标签归档:个人信息

案例研究:冯春华与中国联通一般人格权纠纷案

案件名称:冯春华与中国联合网络通信有限公司昆山市分公司、中国联合网络通信有限公司一般人格权纠纷案

案号:(2020)苏0583民初11684号

审理法院:江苏省昆山市人民法院

裁判结果:一、被告中国联合网络通信有限公司昆山市分公司于本判决生效之日起一个月内就输错号码行为消除影响,并向原告冯春华书面赔礼道歉,上述义务若被告中国联合网络通信有限公司昆山市分公司不履行的,则由被告中国联合网络通信有限公司继续履行。

二、被告中国联合网络通信有限公司昆山市分公司支付原告冯春华损失1000元,于本判决生效之日起十日内履行。被告中国联合网络通信有限公司对被告中国联合网络通信有限公司昆山市分公司不能清偿部分承担补充清偿责任。

小米的68份隐私政策统计

小米安全中心搞了个好玩的隐私政策“捉虫”活动,一股脑将自己的68份隐私政策摊开,邀请用户就文字错误、语法错误、语义不通、格式错误挑错,并且一处错误算一个隐私漏洞,奖励50元(5个贡献币)。这个思路来自于网络安全众测,也有点吕不韦“一字千金”的意思,可见小米对自己的隐私政策非常自信。

一、68份隐私政策

隐私政策是向用户说明个人信息如何使用的法律文件。我知道大企业的产品复杂,需要多份隐私政策以适用不同产品、不同场景,但68份隐私政策还是让我感觉有些意外。但是,这也提供了一个难得的视角,对某一公司的隐私政策进行全面研究,而不用我辛苦去一份份找来看。

在小米公开的68份隐私政策中,Xiaomi Privacy Policy是唯一的一份英文版隐私政策。另外,《小米贷款隐私政策》列了两次,分别为序号25和序号13。《哎呀宝贝儿童信息保护规则》是列出的唯一一份儿童个人信息保护规则,这主要是履行《儿童个人信息网络保护规定》所规定的义务。

继续阅读

【可视化】:App专项治理工作组三次检查结果

2020年11月,App专项治理工作组发布了35款App存在个人信息收集使用问题的通告。此前,2020年9月,App专项治理工作组发布了81款App存在个人信息收集使用问题。2019年12月,工作组也对57款存在收集使用个人信息问题的App进行过检查

通过对检查结果以可视化的方式呈现,可以发现:

  • 自启动方式收集个人信息、明文上传账户密码、个人敏感信息处理、儿童个人信息处理、剪切板读取成为新的关注点。
  • “在申请打开某可收集个人信息的权限时,未同步告知用户其目的”、“未逐一列出嵌入的第三方SDK收集使用个人信息的目的、类型”始终是普遍存在的问题。
  • 检查对象开始关注官方、政务App的合规问题。
  • ……

除了App专项治理工作组,工信部也在推进App检查工作,检查如火如荼:

目前已完成国内用户使用率较高的44万款APP的技术检测工作,责令1336款违规APP进行整改,公开通报377款整改不到位的APP,下架94款拒不整改的APP,有效震慑了违法违规行为。

工信部点名:“一些企业经过多次整改仍存在问题,部分头部企业APP在个人信息保护的整改上存在思想漠视、侥幸心理、技术对抗等问题。”

可视化:App专项治理工作组2020、2019检查对比

2020年9月17日,App专项治理工作组发布了81款App存在个人信息收集使用问题。早在2019年12月20日,工作组就对57款存在收集使用个人信息问题的App进行过检查。不经整理的信息是没有价值的。这里我把两次检查的统计结果进行对比,可以发现近来App合规的一些趋势:

  1. 申请权限而不告知始终是突出问题;
  2. 向SDK提供个人信息的情况大幅好转;
  3. 不提供权限拒绝提供服务成为新的检查重点;
  4. 原先部分检查项现在不再关注。

对比表格如下:

数据权益的新疆界:新浪微博诉超级星饭团App不正当竞争纠纷案

  • 原告:北京微梦创科网络技术有限公司(“新浪微博”)
  • 被告:云智联网络科技(北京)有限公司(“超级星饭团App”)
  • 审理法院:北京市海淀区人民法院
  • 案号:(2017)京0108民初24512号
  • 裁判时间:2020年7月20日
  • 裁判结果:(1)被告停止侵权;(2)被告刊登声明消除影响;(3)被告赔偿经济损失1000万元及合理开支228,554元

一、案情概况:不止于此案

根据App Store内超级星饭团App的简介:“超级星饭团是一款专为粉丝打造的粉丝追星服务平台,让粉丝轻轻松松即时了解爱豆的SNS社交动态信息,随时随地紧紧守护自己的超级明星。”但新浪微博认为,超级星饭团App在未经新浪微博许可的情况下,通过爬虫程序爬取新浪微博中明星的动态,并将从新浪微博获取的明星动态数据与从其他平台获取的数据相结合,提供z明星动态,供“粉丝”所使用,进而侵犯新浪微博对数据的权益,进而构成不正当竞争。

案件中,超级星饭团App也承认部分数据来自于新浪微博,因此双方的主要的争议焦点在于:超级星饭团App抓取新浪微博数据是否侵犯新浪微博的合法权益。

这个案件在诸多层面具有典型意义,涉及到数据、个人信息、爬虫等多个领域,值得认真研讨。此外,本案并不是新浪微博为自己数据权益发起的唯一诉讼,之前(2016)京73民终588号“新浪微博诉脉脉案”开创了“三重授权”原则;(2019)京73民终2799号“新浪微博诉饭友App案”案被北京知识产权法院列为2019年度北京市法院知识产权司法保护十大案例。

二、固定证据:上收手机后的勘验

在涉互联网的案件中,固定证据向来都是难题。本案中,除了常见的公证以外,也通过当庭勘验的方式固定证据。法院同意新浪微博的勘验申请,并在本案庭审前上收双方通讯工具,避免与法庭勘验相关的问题和程序被提前泄露而影响勘验结果的客观真实性。

通过在法庭计算机中安装VPN,新浪微博登入公司内网,在线修改“超级话题”代码,将明星“李子璇”的上线时间修改为12:23,下线时间修改为12:26。随后专家辅助人登录超级星饭团App,发现App中的显示的时间为修改后的时间,而微博App和微博超话App中“李子璇”信息,均未显示勘验代码中记载的上线和下线时间。

尽管超级星饭团App进行了一些反驳,但新浪微博通过现场勘验的“突袭”,向法庭证明了超级星饭团App不仅会抓取超级星饭团App公开的前端数据,也会抓取新浪微博非公开的后端数据。

三、访问权限:公开数据与非公开数据

在知乎上,我最经常被问到的一个问题就是:爬虫程序是否合法?

通过爬虫程序在互联网上爬取数据是一件再正常不过的事情,搜索引擎的基础就是各种爬虫程序,用Python写一个简单的爬虫程序并不困难。但爬虫程序会显著消耗服务器资源,裁判文书网、工商登记信息网、12306等网络系统都饱受爬虫之苦,所以验证码设计愈发诡异。所以这也导致围绕着爬虫程序的“攻防”是互联网上一项热门的生意:爬虫程序越来越能够模拟真人的访问行为;网络平台也越来越能够判断网线对面是真人还是代码。

法庭将涉案数据分为“公开数据”与“非公开数据”两类,以访问权限为判断标准:在无相反证据的情形下,对于微梦公司未设定访问权限的数据,应属其已在新浪微博中向公众公开的数据;但对于其通过登录规则或其他措施设置了访问权限的数据(如用户即便登录新浪微博帐号亦无法访问的数据),则应属新浪微博中的非公开数据。

法庭认为,对于平台的公开数据,虽然是平台经营者重要的经营资源,但对爬虫程序应有容忍的义务:

而对于平台中的公开数据,基于网络环境中数据的可集成、可交互之特点,平台经营者应当在一定程度上容忍他人合法收集或利用其平台中已公开的数据,否则将可能阻碍以公益研究或其他有益用途为目的的数据运用,有违互联网互联互通之精神。且无论是通过用户个人浏览或网络爬虫等技术手段获取数据,只要其遵守通用的技术规则,则其行为本质均相同,网络平台在无合理理由的情形下,不应对通过用户浏览和网络爬虫等自动化程序获取此类公开数据的行为进行区别性对待。当然,如果他人抓取网络平台中的公开数据之行为手段并非正当,则其抓取行为本身及后续使用行为亦难谓正当;如果他人抓取网络平台中的公开数据之行为手段系正当,则需要结合涉案数据数量是否足够多、规模是否足够大进而具有数据价值,以及被控侵权人后续使用行为是否造成对被抓取数据的平台的实质性替代等其他因素,对抓取公开数据的行为正当性做进一步判断。

在庭审中,超级星饭团App并没有证明成功地向法庭证明自己合法正当获取新浪微博的公开数据。法庭认为超级星饭团App是通过伪装成用户登录或模拟用户行为向新浪微博后台服务器发送请求,并按照浏览器规则进行解析等技术手段获取数据,并违反Robots协议,在白名单以外仍然抓取公开数据,因此具有主观恶意。此外,自始至终超级星饭团App未向法庭说明其使用的技术和如何通过该技术实现对涉案数据大规模抓取进行演示或提交相关证据。

Robots协议仅是文本文件(.txt),并不像HTTP、FTP这些协议(protocol)如果不遵守就无法使用,更算不上法律意义上的协议(agreement),因此Robots协议的效力其实值得商榷,且超级星饭团App也并非《搜索引擎服务商自律公约》的签署方。从访问控制的角度来看,Robots协议更像是草坪上竖立的“禁止进入”标识,物理上没有办法阻挡人们踩踏草坪。在(2017)苏01民初2340号“北京焦点诉百度案”中,法庭就建议百度“在现有运行机制包括用户协议中明确法律提示条款、设置robots协议等的基础上,百度公司仍然应当主动积极应对新技术开发、新应用场景、新业态运营在市场拓展过程中可能引发的侵权现象,关注其中可能存在的侵权风险……”。

四、数据权益的边界

本案虽然是围绕不正当竞争的纠纷,但数据权益的保护仍然是重点问题,且可能会在未来影响到一系列类似案件的请求权基础。本案中,法庭对新浪微博的数据权益进行了如下论述:

……在当前的市场环境下,数据已经逐渐成为经营者,尤其是互联网经营者之间相互竞争的基础性资源,获得数据意味着可据此进行分析并改进、完善产品功能,从而获得更多的经营利益。因此,司法不能以数据尚未成为一种法定权利为由而拒绝裁判。当经营者为收集、整理数据,以及维护其互联网产品中的数据运行和安全而付出成本,且该种数据整体上可为经营者进行衍生性利用或开发从而获得进一步的经营利益时,其他经营者未经许可擅自抓取且使用平台数据的行为,当然可以落入反不正当竞争法调整的范围。

据此,结合涉案数据系新浪微博产品的重要基础,微梦公司为运营新浪微博,维护涉案数据安全付出了相应成本(如前述部分明星要求其动态信息不予公开,微梦公司显然需要为此进行产品功能的设计),微梦公司对涉案数据进行衍生性利用或开发,以及《微博服务使用协议》中关于涉案数据归属的约定等因素,微梦公司可基于其对涉案数据享有的经营利益,依据反不正当竞争法对云智联公司擅自抓取并使用涉案数据的行为提出相应主张。

……微梦公司所主张的涉案数据虽系来源于微博用户数据,但并非该些零散且相对独立的数据的简单集合,而是微梦公司进行了数据安全保护等加工后形成的数据(例如,根据《微博服务使用协议》第1.2.3条,用户可通过设置功能自行控制、把握查阅其信息的帐号类型);此外,涉案数据中亦有非微博用户生产的数据,如涉案数据中的明星在线时间,显然系微梦公司根据微博用户在线时间计算、整理得出。因此,微梦公司主张的涉案数据系新浪微博平台数据,与微博用户个人数据存在本质不同……。

对于新浪微博来说,除了通过《反不正当竞争法》进行维权,另一个“解题思路”是直接通过《民法总则》/《民法典》第一百二十七条(数据条款)进行维权,比如(2018)苏0684民初5030号“浙江淘宝网络有限公司诉杜某等网络侵权责任纠纷案”中淘宝公司便是按照此思路对恶意评价行为进行追责,认为恶意评价侵犯了自己的数据权益,并得到了法庭的支持。当然选择何种方式原告与律师会有自己的考量,我也无需赘言。

五、违法关键点:数据利用

在竞争法的角度,超级星饭团App在获取数据后的使用行为更值得关注,即超级星饭团App在获得数据后的利用方式是否会减损新浪微博的商业机会。

在本案中,法庭认为涉案数据均系与明星动态相关的数据,而关注涉案信息的主要用户群体即明星粉丝,与超级星饭团App的用户类型一致,且构成替代关系,用户可以不使用新浪微博就能获得明星数据,直接影响新浪微博的广告收益。(2019)京73民终2799号“新浪微博诉饭友App案”中,法庭也使用过类似的思路,认为:微梦公司对新浪微博数据享有合法权,在案证据可以认定复娱公司系通过绕开或破坏微梦公司技术保护措施的手段,实施了抓取和展示新浪微博数据的行为,使得饭友×××用户无需注册或登录新浪微博帐号即可查看新浪微博全部内容,复娱公司的行为必然会影响微梦公司与用户间协议的履行,导致微梦公司的独家权益无法得到保障,对数据维护等的投入无法获得相应回报,或将减损用户数据安全程度,妨碍、破坏了新浪微博的正常运营。

在(2016)沪73民终242号“大众点评诉百度案”中,争议焦点并不在于数据的获取,而在于对数据进行收集后如何进行利用才算合法。“大众点评诉百度案”案件的裁判为数据收集后的利用提供了清晰的指引——即在数据利用时不能实质替代原服务,应采取对原服务影响更小,并能在一定程度上实现积极效果的措施对数据进行利用。

六、公开数据中个人信息合规隐忧

案件中,个人信息主体的角色也不应忽视,法庭认为:

对于涉案数据中的公开部分,正常情况下,新浪微博用户可随时选择修改或删除相关数据,微梦公司基于其与用户之间的协议亦应维护用户处理其数据之权利;但云智联公司的抓取和展示涉案数据的行为会使这部分数据脱离用户自身和微梦公司的控制,减损其处理数据的权利。而对于涉案数据中的非公开部分,往往包含与用户个人隐私相关的信息(如用户设置仅自己可见)或其不希望他人收集或查看的信息(如用户发布后自行删除的信息或前述明星限制公开的数据),云智联公司对其进行抓取和展示可能导致此类用户个人信息的泄露和被侵害,而这必然影响新浪微博数据安全进而破坏微梦公司所提供服务的正常运行,也可能侵害用户对其个人隐私等信息所享有的合法权益。

在《民法典》第一千零三十六条中,规定合理处理该自然人自行公开的或者其他已经合法公开的信息,行为人不承担民事责任,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。这意味着通过爬虫程序爬取前端公开的个人信息并不违反法律,但是个人信息的主体有权拒绝。《民法典》对已公开个人信息的态度延续于《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条的规定。

程啸教授认为:“一方面,即便是已经合法公开的个人信息依然受到法律的保护,自然人对这些个人信息并不因其公开而失去控制的权利,其有权拒绝他人对这些信息进行处理;另一方面,由于个人信息的保护对于维护自然人的人格尊严和人格自由具有很重要的意义,所以,即便是已经合法公开的个人信息,也不得任意进行处理,如果处理该信息将侵害自然人的重大利益的,也要承担民事责任。”(《论我国民法典中的个人信息合理使用制度》,载《中外法学》2020年第4期)

当然明星们可能不会要求超级星饭团App删除自己的个人信息,但在其他场景下,大量裁判文书信息、新闻报道公开的个人信息保护一直也都是一个棘手的问题。个人信息主体其实是有权利要求爬取数据的平台删除其个人信息,需要爬取数据的平台具备响应机制。但有一点需要留意,根据《征信业管理条例》第十三条第二款:“企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。”但如果超出董监高的履行职务相关的信息的范围,则仍然属于个人信息。

简而言之,对于已公开的个人信息,个人信息主体并未丧失掌控的权利,仍然可以要求停止处理、删除、修正错误。

航班隐私泄露的“三连”司法案例

一、正在扭转的趋势

航班信息泄露是大量旅客都经历过的事情。旅客在购买机票后莫名收到短信说之前预订的航班被取消,并告知旅客退款需要银行账号和密码。有大量旅客因此浪费时间查询航班是否真实取消,甚至会损失钱财,而这背后的罪魁祸首就是旅客购票的信息泄露。

长期以来,旅客在案件中处于不利地位,因为旅客无法证明平台或航空公司的信息安全措施存在过错,实际是难以尽到举证责任。比如在“朱盈盈与北京趣拿信息技术有限公司合同纠纷案”((2017)陕0112民初1252号)中,法院认为:

当事人对自己提出的诉讼请求所依据的事实或反驳对方诉讼请求所依据的事实,应当提供证据加以证明,没有证据或者证据不足以证明当事人主张的,由负有举证责任的当事人承担不利后果。本案的争议焦点为是否被告对原告个人信息泄露负有违约责任。原告通过被告的网站进行购票,双方形成委托关系。但原告提供的证据不能证明被告系掌握原告个人信息的唯一主体,亦不能证明原告个人信息由被告泄露。同时,本案被告在原告购票成功后,及时发送短信对原告进行了必要的提醒和告知义务。原告的损失系第三人实施诈骗的直接后果,原告作为完全民事行为能力人,自身负有必要的安全注意义务。故对原告主张被告赔偿损失的诉讼请求,证据不足,本院不予支持。

这也只是云云案件中的一例,在其他领域用户个人信息泄露以后通过诉讼维权同样会面临无法举证的高墙,因此用户屡屡败诉。个人信息泄露问题自然也无法引起占据优势地位的企业的重视。但是,从“庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案”开始,法院突破性地将举证责任给予占据优势地位的企业,进而让消费者/用户/旅客有可能胜诉。该案件在2018年被最高院列为“第一批涉互联网典型案例”,并在2019年12月乌镇的“世界互联网法治论坛”再次被最高院选为“中国互联网司法典型案例”。

也正是由“庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案”开始,旅客在越来越多案件中能够在一定程度上挽回损失。以下选择了包括庞理鹏案在内的三个案件,涉及去哪儿网、东方航空、携程、支付宝、美团这些大家耳熟能详的企业。

二、认定的事实

庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案:

2014年10月11日,庞理鹏委托鲁超通过去哪儿网平台(http://www.qunar.com)订购了东航机票1张,所选机票代理商为长沙星旅票务代理公司(以下简称星旅公司)。去哪儿网订单详情页面显示该订单登记的乘机人信息为庞理鹏姓名及身份证号,联系人信息、报销信息均为鲁超及其尾号**58的手机号。2014年10月13日,庞理鹏尾号**49手机号收到来源不明号码发来短信称由于机械故障,其所预订航班已经取消。该号码来源不明,且未向鲁超发送类似短信。鲁超拨打东航客服电话进行核实,客服人员确认该次航班正常,并提示庞理鹏收到的短信应属诈骗短信。2014年10月14日,东航客服电话向庞理鹏手机号码发送通知短信,告知该航班时刻调整。当晚19:43,鲁超再次拨打东航客服电话确认航班时刻,被告知该航班已取消。

申瑾与上海携程商务有限公司、支付宝(中国)网络技术有限公司等侵权责任纠纷案:

申瑾通过携程公司手机APP平台订购机票,因订购机票行为而产生的出行人姓名、航班日期、起落地点、航班号、航空公司信息、订票预留手机号信息被整体泄露,诈骗分子根据泄露的信息内容发送诈骗短信,引导申瑾使用支付宝亲密付功能消费及工商银行网上银行转账,最终导致申瑾银行卡内个人财产受损。

付全贵与北京三快信息科技有限公司等网络侵权责任纠纷案:

原告受单位指派乘飞机从张家口到上海出差。原告委托同事梁某从美团手机客户端应用程序订购了东方航空公司的航班。后梁某收到诈骗短信。梁某看到航班消息与原告预订机票信息完全吻合,将短信内容转发原告。原告看到短信后非常着急,因第二天已跟上海客户约好商谈合同,航班突然取消让其不知所措,便拨打了短信里的固定电话。对方冒充东方航空公司工作人员,让原告提供了身份证号、手机号、银行卡等信息,并告知该预订航班确实因起落架故障取消,建议原告退票或改签,且称未防止客户收到退票款后不认账,需要知道其银行卡余额。原告按照其指导操作退票手续,却被诈骗22400元。

三个案件的事实基本雷同,属于同一套路,都是收到航班取消的短信,只是庞理鹏并未因此遭受更大的损失。

三、法院观点

庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案:

庞理鹏被泄露的信息包括姓名、尾号**49手机号、行程安排等,其行程安排无疑属于私人活动信息,应该属于隐私信息,可以通过本案的隐私权纠纷主张救济。从收集证据的资金、技术等成本上看,作为普通人的庞理鹏根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此,客观上,法律不能也不应要求庞理鹏证明必定是东航或趣拿公司泄露了其隐私信息。东航和趣拿公司均未证明涉案信息泄漏归因于他人,或黑客攻击,抑或是庞理鹏本人。法院在排除其他泄露隐私信息可能性的前提下,结合本案证据认定上述两公司存在过错。东航和趣拿公司作为各自行业的知名企业,一方面因其经营性质掌握了大量的个人信息,另一方面亦有相应的能力保护好消费者的个人信息免受泄露,这既是其社会责任,也是其应尽的法律义务。本案泄露事件的发生,是由于航空公司、网络购票平台疏于防范导致的结果,因而可以认定其具有过错,应承担侵权责任。(来自最高院对该案重要意义的阐述)

申瑾与上海携程商务有限公司、支付宝(中国)网络技术有限公司等侵权责任纠纷案:

应当指出,在公司利用个人信息进行经营活动产生的纠纷中,个人相对于具有一定数据垄断地位的公司实体在证据搜集和举证能力上处于弱势地位。因此,应顾及双方当事人之间实质公平正义进行举证责任的分配。本案中,申瑾已举证证明其将个人信息提供给携程公司,后在较短时间内发生信息泄露,已完成相应合理的举证义务。携程公司应就其对申瑾的个人信息泄露无故意或过失之事实负举证责任。现携程公司的举证为两方面,即其在信息安全管理上无漏洞,以及个人信息存在被其他主体泄露的可能性。但从现有证据看,携程公司在信息安全管理的落实方面存在漏洞,未尽到对个人信息负有的信息保管及防止泄露义务,具有过错。至于其他主体获得个人信息问题,涉案信息的传递是因携程公司出于经营需要而发生,携程公司主张其他主体泄露信息,依法应由其进行举证。现携程公司仅提出理论上存在其他主体泄露的可能性而未完成举证。故综合来看,申瑾对于个人信息泄露已完成举证,携程公司提出的主张及举证不充分。综上,携程公司在信息安全管理的落实方面存在漏洞,未尽到对个人信息负有的信息保管及防止泄露义务,具有过错,应承担侵权责任。
《侵权责任法》第三十七条有关安全保障义务的规范价值取向,在于公共秩序与公共安全的维护。网络空间是否存在公共性,是我们理解适用该法律条文时的关键问题。网络空间的运行和信息交互活动,与现实场景下的社会性场所、群众性活动有行为模式的相似之处。物理世界中,先存在着一个公共空间,而后产生聚合的公共行为;而网络空间的虚拟性打破了传统的模式,先有人与人之间的互动,而后形成了一个虚拟的公共空间,虚拟性成就了网络空间所特有的公共性。网络服务提供者具备开启、参与社会交往服务及给他人权益带来潜在危险两项特征,因此虚拟数字世界中的网络服务提供者与现实世界中的安全保障义务主体一样,应对针对其服务用户发生的侵权负有排除义务,并对未来的妨害负有审查和控制义务。本院认为,该义务的法理基础与《侵权责任法》第三十七条所确立的安全保障义务系属同源,法理体系一脉相承。

付全贵与北京三快信息科技有限公司等网络侵权责任纠纷案:

三快科技公司主张其在信息安全管理上不存在漏洞。虽然其提供的证据可以证明其采取了一定的安全保护措施,如将可识别的信息去标识化处理,对用户姓名、手机号和证件信息都进行了部分隐藏,相关信息的管理需要经过授权许可等,但对其内部安全管理制度和操作规程、具体访问涉案信息的授权规则、授权人员范围、监控情况等,三快科技公司均未清楚、准确地予以说明。特别引起本院注意的是,三快科技公司所称系统自动发送的风险提示短信包含有完整的涉案信息,在其系统平台上所保存的记录亦未进行去标识化处理,该短信在发送之后相关记录会留存在美团平台的数据库中,可以再次访问。综上,本院认为三快科技公司在其信息安全管理无漏洞方面举证并不充分,无法证明其已制定了管理制度和操作规程,采取了必要的技术措施来确保其收集的个人信息安全。
一方面,从现有证据看,三快科技公司并未提供充分证据证明涉案信息由其他主体泄露,其提供的商家导出订单报表等证据反而显示在商家处已将旅客手机号码进行了加密处理。另一方面,在因交易必要需将个人信息提供给第三方的情况下,网络运营者作为信息采集方,同样负有采取相应措施保护信息安全的义务。在其提供过程中,至少应做到三点:一是同样遵循合法、正当、必要的原则,将提供信息的范围严格限制在订票所必需的范围内;二是应当采取技术措施确保信息传输过程中的安全,如采用技术手段进行匿名化处理;三是作为交易模式的设计者,三快科技公司应清楚知晓其采集信息的流向、范围及可能有泄露风险的环节。而对于提供信息的个人来说,在其将个人信息提供给网络运营者之后,很难对信息的使用进行有效控制。与个人相比,网络经营者应当也有能力通过完善经营模式或协议安排来分散风险和分担责任。故,本院对三快科技公司主张涉案信息亦可能被航空公司等其他主体泄露的意见不予采信,该项意见亦不构成免责或减责的事由。综上,本院认为三快科技公司未能充分证明其已经尽到了保护涉案信息安全的义务。

三个案件虽然事实与判决结果相似,但法院的说理却各有侧重。“庞理鹏案”的重点在举证责任,法院认为作为普通人的庞理鹏根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。“申瑾案”的重点是法院将《侵权责任法》第三十七条中实体公共场所(宾馆、商场、银行、车站、娱乐场所等公共场所)的安全保障义务扩展到网络空间,进而认为在线提供服务的公司有义务保障旅客信息安全。“付全贵案”中,法院绕开了《侵权责任法》第三十七条能否适用于网络空间的问题,直接援引《网络安全法》作为企业的义务,这当然与新法生效有关。

四、个人信息保护趋势

这三个案件虽然都局限于旅客出行的场景,但仍反映出一个清晰的趋势,即只要用户个人信息泄露,无论厂商合规措施有多完善都可能需要承担责任,当然合规措施的完善程度会与需要承担责任的多寡也会相关。

根据这一逻辑:

  • 个人信息泄露后,如果厂商主张黑客的攻击是个人信息泄露的主要原因,那么法院就会就可以像“付全贵案”中一样认为:“事实证明相关措施并未确保其收集的个人信息安全”;
  • ​如果厂商主张是未被起诉的航空公司或中航信可能泄露个人信息,那么法院就可以认为厂商有义务管控第三方的信息安全保障能力,也可以像原告具有选择权,以及在对外关系上即便是第三方(中航信或航空公司)泄露了旅客的隐私信息,也应由平台或厂商首先承担责任,再去追责。

随着举证责任天平的倾斜,以及《民法典》即将生效。用户在遭遇个人信息泄露后向厂商、平台起诉的案件只会越来越多,甚至消费者协会也会越来越频繁地直接上场起诉,比如江苏消保委在2017年曾就百度App违法处理个人信息发起诉讼,后在百度完成整改后撤回诉讼。面对诉讼的压力,唯愿掌握大量个人信息的企业、航空公司、平台、厂商能够做好自己的信息安全工作,审查好外部第三方,不要让个人信息的泄露成为家常便饭。

新零售的数据合规隐忧:俞延彬诉天猫、淘宝、支付宝、乐友网络侵权责任纠纷案

  • 案件名称:俞延彬与浙江天猫网络有限公司等网络侵权责任纠纷案
  • 法院:北京市海淀区人民法院
  • 案号:(2018)京0108民初13661号
  • 裁判日期:2019年12月10日
  • 原告:俞延彬
  • 被告: 北京乐友达康科技有限公司
  • 被告: 支付宝(中国)网络技术有限公司
  • 被告: 浙江淘宝网络有限公司
  • 被告: 浙江天猫网络有限公司
  • 裁判结果:四被告共同赔偿原告经济损失1元

建立适应融合发展的标准规范、竞争规则,引导实体零售企业逐步提高信息化水平,将线下物流、服务、体验等优势与线上商流、资金流、信息流融合,拓展智能化、网络化的全渠道布局。鼓励线上线下优势企业通过战略合作、交叉持股、并购重组等多种形式整合市场资源,培育线上线下融合发展的新型市场主体。建立社会化、市场化的数据应用机制,鼓励电子商务平台向实体零售企业有条件地开放数据资源,提高资源配置效率和经营决策水平。

——《国务院办公厅关于推动实体零售创新转型的意见》(2016)

一、案件事实

2018年1月31日,俞延彬作为消费者前往作为智慧门店的乐友清河门店购买了商品,使用支付宝进行支付。支付完成后,支付宝在俞延彬未勾选“授权淘宝获取你线下交易信息并展示”的情况下,将俞延彬的购物数据传输至淘宝网与天猫网。俞延彬认为乐友清河门店、支付宝、淘宝、天猫的行为构成侵犯个人信息,故诉至法院。
法院将案件重点交易链条总结为如下交易环节:

  1. 俞延彬通过乐友清河店的支付宝收款码扫码支付商品价款; 
  2. 俞延彬将支付完成页面的“授权淘宝获取你线下交易信息并展示”前面的默认勾选√取消;
  3. 支付宝公司将收款后的用户身份识别代码上传到乐友公司的智慧门店平台;
  4. 智慧门店平台系统自动匹配该支付宝用户同时为淘宝网、天猫网用户;
  5. 淘宝网、天猫网分别将俞延彬在乐友清河店完成的交易信息推送到手机淘宝、手机天猫订单中显示。

我画了张流程图方便理解:

二、勾选行为是什么?

案件的关键在于:用户不勾选同意时,支付宝以何法律依据将用户线下购物产生的个人信息传输给淘宝或天猫?

支付宝公司辩称:

不是通过默认勾选的页面决定是否将信息传递给线下商户,页面应该是起到了一个告知用户的效果,但实际上页面本身的设计是由于没有从后台调取到用户的身份信息,所以它的设计没有传达出应该告知的内容。用户点击取消对勾后,默认为用户已经了解到这条信息,后续的订单信息仍然是通过这种数据传输的方式给了门店,所以后续的订单信息仍然是在手机淘宝中进行展示,没有再继续向用户来传递这条信息。这是一个告知,并不是一个授权。

简而言之,支付宝认为无论用户是否勾选“同意”,支付宝并不在乎,只是向用户打个招呼,即使用户不勾选“同意”支付宝依然认为用户已经同意。

但法院并不赞同这样的观点:

在支付宝支付完成页面有“授权淘宝获取你线下交易信息并展示”字样,从文字表述上来看,该表述显然是“授权”性质的条款,从用户的角度来说,如果将该段表述前的默认勾选√取消,则应当理解为淘宝将不再获取该笔线下交易的信息。但是在俞延彬将该默认勾选√取消后,也就是在俞延彬已经明确拒绝淘宝公司获取其线下交易信息并展示的情况下,在俞延彬完成第二笔交易时却不再出现该“授权”条款,俞延彬的淘宝、天猫订单中随即出现了线下交易的订单。支付宝公司辩称该“授权”条款实则为履行告知义务,但无论从表述上还是从实际交易情况来看,支付宝公司的解释均无法使人信服。

三、共享与同意

智慧门店之所以有智慧,在于线上线下数据的打通,这也是“新零售”的要义所在。通过线上线下数据的联通,实现更为精准的营销,优惠券、广告会更加精准地投放。但问题在于,线上线下的数据传输,会涉及多个法律实体,即使是集团内部不同公司间的数据共享仍然是一种将数据提供给第三方的行为。

案件中,支付宝公司、淘宝公司、天猫公司辩称,原告分别是其用户,各公司已经在其《隐私政策》中对收集、使用及共享个人信息的行为取得了原告的授权。但法院对各家公司的《隐私政策》进行了严格审核,并指出:

  1. 支付宝公司《隐私政策》中明确只有获得同意才会共享用户个人信息。
  2. 淘宝公司和天猫公司《隐私政策》关于“使用其关联公司提供的产品或服务”中并无“支付宝”当面付工具的使用。

进而法院认为三公司未经同意即共享原告个人信息具有主观过错,且网络运营者共享用户个人信息的行为不应概括授权:

如果认为网络运营者仅仅采用概括式的授权即履行了其告知义务,而在具体场景的应用中无需再次取得用户同意,则个人信息相关权益的所有人在进行该种授权时对于其个人信息的使用方式以及使用范围无法明确知晓,可能导致个人信息脱离于用户意志而被不当收集和使用,不利于对个人信息的保护。

法院总结道:

个人信息共享是一个融合了个人信息流动的动态的过程,在此过程中可能对个人信息安全带来一定的威胁,在个人信息共享的过程中个人信息使用者应当明确告知个人信息相关权益的所有人其使用信息的目的、范围,并获得个人信息相关权益的所有人的明确授权,以确认协议、具体场景下的文案确认动作等形式确认征求了用户的同意,并在获得的授权范围内使用该个人信息。乐友公司、支付宝公司、淘宝公司、天猫公司在明知其使用智慧门店中个人信息需要事先获得用户授权的情况下,并未实际取得用户授权,使用了俞延彬的个人信息,该行为侵犯了俞延彬对其个人信息享有的权益,构成共同侵权,依法应当承担相应的侵权责任。

新零售中的数据共享,关键在于保障消费者的知情权、选择权以及公平交易权。《消费者权益保护法》在个人信息保护领域有着不亚于《网络安全法》的重要性,尤其是在面向消费者的业务中,而向消费者告知数据共享的情况即是保障消费者知情权、选择权以及公平交易权的体现。因此,法院认为“原告诉请的知情权、选择权和公平交易权已经包含于俞延彬对其个人信息的支配控制权内涵中”。

四、新零售下设计“同意”

“合法、正当、必要”是我国确立的个人信息处理基本原则。所谓“必要”与“正当”紧密关联,是从个人信息主体,而非处理者的视角进行判断。根据诉讼中披露的《阿里巴巴智慧门店产品服务协议》条款来看,智慧门店设立目的是为现实智慧门店产品服务,支付宝公司将线下门店交易信息传输给淘宝公司,并通过淘宝公司获得用户在线上店处享受的优惠权益,以便线上线下门店实现线下门店引流等目的。法院认为:

该使用目的并非基于用户的“必要”,而是网络公司的商业考量。为用户之必要,则应当在收集、使用个人信息时,其所获取的个人信息应当以满足使用目的为限,不得超出范围收集和使用个人信息。

在新通过的《民法典》第一千零三十五条中,围绕“同意”构建了个人信息处理的规则。

处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。

《民法典》

目前,少有法律、行政法规在“同意”之外开口,比如《身份证法》对查验公民个人信息进行了规定,并不需要同意;《征信业管理条例》将企业的董事、监事、高级管理人员与其履行职务相关的信息排除于个人信息范围之外,也不以同意为使用规则。

只要超出原有处理用户个人信息的范围,就应当重获“同意”。虽然在GDPR下围绕数据处理有若干种合法性基础,同意只是其中之一,但我国的个人信息处理规则目前仍是围绕同意构建。在案件中法院强调再次“个人信息控制者只有在取得用户知情同意的情况下,方可与他人对用户的个人信息进行共享。”此前在新浪微博诉脉脉、淘宝诉美景案中,法院无不以“同意”为原则,构建并强调了“三重授权”规则。

进一步,在新零售的场景下,需要更多元化的“同意”获取方案。在案件中,支付宝、淘宝、天猫主张已在以往服务中获得了原告同意,但法院并不认可,这在某种程度上宣告了“一锤子式同意”方案的终结,“同意”需要传拆在业务场景中,结合纸质文件、员工培训、物联网设备、App等多元因素设计“同意”方案,层层管理用户同意。

无论如何设计“同意”方案,真正的难点在于用户选择“不同意”时该如何操作。在本案中,用户选择同意与否并没有实质区别,因此而导致纠纷。即使是在 《个人信息告知同意指南(征求意见稿)》中,也未对用户选择“不同意”的情形下个人信息控制者该如何处理提供明确指引。期待正式版本的标准能够更加完善。

五、尾声?

在俞延彬就涉案行为投诉后,支付宝公司、淘宝公司、天猫公司即立即查找了存在的问题,停止了侵权行为,未造成损害的扩大。

本案法院一审判决四被告共同赔偿1元,而原告要求赔礼道歉的诉讼请求被法院驳回(不知道被告们是否会上诉)。面对高昂的合规成本,支付宝公司、淘宝公司、天猫公司选择了整改,但或许有更多的企业愿意承担1元钱的不合规的风险吧。

快递企业个人信息滥用的法律责任:邓某某诉顺丰案

  • 案件名称:邓某某与北京顺丰速运有限公司侵权责任纠纷案
  • 裁判法院:北京市第三中级人民法院
  • 案号:(2020)京03民终2049号
  • 裁判日期:2020.03.26
  • 上诉人(原审原告):邓某某
  • 被上诉人(原审被告):北京顺丰速运有限公司
  • 裁判结果:撤销一审判决,顺丰赔偿邓某某财产损失10,000元

一、案件事实

2019年5月6日,社保中心通过顺丰公司的快递业务向邓某某邮寄社保卡,快递单载明:收件人为晋鼎能源公司邓某某,收件人电话。后该快件未妥投。后顺丰公司在未与收件人邓某某联系确认的情况下,根据系统识别结果,直接将收件地址更改为邓某某当时的工作单位嘉永会通公司的办公地址。顺丰公司派送员将该邮件送至嘉永会通公司前台,在邓某某未在场的情况下派送员拆开快件,并将快件交至嘉永会通公司其他工作人员手中。

该快件封皮粘贴了一张提示单,内容为:

社会保障卡专用,禁止私自转址(非常重要),此件为对公业务(非常重要),此件有回单业务(非常重要),派件员注意事项:

1.派件物品为社保卡,此件只对单位负责人不对参保个人。其投递时间为5天,5天内无法投递的请原件务必速退回虎坊路点部(010SA)。

2.签收时,请收件人拆包核对卡数及单位名称,清点无误后,收件人需提供单位公章或者社保登记证复印件或者收件人的身份证复印件,三者取其一即可。并在《回执单》下方签上联系人姓名及电话。

3.必需在回单资料上盖单位公章(若收件地址为居委会社保所,盖业务章即可)若无法盖公章,需将回单资料和社保登记证复印件或收件人身份证复印件一并寄回。

4.签回执单不规范,必投诉。如有疑问拨打:7930/7005注:《回执单》全称为《北京市社会保障卡发行回执单》。

顺丰公司表示快件派送后,未签回执单。

二、法院观点

关于工作地点是否构成隐私:

孤立来看,邓某某的收件地址为其工作单位地址,具有一定范围内的公开性;邓某某在其他单位兼职情况是其不愿为外人知晓且对其现有工作会造成影响的信息,具有一定的隐私性,而上述隐私信息能否不被他人特别是嘉永会通公司知悉或者排除知悉的可能性,与邓某某收取兼职单位邮件的地址和内容紧密相关,故此,在本案中,当邓某某的兼职信息和收件地址信息结合起来时,其便共同构成了邓某某不愿意为外界所知晓的隐私信息。

关于兼职行为是否影响隐私的判断:

对于邓某某违反公司规定而兼职的行为是否影响隐私信息的认定,本院认为,邓某某的行为并未涉及严重违法犯罪的范畴,仅属于其与单位是否发生违约事实的审查范围,故此并不影响上述信息的隐私性认定。

关于顺丰私自拆件的行为:

顺丰公司的投递行为,两个环节至关重要:修改收件地址、拆开邮件。

依照顺丰公司的陈述,依照最初收件地址送达并未成功,此时应当如何处理,《快递暂行条例》第二十六条第一款予以了明确,即“快件无法投递的,经营快递业务的企业应当退回寄件人或者根据寄件人的要求进行处理;属于进出境快件的,经营快递业务的企业应当依法办理海关和检验检疫手续”,然顺丰公司却擅自调取了其系统内存储的邓某某其他地址,进而改变收件地址,随后顺丰公司为完成快递封皮上提示单标明的核对要求,打开了邮件并与嘉永会通公司的人员进行核对,进而导致了邓某某的个人隐私被泄露,据此,本院认为,邓某某的隐私信息泄露与顺丰公司的行为之间具有结果关系。

同时,本院亦认为顺丰公司的行为存在明显过错,具体表现在:其一,除却违反上文所述的邮件无法投递之处理的法律规范之外,顺丰公司在明知收件人电话且快递封皮明确告知“禁止私自转址”的前提下,未经联系、允许,擅自修改收件地址的行为明显不当;其二,擅自修改收件地址并送达后,顺丰公司工作人员在未见到收件人本人的前提下,擅自拆开邮件并与非收件人进行内容核对,行为亦明显不当。

综上,本院认为顺丰公司在投递邮件的过程中泄露了邓某某的个人隐私信息且对此存在明显过错。

责任认定:

本院认为邓某某之劳动合同的解除与其兼职信息的泄露具有一定的结果关系,邓某某因工作机会的暂时丧失而遭受了财产损失。然还应看到,上述后果的产生,与邓某某违反嘉永会通公司的规章制度亦不可分割,邓某某对其因劳动合同解除而遭受的损失也应承担相应的责任,故邓某某以劳动合同正常解除所应得的补偿为基础要求顺丰公司全部赔偿缺乏法律依据。本院综合顺丰公司的过错程度、侵权行为与损害结果的关联程度,确定顺丰公司赔偿邓某某财产损失10000元。现没有证据证明邓某某因此次隐私信息被泄露而遭受明显的精神痛苦,故对其精神损害赔偿的请求,本院不予支持。

三、快递业个人信息保护的特色

快递企业可能是掌握最多个人信息的企业类型之一,基于“快递实名制”的要求快递企业积累的个人信息具有相当的准确性。因此一直都是个人信息泄露的高危行业,各企业个人信息泄露的新闻不胜枚举。且因为快递行业严重依赖人力,在服务终端法律结构复杂,有正式员工、有劳务人员、有加盟网点、也有直营门店、也有个体户,各种类型不一而足。

此外,在很多场景下快递企业很难获取收件人的同意,仅能获取发件人的同意,收件人同意难以获得或只能通过发件人间接获得,也因此存在虚假快递要求收件人到付邮费进行诈骗。

而更重要的,是每一单快递都会积累一次个人信息,这意味着个人信息会重复累积。在本案中,就是因为顺丰利用了历史积累的收件地址,导致泄露用户隐私,进而构成违法。个人信息处理的原则是“合法、正当、必要”,对于必要性通常体现在个人信息的“最小化”处理,通俗言之就是能不收集就不收集。这当然与大数据利用的宗旨背道而驰,但却是保护个人信息安全的最有效方式之一。但对于快递中的个人信息,用户的预期仅是用于本次快递,通常不会期望用于下次订单(当然这个问题要在具体场景下进行讨论与设计),数据的生命周期应尽可能短促,以降低长期存储数据带来的隐忧。