作者:肖瑾 戴月 李苗洁 金杜律师事务所争议解决部

信息化时代下,用户个人信息数据化成为不可阻挡的趋势。此类数据是企业竞争的重要资源,一旦获取、使用、保护不当,企业将面临侵犯个人隐私权的风险。在我们近期代理的数据隐私权纠纷案件中,生产商、经销商、网络服务提供者常规的操作,竟引发了消费者提起的侵犯隐私权诉讼。

因此,我们以信息化时代为背景,就用户数据与用户隐私的关系、司法实践中如何认定侵权用户数据隐私权进行讨论,并就企业收集、使用、保护用户隐私数据的风险防范提出建议。

用户数据与用户隐私

(一)并非企业收集的所有用户个人信息数据都属于用户隐私

传统意义上的隐私权是指自然人享有的对其个人的、与公共利益、群体利益无关的个人信息、私人活动和私有领域进行支配并排除他人干涉的一种人格权。[i] 其中个人信息是指能够单独或者与其他信息结合识别自然人个人身份的各种信息,如自然人的姓名、出生日期、身份证号码、住址等[ii]

用户数据由包含用户个人信息的数据和用户一般数据组成,用户隐私数据属于用户个人信息范畴,然而并非所有用户个人信息数据均属于用户隐私。隐私权保护的对应仅针对基因信息、医疗资料、健康检查资料、犯罪记录、家庭住址、私人活动信息等个人隐私及其他特定的可能对个人私有领域产生重大影响的个人信息数据。[iii]举例而言,自然人的电子行程安排(如飞机的起落时间、地点、航班信息)[iv]、自然人的生活或工作状态变化(如手机开机时间)[v]属于私人活动,该类信息为法律保护的隐私权对象。

而对于姓名、手机、年龄等个人信息,其本应向外界告示,是否属于隐私范围则需要根据具体情形进行分析。

如在庞某诉北京某信息技术有限公司等隐私权纠纷一案中,庞某认为北京某信息技术有限公司泄露了其姓名、电话、行程安排等事项,侵犯了其隐私权。北京市第一中级人民法院认为:第一,即使单纯的姓名和手机号不构成隐私信息,由于庞某的姓名、手机和行程信息形成了指向特定个人的整体信息,因而整体上构成隐私信息;第二,姓名作为一种身份识别信息,也属于个人信息自主的内容,即个人有权自主决定是否公开及如何公开其整体的个人信息。因而法院认定,案涉姓名、电话号码及行程安排等事项属于隐私权的保护对象。

而在王某与北京凌云互动信息技术有限公司名誉权纠纷、隐私权纠纷案一案中,王某被人肉搜索其姓名、工作单位等个人信息。北京市朝阳区人民法院从信息的取得方式、披露方式、披露范围、披露目的及披露后果等因素综合认定,在王某婚姻不忠行为被披露的背景下,网民利用被披露的信息,开始搜索其个人信息,并出现了上门骚扰等严重后果,致使王某正常工作和生活秩序受到严重影响,因此该类个人信息属于隐私权范畴。

在信息化时代的特殊背景下,法院越来越倾向于将能够指向特定个人的信息进行一体保护,以适应个人隐私、个人信息数据化的趋势。

(二)用户隐私数据的法律保护

就用户数据、用户个人信息数据及用户隐私数据的保护,法律对网络运营者(包括网络的所有者、管理者和网络服务提供者)提出了不同的要求。

  1. 用户数据的保护

对于用户数据[vi],根据《网络安全法》,无论其是否涉及用户个人信息,网络运营者均具有安全保护义务,并应提供符合国家强制性要求的设备或产品,以保障网络免受干扰、破坏或未经授权的访问,防止用户数据泄露或被窃取、篡改。

另外,根据《侵权责任法》,若网络用户利用网络运营者服务实施侵权行为的,企业在收到权利人要求删除、屏蔽、断开连接等要求的通知后,应采取必要的措施,否则将与网络用户就扩大的损害承担连带责任。

  1. 用户个人信息的保护

对于用户个人信息,在其保护方面,法律提出了更高的要求。早在2012年全国人大常委会即通过《关于加强网络信息保护的决定》,其中明确规定了国家保护公民个人电子信息。网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者针对收集的用户个人信息应严格保密,并建立健全用户信息保护制度等。

《消费者权益保护法》和2017年6月1日起实施的《网络安全法》对此均进行了更加细致的规定。但是,《网络安全法》也就禁止向他人提供个人信息规定了例外情形,即经过处理无法识别特定个人且不能复原的信息除外[vii]

若未能依法收集、使用个人信息,个人有权要求网络运营者删除其个人信息;有关主管部门有权责令改正,并依情形给予警告、没收违法所得、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等行政处罚;如向他人出售或提供公民个人信息,情节严重或特别严重的,依《刑法》将被判处拘役至七年有期徒刑不等,并处或者单处罚金[viii]

  1. 用户隐私数据的保护

如果企业侵犯了用户隐私数据,则除上述保护方式外,企业还将根据《民法总则》(2017年10月1日起将根据《民法总则》)、《侵权责任法》等法律进一步承担侵权责任,承担责任的方式包括停止侵害、赔偿损失、赔礼道歉等等。在网络社会发达的今天,此类诉讼不仅可能对企业声誉造成影响,也极可能引发其他用户提起同类诉讼,从而造成企业的进一步损失。

司法实践中对侵犯用户隐私的认定

尽管司法实践中,个别法院适用了《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称“《利用网络侵害人身权益民事纠纷的规定》”)第十二条,认为仅需要满足“利用网络公开个人隐私和个人信息的行为”和“造成损害”两个构成要件,即可认定构成侵犯用户隐私,但我们更加赞同大多数法院的观点,即侵犯隐私权应满足四个条件:具备违法行为、具有损害事实、因果关系和主观过错。具体而言:

(一)企业具有侵犯用户隐私权的行为,一般表现为公开用户隐私数据

非法搜取、刺探隐私信息是否为侵犯隐私权的行为,在传统隐私权案件中存在争议。然而目前在利用信息网络侵犯隐私权的案件中,一般认为,侵犯隐私权的行为仅指公开(包括泄露、披露、宣扬等)隐私信息的行为。如在北京某科技有限公司与朱某隐私权纠纷一案中,南京市中级人民法院认为,网络运营者(在取得用户同意的前提下)搜集海量数据和Cookie信息仅在计算机系统内部操作,并未向第三方或公众展示或公开,并不满足《规定》第十二条的“利用网络公开个人隐私和个人信息的行为”特征。

据此,如果网络运营者仅在系统内对用户的数据进行操作,并未向第三方泄露、披露或宣扬,如收集用户特定数据以进行服务改进或技术开发(但应符合获取用户同意等法律规定),或在维修或升级中接触到用户的隐私信息,均非侵犯隐私权的行为。

尽管《利用网络侵害人身权益民事纠纷的规定》仅规制利用信息网络公开个人信息的行为,而未涵盖收集等行为类型[ix],但该类行为仍然可以通过隐私权保护以外的方式予以规制,如《消费者权益保护法》第二十九条规定了经营者收集、使用消费者个人信息的方式,以及《网络安全法》第四十一条规定了网络运营者收集、使用个人信息的原则、方式和范围等。

(二)用户的权益在事实上受到损害

与其他侵权案件相同,受害人的民事权益需受到损害。损害是指行为人的行为对受害人的民事权益造成的不利后果,既包括财产损失,还包括精神损害。

(三)企业行为与损害事实之间具有因果关系

尽管《利用网络侵害人身权益民事纠纷的规定》中并未要求因果关系和主观过错两个要件,但是由于利用信息网络侵犯隐私权为一般侵权责任纠纷,因此我们认为仍然应当考虑行为与事实之间是否存在直接的因果关系,并且其归责原则仍为过错责任。

(四)企业具有主观过错

司法实践中,在审查行为人主观上是否有过错时,考虑的因素包括企业主观上是否有泄露隐私信息的故意;企业是否对隐私信息尽到了管理、保密职责等。

需要注意的是,《中华人民共和国消费者权益保护法》第二十九条第二款中明确规定,经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。这是在立法层面上对消费者个人隐私和信息的保护,也是对经营者保护消费者个人信息的强制性规定。有法院认为[x],如企业未能够证明其采取必要措施加强对信息安全的保护,则违反了该条规定,即视为其存在过错。

信息时代下用户隐私权的特殊问题

(一)网络广告的精准投放

精准投放是指通过对用户IP地址或浏览、搜索等数据进行分析、处理,并对用户进行标签属性分类,进而根据广告主体的需求和广告内容,有针对性得投放广告。

目前司法实践认为,利用Cookie(Cookie是网络服务器在用户浏览器或客户端上保存的包含访问者信息的小文本文件)记录的用户偏好信息进行网络广告精准投放并不侵犯用户的隐私权,如在北京某科技有限公司与被上诉人朱某隐私权纠纷一案中,江苏省南京市中级人民法院分析认为:该技术收集的信息不符合“个人信息”的可识别要求。网络用户搜索引擎中形成的检索关键词,虽然反映了网络用户的活动轨迹及上网偏好,但收集和推送信息的终端是浏览器,无法识别网络用户的身份。

此外,网络运营者搜索关键词海量数据库以及大数据算法均在计算机系统内部操作,并未直接将数据库和cookie信息向第三方或公众展示或公开,因此并不符合《利用网络侵害人身权益民事纠纷的规定》中侵权构成要件之一,即“利用网络公开个人隐私和个人信息的行为”。结合网络运营者在《使用前必读》等文件中,明确告知网络用户可禁用Cookie,尊重用户的选择权,从而法院认定网络广告的精准投放并未侵犯用户的隐私权。

因此,精准广告投放所涉及的利用Cookie记录网络活动轨迹及上网偏好,或通过网络通讯协议分配IP地址识别某一群体(如高校、特定公司)的行为,由于所使用的信息并不具有“个人信息”的可识别性特征,因此并不属于隐私权的保护范畴。

但对于用户隐私数据,即可识别特定主体的个人信息,仍需要满足法律规定的信息搜集和信息安全保障要求。为降低风险,企业在使用用户数据时,可采取基于数据失真的技术,如差别隐私(Differential Privacy)技术、添加随机性噪声等方式,消除信息的可识别性。

(二)用户隐私数据收集

《网络安全法》规定,网络运营者应当(1)遵循公开收集、使用个人信息的原则;(2)明示收集、使用信息的目的、方式和范围;以及(3)取得被收集者的同意。网络运营者应当采取技术措施和其他必要设施[xi],以确保信息安全,防止信息泄露。

在信息搜集取得用户知情同意的方式上,国家标准化指导性技术文件《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z28828-2012,“《个人信息保护指南》”)区分了一般信息和敏感信息,以便在保护个人人格尊严与促进技术创新之间寻求最大公约数。敏感信息是指一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息,各行业个人敏感信息的具体内容会根据接受服务的个人信息主体意愿和各自业务特点确定。

前述《个人信息保护指南》第5.2.3条规定,收集个人一般信息时,可以认为个人信息主体默许同意,如果个人信息主体明确反对,则要停止收集或删除个人信息;但是在收集个人敏感信息时,需要得到个人信息主体的明示同意。

敏感信息包括了用户隐私数据。根据定义,构成隐私数据的个人信息包括基因信息、医疗资料、健康检查资料、犯罪记录、家庭住址、私人活动信息等个人隐私及其他特定的可能对个人私有领域产生重大影响的个人信息数据,隐私数据一旦泄露,必然会对信息主体产生不良影响。因此,收集用户隐私数据,应得到用户的明确同意。

网络运营者应当明确、具体地告知用户隐私数据的使用方式。如在北京某技术有限公司等与北京某网络技术有限公司不正当竞争纠纷一案中,网络运营者通过Open API开发合作模式向第三方公司开放用户的数据。第三方公司在手机用户数据时仅概括的提示“该应用将访问你的公开信息、好友信息”等,法院认为提示语中的“好友信息”不能当然地认定“好友信息”为用户的职业信息、教育信息,因此第三方平台获取用户信息不具有合法性。综上,网络运营者在使用用户信息,特别是用户的隐私数据时,应当明确告知其使用的目的、方式和范围。

(三)用户隐私数据存储保护

网络运营者就用户隐私数据承担着安全保护义务,根据《网络安全法》。其应采取下列必要的技术安全保障措施,以防止数据被未经授权的访问、窃取或篡改:

  • 制定内部安全管理制度和操作规程,落实网络安全保护责任;
  • 采取技术措施,以防范计算机病毒和网络攻击等危害网络安全行为;
  • 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志;
  • 采取数据分类、重要数据备份和加密等措施;以及
  • 其他法律、行政法规规定的义务。

然而司法实践对企业保护用户隐私数据提出了更高的要求,表现为并不要求用户确凿地证明网络运营者泄露了隐私信息,而仅要求证明企业具有泄露隐私信息的高度可能。

如在庞某与北京某信息技术有限公司等隐私权纠纷一案中,北京市第一中级人民法院认为,从收集证据的资金、技术等成本上看,作为普通人的庞某根本不具备对案涉公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力,因此客观上不能要求原告确凿地证明公司泄露其隐私信息。法院考量了案涉公司被多家媒体质疑信息泄露的背景因素、他人掌握庞某个人信息的可能性非常低等因素,综合认定定案涉公司存在泄露庞某个人隐私信息的高度可能,因而满足侵犯隐私权的行为要件。

因而实践中,网络运营者不仅仅要执行用户数据管理制度,在日常运行中,应进行定期系统漏洞排查工作;出现信息泄漏等紧急事项时,有应急、系统排查措施;针对信息泄露的媒体报道等信息,及时应对,并就应急、排查结果向社会公示;加强系统日志的储存和管理,并设立专门机构对系统配置和系统日志进行管理。

(四)网络运营者的风险防范建议

基于企业(包括网络的所有者、管理者和网络服务提供者)在网络运营中可能具有侵犯用户隐私数据的风险,我们提出如下风险防范建议:

  • 充分尊重用户隐私权、知情权和选择权,在搜集用户信息时明确告知用户个人信息使用的目的、方式和具体范围。
  • 建立信息分级制度。可将个人信息区分为个人敏感信息和非个人敏感信息的一般个人信息,允许采用不同的知情同意模式;针对用户隐私数据,采取明示同意的方式取得用户授权。
  • 在利用收集的用户数据时,如为技术升级进行数据分析时,采取匿名化的处理方式,或引入差别隐私(Differential Privacy)技术,以消除信息的可识别性特征。
  • 完善内部数据安全管理制度和操作规范,确定网络安全责任人,严格控制可接触用户敏感信息的人群范围和流程,落实网络数据信息安全的保护责任。
  • 采取必要的措施维护信息安全,如数据分类、重要数据备份、加密等安全措施;防范计算机病毒、网络攻击、网络侵入等技术风险;定期进行系统漏洞排查等。
  • 检测、记录网络运行状态、信息读取状态,特别是在允许第三方访问用户数据时,保留相关网络日志以进行风险防范。
  • 建立完善的互联网侵权处理制度,在收到权利人针对明确对象发起的侵权投诉时,在核实构成侵权的初步证明材料是否真实后,反馈处理结果并依情况采取删除、屏蔽、断开链接等必要措施。

正如庞某一案判决书所言:“在大数据时代,信息的收集和匹配成本越来越低,原来单个的、孤立的、可以公示的个人信息一旦被收集、提取和综合,就完全可以与特定的个人相匹配,从而形成某一特定个人的详细而准确的整体信息。此时,这些全方位、系统性的整体信息,就不再是单个的可以任意公示的个人信息,这些整体信息一旦被泄露扩散,任何人都将没有自己的私人空间,个人的隐私将遭受巨大威胁,人人将处于惶恐之中。”法院越来越倾向性地认为,保护用户信息是企业的社会责任。然而企业更应当时刻警惕侵犯用户隐私权的法律风险,通过建立用户信息保护制度、规范用户数据管理和操作规范,最大程度地发挥数据信息的价值,实现企业的商业价值和目的。

[i] 北京市第三中级人民法院民事判决书2016)京03民终9992号;北京市第二中级人民法院民事判决书(2017)京02民终194号;河南省高级人民法院民事判决书(2015)豫法民二终字第305号等。

[ii] 《网络安全法》第七十六条 本法下列用语的含义……(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

[iii] 《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条 网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。但下列情形除外:

(一)经自然人书面同意且在约定范围内公开;

(二)为促进社会公共利益且在必要范围内;

(三)学校、科研机构等基于公共利益为学术研究或者统计的目的,经自然人书面同意,且公开的方式不足以识别特定自然人;

(四)自然人自行在网络上公开的信息或者其他已合法公开的个人信息;

(五)以合法渠道获取的个人信息;

(六)法律或者行政法规另有规定。

网络用户或者网络服务提供者以违反社会公共利益、社会公德的方式公开前款第四项、第五项规定的个人信息,或者公开该信息侵害权利人值得保护的重大利益,权利人请求网络用户或者网络服务提供者承担侵权责任的,人民法院应予支持。

国家机关行使职权公开个人信息的,不适用本条规定。

[iv] 如北京市第一中级人民法院庞某与北京某信息技术有限公司等隐私权纠纷二审民事判决书中,法院认为原告庞某的行程安排无疑属于私人活动信息,属于隐私信息。

[v] 如河南省高级人民法院民事判决书((2015)豫法民二终字第305号中,中国移动提供的开机提醒业务,事实上侵犯了被叫用户的隐私权和个人信息安全,因为该信息反映了被叫用户的生活状态或工作状态的变化,被叫用户对本人的开机时间信息依法享有隐私权。

[vi] 《网络安全法》中的用语为“用户信息”,该概念与本文用户数据类似。

[vii] 《网络安全法》

第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

[viii] 《网络安全法》

第四十三条个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

第六十四条网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。

《刑法》

第二百五十三条之一 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。

单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。

[ix] 根据《最高人民法院民一庭负责人就<关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定>答记者问》,如此规定的原因在于“通过民事司法保护个人信息,有其内在的制度要求,例如,针对非法收集、利用个人信息的行为,如果在立法上无集体诉讼制度、公益诉讼等制度辅助,则实践中通过民事诉讼方式实现权益保护就比较困难。再例如,仅违法收集个人信息造成何种损害、作出何种赔偿、是通过行政手段治理更加有效还是通过民事诉讼手段更加合理,也需要立法上予以明确,等等。但是,通过信息网络非法公开个人信息的案件,在实践中已经发生,在法律上也应当承担侵权责任,应无异议。”

[x] 如北京市第一中级人民法院庞某与北京某信息技术有限公司等隐私权纠纷二审民事判决书。

[xi] 如《腾讯微信软件许可及服务协议》6.1, 腾讯对相关信息采用专业加密存储与传输方式,保障用户个人信息的安全(http://weixin.qq.com/agreement?lang=zh_CN)。