作者共發了4篇帖子。
 |
聚焦人格权纠纷实务疑难问题丨曹湘芹:网络平台经营者处理用户个人信息的司法审查——以法答网第19批精选答问3为中心
曹湘芹 上海市徐汇区人民法院民事审判庭三级法官 |
|
一、网络平台用户登录、浏览信息属于个人信息 目前网络平台经营者主要借助Cookie技术来记录用户在使用网络服务过程中所形成的数据信息。Cookie数据记录了用户的身份信息、密码、网站浏览痕迹、停留时间、访问次数等。关于此类数据信息是否属于法律所保护的个人信息,存在两种观点。一种观点认为,网络平台用户的登录、浏览信息不属于个人信息。上述信息虽然反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但不能与网络用户个人身份对应识别,网络平台经营者和社会公众无法确定该信息的归属主体,且现有法律并未明确规定上述信息属于个人信息,司法的保护应当具有边界,故上述信息不属于个人信息。另一种观点认为,网络平台用户的登录、浏览信息属于个人信息。上述信息虽然不能直接体现具体的信息主体,但可以反映出该信息主体何时何地以何种方式从事了何种行为。同时,网络平台经营者还可以通过Cookie技术进行数据分析,从而为用户提供个性化服务。这些体现了上述信息与用户个人人格、身份有一定的联系。应当被认定为个人信息而被法律保护。笔者赞同第二种观点,理由有二:其一,我国法律规定对个人信息的界定是不断变化发展的。第一种观点产生的时间在2015年,当时法律对于个人信息并未单独作出保护,对于个人信息的界定只能参考国家工信部《电信和互联网用户个人信息的保护规定》的有关规定。[3]对于平台公司处理用户Cookie数据是否构成侵权的审查亦只能参考隐私权保护的相关规定。随着大数据时代对个人信息保护的需求越发迫切,《中华人民共和国民法总则》《网络安全法》《民法典》《个人信息保护法》等法律的出台逐步完善了对个人信息的界定,将个人信息分为私密信息和非私密信息:私密信息与个人隐私有更加密切的关联度,适用隐私权保护的相关法律规定;非私密信息适用个人信息保护的相关规定,并确认了以“可识别性”为核心的个人信息判断标准。个人信息的可识别性包括“直接识别”和“间接识别”。直接识别是根据已知的单个信息能够确定特定的自然人,不再需要其他信息的辅助和印证;间接识别是能够通过对信息的加工整合,在此基础上进行一定的推理,从而确定特定的自然人。[4]随着信息科技和算法的进一步发展,许多原本无法被认定为个人信息的诸多信息碎片,具有了能够衍变为个人信息的可能性。就现有技术而言,网络平台用户的登录、浏览信息与个人喜好密切相关,属于个人在网络留下的痕迹信息,结合此类信息可以勾画出用户的基本画像,已经达到可以将用户从众多自然人中识别出来的程度,具有可识别性。其二,网络平台用户的登录、浏览信息符合个人信息权益的人格权属性。人格权益系个人对其人身或行为所享有的自我决定的权利,体现人的自主性及个别性。[5]民法典人格权编对个人信息保护作出明确规定,认可个人信息权益属于人格权的范畴,具有独立的价值。用户在网络平台的登录、浏览信息体现个人的兴趣爱好、活动范围、消费记录、交易习惯、行为方式等各种信息,与个人的特质、社会身份等密切相关,体现出个人的人格价值,具有人格属性。因此,将网络平台用户的登录、浏览信息认定为个人信息进而加以保护,具有法律和现实的双重意义。 |
|
二、网络平台经营者处理用户登录、浏览信息的基本原则 自然人的个人信息权益受法律保护,网络平台经营者在处理用户的登录、浏览信息时,需要遵循以下原则: (一)合法、正当、必要、适度原则 一是手段和目的应合法正当。网络平台经营者必须在法律规定的限度内处理用户个人信息,不得通过误导、欺诈、胁迫等方式,也不能非法买卖、泄露用户的个人信息。若擅自收集、传播或非法使用用户信息等,可认定其实施侵权行为。 二是确保必要限度。网络平台经营者对用户个人信息的处理范围应当以实现其处理目的为限,采取对个人权益影响最小的方式,不得过度。如用户在注册登录网络平台账号填写个人信息时,网络平台同时索取获取用户的手机通讯录信息、存储信息权限等,若其不能作出合理解释,则构成对用户个人信息的非必要使用。三是限制使用程度。网络平台处理用户个人信息不得过度,需满足一定的比例要求,信息处理的全过程都应限于实现网络平台处理目的的最小范围,做到处理的数量最少、处理的频率最低、存储的时间最短、访问的次数最少等。[6] (二)诚实信用原则 诚实信用原则是民法中的帝王原则,民事主体从事一切民事活动都应当遵守诚信原则。具体到个人信息保护中,主要体现在网络平台经营者应当“秉持诚实、恪守信诺,不得通过误导、欺诈、胁迫等方式处理个人信息”。[7]它可具体化为三个层次的内容:一是事前诚信。要求网络平台经营者在获取用户信息前,应当给予用户充分的选择权,不得利用任何欺诈、误导、胁迫等方式致使用户陷入意志不自由状态。网络平台经营者在和用户签订个人信息使用协议时,不得不合理地免除、限制自身义务和责任,令双方权利义务严重失衡。二是事中诚信。要求网络平台经营者不得从事任何违反事先告知和承诺的处理活动,对用户个人信息的使用应当限制在双方实现约定的范畴内。在发生或具有发生损害个人信息主体合法利益的情况时,网络平台经营者应当及时通知,积极采取补救措施。三是事后诚信。当个人信息处理活动全部结束后,网络平台经营者应不再继续使用其收集、利用和处理用户的个人信息,做到及时、主动删除,以保证用户的信息安全及其合法权益。 |
|
三、网络平台经营者处理用户登录、浏览信息的免责事由 数据已成为目前社会进步的重要助推器,为了鼓励数据的共享和流动,最大程度地挖掘数据价值,保障数据行业的持续健康发展,司法审判应当在保障个人信息权益的基础上,赋予网络平台经营者依法享有基于数据产生的数据权益。在具体案件中,若网络平台经营者能够证明其存在下列情形,其对用户登录、浏览信息的处理不构成侵权。 (一)获得用户知情同意 用户的知情同意权是个人信息保护的核心机制,其本质是赋予用户对其个人信息被处理前知情且同意使用的权利。它包含三个维度的审查:一是用户知情同意的范围审查。在用户登录网站时,网络平台的经营者一般会通过和用户签订隐私协议的方式告知其cookie数据被处理的范围,在用户同意的范围内,网络平台对用户个人信息的处理通常不构成侵权。二是用户的自决权审查。用户在使用网络平台服务时,有权拒绝其个人信息被采集使用,有权撤回其之前作出的同意。这里主要审查网络平台经营者是否为用户提供同意以外的选项,若用户不同意平台处理其cookie数据便不可正常使用网站服务,或者平台未向用户提供便捷的撤回同意的方式,即使用户签署知情同意条款,网络平台对用户个人信息的处理亦可能构成侵权。三是法定豁免情形的审查。《个人信息保护法》第13条规定了6种个人信息处理者可以不需取得个人同意即可直接处理个人信息的法定情形,对于网络平台经营者来说,若其处理的是用户自行公开的个人信息,或是出于维护公共利益目的、存在紧急避险等情形,在合理范围内处理个人信息,均不构成侵权。 (二)处理用户个人信息并未对用户个人信息权益造成损害 损害结果的发生是民事主体承担侵权损害责任的前提。用户的个人信息权益作为人格权的组成部分,是否造成实际损失亦是网络平台经营者是否承担责任的前提。鉴于个人信息的无形性及其价值的难以评估性,个人信息权益受到的损害结果往往难以确认,实践中通常综合信息处理者获益和个人实际损失进行考量。若网络平台经营者在处理个人cookie数据时仅用于网站运营,并未获取商业价值,亦未对个人的信息权益造成实际损害后果,则不能认定其构成侵权。 (三)主观上不存在过错 《民法典》第998条将“过错程度”纳入行为人主体承担人格权民事责任的考量因素,从文意解释看,有“过错程度”的前提必须先有“过错”,故在个人信息保护纠纷案件的审理中,行为人过错依然是不可或缺的审查要件。[8]同时结合《个人信息保护法》第69条的规定,若网络平台经营者在处理用户个人信息时给用户的个人信息权益造成损害,同时又不能证明自己没有过错的,应当承担相应的侵权责任。 |
