保护隐私有“典”可循

北京互联网法院解读民法典在个人信息和隐私保护中的适用
上海法治报 2022年01月12日

互联网时代,个人信息与隐私的保护问题频繁出现在公众视野,成为社会热点。民法典在人格权编中对隐私和个人信息进行了区别保护,形成了“个人信息—隐私”的“二元”保护体系。2021年11月1日起施行的《中华人民共和国个人信息保护法》,对个人信息的界定及处理规则愈加清晰。就此,北京互联网法院梳理了该院审理的相关典型案件,以期通过案件裁判的释法说理,解读民法典在个人信息和隐私保护中的适用,为个人信息权益的维护、为平台信息的合理利用提供法律指引。

个人信息与隐私有相同也有不同

T公司开发了一款社交通讯软件,用户数量庞大,其关联公司则基于该通讯软件开发了一款阅读应用软件。黄某通过该通讯软件登录阅读应用软件时发现,阅读应用软件以不授权就无法登录使用的方式,将社交通讯软件中的好友关系数据交予阅读应用软件。黄某登录后发现,在没有进行任何添加关注操作的情况下,其阅读账户中“我关注的”和“关注我的”页面下出现了大量社交通讯软件中的好友;而无论黄某是否在阅读应用软件中添加关注关系,黄某与共同使用阅读应用软件的社交通讯软件好友也能够相互查看对方的书架、正在阅读的读物、读书想法等。黄某认为,社交通讯软件和阅读应用软件系两款独立的软件,社交通讯好友关系数据和阅读信息均应属于公民的隐私和个人信息范畴,两款软件的行为侵犯了其个人信息权益和隐私权。

法院认为,判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人;二是关联,即从个人到信息,如已知特定自然人,则在该特定自然人活动中产生的信息即为个人信息。符合上述两种情形之一的信息,即应判定为个人信息。社交通讯软件的好友列表达到了识别性标准,应认定为用户的个人信息。同理,阅读应用中的读书信息也包含了可以指向该信息主体的网络身份标识信息,且包括了读书时长、最近阅读、书架、读书想法等,能够反映阅读习惯、偏好等,也属于个人信息。但是,结合阅读应用软件使用社交通讯好友列表的目的,该应用软件并不在于刺探原告的真实社交关系,而在于获取好友列表后用于扩展阅读社交功能。同时,原告读书记录的两本书籍的阅读信息亦不具有私密性,故两款软件的行为不构成对原告隐私权的侵害。

■法官讲法典

民法典人格权编第六章对隐私和个人信息进行了区别保护,二者的范围既有区别又存在重叠。根据民法典的规定,个人信息具有“可识别性”,能够单独或者与其他信息结合识别特定自然人;隐私则具有“私密性”,是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。

值得注意的是,在区分隐私权和个人信息权益时,不宜将所有无涉公共事务的私人领域信息都纳入隐私范畴,应对个人信息进行相对合理的层级划分。符合社会一般合理认知下共识的私密信息,应强化其防御性保护,非特定情形不得处理;不具备私密性的一般信息,在征得信息主体的一般同意后,即可正当处理;兼具防御性期待及积极利用期待的个人信息,应结合使用场景判断是否构成隐私,根据信息内容、处理场景、处理方式等,进行符合社会一般合理认知的判断。社交通讯软件好友列表和读书信息不能笼统地纳入符合社会一般合理认知的私密信息范畴,而更符合前述第三类信息的特征。

处理个人信息应获得用户有效同意

前述案件中,T公司辩称:阅读应用软件没有为原告自动添加好友,阅读应用软件获得原告的社交通讯好友关系数据是使用已经获得的社交通讯好友数据的行为,并非收集个人信息的行为且经过原告同意,阅读应用软件向原告共同使用阅读应用软件的社交通讯好友展示读书信息,均经过了原告的授权同意,不构成对原告隐私权及个人信息权益的侵害。

法院认为,本案中,阅读应用软件以手机页面告知用户其收集信息的内容、获取用户同意的方式不违反法律规定,但是其告知的内容并不能确保用户充分了解、知悉信息处理的方式、范围及风险。阅读应用软件收集原告社交通讯好友列表,向原告并未主动添加关注的通讯好友自动公开读书信息,并未对原告进行显著告知或获得原告的同意,具有过错。用户不在阅读应用软件中添加关注即能看到社交通讯好友的读书信息,应向用户显著提示并获得用户同意,而且阅读应用软件自动为用户添加关注,更需要显著提示用户并获得明确同意。现并无任何证据证明阅读应用软件就此获得了原告的知情同意,且于软件内显著位置展示了原告的读书信息,其过错程度更高。

综上,T公司及其关联公司构成对于原告个人信息权益的侵犯,应当立即停止使用通讯好友关系的行为,解除阅读应用软件中原告通讯好友对其的关注并停止展示原告阅读信息。

■法官讲法典

民法典规定,处理个人信息应当遵循合法、正当、必要原则,不得过度处理。

网络运营者收集、使用个人信息应获得用户的同意,并且该知情同意应当有效。大型互联网平台在关联产品中共享用户个人信息的,也应获得用户有效的同意。根据民法典,信息处理者应当“公开”处理规则、“明示”处理的目的、方式和范围。具体实践中,用户知情同意的有效性,可从信息处理者告知信息主体的“透明度”来衡量,即一般理性用户在具体场景下,对信息处理主体处理特定信息的目的、方式和范围知晓的清晰程度,以及作出意愿表示的自主、具体、明确程度。2021年11月1日起施行的个人信息保护法第七条对此也作出了明确的要求。(摘自人民法院报)

SourcePh" style="display:none">