图为北京互联网法院法官开庭现场。
导读
互联网时代,个人信息与隐私的保护问题频繁出现在公众视野,成为社会热点。民法典在人格权编中对隐私和个人信息进行了区别保护,形成了“个人信息—隐私”的“二元”保护体系。2021年11月1日起施行的《中华人民共和国个人信息保护法》,对个人信息的界定及处理规则愈加清晰。就此,北京互联网法院梳理了该院审理的相关典型案件,以期通过案件裁判的释法说理,解读民法典在个人信息和隐私保护中的适用,为个人信息权益的维护、为平台信息的合理利用提供法律指引。
个人信息与隐私有相同也有不同
T公司开发了一款社交通讯软件,用户数量庞大,其关联公司则基于该通讯软件开发了一款阅读应用软件。黄某通过该通讯软件登录阅读应用软件时发现,阅读应用软件以不授权就无法登录使用的方式,将社交通讯软件中的好友关系数据交予阅读应用软件。黄某登录后发现,在没有进行任何添加关注操作的情况下,其阅读账户中“我关注的”和“关注我的”页面下出现了大量社交通讯软件中的好友;而无论黄某是否在阅读应用软件中添加关注关系,黄某与共同使用阅读应用软件的社交通讯软件好友也能够相互查看对方的书架、正在阅读的读物、读书想法等。黄某认为,社交通讯软件和阅读应用软件系两款独立的软件,社交通讯好友关系数据和阅读信息均应属于公民的隐私和个人信息范畴,两款软件的行为侵犯了其个人信息权益和隐私权。
法院认为,判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人;二是关联,即从个人到信息,如已知特定自然人,则在该特定自然人活动中产生的信息即为个人信息。符合上述两种情形之一的信息,即应判定为个人信息。社交通讯软件的好友列表达到了识别性标准,应认定为用户的个人信息。同理,阅读应用中的读书信息也包含了可以指向该信息主体的网络身份标识信息,且包括了读书时长、最近阅读、书架、读书想法等,能够反映阅读习惯、偏好等,也属于个人信息。但是,结合阅读应用软件使用社交通讯好友列表的目的,该应用软件并不在于刺探原告的真实社交关系,而在于获取好友列表后用于扩展阅读社交功能。同时,原告读书记录的两本书籍的阅读信息亦不具有私密性,故两款软件的行为不构成对原告隐私权的侵害。
■法官讲法典
民法典人格权编第六章对隐私和个人信息进行了区别保护,二者的范围既有区别又存在重叠。根据民法典的规定,个人信息具有“可识别性”,能够单独或者与其他信息结合识别特定自然人;隐私则具有“私密性”,是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
值得注意的是,在区分隐私权和个人信息权益时,不宜将所有无涉公共事务的私人领域信息都纳入隐私范畴,应对个人信息进行相对合理的层级划分。符合社会一般合理认知下共识的私密信息,应强化其防御性保护,非特定情形不得处理;不具备私密性的一般信息,在征得信息主体的一般同意后,即可正当处理;兼具防御性期待及积极利用期待的个人信息,应结合使用场景判断是否构成隐私,根据信息内容、处理场景、处理方式等,进行符合社会一般合理认知的判断。社交通讯软件好友列表和读书信息不能笼统地纳入符合社会一般合理认知的私密信息范畴,而更符合前述第三类信息的特征。
处理个人信息应获得用户有效同意
前述案件中,T公司辩称:阅读应用软件没有为原告自动添加好友,阅读应用软件获得原告的社交通讯好友关系数据是使用已经获得的社交通讯好友数据的行为,并非收集个人信息的行为且经过原告同意,阅读应用软件向原告共同使用阅读应用软件的社交通讯好友展示读书信息,均经过了原告的授权同意,不构成对原告隐私权及个人信息权益的侵害。
法院认为,本案中,阅读应用软件以手机页面告知用户其收集信息的内容、获取用户同意的方式不违反法律规定,但是其告知的内容并不能确保用户充分了解、知悉信息处理的方式、范围及风险。阅读应用软件收集原告社交通讯好友列表,向原告并未主动添加关注的通讯好友自动公开读书信息,并未对原告进行显著告知或获得原告的同意,具有过错。用户不在阅读应用软件中添加关注即能看到社交通讯好友的读书信息,应向用户显著提示并获得用户同意,而且阅读应用软件自动为用户添加关注,更需要显著提示用户并获得明确同意。现并无任何证据证明阅读应用软件就此获得了原告的知情同意,且于软件内显著位置展示了原告的读书信息,其过错程度更高。
综上,T公司及其关联公司构成对于原告个人信息权益的侵犯,应当立即停止使用通讯好友关系的行为,解除阅读应用软件中原告通讯好友对其的关注并停止展示原告阅读信息。
■法官讲法典
民法典规定,处理个人信息应当遵循合法、正当、必要原则,不得过度处理。
网络运营者收集、使用个人信息应获得用户的同意,并且该知情同意应当有效。大型互联网平台在关联产品中共享用户个人信息的,也应获得用户有效的同意。根据民法典,信息处理者应当“公开”处理规则、“明示”处理的目的、方式和范围。具体实践中,用户知情同意的有效性,可从信息处理者告知信息主体的“透明度”来衡量,即一般理性用户在具体场景下,对信息处理主体处理特定信息的目的、方式和范围知晓的清晰程度,以及作出意愿表示的自主、具体、明确程度。2021年11月1日起施行的个人信息保护法第七条对此也作出了明确的要求。
保护与合理利用个人信息
孙某在B公司开发的搜索引擎上以其姓名为关键词进行图片搜索,发现搜索结果第一栏可获取自己清晰的面部证件照,照片页面的URL地址均为B公司的服务器地址。原来孙某曾将自己的该照片上传至某第三人运行的校友录网站中作为个人账户头像,但是该校友录网站已于2013年停止服务。孙某于2018年10月23日提交问题反馈,请B公司删除该个人证件照,并删除与关键词“孙某”的关联,但未获得任何回复,故诉至法院,要求B公司就侵害其隐私权和个人信息,赔偿经济损失1元和维权费用若干。
法院认为,校友录网站将涉案信息置于公开网络后,B公司的搜索行为使得涉案信息可被全网不特定用户检索获取,在客观上导致该信息在孙某授权范围之外被公开,属于未经同意处理个人信息的行为。但B公司作为网络技术服务提供者,在通知删除前,是否存在主观过错应综合多种因素认定:由于涉案信息不属于明显侵权或者极具引发侵权风险的信息,为鼓励网络信息的利用和流通,对于网络公开的一般个人信息,应推定权利人同意公开。故B公司在接到权利人的通知前,难以预见涉案信息是未经授权公开的信息,故不存在明知或应知的主观过错,不构成对孙某个人信息权益的侵害。而在孙某通知删除后,B公司在有能力采取相匹配必要措施的情况下,未给予任何回复,其怠于采取措施的行为,导致涉案侵权损失进一步扩大,B公司的不作为构成对孙某个人信息权益的侵害,因此全额支持原告的诉讼请求。
■法官讲法典
民法典在构建个人信息的保护框架时,也豁免了某些个人信息利用行为的民事责任。民法典的立法目的并不仅仅着眼于强化个人信息保护,而是平衡个人信息的保护与合理利用。在上述案件中,B公司承担责任的原因并不在于其处理了孙某的面部证件照,而在于孙某通知B公司删除后,B公司在明知或者应知孙某明确拒绝的情况下,并未及时采取必要措施,违反了民法典第一千一百九十五条的规定。本案中,孙某的面部证件照属于已经公开的信息,为平衡信息保护和信息共享,对于已公开的个人信息,一般推定权利人同意公开。
私人生活安宁属于个人隐私
在黄某不知情的情况下,某网络热播剧在其剧集画面中公开使用了黄某实名购买的手机号码,而未作画面处理,导致手机号码泄露,频繁收到骚扰电话和微信好友验证通知,严重扰乱了黄某的正常学习和工作。黄某不堪其扰,故将该剧的制作方A公司与B公司以侵害其隐私权为由诉至法院。
法院认为,网剧制作方公开使用黄某手机号码的行为,客观上将黄某置于了被侵扰的危险中,违背了黄某不希望私人生活遭受他人侵扰的意愿,构成侵害黄某隐私权的加害行为,且该加害行为事实上导致了严重损害的后果,即黄某频繁收到骚扰电话和微信侵扰,严重打扰了其学习和工作,侵扰了其私人生活安宁。本案加害行为和损害后果之间的因果关系确定,制作方的过错明显,故判决A公司与B公司赔偿黄某的精神损害和合理支出。
■法官讲法典
民法典规定,自然人享有隐私权,还界定了隐私权的范畴,并通过第一千零三十三条列举了侵权行为的方式,强化对于侵犯隐私行为的规制。值得注意的是,除了普遍为公众所认可和理解的私密空间、私密活动、私密信息外,民法典还首次将私人生活安宁也明确纳入了隐私权的范畴。一般来说,私人生活安宁包括了物理空间和心理两个方面:即保证免受任何物理上的非法、不当侵入,以及保护心理上的宁静,以免受任何心理和精神上的非法、不当侵扰。将私人生活安宁作为隐私权加以保护,不仅丰富了隐私权的内涵与外延,也彰显了民法典对于个人的外在生活秩序、内在精神安宁的关注与呵护。
■法条链接
《中华人民共和国民法典》
第一千零三十二条 自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。
隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
第一千零三十三条 除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为:
(一)以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;
(二)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;
(三)拍摄、窥视、窃听、公开他人的私密活动;
(四)拍摄、窥视他人身体的私密部位;
(五)处理他人的私密信息;
(六)以其他方式侵害他人的隐私权。
第一千零三十四条 自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
第一千零三十六条 处理个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人或者其监护人同意的范围内合理实施的行为;
(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
第一千一百九十五条 网络用户利用网络服务实施侵权行为的,权利人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。通知应当包括构成侵权的初步证据及权利人的真实身份信息。
网络服务提供者接到通知后,应当及时将该通知转送相关网络用户,并根据构成侵权的初步证据和服务类型采取必要措施;未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。
权利人因错误通知造成网络用户或者网络服务提供者损害的,应当承担侵权责任。法律另有规定的,依照其规定。