前言
大数据时代下,“个人信息保护”是个重要议题。
为回应当前数据产业发展的司法保护现实需求,广州互联网法院、温州市中级人民法院先后突破性地成立了全国首个涉数据纠纷专业合议庭、全国第一家数据资源法庭,两者均对涉及公民个人信息的侵权类民事纠纷进行专门审理,以期逐步形成对个人信息权益保护纠纷法律规则适用的专业判断,促进裁判规则统一。
立足于此,我们对涉及侵犯个人信息权益的民事案件进行筛选、梳理并推出“个人信息保护诉讼裁判规则”专题,通过重点分析法院如何认定案涉信息是否为个人信息、企业处理个人信息是否已具备合法性基础、举证责任如何分配以及侵权责任如何承担等争议焦点,为企业处理此类纠纷提供应对之策。
个人信息被侵害,是个人信息保护诉讼的请求权基础。因此,什么是个人信息,是个人信息保护诉讼的讨论起点。作为“个人信息保护诉讼裁判规则”专题的第一期,我们将首先通过案例深入分析法院如何认定案涉信息是否构成个人信息。
裁判规则概览
1.姓名、身份证件号码、出生日期、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等作为法律明文规定的个人信息内容,法院一般直接认定构成个人信息。
2.未被法律明确的信息内容,法院则一般从识别路径、关联路径进行认定——
(1)识别路径是“从信息到个人”,通过相关信息能够识别出特定的自然人,具体可从如下因素判断:
-
就信息内容而言,是否已作去标识化、匿名化或仍包含有法律明确的个人信息(如自然人身份信息、行踪信息、通信通讯联系方式等)。
-
就一般理性人而言,将该信息与其他信息重新结合识别特定自然人的技术门槛、第三方数据来源、经济成本、还原时间等行为成本是否较高,从而判断信息具备可还原识别特征的可能性是否较低。
-
就数据处理者而言,其自身是否可基于该信息识别特定用户身份,例如一般公众即便获取完整用户OPEN_ID、用户身份识别代码可能也难以直接识别特定自然人,但由于该信息系由数据处理者自行生成并掌握,因此对其而言,信息具备可识别用户身份的特征,构成个人信息。
(2)关联路径是“从个人到信息”,即已知既定个人的情况下,知晓“关于”该个人的进一步信息将构成个人信息,通常法院可从以下方面进行论述:
-
就数据处理者而言,用户是否为既定个人,例如已实名用户帐号下的浏览、点赞记录,可被视为个人信息。
-
就社会公众的一般认知而言,信息是否可用于评价具体个人的行为、状态或可与特定自然人关联,例如仅呈现车辆日常损耗程度、未来发生故障可能性、安全系数等使用情况的信息一般不具备可评价或可关联性。
《个人信息保护法》第4条
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
《民法典》第1034条
自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
《网络安全法》第76条第5项
(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
可见,判断侵权客体是否属于个人信息,核心标准在于其是否具有“已识别”或“可识别”特征。对此,《信息安全技术 个人信息安全规范》(GB/T 35273—2020,以下简称《个人信息安全规范》)提供了更为落地的参考指引,其明确判定某项信息是否属于个人信息,通常考虑以下两条路径:
一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。
二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。
符合上述两种情形之一的信息,均应判定为个人信息。那么司法实践中,法院如何适用上述路径进行认定呢?
从现有生效判决看,法院对于《民法典》《网络安全法》已明文确定为个人信息的内容无过多争议,一般直接认定为属于个人信息,包括姓名、身份证件号码、出生日期、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。而就未以法律形式明确的信息内容是否构成个人信息,如车架号、车辆基本行驶数据等历史车况信息,微信头像、昵称,用户身份识别代码等,实践中存在一定争议,仍需结合具体场景作进一步论证。
1. 车架号、车辆基本行驶数据等历史车况信息是否属于个人信息
根据《车联网信息服务用户个人信息保护要求》对数据分类的规定,VIN码(又称“车辆识别代码”“车架号”)被明确为“个人重要信息”。不过,在余某与北京某网络科技有限公司隐私权纠纷【1】一案中,广州互联网法院从信息内容、特征、来源、可还原识别特征的可能性等方面对车架号、车辆基本行驶数据等历史车况信息在该案背景下不属于个人信息进行了充分论证。
其认为,该等历史车况信息包括了车架号、车辆基本行驶数据、维保数据、碰撞数据、评分项目及具体评分等,但一方面内容未出现自然人身份信息、行踪信息、通信通讯联系方式等能直接识别特定自然人的信息,从社会公众的一般认知来看,亦仅能反映所查车辆的使用情况,其内容既不涉及具体个人,也不用于评价具体个人的行为或状态,无法关联到车辆所有人等特定自然人,另一方面,被告获取的信息已经过脱敏处理,从一般理性人角度出发,其与其他信息结合识别特定自然人的行为成本包含技术门槛、第三方数据来源、经济成本、还原时间等,成本较高,因而可进行关联识别的可能性较低,最终认定案涉历史车况信息不能被认定为个人信息。
诚然,在技术高度发达的时代,任何信息理论上都可能被还原为可识别特定自然人的信息,但是在论证是否构成个人信息时,法院会对可实现概率予以评判,避免不当地扩大个人信息保护范围,限制商业交易的市场自由。
2. 微信头像、昵称是否属于个人信息
由于微信头像、昵称可由用户自行编辑,在微信头像并非用户自拍、昵称也非用户真实姓名的情况下,其是否仍构成自然人的个人信息?四川省德阳市旌阳区人民法院在审理四川首例“扫码点餐”侵权案时作出了回应,并对识别路径、关联路径的适用予以了释明。
法官认为,本案即使将被告提取的微信头像、昵称、地区和性别信息几种信息结合在一起,除与原告有特定关系的单位或个人,通常无法识别出特定自然人。因此,在识别路径下,该信息并非法律保护的个人信息。
而在适用关联路径认定是否构成个人信息时,法官指出能够关联到特定个人的信息不以特殊性为前提,其作用是丰富既定个人既有的人格图像,使他人知晓更多关于该个人的情况。原告在被告处用餐并使用微信扫码的场景下,原告为已知既定个人,被告通过提取信息知晓了原告的微信号、昵称、地区等信息,最终认定微信昵称、头像同样构成原告个人信息,应予保护。
3. 用户身份识别代码是否属于个人信息
用户身份识别代码作为数据处理者自行生成的技术信息,理论上不包含自然人的任何身份信息和隐私信息,一般公众即便获取该识别代码,也难以识别特定自然人,那么企业是否可以此为由主张该等信息是否不属于个人信息?俞某与浙江某有限公司等网络侵权责任纠纷【2】中,被告便采用了此等抗辩理由,但法院对此不予认可。
法院明确,从涉案行为的结果来看,被告通过技术处理后形成的用户身份识别代码可有效关联、匹配到用户在其他购物平台的账号,可见对被告而言,其结合该代码及所匹配用户在其他平台账号的信息后,可实现特定自然人身份的识别,因此用户身份识别代码同样构成个人信息。
#03 结语
个人信息,是一个场景化的概念。法院在认定信息是否构成个人信息时,会结合当个场景下数据处理者、社会公众及一般理性人的多个视角综合审视其是否具备“可识别性”与“可关联性”。而对企业而言,厘清哪些信息为个人信息,不仅是应对个人信息保护权益纠纷的诉讼策略,还是履行各项个人信息保护合规义务的重要基础。明确个人信息的司法判定标准后,我们将在下一期对法院如何认定企业处理个人信息是否已具备合法性基础进行深入剖析,为企业的数据处理活动提供合规参考。
注释
【1】广州互联网法院一审民事判决书,(2021)粤0192民初928号。
【2】北京市海淀区人民法院一审民事判决书,(2018)京0108民初13661号。
特别声明
本文仅为交流探讨之目的,不代表广东广悦律师事务所或其律师出具的任何形式之法律意见或建议。如需转载或引用本文的任何内容,请与本所沟通授权事宜,并于转载或引用时注明出处。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。