用户画像信息遭遇强制收集、手机号被泄露频繁接到推销电话、死者近亲属要求查阅复制死者个人信息……数字时代,公民个人信息权益保护面临着新风险、新挑战,如何加强网络空间个人信息保护受到全社会高度关注。
11月1日,《个人信息保护法》实施两周年。北京互联网法院召开个人信息保护案件审理情况新闻通报会,通报了此类案件的审理情况,并发布了涉个人信息保护典型案例。记者从北京互联网法院获悉,自2018年9月至今,该院共受理58件涉及个人信息保护的案件,以互联网企业为主要被诉主体,涉诉个人信息类型和侵权形态较为多样,覆盖了社交、电商、金融、移动办公、在线教育等众多行业和领域。
北京互联网法院建议企业平台严格落实个人信息保护主体责任,呼吁尽快出台司法解释以明确民法典和个人信息保护法的具体适用标准,强化个人信息处理合规体系建设,并建议有关部门普及个人信息维权救济手段,降低维权成本。
1日,北京互联网法院召开个人信息保护案件审理情况新闻通报会。
“2020年修订的《民事案件案由规定》将个人信息保护纠纷列为单独案由后,以个人信息保护纠纷为由提起诉讼的案件逐渐增多。”北京互联网法院党组成员、副院长赵瑞罡表示。
涉诉信息及侵权类型丰富
关联产品间共享用户数据应获有效同意
调研发现,个人信息保护案件涉诉信息类型较为丰富,既包括法律法规列明的手机号、身份证号、行踪信息等,也包含大量法律未明确列举的信息,例如网页视频浏览记录、职业信息、交易信息、位置信息等,还包括敏感个人信息,如人脸信息。
南都记者注意到,发布会还通报了全国首例适用民法典裁判的APP强制收集用户画像信息侵权案。该案中,原告罗某认为被告运营的软件在用户首次登录时强制收集用户画像信息用于个性化推送,侵犯其个人信息权益。罗某诉称,被告运营的软件在未告知隐私政策的情况下,要求用户必须填写“姓名”“职业”“学习目的”“英语水平”等内容才能完成登录,同时被告还存在未经同意向其发送营销短信、向关联软件共享信息等行为。
法院经审理认为,涉案软件在首次登录界面收集用户画像信息,未设置“跳过”“拒绝”等路径,属于强制收集,构成侵权,依法判决被告涉案软件运营者承担相应侵权责任。宣判后,被告上诉,二审维持原判,目前该案已生效。
此外,通报中另一起案例也相当有警示借鉴意义,为全国首例手机阅读软件侵害用户个人信息权益的典型案件。
据法院通报,原告黄某在通过某社交软件账号登录某读书软件时发现,在原告没有进行任何添加关注操作的情况下,原告在读书软件中“我关注的”和“关注我的”页面下出现了大量原告的社交软件好友。此外,无论是否在读书软件中添加关注关系,原告与共同使用读书软件的社交软件好友也能够相互查看对方的书架、正在阅读的读物、读书想法等。原告将该软件运营者深圳某计算机公司诉至法院,要求其停止侵权行为,解除读书软件中的关注关系、删除好友数据、停止展示读书记录等。
被告则辩称,读书软件获得原告的社交软件好友关系数据、向原告共同使用读书软件的社交软件好友展示读书信息,均在用户协议中有约定,经过了原告的授权同意。
法院经审理认为,虽然社交软件与读书软件均由深圳某计算机公司运营,但同一信息处理者在关联产品中共享个人信息,需要个人信息主体在充分知情的前提下,自愿、明确同意该处理方式。
“个人信息权益为新型权益,当事人对于权益的内涵、边界理解不同,而且个人信息处理活动往往环节较多、技术性较强,个人在理解专业性法律条文、举证能力上往往存在不足。”赵瑞罡表示,在个人信息诉讼中,权利人诉讼能力和举证能力薄弱,是个人信息权益保护的一大难题。此外,个人信息保护的相关法律仍需协调,个人信息处理的合法性基础需要进一步细化,个人信息处理者行为规范有待提升。
纠纷场景涉及众多数字经济领域
与此同时,南都记者注意到,此次通报案例中可见,近年引发个人信息纠纷的场景正日益蔓延至数字经济领域。例如,金融企业被诉存在信息泄露问题,致使用户遭遇电信诈骗;在线教育APP被诉在用户登录阶段无法跳过年龄、职业、教育背景等信息填写环节,强制收集个人信息;电商平台被诉频繁拨打用户电话,不当使用或泄露个人信息;办公软件被诉未经同意将用户移除工作群等等。
另外,有企业将用户信息制作成数据包,开发数据产品向他人提供,引发侵权风险;有企业存在线下收集、线上处理、线下线上多主体混合处理、关联企业共同处理等行为,反映出涉诉个人信息处理活动呈现多主体多形态交融的态势。
此外,一系列新类型个人信息纠纷进入诉讼,如死者个人信息处理、提供查阅复制信息等。上述情况反映数字时代个人信息处理活动频繁,引发个人信息纠纷的场景涉及众多数字经济领域。
北京互联网法院综合审判三庭庭长孙铭溪通报典型案例
“使用汽车资讯APP查阅某品牌汽车报价,却接连收到另外两家品牌车辆经销商的电话,吕先生认为其手机号被非法泄露,遂诉至法院。”通报会上,北京互联网法院综合审判三庭庭长孙铭溪介绍了吕某与某信息技术有限公司个人信息保护纠纷案,“法院经审理认定,该汽车APP在诉讼中提交的后台授权数据存在异常,IP地址、备注姓名均与原告真实情况不一致,不能认定其获得了有效授权同意,其未经同意向其他经销商提供个人信息,构成侵权。”
据了解,围绕APP非法收集和泄露个人信息、公开个人信息处理、死者个人信息保护、个人信息查阅复制权行使等问题,此次通报会一共通报了8起个人信息保护典型案例,并对案件裁判规则和典型意义进行了介绍。
民进中央社会法制委员会副主任,北京市政协委员,北京市帅和律师事务所主任沈腾表示,在北京互联网法院此次通报的8起典型案例之中,多数案件都是个人信息保护领域的新类型案件,可见伴随互联网经济的高速发展,社会公众对个人信息保护的意识日益提升,必然会不断出现新兴案件,也将给司法审判带来更多样的挑战。
采写:南都记者吕虹
