未经消费者同意,店家用手机小程序获取消费者线下交易信息;短视频博主发布系列视频后,被他人未经许可制作成AI换脸模版发布;免费电子邮箱未经合理方式提示用户注意,便“清空邮箱”……10月30日,北京互联网法院召开涉个人信息及数据相关案件审理情况新闻通报会,通报了此类案件的审理情况并发布8起典型案例。
数字时代到来,个人信息保护与数据合理利用也面临新问题、新挑战。当前,个人信息保护领域案件反映出哪些问题?个人以及互联网平台等个人信息处理者应如何做好个人信息保护?个人信息保护法施行三周年之际,《法治日报》记者采访了多家办理过此类案件的法官。
涉诉个人信息类型多样
“自2023年10月至今年10月底,北京互联网法院共受理113件涉及个人信息保护的案件,涉及的行业领域较为广泛,以互联网企业为被诉主体的案件最多,涉诉个人信息类型和侵权形态较为多样。”北京互联网法院副院长赵瑞罡介绍说。
“案件反映出,数字经济背景下,个人信息权益和其他人格权错综交织,呈现出较为复杂的权益形态。”赵瑞罡说,从保护客体来看,单独以个人信息权益受到侵害为由提起诉讼的案件有42件,占比37.2%;同时涉及个人信息权益及其他人格权的有71件,占比62.8%。在涉及多项人格权益的案件中,同时涉及个人信息权益和隐私权的案件最多,共35件。
赵瑞罡说,由于技术滥用、个人信息泄露、虚假信息传播等问题,导致个人信息侵权纠纷呈现出明显的技术性和复杂性。近年来,涉及“AI换脸”、电子商务平台利用算法对消费者进行“大数据杀熟”以及商业征信平台利用算法推荐技术错误关联个人侵害自然人个人信息权益的案件屡见不鲜。
“个人信息保护案件涉诉信息类型较为丰富,既包含基础个人信息,如手机号、身份证号等,也包含多种衍生信息,亦包括大量法律未明确列举的个人信息,如电子商务平台上形成的用户订单交易详情、客服沟通记录等。”赵瑞罡说,这反映出,个人信息与企业的衍生数据相互交织,呈现复杂的状态和趋势。
在北京互联网法院受理的个人信息保护案件中,涉及侵害知情权与决定权的最多,主要侵权形式为未经同意收集、公开、提供个人信息,或超范围收集个人信息,共73起诉讼,占比64.6%;排在第二位的,为主张被告泄露个人信息导致经济损失的案件,共33件,占比29.2%。
“从本院办理案件实际情况来看,涉及个人信息保护的案件主要集中在规模化处理个人信息的互联网平台。”赵瑞罡说,这类案件常涉及个人权益保护与促进数据利用之间的平衡。对个人信息处理者而言,希望鼓励个人信息、数据的共享,以最大化实现个人信息和数据的经济效用;对个人而言,大多数希望严格限制个人信息、数据共享,以避免自身合法权益遭受侵害。
个人信息处理者如何做好个人信息保护工作?赵瑞罡给出建议,个人信息处理者在个人信息处理活动中要始终坚持合法、正当、必要原则,自觉提升管理能力和水平,杜绝强制同意、超范围收集或者与服务场景无关的个人信息处理行为。在取得自然人同意的场景中,个人信息处理者要明示个人信息处理规则,确保自然人在充分知情的情况下作出明确同意,并建立已收集个人信息清单,充分保障个人对其个人信息享有的查阅复制、更正删除等权利。同时,个人信息处理者要着力完善内部管理机制,将相关法规政策要求落实到产品研发、推广和运营等各环节,建立“全生命周期”个人信息保护机制。
账号交易暗藏“黑灰产”
近年来,线上交易、线上支付成为人们日常生活的一部分,买卖他人个人信息及具有金融功能的App账号的“黑灰产业链”随之而来。
2022年,胡某等8人成立团队,打着志愿服务的旗号,在提供激活医保电子凭证服务的过程中,主要针对不会熟练使用智能手机的农村老年人群体,偷偷窃取其身份证信息、人脸识别信息、手机号码等个人信息,并注册一些具有金融性质的App账号。胡某等骗取317位农村老人个人信息后,将这些注册的账号打包出售牟利,非法获利近20万元。
今年1月,重庆市江津区人民法院以侵犯公民个人信息罪追究了胡某等人刑事责任。随后,检察机关又以胡某等8人侵犯农村老人个人信息权益向重庆市第五中级人民法院提起刑事附带民事公益诉讼,请求判令8名被告协助被侵权人注销已查明的涉案账号,消除社会风险,按照各自获利金额计算劳务时间,向农村老年人群体提供公益服务,并在省级以上媒体公开赔礼道歉。胡某等人全部认可检察机关认定的事实,并就民事责任达成调解协议。
“一些侵犯个人信息案件显示,如农村老年人等人群获取信息存在难度、防骗能力较弱,个人信息权益受到侵害的情况时有发生,帮助这些人群筑牢个人信息安全‘防火墙’的工作亟待加强。”重庆市五中院民一庭副庭长芦明玉说。
重庆市五中院及辖区部分基层法院对2020年以来审理的网络账号买卖相关案件进行梳理后发现,涉网络游戏、社交软件的账号及App会员账号交易日益增多,但市场秩序和交易规则不完备,使用户交易潜藏风险。
“不法分子充当‘号商’角色,大量倒卖各类网络账号并非法获利,形成新型‘网络黑灰产’,为电信诈骗、网络赌博、虚假交易等提供间接帮助,导致账号注册人沦为犯罪分子实施违法犯罪的工具,涉嫌帮信罪等违法犯罪行为;也有部分不法分子借买卖网络账号之名,行诈骗之实,给被害人造成严重财产损失。”重庆市五中院刑二庭副庭长尹华说。
“要加强数据监管,加强对网络账号交易的监管,增强利用大数据技术预防、查处非法虚拟账号交易行为的技术保障。与此同时,要明确并强化平台责任在账号管理中的责任,要求平台完善账号注册、使用、转让等环节的实名认证和监管措施。还要加强对用户的网络素养教育,增强用户对账号安全和个人信息保护的意识。”结合司法审判中相关情况,重庆市荣昌区人民法院四级高级法官黄常菊给出这些建议。
加强网络纠纷前端治理
2023年夏天,佟某(化名)联系了此前关注的“大仙”——自称只需付100元钱就能“看事儿”的刘某(化名)。佟某依照刘某的要求,将个人信息及情况一一进行告知。
刘某给出的“结论”不合佟某心意,佟某只支付了10元钱。刘某再次通过社交软件联系佟某表示不满时发现,佟某已将其“拉黑”。于是,刘某在短视频平台上发布了一则短视频。
“某地佟某大家有认识的吗?找我‘看事儿’不给钱。”刘某在短视频中说。短视频中还配了多张两人聊天记录截图,披露了佟某的姓名、身份证号码及健康状况等。佟某以侵害隐私权为由将刘某诉至长春互联网法庭。刘某接到法院通知后“下架”了视频。
“法院判决刘某散播佟某个人信息的行为构成对佟某隐私权的侵害,刘某应向佟某赔偿相应的经济损失。”长春互联网法庭庭长李爽说,随着移动互联网自媒体形式及用户使用习惯的变化,近两年,侵犯他人个人信息权益的情形在视频发布、直播活动过程中时有发生。一些自媒体运营者、网络主播为了“博眼球”获取流量,在视频、直播中发布他人个人信息,侵犯他人个人信息权益甚至多种人格权。
“面对以‘博眼球’获取流量为出发点的侵权案件,法官通常运用民法典进行裁判。在事实难以查明的情况下,还需要通过合理分配举证责任等方式还原案件事实。对此类侵权行为,希望能从净化网络空间的角度更有力地进行规制。”李爽说。
李爽说,结合案件来看,商家泄露他人个人信息及侵犯其他人格权的情况,还出现在购物平台引流推广、商家线上发布商品等行为中。
“对外发布整合的大量数据产生的影响,与单一数据发布相比不是一个‘重量级’。”长春互联网法庭法官邢程说,掌握个人信息的平台、企业,对于掌握的个人信息再次整合形成数据产品时的权属、使用目前还存在一些争论,但对外发布需要尽到谨慎义务,保持合理的边界。
“此类案件反映出加强网络纠纷前端治理和网络安全维护工作的必要性。”李爽说,长春互联网法庭与互联网行政执法部门建立了府院联动机制,推动加强对互联网平台的监管,强化平台责任落实,助力网络纠纷前端治理工作,维护网络安全。