˙
新闻与出版物
公开个人信息的流通边界 ——评“校友录头像被爬案”
Thu Feb 25 14:10:00 CST 2021 发布人:华诚小编

公开个人信息的流通边界——评“校友录头像被爬案”[①]

吴月琴  周晨曦

引言

《民法典》对于隐私权与个人信息保护作出了专章规定,与隐私权所注重的“私密性”及“消极防御”不同,一般个人信息兼具人格尊严、信息流通价值,因此对该类信息的行权是“消极防御”与“积极利用”共存的,在一定情况下容许对外公开披露。本案涉及公开个人信息流通的多个节点,就如何公开、如何使用已公开的个人信息、如何认定特殊后续处理者的过错均给出了指引,亦是“通知-删除”规则在个人信息保护领域的适用典范。

 

一、案情提要

“校友录”网站是北京搜狐互联网信息服务有限公司(以下简称“搜狐公司”)运营的一家校园社区网站,该门户网站早在2012年至2013年间即对外停止访问。孙长宝曾为该网站的注册用户,并上传了自己的真实姓名及个人证件照作为用户信息。

2018年10月,孙长宝在由百度网讯科技有限公司(以下简称“百度公司”)运营的“百度”网站搜索自己的姓名,意外发现自己曾上传至“校友录”网站的用户头像(个人证件照)被置顶在图片搜索结果中,孙长宝遂向“百度”网站的反馈渠道提交投诉,要求删除其个人证件照及其与“孙长宝”姓名的关联关系,但百度公司对此一直未作出任何回复。

根据本案技术调查官的意见,涉案信息由孙长宝上传至“校友录”网站,存储于该网站的服务器中,虽然其门户地址早已无法访问,但精确服务器地址仍向用户开放,因此通常的爬虫技术仍可访问到涉案信息。当用户在“百度”网站进行关键词检索,便会获取搜索引擎的相关爬取结果。

 

二、诉辩主张

孙长宝的诉请可归纳为:涉案照片及与其姓名“孙长宝”的关联关系涉及个人信息、个人隐私,此前其将该照片与真实姓名上传至“校友录”网站时,仅对其加入班级的同班同学可见。而在“校友录”网站已关闭的情况下,百度公司非法收录、存储、公开该涉案照片,且在收到投诉通知的情况下仍不删除,构成侵权,应承担赔偿损失的责任。本案中,孙长宝要求百度公司赔偿其经济损失1元及维权费用40元。

百度公司的抗辩可归纳为:第一,孙长宝自行将其证件照上传至“校友录”网站作为头像,该证件照系公开信息,不属于其个人隐私,且肖像亦不属于个人信息的范畴。虽然涉案姓名确实属于个人信息,但百度公司并未收集、使用该信息,因此百度网站展示涉案照片的行为不侵犯孙长宝的任何权利。第二,百度公司仅为网络搜索服务提供者,提供中立的技术服务。第三方网站虽已关闭门户访问途径,但服务器上仍存储着涉案信息,且其Robots协议未禁止搜索引擎抓取涉案信息。因此,百度公司实施的是正常合法的抓取行为,不构成侵权,不应承担赔偿责任。

第三人搜狐公司的陈述可归纳为:第一,显示孙长宝照片的网站由百度公司运营,且未标明任何来源链接,涉案信息并非由搜狐公司提供。第二,“校友录”网站早已对外停止访问,不存在授权他人使用网站上任何信息的可能。因此,案涉侵权行为与搜狐公司无关。

 

三、裁判思路

法院将本案争议焦点归纳为:涉案姓名、照片及其关联关系是否属于孙长宝的个人信息或个人隐私;被控侵权行为是否侵害孙长宝的个人信息权益或隐私权;若构成侵权,百度公司是否应承担赔偿损失的民事责任。

争议焦点一:涉案姓名、照片及其关联关系是否属于孙长宝的个人信息或个人隐私

法院认为涉案信息通过关键词搜索+结果展示的形式,将“孙长宝”这一自然人姓名与含有其面部特征信息的头像照片进行关联,成为可识别为唯一特定自然人的信息,属于个人信息。

由于个人信息和个人隐私的保护范围具有交叉关系,只有构成私密信息的才能通过隐私权加以保护,法院进而从保护客体、保护方式两方面来分析涉案信息是否属于个人隐私。从保护客体来看,孙长宝自行将涉案信息上传于社交网络,主动向一定范围内的网络用户披露,主观上对该信息无强烈的作为隐私进行隐匿的意愿,客观上该信息亦不处于私密状态,因此不属于私密信息。从保护方式来看,一般认为个人隐私一经泄露即会导致人格利益受损,而披露个人信息本身不会直接招致人格利益损失,只是超范围的公开可能会增加信息被滥用的风险。涉案信息可容许基于社会交往的需要在一定范围内进行使用,更符合个人信息的属性,而非个人隐私。


争议焦点二:被控侵权行为是否侵害孙长宝的个人信息权益

首先,关于被控侵权行为是否属于违法使用个人信息的行为,法院认为百度公司提供的搜索引擎服务使得涉案信息可以被全网不特定用户检索获取,在客观上导致该信息在孙长宝授权范围之外被公开,属于违法使用个人信息。

其次,关于百度公司是否能作为网络服务提供者适用《侵权责任法》第36条的“避风港”等原则,法院指出需要判断其属于网络技术服务提供者还是网络内容服务提供者,前者是中立的技术工具,具体侵权内容由其他网络用户提供,因此适用“避风港原则”,而后者自身直接提供信息内容。本案中,百度网站根据用户输入的关键词指令在海量网站中进行爬取,通过搜索引擎系统自动生成检索结果并向用户提供,属于中立的技术服务提供者,是否应承担侵权责任关键在于考量“通知-删除”的情节。

进而,法院对“通知删除”前后的情况分别进行了评述。在“通知删除”之前,百度公司只有存在《侵权责任法》第36条第三款的“知道侵权行为”情形才应承担侵权责任。本案中,百度公司需对全网海量信息进行搜索、归目等技术处理,不应苛求其对所有信息是否侵权进行逐条审查。此外,涉案信息不属于裸照、身份证号等明显侵权的信息,对于网络公开的一般个人信息,应推定权利人同意公开。故在接到通知前,百度公司不存在明知或应知的主观过错,因此不构成侵权。但是,在“通知删除”之后,根据《侵权责任法》第36条第二款,接到通知后未及时采取必要措施的应承担连带责任。在本案中,百度公司可以采取技术上的措施,包括删除、屏蔽、断开链接等,也可以采取向权利人告知存在第三方公开信息来源的方式协助孙长宝知悉情况,上述合理措施均不会不合理地增加其运营管理成本,而百度公司未给予任何回复,导致侵权损害继续扩大,构成对孙长宝个人信息权益的侵害。


争议焦点三:若构成侵权,百度公司是否应承担赔偿损失的民事责任

法院认为,根据《侵权责任法》第13条,被侵权人有权请求部分或全部连带责任人承担责任,因此孙长宝有权请求百度公司承担赔偿责任。

关于赔偿数额的计算,由于孙长宝未对其财产损失的数额进行举证,故法院根据实际情况酌定。由于个人信息在互联网经济下已呈现出一定的财产价值属性,本案中孙长宝主张的赔偿数额仅为1元,显然低于涉案行为造成的损失,且40元取证费用为固定本案证据所需,因此法院支持了孙长宝的全部赔偿请求。

 

四、案件评析及合规启示

本案的典型意义在于法院为公开个人信息的流通划定了边界,主要涉及个人信息主体、源头处理者(公开方)及后续处理者三方主体。鉴于个人信息的源头处理者(公开方)及后续处理者均有一定的法律风险,本文将依照公开个人信息流通的顺序对企业合规要点进行分析和提示。

(一)关于源头处理者对个人信息的公开披露问题

本案中,孙长宝照片的泄露源头是第三人搜狐公司所运营“校友录”网站的精确服务器地址,因此百度公司的一大有力抗辩也是强调自身角色仅为中立的技术服务提供者,将矛头转向作为源头处理者的搜狐公司。但在法庭释明后,孙长宝仍选择仅向百度公司主张权利。因而,出于尊重当事人对自身民事权利的处分权,法庭只对后续处理者百度公司是否应承担侵权责任予以评断。

实际上,若孙长宝选择同时向百度公司和搜狐公司主张权利,二者很可能构成《侵权责任法》第12条的“分别实施侵权行为造成同一损害”而承担连带责任,即搜狐公司的公开行为、百度公司的展示行为与孙长宝的个人信息泄露属于多因一果的关系,这种情况下法院可能会根据二者的行为对损害后果的原因力大小及二者的过错程度分配赔偿责任。

因此,对于个人信息的公开披露,源头处理者就必须谨慎进行。根据《信息安全技术 个人信息安全规范》(以下简称“《个人信息安全规范》”)第9.4条,个人信息原则上不应公开披露,经法律授权或具备其他合理事由的,应事先开展安全影响评估、向个人信息主体告知披露的目的及个人信息类型并征得其明示同意、记录和存储公开披露的情况等,涉及个人敏感信息的还应告知具体要披露的个人信息内容。该条亦明确列举了禁止公开披露的个人信息,包括个人生物识别信息以及种族、政治观点、宗教信仰等个人敏感数据[2]。在此基础上,《信息安全技术 个人信息告知同意指南(征求意见稿)》(以下简称“《告知同意指南》”)还规定告知应当包括披露的时间、影响等[3]。关于公开披露个人信息应事先征得授权同意的例外,《个人信息安全规范》第9.5条规定了七种例外情形,包括与国家安全或公共利益相关、与个人信息处理者履行法定义务相关、个人信息主体自行向社会公开等[4]。而后,《个人信息保护法(草案)》(以下简称“《个保法(草案)》”)第26条延续了处理个人信息以不公开为原则、以法律法规另有规定或取得个人单独同意为例外的要求[5]。

合规启示

基于“最小必要”原则,处理个人信息应当限于实现处理目的的最小范围[6],因此企业原则上不得将个人信息公开披露,若不向全社会或不特定人群发布即能实现处理目的,均不应将个人信息公开,确需公开的也仅限于披露最少类型和数量的个人信息。

日常生活中,确需公开个人信息以提供商品或者服务的主要涉及求职招聘、婚恋相亲、房屋租售、二手车交易等企业。对于此类企业,我们建议,在公开披露个人信息前应向个人信息主体告知披露的个人信息类型、目的、时间、影响等,并取得其明示同意,比如由其手动勾选隐私政策、签订用户协议等,涉及个人敏感信息的还应告知具体的披露内容并确保该信息不属于相关法规禁止披露的范围。鉴于个人信息的公开对于个人信息主体来说始终是有一定风险的,企业应向个人信息主体提供撤回同意的行权渠道,在披露目的达成后或个人撤回同意后及时删除相关个人信息。

(二)关于后续处理者对已公开个人信息的使用问题

本案中,法院在分析侵权责任的构成要件——行为的违法性时,认为孙长宝上传涉案信息时仅用于校内社交,仅对其加入班级的同班同学可见,而百度公司的爬取行为使得涉案信息能被全网不特定用户检索获取,客观上导致该信息在孙长宝授权范围之外被公开,属于违法使用个人信息的行为。

可见,后续处理者对于已公开个人信息的使用亦不能恣意妄为。由于本案审理时,《民法典》尚未生效,《个保法(草案)》未出台,《个人信息安全规范》也仅为非强制性的国家标准,法院认定的主要法律依据仍是《网络安全法》第41条[7]。换言之,个人信息处理者只能在被收集者授权同意的范围内处理信息,超范围使用个人信息是违法的。相较于《网络安全法》的一般性规定,如今《民法典》《个人信息安全规范》及《个保法(草案)》对已公开个人信息的使用已给出了更明确的合规指引。《个人信息安全规范》将搜集公开信息划为间接收集的范畴,而第5.4条要求间接收集个人信息的应向提供方确认信息来源的合法性,了解个人信息的授权同意范围,若需要超出授权范围进行处理活动的,仍应征得个人信息主体的明示同意[8]。《个保法(草案)》也与此一脉相承,第28条规定处理已公开的个人信息应符合其被公开时的用途,超出合理范围的或从事对个人有重大影响的活动仍应遵循“告知-同意”要求[9]。而《民法典》第1036条则是从反面规定了个人信息处理者无需承担民事责任的情形,其中包括合理处理自然人自行公开或其他合法公开的信息,除非该自然人明确拒绝或将会侵害其重大利益的[10],我们理解此处的“合理处理”也意味着要符合该信息被公开时的用途。

合规启示

对于企业来说,“个人信息已公开”绝不是其处理该信息的合法性基础。在使用已公开的个人信息时,企业应怀有与其直接向个人信息主体收集信息同样的谨慎度,确保处理活动仅限于个人信息主体授权同意的目的和范围内。举例来说,若A为了求职而在第三方招聘平台挂出了自己的简历及联系方式,此时从事保险销售的B公司员工看到了A的个人信息,随后打电话向他推销保险产品或者向他的电子邮箱发送保险产品的广告,那么B使用已公开的A个人信息是出于销售保险的目的,而非为了聘用员工,该处理活动明显超出了A授权同意的范围,是违法的。

我们建议企业对相应的合法信息来源及授权同意范围进行确认和记录后再进行使用,一旦产生纠纷也能举证证明处理行为是合规的。对于用途不明确的、授权范围不清晰的或者可能会对个人信息主体产生重大影响的已公开个人信息,应尽可能审慎对待,遵循“告知-同意”要求。另外,与前述源头处理者的义务相类似,后续处理者同样需要提供有效的撤回同意渠道,并及时响应个人信息主体拒绝其处理的请求。

(三)关于数据爬取方等后续处理者的过错认定问题

本案中,作为后续处理者的百度公司的有一特殊之处,在于其是中立的技术服务提供者,并不会对所爬取信息进行判断、挑选、编辑及其他有目的性的使用。对于其收集、展示网络公开的个人信息是否符合侵权责任的另一构成要件——过错,“通知-删除”规则成为了法院判断的关键。

法院在本案中给出了一重要论断,即在“通知删除”节点前,对于网络公开的一般个人信息,数据爬取方很难预见此类信息是未经授权公开的,应推定权利人同意公开,因此爬取方无需承担侵权责任。该论断其实暗含了“红旗原则”,也即目前《民法典》第1197条所述,只有在网络服务提供者知道或者应当知道网络用户利用其网络服务侵害他人民事权益,而未采取必要措施的情况下,才需与该网络用户承担连带责任。进而,对于数据爬取方是否属于“知道或应当知道”的情形,《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第6条对于网络服务提供者是否尽到了注意义务具体列举了一些考察要素[11]。但是,在“通知删除”节点过后,即使作为中立的技术服务提供者,数据爬取方已处于知晓侵权行为的可归责的主观状态,此时若不采取必要措施,也自然应失去“避风港”的保护,《民法典》第1195条即对此作出了相应规定[12]。

合规启示

对于会使用到数据爬取技术对已公开个人信息进行收集、使用的企业,包括搜索引擎运营企业以及在业务中会使用到爬虫技术的其他企业,合规要点主要有三。第一,应向权利人提供对可能存在的侵权行为进行投诉的渠道,这是落实“通知-删除”规则的基础。第二,在权利人投诉相关侵权行为前,应尽到合理的审查和注意义务。虽然这不要求企业在爬取海量公开信息时做到逐条甄别,但若相关信息是裸照、身份证号、银行卡号等较为敏感、显然侵权的个人信息,或具有一定的浏览量或社会影响力,足够达到企业能够明显感知的程度,或者是同一网络用户的重复侵权行为,那么企业极有可能因被认定为“知道或应当知道”而具有过错。因此,企业应在技术可行的范围内采取一定的预防侵权的措施。第三,在权利人给出侵权的初步证据及其真实身份信息后,企业应及时响应权利人的请求,采取删除、断开链接等必要措施,按照《个人信息安全规范》的要求,答复及合理解释应在30天内作出[13]。

当然,在此稍作展开,除了前述涉及数据爬取的企业,电商平台、社交平台、信息平台等互联网平台作为网络服务提供者的典型,本身就要遵循“通知-删除”规则。不过,由于近年来出现了云服务、小程序服务供应商等各形各色的新兴企业,法院对于所谓“通知-删除”规则中“必要措施”的判断亦会根据行业实际、技术条件等进行考量,而不以“删除”为必要。比如,在最高人民法院于2017年发布的指导案例83号“威海嘉易烤生活家电有限公司诉永康市金仕德工贸有限公司、浙江天猫网络有限公司侵害发明专利权纠纷案”中,法院认为基于对发明专利侵权的主观判断,天猫公司并非必须立即对被投诉商品进行下架处理,但将有效的投诉材料转达给被投诉人并通知其提交申辩当属必要措施,否则投诉渠道将成为黑洞,权利人的投诉会毫无意义[14]。类似地,在国内首例云服务器侵权案中,北京知产法院认为,动辄要求云计算服务提供者删除用户数据或关闭服务器会严重影响用户对其业务经营和数据安全的信心,亦会影响行业的整体发展,但对阿里云公司来说较为公允合理的必要措施至少应进行“转通知”[15]。

 

结语

在数字经济的大背景下,数据被誉为新的“石油”。一方面,数据的开发和利用能够为民众的日常生活带来便利,同时为企业带来经济效益,促进社会经济的发展。但另一方面,若不对数据使用行为施加一定限制,又可能对个人信息权益造成侵害。本案对公开个人信息的流通划定了边界,一是源头处理者之公开披露要合规,二是后续处理者不应超范围使用已公开个人信息,三是数据爬取方等特殊的后续处理者对难以预见的超范围使用行为不存在过错。可以说此种边界的设定兼顾了法理与情理,有益于在鼓励数据流通与保护个人信息权益之间找到平衡。



[1] 北京互联网法院(2019)京0491民初10989号判决。

[2] 《个人信息安全规范》9.4个人信息原则上不应公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时,应符合以下要求:a) 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;b) 向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意;c) 公开披露个人敏感信息前,除 b) 中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的内容;d) 准确记录和存储个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等;e) 承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任;f) 不应公开披露个人生物识别信息;g) 不应公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果。

[3] 《告知同意指南》8.1.1 3) 公开披露:应用软件告知用户收集到的个人信息是否会进行公开披露。如公开披露则应告知公开披露的对象,公开披露的时间,公开披露的影响等。

[4]  《个人信息安全规范》9.5 以下情形中,个人信息控制者共享、转让、公开披露个人信息不必事先征得个人信息主体的授权同意:a) 与个人信息控制者履行法律法规规定的义务相关的;b) 与国家安全、国防安全直接相关的;c) 与公共安全、公共卫生、重大公共利益直接相关的;d) 与刑事侦查、起诉、审判和判决执行等直接相关的;e) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;f) 个人信息主体自行向社会公众公开的个人信息;g) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。

[5] 《个保法(草案)》第26 个人信息处理者不得公开其处理的个人信息;取得个人单独同意或者法律、行政法规另有规定的除外。

[6] 《个保法(草案)》第6 处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。

[7] 《网络安全法》第41 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

[8] 《个人信息安全规范》5.4 e) 间接获取个人信息时:1) 应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;2) 应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等;3) 如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。

[9] 《个保法(草案)》第28 个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途;超出与该用途相关的合理范围的,应当依照本法规定向个人告知并取得其同意。

个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎地处理已公开的个人信息;利用已公开的个人信息从事对个人有重大影响的活动,应当依照本法规定向个人告知并取得其同意。

[10] 《民法典》第1036 处理个人信息,有下列情形之一的,行为人不承担民事责任:(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者该信息侵害其重大利益的除外。

[11] 《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第6 人民法院依据民法典第一千一百九十七条认定网络服务提供者是否“知道或者应当知道”,应当综合考虑下列因素:(一)网络服务提供者是否以人工或者自动方式对侵权网络信息以推荐、排名、选择、编辑、整理、修改等方式作出处理;(二)网络服务提供者应当具备的管理信息的能力,以及所提供服务的性质、方式及其引发侵权的可能性大小;(三)该网络信息侵害人身权益的类型及明显程度;(四)该网络信息的社会影响程度或者一定时间内的浏览量;(五)网络服务提供者采取预防侵权措施的技术可能性及其是否采取了相应的合理措施;(六)网络服务提供者是否针对同一网络用户的重复侵权行为或者同一侵权信息采取了相应的合理措施;(七)与本案相关的其他因素。

[12] 《民法典》第1195 网络服务提供者接到通知后,应当及时将该通知转送相关网络用户,并根据构成侵权的初步证据和服务类型采取必要措施;未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。

[13] 《个人信息安全规范》8.7 a) 在验证个人信息主体身份后,应及时响应个人信息主体基于8.1~8.6提出的请求,应在三十天内或法律法规规定的期限内作出答复及合理解释,并告知个人信息主体外部纠纷解决途径。

[14] 浙江省高级人民法院(2015)浙知终字第186号判决。

[15] 北京知识产权法院(2017)京73民终1194号判决。


本网站之内容旨在提供有关华诚的一般信息。本网站之内容不得被视为与访问者建立律师-客户关系,也不视为是为任何具体事宜提供法律意见。网站访问者应向律师咨询以获得专业法律意见。 对于任何争议的特定事实和情况,在没有获得恰当的法律或其他专业意见之前,本所客户和其他网站访问者不能将华诚网站上的任何信息作为采取行动与否的依据。

© Copyright 2000-2015 All Rights Reserved | 沪ICP备15028801号 隐私保护 | 用户反馈

沪公网安备 31010402001317号

Lin