航班隐私泄露的“三连”司法案例

一、正在扭转的趋势

航班信息泄露是大量旅客都经历过的事情。旅客在购买机票后莫名收到短信说之前预订的航班被取消,并告知旅客退款需要银行账号和密码。有大量旅客因此浪费时间查询航班是否真实取消,甚至会损失钱财,而这背后的罪魁祸首就是旅客购票的信息泄露。

长期以来,旅客在案件中处于不利地位,因为旅客无法证明平台或航空公司的信息安全措施存在过错,实际是难以尽到举证责任。比如在“朱盈盈与北京趣拿信息技术有限公司合同纠纷案”((2017)陕0112民初1252号)中,法院认为:

当事人对自己提出的诉讼请求所依据的事实或反驳对方诉讼请求所依据的事实,应当提供证据加以证明,没有证据或者证据不足以证明当事人主张的,由负有举证责任的当事人承担不利后果。本案的争议焦点为是否被告对原告个人信息泄露负有违约责任。原告通过被告的网站进行购票,双方形成委托关系。但原告提供的证据不能证明被告系掌握原告个人信息的唯一主体,亦不能证明原告个人信息由被告泄露。同时,本案被告在原告购票成功后,及时发送短信对原告进行了必要的提醒和告知义务。原告的损失系第三人实施诈骗的直接后果,原告作为完全民事行为能力人,自身负有必要的安全注意义务。故对原告主张被告赔偿损失的诉讼请求,证据不足,本院不予支持。

这也只是云云案件中的一例,在其他领域用户个人信息泄露以后通过诉讼维权同样会面临无法举证的高墙,因此用户屡屡败诉。个人信息泄露问题自然也无法引起占据优势地位的企业的重视。但是,从“庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案”开始,法院突破性地将举证责任给予占据优势地位的企业,进而让消费者/用户/旅客有可能胜诉。该案件在2018年被最高院列为“第一批涉互联网典型案例”,并在2019年12月乌镇的“世界互联网法治论坛”再次被最高院选为“中国互联网司法典型案例”。

也正是由“庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案”开始,旅客在越来越多案件中能够在一定程度上挽回损失。以下选择了包括庞理鹏案在内的三个案件,涉及去哪儿网、东方航空、携程、支付宝、美团这些大家耳熟能详的企业。

二、认定的事实

庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案:

2014年10月11日,庞理鹏委托鲁超通过去哪儿网平台(http://www.qunar.com)订购了东航机票1张,所选机票代理商为长沙星旅票务代理公司(以下简称星旅公司)。去哪儿网订单详情页面显示该订单登记的乘机人信息为庞理鹏姓名及身份证号,联系人信息、报销信息均为鲁超及其尾号**58的手机号。2014年10月13日,庞理鹏尾号**49手机号收到来源不明号码发来短信称由于机械故障,其所预订航班已经取消。该号码来源不明,且未向鲁超发送类似短信。鲁超拨打东航客服电话进行核实,客服人员确认该次航班正常,并提示庞理鹏收到的短信应属诈骗短信。2014年10月14日,东航客服电话向庞理鹏手机号码发送通知短信,告知该航班时刻调整。当晚19:43,鲁超再次拨打东航客服电话确认航班时刻,被告知该航班已取消。

申瑾与上海携程商务有限公司、支付宝(中国)网络技术有限公司等侵权责任纠纷案:

申瑾通过携程公司手机APP平台订购机票,因订购机票行为而产生的出行人姓名、航班日期、起落地点、航班号、航空公司信息、订票预留手机号信息被整体泄露,诈骗分子根据泄露的信息内容发送诈骗短信,引导申瑾使用支付宝亲密付功能消费及工商银行网上银行转账,最终导致申瑾银行卡内个人财产受损。

付全贵与北京三快信息科技有限公司等网络侵权责任纠纷案:

原告受单位指派乘飞机从张家口到上海出差。原告委托同事梁某从美团手机客户端应用程序订购了东方航空公司的航班。后梁某收到诈骗短信。梁某看到航班消息与原告预订机票信息完全吻合,将短信内容转发原告。原告看到短信后非常着急,因第二天已跟上海客户约好商谈合同,航班突然取消让其不知所措,便拨打了短信里的固定电话。对方冒充东方航空公司工作人员,让原告提供了身份证号、手机号、银行卡等信息,并告知该预订航班确实因起落架故障取消,建议原告退票或改签,且称未防止客户收到退票款后不认账,需要知道其银行卡余额。原告按照其指导操作退票手续,却被诈骗22400元。

三个案件的事实基本雷同,属于同一套路,都是收到航班取消的短信,只是庞理鹏并未因此遭受更大的损失。

三、法院观点

庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案:

庞理鹏被泄露的信息包括姓名、尾号**49手机号、行程安排等,其行程安排无疑属于私人活动信息,应该属于隐私信息,可以通过本案的隐私权纠纷主张救济。从收集证据的资金、技术等成本上看,作为普通人的庞理鹏根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此,客观上,法律不能也不应要求庞理鹏证明必定是东航或趣拿公司泄露了其隐私信息。东航和趣拿公司均未证明涉案信息泄漏归因于他人,或黑客攻击,抑或是庞理鹏本人。法院在排除其他泄露隐私信息可能性的前提下,结合本案证据认定上述两公司存在过错。东航和趣拿公司作为各自行业的知名企业,一方面因其经营性质掌握了大量的个人信息,另一方面亦有相应的能力保护好消费者的个人信息免受泄露,这既是其社会责任,也是其应尽的法律义务。本案泄露事件的发生,是由于航空公司、网络购票平台疏于防范导致的结果,因而可以认定其具有过错,应承担侵权责任。(来自最高院对该案重要意义的阐述)

申瑾与上海携程商务有限公司、支付宝(中国)网络技术有限公司等侵权责任纠纷案:

应当指出,在公司利用个人信息进行经营活动产生的纠纷中,个人相对于具有一定数据垄断地位的公司实体在证据搜集和举证能力上处于弱势地位。因此,应顾及双方当事人之间实质公平正义进行举证责任的分配。本案中,申瑾已举证证明其将个人信息提供给携程公司,后在较短时间内发生信息泄露,已完成相应合理的举证义务。携程公司应就其对申瑾的个人信息泄露无故意或过失之事实负举证责任。现携程公司的举证为两方面,即其在信息安全管理上无漏洞,以及个人信息存在被其他主体泄露的可能性。但从现有证据看,携程公司在信息安全管理的落实方面存在漏洞,未尽到对个人信息负有的信息保管及防止泄露义务,具有过错。至于其他主体获得个人信息问题,涉案信息的传递是因携程公司出于经营需要而发生,携程公司主张其他主体泄露信息,依法应由其进行举证。现携程公司仅提出理论上存在其他主体泄露的可能性而未完成举证。故综合来看,申瑾对于个人信息泄露已完成举证,携程公司提出的主张及举证不充分。综上,携程公司在信息安全管理的落实方面存在漏洞,未尽到对个人信息负有的信息保管及防止泄露义务,具有过错,应承担侵权责任。
《侵权责任法》第三十七条有关安全保障义务的规范价值取向,在于公共秩序与公共安全的维护。网络空间是否存在公共性,是我们理解适用该法律条文时的关键问题。网络空间的运行和信息交互活动,与现实场景下的社会性场所、群众性活动有行为模式的相似之处。物理世界中,先存在着一个公共空间,而后产生聚合的公共行为;而网络空间的虚拟性打破了传统的模式,先有人与人之间的互动,而后形成了一个虚拟的公共空间,虚拟性成就了网络空间所特有的公共性。网络服务提供者具备开启、参与社会交往服务及给他人权益带来潜在危险两项特征,因此虚拟数字世界中的网络服务提供者与现实世界中的安全保障义务主体一样,应对针对其服务用户发生的侵权负有排除义务,并对未来的妨害负有审查和控制义务。本院认为,该义务的法理基础与《侵权责任法》第三十七条所确立的安全保障义务系属同源,法理体系一脉相承。

付全贵与北京三快信息科技有限公司等网络侵权责任纠纷案:

三快科技公司主张其在信息安全管理上不存在漏洞。虽然其提供的证据可以证明其采取了一定的安全保护措施,如将可识别的信息去标识化处理,对用户姓名、手机号和证件信息都进行了部分隐藏,相关信息的管理需要经过授权许可等,但对其内部安全管理制度和操作规程、具体访问涉案信息的授权规则、授权人员范围、监控情况等,三快科技公司均未清楚、准确地予以说明。特别引起本院注意的是,三快科技公司所称系统自动发送的风险提示短信包含有完整的涉案信息,在其系统平台上所保存的记录亦未进行去标识化处理,该短信在发送之后相关记录会留存在美团平台的数据库中,可以再次访问。综上,本院认为三快科技公司在其信息安全管理无漏洞方面举证并不充分,无法证明其已制定了管理制度和操作规程,采取了必要的技术措施来确保其收集的个人信息安全。
一方面,从现有证据看,三快科技公司并未提供充分证据证明涉案信息由其他主体泄露,其提供的商家导出订单报表等证据反而显示在商家处已将旅客手机号码进行了加密处理。另一方面,在因交易必要需将个人信息提供给第三方的情况下,网络运营者作为信息采集方,同样负有采取相应措施保护信息安全的义务。在其提供过程中,至少应做到三点:一是同样遵循合法、正当、必要的原则,将提供信息的范围严格限制在订票所必需的范围内;二是应当采取技术措施确保信息传输过程中的安全,如采用技术手段进行匿名化处理;三是作为交易模式的设计者,三快科技公司应清楚知晓其采集信息的流向、范围及可能有泄露风险的环节。而对于提供信息的个人来说,在其将个人信息提供给网络运营者之后,很难对信息的使用进行有效控制。与个人相比,网络经营者应当也有能力通过完善经营模式或协议安排来分散风险和分担责任。故,本院对三快科技公司主张涉案信息亦可能被航空公司等其他主体泄露的意见不予采信,该项意见亦不构成免责或减责的事由。综上,本院认为三快科技公司未能充分证明其已经尽到了保护涉案信息安全的义务。

三个案件虽然事实与判决结果相似,但法院的说理却各有侧重。“庞理鹏案”的重点在举证责任,法院认为作为普通人的庞理鹏根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。“申瑾案”的重点是法院将《侵权责任法》第三十七条中实体公共场所(宾馆、商场、银行、车站、娱乐场所等公共场所)的安全保障义务扩展到网络空间,进而认为在线提供服务的公司有义务保障旅客信息安全。“付全贵案”中,法院绕开了《侵权责任法》第三十七条能否适用于网络空间的问题,直接援引《网络安全法》作为企业的义务,这当然与新法生效有关。

四、个人信息保护趋势

这三个案件虽然都局限于旅客出行的场景,但仍反映出一个清晰的趋势,即只要用户个人信息泄露,无论厂商合规措施有多完善都可能需要承担责任,当然合规措施的完善程度会与需要承担责任的多寡也会相关。

根据这一逻辑:

  • 个人信息泄露后,如果厂商主张黑客的攻击是个人信息泄露的主要原因,那么法院就会就可以像“付全贵案”中一样认为:“事实证明相关措施并未确保其收集的个人信息安全”;
  • ​如果厂商主张是未被起诉的航空公司或中航信可能泄露个人信息,那么法院就可以认为厂商有义务管控第三方的信息安全保障能力,也可以像原告具有选择权,以及在对外关系上即便是第三方(中航信或航空公司)泄露了旅客的隐私信息,也应由平台或厂商首先承担责任,再去追责。

随着举证责任天平的倾斜,以及《民法典》即将生效。用户在遭遇个人信息泄露后向厂商、平台起诉的案件只会越来越多,甚至消费者协会也会越来越频繁地直接上场起诉,比如江苏消保委在2017年曾就百度App违法处理个人信息发起诉讼,后在百度完成整改后撤回诉讼。面对诉讼的压力,唯愿掌握大量个人信息的企业、航空公司、平台、厂商能够做好自己的信息安全工作,审查好外部第三方,不要让个人信息的泄露成为家常便饭。

数据合规的暗礁与海图

为了应对疫情肆虐对经济的影响,“新基建”被视为是纾困的良药。新基建围绕着人员流动(新能源汽车)、能源流动(特高压)与数据流动(5G、数据中心、人工智能)展开部署,而数据无疑是其中跑得最快的。此外,在2020年4月《关于构建更加完善的要素市场化配置体制机制的意见》中也提出“加快培育数据要素市场”。疫情之下,数据在国民经济中扮演着愈发重要的角色,数据合规也随之成为显学,成为法律工作者的新航道。

法律是法律工作者开展数据合规工作的出发点。如果网络安全与数据保护没有被上升为法律义务,那么网络安全与数据保护可能会成为信息安全人员的专利。正是因为《网络安全法》、GDPR与CCPA的制定,让法律工作者有了介入网络安全与数据保护的“抓手”。

一、法律在保护什么

开展数据合规工作,法律工作者尤其需要了解法律究竟在保护什么。在中国,《网络安全法》中将网络安全定义为“通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。”实际上,法律从网络与数据两个维度定义了网络安全:

因此,在数据合规工作中,围绕着网络与数据诞生了“网络运营者”与“数据控制者”两大责任主体。网络运营者是《网络安全法》中最为重要的主体,几乎所有的法律义务都围绕着网络运营者展开。而数据控制者的概念被GDPR所发扬光大,在国家标准《个人信息安全规范》就频繁使用个人信息控制者的概念,甚至在《民法典(草案)》中也使用了个人信息控制者的概念。当传统的所有权围绕着占有、使用、收益与处分进行构建,数据的权利也有可能围绕着保密性、完整性与可用性进行构建。

在很多争议与案件中,数据被作为一项新的法益进行保护,传统知识产权的规则受到了巨大的挑战。在2016年7月公开征求意见的《民法总则(草案)》中,“数据信息”一度被认为是一项知识产权,这样的分类无疑将拓展原有知识产权的外延,丰富知识产权的内容。但是在《民法总则》正式通过的文本中,因为该设置争议过大而取消了这样的规定。对于知识产权中的著作权,与数据在一定程度上会有交叉之处,如对具有原创性的数据库的保护,一方面可以作为汇编作品进行保护,另一方面并不妨碍其作为数据而具有利益,二者并行不悖。

此外,在“淘宝(中国)软件有限公司诉安徽美景信息科技有限公司不正当竞争案”中,法院一方面承认了淘宝公司对“生意参谋”享有数据权益,另一方面又否认这种数据权益是财产所有权。法院并没有直接回答这种数据权益到底是什么。在“浙江淘宝网络有限公司诉杜某等网络侵权责任纠纷案”中,淘宝的评分系统被认识是一项数据权益,法院认为:

“数据是指具有可分析性、可统计性、有使用价值的信息的总和,不仅包括原生数据,即计算机直接产生的数据,也包括这些数据被记录,储存,编辑,计算后形成的具有使用价值的衍生数据,淘宝网评价系统即在此列。”

这个判决在某种程度上突破评价系统的范畴,让数据能延展的边界不可限量。可以说所有互联网上的内容都可以被认为是数据,进而得到数据层面的保护。但更关键的问题在于,数据保护的是什么,是保密性、完整性与可用性吗?

二、少米之炊

法律工作者介入数据合规不得不面对的难题是法律匮乏。尤其是和数据并立的其他生产要素相比。无论是资本还是人力资源的法律法规都密如蛛网,但数据合规领域只有《网络安全法》《消费者权益保护法》加上若干部门规章以及一些推荐性的国家标准,在《民法总则》与《民法典(草案)》中关于数据保护只有语焉不详的一条,甚至在执法活动中都需要把尚未生效的国家标准拿出来“说事儿”,可见这一领域法规贫乏到何种程度。

法律法规的匮乏直接带来了不确定性,这是所有交易与经营活动的大敌。当我们在买卖货物、雇佣人员、投融资时,很多条款我们可以不在合同中进行约定,因为《物权法》《合同法》《劳动法》《公司法》等一连串的法律法规会为法律关系“兜底”。但在数据合规领域进行数据共享,就不得不对事无巨细将所有数据传输的技术细节转化为合同的法言法语,用大量附件来描述数据共享过程,否则连合同标的都难以确定。

对于数据合规,“法律不够标准来凑”,当然可以指导合规措施的落地,但在另一些领域却是一件非常危险的事。比如在《个人信息告知同意指南(征求意见稿)》中,第六章“免于告知同意的情形”是一个非常“危险”的章节,该章节提出了个人信息控制者收集、使用个人信息的,需以适当方式告知个人信息主体目的,但无需征得个人信息主体的明示同意若干情形,其中包括学术研究、签订或履行协议所必须、新闻报道所必需等情形。在《个人信息安全规范》中也同样有“5.4 征得授权同意的例外”的规定。这些条款之所以危险,是因为法律并未规定这些情形是法律的例外,作为推荐性标准并没有权限设定法律的例外条件,更无法得到法院的认可。

中国因为《网络安全法》的制定,让很多传统意义上信息安全管理的措施、标准直接上升为法律义务,并且将网络安全与数据保护并立,共同体现于《网络安全法》中。对比在欧盟或美国,网络安全与数据保护往往会由不同的法律负责(这是一个相当大的话题),比如GDPR就主要关注数据保护问题,未深入涉及网络安全的内容,因此在中国开展数据合规工作更需要技术能力的支持,不只是对法律条文的理解。

三、法律工作者能做什么

合同是法律工作者坚守不变的战场。一份好的数据协议是商业诉求、技术架构与法律合力的结果,尤其是需要反映数据的真实流向。在数据合规领域,数据流与法律关系不一致是最常见的矛盾之一。比如可以见到跨国公司的中国分支机构与总部签署数据使用协议,因为税务原因合同约定数据控制者是欧洲公司,但欧洲公司可能只是空壳,实际却为美国公司直接控制维护数据,这会给数据的传输带来巨大的隐患,让《网络安全法》、GDPR以及美国法律都有管辖机会,徒增合规成本。起草一份与数据流动相符的协议并不是一件容易的工作,涉及明确数据类型、设计数据跨境方案、部署安全措施的部署、控制数据再次利用等法律工作者不常涉足的领域。

在另一个视角下,隐私政策与用户协议可以说是网络空间内用户与厂商之间法律关系的基础。尽管“告知-同意”是我国个人信息收集、使用的基石,但现状往往是用户既不知情,也没法不同意。隐私政策与用户协议长期得不到重视,对隐私政策的关注也是因为近年来多部门开始检查就App个人信息保护问题进行重点检查。尽管用户被一次次要求点击“我已阅读并同意”用户协议与隐私政策,但从来没有人指望用户真的去读,这两份文件更像是写给监管机构的“自白书”。因此,在很大程度上隐私政策与用户协议并没有起到连接用户与厂商的作用,而这样的断层是法律工作者必须正视的现状,也是数据合规工作的驱动力。

除了写合同以外,证据也是法律工作者的主场。数据合规的一项基本原则是可责性(Accountability),是数据合规措施措施要能经得起检验,尤其是法庭的检验,各种文档要能够作为证据在法庭上使用。无论是庞理鹏诉东航案还是申瑾诉携程案,法庭均认为公司相对个人具有更强的举证义务,需要证明自己已经妥善保护数据。这不是一项容易的工作,比如证明个人信息保护中的用户“同意”就是一项非常棘手的任务,即当消费者起诉时,厂商如何证明消费者已经点击过“同意”,凭着公证的截图恐怕不能证明。另外,如何让留存了六个月的网络日志成为能够在法庭上使用的电子数据,并且确保真实性、合法性、关联性,也是法律工作者能够介入的工作。

诉讼当然是法律工作者最不能退让的战场。因为数据是一项新生法益,所以让围绕着数据的纠纷处理起来变数曾生,很多数据合规领域里面重要的规则就脱胎于诉讼。比如“新浪微博诉脉脉案”中的“三重授权原则”,比如“庞理鹏诉东航、去哪儿网案”中的企业责任,又比如“大众点评诉百度案”里数据利用的规则。这些开创性的案件为数据合规提供了清晰的指引,是法律不充实情况下企业行动的海图。

四、与其他利益相关方共舞

任何机构开展网络安全与数据保护工作,法律都只是诸多动因之一,法律风险更像是网络安全事件的“次生灾难”,GDPR的高额罚款与《网络安全法》的停业整顿固然吓人,但网络安全事件本身就足够吓人。因此法律在数据合规领域并非万能,有着自己的边界,但法律工作者不仅需要处理好自己这“一亩三分地”,也需要与邻居打好交道。

在数据合规工作中,有太多的利益相关方:

《麦肯锡的数字业务与安全策略》,机械工业出版社2016年版,p.XII

法律工作者需要与IT人员、信息安全人员、开发人员、市场人员等诸多利益相关方进行广泛的沟通。沟通的基础除了法律、市场、还有技术。很多合规措施,需要落实到技术方案中。法律工作者如果希望从这样的沟通中获取有效信息,那么就需要对网络空间内的技术有着深刻的理解。

关于网络法最极端的说法是“代码就是法律”,虽然很多学者并不赞同,但技术的重要性可见一斑。在数据合规领域,无法绕开非对称加密、匿名、假名、联邦计算、边缘计算、SDK这些乍听上去“不明觉厉”的技术名词,但这些名词要么意味着解决方案,要么意味着需要“痛击”的隐患。在物理空间中,用非法律的手段解决法律问题早已司空见惯,比如加高的围墙、换装防盗门有时比物权理论更能有效保护我们的家园,在香烟上印刷吸烟警示图片比抓捕违法吸烟者更能实现控烟的目的。技术的进步给了维护权利更多方案,比如防盗门比木门更能保护住家的安全,128位的加密比64位的加密更能保护数据的安全。

最为重要的,是法律工作者需要明白技术能够帮我们解决什么样的法律问题。可用的边缘计算、差分隐私、联邦计算等新兴技术能够在多大程度帮我们解决风险。简而言之,是法律工作者需要对自己武器库中的武器有所了解。

除了需要对技术本身的理解,大量信息安全领域的管理经验也是值得重点借鉴的内容。在网络安全与数据保护领域,需要大量借鉴信安标委制定的国家标准。这些国家标准,往往是由信息安全领域的单位起草,内容会频繁借鉴信息安全领域的方法论。比如戴明环(PDCA,plan-do-check-act)的理念被广泛运用于信息安全管理,体现于大量国际标准、国家标准中。信息安全作为一个专门领域有着数十年的积累,形成了大量的方法论、工具与模型。这些模型没有理由被忽视。

五、动手

我几年前就开始建议法律人去学点编程。学习编程未必是要去和程序员抢工作(如果能抢到当然更好),只是因为动手实验是掌握一个领域必不可少的途径,未尝闻不做实验也能学好物理化学的。当法律工作者写过数据库,知道数据如何访问、添加、删除,一定会对合同中该怎么描述数据处理有更深的认识;当法律工作者了解TCP协议为什么是“三次握手”,一定会对网络架构如何决定责任的划分有更深的认识;当法律工作者用Wireshark看过网络传输的数据包,也一定会对如何发现电子证据有新的想法。

但学习编程、学习技术总是知易行难。如果能够获得一两个认证,也是极有说服力的。比如中国信息安全测评中心组织的注册信息安全专业人员(CISP)资格证就很适合法律工作者,五天的脱产培训可以系统地学习信息安全的理念。此外,国际隐私专业人员协会(iapp)的CIPM和CIPT认证也在隐私保护方面极有帮助,可以系统性地学习如何构建隐私保护体系以及落实通过设计保护隐私(Privacy by Design)。在数据合规领域,国内已经不断地有法律工作者获得此类认证,未来是否会成为数据合规法律工作者的标配也未可知。

数据是一项新型资源,某种程度上比石油更有价值(如果考虑到当前的油价……),数据合规是因此而生的一项新兴业务,具有蓬勃的生命力。在我们大步迈入数字文明之时,数据合规自然也成为值得探索的新的边疆。

ENISA《欧盟的网络安全技能发展情况》报告:执行摘要

翻译:DeepL

来源:https://www.enisa.europa.eu/publications/the-status-of-cyber-security-education-in-the-european-union

执行摘要

网络安全技能短缺(The cybersecurity skills shortage)是指劳动力市场上缺乏合格的网络安全专业人员,这对经济发展和国家安全都是一个问题,特别是在全球经济快速数字化的情况下。它对构成现代社会核心的数据、信息技术系统和网络构成了高度的威胁。这种短缺可以进一步分析为两个同时存在的问题:一个是量的问题,一个是质的问题。量性问题是指网络安全专业人才供不应求,不能满足就业市场的要求,而质性问题则是指专业技能不足以满足市场的需求。本报告主要探讨了网络安全教育体系的现状,以及无法吸引更多的学生学习网络安全专业,无法培养出具有正确的网络安全知识和技能的毕业生。报告认为,通过重新设计教育和培训途径,确定学生毕业后和进入劳动力市场后应具备的知识和技能,可以改善目前网络安全教育中的许多问题。本分析介绍了澳大利亚、法国、英国和美国四个国家——如何利用认证来重新思考网络安全学位。这些认证计划的建立有不同的目的。其主要目的包括:让更多的毕业生拥有可随时被产业界部署的技能,帮助雇主了解学生在学术生涯中培养出来的技能和知识,以及帮助人们选择学位选项。学位认证的最终影响是通过推广网络安全教育、研究和宣传,减少网络安全教育的影响。目前,这四个国家的国家主管部门已经对387个网络安全学位进行了认证。虽然流程和标准不同,但认证有一些共同点:

  • 有具体的重点和足够的学分专门用于网络安全课程和活动。
  • 结构化的课程,可能包括实践/培训部分或特定类型的考试和活动,如网络安全竞赛;
  • 高素质的师资队伍,其中可能包括来自产业界的讲师;
  • 更广泛的多学科/跨学科重点;
  • 外部外联活动以及与国家网络安全生态系统其他部分的合作;
  • 关于学位教育和就业结果的信息。

在此背景下,欧洲网络安全协会创建了网络安全高等教育数据库,这是一份欧洲经济区国家和瑞士的网络安全学位互动清单。该数据库旨在成为所有欧洲公民通过高等教育学位提升网络安全知识和技能的主要参考点。通过检查数据库,公民应该能够在网络安全教育和培训方面做出更多的决定,选择最适合自己需要的学位。在确定信息工作者和雇主可能认为最有用的是什么的时候,数据库从科学文献(本报告第3节)和国家主管部门在评定学位时使用的标准(第4节)两方面进行了大量的借鉴。本报告提出了三个主要考虑因素。

  • 网络安全学位认证(如第4节所示)可有助于制定全面的网络安全劳动力发展战略。这可能是重要的第一步,主要是因为它明确了教育系统应该灌输哪些知识和技能,从而明确了学生毕业后在组织中申请工作时,雇主可以期待什么。未来的研究对于确定认证对学生和雇主的主要好处,以及认证是否能有效地提供更多的技能型劳动力是至关重要的。
  • 然而,确定正确的知识和技能意味着什么只是一个更广泛的问题的一部分,其他几个因素使这个问题变得更加复杂。尽管认证可能是朝着正确的方向迈出了一步,但不能认为它是解决人才短缺问题的唯一办法。网络安全认证既是一个质的问题,也是一个量的问题,应该相应地解决这个问题。通过认证学位来提高网络安全专业毕业生的质量,当然可以让潜在的求职者更有就业能力,但如果专业人才的管道不够充裕,无法保证职位空缺,那是不够的。未来的研究应该确定哪些政策能够激励看起来很大一部分学生进入更有利于网络安全职业的学术和学习途径。
  • 最后,尽管本报告的重点在于此,但政策应超越仅针对国家教育和培训系统的举措。如果能将处理劳动力市场需求方面产生的问题的措施纳入其中,政策将大有裨益。目前,有大量证据表明,劳动力市场需求方的问题,如雇主不愿意对网络安全人力资本进行投资,以及高层次的入职要求等,都对网络安全技能短缺产生了影响。正因为如此,如果能找到缓解从教育系统向劳动力市场过渡的解决方案,从而鼓励雇主成为发展国家网络安全人才队伍的系统参与者,将特别有希望。

鉴于这些考虑,本报告建议进一步调查以下内容。

  • 网络安全学位认证对网络安全技能短缺的影响。对已经建立的国家认证的实施情况和结果进行严格和系统的分析,可以为其他国家可能的最佳实践提供启示。
  • 采用和推广ENISA的网络安全高等教育数据库。只有当数据库包括欧盟大多数网络安全学位时,该数据库才会成为公民和雇主的有用工具。如果能做到这一点,它还将有助于进一步分析欧盟网络安全教育的变化状况。
  • 欧盟网络安全技能短缺的性质和特点。本报告汇总了现有的数据,对欧盟的网络安全技能短缺有了更深入的了解,但同时也指出了缺乏细化的基本信息。由于在设计缓解短缺的政策之前,应该先对其进行充分的了解,因此在知识上仍有太多的空白需要填补。
  • 政策干预是最有效的是增加专业人才的渠道。要确保从量和质两个方面解决人才短缺问题,缓解战略中应包括确保有效增加专业人才梯队的措施。已经制定的一些政策,可以提高人们对网络安全职业的兴趣,但还需要更多地了解这些方案在多大程度上取得了成功,以及是否可以扩大这些方案的规模,以满足日益增长的劳动力市场需求。

网络安全高等教育数据库:https://www.enisa.europa.eu/topics/cybersecurity-education/education-map

ENISA漏洞披露政策模板

2016年1月18日,ENISA发布了名为Good Practice Guide on Vulnerability Disclosure. From challenges to recommendations的报告。在报告附录中,提供了一份可供机构使用的《漏洞披露政策模板》。公司可以根据实际情况对政策进行定制化修改。

来源:https://www.enisa.europa.eu/publications/vulnerability-disclosure

1.安全和漏洞披露理念

在安全问题上,我们的用户是第一位的。

[xxx]致力于快速、谨慎地修复所有报告的安全漏洞,以保护用户的安全和隐私。

2.报告漏洞

注意:回复收件确认邮件是确保安全研究人员知道贵公司已收到报告的关键。您可以选择自动发送,或者添加一个免责声明,说明您的响应时间(见模板)。

3.好报告的要素

宁缺毋滥。

请以XX语言向我们提供详细的描述和简明扼要的指导,以便于安全漏洞的再现。

(如有必要,请提供截图)。

步骤应包括:

  • xxxxx
  • yyyyy
  • zzzzzz

4. 不符合要求的报告

不符合要求的报告:

  • 登录问题和密码问题
  • 拼写错误
  • HTTP 404页面
  • 垃圾邮件或涉嫌欺诈活动

不允许的行为:

  • DDoS攻击
  • 暴力破解攻击
  • 社会工程
  • 安装恶意软件
  • 对我们的系统进行任何更改(包括复制、更改和删除数据)
  • 与他人共享访问权

xxx@xxx.xxx 电子邮箱仅用于报告安全漏洞。如果您需要技术支持,请联系我们的支持服务台:yyy@yyy.yyy

5. 程序步骤和时间表

  • 当我们收到您的漏洞报告后,我们将采取一切必要的措施,迅速、透明地调查并解决当前的安全问题。
  • 虽然我們不能按照固定的时间表提供补丁,但我们承诺在每一个步骤中都会通知您。
  • 我们要求您对所有与漏洞相关的通信保密,以确保我们之间相互信任以及与我们合作发布补丁的灵活性,同时保证客户有足够的时间来部署该补丁。
  • 我们将在更新的发布说明中公开宣布漏洞,并会提到报告漏洞的人,除非研究者希望匿名。

杭州渐变健康码:呼吁合规措施配套,超越“叶公好龙”式的恐惧

随着国内疫情的逐渐平息,为防控疫情立下汗马功劳的健康码也在面临是“鸟尽弓藏”还是深化使用的难题。相较于一味以隐私与个人信息保护为由否定“渐变健康码”的发展思路,不如仔细思考采取哪些合规措施才能让“渐变健康码”保护隐私与个人信息。

一、进击的健康码

2020年5月底,杭州卫健委开始论证“一码知健”的设计思路:通过集成电子病历、健康体检、生活方式管理的相关数据,在关联健康指标和健康码颜色的基础上,使用渐变色,探索建立个人健康指数排行榜。同时,也可以通过大数据对楼道、社区、企业等健康群体进行评价。无独有偶,在更早的时候深圳与广州都在论证对健康码进行升级,运用在更广泛的城市治理中。

杭州“一码知健”的设计目标是促进健康生活方式的养成,通过数据的汇集,对个人健康进行全面评价。在全面评价个人健康的基础上,促进个人健康生活方式的养成,进而从根本上节约本就稀缺的医疗资源。好的医疗条件在哪里都是稀缺资源,再多的投入都无法抵消人们对健康生活、长命百岁的向往。因此养成健康生活方式才是预防疾病、疏解医疗资源稀缺难题的最高效的途径。当微信都可以让大家互相攀比每日步数,成为督促自己多步行健身的外部因素,能够更准确评价个人健康的“一码知健”也有可能让大家在健康的生活方式上再往前迈一步。而通过数据对个体以及人群的准确评价,也能够在预防疾病、合理分配医疗资源等方面提供更多的参考。

在《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》将数据列为一项生产要素,并提出“加快推动各地区各部门间数据共享交换”,“一码知健”便是这一思路的体现。在2020年6月1日生效的《基本医疗卫生与健康促进法》中规定:“国家推进全民健康信息化,推动健康医疗大数据、人工智能等的应用发展,加快医疗卫生信息基础设施建设,制定健康医疗数据采集、存储、分析和应用的技术标准,运用信息技术促进优质医疗卫生资源的普及与共享。”杭州酝酿的“一码知健”也是健康信息化、智能化建设的发展方向。

二、烫手的数据

尽管数字化、智能化会带来诸多便利,但无论是从哪个角度,“一码知健”所涉及的数据都是高度敏感的,因此引起公众与舆论的恐慌与警觉。根据官方公开的信息,“一码知健”会将电子病历、健康体检、生活方式管理的相关数据作为数据来源,换句话说,“一码知健”计划渗透到我们生活的方方面面,即使是最隐私的睡眠也会被加以评判。在“一码知健”的设计中,饮酒200毫升将导致健康评分下降1.5分,吸烟5支将导致健康评分下降3分,如果步行达到15000步,评分则会大幅度上升5分。

在2020年6月1日生效的《基本医疗卫生与健康促进法》中,明确规定:“国家保护公民个人健康信息,确保公民个人健康信息安全。任何组织或者个人不得非法收集、使用、加工、传输公民个人健康信息,不得非法买卖、提供或者公开公民个人健康信息。”“一码知健”涉及大量的个人健康信息,当杭州卫健委只强调利用,而不讲安全措施,必然是掀起公众情绪的反弹。

根据新近通过的《民法典》以及已经生效的《网络安全法》,我国目前个人信息以“告知-同意”为最主要的合法性基础。对个人信息的收集、使用需要以个人同意为判断是否合法。但对于“一码知健”的数据会来自于不同的机构、设备,如何获取用户饮酒、吸烟的数据,如果“一码知健”是通过监控视频结合人脸识别技术,将饮酒、吸烟的行为与相应个人进行匹配,从而进行扣分。这样的收集、使用行为会远超公众对监控收集个人信息的心理预期。另外一些数据,如每日步数、睡眠时间的收集、使用需要依托第三方手机或智能设备的厂商。第三方厂商将用户数据提供给“一码知健”同样需要在保障个人知情权的基础上获得个人的同意。

除此以外,“一码知健”中的数据还可能属于健康医疗大数据或人口健康数据,法规对这两类数据又有专门的收集、存储、共享、使用、删除等方面的要求。如《国家健康医疗大数据标准、安全和服务管理办法(试行)》要求健康医疗大数据的收集、使用需要遵循医学伦理原则,保护个人隐私,并建立严格的电子实名认证和数据访问控制,规范数据接入、使用和销毁过程的痕迹管理,确保健康医疗大数据访问行为可管、可控及服务管理全程留痕,可查询、可追溯,对任何数据泄密泄露事故及风险可追溯到相关责任单位和责任人。《人口健康信息管理办法(试行)》要求利用单位或者个人不得超出授权范围利用和发布人口健康信息,且不得对外提供涉及保密信息和个人隐私信息。

因此,面对法律法规对数据的保护的强力监管,杭州“一码知健”只是抛出数据的利用方案,对如何遵守法律、采取安全措施只字未提,自然会招来一片质疑的声音,让公众处于被时时刻刻健康的不安之中。

三、不要止步于“叶公好龙”

杭州是以“全国数字经济第一城”为目标的城市,同样应该以“全国数字合规第一城”为目标,在遵守法律、合规措施方面引领全国风气。面对“一码知健”所能带来的正面效应与隐私风险,一边倒批评隐私风险当然是更加简单,但这只是叶公好龙。人们憧憬新技术能够带来便利,但当新技术真的来临,却又开始恐惧新技术的隐私风险,甚至想把龙一棍子打死,而更有建设性的思路应该是想着如何驯服那只龙。

“一码知健”背后的杭州卫健委可以从公开透明、遵守法律做起,通过《白皮书》《个人信息保护说明》等文件向公众充分告知“一码知健”的原理,比如会收集哪些数据,收集后的数据会如何使用,有效期是多久,以及采取了哪些措施确保数据安全。如果需要从手机或其他第三方厂商获取数据,则需要求第三方厂商向用户告知个人信息的用途,确保用户的知情权、监督权。此外,杭州卫健委还需要确保用户有选择权,在没有其他合法性基础的情况下,用户应当可以自愿选择是否加入“一码知健”,并且赋予用户随时退出、注销的权利。

因为面向数以百万计的用户,“一码知健”在遵守法律的同时,还应当符合更高的标准。“一码知健”有必要全面根据《信息安全技术 个人信息安全规范》(GB/T 35273-2020)进行贯标,定期开展个人信息安全影响评估并公开评估报告,并在杭州卫健委内部设立个人信息保护负责人和个人信息保护工作机构,负责“一码知健”相关个人信息保护的工作。

数据所带来便利性与隐私威胁是一体两面。让数据“睡大觉”是懒政,只想着利用而不考虑合法合规同样是懒政。就像明知脚下有金矿而不去挖掘是放弃财富的愚蠢行为,只顾挖掘而不顾矿工的健康同样是不负责任的行为。可持续发展的理念不止于环境保护领域,同样适用于数据的开发利用。政府部门作为掌握大量数据的机构,有义务通过合规措施,提高数据保护能力,起到数据合规的带头模范作用,以此获取公众信任,让数据能够持续发挥应有的价值。

网络安全等级保护行政诉讼第一案(疑似):徐望仁诉耒阳市公安局公安行政处罚案

  • 案件名称:徐望仁诉耒阳市公安局公安行政处罚案
  • 审理法院:衡阳铁路运输法院
  • 案号:(2019)湘8602行初118号
  • 裁判日期:2019.09.26
  • 原告:徐望仁
  • 被告:耒阳市公安局
  • 被诉行政处罚:警告
  • 相关法条:《中华人民共和国网络安全法》第二十一条第三项
  • 裁判结果:维持

直播视频:http://tingshen.court.gov.cn/live/8105887(只能听到原告的声音,两被告收音不佳)。根据仅能听清的原告的陈述,原告关注重点并不在于是否履行网络等级保护的义务,而在于两被告对原告打击报复。

简而言之,这是我能检索到的因为未履行等级保护义务的第一起行政诉讼,但庭审并未就此展开充分的辩论,也没有对证据进行深入质证,因此参考价值有限。

一、案件事实

2019年4月3日,被告一(耒阳市公安局)对耒阳市城市论坛网站进行网络安全执法检查,发现该网站的日志只保存了2019年1-4月四个月。耒阳市公安局通过立案调查,查明耒阳城市论坛网站系以资慧兰名义注册,实际运营者为原告。

2019年4月25日,被告一对原告作出耒公(网)责通字【2019】第0267号《责令予以改正通知书》,责令徐望仁立即予以改正。同日,被告一根据《网络安全法》第五十九条第一款的规定,作出0401号处罚决定,对原告处予警告的行政处罚。原告不服该行政处罚决定,于2019年5月20日向被告二耒阳市人民政府提出行政复议申请,被告二当日予以受理。

二、法律依据

《网络安全法》

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
……
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

《公安机关互联网安全监督检查规定》(被告检查时未予以援引)

第十条 公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况,依照国家有关规定和标准,对下列内容进行监督检查:
(七)是否履行法律、行政法规规定的网络安全等级保护等义务。

三、证据与认定

原告证据:

被告一证据:

被告二证据:略(关于行政复议)

四、法院观点

根据本案证据,耒阳城市论坛网站的实际运营者为原告,被告一2019年4月3日对该网站进行执法检查时,该网站只保存了2019年1-4月的日志。被告一通过开展现场检查、调查取证、询问查证,认定原告存在上述违法事实。被告一对原告作出行政处罚决定前,告知原告其作出行政处罚的事实、理由、依据及原告享有的陈述和申辩权。在作出行政处罚决定后,及时向原告进行宣告、送达,符合法定程序。

法考引发的隐私之争:王庆辉诉青岛天一精英人才培训学校侵犯隐私权纠纷案

  • 案件名称:王庆辉诉青岛天一精英人才培训学校侵犯隐私权纠纷案
  • 裁判法院:山东省青岛市中级人民法院
  • 案号:(2019)鲁02民终7482号
  • 上诉人(原审被告):青岛天一精英人才培训学校(“培训学校”)
  • 被上诉人(原审原告):王庆辉
  • 裁判结果:撤销一审判决,驳回原告诉讼请求

一、案件事实

2018年法考成绩发布后,培训学校要求所有学员查出成绩后自愿报给培训学校后上报给烟台市公安局。王庆辉通过微信上报成绩。

后培训学校公众号发布推送《重磅!天一教育法考烟台考点创造98.3%的通过奇迹!》,其中显示天一烟台教学点过关名单中包含王庆辉的成绩。王庆辉认为该推送构成侵犯自己的隐私权。

一审法院认为培训学校的推送侵犯王庆辉隐私权。

二、二审法院观点

隐私权是指自然人享有的对其个人的、与公共利益无关的个人信息、私人活动和私有领域进行支配的人格权。随着信息化的发展,隐私权保护的范围除包括个人的生活私密领域,也包括个人信息自主。本案中,天一学校通过互联网发布的天一烟台教学点过关名单中包含王庆辉的名字及考试成绩,王庆辉认为该行为侵犯了其隐私权。本院认为,首先,由于个人观念的不同,隐私的定义具有一定主观性,但法律意义上隐私范围的界定应当具备一定客观性标准,并根据案件具体情况进行分析。

一般而言,自然人的基因信息、证件信息、联络方式、财务情况、婚姻状况、健康状况、医疗信息、犯罪记录等可以识别该个人的资料应当属于隐私权保护的个人信息。姓名、考试成绩均非私生活中绝对自我空间的范畴,不属于隐私的范围。此外天一学校发布的“115,王庆辉,男,90,91,181”的信息内容仅涉及王庆辉姓名和成绩,并未涉及其他私人信息,该过关学员名单面向社会不特定公众发布,社会公众并不必然能凭此条信息与王庆辉本人建立特定联系,故不构成法律概念上的特指,不具备识别性。

其次,侵犯隐私权承担的是一般侵权责任,适用过错责任原则,应当由权利主张一方举证证明存在加害行为、损害结果、因果关系、行为人具有过错。天一学校通过互联网发布“重磅!天一教育法考烟台考点创造98.3%的通过奇迹!”的行为旨在宣传该学校通过率,其中包含的“115,王庆辉,男,90,91,181”的信息内容并未逾越此目的的必要范围,不具有侵犯王庆辉隐私权的故意或过失,主观上无过错。故天一学校不具备隐私权侵权的构成要件,不构成对王庆辉隐私权的侵犯。

新零售的数据合规隐忧:俞延彬诉天猫、淘宝、支付宝、乐友网络侵权责任纠纷案

  • 案件名称:俞延彬与浙江天猫网络有限公司等网络侵权责任纠纷案
  • 法院:北京市海淀区人民法院
  • 案号:(2018)京0108民初13661号
  • 裁判日期:2019年12月10日
  • 原告:俞延彬
  • 被告: 北京乐友达康科技有限公司
  • 被告: 支付宝(中国)网络技术有限公司
  • 被告: 浙江淘宝网络有限公司
  • 被告: 浙江天猫网络有限公司
  • 裁判结果:四被告共同赔偿原告经济损失1元

建立适应融合发展的标准规范、竞争规则,引导实体零售企业逐步提高信息化水平,将线下物流、服务、体验等优势与线上商流、资金流、信息流融合,拓展智能化、网络化的全渠道布局。鼓励线上线下优势企业通过战略合作、交叉持股、并购重组等多种形式整合市场资源,培育线上线下融合发展的新型市场主体。建立社会化、市场化的数据应用机制,鼓励电子商务平台向实体零售企业有条件地开放数据资源,提高资源配置效率和经营决策水平。

——《国务院办公厅关于推动实体零售创新转型的意见》(2016)

一、案件事实

2018年1月31日,俞延彬作为消费者前往作为智慧门店的乐友清河门店购买了商品,使用支付宝进行支付。支付完成后,支付宝在俞延彬未勾选“授权淘宝获取你线下交易信息并展示”的情况下,将俞延彬的购物数据传输至淘宝网与天猫网。俞延彬认为乐友清河门店、支付宝、淘宝、天猫的行为构成侵犯个人信息,故诉至法院。
法院将案件重点交易链条总结为如下交易环节:

  1. 俞延彬通过乐友清河店的支付宝收款码扫码支付商品价款; 
  2. 俞延彬将支付完成页面的“授权淘宝获取你线下交易信息并展示”前面的默认勾选√取消;
  3. 支付宝公司将收款后的用户身份识别代码上传到乐友公司的智慧门店平台;
  4. 智慧门店平台系统自动匹配该支付宝用户同时为淘宝网、天猫网用户;
  5. 淘宝网、天猫网分别将俞延彬在乐友清河店完成的交易信息推送到手机淘宝、手机天猫订单中显示。

我画了张流程图方便理解:

二、勾选行为是什么?

案件的关键在于:用户不勾选同意时,支付宝以何法律依据将用户线下购物产生的个人信息传输给淘宝或天猫?

支付宝公司辩称:

不是通过默认勾选的页面决定是否将信息传递给线下商户,页面应该是起到了一个告知用户的效果,但实际上页面本身的设计是由于没有从后台调取到用户的身份信息,所以它的设计没有传达出应该告知的内容。用户点击取消对勾后,默认为用户已经了解到这条信息,后续的订单信息仍然是通过这种数据传输的方式给了门店,所以后续的订单信息仍然是在手机淘宝中进行展示,没有再继续向用户来传递这条信息。这是一个告知,并不是一个授权。

简而言之,支付宝认为无论用户是否勾选“同意”,支付宝并不在乎,只是向用户打个招呼,即使用户不勾选“同意”支付宝依然认为用户已经同意。

但法院并不赞同这样的观点:

在支付宝支付完成页面有“授权淘宝获取你线下交易信息并展示”字样,从文字表述上来看,该表述显然是“授权”性质的条款,从用户的角度来说,如果将该段表述前的默认勾选√取消,则应当理解为淘宝将不再获取该笔线下交易的信息。但是在俞延彬将该默认勾选√取消后,也就是在俞延彬已经明确拒绝淘宝公司获取其线下交易信息并展示的情况下,在俞延彬完成第二笔交易时却不再出现该“授权”条款,俞延彬的淘宝、天猫订单中随即出现了线下交易的订单。支付宝公司辩称该“授权”条款实则为履行告知义务,但无论从表述上还是从实际交易情况来看,支付宝公司的解释均无法使人信服。

三、共享与同意

智慧门店之所以有智慧,在于线上线下数据的打通,这也是“新零售”的要义所在。通过线上线下数据的联通,实现更为精准的营销,优惠券、广告会更加精准地投放。但问题在于,线上线下的数据传输,会涉及多个法律实体,即使是集团内部不同公司间的数据共享仍然是一种将数据提供给第三方的行为。

案件中,支付宝公司、淘宝公司、天猫公司辩称,原告分别是其用户,各公司已经在其《隐私政策》中对收集、使用及共享个人信息的行为取得了原告的授权。但法院对各家公司的《隐私政策》进行了严格审核,并指出:

  1. 支付宝公司《隐私政策》中明确只有获得同意才会共享用户个人信息。
  2. 淘宝公司和天猫公司《隐私政策》关于“使用其关联公司提供的产品或服务”中并无“支付宝”当面付工具的使用。

进而法院认为三公司未经同意即共享原告个人信息具有主观过错,且网络运营者共享用户个人信息的行为不应概括授权:

如果认为网络运营者仅仅采用概括式的授权即履行了其告知义务,而在具体场景的应用中无需再次取得用户同意,则个人信息相关权益的所有人在进行该种授权时对于其个人信息的使用方式以及使用范围无法明确知晓,可能导致个人信息脱离于用户意志而被不当收集和使用,不利于对个人信息的保护。

法院总结道:

个人信息共享是一个融合了个人信息流动的动态的过程,在此过程中可能对个人信息安全带来一定的威胁,在个人信息共享的过程中个人信息使用者应当明确告知个人信息相关权益的所有人其使用信息的目的、范围,并获得个人信息相关权益的所有人的明确授权,以确认协议、具体场景下的文案确认动作等形式确认征求了用户的同意,并在获得的授权范围内使用该个人信息。乐友公司、支付宝公司、淘宝公司、天猫公司在明知其使用智慧门店中个人信息需要事先获得用户授权的情况下,并未实际取得用户授权,使用了俞延彬的个人信息,该行为侵犯了俞延彬对其个人信息享有的权益,构成共同侵权,依法应当承担相应的侵权责任。

新零售中的数据共享,关键在于保障消费者的知情权、选择权以及公平交易权。《消费者权益保护法》在个人信息保护领域有着不亚于《网络安全法》的重要性,尤其是在面向消费者的业务中,而向消费者告知数据共享的情况即是保障消费者知情权、选择权以及公平交易权的体现。因此,法院认为“原告诉请的知情权、选择权和公平交易权已经包含于俞延彬对其个人信息的支配控制权内涵中”。

四、新零售下设计“同意”

“合法、正当、必要”是我国确立的个人信息处理基本原则。所谓“必要”与“正当”紧密关联,是从个人信息主体,而非处理者的视角进行判断。根据诉讼中披露的《阿里巴巴智慧门店产品服务协议》条款来看,智慧门店设立目的是为现实智慧门店产品服务,支付宝公司将线下门店交易信息传输给淘宝公司,并通过淘宝公司获得用户在线上店处享受的优惠权益,以便线上线下门店实现线下门店引流等目的。法院认为:

该使用目的并非基于用户的“必要”,而是网络公司的商业考量。为用户之必要,则应当在收集、使用个人信息时,其所获取的个人信息应当以满足使用目的为限,不得超出范围收集和使用个人信息。

在新通过的《民法典》第一千零三十五条中,围绕“同意”构建了个人信息处理的规则。

处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。

《民法典》

目前,少有法律、行政法规在“同意”之外开口,比如《身份证法》对查验公民个人信息进行了规定,并不需要同意;《征信业管理条例》将企业的董事、监事、高级管理人员与其履行职务相关的信息排除于个人信息范围之外,也不以同意为使用规则。

只要超出原有处理用户个人信息的范围,就应当重获“同意”。虽然在GDPR下围绕数据处理有若干种合法性基础,同意只是其中之一,但我国的个人信息处理规则目前仍是围绕同意构建。在案件中法院强调再次“个人信息控制者只有在取得用户知情同意的情况下,方可与他人对用户的个人信息进行共享。”此前在新浪微博诉脉脉、淘宝诉美景案中,法院无不以“同意”为原则,构建并强调了“三重授权”规则。

进一步,在新零售的场景下,需要更多元化的“同意”获取方案。在案件中,支付宝、淘宝、天猫主张已在以往服务中获得了原告同意,但法院并不认可,这在某种程度上宣告了“一锤子式同意”方案的终结,“同意”需要传拆在业务场景中,结合纸质文件、员工培训、物联网设备、App等多元因素设计“同意”方案,层层管理用户同意。

无论如何设计“同意”方案,真正的难点在于用户选择“不同意”时该如何操作。在本案中,用户选择同意与否并没有实质区别,因此而导致纠纷。即使是在 《个人信息告知同意指南(征求意见稿)》中,也未对用户选择“不同意”的情形下个人信息控制者该如何处理提供明确指引。期待正式版本的标准能够更加完善。

五、尾声?

在俞延彬就涉案行为投诉后,支付宝公司、淘宝公司、天猫公司即立即查找了存在的问题,停止了侵权行为,未造成损害的扩大。

本案法院一审判决四被告共同赔偿1元,而原告要求赔礼道歉的诉讼请求被法院驳回(不知道被告们是否会上诉)。面对高昂的合规成本,支付宝公司、淘宝公司、天猫公司选择了整改,但或许有更多的企业愿意承担1元钱的不合规的风险吧。