查看原文
其他

个人信息保护十大典型案例|iLaw

杭州中院 iLaw合规 2022-12-10

iLaw

数据合规学习卡

法务科技集训营

申请报名课程,扫描二维码联系圈圈


信息技术和数字经济的飞速发展,对个人信息司法保护提出新的要求和挑战。人民法院如何贯彻「以人民为中心」的根本立场,切实将人民群众网络空间合法权益维护好、保障好、发展好,助力数字经济真正行稳致远?杭州互联网法院聚焦个人信息保护领域的突出问题和人民群众的重大关切,在成立五周年之际,特别发布「个人信息保护十大典型案例」。



此次发布的典型案例覆盖面广,既涉及银行征信、公共出行服务等传统的个人信息处理领域,也涵盖网购平台向内嵌支付机构提供用户信息、APP自动化推荐应用等新型个人信息处理场景;既包括儿童、平台用户等民事主体的个人信息保护,也及时回应了个人信息的赔偿标准认定、信息主体诉权行使的前置条件等司法疑难问题,对人民法院织密个人信息保护的法治之网具有借鉴和示范意义。


案例一


民法典实施后全国首例个人信息保护民事公益诉讼案——杭州市上城区人民检察院诉孙某非法买卖个人信息民事公益诉讼案。


【入选理由】


随着信息技术的高速发展,社会生活已高度数字化,个人信息被大规模、自动化地收集和存储的情形几乎无处不在、无时不在。与此同时,大数据与人工智能技术的发展使得对海量数据的分析与使用变得异常简单,自然人个人信息被滥用甚至侵害的可能性也大幅上升。围绕个人信息的非法获取、非法出售、非法提供、非法利用,俨然已形成了一条完整的非法产业链。


其中,侵犯个人信息的违法犯罪居于上游,而中游、下游滋生出如电信诈骗、金融诈骗、敲诈勒索等犯罪行为,以及信息骚扰、网络暴力等社会现象成为不容忽视的社会问题。随着个人信息保护正式写入民法典,个人信息保护开启了新篇章。个人信息保护不仅涉及自然人个人的权益保障,同时也具有社会公共利益的属性,在各行各业对个人信息依赖程度逐渐加深的背景下,个人信息的保护力度必须提升。


本案系全国首例适用民法典的个人信息保护民事公益诉讼案,体现了法律对涉及社会公共利益的社会不特定民事主体个人信息的保护和重视,也体现了司法对不特定自然人个人信息保护路径的积极探索和有益创新。


本案入选最高人民法院《民法典颁布后人格权司法保护典型民事案例》。


【案例索引】


一审:杭州互联网法院(2020)浙0192民初10605号


【入选理由】


随着信息技术的高速发展,社会生活已高度数字化,个人信息被大规模、自动化地收集和存储的情形几乎无处不在、无时不在。与此同时,大数据与人工智能技术的发展使得对海量数据的分析与使用变得异常简单,自然人个人信息被滥用甚至侵害的可能性也大幅上升。


围绕个人信息的非法获取、非法出售、非法提供、非法利用,俨然已形成了一条完整的非法产业链。其中,侵犯个人信息的违法犯罪居于上游,而中游、下游滋生出如电信诈骗、金融诈骗、敲诈勒索等犯罪行为,以及信息骚扰、网络暴力等社会现象成为不容忽视的社会问题。随着个人信息保护正式写入民法典,个人信息保护开启了新篇章。


个人信息保护不仅涉及自然人个人的权益保障,同时也具有社会公共利益的属性,在各行各业对个人信息依赖程度逐渐加深的背景下,个人信息的保护力度必须提升。本案系全国首例适用民法典的个人信息保护民事公益诉讼案,体现了法律对涉及社会公共利益的社会不特定民事主体个人信息的保护和重视,也体现了司法对不特定自然人个人信息保护路径的积极探索和有益创新。


本案入选最高人民法院《民法典颁布后人格权司法保护典型民事案例》。


【案例索引】


一审:杭州互联网法院(2020)浙0192民初10605号


【案情介绍】


2019年2月起,被告孙某以34000元的价格,将自己从网络购买、互换得到的4万余条含姓名、电话号码、电子邮箱等的个人信息,通过微信、QQ等方式贩卖给案外人刘某。案外人刘某在获取相关信息后用于虚假的外汇业务推广。公益诉讼起诉人认为,被告孙某未经他人许可,在互联网上公然非法买卖、提供个人信息,造成4万余条个人信息被非法买卖、使用,严重侵害社会众多不特定主体的个人信息权益,致使社会公共利益受到侵害,据此提起民事公益诉讼。


【裁判内容】


杭州互联网法院经审理认为,民法典第一百一十一条规定,任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。告孙某在未取得众多不特定自然人同意的情况下,非法获取不特定主体个人信息,又非法出售牟利,侵害了承载在不特定社会主体个人信息之上的公共信息安全利益。遂判决孙某按照侵权行为所获利益支付公共利益损害赔偿款34000元,并向社会公众赔礼道歉。判决后,当事人均服从法院判决未提起上诉,判决已生效。


【裁判要旨】


《中华人民共和国民法典》第一千零三十四条规定,自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。该法第一百一十一条规定,任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。


本案中,孙某在未取得相关主体同意的情况下,非法获取含有自然人姓名、电话号码、电子邮箱的个人信息,并以牟利为目的将获取的4万余条个人信息进行非法出售。孙某的行为属于非法收集、买卖个人信息的大规模侵权行为,侵害了承载在不特定社会主体个人信息之上的公共信息安全这一公共利益,构成对公共信息安全领域的社会公共利益侵害。


案例二


儿童个人信息的司法保护——杭州市余杭区人民检察院诉某短视频平台未成年人保护民事公益诉讼案。


【入选理由】


本案系全国首例儿童个人信息、网络安全保护民事公益诉讼。案件涉及对大型移动互联网(APP)平台处理儿童用户个人信息,是否侵害儿童用户主体权益,以及平台是否尽到对儿童用户网络安全保障义务的司法认定,属于社会关注度高且新型、疑难复杂的案件。新修订的未成年人保护法增设未成人网络保护专章,对互联网企业如何合法、合规处理儿童个人信息做出了原则性规定,但目前在司法实践中案件量极少,司法机关对此类案件审理还处于起步探索阶段。本案从平台对儿童用户的识别责任,平台如何获得监护人有效明示同意,平台能否对儿童用户基于画像进行个性化推荐,平台能否对儿童用户进行自动化决策,以及平台如何对儿童隐私信息进行主动安全保护等多个维度,全方位对大型互联网平台保护未成年人个人信息权益做出典范。


本案入选 「第十三届全国人民代表大会最高人民法院工作报告」,「最高人民检察院第三十五批指导性案例」,「最高人民检察院个人信息保护典型案例」,「浙江法院个人信息保护典型案例」等。


【案例索引】


一审:杭州互联网法院(2020)浙0192民初10993号


【案情介绍】


公益诉讼起诉人在办理徐某某猥亵儿童刑事案件时发现,某科技公司运营的某短视频App存在侵害众多不特定儿童个人信息的侵权行为,具体包括:


1. 未以显著、清晰的方式告知并征得儿童监护人有效明示同意的情况下,允许注册儿童账户,并收集、存储儿童网络账号、位置、联系方式,以及儿童面部识别特征、声音识别特征等个人敏感信息;


2. 在未再次征得儿童监护人有效明示同意的情况下,运用后台算法,向具有浏览儿童内容视频喜好的用户直接推送含有儿童个人信息的短视频;


3. 某短视频App未对儿童用户采取区分管理措施,默认用户点击「关注」后即可与儿童账户私信联系,并能获取其地理位置、面部特征等个人信息。公益诉讼起诉人认为,某科技公司前述行为侵害了社会公共利益,遂提起民事公益诉讼。在法院调解下,公益诉讼起诉人与被告某科技公司达成调解协议,某科技公司对调解事项已经履行完毕。


【裁判内容】


杭州互联网法院于2021年3月11日作出(2020)浙0192民初10993号民事调解书:


1. 被告某科技公司停止对儿童个人信息的侵权行为,按照《中华人民共和国民法典》、《中华人民共和国未成年人保护法》(2021年6月1日施行)、《中华人民共和国网络安全法》、《儿童个人信息网络保护规定》等法律法规对儿童个人信息保护的要求,对某短视频APP网络平台进行整改。针对案涉问题,被告某科技公司承诺,按双方确认的合规整改方案、时间推进表(具体内容以附件为准),落实、执行;


2. 被告某科技公司完成整改后,应对整改完成情况及效果进行评估,并向公益诉讼起诉人、人民法院出具详细的整改完成情况报告书;


3. 被告某科技公司应根据相关监管法规要求,将整改措施方案及整改完成情况报告书报送网信部门,自觉接受合规审查;


4. 被告某科技公司就涉案侵权行为,在《法治日报》及某短视频App官方帐号首页显著位置公开赔礼道歉;


5. 被告某公司承诺在今后的运营过程中严格遵守儿童个人信息保护的法律、法规,并自觉接受网信等行政监管部门的监督检查;


6. 被告某公司于调解协议生效后七个工作日内,赔偿因侵权行为造成的社会公共利益损失人民币150万元,款项交相关儿童公益保护组织,专门用于儿童个人信息安全保护等公益事项。


【裁判要旨】


1.  面向儿童用户提供网络服务的互联网平台(信息处理者)在缺乏单独《儿童个人信息/隐私保护政策》和《儿童个人用户协议》,未采取合理措施通知监护人并征得监护人有效明示同意的情况下,处理儿童用户地理定位、联系方式、面部、肢体、声音等个人信息的,应认定为违法处理用户个人信息。


2.  儿童个人信息属敏感个人信息,信息处理者未对儿童个人信息建立专门保护池,采取加密存储措施,应认定为违规存储儿童个人信息。


3.  信息处理者在未获得儿童监护人单独授权同意的情况下,基于算法的自动化决策将含有儿童用户个人信息的短视频向其他用户进行推送,应认定为违法处理儿童个人信息。


4.  信息处理者对儿童用户进行画像,未获监护人同意默认开启个性化推荐,运用算法进行内容推送,应认定为违法处理儿童个人信息。


5.  信息处理者在征得监护人同意前,对儿童用户未强制开启陌生人关注限制功能、未强制隐藏儿童用户位置、未强制开启儿童用户私信限制、未强制关闭儿童用户通讯录推荐、未强制关闭通过手机号搜索儿童用户功能、未强制关闭儿童“熟人圈”功能、未强制关闭儿童动态展示功能、未强制关闭推荐儿童给可能感兴趣的人、未强制开启儿童作品在同城不显示等功能,应认定为未履行对儿童用户的隐私安全保护义务。


6.  信息处理者侵害平台内不特定儿童用户个人信息权益,应认定为侵害社会不特定未成年人群体的社会公共利益。


案例三


手机APP收集、使用用户个人信息的限度——杭州市余杭区人民检察院诉某网络科技有限公司个人信息民事公益诉讼案。


【入选理由】


大数据时代的来临为公民生活带来极大便利,同时,个人信息被恶意非法泄露的现象也普遍存在。尤其在消费领域,消费者个人信息经常被网络信息服务提供商大规模的违法收集、使用,严重侵扰公民个人生活安宁,破坏社会秩序,加强消费者个人信息保护具有迫切性和重要性。本案体现出在侵犯众多消费者个人信息行为损害社会公共利益的情况下,检察机关在消费领域提起个人信息保护民事公益诉讼具有可行性与必要性。同时,本案针对移动互联网应用程序(App)未按要求公布隐私政策或隐私政策不规范、强制授权、过度索权、超范围收集个人信息等行为进行审查,明确上述行为边界和违法性范围。


本案入选 「最高人民检察院检察机关个人信息保护公益诉讼典型案例」「浙江法院个人信息保护典型案例」。


【案例索引】


一审:杭州互联网法院(2020)浙0192民初4252号


【案情介绍】


案涉APP是被告某网络科技有限公司开发、运营的一款音乐视频教学类手机应用程序,主要功能为在线音乐教育,通过直播教学,提供热门乐器线上教学视频。该APP应用程序在安装、使用过程中存在以下涉及用户个人信息的违法、违规现象:


1. 该APP在下载安装及使用过程中未显示隐私政策条款,未通过弹窗等明显方式提示用户阅读隐私政策等个人信息收集使用规则,且没有具体隐私政策的内容;


2. 该APP因用户不同意收集非必要个人信息或打开非必要权限,而拒绝提供业务功能;


3. 该APP在申请打开可收集用户行踪轨迹等个人敏感信息时,未同步告知用户其目的、方式和范围。


【裁判内容】


在审理过程中,经法院组织调解,双方当事人达成调解协议:


1. 被告立即停止实施侵害案涉App用户个人信息的违法、违规行为,按照《中华人民共和国网络安全法》、《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)、《信息安全技术 个人信息安全规范》(GB/T 35273-2017)等法律、规范性文件对APP用户个人信息保护的要求,于2020年9月9日前对该App进行全面整改,即该App存在的未公开收集使用规则、未明示收集使用个人信息的目的、方式和范围、未经用户同意收集使用个人信息、违反必要原则收集与其提供的服务无关的个人信息、未按法律规定提供删除或更正个人信息功能等违法违规收集个人信息的行为;


2. 被告于2020年9月9日完成前述第一项承诺的整改内容,并由辖区内行政监管部门认可的第三方检测机构对整改情况进行全面的APP个人信息收集合规检测,若第三方检测机构提供的检测报告显示该App仍存在有违法违规收集用户个人信息的行为,被告立即对该App做全面下架整改直至检测通过;


3. 被告立即删除违法违规收集、储存的全部用户个人信息,包括用户精确定位信息(经纬度信息)、手机设备号信息(IMEI)几十万余条等,相关信息删除情况由辖区内行政监管部门认可的第三方检测机构在检测报告中予以查询、确认;


4. 被告就侵害案涉App用户个人信息的行为,在法治日报及该App首页向社会公众做公开赔礼道歉(赔礼道歉的内容需经公益诉讼起诉人、人民法院审核通过,案涉App首页的致歉信持续置顶时间不少于7个工作日);


5. 被告承诺在今后的运营过程中严格遵守个人信息保护的法律、法规,不再有违法违规收集使用个人信息行为,并自觉接受辖区内行政监管部门的监督检查;


6. 若被告未按前述协议约定的内容履行,存在违反本协议约定的行为,其相关违法、违规收集用户个人信息行为一经行政主管部门或司法机关确认,将自愿向公益诉讼起诉人杭州市余杭区人民检察院支付50万元违约金(该违约金全部用于全国性个人信息保护公益基金的公益支出)。


【裁判要旨】


未在显著位置公布隐私政策,未主动提示用户阅读收集个人信息规则、在申请收集用户行踪轨迹(定位)等个人敏感信息时,未同步告知用户其目的、在用户拒绝授权的情况下默认获取部分权限、要求用户给予「获取手机号码、IMEI、IMSI权限」「读取手机中已安装应用列表」「通过网络或者卫星对设备定位」权限等行为分别违反「未公开收集使用规则」「未明示收集使用个人信息的目的、方式和范围」「未经用户同意收集使用个人信息」「违反必要原则,收集与其提供的服务无关的个人信息」等规定,属于违法违规处理用户个人信息的侵害行为。


案例四

银行处理个人征信信息是否侵害个人信息权益——王某诉某银行股份有限公司个人信息保护纠纷案。


【入选理由】


本案例围绕个人信息保护的争议展开,并于《个人信息保护法》施行当日宣判,获得了社会广泛关注。自然人有独立人格,有权防范他人不当处理涉及个人的信息,以维护宪法赋予个体享有的人格自由与尊严。于此同时,个人信息权益作为一项人格权益并非绝对权,需权衡个人信息上存在的个人利益、社会利益和公共利益。在对该项权益进行保护时,应在保护个人尊严和自由、规范个人信息处理活动的同时,促进个人信息合法合理使用。本案中,征信信息不同于一般个人信息,其既可以防范风险,为交易安全创造条件,又可以促使个体保持良好信用,以较低的交易成本获得较多的交易机会,而缺乏良好信用记录的个人则相反。


本案通过厘清征信信息的法律属性,明确信贷业务机构处理征信信息行为的审查标准,以及个人信息权益保护的两项请求权基础,对逾期的不诚信行为进行否定性评价,引导个人维护自身良好信用,促进征信业健康发展,构建诚实守信的社会信用体系,形成「诚信受益,失信惩戒」的社会环境。体现了个人信息保护的时代精神,对类案处理有一定的参考价值。


【案例索引】


一审:杭州互联网法院(2021)浙0192民初5426号


【案情介绍】


2021年4月26日,原告王某发现其个人征信报告中有若干比由被告某银行的放款记录,其中2021年1月13日放款45万元。原告主张其对该放款不知情也未与该银行签订过借款合同。被告某银行单方面制作虚假电子借款合同、征信查询授权书等,并未经原告同意单方面查询原告征信,上传原告不良征信,私自收集原告人脸、声音信息等侵犯原告个人信息。被告某银行认为双方存在合法有效的金融借款合同关系。为了放款需要,被告在征得原告同意后查询了原告的征信,并根据规定向征信系统报送了原告贷款情况,不存在侵权行为。原告贷款逾期造成自身不良征信记录,应自行承担责任。


【裁判内容】


杭州互联网法院经审理认为,原告通过在线系统与被告签订涉案金融借款合同。根据放贷前原告与客服的面谈双录视频显示,原告对涉案45万元借款的放款银行等信息系明知,原告主张未签订涉案合同的意见法院不予采信。在涉案合同签订过程中,被告银行根据放款审批需要,在原告自行签署授权书授权被告查询的情况下查询原告的个人征信情况,并通过在线双录视频的方式核实原告的行为能力、贷款意愿真实性等内容,符合合法、正当、必要原则,属于合理使用。


原告逾期还款后,被告向中国人民银行个人信用信息基础数据库报送其逾期情况符合金融机构管理要求,亦有原告书面授权,并有相应规范依据,不存在侵权行为。遂判决驳回原告诉讼请求。判决后,当事人均服从法院判决未提起上诉,判决已生效。


【裁判要旨】


1.  放贷银行在贷款人知情同意的情况下向中国人民银行个人信用信息基础数据库报送贷款人不良征信信息,属于个人信息的合理使用。


2.  放贷银行在审核贷款过程中,通过在线双录视频的方式核实原告的身份信息、贷款意愿真实性等内容,符合合法、正当、必要原则,属于个人信息的合理使用。


案例五


组织搭建平台买卖个人信息的赔偿标准认定——杭州市拱墅区人民检察院与邓某、肖某某未成年人保护、个人信息保护民事公益诉讼案。


【入选理由】


在数字时代的背景下买卖个人信息的侵权行为显著增多,多数公益诉讼案件仍然局限于规制个人信息买卖侵权行为。本案系首例对组织搭建平台买卖个人信息行为的公益诉讼进行司法审查的典型案例。


本案涉及组织搭建平台买卖个人信息共同侵权认定及损害赔偿责任确定和承担的问题,从立法本意出发,结合案件实际侵害程度与影响范围,根据整个平台涉及的总体交易量、销售额来评判组织搭建平台买卖个人信息的侵权行为损害赔偿,对公民信息保护与未成年人保护具有双重意义。


【案例索引】


一审:杭州互联网法院(2021)浙0192民初9214号


【案情介绍】


2020年3月,肖某通过QQ群向群友购买发卡平台源码,后找人搭建平台,并注册发卡平台网站。2020年4月,肖某因自己尚未成年,找到邓某借用其公民身份证件注册公司,并以注册的公司绑定涉案平台网站。


2020年8月,涉案平台网站对外开放注册,涉案平台主要用于出售未实名注册某网络平台账户、公民身份号码等个人信息交易。肖某对每笔交易订单抽成。至案发时,肖某自述涉案平台共有200多个卖家,累计收取抽成20000余元。根据杭州市公安局拱墅区分局网络警察大队的调查统计,涉案平台网站数据库内共存有去重的公民身份号码90余万条。


根据生效刑事判决的认定,涉案平台交易总金额超过470000元,涉案平台现已关闭。另查明,杭州市拱墅区人民法院于2021年3月以侵犯公民个人信息罪分别判处邓某有期徒刑4年,并处罚金60000元,退出违法所得30000元,予以没收,上缴国库;肖某有期徒刑4年3个月,并处罚金110000元,退出违法所得100000元,予以没收,上缴国库。公益诉讼起诉人认为,邓某、肖某在互联网上公然非法收集、建立网站非法买卖未成年人身份信息的行为违反相关规定,对承载在未成年人个人信息之上的公共信息安全造成损害,因此向法院提起公益诉讼,请求判令邓某、肖某赔偿损失300000元并在国家级媒体上公开赔礼道歉。


【裁判内容】


杭州互联网法院审理认为:公益诉讼起诉人系就邓某、肖某某搭建、运营涉案平台,非法出售并允许他人出售未成年人身份信息的行为损害未成年人公共利益提起诉讼。本案争议焦点为:一、邓某、肖某某所实施的被诉侵权行为是否侵害社会公共利益;二、邓某、肖某某各自应承担何种民事责任。


关于被诉侵权行为是否侵害社会公共利益。《中华人民共和国民法总则》第一百一十一条规定:「自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。」《中华人民共和国网络安全法》第四十四条规定:「任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。」本案中,由于被侵权人数众多,被侵权人分布全国各地,侵害的未成年人群体的公共利益,已足以达到《中华人民共和国民事诉讼法》第五十八条第二款所规定的「众多」的标准,构成对公共信息安全领域的社会公共利益侵害。


关于被诉侵权行为的实施主体认定。根据本院业已查明的事实,肖某某系利用发卡平台源码,找人搭建、注册涉案平台。后肖某某经邓某同意用其公民身份证件注册了锦江区余琪范网络工作室,并绑定、备案涉案平台。此过程中,肖某某已明确告知邓某借用其公民身份证件的目的系为了注册公司及运营涉案平台,而邓某在接受公安机关讯问及本院庭审中均自认其知晓建立、运营涉案平台的目的系非法出售并允许他人出售公民个人身份信息。应当明确的是,包括邓某、肖某某在内的涉案平台所有卖家所实施的出售未实名某网络平台账户、公民身份号码等个人信息的侵权行为,均依托于涉案平台。换言之,涉案平台即邓某、肖某某等人实施侵权行为的手段。


故邓某、肖某某共同实施了非法收集、买卖个人信息的侵权行为,主观上亦具有共同意思联络的故意,侵害了众多个人的信息权益和社会公共利益,该损害后果与被诉侵权行为具有直接因果关系,构成共同侵权。


关于责任承担的问题。由于邓某、肖某某通过搭建、运营涉案平台,在未取得众多、不特定未成年人同意的情况下,非法获取、出售未成年人身份信息的行为,极大地伤害了上述信息涉及的未成年人的人格尊严和人格自由,邓某、肖某某应当通过公开赔礼道歉的方式就其行为向社会公众表达歉意。考虑到被诉侵权行为可能波及的范围,公益诉讼起诉人请求判令邓某、肖某某在国家级媒体上向社会公众赔礼道歉,理由正当,应予以支持。关于损害赔偿的问题。本案中,邓某、肖某某均否认其搭建、运营涉案平台的行为造成他人的财产损害,且二人均只认可在单独出售个人身份信息的范围内承担财产赔偿责任。


本院认为,涉案平台卖家均依托于涉案平台才能够向买家出售未成年人身份信息,而肖某某系涉案平台的实际控制人,且从涉案平台所有卖家的交易中抽成2.5%,显然肖某某并非仅从其出售的个人店铺订单中获利。而虽然现有证据不足以证明邓某存在分享抽成的事实,但搭建、运营平台亦系所有非法交易的基础,该危害性亦应当从整个涉案平台出售的未成年人身份信息予以考量。由于邓某、肖某某侵害的是众多、不特定未成年人的利益,对社会公共利益造成的损失难以界定。但涉案平台共计出售多达90余万条未成年人身份信息,仅凭现有生效刑事判决统计的平台总销售额亦已超过470000元,公益诉讼起诉人要求邓某、肖某某承担300000元的损害赔偿金,具有事实根据和法律依据,亦符合比例原则,依法予以支持。关于邓某要求与肖某某划责区分出其应独立承担责任的请求。


本院认为,虽然肖某某基于涉案平台抽成在总体获利上可能较邓某稍多,但从侵权责任的因果关系分析,被诉侵权行为所表现出的社会危害性及所造成的实际损害后果,系主要表现在涉案平台出售的未成年人身份信息上,故鉴于被诉侵权行为系邓某、肖某某二人共同实施,并不存在可分性,本院对邓某上述抗辩意见不予采纳。


法院判决:一、被告邓某、肖某某于本判决生效之日起十日内支付侵害社会公共利益的损害赔偿款人民币300000元(此款交由公益诉讼起诉人代为保管,专门用于个人信息保护或信息安全等公益事项);二、被告邓某、肖某某于本判决生效之日起十日内在国家级媒体上向社会公众刊发赔礼道歉声明(道歉声明的内容须经本院审核),相关费用由被告邓某、肖某某负担。判决后,当事人均服从法院判决未提起上诉,判决已生效。


【裁判要旨】


搭建平台销售个人信息的共同侵权行为既侵害信息主体的个人信息权益,也侵害不特定多数人的权益,构成对社会公共利益的侵害。共同侵权人之间具有共同意思联络,且共同实施了侵权行为,故应当对平台内所有销售个人信息的行为损害后果负赔偿责任。同时,从侵权行为人对损害的原因力和过错大小分析,共同侵权人应当共同承担连带责任。


案例六


电子公交卡场景下的个人信息权益保护与利用——黄某某诉某信用管理有限公司个人信息保护纠纷案。


【入选理由】


本案主要涉及具有先享后付功能的电子公交卡场景下个人信息保护与利用。本案通过场景理论,动态的场景分析、风险评估、利益均衡机制,着重审查开通某信用服务是否具备电子公交卡场景下个人信息处理的必要性,认定某信用服务以最小的代价即对用户进行事先信誉评估的方式,弥补了先享后付功能的短板,为信息处理者履行合同所必需,符合必要原则。本案肯定了提供某信用服务和先享后付功能的电子公交卡的商业运营模式,在个人信息权益和社会公共利益之间作出利益权衡,为其他信息处理者处理个人信息作出规范引导。


【案例索引】


一审:杭州互联网法院(2021)浙0192民初8058号


【案情介绍】


2021年3月15日,黄某某发现其某信用账户未经其允许被擅自开通,询问某信用管理有限公司(以下简称某信用公司)客服得知系其于2021年3月7日开通了重庆公共交通乘车码时自动开通某信用账户所致,其中通过某应用开通重庆公共交通乘车码时需点击「同意协议并开通」,下方会有蓝色字体载明查看《某应用重庆公共交通付款服务协议》与《某服务协议》《用户授权协议》,授权重庆公共交通乘车码获取你的姓名、手机号、身份证用于实名领卡。


黄某某当即要求某信用公司客服关闭其某信用账户及删除账户内个人信息。2021年3月25日,黄某某在某应用开通清远电子公交卡时,需点击「同意协议并开通」,下方会有蓝色字体载明「查看《乘车码服务协议》《用户授权协议》,授权清远市民卡有限公司获取你的姓名、手机号、身份证用于实名领卡」。黄某某未点击阅读前述协议即开通清远电子公交卡,后某信用公司将黄某某某信用账户被开通的信息通过某应用推送。


黄某某查阅《乘车码服务协议》,载明「本服务协议由《清远电子公交卡服务协议》和《某公交付款服务协议》《某服务协议》协议构成……」,其中《某公交付款服务协议》《某服务协议》均用蓝色字体标注,可点击查阅。2021年4月25日,黄某某自行注销某信用账户。


另查明,黄某某于2015年2月3日首次开通某信用账户,于2020年12月25日注销;于2020年12月29日第二次开通某信用账户,于2020年12月29日注销;于2021年2月28日第三次开通某信用账户,于2021年3月16日注销;于2021年3月25日第四次开通某信用账户,于2021年4月25日注销。


【裁判内容】


杭州互联网法院审理认为:《中华人民共和国民法典》第一千零三十五条第一款对个人信息处理行为的合法性基础、个人信息处理规则做出了原则性的规定,明确「知情同意」规则是个人信息处理行为是否合法的基本规则,信息处理者原则上只有在依法告知并取得信息主体的同意后才能对个人信息进行收集、存储、使用、加工、传输、提供、公开等活动,否则属于违法处理个人信息行为。处理个人信息的,应当征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外。具体到本案:首先,开通某信用服务的行为符合正当原则。黄某某如需使用上述两地电子公交卡,均需要查阅协议后,方可申领。在此过程中,相关协议均已在显著位置,通过有别于页面其他黑色字体的方式,提醒用户注意查阅。


因此,黄某某以某信用公司存在误导其开通某信用服务,依据不足。其次,开通某信用服务的行为符合必要原则。本案中,公交服务公司与某网络平台通过合作,在原有乘车码的基础上,提供先享后付功能,会极大地改善机器故障、网络信号迟缓、账户资金不足等诸多弊端。而先享后付功能的提供,需要一些必要的基础条件支撑,其中最主要的即需要考虑如何减轻第三方公司垫资的损失,即如何督促未支付车费的用户还款以及避免该部分用户因后续乘车可能带来的资损。因此,公交服务公司与某网络平台通过与某信用公司三方合作,解决先享后付功能的弊端。某信用服务在先享后付功能中提供的主要作用有三:


一是某信用公司以其运营的某信用服务评价体系向公交服务公司、某网络平台提供用户的信用和风险状况。


二是公交服务公司、某网络平台向某信用公司同步推送用户乘车订单信息及付款状态,进一步积累订单信息,分析用户履约能力。


三是公交服务公司、某网络平台通过某信用服务向未履约用户推送还款信息。某信用服务以最小的代价即对用户进行事先信誉评估的方式,弥补了先享后付功能的短板。故某信用服务在先享后付功能下具有充分必要性,为信息处理者履行合同所必需。


再次,开通某信用服务的行为符合合法原则。某信用服务系作为电子公交卡付款码服务和先享后付服务的基础条件,此点通过《清远电子公交卡服务协议》约定的,用户理解并接受,电子公交卡申领需要同时符合《某应用公交付款服务协议》《某服务协议》中的相关条件即可印证。无论是公交服务公司、某网络平台以及某信用公司均充分给予了用户相应的自主选择服务的权利。黄某某认为其不需要使用某信用服务,完全可以不使用该服务,但如果不符合《某服务协议》中的相关条件,则黄某某亦会被公交服务公司拒绝提供电子公交卡服务。故某信用公司征得黄某某同意开通某信用服务并无强迫之意,已充分保障用户的自主决定权,未违反相关法律规定。综上,法院判决驳回原告黄某某的全部诉讼请求。判决后,当事人均服从法院判决未提起上诉,判决已生效。


【裁判要旨】


开通案涉信用服务已尽到提醒注意义务,并取得黄某某同意,符合正当原则。该信用服务以最小的代价即对用户进行事先信誉评估的方式,弥补了先享后付功能的短板,为信息处理者履行合同所必需,符合必要原则。案涉信用服务充分保障用户的自主决定权,未违反相关法律规定,符合合法原则。


案例七


网购平台向内嵌支付机构提供用户个人信息的合法性认定——吴某某诉上海某信息服务有限公司等违规提供用户个人信息保护纠纷案。


【入选理由】


个人信息权益属于人格权益,个人信息保护源自于对个人私生活的尊重和个人事务自决(自由)原则,违法处理个人信息可能会侵害到自然人的人格尊严,但个人信息权益不等同于人格权,个人信息权益只是一种民事权益,不具有绝对权的保护强度,侵害个人信息权益并不必然导致人格尊严受损等精神损害后果,特别是尚未发生实质性损害的情况下更是如此。故在尚未发生实质性损害的情况下,违法处理信息主体的个人信息是否造成人格尊严等精神损害,应充分考虑处理行为的特点、量级、违法性和个人信息类型等因素,判断信息主体是否因违法处理行为陷入可能预见的风险和焦虑中,若答案为肯定,则应认定构成对人格尊严、人格自由的精神损害。该案前述相关问题进行了有益的探索。


【案例索引】


一审:杭州互联网法院(2021)浙0192民初2929号


二审:杭州中院(2021)浙01民终12780号


【案情介绍】


原告吴某诉称,其下载某电商购物App并使用个人手机号注册了账号。登录App后,原告发现某电商购物App「个人中心」栏项下有「某钱包」选项,遂按照App界面要求,在输入原告本人真实姓名及身份号码后开通了「某钱包」。


在使用「某钱包」提供的「免输卡号添加银行卡」功能时,原告原本打算选择自己有卡的银行进行关联,但误触了列表中的某银行,得到了「暂无银行卡可以绑定」的反馈。


原告认为,其并未授权某电商购物平台经营方告知某银行自己真实姓名及身份号码,某银行能够得知原告本人并无银行卡在该行开具,系案涉App泄露原告的敏感个人信息所致,而某银行亦因此非法获得了原告的敏感个人信息。其后,原告在某电商购物App内查阅了相关用户协议内容后还进一步发现, App的运营主体上海某公司与「某钱包」经营主体某付费通公司的运营主体并不一致,而在原告并未明确知情同意的情况下,其真实身份信息还由上海某公司传输给了某付费通公司,并极可能又由某付费通公司传输给了某银行。原告自觉权利受损,遂决定注销“某钱包”,但竟然无法注销。故向法院提起诉讼。


经查,案涉电商购物平台(APP)系由被告上海某公司运营的电商平台。某电商购物APP在应用程序个人用户界面上线了名为「某钱包」的支付服务应用功能,用户可通过「某钱包」的支付功能在平台内购物交易时进行充值、支付及提现等应用。「某钱包」的实际运营主体为某付费通公司。被告某付费通公司为实现用户「某钱包」账户绑定银行卡并具备银行卡快捷支付功能,与包括某银行公司在内的多家银行机构开展有银行卡快捷支付合作。原告吴某某使用案涉账号首次进入某电商购物APP「某钱包」界面填入的个人姓名、公民身份号码等信息,先由上海某公司收集、存储,在原告不知情的情况下,再由上海某公司提供给某付费通公司。


当原告进入「某钱包」添加银行卡界面选择免输卡号进行银行卡绑定操作时,某付费通公司则会将其姓名、公民身份号码信息提供给选定绑卡的银行,银行获取前述信息后根据提供的信息验证该信息主体是否为该银行的持卡人,若为该行持卡人则留存该信息并进入后一步绑卡操作流程;若非为该行持卡人亦留存该信息并向某付费通公司反馈结果。


原告吴某诉称,其下载某电商购物App并使用个人手机号注册了账号。登录App后,原告发现某电商购物App「个人中心」栏项下有「某钱包」选项,遂按照App界面要求,在输入原告本人真实姓名及身份号码后开通了「某钱包」。


在使用「某钱包」提供的「免输卡号添加银行卡」功能时,原告原本打算选择自己有卡的银行进行关联,但误触了列表中的某银行,得到了「暂无银行卡可以绑定」的反馈。原告认为,其并未授权某电商购物平台经营方告知某银行自己真实姓名及身份号码,某银行能够得知原告本人并无银行卡在该行开具,系案涉App泄露原告的敏感个人信息所致,而某银行亦因此非法获得了原告的敏感个人信息。


其后,原告在某电商购物App内查阅了相关用户协议内容后还进一步发现, App的运营主体上海某公司与「某钱包」经营主体某付费通公司的运营主体并不一致,而在原告并未明确知情同意的情况下,其真实身份信息还由上海某公司传输给了某付费通公司,并极可能又由某付费通公司传输给了某银行。原告自觉权利受损,遂决定注销「某钱包」,但竟然无法注销。故向法院提起诉讼。


经查,案涉电商购物平台(APP)系由被告上海某公司运营的电商平台。某电商购物APP在应用程序个人用户界面上线了名为「某钱包」的支付服务应用功能,用户可通过「某钱包」的支付功能在平台内购物交易时进行充值、支付及提现等应用。「某钱包」的实际运营主体为某付费通公司。被告某付费通公司为实现用户「某钱包」账户绑定银行卡并具备银行卡快捷支付功能,与包括某银行公司在内的多家银行机构开展有银行卡快捷支付合作。原告吴某某使用案涉账号首次进入某电商购物APP「某钱包」界面填入的个人姓名、公民身份号码等信息,先由上海某公司收集、存储,在原告不知情的情况下,再由上海某公司提供给某付费通公司。


当原告进入「某钱包」添加银行卡界面选择免输卡号进行银行卡绑定操作时,某付费通公司则会将其姓名、公民身份号码信息提供给选定绑卡的银行,银行获取前述信息后根据提供的信息验证该信息主体是否为该银行的持卡人,若为该行持卡人则留存该信息并进入后一步绑卡操作流程;若非为该行持卡人亦留存该信息并向某付费通公司反馈结果。


【裁判内容】


杭州互联网法院判决认为,某电商购物平台向某付费通公司提供其收集的吴某某个人信息的行为属于未明示信息处理的目的、方式、范围的行为,吴某某系在未充分知情的情况下实施对其个人信息披露的同意。某电商购物平台的上述行为既违反了其与吴某某之间的合同约定,也不符合个人信息处理活动应遵循的知情同意规则。某付费通公司收集吴某某个人信息时,某电商平台APP未以任何形式告知吴某某,某付费通公司将获取其案涉个人信息,更未以任何形式获得过吴某某的同意,亦不存在通过订立、履行合同必需规则或履行法定义务规则等获得处理吴某某个人信息的合法性基础。综上,某电商购物平台经营者、某付费通公司对吴某某个人信息的处理行为缺乏合法性基础,法院认定二者的信息处理行为侵害了吴某某的个人信息权益。


某电商购物平台经营者、某付费通公司违法处理吴某某的个人敏感信息。吴某某在未被充分告知的情况下披露了个人敏感信息,其因个人敏感信息被违法处理产生对个人信息风险的担忧,对个人生命健康、人格尊严或经济利益可能遭受严重损害或极易遭受损害产生恐惧、焦虑等情绪,可以认定为遭受到精神利益的害。且某电商购物平台经营者、某付费通公司作为行业内具有较大影响力的公司,更应严格依照法律法规处理用户个人信息,对于平台中违法处理个人信息的设置应予以及时发现、改进,并对相关的个人信息处理活动采取更加审慎、周密的方式,本案中某电商购物平台经营者、某付费通公司显未尽到前述注意义务,存在明显的过错。考虑到某电商购物平台经营者、某付费通公司对吴某某个人信息的处理行为存在意思联络,故判令两被告向吴某某进行书面道歉并赔偿相应合理维权支出。


宣判后,被告上诉,二审法院驳回上诉,维持原判。


【裁判要旨】


《个人信息保护法》第十三条对个人信息处理行为的合法性基础、个人信息处理规则做出了原则性的规定,并构建了以取得同意为原则,以豁免同意为例外的个人信息处理合法性基础的二元结构。这表明,知情同意规则并非信息处理行为的唯一合法性基础,为了在保护个人信息权益的同时,也能实现个人信息的合理利用,同时维护公共利益、国家利益等,通常对于信息处理者为订立、履行个人作为一方当事人的合同所必需以及为履行法定职责或者法定义务所必需的处理行为等情形,也可认定为法定许可的情形,具有合法性基础,不属于违法处理行为。


但信息处理者运用订立、履行合同必需规则、履行法定职责或法定义务规则等作为其信息处理行为的合法性基础时,需确保其处理行为符合对应规则的要求。


 案例八


购物类APP自动化推荐应用的合法性基础判定——郭某某诉某网络有限公司个人信息保护纠纷案。


【入选理由】


随着web2.0技术为基础的网络平台大量涌现,用户的信息总量也巨幅增长,平台运营者为了更好的筛选出最优信息,开发出不同种类的个性化推荐算法,通过用户行动踪迹、操作习惯、浏览偏好等维度,向用户推荐与其需求相契合的内容,这已然成为互联网时代的潮流。


自动化化算法推荐,依赖用户个人信息的采集,在《个人信息保护法》出台后,个性化推荐与用户个人信息保护之间还缺少明晰的边界。本案为网络用户针对互联网平台收集、使用用户个人信息进行自动化推荐,提起的个人信息保护纠纷。互联网时代更贴近用户的个性化服务代表着用户的普遍需求。如果认定其推送广告的行为构成侵权,将极大阻碍互联网新兴技术和业务的正常健康发展,会限制互联网新业务的发展空间,本案判决试图在利用个人信息自动化决策与个人信息权益保护之间进行平衡,并寻找《个人信息保护法》第16条、24条的适用规则,在充分保障个人信息安全合法权益的同时,也保障和促进网络服务行业的正常开展。


【案例索引】


一审:杭州互联网法院(2021)浙0192民初5626号


【案情介绍】


原告郭某某在注册、使用被告公司运营的某购物APP过程中发现,打开案涉APP时,APP会弹窗显示《隐私权政策》《用户协议》等,要求其选择「同意」或「拒绝」,若其选择「拒绝」,则不能继续使用该购物APP。原告郭某某认为《隐私权政策》中含有以下内容:「向您展示商品或服务信息为向您展示更契合您需求的商品或服务信息,我们会收集和使用您在访问或使用淘宝平台网站或客户端时的浏览、搜索记录及设备信息、服务日志信息,以及其他取得您授权的信息,通过算法模型预测您的偏好特征,匹配您可能感兴趣的商品、服务或其他信息,并根据您点击、浏览或购买的情况,对向您展示的商品、服务或其他信息进行排序。为满足您的多元需求,我们会在排序过程中引入多样化推荐技术,拓展推荐的内容,避免同类型内容过度集中。我们也会基于您的偏好特征在淘宝及其他第三方应用程序向您推送您可能感兴趣的商业广告及其他信息,或者向您发送商业性短信息」,违反《个人信息保护法》第16条、第24条的相关规定,侵犯其个人信息权益,请求法院判令被告公司提供在原告不同意上述隐私政策内容时仍能使用案涉APP的选项,并就侵害原告个人信息权益的行为进行赔礼道歉、赔偿经济损失。经查,案涉购物APP对于自动化决策及其在信息推送、商业营销行为中的应用,已通过下述APP内措施保障用户的选择权(拒绝权):


(1)在APP内路径「我的APP-设置-隐私设置-广告管理」中,用户可依照不同商品(或服务)类目选择性地剔除个性化广告,也可点击按钮整体关闭个性化广告;


(2)在APP内路径“我的APP-设置-隐私设置-推荐管理”中,用户可点击按钮整体关闭个性化推荐;


(3)在APP内路径「我的APP-足迹」「搜索框-历史搜索」中,用户可选择删除浏览、搜索记录;


(4)若用户需要查看不针对其个人特征的排序,可以在搜索结果页面点击「筛选」,选择其中的「销量」「价格」「通用排序」进行设置。上述用户选择权(拒绝权)保障措施亦明晰载于案涉《隐私权政策》中。


【裁判内容】


杭州互联网法院认为,案涉购物APP在《隐私权政策》中采取了首次运行时、用户注册时均提示用户是否同意隐私政策的事前概括同意机制,对用户基本知情同意权进行了保障。同时,通过在APP内部设置便捷的拒绝自动化推荐选项,对用户个人信息权益保障提供了事后选择机制。具体而言,案涉APP对于自动化决策及其在信息推送、商业营销行为中的应用,已通过APP内措施保障用户的选择权:


一是在「我的APP-设置-隐私设置-广告管理」中,用户可依照不同商品(或服务)类目选择删除个性化广告,或点击按钮整体关闭个性化广告;二是在「我的APP-设置-隐私设置推荐管理」中,用户可以点击按钮整体关闭个性化推荐;三是在「我的APP-足迹」「搜索框-历史搜索」中,用户可以选择删除浏览、搜索记录;四是用户可以在搜索结果页面点击「筛选」,选择其中的「销量」「价格」「通用排序」进行不针对其个人特征的排序设置。故案涉APP提供的前述选择机制,符合《个人信息保护法》第二十四条的规定,APP在首次运行时、用户注册时提示郭某某阅读并请求其同意《隐私权政策》,并非以拒绝提供服务的形式强迫用户同意的行为。


综上,被告公司未侵害原告个人信息权益,法院依法驳回了原告的诉讼请求。判决后,当事人均服从法院判决未提起上诉,判决已生效。


【裁判要旨】


信息处理者利用自动化决策方式进行个人信息处理活动,如收集、使用了具有个人特质的信息,个人信息处理者应当在第一次使用时,向个人提供便捷的拒绝方式。信息处理者事前通过隐私政策等取得个人概括性同意,以及事后提供拒绝方式,可视为对个人知情同意权的保障,此时,信息处理者利用个人信息进行自动化决策具有合法性基础。


信息处理者通过自动化决策方式进行信息推送,未向个人提供拒绝的方式或拒绝的方式完全不能达到便捷性要求的,使用户不能依据自己的真实意思表示进行拒绝,则个人信息处理者违反了法定义务,具有违法性,应认定侵害用户个人信息权益。


案例九


个人信息权利请求权诉权行使的前置条件——杜某诉某网络公司个人信息保护纠纷案。


【入选理由】


本案系首例个人信息权利请求权诉权行使前置条件审查的典型案例。《中华人民共和国个人信息保护法》填补了我国个人信息保护的专门立法空白,但实践中如何准确适用法律,如何厘清个人信息权利请求权基础,如何解决多部法律协调适用的选择难题,明确不同请求权所形成的司法保护路径选择等,均有待进一步探索完善。


本案旨在探索信息主体行使个人信息权利时诉权的前置条件的司法审查标准,厘清《中华人民共和国个人信息保护法》第五十条与第六十九条不同请求权的适用条件,敦促不得滥用个人信息保护诉权,同时避免司法介入过多而抑制个人信息的有效传播和共享,强调个人信息处理者所应承担的权利保障义务,引导当事人直接向信息处理者或信息保护履职部门进行维权。


【案例索引】


一审:杭州互联网法院(2022)浙0192民初4330号


【案情介绍】


原告杜某系某电商平台(系被告某网络公司运营)用户,并在该平台多次购买商品。某日,杜某在购物过程中,被平台发布的「好友圈好友等你开拼手气红包」字样吸引,遂点击该字样,随后页面跳出「进圈并邀请好友」的跳转链接,杜某受吸引点击进入「好友圈」。


随后,杜某发现其在该平台的购物记录被自动公开并被分享到“好友圈”为其自动设定的第三人视线之下。社会交往中,朋友通过此功能看到了其购物记录的部分信息,杜某认为隐私受到了侵犯。对此,杜某曾向该电商平台咨询「好友圈」的功能。


杜某认为,某网络公司在对用户个人信息处理活动中未依法保障自身的知情权和决定权,侵犯了个人信息权的合法权益,且已严重违反诚实信用原则,造成了相应精神损失,并在诉讼中明确其系依据个人信息保护法第十四条和第四十四条的规定,认为某网络公司构成对其对个人信息的处理享有知情权、决定权的侵害。某网络公司提交了关于行使个人信息权利的申请受理和处理机制路径的相关材料,并指出,杜某在用户注册时,已通过协议约定明确告知用户收集及使用用户个人信息的方式、范围及目的,并获得用户同意,且未收到杜某对其个人信息处理活动的查询申请或投诉信息,不存在侵犯个人信息权益的行为。


【裁判内容】


杭州互联网法院于2022年6月23日作出(2022)浙0192民初4330号民事裁定书:本案立案后,结合案情和证据材料作程序审查,并未对侵权情形作实体审理。原告杜某主张网络购物信息在其不知情情况下由被告某网络公司所经营的电商平台处理,导致原告杜某不愿被他人知晓的个人信息在一定范围内公开,侵犯了原告杜某在个人信息处理活动中的知情权、决定权,造成原告杜某人格利益受损,故本案系网络侵权责任纠纷中的个人信息保护纠纷。个人信息保护法第五十条和第六十九条分别对个人信息的司法保护做出了规定。前者适用于个人在个人信息保护法第四章所规定的个人信息权利受到侵害或妨碍,但没有产生损害时所产生的一种「个人信息权利请求权」;后者适用于个人信息权益受到侵权损害而产生的一种「侵权损害赔偿请求权」。由于「个人信息权利请求权」的请求权基础为民法典第九百九十五条规定的人格权保护,只要个人信息权利受到侵害或侵害即将发生,即可请求行为人承担停止侵害、排除妨碍、消除危险等民事责任,在构成要件上无需考虑个人信息处理者的主观过错和造成实际损害之要件,其目的在于保障个人信息权利的行使和排除对个人信息权利的妨害,从而为个人信息权利提供一种防御性的保护,避免侵权行为进一步产生实质化的损害后果,最终达到恢复个人信息权利人对人格利益圆满支配状态,保障个人人格的完整性。


同时,因个人信息流动大、使用频率高、范围广,如果直接向法院起诉,不但会造成不必要的诉累,增加个人信息处理的成本,而且可能导致诉讼频发、浪费司法资源,甚至成为恶意诉讼人滥用诉权的工具。实践中,通过向个人信息处理者的积极主张,应是最快捷、最便利、最有效的维权方式。基于此,个人信息保护法第五十条第二款明确规定「个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院起诉。」


换言之,本条的诉权是以「个人信息处理者拒绝个人行使权利的请求」为前提,即设置了个人向法院提起请求权救济的前置条件。也就是说,个人信息主体应先向个人信息处理者请求行使具体权利,只有在个人信息处理者无正当理由拒绝履行义务或一定期限内不予以处理,或者个人信息处理者提供的申请受理机制失效的情况下,个人方可向法院提起诉讼以获得救济。


本案中,被告某网络公司已通过协议约定和后台设置构建了个人行使权利的申请受理及处理机制,原告杜某可通过以上方式行使个人信息知情权和决定权。但原告杜某提起本案诉讼前并未向被告某网络公司(信息处理者)提出请求,而是径行向本院请求救济其在个人信息处理活动享有的权利,显然不符合法律规定中关于「个人信息权利请求权」的起诉受理条件,故驳回原告杜某的起诉。


【裁判要旨】


1.  当个人信息主体以《中华人民共和国个人信息保护法》第四章所规定的个人信息权利受到侵害或妨碍,但没有产生损害时所产生的一种“个人信息权利请求权”行使诉权,应以“个人信息处理者拒绝个人行使权利的请求”为受理前提。因个人信息流动大、使用频率高、范围广,如果直接向法院起诉,不但会造成不必要的诉累,增加个人信息处理的成本,而且可能导致诉讼频发、浪费司法资源,甚至成为恶意诉讼人滥用诉权的工具。实践中,个人信息主体根据现有法律规定,向个人信息处理者积极主张权利,应是最快捷、最便利、最有效的维权方式。


2. 个人信息权利行使的落实有赖于处理者的尊重和依法履行保护义务,故个人信息保护法全面规定了个人在信息处理中的权利,并明确规定个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制,强化个人信息处理者的权利保障义务。只有在申请受理和处理机制未建立、有限时间内未答复、无正当理由拒绝或机制失效等情况下,方可向法院行使诉权。


案例十


个人征信信息商业使用合法性的判定——徐某与被告某信用管理有限公司隐私权纠纷案。


【入选理由】


个人信息只有流通利用起来才有价值,但必须保障个人信息权益。本案明确用户个人信息商业使用的规则和边界,认定收集于政府、法院等国家机关依法公开的个人征信信息,可以进行合理化的商业使用。本案既明确滥用个人征信信息的法律责任,也为信用经济的发展保驾护航,确立了收集于政府、法院等国家机关依法公开的个人征信信息,可以进行合理化的商业使用的规则,同时,本案涉及对隐私信息的判断问题,明确了个人信息主体对国家机关依法向社会公众公开的内容不享有隐私权。


法院借助互联网平台,向当事人依法公开其被执行案件信息及进展,是履行工作职责、保障当事人诉讼权利的一项重要措施,不属于非法披露的情形。本案入选「浙江法院个人信息保护典型案例」。


【案例索引】


一审:杭州互联网法院(2018)浙0192 民初302 号


【案情介绍】


原告通过某APP开通信用服务,与被告某信用管理有限公司签订信用《服务协议》。协议载明「在您使用本服务的全部期间,您授权本公司向可以合法提供您的用户信息的主体采集该等信息。为了免除您重复授权的不便,您作出前述授权,表明前述信息提供者无需再逐一向您另行获取其向本公司提供您的信息的授权,该等信息提供者可以依您在本协议中的授权径行向本公司提供您的用户信息。」


后原告收到某信用平台的信息,内容包括:被执行人、案件号、执行单位、履行情况、过程记录等。原告认为没有取得个人征信业务经营许可证,也没有取得工商个人征信业务经营范围的情况下,违法搜集了原告的个人征信数据,并作为商业用途,此行为严重损害了原告的隐私权。


【裁判内容】


杭州互联网法院经审理认为,隐私权是自然人享有的私生活安宁与私人信息依法受到保护,不被他人非法侵扰、知悉、收集、利用和公开等的一种人格权。但并不是自然人对其所有的私人事务均享有隐私权。


首先,本案中,原告所诉的被执行案件信息中,除了案件状态外,执行案号、执行法院、当事人、立案时间等,均为人民法院依法向社会公众公开的内容。而某信用平台向原告发送的执行案件信息,只有“履行情况”和结案时间是普通公众通过浙江法院公开网查询不了的。可见,除了「案件状态」外,执行案件的其他内容是法院依法向社会公众公开的内容,本案原告对该部分内容并不享有隐私权。其次,本案被诉侵权信息披露主体为某高院,关于非法披露的问题,根据《最高人民法院关于人民法院执行公开的若干规定》的相关规定,原告的被执行案件信息,尤其是该案案件状态,系某高院借助被告运营的互联网平台,向作为案件当事人的原告依法公开其被执行案件信息及进展,这是法院履行工作职责,确保当事人诉讼权利的一项重要措施。


最后,从《服务协议》的内容来看,该《协议》虽为某信用管理公司制定的格式条款,但其以加粗加黑的字体这一合理方式提请用户注意免除或者限制其责任的条款,应视为合法有效,对双方均有约束力,故本案并不存在非法披露的情形。本案中,原告虽主张某信用管理有限公司侵害其隐私权,但其未提交有效证据,故其全部诉讼请求,依据不足,本院不予支持,故驳回原告的诉讼请求。判决后,当事人均服从法院判决未提起上诉,判决已生效。


【裁判要旨】


隐私权是自然人享有的私生活安宁与私人信息依法受到保护,不被他人非法侵扰、知悉、收集、利用和公开等的一种人格权。但并不是所有的私人事务均属于隐私的范畴。也就是说,并不是自然人对其所有的私人事务均享有隐私权。个人隐私保护不能相悖于政府、法院等国家机关对于个人征信信息的依法公开,个人信息主体对国家机关依法向社会公众公开的内容不享有隐私权。互联网平台经个人信息主体授权可以对个人征信信息进行合法性使用。人民法院借助互联网平台,向案件当事人依法公开其被执行案件信息及进展,是法院履行工作职责,确保当事人诉讼权利的一项重要措施。


来源:杭州中院


后台回复“1”,领取更多福利资料~






【直播预告】


👓 你一定还想看


Copyright © 2022 iLAW.All rights reserved. 

本内容及配图设计为iLAW原创版权所有。任何个人或公司未经授权严禁转载使用,如需转载请微信联络@ilawhegui3




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存