个人信息被网站收集并公布
这侵害了网络用户的哪些权益?
一起来看看吧——
基本案情
2020年6月开始,张某发现通过电商平台下单购买商品时,不少商家拒绝向其发货。
经查,张某发现其姓名、联系方式、收货地址、电商平台注册账号等个人信息经部分加星“*”处理后,被公布在“反恶”公司运营的“反恶”网站上,并被打上“打假师、欺诈师、恶人、恶意欺诈”等标签。
该网站系为电商商家提供曝光职业打假人的平台,商家在该网站注册账号并支付会员费后可以看到其他商家分享的买家信息。
张某认为“反恶”公司作为网站运营者公布其个人信息,对其冠以上述称号,侵害了张某的个人信息权益及名誉权,故将“反恶”公司诉至法院,要求删除侵权信息、赔礼道歉、赔偿精神损失,并披露发布其个人信息及侵害其名誉权的网络用户姓名、联系方式、网络地址等信息。
争议焦点
1.“反恶”公司所发布的案涉信息是否属于个人信息;
2.“反恶”公司发布案涉信息的行为是否构成对张某个人信息权益及名誉权的侵害。
裁判结果
广州互联网法院判决:
一、“反恶”公司于判决发生法律效力之日起三日内删除“反恶”网站所有涉及张某的个人信息;
二、“反恶”公司于判决发生法律效力之日起十日内在“反恶”网站首页连续30日置顶发布道歉声明;
三、驳回张某的其他诉讼请求。
上述判决已发生法律效力。
裁判理由
一、“反恶”公司所发布的案涉信息属于个人信息。
根据《中华人民共和国民法典》第一千零三十四条的规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
本案中,虽然“反恶”公司所发布的姓名、平台账号、电话号码、地址等信息均进行了加星“*”处理,未直接明确地指向张某,但根据张某提交的公证书显示,在“反恶”网站以张某和张某的手机号为关键词搜索后,结果显示的收件人姓名、平台账号、手机号码、收件地址、曝光记录与张某的个人信息、淘宝账号、京东账号、手机号码、收货地址相互重合。故,法院认定“反恶”公司公布的案涉信息可识别为张某的个人信息。
二、“反恶”公司发布案涉信息的行为构成对张某个人信息权益及名誉权的侵害。
1、“反恶”公司发布案涉信息的行为构成对张某个人信息权益的侵害。根据《中华人民共和国民法典》第一千零三十四条、第一千零三十五条的规定,自然人的个人信息受法律保护,处理个人信息,除法律、行政法规另有规定外,应当征得被处理信息的主体的明确同意。具体到本案,“反恶”公司收集注册用户提供的张某个人信息,对案涉信息进行审核、加星“*”处理,在满足一定条件后,对案涉信息进行发布。案涉信息包括张某的姓名、联系方式、平台账号、收货地址,上述信息是张某为购买商品授权平台商家在履行信息网络买卖合同范围内使用的个人信息,“反恶”公司未经张某同意,非法获取并发布上述信息,构成对张某个人信息权益的侵害。
2、“反恶”公司发布案涉信息的行为构成对张某名誉权的侵害。本案中,“反恶”公司直接或间接地将张某的个人信息与具有侮辱等性质的负面评价词汇结合。一方面,案涉网站以“恶人”称呼职业打假人,网站首页使用“搜恶人”“曝光恶人”等侮辱性词汇;另一方面,“反恶”公司自述,注册用户在发布“恶人”信息时可以选择给“恶人”打上不同标签,包括预设标签和自定义标签,如“恶意敲诈”“骗运费险”“威胁好评返现”“恶意退货”“恶意差评”等。“反恶”公司故意使用上述具有侮辱等性质的负面评价词汇描述张某,客观上降低了张某的社会评价。根据《中华人民共和国民法典》第一千零二十四条“民事主体享有名誉权。任何组织或者个人不得以侮辱、诽谤等方式侵害他人的名誉权”的规定,“反恶”公司的上述行为构成对张某名誉权的侵害。
3、根据《中华人民共和国民法典》第九百九十五条的规定,人格权益受到侵害的,权利人有权要求侵权人赔礼道歉。张某要求“反恶”公司赔礼道歉于法有据,法院予以支持。鉴于案涉侵权行为发生在“反恶”网站,“反恶”公司应在该网站首页连续30日置顶发布道歉声明,就非法处理张某个人信息和侵害张某名誉权的行为道歉。根据《中华人民共和国民法典》第一千零三十七条的规定,自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。张某诉请“反恶”公司停止侵权,删除“反恶”网站上所有涉及张某的个人信息于法有据。因张某未提供证据证明其存在严重精神损害,故法院对赔偿精神损失的诉请不予支持。
4、关于张某诉请“反恶”公司披露发布其个人信息及侵犯其名誉权的网络用户的姓名、联系方式、网络地址,因该诉请不具有强制执行性,且“反恶”公司已经法院判决承担侵权责任,故法院不予支持。
法官说法
伴随移动互联网快速发展,个人的信息收集处理问题成为社会关注的热点话题。为实现对个人信息的保护,需在界定个人信息内涵的基础上,明确个人信息的收集和处理以知情同意为原则,并对个人信息处理者设定一定的义务。
一、构成个人信息要满足三个要件:
首先是具有可识别性,这是核心要件。所谓识别就是通过该信息可以直接或者间接地将某一自然人“认出来”。识别包括直接识别和间接识别:
直接识别是指通过该信息可以直接确认某一自然人的身份,无须其他信息的辅助,例如某人的身份证号、基因信息等;
间接识别是指通过该信息虽不能直接确定某人的身份,但可以借助其他信息确定某人的身份。
其次是要有一定的载体,这是个人信息的形式要件。个人信息必须是要以电子或者其他方式记录下来。
最后,个人信息的主体只能是自然人,法人或者非法人组织不是个人信息的主体。个人信息类型众多,包括但不限于自然人的身份信息、生理信息、社会信息、健康信息等。现实中,认定某项信息是否属于个人信息的难点在于该信息是否具有可识别性。信息处理者仅对个人信息简单进行部分加星“*”处理,但是通过关键词搜索仍可以关联到该信息相对应的姓名、平台账号、手机号码、收件地址、曝光记录等,即可以认定该信息具有可识别性。
二、处理个人信息应当征得被处理信息主体的同意,且该同意应当由个人在充分知情的前提下自愿、明确作出。
依照《中华人民共和国个人信息保护法》的规定,网络平台在取得个人的同意的情况下方可处理个人信息,且该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
三、网络平台应当做好个人信息保护“守门人”,主动承担平台义务。
网络平台应依照《中华人民共和国个人信息保护法》的规定,根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等因素,网络平台应制定内部管理制度和操作规程,对个人信息实行分类管理,采取相应的加密、去标识化等安全技术措施,确保个人信息处理活动符合法律、行政法规的规定,防止未经授权的访问以及个人信息泄露、篡改、丢失。