平台未经许可向内置支付软件提供用户信息,法院:违法!
10月29日上午,杭州互联网法院对某大型电商平台违法处理公民个人信息案作出判决,认定两被告的信息处理行为侵害原告个人信息权益,责令立即删除原告个人信息,以书面道歉信方式向原告赔礼道歉,并赔偿原告合理维权损失2000元。
案情速递 👇
被告A公司是某电商平台经营者,被告B公司是该电商平台内置支付软件的运营者。原告吴某是该电商平台的注册用户。
👉 原告诉称
其登陆电商平台app后,按照界面要求输入姓名及身份证号,以开通支付功能。在相关界面中,原告误触了列表中的银行关联功能,得到“暂无银行卡可以绑定”的反馈。原告认为,上述反馈出现的原因在于被告向银行泄露原告信息。同时,原告在查阅用户协议后方才发现,电商平台与其内置支付软件的运营主体并不一致。原告打算注销该支付账号,却发现无法注销。
原告认为,被告A公司在未经其同意的情况下,将原告真实身份信息传输给被告B公司,上述行为已严重侵害原告个人信息权益等合法权益,故诉至法院,要求两被告删除其个人信息、赔礼道歉并赔偿维权费用。
👉 被告辩称
被告A公司辩称,本案所涉个人信息处理行为,“征得同意”并非必要条件,原告主张“未获得有效同意”前提并不成立。相关用户协议对被告收集信息的行为、目的有明确约定,且相关界面清晰载明用途,原告亦主动输入身份信息、自行点击确认按钮,该行为系基于帮助原告开通支付账户所需,具有充分合法性基础,不存在侵害原告合法权益的行为。
被告B公司辩称,获取原告身份信息是实名认证、开通第三方支付账户所必需,亦属于履行法定义务需要,同时取得了原告授权,相关信息亦是由原告主动提供,具有充分的合法性基础。向银行共享原告身份信息的做法系基于原告选择服务所必需,且经原告事先明确同意。被告不存在违法违约情形,原告无权要求删除其身份信息,注销账号也并非原告的法定权利内容,与原告个人信息权益没有任何关系。
# 裁判要点 #
👉A公司对外提供原告个人信息的行为
侵害原告个人信息权益
A公司在取得原告个人信息后,向B公司提供上述信息,并由B公司为原告开通了支付账户。根据《App违法违规收集使用个人信息行为认定方法》《个人信息安全规范》等相关规定,处理敏感个人信息应获得个人的单独同意,且平台内相关协议也对此作出明确约定。然而A公司从未以任何形式明确或单独告知原告并取得其同意,仅在相关隐私政策中作出模糊说明,故A公司的信息处理行为不符合个人信息处理的知情同意原则。同时,A公司履行其与原告的网络服务协议,并无必要向B公司提供原告信息,也不存在应原告要求进行信息处理的情形,更不存在必须向B公司提供原告信息的法定义务。
👉B公司收集原告个人信息的行为
侵害原告个人信息权益
根据知情同意规则,若未取得个人同意,即便信息处理者进行了充分、清晰的告知,其处理个人信息的行为也侵害了个人信息权益。B公司收集原告个人信息,不仅未以任何形式告知,更未取得原告同意。在B公司收集原告个人信息的时间点,双方之间还未签订任何协议,甚至在开通服务时令用户误认为收集信息的主体是A公司,不存在为履行合同必须进行信息处理的情形,亦有违诚信原则。
👉B公司应当删除原告个人信息
B公司为非银行支付机构,根据相关规定,留存支付用户身份信息期限尚未届满,删除原告身份信息可能影响到其他相关主体或社会公共利益。但考虑到原告支付账户从未签约绑定银行卡,也未发生任何支付交易活动。同时,删除违法收集的个人信息亦符合法律规定。通过平衡原告及B公司之间的利益,原告个人信息权益更具有优越性,更值得保护。
两被告在开发、设计产品之初,应知其产品存在违法处理用户个人信息的问题,为追求商业利益等,仍上线经营,主观过错明显。原告的敏感个人信息被违法处理,足以使原告在信任危机之下,产生相关信息可能被进一步泄露或不法使用的风险焦虑。原告为确证、复现违法信息处理行为支出相关费用,可以认定为因侵权损害行为造成的合理维权损失。故作出上述判决。
《个人信息保护法》施行在即,网络平台作为个人信息处理者,应当全面审查网络产品及服务协议中涉及个人信息的内容,根据规范要求,及时调整平台规则,促使平台及关联方的商业运作合法合规,切实保护网络用户个人信息权益不受侵犯。同时,应当认识到个人信息权益及信息安全的重要性,进一步强化数据安全保护措施,提升信息安全意识,实现用户权益和商业利益的平衡。司法应当充分发挥裁判指引作用,引导网络平台优化产品设计,推动技术创新,让个人信息保护的理念和精神在审判工作中落实落地落细。