标签归档:隐私

案例研究:冯春华与中国联通一般人格权纠纷案

案件名称:冯春华与中国联合网络通信有限公司昆山市分公司、中国联合网络通信有限公司一般人格权纠纷案

案号:(2020)苏0583民初11684号

审理法院:江苏省昆山市人民法院

裁判结果:一、被告中国联合网络通信有限公司昆山市分公司于本判决生效之日起一个月内就输错号码行为消除影响,并向原告冯春华书面赔礼道歉,上述义务若被告中国联合网络通信有限公司昆山市分公司不履行的,则由被告中国联合网络通信有限公司继续履行。

二、被告中国联合网络通信有限公司昆山市分公司支付原告冯春华损失1000元,于本判决生效之日起十日内履行。被告中国联合网络通信有限公司对被告中国联合网络通信有限公司昆山市分公司不能清偿部分承担补充清偿责任。

人脸识别技术的法律风险与合规思路

1,为什么人脸识别技术在个人信息保护领域更为敏感?

人脸识别技术的敏感性,来自于我们几乎无法对我们的面部信息进行修改。而其他类型的个人信息,比如用户名、电子邮箱、手机号、甚至是姓名我们都可以较为容易地进行变更。如果不考虑《碟中谍》这样的电影,人脸识别技术收集的面部识别信息一旦被收集就可能是永久被收集。

伴随着公众隐私保护意识的觉醒,人脸识别技术的运用正在让越来越多的民众警惕。这种警惕一方面来自于被窥视所带来的不快,而且很多场景下民众并不知道自己的面部特征信息会被如何利用;另一方面也来自于在很多场景下民众除了提供面部特征以外别无选择,不得不将自己的“脸面”无条件奉上。

因此我们看到了有法学院教师发起“人脸识别第一案”起诉强制人脸识别的动物园,也看到了宿豫警方在对宿豫一家健身中心进行网络安全检查时对该健身中心违法采集人脸信息给予警告处罚。

2,我国对人脸识别技术的运用有哪些规定?

即将于2021年元旦生效的《民法典》将个人生物识别信息列为个人信息,面部识别特征就是生物识别信息的典型代表。此外,人脸识别技术还涉及肖像权及隐私权,这两项权利都是与个人信息并列的法益。也就是说,企业在运用人脸识别技术时,不仅需要考虑个人信息保护的问题,还需要考虑肖像权与隐私权保护问题。

目前,我国个人信息、隐私权与肖像权的处理主要以以“同意”为基本原则。在《个人信息保护法》通过后,可能会在个人信息层面增加更多的处理合法性依据,即不依赖同意也可以处理个人信息。但人脸识别技术在隐私权、肖像权仍然无法绕开“同意”。因此,获取“同意”在人脸识别技术的运用中扮演着重要的角色。

在《个人信息保护法(草案)》中,拟规定在公共场所安装图像采集、个人身份识别设备,在目的上应当为维护公共安全所必需,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。在推荐性标准《个人信息安全规范》(GB/T 35273-2020)中,建议:(1)收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;(2)个人生物识别信息应与个人身份信息分开存储;(3)原则上不应存储原始个人生物识别信息(如肖像照片),仅存储算法处理后的摘要信息。此外,在另一部推荐性国家标准《远程人脸识别系统技术要求》(GB/T 38671-2020)中,对人脸识别技术的安全性标准提出了建议。

3,人脸识别技术主要被运用哪些场景?

人脸识别技术通过面部特征实现对不同个人身份的识别,通常用于个人身份的识别、验证,以替代身份证、门卡、用户名密码等身份验证手段。比较常见且容易产生纠纷的人脸识别技术运用场景有以下几种:

门禁系统,主要用于小区、公园、写字楼物业使用人脸识别系统替代传统的IC卡、门禁卡对住户、访客进行身份验证,确保进入限制区域的人员具有相应的权限。在杭州的“人脸识别第一案”中,便是因为野生动物园使用人脸识别替代身份证导致产生纠纷。清华大学劳东燕教授也因为所居住的小区安装人脸识别门禁系统进行维权。

行为分析,商场可能会为了提升商场的运营效率部署人脸识别系统,对消费者在商场内的购物路径、消费情况进行精准统计,并对会员进行精准画像。如杭州某商场人流密集区域部署摄像头进行人脸抓拍,通过智能摄像头识别会员信息,精准统计客流,并通过云端的人脸识别,完成会员身份的确认。在此基础上基于设备识别到的会员数据及第三方系统数据,从多维度分析商圈、门店与顾客画像,让购物中心全面了解客户,实现AI辅助导购进行销售决策。此外,像广告屏也可能使用人脸识别系统,准确判断不同用户对广告屏中广告的表情反馈。

App人脸识别,主要用于各类App的身份验证,比如刷脸支付、上班打卡等场景。相对于其他场景下人脸识别技术的运用,App人脸识别技术的运用会存在更多相关方。比如某公司如果要求员工使用钉钉人脸识别进行打卡签到,那么会涉及员工、用人单位、钉钉的开发者钉钉(中国)信息技术有限公司,以及人脸相关服务北京蚂蚁佐罗科技有限公司等多方主体。数据如何在这些主体中流转、处理会是一个复杂的问题,深究起来会涉及劳动法、个人信息保护等多层次法律关系。

4,人脸识别技术的法律风险是什么?

人脸识别的法律风险一方面来自于“同意”难以有效获得。人脸识别技术的使用者在公众场所往往并不愿意公众知道相关技术的运用,以减少“不必要”的麻烦,更谈不上有效获取个人信息主体的同意。这直接导致通过此等方法采集的面部识别信息若用于商业用途很难具有合法性基础。

人脸识别技术的另一方面风险是运用过程中容易走极端,不提供替代方案。比如在杭州“人脸识别第一案”中,游客购买了一张杭州野生动物世界的年卡,有效期内通过同时验证年卡及指纹方式入园。但在三个月后,动物园方面将人脸识别检票系统引入,拆除了原来的指纹检票闸门,必须进行人脸识别验证年卡才能继续使用,所以被告上法庭。因此,如果经营者未经充分评估,贸然引入人脸识别技术而又没有提供替代方案,可能导致原有协议无法继续履行,或需要收集原约定范围之外的个人信息或数据才能继续履行协议。如果经营者仅以用户不同意收集面部识别特征为由拒绝继续提供服务,则可能违反双方已有的服务协议。

此外,人脸识别技术的精准度有赖于大量数据对算法进行训练。而训练所需要的素材往往很难通过自我积累,需要从外购买获得。而出售、购买面部识别特征数据具有极高的法律风险,有可能触犯刑法,构成侵犯公民个人信息罪。

5,有什么好的方法可以在公共场所获取“同意”?

公共场所是人脸识别技术最难取得“同意”的场景,具体分为“告知”与“同意”两个环节。

在《信息安全技术 个人信息告知同意指南(征求意见稿)》附录D“公共场合场景下的告知同意”中,建议在汽车站、火车站、地铁站、机场、商场等公共场所收集个人信息时,建议个人信息控制者以显著方式向个人信息主体进行展示告知。比如在商场内张贴告知:“本商场安装有人脸识别系统,以便进行客流分析或进行个性化推荐。我们承诺会保护您的人脸等信息安全,详情可向询问台咨询或扫描二维码。”而“同意”则是通过提供不收集个人信息的选择方案实现,例如,设置不成为会员的购买方式;不通过人脸识别的支付方式等。

此外,在欧盟数据保护委员会发布的《关于通过视频设备处理个人数据的指引3/2019》中,推荐使用双层的告知结构,第一层在使用视频处理个人数据公众场合张贴告示,提供简要说明,并通过二维码等渠道提供指向第二层说明的访问途径;第二层进行详细的说明。具体示例如下:

当然,获取“同意”需要在具体的业务场景下根据实际情况进行设计,在法律合规与商业需求中找到平衡。

6,如何应对使用人脸识别技术升级原有服务导致的法律风险?

经营者引入人脸识别这样的新技术,有必要开展个人信息安全影响评估。使用人脸识别技术对原有服务进行升级,可能导致突破原协议的范围,将新的个人信息、肖像权、隐私权引入原本相对简单的法律关系,让原本不必收集的面部识别特征成为必不可少的数据。如果原先协议对新需要的面部特征信息未有覆盖,则可能构成违约。因此,在服务技术升级的同时,需要考虑如果个人不同意提供新的数据,能否继续使用已有服务,确保协议能够在原框架下继续履行。因此《杭州市物业管理条例(修订草案)》拟要求物业不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备,保障业主对共用设施设备的正常使用权。

此外,引入人脸识别技术可能让新的第三方主体加入合同关系。比如当企业决定使用钉钉人脸打卡功能,这意味着钉钉的开发者钉钉(中国)信息技术有限公司,以及人脸相关服务北京蚂蚁佐罗科技有限公司等多方主体会加入法律关系,数据的流转与法律协议将变得复杂。直接的后果是当个人要求行使如查阅、修正、删除、合同解除等权利时,需要各方主体同步响应,这会对企业间个人信息保护能力的协同提出更高的要求。

7,如果需要购买数据训练人脸识别技术,有哪些合规措施可以采取?

数据购买具有极高的法律风险。购买面部识别信息时,有必要对供应商数据的数据来源进行严格审核,对自然人向供应商提供的授权文件进行逐一审核或抽查,确保授权文件真实有效。

此外,购买面部识别信息可以参考其他领域数据购买的合规方案。在北京慧辰资道资讯股份有限公司(“慧辰资讯”)2020年6月首次公开发行股票所提交的法律意见书中,详细介绍了慧辰资讯购买数据的合法性基础与相应的内控措施。慧辰资讯所采集的数据,主要为消费者态度数据。慧辰资讯通过《个人信息授权书》的方式,获取被采集者的同意。慧辰资讯向数据供应商购买数据的,会要求供应商确保在采集过程就授权第三方使用相关数据取得个人信息主体出具的明确授权文件。慧辰资讯还通过供应商管理制度,对数据供应商的资质、合规性、重点数据进行供应商核查,并通过数据处理协议、合规经营承诺函的形式对数据供应商进行管理。

8,除了获取同意,还有哪些措施可以采取?

在推荐性标准《个人信息安全规范》(GB/T 35273-2020)中,建议:原则上不应存储原始个人生物识别信息(如肖像照片),仅存储算法处理后的摘要信息。即根据“最小化”的个人信息保护原则,缩短面部识别特征的生命周期,通过减少数据的收集达到降低人脸识别技术的法律风险的目的。

在法国数据保护机构CNIL发布的题为《机场的面部识别:有哪些挑战和需要遵循的主要原则?》报告中,在技术措施领域要求:(1)只有在相关乘客做出动作后,才会启动面部识别摄像头;(2)通过技术配置,模糊背景中其他乘客的脸;(3)通过面部识别区分控制区和传统控制区的广告牌和地面标记。

这些技术措施和规划要求企业在使用人脸识别技术伊始就考虑个人信息等权益的保护问题,通过默认设计保护个人信息等权益。

9,随着人脸识别技术的发展,我们应该前瞻性地关注哪些问题?

在2020年9月美国斯坦福大学计算机系教授李飞飞联合斯坦福医学院教授阿诺·米尔斯坦等科研人员在《自然》发表了题为《利用环境智能照亮医疗的黑暗空间》的论文中,强调了环境智能技术的潜力。环境智能,即通过机器学习和非接触式传感器能够对人类存在做出敏感反应和反馈的电子空间。而人脸识别技术是环境智能的重要组成部分。

环境智能技术除了运用摄像头,还会综合运用深度传感器、温度传感器、无线传感器、声音传感器等设备。环境智能可以运用于重症监护、临床护理、甚至是老年人独立生活。因为环境智能的本质是全面监控,收集数据的深度与广度都远超人脸识别技术,所以环境智能技术必须更加注重隐私和数据安全性设计。

人脸识别技术、环境智能技术、自动驾驶等技术近年来高速发展,背后是对海量数据的收集与处理。这些数据的处理深刻地影响着每个人与技术的关系。我们在享受技术进步带来便利的同时,需要关注新技术对个人信息、隐私、肖像的保护予以警觉;经营者在享受技术进步带来利润的同时,需要关注如何降低自己处理数据的法律风险。

航班隐私泄露的“三连”司法案例

一、正在扭转的趋势

航班信息泄露是大量旅客都经历过的事情。旅客在购买机票后莫名收到短信说之前预订的航班被取消,并告知旅客退款需要银行账号和密码。有大量旅客因此浪费时间查询航班是否真实取消,甚至会损失钱财,而这背后的罪魁祸首就是旅客购票的信息泄露。

长期以来,旅客在案件中处于不利地位,因为旅客无法证明平台或航空公司的信息安全措施存在过错,实际是难以尽到举证责任。比如在“朱盈盈与北京趣拿信息技术有限公司合同纠纷案”((2017)陕0112民初1252号)中,法院认为:

当事人对自己提出的诉讼请求所依据的事实或反驳对方诉讼请求所依据的事实,应当提供证据加以证明,没有证据或者证据不足以证明当事人主张的,由负有举证责任的当事人承担不利后果。本案的争议焦点为是否被告对原告个人信息泄露负有违约责任。原告通过被告的网站进行购票,双方形成委托关系。但原告提供的证据不能证明被告系掌握原告个人信息的唯一主体,亦不能证明原告个人信息由被告泄露。同时,本案被告在原告购票成功后,及时发送短信对原告进行了必要的提醒和告知义务。原告的损失系第三人实施诈骗的直接后果,原告作为完全民事行为能力人,自身负有必要的安全注意义务。故对原告主张被告赔偿损失的诉讼请求,证据不足,本院不予支持。

这也只是云云案件中的一例,在其他领域用户个人信息泄露以后通过诉讼维权同样会面临无法举证的高墙,因此用户屡屡败诉。个人信息泄露问题自然也无法引起占据优势地位的企业的重视。但是,从“庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案”开始,法院突破性地将举证责任给予占据优势地位的企业,进而让消费者/用户/旅客有可能胜诉。该案件在2018年被最高院列为“第一批涉互联网典型案例”,并在2019年12月乌镇的“世界互联网法治论坛”再次被最高院选为“中国互联网司法典型案例”。

也正是由“庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案”开始,旅客在越来越多案件中能够在一定程度上挽回损失。以下选择了包括庞理鹏案在内的三个案件,涉及去哪儿网、东方航空、携程、支付宝、美团这些大家耳熟能详的企业。

二、认定的事实

庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案:

2014年10月11日,庞理鹏委托鲁超通过去哪儿网平台(http://www.qunar.com)订购了东航机票1张,所选机票代理商为长沙星旅票务代理公司(以下简称星旅公司)。去哪儿网订单详情页面显示该订单登记的乘机人信息为庞理鹏姓名及身份证号,联系人信息、报销信息均为鲁超及其尾号**58的手机号。2014年10月13日,庞理鹏尾号**49手机号收到来源不明号码发来短信称由于机械故障,其所预订航班已经取消。该号码来源不明,且未向鲁超发送类似短信。鲁超拨打东航客服电话进行核实,客服人员确认该次航班正常,并提示庞理鹏收到的短信应属诈骗短信。2014年10月14日,东航客服电话向庞理鹏手机号码发送通知短信,告知该航班时刻调整。当晚19:43,鲁超再次拨打东航客服电话确认航班时刻,被告知该航班已取消。

申瑾与上海携程商务有限公司、支付宝(中国)网络技术有限公司等侵权责任纠纷案:

申瑾通过携程公司手机APP平台订购机票,因订购机票行为而产生的出行人姓名、航班日期、起落地点、航班号、航空公司信息、订票预留手机号信息被整体泄露,诈骗分子根据泄露的信息内容发送诈骗短信,引导申瑾使用支付宝亲密付功能消费及工商银行网上银行转账,最终导致申瑾银行卡内个人财产受损。

付全贵与北京三快信息科技有限公司等网络侵权责任纠纷案:

原告受单位指派乘飞机从张家口到上海出差。原告委托同事梁某从美团手机客户端应用程序订购了东方航空公司的航班。后梁某收到诈骗短信。梁某看到航班消息与原告预订机票信息完全吻合,将短信内容转发原告。原告看到短信后非常着急,因第二天已跟上海客户约好商谈合同,航班突然取消让其不知所措,便拨打了短信里的固定电话。对方冒充东方航空公司工作人员,让原告提供了身份证号、手机号、银行卡等信息,并告知该预订航班确实因起落架故障取消,建议原告退票或改签,且称未防止客户收到退票款后不认账,需要知道其银行卡余额。原告按照其指导操作退票手续,却被诈骗22400元。

三个案件的事实基本雷同,属于同一套路,都是收到航班取消的短信,只是庞理鹏并未因此遭受更大的损失。

三、法院观点

庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案:

庞理鹏被泄露的信息包括姓名、尾号**49手机号、行程安排等,其行程安排无疑属于私人活动信息,应该属于隐私信息,可以通过本案的隐私权纠纷主张救济。从收集证据的资金、技术等成本上看,作为普通人的庞理鹏根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此,客观上,法律不能也不应要求庞理鹏证明必定是东航或趣拿公司泄露了其隐私信息。东航和趣拿公司均未证明涉案信息泄漏归因于他人,或黑客攻击,抑或是庞理鹏本人。法院在排除其他泄露隐私信息可能性的前提下,结合本案证据认定上述两公司存在过错。东航和趣拿公司作为各自行业的知名企业,一方面因其经营性质掌握了大量的个人信息,另一方面亦有相应的能力保护好消费者的个人信息免受泄露,这既是其社会责任,也是其应尽的法律义务。本案泄露事件的发生,是由于航空公司、网络购票平台疏于防范导致的结果,因而可以认定其具有过错,应承担侵权责任。(来自最高院对该案重要意义的阐述)

申瑾与上海携程商务有限公司、支付宝(中国)网络技术有限公司等侵权责任纠纷案:

应当指出,在公司利用个人信息进行经营活动产生的纠纷中,个人相对于具有一定数据垄断地位的公司实体在证据搜集和举证能力上处于弱势地位。因此,应顾及双方当事人之间实质公平正义进行举证责任的分配。本案中,申瑾已举证证明其将个人信息提供给携程公司,后在较短时间内发生信息泄露,已完成相应合理的举证义务。携程公司应就其对申瑾的个人信息泄露无故意或过失之事实负举证责任。现携程公司的举证为两方面,即其在信息安全管理上无漏洞,以及个人信息存在被其他主体泄露的可能性。但从现有证据看,携程公司在信息安全管理的落实方面存在漏洞,未尽到对个人信息负有的信息保管及防止泄露义务,具有过错。至于其他主体获得个人信息问题,涉案信息的传递是因携程公司出于经营需要而发生,携程公司主张其他主体泄露信息,依法应由其进行举证。现携程公司仅提出理论上存在其他主体泄露的可能性而未完成举证。故综合来看,申瑾对于个人信息泄露已完成举证,携程公司提出的主张及举证不充分。综上,携程公司在信息安全管理的落实方面存在漏洞,未尽到对个人信息负有的信息保管及防止泄露义务,具有过错,应承担侵权责任。
《侵权责任法》第三十七条有关安全保障义务的规范价值取向,在于公共秩序与公共安全的维护。网络空间是否存在公共性,是我们理解适用该法律条文时的关键问题。网络空间的运行和信息交互活动,与现实场景下的社会性场所、群众性活动有行为模式的相似之处。物理世界中,先存在着一个公共空间,而后产生聚合的公共行为;而网络空间的虚拟性打破了传统的模式,先有人与人之间的互动,而后形成了一个虚拟的公共空间,虚拟性成就了网络空间所特有的公共性。网络服务提供者具备开启、参与社会交往服务及给他人权益带来潜在危险两项特征,因此虚拟数字世界中的网络服务提供者与现实世界中的安全保障义务主体一样,应对针对其服务用户发生的侵权负有排除义务,并对未来的妨害负有审查和控制义务。本院认为,该义务的法理基础与《侵权责任法》第三十七条所确立的安全保障义务系属同源,法理体系一脉相承。

付全贵与北京三快信息科技有限公司等网络侵权责任纠纷案:

三快科技公司主张其在信息安全管理上不存在漏洞。虽然其提供的证据可以证明其采取了一定的安全保护措施,如将可识别的信息去标识化处理,对用户姓名、手机号和证件信息都进行了部分隐藏,相关信息的管理需要经过授权许可等,但对其内部安全管理制度和操作规程、具体访问涉案信息的授权规则、授权人员范围、监控情况等,三快科技公司均未清楚、准确地予以说明。特别引起本院注意的是,三快科技公司所称系统自动发送的风险提示短信包含有完整的涉案信息,在其系统平台上所保存的记录亦未进行去标识化处理,该短信在发送之后相关记录会留存在美团平台的数据库中,可以再次访问。综上,本院认为三快科技公司在其信息安全管理无漏洞方面举证并不充分,无法证明其已制定了管理制度和操作规程,采取了必要的技术措施来确保其收集的个人信息安全。
一方面,从现有证据看,三快科技公司并未提供充分证据证明涉案信息由其他主体泄露,其提供的商家导出订单报表等证据反而显示在商家处已将旅客手机号码进行了加密处理。另一方面,在因交易必要需将个人信息提供给第三方的情况下,网络运营者作为信息采集方,同样负有采取相应措施保护信息安全的义务。在其提供过程中,至少应做到三点:一是同样遵循合法、正当、必要的原则,将提供信息的范围严格限制在订票所必需的范围内;二是应当采取技术措施确保信息传输过程中的安全,如采用技术手段进行匿名化处理;三是作为交易模式的设计者,三快科技公司应清楚知晓其采集信息的流向、范围及可能有泄露风险的环节。而对于提供信息的个人来说,在其将个人信息提供给网络运营者之后,很难对信息的使用进行有效控制。与个人相比,网络经营者应当也有能力通过完善经营模式或协议安排来分散风险和分担责任。故,本院对三快科技公司主张涉案信息亦可能被航空公司等其他主体泄露的意见不予采信,该项意见亦不构成免责或减责的事由。综上,本院认为三快科技公司未能充分证明其已经尽到了保护涉案信息安全的义务。

三个案件虽然事实与判决结果相似,但法院的说理却各有侧重。“庞理鹏案”的重点在举证责任,法院认为作为普通人的庞理鹏根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。“申瑾案”的重点是法院将《侵权责任法》第三十七条中实体公共场所(宾馆、商场、银行、车站、娱乐场所等公共场所)的安全保障义务扩展到网络空间,进而认为在线提供服务的公司有义务保障旅客信息安全。“付全贵案”中,法院绕开了《侵权责任法》第三十七条能否适用于网络空间的问题,直接援引《网络安全法》作为企业的义务,这当然与新法生效有关。

四、个人信息保护趋势

这三个案件虽然都局限于旅客出行的场景,但仍反映出一个清晰的趋势,即只要用户个人信息泄露,无论厂商合规措施有多完善都可能需要承担责任,当然合规措施的完善程度会与需要承担责任的多寡也会相关。

根据这一逻辑:

  • 个人信息泄露后,如果厂商主张黑客的攻击是个人信息泄露的主要原因,那么法院就会就可以像“付全贵案”中一样认为:“事实证明相关措施并未确保其收集的个人信息安全”;
  • ​如果厂商主张是未被起诉的航空公司或中航信可能泄露个人信息,那么法院就可以认为厂商有义务管控第三方的信息安全保障能力,也可以像原告具有选择权,以及在对外关系上即便是第三方(中航信或航空公司)泄露了旅客的隐私信息,也应由平台或厂商首先承担责任,再去追责。

随着举证责任天平的倾斜,以及《民法典》即将生效。用户在遭遇个人信息泄露后向厂商、平台起诉的案件只会越来越多,甚至消费者协会也会越来越频繁地直接上场起诉,比如江苏消保委在2017年曾就百度App违法处理个人信息发起诉讼,后在百度完成整改后撤回诉讼。面对诉讼的压力,唯愿掌握大量个人信息的企业、航空公司、平台、厂商能够做好自己的信息安全工作,审查好外部第三方,不要让个人信息的泄露成为家常便饭。

法考引发的隐私之争:王庆辉诉青岛天一精英人才培训学校侵犯隐私权纠纷案

  • 案件名称:王庆辉诉青岛天一精英人才培训学校侵犯隐私权纠纷案
  • 裁判法院:山东省青岛市中级人民法院
  • 案号:(2019)鲁02民终7482号
  • 上诉人(原审被告):青岛天一精英人才培训学校(“培训学校”)
  • 被上诉人(原审原告):王庆辉
  • 裁判结果:撤销一审判决,驳回原告诉讼请求

一、案件事实

2018年法考成绩发布后,培训学校要求所有学员查出成绩后自愿报给培训学校后上报给烟台市公安局。王庆辉通过微信上报成绩。

后培训学校公众号发布推送《重磅!天一教育法考烟台考点创造98.3%的通过奇迹!》,其中显示天一烟台教学点过关名单中包含王庆辉的成绩。王庆辉认为该推送构成侵犯自己的隐私权。

一审法院认为培训学校的推送侵犯王庆辉隐私权。

二、二审法院观点

隐私权是指自然人享有的对其个人的、与公共利益无关的个人信息、私人活动和私有领域进行支配的人格权。随着信息化的发展,隐私权保护的范围除包括个人的生活私密领域,也包括个人信息自主。本案中,天一学校通过互联网发布的天一烟台教学点过关名单中包含王庆辉的名字及考试成绩,王庆辉认为该行为侵犯了其隐私权。本院认为,首先,由于个人观念的不同,隐私的定义具有一定主观性,但法律意义上隐私范围的界定应当具备一定客观性标准,并根据案件具体情况进行分析。

一般而言,自然人的基因信息、证件信息、联络方式、财务情况、婚姻状况、健康状况、医疗信息、犯罪记录等可以识别该个人的资料应当属于隐私权保护的个人信息。姓名、考试成绩均非私生活中绝对自我空间的范畴,不属于隐私的范围。此外天一学校发布的“115,王庆辉,男,90,91,181”的信息内容仅涉及王庆辉姓名和成绩,并未涉及其他私人信息,该过关学员名单面向社会不特定公众发布,社会公众并不必然能凭此条信息与王庆辉本人建立特定联系,故不构成法律概念上的特指,不具备识别性。

其次,侵犯隐私权承担的是一般侵权责任,适用过错责任原则,应当由权利主张一方举证证明存在加害行为、损害结果、因果关系、行为人具有过错。天一学校通过互联网发布“重磅!天一教育法考烟台考点创造98.3%的通过奇迹!”的行为旨在宣传该学校通过率,其中包含的“115,王庆辉,男,90,91,181”的信息内容并未逾越此目的的必要范围,不具有侵犯王庆辉隐私权的故意或过失,主观上无过错。故天一学校不具备隐私权侵权的构成要件,不构成对王庆辉隐私权的侵犯。

新零售的数据合规隐忧:俞延彬诉天猫、淘宝、支付宝、乐友网络侵权责任纠纷案

  • 案件名称:俞延彬与浙江天猫网络有限公司等网络侵权责任纠纷案
  • 法院:北京市海淀区人民法院
  • 案号:(2018)京0108民初13661号
  • 裁判日期:2019年12月10日
  • 原告:俞延彬
  • 被告: 北京乐友达康科技有限公司
  • 被告: 支付宝(中国)网络技术有限公司
  • 被告: 浙江淘宝网络有限公司
  • 被告: 浙江天猫网络有限公司
  • 裁判结果:四被告共同赔偿原告经济损失1元

建立适应融合发展的标准规范、竞争规则,引导实体零售企业逐步提高信息化水平,将线下物流、服务、体验等优势与线上商流、资金流、信息流融合,拓展智能化、网络化的全渠道布局。鼓励线上线下优势企业通过战略合作、交叉持股、并购重组等多种形式整合市场资源,培育线上线下融合发展的新型市场主体。建立社会化、市场化的数据应用机制,鼓励电子商务平台向实体零售企业有条件地开放数据资源,提高资源配置效率和经营决策水平。

——《国务院办公厅关于推动实体零售创新转型的意见》(2016)

一、案件事实

2018年1月31日,俞延彬作为消费者前往作为智慧门店的乐友清河门店购买了商品,使用支付宝进行支付。支付完成后,支付宝在俞延彬未勾选“授权淘宝获取你线下交易信息并展示”的情况下,将俞延彬的购物数据传输至淘宝网与天猫网。俞延彬认为乐友清河门店、支付宝、淘宝、天猫的行为构成侵犯个人信息,故诉至法院。
法院将案件重点交易链条总结为如下交易环节:

  1. 俞延彬通过乐友清河店的支付宝收款码扫码支付商品价款; 
  2. 俞延彬将支付完成页面的“授权淘宝获取你线下交易信息并展示”前面的默认勾选√取消;
  3. 支付宝公司将收款后的用户身份识别代码上传到乐友公司的智慧门店平台;
  4. 智慧门店平台系统自动匹配该支付宝用户同时为淘宝网、天猫网用户;
  5. 淘宝网、天猫网分别将俞延彬在乐友清河店完成的交易信息推送到手机淘宝、手机天猫订单中显示。

我画了张流程图方便理解:

二、勾选行为是什么?

案件的关键在于:用户不勾选同意时,支付宝以何法律依据将用户线下购物产生的个人信息传输给淘宝或天猫?

支付宝公司辩称:

不是通过默认勾选的页面决定是否将信息传递给线下商户,页面应该是起到了一个告知用户的效果,但实际上页面本身的设计是由于没有从后台调取到用户的身份信息,所以它的设计没有传达出应该告知的内容。用户点击取消对勾后,默认为用户已经了解到这条信息,后续的订单信息仍然是通过这种数据传输的方式给了门店,所以后续的订单信息仍然是在手机淘宝中进行展示,没有再继续向用户来传递这条信息。这是一个告知,并不是一个授权。

简而言之,支付宝认为无论用户是否勾选“同意”,支付宝并不在乎,只是向用户打个招呼,即使用户不勾选“同意”支付宝依然认为用户已经同意。

但法院并不赞同这样的观点:

在支付宝支付完成页面有“授权淘宝获取你线下交易信息并展示”字样,从文字表述上来看,该表述显然是“授权”性质的条款,从用户的角度来说,如果将该段表述前的默认勾选√取消,则应当理解为淘宝将不再获取该笔线下交易的信息。但是在俞延彬将该默认勾选√取消后,也就是在俞延彬已经明确拒绝淘宝公司获取其线下交易信息并展示的情况下,在俞延彬完成第二笔交易时却不再出现该“授权”条款,俞延彬的淘宝、天猫订单中随即出现了线下交易的订单。支付宝公司辩称该“授权”条款实则为履行告知义务,但无论从表述上还是从实际交易情况来看,支付宝公司的解释均无法使人信服。

三、共享与同意

智慧门店之所以有智慧,在于线上线下数据的打通,这也是“新零售”的要义所在。通过线上线下数据的联通,实现更为精准的营销,优惠券、广告会更加精准地投放。但问题在于,线上线下的数据传输,会涉及多个法律实体,即使是集团内部不同公司间的数据共享仍然是一种将数据提供给第三方的行为。

案件中,支付宝公司、淘宝公司、天猫公司辩称,原告分别是其用户,各公司已经在其《隐私政策》中对收集、使用及共享个人信息的行为取得了原告的授权。但法院对各家公司的《隐私政策》进行了严格审核,并指出:

  1. 支付宝公司《隐私政策》中明确只有获得同意才会共享用户个人信息。
  2. 淘宝公司和天猫公司《隐私政策》关于“使用其关联公司提供的产品或服务”中并无“支付宝”当面付工具的使用。

进而法院认为三公司未经同意即共享原告个人信息具有主观过错,且网络运营者共享用户个人信息的行为不应概括授权:

如果认为网络运营者仅仅采用概括式的授权即履行了其告知义务,而在具体场景的应用中无需再次取得用户同意,则个人信息相关权益的所有人在进行该种授权时对于其个人信息的使用方式以及使用范围无法明确知晓,可能导致个人信息脱离于用户意志而被不当收集和使用,不利于对个人信息的保护。

法院总结道:

个人信息共享是一个融合了个人信息流动的动态的过程,在此过程中可能对个人信息安全带来一定的威胁,在个人信息共享的过程中个人信息使用者应当明确告知个人信息相关权益的所有人其使用信息的目的、范围,并获得个人信息相关权益的所有人的明确授权,以确认协议、具体场景下的文案确认动作等形式确认征求了用户的同意,并在获得的授权范围内使用该个人信息。乐友公司、支付宝公司、淘宝公司、天猫公司在明知其使用智慧门店中个人信息需要事先获得用户授权的情况下,并未实际取得用户授权,使用了俞延彬的个人信息,该行为侵犯了俞延彬对其个人信息享有的权益,构成共同侵权,依法应当承担相应的侵权责任。

新零售中的数据共享,关键在于保障消费者的知情权、选择权以及公平交易权。《消费者权益保护法》在个人信息保护领域有着不亚于《网络安全法》的重要性,尤其是在面向消费者的业务中,而向消费者告知数据共享的情况即是保障消费者知情权、选择权以及公平交易权的体现。因此,法院认为“原告诉请的知情权、选择权和公平交易权已经包含于俞延彬对其个人信息的支配控制权内涵中”。

四、新零售下设计“同意”

“合法、正当、必要”是我国确立的个人信息处理基本原则。所谓“必要”与“正当”紧密关联,是从个人信息主体,而非处理者的视角进行判断。根据诉讼中披露的《阿里巴巴智慧门店产品服务协议》条款来看,智慧门店设立目的是为现实智慧门店产品服务,支付宝公司将线下门店交易信息传输给淘宝公司,并通过淘宝公司获得用户在线上店处享受的优惠权益,以便线上线下门店实现线下门店引流等目的。法院认为:

该使用目的并非基于用户的“必要”,而是网络公司的商业考量。为用户之必要,则应当在收集、使用个人信息时,其所获取的个人信息应当以满足使用目的为限,不得超出范围收集和使用个人信息。

在新通过的《民法典》第一千零三十五条中,围绕“同意”构建了个人信息处理的规则。

处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。

《民法典》

目前,少有法律、行政法规在“同意”之外开口,比如《身份证法》对查验公民个人信息进行了规定,并不需要同意;《征信业管理条例》将企业的董事、监事、高级管理人员与其履行职务相关的信息排除于个人信息范围之外,也不以同意为使用规则。

只要超出原有处理用户个人信息的范围,就应当重获“同意”。虽然在GDPR下围绕数据处理有若干种合法性基础,同意只是其中之一,但我国的个人信息处理规则目前仍是围绕同意构建。在案件中法院强调再次“个人信息控制者只有在取得用户知情同意的情况下,方可与他人对用户的个人信息进行共享。”此前在新浪微博诉脉脉、淘宝诉美景案中,法院无不以“同意”为原则,构建并强调了“三重授权”规则。

进一步,在新零售的场景下,需要更多元化的“同意”获取方案。在案件中,支付宝、淘宝、天猫主张已在以往服务中获得了原告同意,但法院并不认可,这在某种程度上宣告了“一锤子式同意”方案的终结,“同意”需要传拆在业务场景中,结合纸质文件、员工培训、物联网设备、App等多元因素设计“同意”方案,层层管理用户同意。

无论如何设计“同意”方案,真正的难点在于用户选择“不同意”时该如何操作。在本案中,用户选择同意与否并没有实质区别,因此而导致纠纷。即使是在 《个人信息告知同意指南(征求意见稿)》中,也未对用户选择“不同意”的情形下个人信息控制者该如何处理提供明确指引。期待正式版本的标准能够更加完善。

五、尾声?

在俞延彬就涉案行为投诉后,支付宝公司、淘宝公司、天猫公司即立即查找了存在的问题,停止了侵权行为,未造成损害的扩大。

本案法院一审判决四被告共同赔偿1元,而原告要求赔礼道歉的诉讼请求被法院驳回(不知道被告们是否会上诉)。面对高昂的合规成本,支付宝公司、淘宝公司、天猫公司选择了整改,但或许有更多的企业愿意承担1元钱的不合规的风险吧。

快递企业个人信息滥用的法律责任:邓某某诉顺丰案

  • 案件名称:邓某某与北京顺丰速运有限公司侵权责任纠纷案
  • 裁判法院:北京市第三中级人民法院
  • 案号:(2020)京03民终2049号
  • 裁判日期:2020.03.26
  • 上诉人(原审原告):邓某某
  • 被上诉人(原审被告):北京顺丰速运有限公司
  • 裁判结果:撤销一审判决,顺丰赔偿邓某某财产损失10,000元

一、案件事实

2019年5月6日,社保中心通过顺丰公司的快递业务向邓某某邮寄社保卡,快递单载明:收件人为晋鼎能源公司邓某某,收件人电话。后该快件未妥投。后顺丰公司在未与收件人邓某某联系确认的情况下,根据系统识别结果,直接将收件地址更改为邓某某当时的工作单位嘉永会通公司的办公地址。顺丰公司派送员将该邮件送至嘉永会通公司前台,在邓某某未在场的情况下派送员拆开快件,并将快件交至嘉永会通公司其他工作人员手中。

该快件封皮粘贴了一张提示单,内容为:

社会保障卡专用,禁止私自转址(非常重要),此件为对公业务(非常重要),此件有回单业务(非常重要),派件员注意事项:

1.派件物品为社保卡,此件只对单位负责人不对参保个人。其投递时间为5天,5天内无法投递的请原件务必速退回虎坊路点部(010SA)。

2.签收时,请收件人拆包核对卡数及单位名称,清点无误后,收件人需提供单位公章或者社保登记证复印件或者收件人的身份证复印件,三者取其一即可。并在《回执单》下方签上联系人姓名及电话。

3.必需在回单资料上盖单位公章(若收件地址为居委会社保所,盖业务章即可)若无法盖公章,需将回单资料和社保登记证复印件或收件人身份证复印件一并寄回。

4.签回执单不规范,必投诉。如有疑问拨打:7930/7005注:《回执单》全称为《北京市社会保障卡发行回执单》。

顺丰公司表示快件派送后,未签回执单。

二、法院观点

关于工作地点是否构成隐私:

孤立来看,邓某某的收件地址为其工作单位地址,具有一定范围内的公开性;邓某某在其他单位兼职情况是其不愿为外人知晓且对其现有工作会造成影响的信息,具有一定的隐私性,而上述隐私信息能否不被他人特别是嘉永会通公司知悉或者排除知悉的可能性,与邓某某收取兼职单位邮件的地址和内容紧密相关,故此,在本案中,当邓某某的兼职信息和收件地址信息结合起来时,其便共同构成了邓某某不愿意为外界所知晓的隐私信息。

关于兼职行为是否影响隐私的判断:

对于邓某某违反公司规定而兼职的行为是否影响隐私信息的认定,本院认为,邓某某的行为并未涉及严重违法犯罪的范畴,仅属于其与单位是否发生违约事实的审查范围,故此并不影响上述信息的隐私性认定。

关于顺丰私自拆件的行为:

顺丰公司的投递行为,两个环节至关重要:修改收件地址、拆开邮件。

依照顺丰公司的陈述,依照最初收件地址送达并未成功,此时应当如何处理,《快递暂行条例》第二十六条第一款予以了明确,即“快件无法投递的,经营快递业务的企业应当退回寄件人或者根据寄件人的要求进行处理;属于进出境快件的,经营快递业务的企业应当依法办理海关和检验检疫手续”,然顺丰公司却擅自调取了其系统内存储的邓某某其他地址,进而改变收件地址,随后顺丰公司为完成快递封皮上提示单标明的核对要求,打开了邮件并与嘉永会通公司的人员进行核对,进而导致了邓某某的个人隐私被泄露,据此,本院认为,邓某某的隐私信息泄露与顺丰公司的行为之间具有结果关系。

同时,本院亦认为顺丰公司的行为存在明显过错,具体表现在:其一,除却违反上文所述的邮件无法投递之处理的法律规范之外,顺丰公司在明知收件人电话且快递封皮明确告知“禁止私自转址”的前提下,未经联系、允许,擅自修改收件地址的行为明显不当;其二,擅自修改收件地址并送达后,顺丰公司工作人员在未见到收件人本人的前提下,擅自拆开邮件并与非收件人进行内容核对,行为亦明显不当。

综上,本院认为顺丰公司在投递邮件的过程中泄露了邓某某的个人隐私信息且对此存在明显过错。

责任认定:

本院认为邓某某之劳动合同的解除与其兼职信息的泄露具有一定的结果关系,邓某某因工作机会的暂时丧失而遭受了财产损失。然还应看到,上述后果的产生,与邓某某违反嘉永会通公司的规章制度亦不可分割,邓某某对其因劳动合同解除而遭受的损失也应承担相应的责任,故邓某某以劳动合同正常解除所应得的补偿为基础要求顺丰公司全部赔偿缺乏法律依据。本院综合顺丰公司的过错程度、侵权行为与损害结果的关联程度,确定顺丰公司赔偿邓某某财产损失10000元。现没有证据证明邓某某因此次隐私信息被泄露而遭受明显的精神痛苦,故对其精神损害赔偿的请求,本院不予支持。

三、快递业个人信息保护的特色

快递企业可能是掌握最多个人信息的企业类型之一,基于“快递实名制”的要求快递企业积累的个人信息具有相当的准确性。因此一直都是个人信息泄露的高危行业,各企业个人信息泄露的新闻不胜枚举。且因为快递行业严重依赖人力,在服务终端法律结构复杂,有正式员工、有劳务人员、有加盟网点、也有直营门店、也有个体户,各种类型不一而足。

此外,在很多场景下快递企业很难获取收件人的同意,仅能获取发件人的同意,收件人同意难以获得或只能通过发件人间接获得,也因此存在虚假快递要求收件人到付邮费进行诈骗。

而更重要的,是每一单快递都会积累一次个人信息,这意味着个人信息会重复累积。在本案中,就是因为顺丰利用了历史积累的收件地址,导致泄露用户隐私,进而构成违法。个人信息处理的原则是“合法、正当、必要”,对于必要性通常体现在个人信息的“最小化”处理,通俗言之就是能不收集就不收集。这当然与大数据利用的宗旨背道而驰,但却是保护个人信息安全的最有效方式之一。但对于快递中的个人信息,用户的预期仅是用于本次快递,通常不会期望用于下次订单(当然这个问题要在具体场景下进行讨论与设计),数据的生命周期应尽可能短促,以降低长期存储数据带来的隐忧。

逃离“告知-同意”:《个人信息去标识化指南》笔记

一、“告知-同意”以外

网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

——《网络安全法》第四十二条第一款

我国个人信息保护规则围绕着“告知-同意”原则构建,无论是收集、使用几乎都需要向个人信息主体告知并获得同意。征求意见中的《信息安全技术 个人信息告知同意指南(征求意见稿)》就是对“告知-同意”的详尽路线图。但无论怎样设计“告知-同意”都是一条充满荆棘的路途,而在这条路途以外,去标识化就成为值得探索的荒原。

《信息安全规范 个人信息去标识化指南》(GB/T 37964-2019)(“《个人信息去标识化指南》”)是个人信息领域最为重要的国家标准之一,是“告知-同意”以外,个人信息收集、处理的另一条进路。在杨合庆主编的《中华人民共和国网络安全法解读》中,将个人信息去匿名化的重任,交给了国家标准:“对个人信息匿名化处理的具体规则和技术要求等,本条未作具体规定,应当遵守有关标准和技术规范要求。”

匿名化处理的本质在于将个人信息处理为非个人信息,让匿名化处理后的个人信息不再具有人格属性,从而无需再遵守关于个人信息保护的规定。去标识化虽然不完全等同于匿名化,但却是现阶段退而求其次的选择,可以有效帮助企业降低收集、处理个人信息的合规风险,控制个人信息泄露的危害。

继续阅读

看脸时代的隐私难题与出路

一、不会“脸盲”的时代

这是一个对“脸盲”不友好的时代,人际交往中我们未必会记得某人的姓名,但却总对面孔印象深刻。“看脸”是日常生活中我们最常用的区分人的方式,但这样的区分方式正在受到来自网络空间的挑战。Deepfake技术横空出世,并且开放了源代码,让视频中的面孔不再真实,几乎成为了人工智能在伦理道德的反面典型。无论是面部特征的肆意收集还是对人脸的替换,都在不断挑战法律与伦理的底线。

人脸识别信息通常会被直接用于身份鉴别,能够取代用户名、密码的组合来验证身份,因此面部特征被广泛运用于核验身份。机场、火车站开始越开越多地部署人脸识别闸机,很多时候不用刷身份证、刷脸即可完成检票,手机刷脸即可完成解锁、支付。银行开户时需要在摄像头前“眨巴”眼睛以确认是本人操作。一些手机游戏也开始启用了人脸识别验证的功能,作为保护未成年人健康上网的举措。根据网络游戏管理的相关规定,对未成年人玩游戏的时间需要进行限制,传统上是通过输入身份证号码的方式验证年龄,但越来越多的未成年人使用家长的身份证来绕开这一限制,这也就需要网络游戏企业去核验真正玩游戏的人。比如《王者荣耀》会将用户真实面部信息与公安数据平台数据源进行比对,并按用户实际年龄段匹配相应的游戏时限。如比对结果不符或用户拒绝验证,健康系统将统一视作12周岁及以下未成年人,纳入相应的防沉迷监管。

人脸识别技术不仅适用于用户主动配合的核验场景,也被用于被动识别的场景。比如很多地方都在路口部署了摄像头以识别闯红灯的行人,并在旁边树立显示屏实时显示闯红灯行人的姓名、身份证号等信息,每每都会引起隐私的争议。在商业领域亦然,广告屏收集用户的面部表情的技术已经出现并且投入运用,实时分析用户对播放广告所反映出的喜怒哀乐。

继续阅读

看门狗

watch dogs

UbiSoft的《看门狗》通关一定时间了,简单说几句:

1.剧情方面乏善可陈,没有什么逻辑,游戏开场的惊艳感随着游戏推进很快殆尽。

1.1每个NPC都有名有姓有故事,会对主角的行为做出有限的反应,比如看到劫车、主角掏出枪支会报警。主角从身边跑过时抱怨一下。

2.主角不算是好人(当然这种好人、坏人的划分比较幼稚),其动机是为侄女复仇,但游戏一路伤及的无辜比比皆是。其他角色比较单薄,缺乏逻辑,纯粹是为任务而存在的,浪费了游戏这么优秀的点子。

3.游戏里面分支任务单调:分为帮派据点、犯罪车队与收尾人合约。最后一个没怎么玩,前两个系列任务很容易感到单调。侦测犯罪也是如此。

4.榴弹发射器很厉害。

5.游戏里面解谜、黑摄像头部分创意很棒。NPC战斗时懂得利用掩体,但似乎不会利用人海战术,加上主角“子弹时间”的能力,导致战斗难度不高。

6.如果不考虑水路、捷运逃脱,又不想伤及无辜,CPD是最难对付的。

7.《看门狗》是所能遇见未来的一个可怕预言,主角已经具备超能力了——读取信息的超能力。21世纪,可能信息就是力量。