案例解读

案例解读

个人信息权益网络侵权责任的认定^[34]

【案情简介】

原告主张，×信读书软件系一款手机阅读应用，用户可以在该款软件上阅读书籍、分享书评等。×信软件系一款手机社交应用，用户可以在该款软件上进行添加好友、即时通讯等操作。原告在使用×信读书时发现，由于×信将通讯录好友关系的数据交予×信读书，在原告并未进行自愿授权的情况下，在×信读书的“关注”栏目下出现了使用该软件的原告通讯录好友名单。此外，在原告没有进行任何添加关注操作的情况下，原告账户中“我关注的”和“关注我的”页面下出现了大量原告的通讯录好友，且×信读书未经原告自愿授权，默认向“关注我的”好友公开原告的读书想法等阅读信息。不仅如此，原告在使用×信读书的过程中还发现，即使原告与原告的通讯录好友在该软件中没有任何关注关系，也能够相互查看对方的书架、正在阅读的读物、读书想法等，然而上述信息属于原告并不愿向他人展示的隐私信息。

基于此，原告主张，×信读书3.3.0版（简称×信读书，需强调版本时称×信读书3.3.0版）及×信存在以下侵权情形：

一是×信将原告的通讯录好友关系交予×信读书，×信读书获取原告的通讯录好友关系，侵害了原告的个人信息权益和隐私权；

二是×信读书为原告自动关注通讯录好友，且这些好友可看到被默认公开的原告的读书信息，侵害了原告的个人信息权益和隐私权；

三是×信读书在原告与其通讯录好友并无任何×信读书关注关系的前提下，原告的通讯录好友可以在×信读书软件查看原告的读书信息，侵害了原告的个人信息权益和隐私权。

【案例焦点】

原告称，“×信读书”自动获取、关注×信好友的行为是一次性授权、用户无法分别进行选择、不同意就无法使用应用的行为，不能构成有效的授权；个人阅读信息均应属于公民的隐私和个人信息，不经用户同意披露阅读信息有损隐私权。故“×信读书”自动关联×信好友名单等行为均侵害了原告的个人信息权益和隐私权。故对作为相关软件的开发、运营方的被告提起诉讼。

被告称，“×信读书”获取、使用通讯录好友已经向用户进行充分告知并获得同意，不存在侵权行为，请求法院驳回原告的全部诉讼请求。

【裁判要旨】

法院审理认为，×信好友列表和读书信息属于个人信息，但不能笼统地纳入符合社会一般合理认知的隐私范畴，需要结合实际进行判断。

关于原告提到的三个行为是否侵犯个人信息权益或隐私权，法院作了详细的说理和推导。第一，“×信读书”获取原告的×信好友列表属于收集个人信息的行为，其收集、获取用户同意的方式不违反法律规定，且获取通讯录好友列表行为并未达到私密程度，不构成对隐私权的侵害。第二，“×信读书”向原告共同使用该应用的通讯录好友默认公开原告读书信息的行为，未以合理的“透明度”获得有效的知情同意，用户隐私协议的表述存在规避个人信息或隐私风险的嫌疑，因此侵害了原告个人信息权益，但原告的信息未达到私密性标准，不构成隐私权侵权。第三，“×信读书”为原告自动关注共同使用该应用的通讯录好友，进而使得关注好友可以查看原告的读书信息的行为，未向用户显著提示并获得用户同意，因此侵犯原告的个人信息权益，但原告不满足侵害隐私权的责任构成要件，不构成对隐私权的侵害。

综上所述，“×信读书”的相关行为侵害了原告的个人信息权益，应承担相应侵权责任。

【专家评析】

第一，个人信息保护法第一条即指出了本法的立法目的是“保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用”，而本案中×信读书的做法显然不符合本法的立法目的，其通过默示同意的方式在用户不知情且未明确授权的情况下处理用户个人信息，公开了用户不愿公开的信息，侵害了用户个人信息权益，自身的个人信息处理活动并不规范，既不合理，也不合法；第二，个人信息保护法第四条对“个人信息”的范围进行了界定，本案中法院判定“获取原告的通讯录好友列表属于收集个人信息的行为”，明确了其与隐私之间的区别关系；第三，个人信息保护法第五条、第六条、第七条规定了个人信息处理的基本原则，包括合法、正当、必要、诚信、公开、透明等原则，本案中×信读书采用了默认公开的方式，未向用户公开其个人信息处理规则，未能通过“透明性”告知来取得用户同意，存在误导用户之嫌，不具有合法性、正当性；第四，个人信息保护法确立了以“告知-同意”为核心的个人信息保护原则，充分保障个人对其个人信息处理的知情权和决定权，且面对如本案中的一揽子授权、强制同意等问题，提出了多种类型化的处理要求和针对性规定，本案中×信读书向原告共同使用该应用的通讯录好友默认公开原告读书信息的行为，未向用户显著提示并获得用户同意；第五，个人信息保护法强化了个人信息处理者的义务，赋予了大型互联网平台特别义务，明确个人信息处理者是个人信息保护的第一责任人，应主动承担起相应保障责任，从保障个人信息权益的角度出发开展个人信息处理活动，用户数量巨大的大型互联网平台，其对平台内的个人信息处理活动具有强大的控制力和支配力，因此应当承担更多的法律义务，积极提高经营透明度，接受外部监督，推动形成全社会共同参与的个人信息保护环境。

---

[1] 简要条文主旨为编者所加，下同。

[2] 《第48次中国互联网络发展状况统计报告》，载中国互联网络信息中心，http：//www.cnnic.cn/hlwfzyj/hlwxzbg/hlwtjbg/202109/t20210915_71543.htm，最后访问时间：2021年8月30日。

[3] 2001年，国家成立国家信息化领导小组，下设国务院信息化工作办公室，主要负责推动国家的信息化相关立法。2003年，国务院信息化工作办公室着手部署个人信息保护法立法研究工作，并开始委托相关专家学者起草专家建议稿。

[4] 参见程啸：《我国民法典个人信息保护制度的创新与发展》，载《财经法学》2020年第4期。

[5] 参见许可：《数据权利：范式统合与规范分殊》，载《政法论坛》2021年第4期。

[6] 《关于〈中华人民共和国个人信息保护法（草案）〉的说明》，载中国人大网，http：//www.npc.gov.cn/npc/c30834/202108/fbc9ba044c2449c9bc6b6317b94694be.shtml，最后访问时间：2021年10月28日。

[7] 《全国人大常委会法制工作委员会发言人记者会文字实录》，载中国人大网，http：//www.npc.gov.cn/wszb/zb20/zzzb20.shtml，最后访问时间：2021年10月28日。

[8] GDPR文本参见：https：//eur-lex.europa.eu/legal-content/EN/TXT/？uri=CELEX%3A02016R0679-20160504&qid=1532348683434，最后访问时间：2021年11月18日。(https://www.daowen.com)

[9] 参见韩旭至：《个人信息概念的法教义学分析——以网络安全法第76条第5款为中心》，载《重庆大学学报（社会科学版）》2018年第2期。

[10] 齐爱民、张哲：《识别与再识别：个人信息的概念界定与立法选择》载《重庆大学学报（社会科学版）》2018年第2期。

[11] 参见杨建媛、邬丹：《数据脱敏：不同法域下匿名化、去标识化、假名化的含义一致吗？》，载海问律师事务所网站，http：//www.haiwen-law.com/article/content/view？id=419，最后访问时间：2021年3月18日。

[12] 参见高富平：《个人信息处理：我国个人信息保护法规范的对象》，载《法商研究》2020年第2期。

[13] 王利民、程啸、朱虎：《中华人民共和国民法典人格权编释义》，中国法制出版社2020年版，第416页。

[14] 王利明、程啸、朱虎：《中华人民共和国民法典人格权编释义》，中国法制出版社2020年版，第418页。

[15] 《个人信息保护法草案进入二审强化互联网平台个人信息保护义务》，载中国人大网， http：//www.npc.gov.cn/npc/c30834/202104/2941c951e03e4945a8d85958b2fa40fa.shtml，最后访问时间：2021年10月6日。

[16] 梁泽宇：《个人信息保护中目的限制原则的解释与适用》，载《比较法研究》2018年第5期。

[17] 程啸：《我国个人信息保护法中的目的限制原则》，载《人民法院报》2021年9月2日。

[18] 程啸：《我国个人信息保护法中的目的限制原则》，载《人民法院报》2021年9月2日。

[19] 周汉华：《个人信息保护的法律定位》，载《法商研究》2020年第3期。

[20] 王磊：《个人数据商业化利用法律问题研究》，中国社会科学出版社2020年版，第162页。

[21] 网络安全法第七十六条规定：“……（二）网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力……”

[22] 高富平：《个人信息保护立法研究》，光明日报出版社2020年版，第153页。

[23] 张新宝、葛鑫：《个人信息保护法（专家建议稿）及立法理由书》，中国人民大学出版社2021年版，第43页。

[24] 王磊：《个人数据商业化利用法律问题研究》，中国社会科学出版社2020年版，第163页。

[25] 民法典第一百一十一条规定：“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”

[26] 《公安部公布十起侵犯公民个人信息违法犯罪典型案件》，载中国政府网，http：//www.gov.cn/xinwen/2020-04/16/content_5502912.htm，最后访问时间：2021年10月8日。

[27] 周汉华：《个人信息保护法的时代意义》，载《民主与法制》2021年第32期。

[28] 张新宝、葛鑫：《个人信息保护法（专家建议稿）及立法理由书》，中国人民大学出版社2021年版，第7页。

[29] 罗力：《新兴信息技术背景下我国个人信息安全保护体系研究》，上海社会科学院出版社2020年版，第49页。

[30] 《中国互联网协会在京发布〈网络营销与互联网用户数据保护自律宣言〉》，载中国互联网协会官网，https：//www.isc.org.cn/zxzx/ywsd/listinfo-25459.html，最后访问时间：2021年10月8日。

[31] 《中国互联网协会发布〈个人信息保护倡议书〉》，载人民网，http：//it.people.com.cn/n1/2018/0914/c1009-30293640.html，最后访问时间：2021年10月8日。

[32] 《中国互联网协会个人信息保护倡议书》，载中国互联网协会官网，https：//www.isc.org.cn/zxzx/ywsd/listinfo-40773.html，最后访问时间：2021年11月6日。

[33] 周汉华：《个人信息保护的法律定位》，载《法商研究》2020年第3期。

[34] 案号：（2019）京0491民初16142号。