從抖音案看中國大陸個人資料保護的發展

(本文主要介紹中國大陸法制與判決,相關用語均尊重原文)

中國大陸第13屆全國人民代表大會(下稱全國人大)第3次會議於今(2020)年5月28日表決通過了「中華人民共和國民法典(下稱民法典)」,民法典將於2021年1月1日起開始實施,民法典第1032條至第1039條針對隱私權與個人信息(即個人資料,以下為尊重原文與統一用語,將以個人信息稱之)制定基礎的保護原則、定義個人信息的概念、載明個人信息處理的合法基礎、規範個人信息處理者的義務、自然人就個人信息的權利與行政機關的職責等事項。另外,中國大陸的國家市場監督管理總局與國家標準化管理委員也於今年發布「GB/T 35273-2020信息安全技術個人信息安全規範」,將於今年10月1日正式實施,其針對「多項業務功能的自主選擇」、「用戶畫像(profiling)的使用限制」、「個性化展示的使用」、「基於不同業務目的所收集個人信息的匯聚融合」、「第三方接入管理」、「個人信息安全工程」、「個人信息處理活動紀錄」、「徵得授權同意的例外」、「個人信息主體註銷帳戶」、「明確責任部門與人員」以及「個人生物識別信息」等內容進行增加與修改。而全國人大常委會也於今年表示預計將「個人信息保護法」與「數據安全法」等草案提請審議,可以看得出中國大陸對於制定個人信息保護相關規範的重視。

另外北京互聯網法院於2020年7月30日就抖音App侵害個人權益一案進行一審判決(下稱本案),認定抖音App構成原告個人信息權益的侵權行為,成為網路時代下中國大陸關於App蒐集、處理與利用個人信息的典型判決。以下將簡要介紹本案的內容。

個人信息的定義

中華人民共和國民法總則(下稱民法總則)第111條規定:「自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得並確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或公開他人個人信息。」,另依網路安全法第76條第5項規定:「個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。」

本案判決認為,根據前揭規定,構成個人信息應滿足「可識別性」與「有一定的載體」兩個要件。「有一定的載體」是構成個人信息的形式要件,即個人信息應以電子或其他方式記錄,沒有一定載體記錄的信息無法構成個人信息。所謂可識別性,包含對於個體身份的識別(是誰)、個體特徵的識別(是什麼樣的人),同時在考量是否具可識別性時,不應機械割裂得對每一個單獨信息進行判斷,而應結合具體場景,以信息處理者處理的相關信息組合進行判斷。

本案所涉及的姓名、手機號碼與地理位置信息均構成個人信息

本案中,原告主張被告(北京微播視界科技有限公司)於2019年2月9日原告註冊使用抖音App前收集、存儲、使用其姓名及涉案手機號碼的行為構成侵權。法院判決認為,姓名是自然人作為社會個體與他人進行區別,在社會生活中具備可識別性的稱謂或符號。手機號碼是電話管理部門為手機設定的號碼,隨著「手機實名制」政策的推行和普及,手機號碼與特定自然人的關連性愈加緊密,因此自然人的姓名與其使用的手機號碼無論單獨或組合均具有可識別性,屬於個人信息。

另外針對地理位置信息部分,根據抖音App的「隱私政策」,其對「個人信息」的解釋包括「個人位置信息」,對「個人敏感信息」包括「精準定位信息」。可見「隱私政策」中的個人位置信息亦非僅限於「精準定位信息」。同時因為手機號碼具有可識別性,在收集手機號碼的情形下,被告收集的位置信息與手機號碼信息組合,能夠識別到特定人,屬於個人信息,與該位置的精確程度無關,因此地理位置信息也屬於個人信息。

本案所涉及的信息蒐集、處理與使用構成原告個人信息權益的侵害

一、被告於2019年2月9日原告註冊抖音App前收集、存儲原告姓名和手機號碼並使用的行為並未徵得原告同意

本案被告通過讀取其他手機用戶通訊錄的方式獲得原告姓名和手機號碼,並在原告註冊後向其推薦可能認識的人。被告對原告姓名和手機號碼的處理可以分為三個階段,而被告於第一階段與第三階段,針對原告姓名和手機號碼並使用的行為並未徵得原告同意:

1.第一階段:2019年2月9日前被告通過向其他手機用戶申請授權收集並存儲了其他手機用戶的手機通訊錄信息,其中包含了原告的姓名和手機號碼,此時原告尚未註冊使用抖音App,被告在未徵得原告同意的情況下對手機號碼為處理。

2.第二階段:2019年2月9日原告使用手機號碼註冊抖音App時,被告收集並存儲了原告註冊時提供的手機號碼,原告註冊的行為應視為其同意被告收集其手機號碼。

3.第三階段:被告使用原告第二階段註冊使用的的手機號碼與第一階段從其他手機用戶手機通訊錄中收集、存儲的手機號碼進行匹配,並向原告推薦「可能認識的人」。被告雖主張該階段信息處理行為已透過「隱私政策」告知原告,但根據隱私政策內容:「你使用推薦通訊錄好友功能時,在獲得你的明示同意後,我們會將你通訊錄中的信息進行高強度加密算法處理後,用於向你推薦通訊錄的好友。」,法院認為該內容應指,被告讀取原告通訊錄後,向原告進行推薦,並非從他人通訊錄收集原告手機號碼並向原告推薦,兩種收集方式與推薦邏輯並不完全相同,不能視為被告已經告知並徵得原告同意。

二、被告未徵得原告同意處理其姓名和手機號碼的行為,構成對原告該項個人信息的侵害

本案法院認為,被告對於姓名和手機號碼的使用,會涉及手機用戶、通訊錄聯繫人與互聯網行業發展的不同利益需求的平衡,應從姓名和手機號碼「信息的特點與屬性」、「信息使用的方式和目的」、「對各方利益可能產生的影響」等面向進行分析。儘管本案被告讀取手機通訊錄時不可避免得會讀取原告的手機號碼,但讀取和匹配行為並不會對原告產生打擾,也通常不會不合理得損害原告利益,且有利於滿足其他有社交需求用戶的利益及行業和社會發展的需要,屬於對該信息的合理使用。

然而法院特別強調,該合理使用仍應符合處理個人信息的合法、正當、必要原則。本案中,原告未註冊時,不存在在抖音App中建立社交關係的可能,被告從其他用戶手機通訊錄收集到原告姓名和手機號碼後,通過匹配可以知道軟件內沒有使用該手機號碼作為帳戶的用戶,應及時刪除該信息,但被告並未及時刪除,直到原告起訴時,該信息仍存儲於被告的後台系統中,超出必要限度,故不屬於合理使用,構成對原告該項個人信息權益的侵害。

三、被告未徵得原告同意收集原告的地理位置信息,構成對原告該項個人信息的侵害

依據原告所提交的公證書顯示,原告下載抖音App後,在瀏覽「用戶隱私政策概要」及「隱私政策」之前,抖音App主頁視頻上方即顯示原告公證時公證處所在城市「成都」。在原告使用手機號碼登錄後,主頁視頻上方同樣顯示「成都」,隨後才彈窗詢問「允許訪問你的位置?你的城市信息將會在個人主頁上展示,可在資料頁手動修改或取消展示」。顯然,無論原告是否同意允許訪問其「位置」,被告已經在詢問前收集到該信息。

被告雖主張其通過IP地址獲得模糊的地理位置信息,然而未提交證據證明。縱使其陳述屬實,作為軟件經營者在互聯網信息交互時獲得了用戶的IP地址,但IP地址並不必然等同於地理位置,通過IP地址去分析用戶所在地理位置並在軟件中進行顯示,屬於對信息的進一步處理和使用,同樣需要徵得用戶的同意,否則依然構成對個人信息的不當使用和過度處理。同時根據抖音App的「隱私政策」條款:「你發布音視頻等信息並選擇顯示位置時,我們會請求你授權地理位置這一敏感權限,並收集與本服務相關的位置信息。這些技術包括IP地址、GPS……」,可知根據「隱私政策」通過IP地址獲得地理位置亦應徵得用戶同意。故被告在未徵得原告同意情況下收集原告的地理位置信息,構成對原告該項個人信息的侵害。

四、被告責任

1.被告應於判決生效日刪除未經原告同意所收集的姓名、手機號碼與地理位置信息等個人信息

依中華人民國共和國侵權責任法(下稱侵權責任法)第15條規定:「承擔侵權責任的方式主要有:(一)停止侵害;(二)排除妨礙;(三)消除危險;(四)返還財產;(五)恢復原狀;(六)賠償損失;(七)消除影響、恢復名譽。」另網路安全法第43條規定:「個人發現網路運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網路運營者刪除其個人信息;發現網路運營者收集、存儲的其個人信息有錯誤的,有權要求網路運營者予以更正。網路運營者應當採取措施予以刪除或者更正。」

本案法院認為,依照前述規定,信息主體要求網路運營者刪除違法收集的個人信息時,無需以構成實際損害為前提。另原告雖要求被告停止使用並刪除2019年2月9日前收集、存儲的其姓名和手機號碼的個人信息與未經授權收集、存儲的地理位置信息,然而就責任承擔的方式,刪除信息即可以實現停止使用。因此,原告得要求被告刪除未經原告同意所收集的姓名、手機號碼與地理位置信息等個人信息。

2.被告應於判決生效日起7日內,以書面形式向原告道歉

依照最高人民法院關於審理利用信息網路侵害人身權益民事糾紛案件適用法律若干問題的規定第16條:「人民法院判決侵權人承擔賠禮道歉,消除影響或者恢復名譽等責任形式的,應當與侵權的具體方式和所造成的影響範圍相當。」由於被告侵權行為發生在抖音App中,並未給原告造成向抖音用戶公開的大範圍影響,因此考量被告的侵權方式和所造成影響範圍,法院判決被告應以書面方式向原告道歉。

3.被告應於判決生效日起7日內賠償原告經濟損失1000元與維權合理費用4231元

依照侵權責任法第20條規定:「侵害他人人身權益造成財產損失的,按照被侵權人因此受到的損失賠償;被侵權人的損失難以確定時,侵權人因此獲得利益的,按照其獲得的利益賠償;侵權人因此獲得的利益難以確定,被侵權人和侵權人就賠償數額協商不一致,向人民法院提起訴訟的,由人民法院根據實際情況確定賠償數額。」

本案法院認為,對個人信息的消極利用會給信息主體帶來人身和財產受到侵害的風險,對個人信息的積極利用會給使用者帶來利益。個人信息是數據的重要來源之一,而數據作為新型生產要素又是數字經濟發展的基礎,對於個人信息的採集和利用必然會帶來商業價值和經濟利益。儘管本案原被告均未就原告因個人信息權益受到侵害所遭受的財產損失或被告因此獲得利益的部分提出相關證據,但被告對個人信息的採集和利用必然會為其商業運贏帶來利益。因此判決被告在未徵得原告同意情況下採集原告的個人信息並加以利用的行為,應進行一定的經濟賠償,並考量本案情況酌定賠償數額為1000元(約新臺幣4272元),被告並應賠償原告的維權合理費用(公證費支出)4231元(約新臺幣18075元)。

結語

在數位時代下,消費者所使用的每項產品,其背後的技術與邏輯往往把持於經營者手上,就連法院也必須依據手上現有的證據逐一抽絲剝繭,並且透過專家的協助,才有可能稍稍瞭解其背後的真相。儘管本案判決的賠償金額不高,但其針對抖音App蒐集、處理與利用個人信息的過程,細緻區分每個階段流程,並加以分析判斷各階段流程個人信息處理的合法性,實屬難得。

同時該案判決也於末段強調,因為技術能力,普通網路用戶很難瞭解其個人信息如何被處理和利用,其對網路空間中的個人信息和私人領域的控制力更為減弱。因此互聯網企業更需要從保護用戶權利的角度,合法合規得設計產品模式、開發技術應用。規範個人信息的處理行為並不會影響行業發展,反而會促使技術在個人信息保護方面不斷創新進步。企業可以透過諸如完善隱私政策內容和告知形式、對信息不可復原的匿名化處理等產品模式和技術創新的方式,在加強隱私權和個人信息保護的前提下,促進互聯網行業的發展,而非對公民個人權益和行業發展非此即彼的取捨,互聯網企業應承擔其應盡的法律責任和社會責任。

觀諸中國大陸現行與即將施行的民法典中關於個人資料保護的法令,儘管難謂完善,其仍尚待一部完整的個人資料保護法,然而從本案中可以看出,現時於中國大陸侵害自然人個人資料的權益仍有相對應的法律責任。同時今年10月1日實施的「GB/T 35273-2020信息安全技術個人信息安全規範」,其中已有歐盟一般資料保護規則(GDPR)的影子,未來中國大陸關於個人資料保護的規範,或許會有朝GDPR靠攏的趨勢。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.挪威資料保護主管機關推出監理沙盒,協助人工智慧的開發
5.歐盟法院SCHREMS II案與常見問答

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s