载有个人信息的保险单通过搜索引擎可直接点开下载,个人信息泄露,该由谁来担责?
近日,上海市第一中级人民法院(以下简称上海一中院)审结了这起个人信息保护纠纷案件,判决保险经纪公司与运营网站的技术公司应就高女士信息泄露承担责任,赔偿高女士一万元。
2019年因家人住院,高女士在一家保险经纪公司的介绍下,购买了一保险公司推出的保险产品。当时,高女士在保险经纪公司提供的网页上填写并提交了投保信息,而后收到了保险单下载链接。而运营该投保网站的是一家技术公司,技术公司为投保人提供信息平台服务,如提供网络接入、信息传输、保单下载等。
三年后,高女士偶然在互联网上输入投保使用的手机号,搜索出一条网站链接,链接显示:“保险计划”。链接没有任何加密措施,点开链接就可一目了然高女士的保单信息,包括姓名、证件号、出生日期、职业等。高女士认为保险单的公开造成了自己的个人信息泄露。被泄露的手机号曾长期收到保险推销广告让她不堪其扰,且保单上显示的职业信息也可能影响高女士工作的开展。发现这一情况后,高女士向保险监管机构进行投诉。接到投诉后,该网站对高女士的个人信息做了进一步技术处理,投诉一个月后已无法再通过手机号搜索到该保单。
而后,高女士以保险公司、保险经纪公司、技术公司泄露其个人信息向法院提起诉讼,要求三家公司清除互联网上披露的个人隐私信息,共同赔偿6万元。一审法院认为,依据在案证据难以认定三家公司侵犯了高女士的隐私权,鉴于高女士已确认再次搜索已看不到相关信息,遂驳回了高女士诉请。高女士不服,上诉至上海一中院。
二审中,三家公司均认可高女士提出的,输入其手机号可在搜索引擎中检索到案涉保单并下载这一事实。但同时也提出,在接到高女士的投诉后,技术公司第一时间更换了案涉保单的下载地址,阻断了搜索引擎的爬取,未实施泄露行为。
上海一中院认为,手机号本身是一种具有积极利用属性的个人信息,可能掌握该信息的亦是不特定对象,高女士的个人信息可通过搜索引擎等公开渠道被不特定对象检索获得,本案已构成信息泄露。
上海一中院经审理后认为:
本案争议焦点主要有以下四点:案涉信息是否属于隐私权的保护范畴;高女士提起本案诉讼是否需要履行前置程序;案涉信息泄露的责任承担;高女士损害后果的认定。
➣ 关于争议焦点一,案涉信息是否属于隐私权的保护范畴
本案中,案涉保险单所载明的手机号、身份证号码、职业等信息具有积极利用的属性,一般情况下可适用于正常的社会生活和社交场合,用于个人身份的识别和社会交往。因此,高女士主张被泄露的信息,难以界定为隐私权保护范畴。鉴于审理中高女士多次提及个人信息相关权益,并为此举证辩论,且高女士个人信息泄露事实发生或持续至个人信息保护法生效后。在高女士依法享有个人信息权益的前提下,具体保护规则可适用于个人信息保护法。
➣ 关于争议焦点二,高女士提起本案诉讼是否需要履行前置程序
本案中,高女士提起本案诉讼是为明确责任承担主体,并主张损害赔偿,已不再局限于个人信息保护法的个人信息权利请求权,不再受制于“个人信息处理者拒绝个人行使权利的请求”这一前置条件。因此,高女士可以直接向法院起诉要求责任方承担侵权责任。
➣ 关于争议焦点三,案涉信息泄露的责任承担
保险公司对高女士个人信息的收集及提供具有合理目的,是与订立保险合同的目的直接相关,且与合作方即保险经纪公司曾约定用户个人信息保护相关要求,未有不当行为。因此保险公司在案涉个人信息处理过程中不存在侵权行为。
技术公司是高女士个人信息的直接收集者与处理者,且依据高女士提交的截图可见,泄露网址链接指向技术公司运营的投保网站,被高女士投诉后也是技术公司变更了保险单链接,由此技术公司应就上诉人高女士案涉信息泄露承担侵权责任。
保险经纪公司引导有投保需求的客户在投保网站上填写信息并下单,其与技术公司对于高女士个人信息的收集及嗣后使用、传输等具有共同目的,对其间涉及的个人信息处理方式亦属共同决定。因此保险经纪公司应就高女士案涉信息泄露承担连带责任。
➣ 关于争议焦点四,高女士损害后果的认定
本案中,高女士个人信息已被泄露,存在为不特定第三人获取的风险,该风险本身即为高女士个人信息权益的损害,此外,因被泄露的个人信息中包含敏感个人信息,使其内心产生焦虑,可视为高女士的损害后果。
综合本案情况,并为切实强化个人信息处理者对用户个人信息保护的考虑,上海一中院判决技术公司赔偿高女士一万元,保险经纪公司承担连带赔偿责任。
(以上名称皆为化名)
法官说法
本案主审法官、民事庭副庭长卢颖指出,根据法律规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。个人信息强调个人信息主体身份的识别性,即能够直接或经组合后,被信息控制人或他人合理利用以识别个人主体身份,权利人在某些情况下也可能存在主动积极使用的情形。个人信息泄露导致的损害后果并不特指财产性损害,客观现实情况亦能反映出个人信息泄露产生的显著的、直接的财产性损害是极少数情况。个人信息作为人格权益的一类,非财产性损害亦是人格权益受到侵害的判断标准之一,可依据一般社会常理加以判断。
对需要收集、处理涉及个人信息的企业而言,应负有妥善保存个人信息的义务,谨慎操作个人信息,否则侵害个人信息权益,造成损害的,应当依法承担相应责任。
法条链接
《中华人民共和国个人信息保护法》
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
第十三条依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。