随着互联网、大数据、人工智能的发展,数据资料在科技应用中所扮演的角色越来越重要,个人数据的使用让我们的生活更加便捷。然而,以支付宝、Facebook为代表的互联网企业,却在用户使用的过程中涉嫌非法使用用户个人信息数据。在对此感到恐慌过后,我们更应该思考:企业抓取个人信息数据的界限在哪儿?个人信息被利用后用户该如何得到救济?个人信息和数据保护应当如何完善?
本文为作者向无讼阅读独家供稿,转载请联系无讼阅读小秘书(wusongyueduxms)
我国法律对个人信息的认定并未提供统一的定义,而就司法保护途径而言,也并未将其限制在一个方面。本文从个人信息保护的五个典型问题入手,探讨个人信息保护在司法认定中的难点及实务操作中经营者应当注意的法律风险。
问题一、如何看待个人信息与隐私信息的逻辑关系
个人信息本身就包括了隐私信息,同时具有一定组合内容的个人信息可以也构成隐私信息。例如某人的姓名及电话号码属于普通个人信息,同样某人的某次航班行程也属于个人信息。但某人的姓名、电话号码及某次航班行程进行组合后则构成了该人的隐私信息。
实务中,对个人信息的保护路径需要经办人根据个案的具体情形进行确定。其中,涉及隐私权侵犯的案件,权利人可以按照隐私权保护的路径维权。民法总则第一百一十条第一款规定:“自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。”
不涉及隐私权侵犯的案件应当按照个人信息受保护的路径维权。民法总则第一百一十一条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”当然隐私权、或个人信息侵权案件中同时涉及其他权益侵害的,权利人还可以提起其他的损害赔偿主张。
【参考案例:北京市第一中级人民法院(2017)京01民终509号民事判决书】
问题二、网络服务提供者收集用户搜索偏好是否必然构成侵权
网络服务的提供者运用网络技术收集用户的个人信息的相关内容并对外公开。如果上述行为在实施中已经进行了加工处理,使其并不具有身份信息的可识别性,则不能当然的推定网络服务商所实施的上述行为构成侵权。例如,浏览器的服务提供商实施了记录用户搜索偏好的行为,但如果其并未直接将用户的数据信息向第三方整体展示,则并未构成对用户个人信息的侵犯。
实际上网络服务提供者对外发布的已经不具有身份可识别性的信息,由于该类信息已经发生了信息主体缺失的情况,第三人无法通过该信息及其他相关信息知悉真正的信息主体,因此该类信息已经不属于个人信息。即便如此,从风险规避的角度而言,对于网络服务提供者而言,在实务中应当注意其应当尽到的提示义务。该提示义务在实务操作中应当注意格式条款的设定及有效认定问题。
【参考案例:江苏省南京市中级人民法院(2014)宁民终字第5028号民事判决书】
问题三、经过国家有关部门安全认证的网站发生信息泄露是否承担侵权责任
《全国人民代表大会常务委员会关于加强网络信息保护的决定》第四条规定:“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。”该规定系国家关于网络信息保护的强制性规定。
网站由于系统漏洞发生了用户个人信息泄露的情况,该情形属于网络服务提供者未尽安全保障义务所致。即便网站本身经过了有关部门的安全认证,但并不等同于该网站在认证后的日常维护中必然不存在管理漏洞。此方面并不能成为免除网络服务提供者承担侵权责任的合法理由。
【参考案例:海南省三亚市中级人民法院(2016)琼02民终375号民事判决书】
问题四、非法探测被叫用户手机开机情况是否构成对个人信息安全及隐私权的侵犯
为方便主叫用户探测被叫用户的开机情况,实务中有的电信运营商开展了向主叫用户收取一定费用后,向主叫用户提供被叫用户开机情况的服务。而有的电信运营商提供该类服务并不经过被叫用户的同意。
主叫用户开启开机提醒业务后,当被叫用户由于关机、不可及、遇忙等情况无法连续呼叫时,呼叫信号就会发送到业务平台,业务平台会主动探测被叫用户的开机情况,当探测到被叫开机后,业务平台就会向主叫用户通过短信发送被叫用户开机的通知。被叫用户的电话开机情况属于私人空间领域,被叫用户有选择让他人知道或者不知道的权利。因此未经被叫用户同意,探测和收集被叫用户的开机信息属于侵犯被叫用户隐私权及个人信息安全的行为。
【参考案例:最高人民法院(2017)最高法民申1974号民事裁定书】
问题五、经营者如何规范处理消费者关于个人信息泄露的投诉
消费者权益保护法第二十九条第二款规定:“经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。”该条不仅规定了经营者对个人信息的保密义务,同时要求经营者在发生或可能发生消费者的个人信息泄露、丢失的情况时,应当立即采取补救措施。
实务操作,不少经营者在消费者向起投诉个人信息发生泄露的情况时,为了撇清本经营者的关系,一般直接向消费者声称该事件与本经营者无关,充其量建议消费者进行报警。除此之外并无其他具体行动。实际上该行为已经违反了消费者权益保护法的上述规定。规范的操作方法如下:
1、经营者应当首先登记消费者的投诉个人信息遭到泄露或丢失的事项。在登记过程中应当询问消费者所发现的信息泄露的相关线索。收集该线索时应当由消费者保证该线索的真实性。2、告知消费者将开展内部调查,同时提示消费者报警。3、将调查结果反馈消费者。上述三个要点在操作过程中应当全程取证。
此外,实务中应当注意:信息来源的公开性不等同于合法性。实务中有的经营者主张其所披露的当事人个人信息系来自于某第三方的公开信息。但该信息的公开性并不能作为经营者对上述信息进行公开的合法理由。此种情况多发生在媒体对某些明星个人信息非法公开的情况。其实任何媒体未经明星本人同意而事实的上述公开其个人信息的行为均属于非法行为。个人信息不存在基于公开行为而其受法律保护的价值将不复存在的情况。尤其对于隐私信息而言,多次公开或持续公开的行为是加剧了对当事人合法权益的损害而非使得该项损害减轻或消失。
【参考案例:四川省成都市中级人民法院(2015)成民终字第1634号民事判决书】
编排/郗博鸣
责编/孙亚超 微信号:elesun724