APP个人信息采集侵权风险要点识别——基于审判案例的分析(下篇)
2020-08-24
根据上篇对个人信息定义的梳理,判断信息数据是否属于个人信息的关键在于数据信息是否可“识别”,即是否能识别出特定自然人或是否可反映特定自然人活动情况。
为了便于APP运营者评估用户个人信息采集的合规性,我们在上篇梳理、总结APP个人信息采集自评估指南要点的基础上,聚焦个人信息采集侵权问题,结合真实案例,就常见个人信息采集的侵权行为的风险点进行提示,希冀降低企业进行数据信息采集的侵权法律风险。
三、APP个人信息采集侵权风险要点识别
(一)风险点一:泄漏用户个人信息导致用户被诈骗
运营者对于用户的个人信息负有安全保管及防止泄露、控制危险的义务,因为运营者具备开启、参与社会交往服务及给他人权益带来潜在危险两项特征。因此,虚拟数字世界中的运营者与现实世界中的安全保障义务主体一样,应对针对其服务用户发生的侵权负有排除义务,并对未来的妨害负有审查和控制义务。运营者违反安全保障义务导致用户个人信息泄漏的,容易引发侵权风险。
1.典型案例[1]
2017年8月9日,申某1通过携程公司手机APP平台订购了2017年8月10日东方航空公司承运的两张联程航班机票。2017年8月10日10时15分,申某1收到+85295672718号码向申某1在携程注册账号及订购涉案机票所留的尾号为3686手机号发送的短信,短信内容为航班因机械故障取消,将给予退款和补偿。
申某1认为携程公司作为专业的机票代理机构,未尽到安全保障义务,导致其身份信息及订票信息泄露,使诈骗分子有可乘之机,导致损失发生。携程公司在安全措施上存在重大疏漏,基于其违反安全保障义务要求承担相应的赔偿责任。
2.风险提示
本案中申某1的财产损失,并非由携程公司直接侵权造成,而是由于申某1被诈骗分子欺诈所致。但在损失发生的过程中,诈骗分子向申某1提供了完整的机票行程信息并发送至申某1留存给携程公司手机号码的手机中,致使申某1误信了诈骗分子为客服工作人员,这是导致申某1受到欺骗的主要原因,正是基于这一点理由,在诈骗分子未能被追踪到的情况下,申某1选择了起诉携程公司,要求其承担侵权损害赔偿责任。
《侵权责任法》第三十七条有关安全保障义务的规范价值取向,同样适用于网络空间。携程公司在信息安全管理的落实方面存在漏洞,未尽到对个人信息负有的信息保管及防止泄露义务,具有过错,应承担侵权责任。携程公司作为网络运营者,其在本案中的侵权责任出现了个人信息侵权与安全保障义务责任侵权请求权竞合的问题,经法院释明后,申某1选择了以安全保障义务责任侵权请求权作为其权利保护请求路径。
(二)风险点二:未经用户同意进行信息共享
运营者在收集、使用用户数据时,往往不满足于一次性使用,而倾向于进行多次共享,以发挥用户数据最大的价值。但信息共享涉及到个人信息的再利用,若运营者未经用户同意进行信息共享,将可能导致个人信息遭受不当使用,引发侵权风险。
1.典型案例[2]
俞某担心个人信息及隐私有可能随时被泄露或被滥用,故诉至法院,请求判令被告共同向俞某赔偿经济损失1元。2019年12月10日,北京市海淀区人民法院一审判决乐某公司、支付宝公司、淘宝公司、天猫公司构成共同侵权,应共同赔偿俞某经济损失1元。
(三)风险点三:未经用户同意迁移好友关系
在用户同时使用运营者运营的多个社交软件时,运营者倾向于迁移用户的好友关系,认为这样方便快捷。但应当注意,用户可以自由选择在各类应用中的社交圈,一个用户在特定社交软件中的好友并不当然可以成为在其他社交软件中的好友。若运营者未经用户同意迁移好友关系,则面临侵权风险。
1.典型案例[3]
可见,在互联网时代,网络用户享有自主建立信息化“人设”的自由,也应享有拒绝建立信息化“人设”的自由,而这种自由行使的前提是用户清晰、明确地知晓此种自由。因此,运营者应对用户进行显著的告知,确保用户充分了解、知悉信息处理的方式、范围及风险。
(四)风险点四:从其他用户处收集、储存未注册用户信息
1.典型案例[4]
2020年7月30日,北京互联网法院对该案进行一审宣判,认定微播视界公司在未征得凌某某同意的情况下处理其个人信息,构成对其个人信息权益的侵害,判决微播视界公司于判决生效之日删除2019年2月9日前收集并存储的凌某某姓名和涉案手机号码的个人信息;删除未经凌某某同意通过抖音软件收集并存储的其地理位置信息;并在判决生效7日内以书面形式向凌某某道歉,赔偿凌某某经济损失1000元及维权合理费用4231元。
本案中,微播视界公司对凌某某姓名和手机号码的处理可以分为三个阶段:
第二阶段是2019年2月9日凌某某使用手机号码注册抖音App时,微播视界公司收集并存储了凌某某注册时提供的手机号码,在这一阶段,凌某某注册的行为应视为其同意微播视界公司收集其手机号码;
第三阶段是微播视界公司使用凌某某第二阶段注册使用的手机号码与第一阶段从其他手机用户手机通讯录中收集、存储的手机号码进行匹配,并向凌某某推荐“可能认识的人”,微播视界公司主张该阶段信息处理行为已通过《隐私政策》告知凌某某,但该《隐私政策》的内容应指微播视界公司读取凌某某通讯录后,向凌某某进行推荐,并非从他人通讯录收集凌某某手机号码并向凌某某推荐,两种收集方式和推荐逻辑并不完全相同,不能视为已经告知并征得凌某某同意。
在凌某某未注册时,其没有在抖音APP中建立社交关系的可能,微播视界公司从其他用户手机通讯录收集到凌某某的姓名和手机号码后,通过匹配可以知道软件内没有使用该手机号码作为账户的用户,应当及时删除该信息。但直至凌某某起诉时,该信息仍然存储于抖音APP的后台系统中,超出必要限度,不属于合理使用,构成侵权。
1.典型案例[5]
可见,运营者在与开放平台运营者达成合作、商业化使用各种数据资源并以此获取竞争优势的同时,应注重用户个人信息的保护,避免超越权限使用用户个人信息,以维护消费者的合法权益及公平的市场竞争秩序。
(六)风险点六:爬取其他运营者衍生数据涉嫌不正当竞争
实践中,运营者往往通过大数据分析处理,提炼整合用户原始数据,获得匿名化、去标识化的衍生数据,以发挥数据的更大效用。衍生数据不属于个人信息,其他运营者通过技术手段爬取衍生数据,虽避免侵害个人信息权益,但衍生数据具有财产价值,通过不正当的手段获取并使用将有损公平竞争秩序,构成不正当竞争。
1.典型案例[6]
淘宝公司是“生意参谋”数据产品的开发者和运营者,“生意参谋”数据产品所显示的数据内容均为趋势图、排行榜、占比图等形式的预测型、指数型、统计型数据信息,为商家的店铺运营提供数据化参考。“生意参谋”提供的数据内容是淘宝公司经用户同意,在记录、采集用户于淘宝电商平台上进行浏览、搜索、收藏、加购、交易等活动所留下的痕迹而形成的海量原始数据基础上采取脱敏处理,在剔除涉及个人信息、用户隐私后再经过深度处理、分析、整合,加工形成的诸如指数型、统计型、预测型的衍生数据。
淘宝公司认为,美景公司的上述行为对淘宝公司数据产品已构成实质性替代,直接导致了淘宝公司数据产品订购量和销售额的减少,已构成不正当竞争行为。2018年8月16日,杭州铁路运输法院一审认定美景公司构成不正当竞争,判决美景公司立即停止不正当竞争行为,赔偿淘宝公司经济损失及合理费用共计200万元。后美景公司上诉,浙江省杭州市中级人民法院驳回上诉,维持原判。
对于运营者而言,大数据产品已成为其独立享有的财产性权益。网络大数据产品不同于原始网络数据,其提供的数据内容虽然同样源于网络用户信息,但经过网络运营者大量的智力劳动成果投入,经过深度开发与系统整合,最终呈现给消费者的数据内容,已独立于网络用户信息、原始网络数据之外,是与网络用户信息、原始网络数据无直接对应关系的衍生数据。
本案中,美景公司并未付出自己的劳动创造,仅是将“生意参谋”数据产品直接作为自己获取商业利益的工具,其使用“生意参谋”数据产品也仅是提供同质化的网络服务。此种据他人市场成果直接为己所用,从而获取商业利益与竞争优势的行为,明显有悖公认的商业道德,属于不劳而获“搭便车”的不正当竞争行为。
技术本身虽然是中立的,但将技术作为不正当竞争的手段或工具时,该行为即具有可罚性。本案中,美景公司以营利为目的,组织、帮助他人利用已订购“生意参谋”数据产品服务的淘宝用户所提供子账户,擅自获取“生意参谋”数据产品数据内容,损害了淘宝公司的商业利益与商业模式,其并非是单纯的技术提供者,而是不正当竞争行为的直接实施者。
可见,运营者对数据产品享有竞争性财产权益,已得到实践肯定。若其他运营者通过技术手段爬取、利用他人数据产品获取商业利益,属于不劳而获的搭便车行为,构成不正当竞争。
四、结语
APP运营者在为用户提供部分服务时,不可避免需要搜集用户的个人信息,但如未按照《网络安全法》等法律法规进行个人信息采集,则将会面临侵犯用户隐私权、个人信息权益等侵权风险;同时,平台负有信息安全保障义务,如其信息管理系统存在漏洞而导致用户个人信息泄露,则需承担因未履行安全保障义务而产生的法律责任。此外,针对匿名化、去标识化的衍生数据,即使其不属于个人信息,但如涉及从其他运营者的数据产品处进行采集,虽避免侵害个人信息权益,却还存在被认定为构成不正当竞争的法律风险。
文中备注:
[1](2018)京0105民初36658号
[2](2018)京0108民初13661号;(2018)京01民辖终812号
[3](2019)京0491民初16142号
[4](2019)京0491民初6694号
[5](2019)津0116民初2091号
[6](2017)浙8601民初4034号;(2018)浙01民终7312号
本文作者:
高亚平
业务合伙人/律师
周梦
律师
纪倩
律师助理
(实习生黄超对本文亦有贡献。)
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。