随着数字经济的蓬勃发展和信息技术的广泛应用,个人信息保护问题日益成为社会关注的焦点。自《个人信息保护法》正式实施至今已有3年多,根据我们的观察,《个人信息保护法》及相关数据保护法律法规的应用仍然主要活跃于企业合规和监管执法这两个层面,目前公布的与个人信息保护相关的民事诉讼案件仍然相对有限。
根据我们在北大法宝数据库
1
中以“个人信息”、“保护”及“安全”为关键词,选择审结时间为2024年的民事诉讼案例,初步检索到196个公开案例。
2
经过对这些案例判决书的查看和筛选,我们最终得到31个与个人信息保护相关的有效案例。
3
这些有效案例主要涉及未经同意收集、使用个人信息、非法泄露个人信息、非法买卖个人信息、未充分履行个人信息处理告知义务、无正当理由请求获取他人个人信息以及未履行个人信息安全保护义务这些侵权形式,一定程度上反映了目前我国个人信息保护民事诉讼的主要争议纠纷点。在有效案例中,以自然人起诉法人主体为主
4
,涉案金额多数集中在10万元以下,约有三分之一的案件进入到二审阶段,由北京互联网法院审结的案例数量最多。
如下表格统计了上述有效案例的侵权行为类型及审理法院所在地区的分布比例。
|
|
|
|
|
未经同意收集、使用个人信息(“个人私自安装摄像头”、“未经同意向个人发送营销短信/拨打营销电话”居多)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
其他地方法院,包括江苏、安徽、四川、河南、湖南、辽宁、新疆、吉林、云南及内蒙古自治区
|
|
|
以下我们选取部分典型案例进行简要评析,供企业了解司法机关对于个人信息保护相关法律要求的解读。
个人信息处理告知义务应在保障个人信息权
益
与考量技术障碍及说明成本之间取得平衡
根据《个人信息保护法》第17条规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项。实践中,个人信息处理者的告知内容应当披露到何种详细程度才符合法律要求?北京互联网法院在其审理的一起案件
5
中探讨了利用个人信息进行自动化决策场景下个人信息处理者告知义务的履行程度问题。
原告作为微博用户,主张微博未详细说明个性化广告服务中收集和使用个人信息的方式、频率等技术规则,认为微博未充分履行告知义务,侵犯其知情权。经法院查明,微博在其《个人信息保护政策》中已明确说明“
在您使用微博时,我们会根据您的设备信息、IP地址和位置信息向您推送个性化广告。在使用上述信息时,我们会进行去标识化处理,使得相关信息无法与您的真实身份直接关联
”,以及个性化广告的关闭方式。法院认为,基于自动化算法决策的专业性和复杂性,个人信息处理者的告知义务应在保障个人信息权益与考量技术障碍及说明成本之间取得平衡。在本案中,以通常理性人标准判断,涉案条款已对个人信息处理规则进行了充分且适当的告知,未构成对原告知情权的侵害。
此外,原告亦对个性化广告功能的默认开启设置提出质疑,认为该设置属于获取“默认同意”,违反法律要求。法院认为,微博已在首次运行时通过其《个人信息保护政策》取得原告关于个性化广告服务的同意且提供了关闭个性化广告的方式,微博所采取的“事前概括同意机制”和“事后选择机制”已保障了原告的知情同意权,亦未构成侵犯个人信息权益。
本案中,法院在保障个人信息权益和企业履行个人信息处理告知义务所需的成本之间进行了平衡,一方面强调了企业应当按照法律要求履行告知义务,另一方面考虑到自动化决策技术的复杂性和说明成本,合理明确了告知义务的履行限度,避免对企业造成过高的义务负担。
个人信息处理者响应个人信息权利请求时
应
尽
审慎核实义务
在南京市栖霞区人民法院审理的一起隐私权纠纷案件
6
中,经营者收到获取个人信息副本的请求后,未对请求者身份进行审慎核实,将个人信息副本发送给非消费者本人的其他个人,被法院判定构成侵犯个人隐私。
本案中,原告与其配偶正处于离婚纠纷,其配偶的离婚纠纷代理律师为收集证据,使用微信添加了原告与其他异性入住的酒店员工,自称为原告本人,并索要当时入住酒店的结账单。酒店员工在微信中询问并核对了对方提供的入住人姓名和入住时间后,向对方发送了原告入住酒店的结账单。原告认为,酒店在无任何调查令的情况下将其酒店入住信息提供给他人,严重侵犯其个人隐私,遂将酒店诉至法院。被告酒店认为,在对方已提供入住人姓名(尤其包括同住人姓名)的情况下,酒店作为善意相对人没有理由怀疑对方并非本人,更无理由要求对方到现场进一步核实身份信息,否则很可能会遭到客户投诉。
对此,法院认为,酒店仅基于入住人姓名及入住时间这两项信息就认为请求获取信息的个人为入住人本人,未通过其他方式与入住人本人进行核实,未尽到审慎核实义务,构成侵犯原告隐私权。但是,法院未对何为“充分履行审慎核实义务”作出进一步说明。不过,该案也起到一定提示作用,个人信息处理者在收到个人信息权利请求后,应注意核实请求者身份,尤其在发生可疑情况时,可以考虑通过多种方式进行身份验证,避免造成个人信息泄露。
已及时采取必要应对措施的网络平台无需
对
个人实施的侵犯隐私行为承担责任
在北京互联网法院审理的一起网络侵权责任纠纷案件
7
中,由于网络平台在发现用户实施的侵权行为后及时采取了必要的应对措施并留存了相应证据,网络平台未被要求承担侵权责任。
该案中,原告的收入证明被其家人发布在网络上引发大量关注,某招聘平台的用户(以下简称“
截图者
”)可能出于个人好奇心理,在招聘平台中浏览原告简历后,对原告简历进行截屏并将截图发送给案外第三人,截图包含原告的姓名、照片、现在职公司及岗位等个人信息。后原告发现其简历图片被发布至某社交平台,网络舆论进一步发酵升级。原告认为其隐私权遭到侵犯,将该名截图者及其所在公司、招聘平台共同作为被告诉至法院。由于招聘平台在发现侵权行为后及时对截图者的账号采取禁用措施
8
,与原告进行了及时的沟通,配合调查事件的公安机关出具了情况说明,后亦根据法院要求向法院提供了截图者的账号信息
9
,法院认为招聘平台已履行其法定义务,并无过错,故判定招聘平台无需承担任何侵权责任。
网络平台在发现平台内的个人信息侵权事件后依法及时采取相应措施并留存充分证据,可以有效避免因他人在平台内实施侵权行为而需承担相应责任。
