数据作为新型生产要素,已成为推动数字经济进一步发展的重要引擎。个人信息作为我国海量数据规模中的重要组成部分,是开展社会治理的重要基础,蕴藏着巨大的市场价值,为平台经济等行业发展提供运营决策支持。如何在保护好个人信息权益的同时,促进数据的合理利用,已成为夯实数字经济发展基础的关键问题。近日,北京互联网法院通过梳理涉个人信息及数据相关典型案例,以期通过案件裁判的释法说理,回应广大人民群众对个人信息保护的新需求,服务保障数字经济高质量发展。
图为北京市首例“AI”换脸案一审宣判现场。任慧颖 摄
个人同意应在充分知情的情况下自愿作出
原告在使用被告运营的“流行语词典”软件时,发现只能同时拒绝或接受《服务协议》和《隐私政策》,点击拒绝则会强制退出,且系统可以在用户未点击的情况下自动勾选“已阅读并同意服务协议和隐私政策”的选项。此外,该软件在《隐私政策》中说明需要收集电话号码等与软件功能毫无关系的个人信息,并且没有能撤回同意的途径。后被告提供了撤回同意功能,但点击后账号被注销,账号评论依然被保留。原告认为,被告的行为侵害其个人信息权益,要求被告停止侵害、赔礼道歉、赔偿精神损害抚慰金。
法院经审理认为,被告在用户未实际阅读的情况下,自动勾选“已阅读并同意服务和隐私政策”,不符合“自愿”“明确”的要求。涉案软件收集用户的手机号码并非使用其功能的必需信息,超出了实现目的的最小范围,即使用户拒绝《隐私条款》也应当为用户提供最基本的服务。要求用户以注销账号的方式撤回同意,既不属于个人信息保护法第十五条规定的便捷的撤回方式,又违反了第十六条规定的不得以撤回同意为由拒绝提供产品或服务。法院判决被告删除收集的原告信息,书面向原告赔礼道歉并赔偿合理开支。
个人信息保护法规定的“取得个人的同意”的标准应为在个人充分知情的情况下自愿、明确作出同意。同时,处理个人信息的范围还应受“实现处理目的的最小范围”的限制。网络服务提供者需要在《隐私政策》中写明处理个人信息的范围、方式等必要内容,还应采取必要措施保证用户充分知情其内容,同时还应为用户提供便捷的撤回同意方式,在用户拒绝接受关于处理个人信息的条款时,为用户提供基础服务。
关联主体共享交易信息需经消费者同意
原告在案外公司运营的线下商店购物后在收款机自助结账时,自助机显示“扫一扫支付”二维码,付款方式有支付宝、微信和商店小程序。原告使用微信扫描该二维码后跳转至被告运营的商店微信小程序,小程序获取并记录该笔交易的交易店面、交易时间、商品名称等信息,点击“立即支付”后可付款成功。原告认为,该线上小程序获取自己的线下购物信息,侵害个人信息权益。经查明,该微信小程序的《用户服务协议》和《隐私政策》均无征求消费者同意获取消费者线下交易记录的相关条款。
法院审理后认为,原告在线下商店购买商品的交易信息属于个人信息。被告运营的微信小程序在《用户服务协议》《隐私政策》中均未明示涉案小程序将获取消费者的线下交易订单信息,线下交易时亦未向消费者告知并取得同意,且并非为订立、履行合同所必需,被告获取相关信息构成对原告个人信息权益的侵害。法院判决被告向原告书面赔礼道歉。
个人信息处理者取得个人的同意,或为订立、履行个人作为一方当事人的合同所必需,方可处理个人信息。消费者的线下购物信息因包含交易店面、付款价格等,系消费者在交易活动中产生的信息,构成消费者的个人信息。经营者在处理该类信息时,应当遵循合法、正当、必要等原则,如需线上线下不同经营主体共享该类信息,应当充分告知消费者并取得消费者同意。
经去标识化处理的个人信息访问记录受法律保护
原告系被告运营的电子商务平台的实名认证用户。原告曾接到自称是被告公司客服的来电,并且对方报出了原告的身份证号。原告认为被告泄露自己个人信息,遂要求被告提供被告公司内部对原告个人身份证号码的访问记录等信息。
法院审理后认为,被告对用户身份证号码等个人信息的展示采取了内容替换、SHA256等脱敏、加密技术,访问者难以识别该身份证号属于原告,同时访问记录也不具备关联特征、不是原告在其活动中产生的信息,企业可依法对该访问记录进行相应保护。法院判决驳回原告的全部诉讼请求。
本案从识别和关联两个角度确认个人信息的范围,进一步厘清个人信息主体向个人信息处理者行使查阅复制权的界限,反映了数字时代个人信息主体权益和个人信息处理者权益冲突与平衡问题。企业在尊重数据来源主体权益的前提下,在企业管理、运营中产生的数据依法受到保护。
信息处理者未尽到保护义务承担侵权连带责任
原告在甲公司运营的社交购物平台申请企业认证,提交了相关材料并支付了相应费用。后原告发现自己用于企业认证的身份材料被乙用于了账号认证。原告认为平台故意泄露了其上传的认证材料,甲公司与乙侵害了其姓名权、隐私权和个人信息权益,故诉请二被告公开赔礼道歉,共同赔偿经济损失、维权合理支出以及精神损害抚慰金。
法院审理后认为,被告乙未经许可使用原告的身份材料用于平台账号认证,侵害了原告姓名权、隐私权、个人信息权益。被告甲公司作为信息处理者,应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全;当发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施。被告甲公司未能举证证明其在侵权行为发生期间采取了必要措施用以确保认证资料的安全。同时,由于被告甲公司的企业认证属于有偿服务,其注意义务应当有所加重。因此,被告甲公司对侵权行为的发生存在过错,应当与被告乙承担连带责任。
经营者在经营过程中,利用他人个人信息混淆主体身份“搭便车”的行为构成对他人个人信息权益、姓名权等权利(益)的侵害,需承担侵权责任。民法典、个人信息保护法等规定了信息处理者保障用户个人信息安全的法定义务。如未能采取必要措施导致权利人个人信息权益遭到他人侵害的,信息处理者亦构成侵权,应当就此承担连带责任。
免费电子邮箱需提示“清空邮箱”条款
二被告系某免费邮箱服务提供者。被告称,因原告长期不登录使用邮箱,根据服务协议,故清空了原告的邮箱内容。原告认为,“清空邮箱”属于无效的格式条款,故诉至法院,请求确认电子邮件所有权归属于原告、确认服务协议中“如用户长期未使用,则平台有权删除邮箱、停止为该用户提供服务并删除该邮箱账号”的条款属于无效的格式条款。
法院审理后认为,电子邮件是以电子形式记录下来的民事主体的生物信息和社会痕迹,是带有强烈个人特征的数据集,在特定情况下还具备人格权属性。涉案电子邮件已客观消失且不能确认具体内容,不宜就原告对电子邮件的权利或权益性质尤其是“所有权”进行认定。但是,“清空邮箱”条款,属于与原告有重大利害关系的格式条款。二被告作为提供格式条款的一方,未采取合理的方式提示原告注意,故判决确认涉案服务协议中“清空邮箱”条款对原告不发生效力。
本案是涉电子邮箱数据权属认定及“清空邮箱”条款效力确认的裁判案例。本案确认,免费邮箱用户对于电子邮件,可能基于电子邮件所包含的内容具有人格权属性而享有相应的民事权利或权益。“清空邮箱”条款内容属于与用户有重大利害关系的格式条款,服务商提供邮箱服务是作为市场主体的经营行为,应履行提示、说明等法定义务,不能因其免费而免除应承担的法律责任。
图为北京市首例“AI”换脸案一审庭审现场。任慧颖 摄
未经授权的AI换脸侵害个人信息权益
原告是一名古风短视频博主。被告某公司未经原告授权同意,使用原告出镜的系列视频制作换脸模板,并上传至其运营的案涉软件中,提供给用户付费使用并以此牟利。原告认为,该行为侵犯其肖像权与个人信息权益。经查明,案涉换脸模板视频与原告创作系列视频的妆容、发型、服饰、动作、灯光及镜头切换呈现一致特征,但出镜人的面部特征均不相同。
法院审理后认为,被告使用原告出镜的视频制作视频模板,通过技术手段将原告面部特征替换,不具有肖像意义上的可识别性,不构成对原告肖像权的侵害。但是,案涉短视频以数据形式呈现了原告的面部特征等个体化特征,属于原告的个人信息。被告先收集包含原告人脸信息的出镜视频,再通过算法进行合成。该过程涉及对原告个人信息的收集、使用、分析等,被告未经过原告同意而实施的该行为构成对原告个人信息权益的侵害。法院判决被告向原告赔礼道歉、赔偿精神损害抚慰金和维权费用。
本案围绕“AI换脸”这一新商业模式,对肖像权、个人信息权益及基于劳动创造投入的合法权益进行准确区分,既维护自然人的合法权益,又为人工智能技术和新兴产业发展留有合理空间。肖像权以特定范围内的公众可识别性为要件,主要集中于自然人的个人生理特征,而个人信息权益保护重点在于预防个人信息被滥用的风险,通过算法技术对人脸信息的收集、使用、分析等,属于对个人信息的处理,处理者未经授权,构成对个人信息权益的侵害。
《中华人民共和国民法典》
第一千零三十四条 自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
第一千零三十六条 处理个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人或者其监护人同意的范围内合理实施的行为;
(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
第一千零三十七条 自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。
自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。
第一千零三十八条 信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
《中华人民共和国个人信息保护法》
第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。