分类目录归档:纸上谈案

案例研究:冯春华与中国联通一般人格权纠纷案

案件名称:冯春华与中国联合网络通信有限公司昆山市分公司、中国联合网络通信有限公司一般人格权纠纷案

案号:(2020)苏0583民初11684号

审理法院:江苏省昆山市人民法院

裁判结果:一、被告中国联合网络通信有限公司昆山市分公司于本判决生效之日起一个月内就输错号码行为消除影响,并向原告冯春华书面赔礼道歉,上述义务若被告中国联合网络通信有限公司昆山市分公司不履行的,则由被告中国联合网络通信有限公司继续履行。

二、被告中国联合网络通信有限公司昆山市分公司支付原告冯春华损失1000元,于本判决生效之日起十日内履行。被告中国联合网络通信有限公司对被告中国联合网络通信有限公司昆山市分公司不能清偿部分承担补充清偿责任。

数据权益的新疆界:新浪微博诉超级星饭团App不正当竞争纠纷案

  • 原告:北京微梦创科网络技术有限公司(“新浪微博”)
  • 被告:云智联网络科技(北京)有限公司(“超级星饭团App”)
  • 审理法院:北京市海淀区人民法院
  • 案号:(2017)京0108民初24512号
  • 裁判时间:2020年7月20日
  • 裁判结果:(1)被告停止侵权;(2)被告刊登声明消除影响;(3)被告赔偿经济损失1000万元及合理开支228,554元

一、案情概况:不止于此案

根据App Store内超级星饭团App的简介:“超级星饭团是一款专为粉丝打造的粉丝追星服务平台,让粉丝轻轻松松即时了解爱豆的SNS社交动态信息,随时随地紧紧守护自己的超级明星。”但新浪微博认为,超级星饭团App在未经新浪微博许可的情况下,通过爬虫程序爬取新浪微博中明星的动态,并将从新浪微博获取的明星动态数据与从其他平台获取的数据相结合,提供z明星动态,供“粉丝”所使用,进而侵犯新浪微博对数据的权益,进而构成不正当竞争。

案件中,超级星饭团App也承认部分数据来自于新浪微博,因此双方的主要的争议焦点在于:超级星饭团App抓取新浪微博数据是否侵犯新浪微博的合法权益。

这个案件在诸多层面具有典型意义,涉及到数据、个人信息、爬虫等多个领域,值得认真研讨。此外,本案并不是新浪微博为自己数据权益发起的唯一诉讼,之前(2016)京73民终588号“新浪微博诉脉脉案”开创了“三重授权”原则;(2019)京73民终2799号“新浪微博诉饭友App案”案被北京知识产权法院列为2019年度北京市法院知识产权司法保护十大案例。

二、固定证据:上收手机后的勘验

在涉互联网的案件中,固定证据向来都是难题。本案中,除了常见的公证以外,也通过当庭勘验的方式固定证据。法院同意新浪微博的勘验申请,并在本案庭审前上收双方通讯工具,避免与法庭勘验相关的问题和程序被提前泄露而影响勘验结果的客观真实性。

通过在法庭计算机中安装VPN,新浪微博登入公司内网,在线修改“超级话题”代码,将明星“李子璇”的上线时间修改为12:23,下线时间修改为12:26。随后专家辅助人登录超级星饭团App,发现App中的显示的时间为修改后的时间,而微博App和微博超话App中“李子璇”信息,均未显示勘验代码中记载的上线和下线时间。

尽管超级星饭团App进行了一些反驳,但新浪微博通过现场勘验的“突袭”,向法庭证明了超级星饭团App不仅会抓取超级星饭团App公开的前端数据,也会抓取新浪微博非公开的后端数据。

三、访问权限:公开数据与非公开数据

在知乎上,我最经常被问到的一个问题就是:爬虫程序是否合法?

通过爬虫程序在互联网上爬取数据是一件再正常不过的事情,搜索引擎的基础就是各种爬虫程序,用Python写一个简单的爬虫程序并不困难。但爬虫程序会显著消耗服务器资源,裁判文书网、工商登记信息网、12306等网络系统都饱受爬虫之苦,所以验证码设计愈发诡异。所以这也导致围绕着爬虫程序的“攻防”是互联网上一项热门的生意:爬虫程序越来越能够模拟真人的访问行为;网络平台也越来越能够判断网线对面是真人还是代码。

法庭将涉案数据分为“公开数据”与“非公开数据”两类,以访问权限为判断标准:在无相反证据的情形下,对于微梦公司未设定访问权限的数据,应属其已在新浪微博中向公众公开的数据;但对于其通过登录规则或其他措施设置了访问权限的数据(如用户即便登录新浪微博帐号亦无法访问的数据),则应属新浪微博中的非公开数据。

法庭认为,对于平台的公开数据,虽然是平台经营者重要的经营资源,但对爬虫程序应有容忍的义务:

而对于平台中的公开数据,基于网络环境中数据的可集成、可交互之特点,平台经营者应当在一定程度上容忍他人合法收集或利用其平台中已公开的数据,否则将可能阻碍以公益研究或其他有益用途为目的的数据运用,有违互联网互联互通之精神。且无论是通过用户个人浏览或网络爬虫等技术手段获取数据,只要其遵守通用的技术规则,则其行为本质均相同,网络平台在无合理理由的情形下,不应对通过用户浏览和网络爬虫等自动化程序获取此类公开数据的行为进行区别性对待。当然,如果他人抓取网络平台中的公开数据之行为手段并非正当,则其抓取行为本身及后续使用行为亦难谓正当;如果他人抓取网络平台中的公开数据之行为手段系正当,则需要结合涉案数据数量是否足够多、规模是否足够大进而具有数据价值,以及被控侵权人后续使用行为是否造成对被抓取数据的平台的实质性替代等其他因素,对抓取公开数据的行为正当性做进一步判断。

在庭审中,超级星饭团App并没有证明成功地向法庭证明自己合法正当获取新浪微博的公开数据。法庭认为超级星饭团App是通过伪装成用户登录或模拟用户行为向新浪微博后台服务器发送请求,并按照浏览器规则进行解析等技术手段获取数据,并违反Robots协议,在白名单以外仍然抓取公开数据,因此具有主观恶意。此外,自始至终超级星饭团App未向法庭说明其使用的技术和如何通过该技术实现对涉案数据大规模抓取进行演示或提交相关证据。

Robots协议仅是文本文件(.txt),并不像HTTP、FTP这些协议(protocol)如果不遵守就无法使用,更算不上法律意义上的协议(agreement),因此Robots协议的效力其实值得商榷,且超级星饭团App也并非《搜索引擎服务商自律公约》的签署方。从访问控制的角度来看,Robots协议更像是草坪上竖立的“禁止进入”标识,物理上没有办法阻挡人们踩踏草坪。在(2017)苏01民初2340号“北京焦点诉百度案”中,法庭就建议百度“在现有运行机制包括用户协议中明确法律提示条款、设置robots协议等的基础上,百度公司仍然应当主动积极应对新技术开发、新应用场景、新业态运营在市场拓展过程中可能引发的侵权现象,关注其中可能存在的侵权风险……”。

四、数据权益的边界

本案虽然是围绕不正当竞争的纠纷,但数据权益的保护仍然是重点问题,且可能会在未来影响到一系列类似案件的请求权基础。本案中,法庭对新浪微博的数据权益进行了如下论述:

……在当前的市场环境下,数据已经逐渐成为经营者,尤其是互联网经营者之间相互竞争的基础性资源,获得数据意味着可据此进行分析并改进、完善产品功能,从而获得更多的经营利益。因此,司法不能以数据尚未成为一种法定权利为由而拒绝裁判。当经营者为收集、整理数据,以及维护其互联网产品中的数据运行和安全而付出成本,且该种数据整体上可为经营者进行衍生性利用或开发从而获得进一步的经营利益时,其他经营者未经许可擅自抓取且使用平台数据的行为,当然可以落入反不正当竞争法调整的范围。

据此,结合涉案数据系新浪微博产品的重要基础,微梦公司为运营新浪微博,维护涉案数据安全付出了相应成本(如前述部分明星要求其动态信息不予公开,微梦公司显然需要为此进行产品功能的设计),微梦公司对涉案数据进行衍生性利用或开发,以及《微博服务使用协议》中关于涉案数据归属的约定等因素,微梦公司可基于其对涉案数据享有的经营利益,依据反不正当竞争法对云智联公司擅自抓取并使用涉案数据的行为提出相应主张。

……微梦公司所主张的涉案数据虽系来源于微博用户数据,但并非该些零散且相对独立的数据的简单集合,而是微梦公司进行了数据安全保护等加工后形成的数据(例如,根据《微博服务使用协议》第1.2.3条,用户可通过设置功能自行控制、把握查阅其信息的帐号类型);此外,涉案数据中亦有非微博用户生产的数据,如涉案数据中的明星在线时间,显然系微梦公司根据微博用户在线时间计算、整理得出。因此,微梦公司主张的涉案数据系新浪微博平台数据,与微博用户个人数据存在本质不同……。

对于新浪微博来说,除了通过《反不正当竞争法》进行维权,另一个“解题思路”是直接通过《民法总则》/《民法典》第一百二十七条(数据条款)进行维权,比如(2018)苏0684民初5030号“浙江淘宝网络有限公司诉杜某等网络侵权责任纠纷案”中淘宝公司便是按照此思路对恶意评价行为进行追责,认为恶意评价侵犯了自己的数据权益,并得到了法庭的支持。当然选择何种方式原告与律师会有自己的考量,我也无需赘言。

五、违法关键点:数据利用

在竞争法的角度,超级星饭团App在获取数据后的使用行为更值得关注,即超级星饭团App在获得数据后的利用方式是否会减损新浪微博的商业机会。

在本案中,法庭认为涉案数据均系与明星动态相关的数据,而关注涉案信息的主要用户群体即明星粉丝,与超级星饭团App的用户类型一致,且构成替代关系,用户可以不使用新浪微博就能获得明星数据,直接影响新浪微博的广告收益。(2019)京73民终2799号“新浪微博诉饭友App案”中,法庭也使用过类似的思路,认为:微梦公司对新浪微博数据享有合法权,在案证据可以认定复娱公司系通过绕开或破坏微梦公司技术保护措施的手段,实施了抓取和展示新浪微博数据的行为,使得饭友×××用户无需注册或登录新浪微博帐号即可查看新浪微博全部内容,复娱公司的行为必然会影响微梦公司与用户间协议的履行,导致微梦公司的独家权益无法得到保障,对数据维护等的投入无法获得相应回报,或将减损用户数据安全程度,妨碍、破坏了新浪微博的正常运营。

在(2016)沪73民终242号“大众点评诉百度案”中,争议焦点并不在于数据的获取,而在于对数据进行收集后如何进行利用才算合法。“大众点评诉百度案”案件的裁判为数据收集后的利用提供了清晰的指引——即在数据利用时不能实质替代原服务,应采取对原服务影响更小,并能在一定程度上实现积极效果的措施对数据进行利用。

六、公开数据中个人信息合规隐忧

案件中,个人信息主体的角色也不应忽视,法庭认为:

对于涉案数据中的公开部分,正常情况下,新浪微博用户可随时选择修改或删除相关数据,微梦公司基于其与用户之间的协议亦应维护用户处理其数据之权利;但云智联公司的抓取和展示涉案数据的行为会使这部分数据脱离用户自身和微梦公司的控制,减损其处理数据的权利。而对于涉案数据中的非公开部分,往往包含与用户个人隐私相关的信息(如用户设置仅自己可见)或其不希望他人收集或查看的信息(如用户发布后自行删除的信息或前述明星限制公开的数据),云智联公司对其进行抓取和展示可能导致此类用户个人信息的泄露和被侵害,而这必然影响新浪微博数据安全进而破坏微梦公司所提供服务的正常运行,也可能侵害用户对其个人隐私等信息所享有的合法权益。

在《民法典》第一千零三十六条中,规定合理处理该自然人自行公开的或者其他已经合法公开的信息,行为人不承担民事责任,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。这意味着通过爬虫程序爬取前端公开的个人信息并不违反法律,但是个人信息的主体有权拒绝。《民法典》对已公开个人信息的态度延续于《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条的规定。

程啸教授认为:“一方面,即便是已经合法公开的个人信息依然受到法律的保护,自然人对这些个人信息并不因其公开而失去控制的权利,其有权拒绝他人对这些信息进行处理;另一方面,由于个人信息的保护对于维护自然人的人格尊严和人格自由具有很重要的意义,所以,即便是已经合法公开的个人信息,也不得任意进行处理,如果处理该信息将侵害自然人的重大利益的,也要承担民事责任。”(《论我国民法典中的个人信息合理使用制度》,载《中外法学》2020年第4期)

当然明星们可能不会要求超级星饭团App删除自己的个人信息,但在其他场景下,大量裁判文书信息、新闻报道公开的个人信息保护一直也都是一个棘手的问题。个人信息主体其实是有权利要求爬取数据的平台删除其个人信息,需要爬取数据的平台具备响应机制。但有一点需要留意,根据《征信业管理条例》第十三条第二款:“企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。”但如果超出董监高的履行职务相关的信息的范围,则仍然属于个人信息。

简而言之,对于已公开的个人信息,个人信息主体并未丧失掌控的权利,仍然可以要求停止处理、删除、修正错误。

航班隐私泄露的“三连”司法案例

一、正在扭转的趋势

航班信息泄露是大量旅客都经历过的事情。旅客在购买机票后莫名收到短信说之前预订的航班被取消,并告知旅客退款需要银行账号和密码。有大量旅客因此浪费时间查询航班是否真实取消,甚至会损失钱财,而这背后的罪魁祸首就是旅客购票的信息泄露。

长期以来,旅客在案件中处于不利地位,因为旅客无法证明平台或航空公司的信息安全措施存在过错,实际是难以尽到举证责任。比如在“朱盈盈与北京趣拿信息技术有限公司合同纠纷案”((2017)陕0112民初1252号)中,法院认为:

当事人对自己提出的诉讼请求所依据的事实或反驳对方诉讼请求所依据的事实,应当提供证据加以证明,没有证据或者证据不足以证明当事人主张的,由负有举证责任的当事人承担不利后果。本案的争议焦点为是否被告对原告个人信息泄露负有违约责任。原告通过被告的网站进行购票,双方形成委托关系。但原告提供的证据不能证明被告系掌握原告个人信息的唯一主体,亦不能证明原告个人信息由被告泄露。同时,本案被告在原告购票成功后,及时发送短信对原告进行了必要的提醒和告知义务。原告的损失系第三人实施诈骗的直接后果,原告作为完全民事行为能力人,自身负有必要的安全注意义务。故对原告主张被告赔偿损失的诉讼请求,证据不足,本院不予支持。

这也只是云云案件中的一例,在其他领域用户个人信息泄露以后通过诉讼维权同样会面临无法举证的高墙,因此用户屡屡败诉。个人信息泄露问题自然也无法引起占据优势地位的企业的重视。但是,从“庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案”开始,法院突破性地将举证责任给予占据优势地位的企业,进而让消费者/用户/旅客有可能胜诉。该案件在2018年被最高院列为“第一批涉互联网典型案例”,并在2019年12月乌镇的“世界互联网法治论坛”再次被最高院选为“中国互联网司法典型案例”。

也正是由“庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案”开始,旅客在越来越多案件中能够在一定程度上挽回损失。以下选择了包括庞理鹏案在内的三个案件,涉及去哪儿网、东方航空、携程、支付宝、美团这些大家耳熟能详的企业。

二、认定的事实

庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案:

2014年10月11日,庞理鹏委托鲁超通过去哪儿网平台(http://www.qunar.com)订购了东航机票1张,所选机票代理商为长沙星旅票务代理公司(以下简称星旅公司)。去哪儿网订单详情页面显示该订单登记的乘机人信息为庞理鹏姓名及身份证号,联系人信息、报销信息均为鲁超及其尾号**58的手机号。2014年10月13日,庞理鹏尾号**49手机号收到来源不明号码发来短信称由于机械故障,其所预订航班已经取消。该号码来源不明,且未向鲁超发送类似短信。鲁超拨打东航客服电话进行核实,客服人员确认该次航班正常,并提示庞理鹏收到的短信应属诈骗短信。2014年10月14日,东航客服电话向庞理鹏手机号码发送通知短信,告知该航班时刻调整。当晚19:43,鲁超再次拨打东航客服电话确认航班时刻,被告知该航班已取消。

申瑾与上海携程商务有限公司、支付宝(中国)网络技术有限公司等侵权责任纠纷案:

申瑾通过携程公司手机APP平台订购机票,因订购机票行为而产生的出行人姓名、航班日期、起落地点、航班号、航空公司信息、订票预留手机号信息被整体泄露,诈骗分子根据泄露的信息内容发送诈骗短信,引导申瑾使用支付宝亲密付功能消费及工商银行网上银行转账,最终导致申瑾银行卡内个人财产受损。

付全贵与北京三快信息科技有限公司等网络侵权责任纠纷案:

原告受单位指派乘飞机从张家口到上海出差。原告委托同事梁某从美团手机客户端应用程序订购了东方航空公司的航班。后梁某收到诈骗短信。梁某看到航班消息与原告预订机票信息完全吻合,将短信内容转发原告。原告看到短信后非常着急,因第二天已跟上海客户约好商谈合同,航班突然取消让其不知所措,便拨打了短信里的固定电话。对方冒充东方航空公司工作人员,让原告提供了身份证号、手机号、银行卡等信息,并告知该预订航班确实因起落架故障取消,建议原告退票或改签,且称未防止客户收到退票款后不认账,需要知道其银行卡余额。原告按照其指导操作退票手续,却被诈骗22400元。

三个案件的事实基本雷同,属于同一套路,都是收到航班取消的短信,只是庞理鹏并未因此遭受更大的损失。

三、法院观点

庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案:

庞理鹏被泄露的信息包括姓名、尾号**49手机号、行程安排等,其行程安排无疑属于私人活动信息,应该属于隐私信息,可以通过本案的隐私权纠纷主张救济。从收集证据的资金、技术等成本上看,作为普通人的庞理鹏根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此,客观上,法律不能也不应要求庞理鹏证明必定是东航或趣拿公司泄露了其隐私信息。东航和趣拿公司均未证明涉案信息泄漏归因于他人,或黑客攻击,抑或是庞理鹏本人。法院在排除其他泄露隐私信息可能性的前提下,结合本案证据认定上述两公司存在过错。东航和趣拿公司作为各自行业的知名企业,一方面因其经营性质掌握了大量的个人信息,另一方面亦有相应的能力保护好消费者的个人信息免受泄露,这既是其社会责任,也是其应尽的法律义务。本案泄露事件的发生,是由于航空公司、网络购票平台疏于防范导致的结果,因而可以认定其具有过错,应承担侵权责任。(来自最高院对该案重要意义的阐述)

申瑾与上海携程商务有限公司、支付宝(中国)网络技术有限公司等侵权责任纠纷案:

应当指出,在公司利用个人信息进行经营活动产生的纠纷中,个人相对于具有一定数据垄断地位的公司实体在证据搜集和举证能力上处于弱势地位。因此,应顾及双方当事人之间实质公平正义进行举证责任的分配。本案中,申瑾已举证证明其将个人信息提供给携程公司,后在较短时间内发生信息泄露,已完成相应合理的举证义务。携程公司应就其对申瑾的个人信息泄露无故意或过失之事实负举证责任。现携程公司的举证为两方面,即其在信息安全管理上无漏洞,以及个人信息存在被其他主体泄露的可能性。但从现有证据看,携程公司在信息安全管理的落实方面存在漏洞,未尽到对个人信息负有的信息保管及防止泄露义务,具有过错。至于其他主体获得个人信息问题,涉案信息的传递是因携程公司出于经营需要而发生,携程公司主张其他主体泄露信息,依法应由其进行举证。现携程公司仅提出理论上存在其他主体泄露的可能性而未完成举证。故综合来看,申瑾对于个人信息泄露已完成举证,携程公司提出的主张及举证不充分。综上,携程公司在信息安全管理的落实方面存在漏洞,未尽到对个人信息负有的信息保管及防止泄露义务,具有过错,应承担侵权责任。
《侵权责任法》第三十七条有关安全保障义务的规范价值取向,在于公共秩序与公共安全的维护。网络空间是否存在公共性,是我们理解适用该法律条文时的关键问题。网络空间的运行和信息交互活动,与现实场景下的社会性场所、群众性活动有行为模式的相似之处。物理世界中,先存在着一个公共空间,而后产生聚合的公共行为;而网络空间的虚拟性打破了传统的模式,先有人与人之间的互动,而后形成了一个虚拟的公共空间,虚拟性成就了网络空间所特有的公共性。网络服务提供者具备开启、参与社会交往服务及给他人权益带来潜在危险两项特征,因此虚拟数字世界中的网络服务提供者与现实世界中的安全保障义务主体一样,应对针对其服务用户发生的侵权负有排除义务,并对未来的妨害负有审查和控制义务。本院认为,该义务的法理基础与《侵权责任法》第三十七条所确立的安全保障义务系属同源,法理体系一脉相承。

付全贵与北京三快信息科技有限公司等网络侵权责任纠纷案:

三快科技公司主张其在信息安全管理上不存在漏洞。虽然其提供的证据可以证明其采取了一定的安全保护措施,如将可识别的信息去标识化处理,对用户姓名、手机号和证件信息都进行了部分隐藏,相关信息的管理需要经过授权许可等,但对其内部安全管理制度和操作规程、具体访问涉案信息的授权规则、授权人员范围、监控情况等,三快科技公司均未清楚、准确地予以说明。特别引起本院注意的是,三快科技公司所称系统自动发送的风险提示短信包含有完整的涉案信息,在其系统平台上所保存的记录亦未进行去标识化处理,该短信在发送之后相关记录会留存在美团平台的数据库中,可以再次访问。综上,本院认为三快科技公司在其信息安全管理无漏洞方面举证并不充分,无法证明其已制定了管理制度和操作规程,采取了必要的技术措施来确保其收集的个人信息安全。
一方面,从现有证据看,三快科技公司并未提供充分证据证明涉案信息由其他主体泄露,其提供的商家导出订单报表等证据反而显示在商家处已将旅客手机号码进行了加密处理。另一方面,在因交易必要需将个人信息提供给第三方的情况下,网络运营者作为信息采集方,同样负有采取相应措施保护信息安全的义务。在其提供过程中,至少应做到三点:一是同样遵循合法、正当、必要的原则,将提供信息的范围严格限制在订票所必需的范围内;二是应当采取技术措施确保信息传输过程中的安全,如采用技术手段进行匿名化处理;三是作为交易模式的设计者,三快科技公司应清楚知晓其采集信息的流向、范围及可能有泄露风险的环节。而对于提供信息的个人来说,在其将个人信息提供给网络运营者之后,很难对信息的使用进行有效控制。与个人相比,网络经营者应当也有能力通过完善经营模式或协议安排来分散风险和分担责任。故,本院对三快科技公司主张涉案信息亦可能被航空公司等其他主体泄露的意见不予采信,该项意见亦不构成免责或减责的事由。综上,本院认为三快科技公司未能充分证明其已经尽到了保护涉案信息安全的义务。

三个案件虽然事实与判决结果相似,但法院的说理却各有侧重。“庞理鹏案”的重点在举证责任,法院认为作为普通人的庞理鹏根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。“申瑾案”的重点是法院将《侵权责任法》第三十七条中实体公共场所(宾馆、商场、银行、车站、娱乐场所等公共场所)的安全保障义务扩展到网络空间,进而认为在线提供服务的公司有义务保障旅客信息安全。“付全贵案”中,法院绕开了《侵权责任法》第三十七条能否适用于网络空间的问题,直接援引《网络安全法》作为企业的义务,这当然与新法生效有关。

四、个人信息保护趋势

这三个案件虽然都局限于旅客出行的场景,但仍反映出一个清晰的趋势,即只要用户个人信息泄露,无论厂商合规措施有多完善都可能需要承担责任,当然合规措施的完善程度会与需要承担责任的多寡也会相关。

根据这一逻辑:

  • 个人信息泄露后,如果厂商主张黑客的攻击是个人信息泄露的主要原因,那么法院就会就可以像“付全贵案”中一样认为:“事实证明相关措施并未确保其收集的个人信息安全”;
  • ​如果厂商主张是未被起诉的航空公司或中航信可能泄露个人信息,那么法院就可以认为厂商有义务管控第三方的信息安全保障能力,也可以像原告具有选择权,以及在对外关系上即便是第三方(中航信或航空公司)泄露了旅客的隐私信息,也应由平台或厂商首先承担责任,再去追责。

随着举证责任天平的倾斜,以及《民法典》即将生效。用户在遭遇个人信息泄露后向厂商、平台起诉的案件只会越来越多,甚至消费者协会也会越来越频繁地直接上场起诉,比如江苏消保委在2017年曾就百度App违法处理个人信息发起诉讼,后在百度完成整改后撤回诉讼。面对诉讼的压力,唯愿掌握大量个人信息的企业、航空公司、平台、厂商能够做好自己的信息安全工作,审查好外部第三方,不要让个人信息的泄露成为家常便饭。

网络安全等级保护行政诉讼第一案(疑似):徐望仁诉耒阳市公安局公安行政处罚案

  • 案件名称:徐望仁诉耒阳市公安局公安行政处罚案
  • 审理法院:衡阳铁路运输法院
  • 案号:(2019)湘8602行初118号
  • 裁判日期:2019.09.26
  • 原告:徐望仁
  • 被告:耒阳市公安局
  • 被诉行政处罚:警告
  • 相关法条:《中华人民共和国网络安全法》第二十一条第三项
  • 裁判结果:维持

直播视频:http://tingshen.court.gov.cn/live/8105887(只能听到原告的声音,两被告收音不佳)。根据仅能听清的原告的陈述,原告关注重点并不在于是否履行网络等级保护的义务,而在于两被告对原告打击报复。

简而言之,这是我能检索到的因为未履行等级保护义务的第一起行政诉讼,但庭审并未就此展开充分的辩论,也没有对证据进行深入质证,因此参考价值有限。

一、案件事实

2019年4月3日,被告一(耒阳市公安局)对耒阳市城市论坛网站进行网络安全执法检查,发现该网站的日志只保存了2019年1-4月四个月。耒阳市公安局通过立案调查,查明耒阳城市论坛网站系以资慧兰名义注册,实际运营者为原告。

2019年4月25日,被告一对原告作出耒公(网)责通字【2019】第0267号《责令予以改正通知书》,责令徐望仁立即予以改正。同日,被告一根据《网络安全法》第五十九条第一款的规定,作出0401号处罚决定,对原告处予警告的行政处罚。原告不服该行政处罚决定,于2019年5月20日向被告二耒阳市人民政府提出行政复议申请,被告二当日予以受理。

二、法律依据

《网络安全法》

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
……
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

《公安机关互联网安全监督检查规定》(被告检查时未予以援引)

第十条 公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况,依照国家有关规定和标准,对下列内容进行监督检查:
(七)是否履行法律、行政法规规定的网络安全等级保护等义务。

三、证据与认定

原告证据:

被告一证据:

被告二证据:略(关于行政复议)

四、法院观点

根据本案证据,耒阳城市论坛网站的实际运营者为原告,被告一2019年4月3日对该网站进行执法检查时,该网站只保存了2019年1-4月的日志。被告一通过开展现场检查、调查取证、询问查证,认定原告存在上述违法事实。被告一对原告作出行政处罚决定前,告知原告其作出行政处罚的事实、理由、依据及原告享有的陈述和申辩权。在作出行政处罚决定后,及时向原告进行宣告、送达,符合法定程序。

法考引发的隐私之争:王庆辉诉青岛天一精英人才培训学校侵犯隐私权纠纷案

  • 案件名称:王庆辉诉青岛天一精英人才培训学校侵犯隐私权纠纷案
  • 裁判法院:山东省青岛市中级人民法院
  • 案号:(2019)鲁02民终7482号
  • 上诉人(原审被告):青岛天一精英人才培训学校(“培训学校”)
  • 被上诉人(原审原告):王庆辉
  • 裁判结果:撤销一审判决,驳回原告诉讼请求

一、案件事实

2018年法考成绩发布后,培训学校要求所有学员查出成绩后自愿报给培训学校后上报给烟台市公安局。王庆辉通过微信上报成绩。

后培训学校公众号发布推送《重磅!天一教育法考烟台考点创造98.3%的通过奇迹!》,其中显示天一烟台教学点过关名单中包含王庆辉的成绩。王庆辉认为该推送构成侵犯自己的隐私权。

一审法院认为培训学校的推送侵犯王庆辉隐私权。

二、二审法院观点

隐私权是指自然人享有的对其个人的、与公共利益无关的个人信息、私人活动和私有领域进行支配的人格权。随着信息化的发展,隐私权保护的范围除包括个人的生活私密领域,也包括个人信息自主。本案中,天一学校通过互联网发布的天一烟台教学点过关名单中包含王庆辉的名字及考试成绩,王庆辉认为该行为侵犯了其隐私权。本院认为,首先,由于个人观念的不同,隐私的定义具有一定主观性,但法律意义上隐私范围的界定应当具备一定客观性标准,并根据案件具体情况进行分析。

一般而言,自然人的基因信息、证件信息、联络方式、财务情况、婚姻状况、健康状况、医疗信息、犯罪记录等可以识别该个人的资料应当属于隐私权保护的个人信息。姓名、考试成绩均非私生活中绝对自我空间的范畴,不属于隐私的范围。此外天一学校发布的“115,王庆辉,男,90,91,181”的信息内容仅涉及王庆辉姓名和成绩,并未涉及其他私人信息,该过关学员名单面向社会不特定公众发布,社会公众并不必然能凭此条信息与王庆辉本人建立特定联系,故不构成法律概念上的特指,不具备识别性。

其次,侵犯隐私权承担的是一般侵权责任,适用过错责任原则,应当由权利主张一方举证证明存在加害行为、损害结果、因果关系、行为人具有过错。天一学校通过互联网发布“重磅!天一教育法考烟台考点创造98.3%的通过奇迹!”的行为旨在宣传该学校通过率,其中包含的“115,王庆辉,男,90,91,181”的信息内容并未逾越此目的的必要范围,不具有侵犯王庆辉隐私权的故意或过失,主观上无过错。故天一学校不具备隐私权侵权的构成要件,不构成对王庆辉隐私权的侵犯。

《民法总则》虚拟财产/数据条款的适用

法律对数据、网络虚拟财产的保护有规定的,依照其规定。

《民法总则》第一百二十七条

在《民法总则》中,关于网络虚拟财产的保护有着语焉不详的一条,给法官留下了巨大的发挥空间。在最早版本的《民法总则(草案)》中,数据与知识产权一度被作为知识产权的客体,但随着修改其地位日益模糊。

在2019年12月版的《民法典(草案)》中,对数据、网络虚拟财产有着与《民法总则》一模一样的规定。看来,立法者把更多的悬念留给司法去适用。

自《民法总则》生效以来,已经有不少案件援引了第一百二十七条,稍微汇总了一下,以后可能会从中总结出更多规律吧。

1.冯亦然与北京乐酷达网络科技有限公司合同纠纷案

案号:(2018)京01民终9579号

冯亦然诉讼请求的法律基础。民事权利是受法律保护的特定利益,其因种类不同而有不同的客体。所有权的客体是物,债权的客体是债务人的给付行为。本案冯亦然请求交付比特币现金系基于何种权利,是首要解决的基本问题。《中华人民共和国民法总则》第一百二十七条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”虽然比特币本身不包含固有价值,比特币持有人须通过分布存储且全网确认的“公共记账簿”(数据库)所记载的信息而行使占有、使用、收益、处分的权能,但鉴于我国现行法律没有将比特币等网络虚拟财产规定为物权法上的“物”,因而基于物权法定原则,冯亦然无法按照所有权的法律规定(如孳息)而要求乐酷达公司交付比特币“分叉”所产生的比特币现金。应当看到,比特币的交易现实存在,持有者仍然希望藉此获取利益,在网络环境下的商品交换过程中,比特币的价值取决于市场对比特币充当交易媒介的信心,所以,比特币属于合同法上的交易对象,具有应当受到法律保护的“民事利益”。冯亦然的诉讼请求,存在合同法上的依据。

2.王洋与方勇民间借贷纠纷案

案号:(2018)皖0403民初1927号

本院认为,公民之间合法的借贷关系应当受到法律保护,债权人有权要求债务人按照合同的约定或者依照法律的规定履行义务。本案涉案财物属于通过网络游戏投资挣钱,根据《中华人民共和国民法总则》第一百二十七条之规定,属于“网络虚拟财产”,适用财产的一般规定;被告拖欠原告王洋1061元有欠条为证,双方之间形成债权债务关系,原告王洋在庭审中对于被告方勇已归还其325元的事实予以认同,本院依法予以确认;原告王洋要求被告方勇归还尚欠余款736元的诉讼请求,本院依法予以确认。被告方勇经本院依法送达开庭传票,无正当理由未到庭,视为放弃答辩的权利。

3.张凤美与黄灿煌合同纠纷案

案号:(2017)鲁0303民初1733号

本院认为,虚拟财产权受法律保护。原告张凤美作为(https://jiyoujia36739403.jiyoujia.com/)ID米陶乐账号的注册人,其对该虚拟店铺享有受法律保护的财产权利。且根据原、被告签订的《网店店铺使用协议》,被告对该店铺归属于原告并未提出异议,且双方在协议中约定使用期满后店铺应归还持有人张凤美,现使用期满后被告拒绝归还,既无法律依据,亦不符合合同约定,被告的行为构成违约,故对于原告要求被告返还店铺并支付赔偿金20万元的诉讼请求,本院予以支持。双方在签订补充协议时将违约损失由5万元调整为20万元,该调整系双方自愿协商且充分考虑店铺使用价值及经营情况作出的约定,被告黄灿煌无正当理由拒绝返还原告店铺,给原告造成较大财产损失,故对于原告要求被告赔偿违约损失20万元,本院予以支持。“1号家装馆”标志在长期使用过程中,已经具备一定的商业价值,且双方在补充协议中约定该标志归被告黄灿煌所有,由被告支付原告标志转让费2万元,故原告要求被告支付该转让费,符合合同约定,且不违反法律规定,本院予以支持。原、被告共同经营使用涉案店铺,并在经营过程中形成涉案店铺所占有的网络权重,现被告黄灿煌主张涉案网店的权重应与网店分离,由被告黄灿煌所有,于法无据,本院不予支持。

4.李某某、韩某返还原物纠纷案

案号:(2018)冀01民终13196号

一审法院认为,原告在网络游戏《大话西游0nlineII》中所实际控制的四个游戏账号中的游戏角色及附带物品属于《中华人民共和国民法总则》第一百二十七条所规定的网络虚拟财产,对该财产的合法权利应当予以保护。根据庭审确认的事实,原告韩某将自己实际控制的游戏账号交给被告李某某使用,被告在此使用过程中应当基于善意、合理的原则,不得对原告的权利造成损害。而被告在使用原告账号过程中,在没有经过原告同意的情况下,擅自将游戏中的角色和装备以明显不合理的低价出售给自己,明显侵害了原告的网络虚拟财产权利,故原告要求被告返还原物或赔偿损失的请求,本院予以支持。

5.中国电信股份有限公司厦门分公司、赖孝君电信服务合同纠纷案

案号:2018闽02民终3796号

本院认为,赖孝君与电信公司签订了《业务服务协议》,二者之间成立合法有效的电信服务合同关系,赖孝君基于此合法享有对案涉优号的使用权和处分权。根据我国《民法总则》第一百二十七条,公民的虚拟财产受法律保护,现赖孝君要求将案涉优号过户给陈太勇,系对其合法财产权益的正当处分,并未违反法律或者双方合同的约定,电信公司无权拒绝为其办理过户手续。

6.徐咪咪与陈小波返还原物纠纷案

案号:(2019)赣0922民初1113号

本院认为,关于比特币的法律性质,2013年12月5日中国人民银行等五部委《关于防范比特币风险的通知》中明确规定“比特币应当是一种特殊的虚拟商品,不具有与货币同等的法律地位,不能且不应当作为货币在市场上流通使用”,由此可以看出,我国只是禁止比特币作为货币流通使用,但对比特币作为特殊商品的即物的持有和使用以及流转并未禁止。2017年9月4日,中国人民银行等七部门发布《关于防范代币发行融资风险的报告》规定任何组织和个人不得非法从事代币发行融资活动以及代币融资平台不得买卖“虚拟货币”,但并未禁止比特币等“虚拟货币”的持有和合法流转。故原、被告之间就比特币的借用不违反法律规定,原告向被告出借比特币后,被告应按双方约定期限归还所借之物。被告抗辩称原告并非标的物的所有人,不享有标的物的返还请求权,本案中被告基于借用关系收到原告交付的比特币情况属实,其并无证据证明收到的比特币为他人所有,故负有向原告返还的义务。因此,对原告要求被告返还比特币30个的诉讼请求,本院予以支持。依照《中华人民共和国民法总则》一百二十七条、《中华人民共和国合同法》第六十条、《中华人民共和国民事诉讼法》第一百四十二条之规定,判决如下:……

7.蒋波与赵元军不当得利纠纷案

案号:2018川0823民初793号

本院认为,法律对数据和网络虚拟财产应当予以保护。随着科技和互联网金融的发展,财付通和支付宝日益成为商品交易和代替货币流通的重要媒介,微信支付平台通过互联网与银行等金融机构链接和绑定账号,可以自由提现,具有货币价值。同时,人民法院对财付通账户资金已具有查控和划扣功能。因此,原告转出的微信资金具有财产属性。被告在本案中获得财产利益没有法律根据,原告财产利益因此受到损害,有权依法要求被告返还。

8.张明生与李柏超占有物返还纠纷案

案号:(2018)黑0110民初5010号

本院认为,雷达币具有了一般商品的属性,具有价值和使用价值及交换属性,亦具备了真实财产的基本特性,其虽然是网络虚拟财产的一种,即无形财产,但雷达币的所有人对自己的虚拟财产依法享有占有、使用、收益、处分的权利。根据我国法律规定,法无明文禁止即可为的民事法律原则,当前我国法律并未禁止虚拟货币在网络空间交易,所以雷达币作为虚拟财产的一种,在民事活动中,应受到法律保护。具体到本案,被告李柏超利用原告张明生委托其注册雷达钱包账号的机会私自将原告雷达币转走,其行为侵犯了原告的财产权益,由于雷达币的交易流通是通过互联网交易平台进行交易流通,其兑价比率适时变化,难以确定雷达币的市场现值和孳息的计算,故本院认为对于原告张明生的诉讼请求应以原物返还予以支持为宜。

评分系统保卫战

豆瓣的评分闹得满城风雨,无论是豆瓣上《流浪地球》的评分还是各App商店里豆瓣的评分,都一时成了焦点。“豆瓣评分”早已作为商标进行保护,现在看来还有可能拥有一个新的保护维度。

前几天看到一个颇为有趣的案子,浙江淘宝网络有限公司诉杜某等网络侵权责任纠纷案。

  • 案号:(2018)苏0684民初5030号
  • 审理法院:江苏省海门市人民法院
  • 案由:网络侵权责任纠纷
  • 原告:浙江淘宝网络有限公司
  • 被告:杜某、邱某某、张某某
  • 裁判日期:2019年1月17日
  • 裁判结果:被告杜某、邱某某、张某某分别赔偿原告浙江淘宝网络有限公司经济损失(含合理费用)10001元、6000元、4000元。
继续阅读

数据时代的数据规则:淘宝诉美景不正当竞争纠纷案

案件名称:淘宝(中国)软件有限公司诉安徽美景信息科技有限公司不正当竞争案
案号:(2017)浙8601民初4034号
原告:淘宝(中国)软件有限公司(“淘宝公司”)
被告:安徽美景信息科技有限公司(“美景公司”)
审理法院:杭州铁路运输法院
裁判结果:美景停止不正当竞争行为,赔偿淘宝人民币200万元。 继续阅读

裁判文书中的比特币

一、背景

随着2017年9月4日七部委发布“关于防范代币发行融资风险的公告”叫停ICO(首次代币发行),比特币,比特币作为“虚拟货币”的典型代表,又一次被推上了风口浪尖。早在2013年底,在五部委发布“关于防范比特币风险的通知”时就一度引起比特币排山倒海般的大跌。在“关于防范比特币风险的通知”中,明确了“比特币应当是一种特定的虚拟商品,不具有与货币等同的法律地位,不能且不应作为货币在市场上流通使用。”虽然否定了比特币的货币属性,但承认了比特币的商品属性。而2017年9月8日,中国证券报援引接近监管人士报道称

除了非法经济和勒索,目前基本没看到比特币的实际应用;用比特币洗钱可以绕过管制将资金转移,尤其是在中国目前还存在资本管制的情况下,针对这种行为应尽快出台监管措施;取缔比特币交易平台,并非是取缔比特币。取缔平台是取消比特币与法币大量兑换的通道。

近期状况频出的ICO,为了规避非法集资的定义,纷纷设定需要通过比特币才能购买代币,寄希望于比特币能够发挥流通(货币)属性发挥作用,也难怪被“一刀切”禁止,甚至连累比特币也面临被禁封的可能。在这样的背景下,比特币到底是什么,具体的交易规则是怎样就愈发值得关注。

2016年年初的时候, blockchain (长铗)等人拉着我一起写了本名为《区块链:从数字货币到信用社会》的书,出乎我意料的是,他们最为关心的问题是区块链资产(如比特币)的合法性,我当时并不认为这是一个多么重要的问题,我认为区块链资产的合法性是不言而喻的,但当时并没有什么案例支持,只能简单从合法性的角度简单分析,但今天关于比特币已经有了上百个案例,这些案例为审视比特币的属性与合法性提供了一个绝佳的视角。

继续阅读