数字时代公民个人信息权益保护面临新风险 北京互联网法院解析个人信息保护案审理情况
选稿人员:刘佳 | 发布日期:2023/12/22 11:17:03 | 浏览次数: 125
用户画像信息遭遇强制收集、手机号被泄露频繁接到推销电话……数字时代,公民个人信息权益保护面临着新风险、新挑战,如何加强网络空间个人信息保护受到全社会高度关注。
就此问题,在我国个人信息保护法施行两周年之际,《法治日报》记者走进北京互联网法院进行采访。
“作为新型权益,当事人对个人信息权益的内涵、边界理解不同,对专业性法律条文的理解能力往往也存在不足。”北京互联网法院副院长赵瑞罡表示,在个人信息保护诉讼中,权利人诉讼能力和举证能力薄弱,是个人信息权益保护的一大难题。对此,北京互联网法院呼吁,尽快出台司法解释以明确民法典和个人信息保护法的具体适用标准,强化个人信息处理合规体系建设,并建议有关部门普及个人信息维权救济手段,降低维权成本。
纠纷集中在互联网平台
“该App要求我必须填写姓名、职业、学习目的、英语水平等内容才能完成登录。”罗某认为,这属于强制收集用户画像信息,故将App运营者某科技公司诉至法院。
北京互联网法院审理后认为,在首次登录页面设置相关个人信息收集界面,App运营者未提供跳过或拒绝等选项,属于对原告个人信息的强制收集,不产生获取有效授权同意的效力,构成侵权。据此,法院判决被告向原告提供个人信息副本、停止侵权、删除个人信息、赔礼道歉并赔偿损失2900元。
赵瑞罡介绍,2018年9月至2023年9月,北京互联网法院共受理58件涉及个人信息保护的案件,纠纷集中在互联网平台,以互联网企业为主要被诉主体,涉诉个人信息类型和侵权形态较为多样,相关纠纷覆盖了社交、电商、金融、移动办公、在线教育等众多行业和领域。“有的金融企业被诉存在信息泄露问题,致使用户遭遇电信诈骗;有的电商平台被诉频繁拨打用户电话,不当使用或泄露个人信息。”赵瑞罡说,这些情况都反映出数字时代个人信息处理活动频繁,引发个人信息纠纷的场景涉及众多数字经济领域。
北京互联网法院对相关案件调研后发现,涉诉的个人信息类型既包括法律法规列明的手机号、身份证号、行踪信息等,也包含大量法律未明确列举的信息,例如视频浏览记录、职业信息、交易信息、位置信息等,还包括敏感个人信息如人脸信息等。
同时,个人信息处理呈现出线上线下多主体多形态交融的特点。比如,有企业存在线下收集、线上处理、线下线上多主体混合处理、关联企业共同处理等行为。此外,随着法律普及和个人维权意识提升,死者个人信息处理、复制查阅等新类型个人信息纠纷,逐步进入诉讼程序。
北京互联网法院综合审判三庭庭长孙铭溪介绍说,近亲属对死者个人信息的查阅、复制等权利是我国个人信息保护法明确的重要权利,个人死亡后,个人信息处理者仍然应当承担死者个人信息权益保护的义务,允许死者近亲属查询、复制死者的个人信息。个人信息处理者对于死者个人信息保护义务的履行边界,包括“提供调取死者个人信息的其他合理途径”“基于业务关联的其他个人信息处理者不再实际控制死者的个人信息”等。
法律适用须进一步明晰
北京互联网法院已判决审结的35件涉个人信息纠纷案件中,11件个人信息权利人的诉讼请求被驳回,占比31.4%。
记者了解到,在涉及个人信息的诉讼中,部分当事人对于个人信息与虚拟财产、个人信息与隐私等的区别、侵权还是合同纠纷难以把握,无法准确选择维权的法律基础。在涉及个人信息泄露的案件中,部分原告起诉的被告并非个人信息处理者;有的当事人主张处理者未经授权对个人信息进行处理,但诉讼中经展示发现用户实际已经同意;还有部分当事人主张个人信息处理者的部分产品收集了个人信息,但所列举证据缺乏权利人操作使用相应产品的环节等。
“这些情况都说明权利人的诉讼能力和举证能力相对薄弱。”赵瑞罡说,对此类案件分析后还发现,相关法律适用须进一步明晰,例如个人信息请求权的实现程序、方式等方面仍缺乏统一标准,个人信息侵权经济赔偿标准尚待统一,“特别是个人信息处理的合法性基础需要进一步细化,当前信息处理者主要依赖‘知情同意’,但对于其他无须同意的情形,缺乏明确细化规定和操作指引”。
在审判环节,北京互联网法院强化人格权优先保护原则,同时合理划定保护范围,平衡权益保障与数据利用,秉持规范与发展并重原则促进数字经济全面繁荣。在相关裁判文书中,北京互联网法院明确,查阅复制权的行使应结合具体情况确定合理的实现方式,不应侵害其他主体合法权益,并尽可能减小对其他个人信息主体产生的影响;关联产品间共享用户数据应获有效同意,规范企业间个人信息数据流通行为。此外,北京互联网法院在审判环节妥善确立技术认定标准,以此提升市场主体规范自治水平。
平台严格落实主体责任
“网络平台掌握海量个人信息,是具有天然优势地位的个人信息处理者。”针对平台作为个人信息处理者存在的问题和未来可能引发的风险,赵瑞罡建议,应严格落实个人信息保护主体责任,遵循我国个人信息保护法及相关法律法规规定的处理规则,并进一步完善个人信息告知同意制度,不得过度收集、使用个人信息。
对于当前网络公司关联产品间共享用户数据多发的现状,孙铭溪提醒,个人信息处理者在一个服务平台获得处理个人信息的同意,未真实、准确、完整告知个人信息主体将个人信息提供给关联产品的,不应认定个人信息处理者获得了在关联产品中处理个人信息的有效同意。
为统一裁判标准,北京互联网法院建议,在司法实践发现问题的基础上,可合理吸收已经较为成熟的行政法规、国家、行业标准及裁判规则,尽快出台司法解释,明确民法典和个人信息保护法在个人信息保护方面的适用标准,进一步完善科学合理的民事诉讼个人信息保护路径,化解实践难题。
此外,北京互联网法院从强化法治宣传和诉讼指引工作出发,建议司法机关、行政主管部门,切实担负起“谁执法、谁普法”的职责,创新途径和方式,加强法治宣传,普及个人信息被违法处理时合法救济手段,降低被侵权人维权成本。
赵瑞罡表示,北京互联网法院将继续围绕加强个人信息保护的工作要求,在个案判决中强化规则引领,同时通过司法职能延伸融入数字时代网络空间治理,积极推动数字经济健康发展,为服务国家创新驱动发展战略持续不断贡献司法智慧。
来源:法治日报