首页
□ 通讯员 袁逸馨 记者 徐荔
载有个人信息的保险单通过搜索引擎可直接点开下载,个人信息泄露,该由谁来担责?
近日,上海市第一中级人民法院审结了这起个人信息保护纠纷案件,判决保险经纪公司与运营网站的技术公司应就信息泄露承担责任。
保单信息未加密,她起诉三家公司
2019年,高女士在一家保险经纪公司的介绍下,购买了一保险公司推出的保险产品。当时,高女士在保险经纪公司提供的网页上填写并提交了投保信息,此后收到了保险单下载链接。运营该投保网站的是一家技术公司,技术公司为投保人提供信息平台服务,如提供网络接入、信息传输、保单下载等。
三年后,高女士偶然在互联网上输入投保使用的手机号,搜索出一条网站链接,链接显示:“保险计划”。链接没有任何加密措施,点开链接就可看到高女士的保单信息,包括姓名、证件号、出生日期、职业等。高女士认为保险单的公开造成了自己的个人信息泄露,于是向保险监管机构进行投诉。接到投诉后,该网站对高女士的个人信息做了进一步技术处理,投诉一个月后已无法再通过手机号搜索到该保单。
而后,高女士以保险公司、保险经纪公司、技术公司泄露其个人信息向法院提起诉讼,要求三家公司清除互联网上披露的个人隐私信息,共同赔偿6万元。一审法院认为,依据在案证据难以认定三家公司侵犯了高女士的隐私权,鉴于高女士已确认再次搜索已看不到相关信息,驳回了高女士诉请。高女士不服,上诉至上海一中院。
不涉及隐私,但仍受《个人信息保护法》保护
上海一中院认为,本案已构成信息泄露,但案涉信息是否属于隐私权的保护范畴、案涉信息泄露的责任承担等问题存在争议。
上海一中院认为,案涉保险单所载明的手机号、身份证号码、职业等信息具有积极利用的属性,一般情况下可适用于正常的社会生活和社交场合,用于个人身份的识别和社会交往。因此,高女士主张被泄露的信息,难以界定为隐私权保护范畴。鉴于审理中高女士多次提及个人信息相关权益,并为此举证辩论,且高女士个人信息泄露事实发生或持续至《个人信息保护法》生效后。在高女士依法享有个人信息权益的前提下,具体保护规则可适用于《个人信息保护法》。
而保险公司对高女士个人信息的收集及提供具有合理目的,是与订立保险合同的目的直接相关,且与合作方即保险经纪公司曾约定用户个人信息保护相关要求,没有不当行为。因此,保险公司在案涉个人信息处理过程中不存在侵权行为。
技术公司是高女士个人信息的直接收集者与处理者,且依据相关证据,泄露网址链接指向技术公司运营的投保网站,被投诉后也是技术公司变更了保险单链接。由此,技术公司应就高女士案涉信息泄露承担侵权责任。
保险经纪公司引导有投保需求的客户在投保网站上填写信息并下单,与技术公司对于高女士个人信息的收集及嗣后使用、传输等具有共同目的,对其间涉及的个人信息处理方式也属共同决定。因此,保险经纪公司应就高女士案涉信息泄露承担连带责任。
综合案件情况,并为切实强化个人信息处理者对用户个人信息保护的考虑,上海一中院判决技术公司赔偿高女士1万元,保险经纪公司承担连带赔偿责任。
说法>>>
“个人信息”强调个人信息主体身份的识别性,即能够直接或经组合后,被信息控制人或他人合理利用以识别个人主体身份,权利人在某些情况下也可能存在主动积极使用的情形。个人信息泄露导致的损害后果并不特指财产性损害,客观现实情况也能反映出个人信息泄露产生的显著的、直接的财产性损害是极少数情况。个人信息作为人格权益的一类,非财产性损害也是人格权益受到侵害的判断标准之一,可依据一般社会常理加以判断。
对需要收集、处理涉及个人信息的企业而言,应负有妥善保存个人信息的义务,谨慎操作个人信息,否则侵害个人信息权益,造成损害的,应当依法承担相应责任。
放大
上一版
