刘晓春 王璇琦
2021年11月1日,《个人信息保护法》正式生效。《个人信息保护法》实施的一年多以来,在监管机构、个人信息处理者、个人信息所有者等多方主体的共同努力下,《个人信息保护法》的一系列原则与规则得以落地生根,发挥作用,司法实践中也涌现一批具有典型意义的影响力案件,涉及个人信息具体权益在不同应用场景的保护实践,也涉及企业合规的范围和注意义务,在自动化决策等新技术、新业态形塑司法规则。
1.用户画像的合规处理:北京大生知行科技有限公司与罗懿隐私权、个人信息保护纠纷
【案情描述】
原告在登录被告旗下软件时,进入账号登录界面输入用户名和密码,点击登录后出现问答界面,需要对用户“职业”“学习目的”“英语水平”等内容进行填写,之后还需填写个人基本信息界面,输入中英文名等必填内容才能完成注册并进入首页。登录过程中并无“跳过”选项,软件也没有关于同意收集个人信息的提示。原告认为这属于强制收集用户画像信息。同时还主张被告存在未经同意向其发送营销短信、向关联软件共享信息等行为,侵犯了其个人信息权益。
【简评】
本案中,法院确认了用户画像作为个人信息的法律属性,并明确了其收集和处理中两个基本问题的重要规则。一是是否需要获取用户同意,如果个性化推荐并非涉案软件的基础服务功能,则收集用户画像不属于履行合同所必需,从而需要获得用户同意;二是如何认定“有效同意”,被告未能提供用户自主选择情况下的强制收集行为,不能认定为有效同意,从而构成侵权。
2.算法错误关联个人信息应当更正删除:梁某、某实业公司与某科技公司网络侵权责任纠纷案
【案情描述】
原告梁某是原告某实业公司的法定代表人,其发现,被告某科技公司运营的企业信用信息查询平台上将与梁某无关的失信被执行人信息、限制高消费信息、终本执行案件信息等错误关联至其以及某实业公司名下。梁某、某实业公司遂向法院提起诉讼。
【简评】
大数据产业主体利用算法技术处理涉个人信息数据时应当注意不要侵犯个人的权利边界。为确保数字经济发展,平台等产业主体可以利用算法在合理范围内对已经合法公开的个人信息进行处理、加工,但当出现算法模型漏洞、算法运行错误、算法黑箱、算法歧视等问题进而导致个人信息权益受损时,算法运用者应当承担相关民事责任。
3.自动化决策中处理个人信息的合规义务:郭某某诉某网络有限公司个人信息保护纠纷案
【案情描述】
原告郭某某在注册、使用被告公司运营的某购物APP过程中发现,打开案涉APP时,APP会弹窗显示《隐私权政策》《用户协议》等,要求其选择“同意”或“拒绝”,若其选择“拒绝”,则不能继续使用该购物APP。原告郭某某认为《隐私权政策》中部分内容侵犯其个人信息权益,请求法院判令被告公司提供在原告不同意上述隐私政策内容时仍能使用案涉APP的选项,并就侵害原告个人信息权益的行为进行赔礼道歉、赔偿经济损失。经查,案涉购物APP对于自动化决策及其在信息推送、商业营销行为中的应用,已通过APP内措施保障用户的选择权(拒绝权)。该用户选择权(拒绝权)保障措施亦明晰载于案涉《隐私权政策》中。
【简评】
自动化决策是通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。自动化决策离不开对个人信息的收集处理,但两者之间边界尚不明确。本案的意义在于对利用个人信息进行自动化决策与个人信息权益保护之间进行平衡。一方面,信息处理者应当事前通过隐私政策获得个人概括性同意,并在进行自动化决策之初便向个人提供便捷的拒绝方式,以此保障个人的知情同意权利。反之,当信息处理者未向个人提供拒绝自动化决策的方式或者方式不足够便捷,用户因此不能依据真实意思表示拒绝自动化决策时,可以认定个人信息处理者违反了法定义务,侵害了用户个人信息权益。
4.交友平台算法误判用户为“杀猪盘”骗子:金某诉北京某科技公司网络侵权责任纠纷案
【案情描述】
原告李某为某金融公司员工,注册了被告运营的某征婚交友平台。在李某正常使用平台期间,被告对其账户进行了封号处理,并向其他网友提示称“账号可能存在异常”“不要与之发生金钱来往”等。该情况导致原告多位朋友误认为原告是骗子。原告诉至法院,认为被告运营的平台实施算法技术造成误判侵犯其名誉权。被告辩称其行为仅是为公共利益依法履行主体监管责任,系统自动判定原告账户为风险账号,不存在侵权行为。
【简评】
本案中,法院一方面承认了用户权益在平台经济中应当受到充分保护,另一方面也认定了网络平台依据法律要求、履行打击电信诈骗等治理义务的行为存在合法性基础,当两者出现一定程度的利益冲突时,本案判决为平台确立了合理的注意义务标准及具体认定因素,在个体用户权益保护和实现社会治理功能之间寻求精准的平衡点,探索并确立了判断平台治理合理边界的法律适用标准,在确认平台可以继续采取有效措施防范“杀猪盘”等电信诈骗风险的同時,又确保被算法“误伤”的个体权益可获得救济途径,从而实现更大范围内切实保护人民群众切身利益的目标,为构建协同共治的网络空间治理秩序提供法治保障。
1.电子公交卡征信信息利用合规:黄某某诉某信用管理有限公司个人信息保护纠纷案
【案情描述】
2021年3月15日,黄某某发现其某信用账户未经其允许被擅自开通,询问某信用公司客服得知系其在开通重庆公共交通乘车码时自动开通某信用账户所致,其中通过某应用开通乘车码时需点击“同意协议并开通”,下方有蓝色字体载明“查看《付款服务协议》《某服务协议》与《用户授权协议》,授权重庆公共交通乘车码获取你的姓名、手机号、身份证用于实名领卡”。黄某某当即要求某信用公司客服关闭其某信用账户及删除账户内个人信息。2021年3月25日,黄某某在某应用开通清远电子公交卡时,需点击“同意协议并开通”,下方有蓝色字体载明“查看《乘车码服务协议》《用户授权协议》,授权清远市民卡有限公司获取你的姓名、手机号、身份证用于实名领卡”。黄某某未点击阅读前述协议即开通清远电子公交卡,后某信用公司将黄某某某信用账户被开通的信息通过某应用推送。
【简评】
本案主要涉及先享后付功能的电子公交卡场景下个人信息保护与利用。个人信息处理者处理个人信息须遵循正当、必要、合法原则,不得过度处理。首先,相关协议均以显著方式提醒用户黄某某进行查阅,尽到提醒注意义务,并取得用户同意,符合正当原则。其次,先享后付功能可以改善用户体验、保障收费功能正常运行,但这一功能以事先对用户进行信誉评估为代价。权衡两者利弊,开通先享后付功能能够带来更大社会便利,符合必要原则。最后,涉案信用公司在用户开通电子公交卡之前对其进行必要询问,尊重了用户自主选择服务的权利,保障了用户的自主决定权,符合合法原则。
2.信贷业务机构处理征信信息行为的审查标准:王某诉某银行股份有限公司个人信息保护纠纷案
【案情描述】
2021年4月26日,原告王某发现其个人征信报告中有若干笔被告某银行的放款记录。原告主张其对该放款不知情也未与该银行签订过借款合同。被告某银行单方面制作虚假电子借款合同、征信查询授权书等,并未经原告同意单方面查询原告征信,上传原告不良征信,私自收集原告人脸、声音信息等侵犯原告个人信息。被告某银行认为双方存在合法有效的金融借款合同关系。为了放款需要,被告在征得原告同意后查询了原告的征信,并根据规定向征信系统报送了原告贷款情况,不存在侵权行为。原告贷款逾期造成自身不良征信记录,应自行承担责任。
【简评】
本案于《个人信息保护法》施行当日宣判,广受社会关注。征信信息相较于一般个人信息有其特殊价值,能够以较低的成本获取较多的交易机会,极大地提高了交易效率。本案中,法院明确了信贷业务机构处理征信信息行为的审查标准。首先,在贷款人知情同意的情况下,信贷业务处理机构向中国人民银行个人信用信息基础数据库报送贷款人不良征信信息的行为属于对个人信息的合理使用。其次,出于贷款审计目的,信贷业务处理机构以在线双录视频的方式对贷款人的身份信息、贷款意愿等进行审核,符合合法、正当、必要原则,属于合理使用。
1. 短视频平台未成年人个人信息保护:杭州市余杭区人民检察院诉北京某科技有限公司未成年人保护民事公益诉讼案
【案情描述】
据某科技有限公司提供的数据显示,截至2020年底该公司旗下某短视频平台18岁以下未实名未成年人注册数量约为1000余万。杭州市余杭区人民检察院在审查办理被告人徐某某猥亵儿童(未满十四周岁)刑事案件时发现,某短视频平台在收集、存储、使用儿童个人信息过程中,未遵循正当必要、知情同意、目的明确、安全保障、依法利用原则,遂对某短视频平台涉嫌侵害众多不特定儿童个人信息权益和隐私权的行为向法院提起民事公益诉讼。
【简评】
本案系全国首例儿童个人信息、网络安全保护民事公益诉讼案件。如今未成年人的生活已离不开互联网,但未成年人能力和防范意识却十分薄弱,缺乏个人信息保护意识。对此,互联网平台作为网络运营者应当承担起对儿童用户网络安全保障的义务与责任。
本案对互联网平台如何承担识别未成年人用户的责任、告知并征得监护人有效明示同意的方式、是否可以根据未成年人用户画像进行个性化推荐与自动化决策以及如何主动积极对未成年人用户的个人信息开展保护等多个问题,进行了全面细致的规定,有助于促进互联网企业源头性治理并形成长效机制。
2. 人脸信息保护:广州市越秀区人民检察院诉郑某、任某、戴某、陈某个人信息保护民事公益诉讼案
【案情描述】
郑某在群聊中向不特定社会公众发布广告,宣称可代查个人名下手机号、通过微信号反查手机号等信息,也可以通过身份证号码查找个人高清身份证照片。任某、戴某、陈某通过上述群组先后向郑某购买公民个人信息,制作虛假人脸动态识别视频,用于解封微信账号、验证工商类等政务APP的实名认证,从中非法获利。目前受害人数量、身份、信息去向、用途均无法核实。广州市越秀区人民检察院以该四人行为侵害社会公共利益为由,向法院提起民事公益诉讼。
【简评】
本案系全国首例涉人脸信息保护民事公益诉讼案件,在大规模个人信息侵权案件中,受害人往往无法准确认定,同时被泄露的个人信息仍然有继续被非法利用的风险。对此,有必要对公众的个人信息安全进行救济。本案创新性解决了在大规模个人侵权案件中的非物质性损害认定要件及法律责任的适用问题,当非物质性损害达到显著性和客观性标准,且侵权行为与个人信息泄露的外部风险和侵权行为存在因果关系时,应当以侵权人收益为参考标准确定非物质性损害的损害赔偿。此外,本案还提出了“恢复性司法+社会化综合治理”的修复路径,对公益损害修复起到长远影响。
3.人脸信息保护:李开祥侵犯公民个人信息刑事附带民事公益诉讼案
【案情描述】
被告人李开祥制作一款具有非法窃取安装者相册照片功能的手机“黑客软件”,将其发布于暗网“茶马古道”论坛售卖,并伪装成“颜值检测”软件供访客免费下载。一旦用户使用软件,软件会自动获取相册照片并上传至被告人搭建的服务器后台,被告从而窃取安装者相册照片上千余张,其中部分照片含有公民个人信息100余条。被告人又购买并下载标题为“社工库资料”数据转存于某网盘,并将网盘链接分享至QQ群,供群成员免费下载。经鉴定,“社工库资料”包含各类公民个人信息共计8100万余条。
【简评】
使用人脸识别技术处理的人脸信息以及基于人脸识别技术生成的人脸信息均具有高度的可识别性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况,属于刑法规定的公民个人信息。
4.验证码构成个人信息:罗文君、瞿小珍侵犯公民个人信息刑事附带民事公益诉讼案
【案情描述】
2019年12月,被告人罗文君了解到通过获取他人手机号和随机验证码用以注册新的淘宝、京东等APP账号(简称“拉新”)可以赚钱,其便与“悠悠141319”等专门从事“拉新”的人联系。“悠悠141319”等人与罗文君约定由其建立、管理、维护微信群,“悠悠141319”等人根据学员发送的手机号及验证码注册淘宝、京东APP等新账号。
【简评】
服务提供者专门发给特定手机号码的数字、字母等单独或者其组合构成的验证码具有独特性、隐秘性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于刑法规定的公民个人信息。
1. 个人查阅复制权:广州唯品会电子商务有限公司、周彦聪个人信息保护纠纷案
【案情描述】
原告周彦聪致电被告唯品会客服,表示其系唯品会客户,因担心个人信息泄露,希望唯品会披露所收集到的其个人信息。唯品会客服表示:“用户有填写的信息,可以在APP个人中心予以查看,不会泄露;对于用户没有填写的信息,唯品会是没有办法展示的,且鉴于周彦聪本人账户没有实名认证,唯品会也是没有办法知道的。”同日,周彦聪通过电子邮件“周缦卿”向唯品会隐私专职部门邮箱发送邮件,请求公司披露相关内容,唯品会公司未回复该邮件。
【简评】
个人查阅、复制其个人信息的权利是维护自然人的个人信息权益的重要手段。通过行使此权利可以确保自然人的知情权以及对处理其个人信息的行为保持适当控制,但《个人信息保护法》第45条没有对可复制个人信息的范围进行限制,只原则性地规定了复制权。
从判例来看,法院认为个人信息主体实现复制权的客体范围既包括个人信息,也包括个人信息处理的相关情况,例如账户信息、设备信息、日志信息、与第三方共享的个人信息等。但在实践中,企业对于App提供的个人信息副本,内容大多较为简单,例如用户的基本个人资料等或账户信息个人信息(用户名、头像、注册信息等)。可见,企业的行业惯例显然尚未达到司法实践的标准,未来应当进一步平衡提高个人信息保护水平与降低相关行权成本的关系。
2. “剧本杀”商家因用户差评披露个人信息侵害隐私权:张某等人诉某商家网络侵权责任纠纷案
【案情描述】
2021年4月,张某等人因不满广州某公司提供的“剧本杀”游戏服务,在网上发布差评。某公司遂在其微信公众号中披露了与张某等人的微信群聊记录截图、游戏包厢监控视频录像片段、张某等的微信个人账号信息。张某等人认为公司上述行为侵害其隐私权、名誉权和个人信息权益。某公司则以张某等恶意发布差评为由,要求张某等承担侵害名誉权的责任。
【简评】
张某作为消费者依法有权对某公司提供的服務作出合理评价,而某公司作为服务提供者与经营者亦应当承担因消费者作出差评而导致店铺排名降低的经营风险。故消费者合理“差评”并不构成对商家的侵权。
同时,商家在服务过程中所获取的消费者个人信息应征得信息主体本人同意,对于因提供服务而获取的消费者个人信息,服务提供者应当妥善处理,保护消费者的个人隐私。如果公开,则必须满足个人信息保护法对个人信息处理的规则要求,否则属于违法处理个人信息。
《个人信息保护法》实施中的典型案件呈现出三方面特点。一是在新技术、新业态具体领域的规则日益明确,企业合规义务指引更加清晰。例如,在算法和自动化决策、个人征信信息等领域,都有一系列代表性的案例,在通过个案形成更加具体的合规指引。二是强化个人信息保护的同时也强调利益平衡和合理利用,寻求多元价值的平衡。例如在个人征信信息利用、平台通过算法履行治理义务等方面,都体现了裁判者寻求平衡而非一味强调单一利益强化保护的裁判思路。三是公益诉讼日益发展成熟,并成为保护个人信息重点难点领域的重要途径,检察机关通过主动针对个人信息侵害行为发起的刑事和民事公益诉讼,有效增加了威慑力;展望未来的检察公益诉讼,也有必要从刑事附带民事公益诉讼为主的形式,逐步转向到针对更大规模、更具典型意义的个人信息侵害行为单独提起民事公益诉讼的模式,强化司法治理的指引和导向功能。
(作者单位:中国社会科学院大学互联网法治研究中心,本文是中国社会科学院大学哲学社会科学实验室重大专项“科教融合背景下计算社会科学人才培养大数据分析计算平台建设”的阶段性成果(X20220112))