵害或妨礙,但沒有產生損害時所產生的一種“個人信息權利請求權”行使訴權,應以“個人信息處理者拒絕個人行使權利的請求”為受理前提。因個人信息流動大、使用頻率高、范圍廣,如果直接向法院起訴,不但會造成不必要的訴累,增加個人信息處理的成本,而且可能導致訴訟頻發、浪費司法資源,甚至成為惡意訴訟人濫用訴權的工具。實踐中,個人信息主體根據現有法律規定,向個人信息處理者積極主張權利,應是最快捷、最便利、最有效的維權方式。
2.個人信息權利行使的落實有賴于處理者的尊重和依法履行保護義務,故個人信息保護法全面規定了個人在信息處理中的權利,并明確規定個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制,強化個人信息處理者的權利保障義務。只有在申請受理和處理機制未建立、有限時間內未答復、無正當理由拒絕或機制失效等情況下,方可向法院行使訴權。
案例十:個人征信信息商業使用合法性的判定——徐某與被告某信用管理有限公司隱私權糾紛案
【入選理由】
個人信息只有流通利用起來才有價值,但必須保障個人信息權益。本案明確用戶個人信息商業使用的規則和邊界,認定收集于政府、法院等國家機關依法公開的個人征信信息,可以進行合理化的商業使用。本案既明確濫用個人征信信息的法律責任,也為信用經濟的發展保駕護航,確立了收集于政府、法院等國家機關依法公開的個人征信信息,可以進行合理化的商業使用的規則,同時,本案涉及對隱私信息的判斷問題,明確了個人信息主體對國家機關依法向社會公眾公開的內容不享有隱私權。法院借助互聯網平臺,向當事人依法公開其被執行案件信息及進展,是履行工作職責、保障當事人訴訟權利的一項重要措施,不屬于非法披露的情形。本案入選“浙江法院個人信息保護典型案例”。
【案例索引】
一審:杭州互聯網法院(2018)浙0192 民初302 號
【案情介紹】
原告通過某APP開通信用服務,與被告某信用管理有限公司簽訂信用《服務協議》。協議載明“在您使用本服務的全部期間,您授權本公司向可以合法提供您的用戶信息的主體采集該等信息。為了免除您重復授權的不便,您作出前述授權,表明前述信息提供者無需再逐一向您另行獲取其向本公司提供您的信息的授權,該等信息提供者可以依您在本協議中的授權徑行向本公司提供您的用戶信息。”后原告收到某信用平臺的信息,內容包括:被執行人、案件號、執行單位、履行情況、過程記錄等。原告認為沒有取得個人征信業務經營許可證,也沒有取得工商個人征信業務經營范圍的情況下,違法搜集了原告的個人征信數據,并作為商業用途,此行為嚴重損害了原告的隱私權。
【裁判內容】
杭州互聯網法院經審理認為,隱私權是自然人享有的私生活安寧與私人信息依法受到保護,不被他人非法侵擾、知悉、收集、利用和公開等的一種人格權。但并不是自然人對其所有的私人事務均享有隱私權。首先,本案中,原告所訴的被執行案件信息中,除了案件狀態外,執行案號、執行法院、當事人、立案時間等,均為人民法院依法向社會公眾公開的內容。而某信用平臺向原告發送的執行案件信息,只有“履行情況”和結案時間是普通公眾通過浙江法院公開網查詢不了的。可見,除了“案件狀態”外,執行案件的其他內容是法院依法向社會公眾公開的內容,本案原告對該部分內容并不享有隱私權。其次,本案被訴侵權信息披露主體為某高院,關于非法披露的問題,根據《最高人民法院關于人民法院執行公開的若干規定》的相關規定,原告的被執行案件信息,尤其是該案案件狀態,系某高院借助被告運營的互聯網平臺,向作為案件當事人的原告依法公開其被執行案件信息及進展,這是法院履行工作職責,確保當事人訴訟權利的一項重要措施。最后,從《服務協議》的內容來看,該《協議》雖為某信用管理公司制定的格式條款,但其以加粗加黑的字體這一合理方式提請用戶注意免除或者限制其責任的條款,應視為合法有效,對雙方均有約束力,故本案并不存在非法披露的情形。本案中,原告雖主張某信用管理有限公司侵害其隱私權,但其未提交有效證據,故其全部訴訟請求,依據不足,本院不予支持,故駁回原告的訴訟請求。判決后,當事人均服從法院判決未提起上訴,判決已生效。
【裁判要旨】
隱私權是自然人享有的私生活安寧與私人信息依法受到保護,不被他人非法侵擾、知悉、收集、利用和公開等的一種人格權。但并不是所有的私人事務均屬于隱私的范疇。也就是說,并不是自然人對其所有的私人事務均享有隱私權。個人隱私保護不能相悖于政府、法院等國家機關對于個人征信信息的依法公開,個人信息主體對國家機關依法向社會公眾公開的內容不享有隱私權。互聯網平臺經個人信息主體授權可以對個人征信信息進行合法性使用。人民法院借助互聯網平臺,向案件當事人依法公開其被執行案件信息及進展,是法院履行工作職責,確保當事人訴訟權利的一項重要措施。
來源:杭州互聯網法院
京公網安備11010802021390號