• 案件名称:俞延彬与浙江天猫网络有限公司等网络侵权责任纠纷案
  • 法院:北京市海淀区人民法院
  • 案号:(2018)京0108民初13661号
  • 裁判日期:2019年12月10日
  • 原告:俞延彬
  • 被告: 北京乐友达康科技有限公司
  • 被告: 支付宝(中国)网络技术有限公司
  • 被告: 浙江淘宝网络有限公司
  • 被告: 浙江天猫网络有限公司
  • 裁判结果:四被告共同赔偿原告经济损失1元

建立适应融合发展的标准规范、竞争规则,引导实体零售企业逐步提高信息化水平,将线下物流、服务、体验等优势与线上商流、资金流、信息流融合,拓展智能化、网络化的全渠道布局。鼓励线上线下优势企业通过战略合作、交叉持股、并购重组等多种形式整合市场资源,培育线上线下融合发展的新型市场主体。建立社会化、市场化的数据应用机制,鼓励电子商务平台向实体零售企业有条件地开放数据资源,提高资源配置效率和经营决策水平。

——《国务院办公厅关于推动实体零售创新转型的意见》(2016)

一、案件事实

2018年1月31日,俞延彬作为消费者前往作为智慧门店的乐友清河门店购买了商品,使用支付宝进行支付。支付完成后,支付宝在俞延彬未勾选“授权淘宝获取你线下交易信息并展示”的情况下,将俞延彬的购物数据传输至淘宝网与天猫网。俞延彬认为乐友清河门店、支付宝、淘宝、天猫的行为构成侵犯个人信息,故诉至法院。
法院将案件重点交易链条总结为如下交易环节:

  1. 俞延彬通过乐友清河店的支付宝收款码扫码支付商品价款; 
  2. 俞延彬将支付完成页面的“授权淘宝获取你线下交易信息并展示”前面的默认勾选√取消;
  3. 支付宝公司将收款后的用户身份识别代码上传到乐友公司的智慧门店平台;
  4. 智慧门店平台系统自动匹配该支付宝用户同时为淘宝网、天猫网用户;
  5. 淘宝网、天猫网分别将俞延彬在乐友清河店完成的交易信息推送到手机淘宝、手机天猫订单中显示。

我画了张流程图方便理解:

二、勾选行为是什么?

案件的关键在于:用户不勾选同意时,支付宝以何法律依据将用户线下购物产生的个人信息传输给淘宝或天猫?

支付宝公司辩称:

不是通过默认勾选的页面决定是否将信息传递给线下商户,页面应该是起到了一个告知用户的效果,但实际上页面本身的设计是由于没有从后台调取到用户的身份信息,所以它的设计没有传达出应该告知的内容。用户点击取消对勾后,默认为用户已经了解到这条信息,后续的订单信息仍然是通过这种数据传输的方式给了门店,所以后续的订单信息仍然是在手机淘宝中进行展示,没有再继续向用户来传递这条信息。这是一个告知,并不是一个授权。

简而言之,支付宝认为无论用户是否勾选“同意”,支付宝并不在乎,只是向用户打个招呼,即使用户不勾选“同意”支付宝依然认为用户已经同意。

但法院并不赞同这样的观点:

在支付宝支付完成页面有“授权淘宝获取你线下交易信息并展示”字样,从文字表述上来看,该表述显然是“授权”性质的条款,从用户的角度来说,如果将该段表述前的默认勾选√取消,则应当理解为淘宝将不再获取该笔线下交易的信息。但是在俞延彬将该默认勾选√取消后,也就是在俞延彬已经明确拒绝淘宝公司获取其线下交易信息并展示的情况下,在俞延彬完成第二笔交易时却不再出现该“授权”条款,俞延彬的淘宝、天猫订单中随即出现了线下交易的订单。支付宝公司辩称该“授权”条款实则为履行告知义务,但无论从表述上还是从实际交易情况来看,支付宝公司的解释均无法使人信服。

三、共享与同意

智慧门店之所以有智慧,在于线上线下数据的打通,这也是“新零售”的要义所在。通过线上线下数据的联通,实现更为精准的营销,优惠券、广告会更加精准地投放。但问题在于,线上线下的数据传输,会涉及多个法律实体,即使是集团内部不同公司间的数据共享仍然是一种将数据提供给第三方的行为。

案件中,支付宝公司、淘宝公司、天猫公司辩称,原告分别是其用户,各公司已经在其《隐私政策》中对收集、使用及共享个人信息的行为取得了原告的授权。但法院对各家公司的《隐私政策》进行了严格审核,并指出:

  1. 支付宝公司《隐私政策》中明确只有获得同意才会共享用户个人信息。
  2. 淘宝公司和天猫公司《隐私政策》关于“使用其关联公司提供的产品或服务”中并无“支付宝”当面付工具的使用。

进而法院认为三公司未经同意即共享原告个人信息具有主观过错,且网络运营者共享用户个人信息的行为不应概括授权:

如果认为网络运营者仅仅采用概括式的授权即履行了其告知义务,而在具体场景的应用中无需再次取得用户同意,则个人信息相关权益的所有人在进行该种授权时对于其个人信息的使用方式以及使用范围无法明确知晓,可能导致个人信息脱离于用户意志而被不当收集和使用,不利于对个人信息的保护。

法院总结道:

个人信息共享是一个融合了个人信息流动的动态的过程,在此过程中可能对个人信息安全带来一定的威胁,在个人信息共享的过程中个人信息使用者应当明确告知个人信息相关权益的所有人其使用信息的目的、范围,并获得个人信息相关权益的所有人的明确授权,以确认协议、具体场景下的文案确认动作等形式确认征求了用户的同意,并在获得的授权范围内使用该个人信息。乐友公司、支付宝公司、淘宝公司、天猫公司在明知其使用智慧门店中个人信息需要事先获得用户授权的情况下,并未实际取得用户授权,使用了俞延彬的个人信息,该行为侵犯了俞延彬对其个人信息享有的权益,构成共同侵权,依法应当承担相应的侵权责任。

新零售中的数据共享,关键在于保障消费者的知情权、选择权以及公平交易权。《消费者权益保护法》在个人信息保护领域有着不亚于《网络安全法》的重要性,尤其是在面向消费者的业务中,而向消费者告知数据共享的情况即是保障消费者知情权、选择权以及公平交易权的体现。因此,法院认为“原告诉请的知情权、选择权和公平交易权已经包含于俞延彬对其个人信息的支配控制权内涵中”。

四、新零售下设计“同意”

“合法、正当、必要”是我国确立的个人信息处理基本原则。所谓“必要”与“正当”紧密关联,是从个人信息主体,而非处理者的视角进行判断。根据诉讼中披露的《阿里巴巴智慧门店产品服务协议》条款来看,智慧门店设立目的是为现实智慧门店产品服务,支付宝公司将线下门店交易信息传输给淘宝公司,并通过淘宝公司获得用户在线上店处享受的优惠权益,以便线上线下门店实现线下门店引流等目的。法院认为:

该使用目的并非基于用户的“必要”,而是网络公司的商业考量。为用户之必要,则应当在收集、使用个人信息时,其所获取的个人信息应当以满足使用目的为限,不得超出范围收集和使用个人信息。

在新通过的《民法典》第一千零三十五条中,围绕“同意”构建了个人信息处理的规则。

处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。

《民法典》

目前,少有法律、行政法规在“同意”之外开口,比如《身份证法》对查验公民个人信息进行了规定,并不需要同意;《征信业管理条例》将企业的董事、监事、高级管理人员与其履行职务相关的信息排除于个人信息范围之外,也不以同意为使用规则。

只要超出原有处理用户个人信息的范围,就应当重获“同意”。虽然在GDPR下围绕数据处理有若干种合法性基础,同意只是其中之一,但我国的个人信息处理规则目前仍是围绕同意构建。在案件中法院强调再次“个人信息控制者只有在取得用户知情同意的情况下,方可与他人对用户的个人信息进行共享。”此前在新浪微博诉脉脉、淘宝诉美景案中,法院无不以“同意”为原则,构建并强调了“三重授权”规则。

进一步,在新零售的场景下,需要更多元化的“同意”获取方案。在案件中,支付宝、淘宝、天猫主张已在以往服务中获得了原告同意,但法院并不认可,这在某种程度上宣告了“一锤子式同意”方案的终结,“同意”需要传拆在业务场景中,结合纸质文件、员工培训、物联网设备、App等多元因素设计“同意”方案,层层管理用户同意。

无论如何设计“同意”方案,真正的难点在于用户选择“不同意”时该如何操作。在本案中,用户选择同意与否并没有实质区别,因此而导致纠纷。即使是在 《个人信息告知同意指南(征求意见稿)》中,也未对用户选择“不同意”的情形下个人信息控制者该如何处理提供明确指引。期待正式版本的标准能够更加完善。

五、尾声?

在俞延彬就涉案行为投诉后,支付宝公司、淘宝公司、天猫公司即立即查找了存在的问题,停止了侵权行为,未造成损害的扩大。

本案法院一审判决四被告共同赔偿1元,而原告要求赔礼道歉的诉讼请求被法院驳回(不知道被告们是否会上诉)。面对高昂的合规成本,支付宝公司、淘宝公司、天猫公司选择了整改,但或许有更多的企业愿意承担1元钱的不合规的风险吧。

最后修改日期:2020年9月12日

作者

留言

撰写回覆或留言

发布留言必须填写的电子邮件地址不会公开。