宪法宣传周 · 京法巡回讲堂丨北京互联网法院法官做客《你问我答——法眼看天下》栏目,详细解读个人信息保护法
点击上方北京互联网法院获取更多精彩内容~
12月2日,在国家宪法日来临之际,北京互联网法院颜君法官应邀参与中国法院网《你问我答——法眼看天下》栏目录制。颜君法官结合案例和热点问题对新颁布的《中华人民共和国个人信息保护法》进行了详细解读,这也是宪法宣传周北京互联网法院积极开展京法巡回讲堂的又一次在线普法活动。
节目中,颜君法官详细介绍了个人信息典型案例“校友录头像被爬”案,阐释了法律对个人信息的梯度保护规则,并围绕应用软件注册界面强制收集个人信息、未成年人个人信息收集规则、发送商业营销信息、利用用户画像信息进行自动化决策、人脸信息收集规则等网络时代人民群众关心的热点问题,对《中华人民共和国个人信息保护法》的相关规定进行了详细介绍。同时,颜君法官针对如何防止个人信息泄露、如何进行维权提供了若干建议。
“校友录”头像被爬取
网友索赔获支持
2018年,孙某某在百度网站搜索姓名“孙某某”关键词,发现百度网站非法收录并置顶了其在校友录网站上传的个人账户头像,即个人证件照。随后,孙某某向百度发出通知要求删除证件照,但未获任何回复。
孙某某认为,涉案照片以及其与孙某某姓名的关联关系涉及个人隐私、个人信息,在校友录网站图片源地址已关闭的情况下,百度公司的爬取行为构成侵权。于是,孙某某以百度搜索引擎网站侵犯其隐私权、个人信息权益为由,诉至法院。
经查明,校友录的网址虽已无法访问,但由于其存放照片的精确服务器地址仍向用户开放,通常的搜索引擎爬虫技术还可访问到涉案照片。所以百度公司在提供搜索服务时,用户仍可搜索到相关信息。
法院认为,由于孙某某上传时选择仅同班同学可见,百度公司的搜索行为使涉案信息在孙某某授权范围之外被公开,属于未经同意处理个人信息的行为。对于损害赔偿侵权责任的认定,需以百度公司存在过错为前提,应以孙某某的“通知-删除”为节点。在“通知-删除”前,百度公司作为利用全网信息通用爬取技术的搜索服务提供者,对涉案信息不存在明知或应知的主观过错,不构成侵害;但收到删除通知后,百度公司在其有能力采取相匹配必要措施的情况下,未给予任何回复,导致涉案侵权损失进一步扩大,构成侵权。最终,法院判决百度公司赔偿孙某某经济损失和合理支出。
在区分个人信息类型下
明确具体行为界限
上述案例是民法典出台背景下一起典型的涉及公开个人信息侵权认定的案件,也是“通知-删除”规则在个人信息领域适用的范例。新实施的《中华人民共和国个人信息保护法》对个人信息保护采取了有梯度的区分保护政策,对敏感个人信息、一般个人信息和公开个人信息采取不同保护方式。例如,个人信息处理者利用个人信息需征得个人授权同意,而对于已经合法公开的个人信息,个人信息处理者则可以在合理范围内处理,不用事先征得个人同意,仅个人明确拒绝或对个人权益有重大影响的情况除外。因此,在明确个人信息处理的行为界限、判定处理行为是否违法时,应先区分个人信息的类型。
在本案中,首先需明确孙某某的头像信息是一般个人信息还是公开个人信息,进而才能判断涉案行为是否构成违法。从客观上看,涉案的头像和姓名信息组合已被置于服务器开放空间,属于公开信息。但孙某某上传其个人信息时并未授权公开该信息,仅同意在同班同学的范围内可见,因此,即便涉案信息客观上处于公开状态,但并非合法公开信息,对其利用仍应遵循授权同意规则。
当然,这种情况下,后续信息处理者往往难以判断信息来源的公开是否合法,这可能会对信息的自由流动和利用增加困难。例如,在通用全网爬取技术应用场景下,核实个人信息合法性来源存在一定的现实困难和技术障碍。因此,应强调信息初始处理者的源头责任,同时通过对后续信息处理者过错认定的调节阀,对一些技术中立且尽到一定信息管理义务的运营者适用“避风港”规则。如此,一方面,可通过落实信息后续利用者对信息来源授权范围的核查义务,加强对个人信息的全流程动态保护;另一方面,通过引入网络服务提供者“避风港”规则的过错责任调节阀,对某些中立的技术行为进行豁免,通过利益衡量维持权益保护和数据利用的适度平衡。
你问我答
Q:社会公众在网上注册的个人信息被随意抓取,《中华人民共和国个人信息保护法》对这种行为如何规制?
颜君法官:
第一,关于个人信息填写。比如在注册某APP过程中,界面出现用户信息填写页面,要求填写年龄、身份证号、职业等信息,不填则无法完成注册。随后,《隐私条款》同意勾选界面弹出,需点击同意整个条款内容才能最终完成注册。这种情况,如果收集的内容并非订立合同所必须,则可能构成强制收集。此次《中华人民共和国个人信息保护法》明确规定了,如果收集的信息并非提供产品或服务所必须,而APP仍强制收集该信息的,则涉嫌违法收集。
第二,关于未成年人个人信息保护问题。《中华人民共和国个人信息保护法》强化对未成年人个人信息的特别保护,将未满十四周岁未成年人的个人信息纳入敏感信息处理范围,并规定,处理此类信息应当取得未成年人的父母或者其他监护人的同意。这意味着近年来盛行的在线教育、在线游戏将不能随意收集未成年人身份证号、学校、住址、联系方式等信息,而应首先取得其父母或其他监护人的同意。同时,《中华人民共和国个人信息保护法》规定,处理未满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
Q:社会公众在日常生活中也会频繁接到各种推销电话或营销信息,这些销售公司、中介公司是否属于违法收集个人信息?
颜君法官:
针对商家营销短信,有的是用户在订购服务过程中,达成同意接收广告、服务进程等订阅信息的合意,在这种情况下推送的广告是有法律依据的。比如,我们需要关注购物快递进展信息、手机流量使用信息、银行支付信息等。但如果用户之前并未向短信发送单位披露过手机号码等个人信息,但却频繁接到电话,比如刚购买房产就接到很多中介、装修公司来电,如果并未在购房合同中签署同意披露个人信息的授权,那么购房信息很有可能是在某个环节被人非法泄露。如果这些销售公司没有正当合法的个人信息来源,就可能涉嫌违法。
相关法条链接:
《中华人民共和国个人信息保护法》第二条规定,自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
《中华人民共和国个人信息保护法》第十条规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
Q:一些购物软件、打车软件根据用户搜索的时间、频率,能判断出用户是“随便逛逛”还是“迫切需要”,进而调整价格。对于这种大数据“杀熟”的问题,法律是否有相关规定?
颜君法官:
《中华人民共和国个人信息保护法》立足于维护广大人民群众的网络空间合法权益,对利用个人信息进行自动化决策作出了有针对性的规范,明确要求个人信息处理者要提供个人拒绝的选项。
相关法条链接:
《中华人民共和国个人信息保护法》第二十四条规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
Q:随着“人脸识别”技术的普及,刷脸登记、刷脸支付等已经渗透到我们生活的方方面面。法律针对人脸识别设备以及公共场所安装的摄像头是否有明确规定?
颜君法官:
人脸识别是人工智能技术在身份验证领域的重要应用,在为社会生活带来便利的同时,其所带来的个人信息保护问题也日益凸显。针对人脸识别技术滥用乱象、强制顾客激活人脸识别系统等问题,《中华人民共和国个人信息保护法》做了明文规定,对人脸识别的技术适用进行了严格的限制和规范。
相关法条链接:
《中华人民共和国个人信息保护法》第二十六条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
Q:公众应该如何保护自己的个人信息不被泄露?
颜君法官:
1.妥善处理个人信息资料。快递单、支付账单等资料使用后应及时销毁,或是涂抹掉关键信息后再丢弃,防止因随意丢弃、使用不当等造成个人信息泄露。在网络中,使用证件照片、支付密码等重要信息的,建议用完即删或者采用加密方式进行存储。
2.审慎进行个人信息授权。在使用互联网软件、尤其是注册平台会员时,要仔细阅读相关的隐私政策及条款,了解经营者处理个人信息的方式、范围、目的和依据等,考量其处理个人信息理由的充分性和提供个人信息的必要性,审慎作出授权行为。
3.谨慎使用个性化推送服务。合理的个性化服务可以带来更好的用户体验,但也有平台据此推送营销短信,甚至实施违法的大数据“杀熟”行为。对此,用户可以审慎抉择,如果不同意,可以关闭应用程序的个性化广告推荐选项。
Q:如果认为自己的个人信息受到侵犯,怎样用法律武器维护个人的合法权益?
颜君法官:
《中华人民共和国个人信息保护法》正式颁布,为个人信息处理活动提供了明确的法律依据,为企业合规处理提供了规范指引,为个人维护其个人信息权益提供了充分保障。当自身个人信息权益受到侵害或者发现经营者存在违法处理消费者个人信息的行为时,要及时保留相关证据,例如录屏存证,主动向有关部门进行投诉、举报,或者依法提起诉讼,积极维护自身合法权益。
供稿:颜君
编辑:张瑞雪、刘宛月
长按识别二维码关注北京互联网法院