版权声明:本文版权归文章作者所有,仅代表作者观点,本文不用于商业用途,仅为学习交流之用,如文中的内容、图片、音频、视频等如有侵权,请及时联系本站站长删除。
本文来源于微信公众号【国瓴合规研究院】
【编者按】
本讲义由上海国瓴律师事务所名誉主任、上海交通大学网络空间治理研究中心主任寿步教授撰写,内容取材于2016年11月我国网络安全法发布以来至2023年2月底期间的相关规范性文件,权威性高,实用性强,可供关心网络安全法律政策的读者阅读。连载共13篇。
目录
第六节 个人信息的查询、更正、删除规则
一、相关规定
关于个人信息的删除和更正,网络安全法第四十三条规定:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”民法典第一千零三十七条规定:“自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。
自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”
第一千零三十八条 信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
《个人信息保护法》“第四章 个人在个人信息处理活动中的权利”部分,规定如下:
【知情权、决定权、限制权、拒绝权】第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。
【查阅权和复制权】第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。
个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。
个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
【更正权】第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。
个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。
【删除权】第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(五)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
【解释权】第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。
【死者个人信息权利】 第四十九条 自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
【请求权处理机制】第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。
二、个人信息查询
《个人信息安全规范》在“8 个人信息主体的权利”部分,有如下规定:
“8.1 个人信息查询
个人信息控制者应向个人信息主体提供查询下列信息的方法:
a) 其所持有的关于该主体的个人信息或个人信息的类型;
b) 上述个人信息的来源、所用于的目的;
c) 已经获得上述个人信息的第三方身份或类型;
注:个人信息主体提出查询非其主动提供的个人信息时,个人信息控制者可在综合考量不响应请求可能对个人信息主体合法权益带来的风险和损害,以及技术可行性、实现请求的成本等因素后,作出是否响应的决定,并给出解释说明。”
三、个人信息更正
《个人信息安全规范》“8 个人信息的权利”项下对个人信息更正规定如下:
“8.2 个人信息更正
个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的,个人信息控制者应为其提供请求更正或补充信息的方法。”
四、个人信息删除
《个人信息安全规范》“8 个人信息主体的权利”部分,有如下规定:
“8.3 个人信息删除
对个人信息控制者的要求包括:
a) 符合以下情形,个人信息主体要求删除的,应及时删除个人信息:
1)个人信息控制者违反法律法规规定,收集、使用个人信息的;
2)个人信息控制者违反与个人信息主体的约定,收集、使用个人信息的。
b) 个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止共享、转让的行为,并通知第三方及时删除。
c) 个人信息控制者违反法律法规规定或违反与个人信息主体的约定,公开披露个人信息的,且个人信息主体要求删除的,个人信息控制者应立即停止公开披露的行为,并发布通知要求相关接收方删除相应的信息。”
五、个人信息主体撤回授权同意
《个人信息安全规范》在“8 个人信息主体的权利”部分,有如下规定:
“8.4 个人信息主体撤回授权同意
对个人信息控制者的要求包括:
a) 应向个人信息主体提供撤回收集、使用其个人信息的授权同意的方法。撤回授权同意后,个人信息控制者后续不应再处理相应的个人信息;
b) 应保障个人信息主体拒绝接收基于其个人信息推送商业广告的权利。对外共享、转让、公开披露个人信息,应向个人信息主体提供撤回授权同意的方法。
注:撤回授权同意不影响基于授权同意的个人信息处理。”
六、个人信息主体注销账户
《个人信息安全规范》在“8 个人信息主体的权利”部分,有如下规定:
“8.5 个人信息主体注销账户
对个人信息控制者的要求包括:
a) 通过注册账户提供产品或服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且方法简便易操作;
b) 受理注销账户请求后,需要人工处理的,应在承诺时限内(不超过15个工作日)完成核查和处理;
c) 注销过程如需进行身份核验,要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型;
d) 注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务,如注销单个账户视同注销多个产品或服务,要求个人主体填写精确的历史操作记录作为注销的必要条件等;
注1:多个产品或服务之间存在必要业务关联关系的,例如,一旦注销某个产品或服务的账户,将会导致其他产品或服务的必要业务功能无法实现或者服务质量明显下降的,需向个人信息主体进行详细说明。
注2:产品或服务没有独立的账户体系的,可采取对该产品或服务账号以外其他个人信息进行删除,并切断账户体系与产品或服务的关联等措施实现注销。
e) 注销账户的过程需收集个人敏感信息核验身份时,应明确对收集个人敏感信息后的处理措施,如达成目的后立即删除或匿名化处理等;
f) 个人信息主体注销账户后,应及时删除其个人信息或匿名化处理。因法律法规规定需要留存个人信息的,不能再次将其用于日常业务活动中。
七、个人信息主体获取个人信息副本
《个人信息安全规范》在“8 个人信息主体的权利”项下规定个人信息主体获取个人信息副本的规则:
“8.6个人信息主体获取个人信息副本
根据个人信息主体的请求,个人信息控制者宜为个人信息主体提供获取以下类型个人信息副本的方法,或在技术可行的前提下直接将以下类型个人信息的副本传输给个人信息主体指定的第三方:
a) 本人的基本资料、身份信息;
b) 本人的健康生理信息、教育工作信息。”
八、响应个人信息主体的请求
《个人信息安全规范》在“8 个人信息主体的权利”部分,有如下规定:
“8.7 响应个人信息主体的请求
对个人信息控制住的要求包括:
a) 在验证个人信息主体身份后,应及时响应个人信息主体基于8.1-8.6提出的请求,应在三十天内或法律法规规定的期限内作出答复及合理解释,并告知个人信息主体外部纠纷解决途径;
b) 采用交互式页面(如网站、移动互联网应用程序、客户端软件等)提供产品或服务的,宜直接设置便捷的交互式页面提供功能或选项,便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利;
c) 对合理的请求原则上不收取费用,但对一定时期内多次重复的请求,可视情况收取一定成本费用;
d) 直接实现个人信息主体的请求需要付出高额成本或存在其他显著困难的,个人信息控制者应向个人信息主体提供替代方法,以保障个人信息主体的合法权益;
e) 以下情形可不响应个人信息主体基于8.1-8.6提出的请求,包括:
1) 与个人信息控制者履行法律法规规定的义务相关的;
2)与国家安全、国防安全直接相关的;
3)与公共安全、公共卫生、重大公共利益直接相关的;
4)与刑事侦查、起诉、审判和执行判决等直接相关的;
5)个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的;
6)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
7)响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的;
8)涉及商业秘密的。
f) 如决定不响应个人信息主体的请求,应向个人信息主体告知该决定的理由,并向个人信息主体提供投诉的途径。”
九、投诉管理
《个人信息安全规范》在“8 个人信息主体的权利”部分,有如下规定:
“8.8 投诉管理
个人信息控制者应建立投诉管理机制和投诉跟踪流程,并在合理的时间内对投诉进行响应。”
第七节 App收集使用个人信息治理
一、App收集使用个人信息治理进程
App运营者作为典型的网络运营者,在其收集、使用个人信息时,应当遵守《网络安全法》等法律法规有关个人信息保护的要求。但目前,移动互联网应用程序(App)强制授权、过度索权、超范围收集个人信息的问题严重,亟待治理。
2019年1月23日,中央网信办、工业和信息化部、公安部、市场监管总局发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。
2019年3月1日,信安标委、中国消费者协会、中国互联网协会、中国网络空间安全协会组成的App专项治理工作组,结合2017年和2018年“隐私条款专项评审”等工作经验,对外发布了《App违法违规收集使用个人信息自评估指南》技术文件,提出评估点,App运营者可参照该指南对其收集使用个人信息的情况进行自查自纠,主动提升个人信息保护水平。
2019年3月13日,市场监管总局、中央网信办发布《关于开展App安全认证工作的公告》,并附《移动互联网应用程序(App)安全认证实施规则》,以鼓励App运营者主动进行App安全认证,规范App收集使用个人信息的行为。
2019年12月30日,中央网信办、工信部、公安部、市场监管总局联合制定的《App违法违规收集使用个人信息行为认定方法》正式发布,认定方法的内容结合了一年来关于App违法违规收集使用个人信息检测评估工作的经验和规律,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引。
2020年1月15日,信安标委发布《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》,其中明确了App收集个人信息时应满足的基本要求,用于规范移动互联网应用运营者收集个人信息的行为。特别是对“常用服务类型的最小必要信息”给出了详尽列举。
2020年1月20日,信安标委发布《信息安全技术 个人信息告知同意指南(征求意见稿)》,为网络运营者个人信息处理告知的内容、结构及征得个人信息主体同意收集、使用、对外提供个人信息的方式提供指导。其亦适用于规范网络运营者在网络环境中进行个人信息告知同意的情形。
2020年5月25日,App专项治理工作组发布《APP 违法违规收集使用个人信息专项治理报告(2019)》。报告介绍了治理工作开展情况,包括技术规范制定、举报信息受理、专业机构检测评估、问题督促整改及处置,以及四部门全面推进深化治理等。报告引用多方数据,客观分析了个人信息保护相关突出问题、企业能力、民众意识、社会影响等方面的发展变化趋势,展示了治理工作成效。在总结 2019 年治理工作经验的基础上,就持续开展治理工作、培育良好移动互联网生态,提出了具体建议。
2020年7月22日,中央网信办、工信部、公安部、国家市场监管总局四部门在京召开会议,启动2020年App违法违规收集使用个人信息治理工作。
2020年12月1日,国家互联网信息办公室发布《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》。该文件规定了地图导航、网络约车、即时通信等38类常见类型App必要个人信息范围。必要个人信息是指保障App基本功能正常运行所必须的个人信息,缺少该信息App无法提供基本功能服务。只要用户同意收集必要个人信息,App不得拒绝用户安装使用。
2021年3月12日,为贯彻落实《网络安全法》关于“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则”“网络运营者不得收集与其提供的服务无关的个人信息”等规定,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》,明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。
2021年4月19日,信安标委发布《信息安全技术 移动互联网应用程序(APP)个人信息安全测评规范(征求意见稿)》、《信息安全技术 移动互联网应用程序(APP)SDK安全指南(征求意见稿)》两项国家标准的征求意见稿。
《APP个人信息安全测评规范》作为支撑GB/T 35273-2020《信息安全技术 个人信息安全规范》在移动互联网应用程序(App)方面的实施,针对App个人信息安全测评标准和尺度不一致等问题,综合考虑GB/T 35273-2020《信息安全技术 个人信息安全规范》和相关要求,结合App实现自身业务功能的过程中涉及的个人信息收集、传输、存储、处理、交换、销毁等环节,规定了依据GB/T 35273—2020《信息安全技术 个人信息安全规范》开展App个人信息安全测评的实施过程以及对各项具体安全要求进行测评的方法,为第三方测评机构在对App的个人信息安全进行测评时提供指导,也可供App提供者开展App个人信息安全自评时作为参考。《APP SDK安全指南》旨在遏制SDK的恶意行为、安全漏洞、违法违规收集用户个人信息的乱象,最大程度地保障App提供者、SDK提供者和最终用户的利益,促进移动互联网应用SDK行业的健康绿色发展。安全指南旨在解决如下主要问题:SDK的代码开发安全问题;SDK的运营管理安全问题;SDK对个人信息处理的安全问题。安全指南可作为SDK提供者的安全实践指导,也可能作为主管监管部门、第三方评估机构监督、管理和评估的依据。
2021年4月21日,为了保障网络用户正常使用移动互联网应用程序,引导移动互联网应用程序启动屏广告规范发展,中国广告协会、中国互联网协会研究起草的《移动互联网应用程序(APP)启动屏广告行为规范(征求意见稿)》发布。规范适用于利用APP启动屏发布商业广告的行为。
2021年4月26日,为强化App个人信息保护管理的系统性、整体性和协同性,在总结专项治理工作经验基础上,在国家互联网信息办公室的统筹指导下,工信部会同公安部、市场监管总局起草的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》)发布。该稿共计二十条,界定了适用范围和监管主体;确立了“知情同意”“最小必要”两项重要原则;细化了App开发运营者、分发平台、第三方服务提供者、终端生产企业、网络接入服务提供者五类主体责任义务;提出了投诉举报、监督检查、处置措施、风险提示等四方面规范要求。
此外,信安标委秘书处组织制定和发布了一系列标准相关技术文件《网络安全标准实践指南》,旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题,宣传网络安全相关标准及知识,提供标准化实践指引。例如:
2020年3月20日,信安标委秘书处发布《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》。该实践指南依据法律法规和政策标准要求,基于相关评估工具数据统计和近期疫情防控App发现的问题,给出了当前App个人信息保护合规的常见问题和防范策略,建议App (含小程序)运营者和疫情防控App参考本实践指南,采取相应措施持续提升个人信息保护水平。
2020年7月22日,信安标委秘书处发布《网络安全标准实践指南 移动互联网应用程序(App)收集使用个人信息自评估指南》。在2019年3月1日App专项治理工作组发布的《App违法违规收集使用个人信息自评估指南》的基础上,依据《网络安全法》等法律法规要求,参照四部委制定的《App违法违规收集使用个人信息行为认定方法》和相关国家标准,结合检测评估工作经验,《实践指南》归纳总结了App收集使用个人信息的六项评估点,供App运营者自评估参考使用,小程序、快应用等运营者也可参考其中的适用条款进行自评估。
2020年9月18日,信安标委秘书处发布《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》。该实践指南依据法律法规和政策标准要求,针对App申请使用系统权限存在的强制、频繁、过度索权,以及捆绑授权、私自调用权限上传个人信息、敏感权限滥用等典型问题,给出了App申请使用系统权限的基本原则和安全要求,建议App 提供者参考本实践指南规范App系统权限申请和使用行为, 防范因系统权限不当利用造成的个人信息安全风险。
2020年9月18日,信安标委秘书处发布《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》。该实践指南依据法律法规和政策标准要求,针对App存在的超范围收集、强制索权、频繁索权、未同步告知收集目的等问题,基于对相关问题出现频率的统计,给出了当前App 个人信息保护十大常见问题和处置指南,建议App运营者参考本实践指南防范和处置相关问题。其适用于App运营者防范和处置个人信息保护常见问题,也可为App开发者、移动互联网应用分发平台运营者和移动智能终端厂商提供参考。
2020年11月27日,信安标委秘书处发布《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》。针对当前App使用SDK过程中存在的SDK自身安全漏洞、SDK恶意行为、SDK违法违规收集App用户的个人信息问题,结合当前移动互联网技术及应用现状,该实践指南给出了App提供者、SDK提供者针对SDK安全问题的实践指引。
从2020年11月至2021年1月,电信终端产业协会(英文缩写为TAF)的官网(http://www.taf.org.cn/)先后三次发布并实施团体标准《APP收集使用个人信息最小必要评估规范》系列的17份文件。这些文件是:
T/TAF 077.1-2020 APP收集使用个人信息最小必要评估规范 总则
T/TAF 077.2-2020 APP收集使用个人信息最小必要评估规范 位置信息
T/TAF 077.3-2020 APP收集使用个人信息最小必要评估规范 图片信息
T/TAF 077.4-2020 APP收集使用个人信息最小必要评估规范 终端通讯录
T/TAF 077.5-2020 APP收集使用个人信息最小必要评估规范 设备信息
T/TAF 077.6-2020 APP收集使用个人信息最小必要评估规范 软件列表
T/TAF 077.7-2020 APP收集使用个人信息最小必要评估规范 人脸信息
T/TAF 077.8-2020 APP收集使用个人信息最小必要评估规范 录像信息
T/TAF 077.9-2020 APP收集使用个人信息最小必要评估规范 短信信息
T/TAF 077.10-2020 APP收集使用个人信息最小必要评估规范 录音信息
T/TAF 077.11-2020 APP收集使用个人信息最小必要评估规范 通话信息
T/TAF 077.12-2020 APP收集使用个人信息最小必要评估规范 好友列表
T/TAF 077.13-2020 APP收集使用个人信息最小必要评估规范 传感器信息
T/TAF 077.14-2020 APP收集使用个人信息最小必要评估规范 应用日志信息
T/TAF 077.15-2020 APP收集使用个人信息最小必要评估规范 房产信息
T/TAF 077.16-2020 APP收集使用个人信息最小必要评估规范 交易记录
T/TAF 077.17-2020 APP收集使用个人信息最小必要评估规范 身份信息
二、App违法违规收集使用个人信息行为认定方法
“一、以下行为可被认定为“未公开收集使用规则”
1.在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;
2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;
3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;
4.隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。
二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”
1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;
3.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的或者目的不明确、难以理解;
4.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。
三、以下行为可被认定为“未经用户同意收集使用个人信息”
1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;
2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;
3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;
4.以默认选择同意隐私政策等非明示方式征求用户同意;
5.未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;
6.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;
7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;
8.未向用户提供撤回同意收集个人信息的途径、方式;
9.违反其所声明的收集使用规则,收集使用个人信息。
四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”
1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
4.收集个人信息的频度等超出业务功能实际需要;
5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;
6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
五、以下行为可被认定为“未经同意向他人提供个人信息”
1.既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;
2.既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息;
3.App接入第三方应用,未经用户同意,向第三方应用提供个人信息。
六、以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”
1.未提供有效的更正、删除个人信息及注销用户账号功能;
2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件;
3.虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;
4.更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;
5.未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。”
第八节 案例介绍
一、App收集使用个人信息治理进程
案例类型:法院一审判决
审理法院:北京市朝阳区人民法院
案号:(2018)京0105民初36658号
裁判日期:2018.12.29
相关法条:网络安全法第四十条、第四十一条、第四十二条、第四十五条、第七十四条,《民法总则》第一百一十一条,《侵权责任法》第三十七条,《民事诉讼法》第二百五十三条
(一)案情简介
2017年8月9日,申某通过携程公司手机APP平台订购了两张联程航班机票。8月10日,申某收到+85295672718号码向申某在携程注册账号及订购涉案机票所留手机号发送的短信,短信内容为:航班因起落架故障已被取消,请及时致电客服办理改签或退票。申某称其按照短信提示拨打了“客服电话”,“客服”准确地说出了乘机人的相关信息,并再次告知申某因航班取消需退款1250元。后申某在办理所谓“退款”的过程中,又再次被骗开通并使用支付宝亲密付功能及工商银行网上银行转账,向对方付款19008.99元和99976元。8月10日,申某向北京市公安局朝阳分局大屯派出所报案。8月11日,申某被诈骗一案刑事立案,截至本案一审辩论终结前该刑事案件尚未侦破。
申某提起诉讼,请求判令:1、二被告连带承担经济损失118900元;2、二被告连带承担精神损害抚慰金10000元并以公开方式赔礼道歉。
携程公司辩称:不同意申某的全部诉讼请求。携程公司不存在任何过错,不存在侵权行为。(1)携程公司并非唯一获取申某信息的民事主体,且申某不能证明是携程公司泄露了申某的个人信息。(2)携程公司已尽到信息保密义务。(3)申某个人存在重大过失,没有尽到谨慎注意义务。申某损失的直接原因是刑事诈骗,应由刑事案件处理后追回被诈骗的款项。
支付宝公司辩称:不同意申某的全部诉讼请求。(1)支付宝的亲密付功能系申某自行开通。支付宝公司已经将支付方式的风险充分提示给用户,支付宝公司只能进行形式审查。(2)支付宝软件不存在漏洞,支付宝公司在亲密付开通的过程中已经尽到了充分的告知义务。(3)支付宝公司提供亲密付功能的行为与申某的损失不具备直接的因果关系。(4)申某要求支付宝公司和携程公司承担连带责任,不具有事实和法律依据。(5)申某主张的精神损失不具有法律依据。
(二)法院认为
根据《侵权责任法》第三十七条,《民法总则》第一百一十一条,网络安全法第四十条、第四十一条、第四十二条、第四十三条、第七十四条的规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。网络运营者对网络用户的个人信息负有安全保障的法定义务,具体包括:严格保密信息并健全用户信息保护制度;合规收集和使用信息;采取必要技术等相关措施,确保收集的个人信息安全;管理机构和人员须尽职管理的保障义务等用户信息安全保障义务。
争议焦点一,申某在携程公司订购机票过程中产生的信息是否属于民法所保护的申某的个人信息。对个人信息的保护而言,重点在于信息与信息主体身份之间的识别关系。申某的手机号和机票行程信息可以与信息主体申某个人进行匹配与识别,符合个人信息识别能度的根本特征,据此,申某被泄露的上述诸信息为民法所保护。
争议焦点二,申某的个人信息是否为携程公司所泄露,携程公司是否尽到了对申某订购机票信息的安全保障义务,应否承担民事责任。基于涉案个人信息被短时间泄露等时空背景条件,本院认定携程公司作为消费者所直接面对的第一手完整信息保管者存在泄露申某涉案个人信息的高度可能。本案中,申某对个人信息泄露已完成举证。携程公司应就其对申某的个人信息泄露无故意或过失之事实负举证责任。但从现有证据看,携程公司在信息安全管理的落实方面存在漏洞,未尽到对个人信息负有的信息保管及防止泄露义务,具有过错,应承担侵权责任。
争议焦点三,支付宝公司对申某的银行卡账户资金通过支付宝公司亲密付功能支出所发生的损失是否应承担民事责任。申某因受骗先后开通了支付宝亲密付功能和工商银行手机银行功能并转款,虽然支付宝亲密付的授权消费对象没有实名制,但在手机银行功能存在实名制以及支付宝、手机银行均对申某进行了开通提示的情况下,申某仍完成了转账行为。可见,申某受骗原因是其过于轻信和轻率,与是否实名制及是否尽到风险提示义务并无直接因果关系。故在本案中申某请求支付宝公司承担侵权责任,本院不予支持。
争议焦点四,申某被诈骗的刑事立案是否影响本案作为民事纠纷的受理。案外人因实施诈骗犯罪形成的刑事法律关系与基于违反安全保障义务形成的民事侵权法律关系显属两种不同的法律关系。本案作为民事案件,无须以刑事案件的处理结果为依据。故本案以民事纠纷受理符合法律规定。
(三)裁判结果
一、被告上海携程商务有限公司于本判决生效后十日内赔偿原告申某经济损失5万元;
二、被告上海携程商务有限公司于本判决生效后十日内向原告申某出具书面道歉声明,向其赔礼道歉(书面声明内容需经本院核准,如被告上海携程商务有限公司拒不履行该义务,本院将在全国公开发行的媒体上公布本判决的主要内容,费用由被告上海携程商务有限公司负担);
三、驳回原告申某的其他诉讼请求。
二、奥音科技(镇江)有限公司与镇江市超速计算机科技网络有限责任公司网络侵权责任纠纷案
案例类型:法院一审判决
审理法院:江苏省镇江经济开发区人民法院
案号:(2018)苏1191民初3023号
裁判日期:2018.12.24
相关法条:网络安全法第四十二条第一款,《侵权责任法》第三十六条,《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第九条,《民事诉讼法》第一百四十二条、第一百四十四条
(一)案情简介
网民“大港大统华”在被告镇江市超速计算机科技网络有限责任公司经营管理的梦溪论坛(××)“茶余饭后”版块先后发布标题为“大港航空航天园区奥音公司违反劳动法六个月后为员工缴五险,招聘员工多日后辞退”、“大港扬子江路航空航天园区4号奥音公司维修设备技工技师滥竽充数,出现问题先辱骂员工”、“大港扬子江路航空航天园4号奥音科技,你到底是不是好工厂”、“奥音科技有限公司非法雇佣未成年童工,有管理人员工作时间调戏女下属”的网贴。2018年8月17日,原告奥音科技(镇江)有限公司填写镇江网友之家帖子处理申请表,申请将上述网贴删除。9月18日,原告制作书面申请函要求被告提供发帖人“大港大统华”的身份信息并将上述网贴删除,但未能举证证明该函寄出日期及被告签收日期。9月21日,原告再次通过电子邮件形式向被告发送删帖申请。9月24日,被告将上述网贴删除。
原告提出诉讼,请求判令:1.被告立即停止侵害、公开道歉,赔偿原告名誉损失1万元;2.承担本案全部诉讼费用。
被告辩称:1.本被告于2018年9月24日收到原告书面投诉函后已经删帖;2.网民“大港大统华”为网站实名账号,网站无权向司法机关以外的其他方提供实名信息。
(二)法院认为
被告作为网络服务提供者为网络用户提供电子公告服务,网络用户在被告论坛中发表文章众多,不能苛求被告对网络用户发布的信息一一核实。原告于2018年8月17日填写申请表,于9月21日向被告发出删帖的通知,被告于9月24日对涉案网贴进行了删除,并不存在故意拖延的情形。根据法律规定,网络运营者不得泄露其收集的个人信息,未经被收集者同意,不得向他人提供个人信息。网民“大港大统华”为实名账户,被告拒绝向原告提供网民“大港大统华”个人真实身份信息的行为并无不当。综上不能认定被告存在过错,原告认为被告侵犯其名誉权的主张依据不足,本院不予支持。
(三)裁判结果
驳回原告奥音科技(镇江)有限公司的诉讼请求。
三、戴某某与常州市公安局钟楼分局不履行法定职责纠纷案
案例类型:法院二审判决
审理法院:江苏省常州市中级人民法院
案号:(2018)苏04行终16号
裁判日期:2018.02.12
相关法条:网络安全法第四十四条,《人民警察法》第六条,《治安管理处罚法》第四十二条第六项,《行政诉讼法》第六十九条,《行政诉讼法》第八十九条第一款第一项
(一)案情简介
2017年6月15日,北大街派出所接到群众反映,大观路有不稳定因素,社区民警于次日上午进行实地走访,发现大观路34号缪某某家中安装的摄像头有2个对着上诉人戴某某家。汤某某家中也安装了摄像头。缪某某、汤某某向民警反映戴某某向其家中倾倒垃圾。被上诉人常州市公安局钟楼分局(以下简称钟楼公安分局)经调查后认为,露天阳台并非私密空间或个人生活场所,摄像头所拍摄的内容不涉及戴某某隐私。缪某某、汤某某没有对外发布、散布,实施相关牟利或造成戴某某名誉明显减损的行为。2017年7月10日,钟楼公安分局作出不予调查处理告知书,建议戴某某向其他有关主管机关报案或投诉。该告知书于次日送达戴某某。
戴某某认为钟楼公安分局未依法履行法定职责,提起诉讼。一审法院认为,缪某某、汤某某摄像头所拍摄的内容不涉及戴某某的隐私,二人的行为未违反《治安管理处罚法》第四十二条第(六)项的规定。另外,未发现缪某某、汤某某存在通过网络对外发布、散布,实施相关牟利或者造成戴某某名誉明显减损的行为,戴某某认为缪某某、汤某某的行为违反网络安全法第四十四条的主张,不予采纳。一审法院判决驳回戴某某的诉讼请求。
戴某某提起上诉,诉称:1.原审认定事实错误。戴某某没有向缪某某、汤某某家倾倒垃圾。2.原审适用法律错误。缪某某、汤某某违法使用探头采集他人信息并对他人实施监控,违反了《治安管理处罚法》。3.钟楼公安分局构成行政不作为。请求撤销原判,改判支持戴某某一审的诉讼请求,诉讼费用由被上诉人承担。
(二)法院认为
《治安管理处罚法》第四十二条第(六)项规定了对偷窥、偷拍、窃听、散布他人隐私行为的处罚。缪某某和汤某某家中安装的摄像头,朝向戴某某家露天阳台或大门,并非房屋内部个人生活私密空间,摄像头所拍摄的内容不涉及戴某某隐私,该局据此认定戴某某的举报不属公安机关管辖,作出不予调查处理告知书,并无不当。戴某某的上诉理由不能成立。
(三)裁判结果
驳回上诉,维持原判。
四、赵某某违反《互联网信息服务管理办法》案
案例类型:行政处罚
处罚机构:无锡市公安局梁溪分局
案号:梁公(广)行罚决字〔2018〕2762号
处罚日期:2018.11.21
相关法条:网络安全法第四十四条、第六十四条第二款
(一)案情简介
2018年4月7日,赵某某以人民币1000元的价格向占某某非法购买公民信息53249条,后被公安机关查获。
(二)处罚结果
对赵某某罚款五万元。
作者简介 PROFILE
寿步 国瓴名誉主任
寿步教授现为上海交通大学法学院教授、博士生导师,上海交通大学知识产权研究中心主任、网络空间治理研究中心主任,中国法学会网络与信息法学研究会副会长,中国科学技术法学会副会长、网络空间法专业委员会主任,中国法学会知识产权法学研究会常务理事,中国法学会案例法学研究会常务理事,中华全国律师协会信息网络与高新技术法律专业委员会顾问,上海知识产权法院特邀知识产权专家。
寿步教授长期从事法学与新技术交叉领域的法学研究、法学教育、法律实务工作,尤其是与计算机软件、网络游戏、云计算、网络安全、数据安全、个人信息保护等相关的领域。
寿步教授已出版个人专著5部、合著4部、主编著作21部。代表性论著有《中国软件版权诉讼实务》、《 计算机软件著作权保护》、《软件网络和知识产权》、《软件网络诉讼代理实务》、《信息时代知识产权教程》等。
发表评论 取消回复