案件事实
2021年3月1日,周某某致电某电子商务公司客服,表示其系某电子商务平台客户,因其母亲接到陌生电话,对方对周某某购物留下来的个人信息有所了解,故担心个人信息泄露,想知道某电子商务平台收集了哪些个人信息,希望某电子商务平台披露所收集到的其个人信息(比如姓名、性别、出生年月、家庭信息、常用地址、联系方式,账户信息、设备型号操作系统版本、唯一的设备识别符、位置信息、IP地址等)。
某电子商务平台客服表示:“用户有填写的信息,可以在APP个人中心予以查看,且这些信息采取了加密的保护措施,不会泄露;对于用户没有填写的信息,某电子商务平台是没有办法展示的,且鉴于登录账号6541用户即周某某本人账户没有实名认证,某电子商务平台也是没有办法知道的。”
同日,周某某通过电子邮件“周缦卿〈zho×××@163.com〉”向某电子商务平台隐私专职部门邮箱发送邮件,邮件内容称其刚致电了某电子商务平台客服,客服称目前没有渠道向其披露公司所收集的个人信息,因焦虑个人信息被过多收集,请求公司披露相关内容,请求披露的内容同案涉起诉附件清单。某电子商务平台公司未回复该邮件。
周某某遂诉至法院,请求某电子商务公司向其披露收集的个人信息。
法院认为
一审法院认为:
一、周某某要求查阅、复制的信息是否属于个人信息
个人信息认定的关键因素是“识别”,只有可以直接或间接识别特定自然人的信息才是个人信息。本案中,周某某要求某电子商务公司披露的信息,其中个人资料中的姓名、电话号码、订单信息一般情况可以直接识别到特定自然人的身份和财产状况;其他如设备信息、位置信息、浏览记录等信息,虽然仅凭借该信息无法识别出特定的自然人,但与其他信息进行结合就可以识别出特定的自然人。因此,周某某诉请某电子商务公司披露的以上信息属于个人信息的范围。
二、个人信息查阅权、复制权的范围
(1)关于周某某所列清单中的“第三方SDK从某电子商务公司收集到的其个人信息”。根据《某电子商务公司隐私政策》可见,其有向SDK共享用户信息的可能。因此,某电子商务公司仍有必要向周某某清晰列出实际内嵌第三方SDK收集的周某某个人信息,包括第三方SDK的具体名称,以及第三方SDK已经收集到的周某某个人信息基本情况,包括信息类型、信息内容、使用目的和使用场景。
(2)关于周某某所列清单中的“哪些信息被用于用户画像”。用户画像是通过算法对个人信息的集合或部分集合进行自动化决策的过程。根据《个人信息保护法》第二十四条第三款规定,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。本案中,周某某并未提交证据证明某电子商务公司作出了对其个人权益有重大影响的自动化决策,其诉求某电子商务公司披露具体哪些信息被用于用户画像,无事实和法律依据,一审法院不予支持。
(3)关于周某某诉请披露的“对外分享的信息:共享给第三方的信息以及第三方的具体名称”。根据《个人信息保护法》第二十三条的规定,“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。”据此,某电子商务公司有必要根据周某某的申请披露与第三方共享个人信息清单,列明第三方的具体名称以及共享给第三方的周某某个人信息,包括信息种类、信息内容、使用目的、使用场景和共享方式。
(4)关于周某某所列清单中的“支付信息:与某电子商务公司合作的第三方支付机构从某电子商务公司收集到的账户信息”,该信息仍属于上述某电子商务公司共享给第三方个人信息范畴,某电子商务公司应根据周某某的申请予以披露。
(5)至于周某某所列清单的其它信息:姓名、出生年月日、电子邮箱;设备名称、移动应用列表、应用程序版本、语言设置、运营商网络类型等软硬件特征信息;GPS位置以及能够提供相关信息的WLAN接入点、蓝牙和基站;搜索内容、浏览器类型、访问日期、时间以及访问的网页记录等,某电子商务公司未确认已收集以上个人信息,周某某亦无证据证明某电子商务公司存在收集行为,故周某某主张查阅、复制以上个人信息,无事实和法律依据,一审法院不予支持。
三、某电子商务公司是否侵害了周某某的查阅复制权,如侵权成立应以何种方式保障查阅复制权的行使
某电子商务公司在接到周某某请求时的首要工作是验证其个人信息主体身份,然后在合理的期间作出答复,但某电子商务公司在收到周某某发送的邮件后,并未作出任何处理,实质上是拒绝了周某某的申请。且在周某某对某电子商务公司提起诉讼后,某电子商务公司已经核实了周某某的个人信息主体身份,仍拒绝披露周某某在APP个人资料页面无法查看的信息。综上,一审法院认定某电子商务公司存在无正当理由拒绝周某某行使查阅、复制权的行为。
一审庭审中,某电子商务公司陈述可以通过截屏的方式获取个人资料的个人信息,但截屏显然不属于通用的个人信息副本方式。鉴于某电子商务公司在隐私政策中明确约定用户可以获取个人信息副本,因此,某电子商务公司有必要提供一种通用的、可下载的个人信息副本方式,考虑到周某某以电子方式提出请求,某电子商务公司也应当以常用的电子形式提供个人信息副本,如excel表格、word文档等。
四、周某某要求某电子商务公司删除相关“非必要个人信息”的诉请能否得到支持
根据隐私政策约定,某电子商务公司可根据用户的授权收集设备信息、网络日志、收集用户消费习惯形成用户画像等,且根据庭审勘验,周某某可通过手机权限选择是否授权某电子商务公司使用位置信息、相机、储存等信息。可见,某电子商务公司虽然收集了周某某主张的“非必要个人信息”,但取得了本人的同意。本案并无证据表明某电子商务公司存在以上应当主动删除周某某个人信息的情形,周某某述称其有理由怀疑某电子商务公司收集“非必要个人信息”用于商业营销之用,并无证据予以证实。周某某现要求某电子商务公司予以删除,无事实和法律依据,一审法院对此不予支持。
一审判决:一、某电子商务公司于该判决发生法律效力之日起十日内提供自周某某注册之日起至该判决发生法律效力之日止的已收集到的个人信息以及个人信息处理的相关情况供周某某查阅、复制(具体内容详见附表2);二、驳回周某某的其他诉讼请求。一审案件受理费500元,由某电子商务公司负担。
二审法院认为:
一、二、三、五涉及其他问题,本处省略。
四、某电子商务公司应当向周某某披露的个人信息范围
(一)关于某电子商务公司自认已实际收集且应当披露的个人信息:二审中,某电子商务公司公司确认周某某的“账户信息”中的账户注册时间、账号、头像,“个人基本信息”中的性别、手机号码,“设备信息”(设备型号、操作系统版本、唯一设备标识符),“日志信息”中的订单信息、IP地址,“收货信息”(收货人姓名、收货地址以及手机号码,及相应的订单号、所购商品或服务信息、支付的货款金额及支付方式),“购物习惯”等信息为其实际收集且应当披露的信息,本院对此予以确认。
(二)关于“昵称”与“居住地”信息是否应当披露:根据查明事实,周某某在某电子商务公司APP中的昵称为“某电子商务公司会员”,虽然该昵称由某电子商务公司APP自动生成,并非周某某自行填写,该昵称为个人自行填写或是由系统自动生成,均不影响其性质的认定。据此,某电子商务公司应当向周彦聪披露其“昵称”信息。至于居住地信息,某电子商务公司主张其未收集,周某某亦确认并未填写该信息,故本院认定某电子商务公司不需要向周某某披露其居住地信息。
(三)关于“浏览记录”及“与第三方(包括第三方支付机构)共享的个人信息”:某电子商务公司确认均有实际收集,但抗辩称若全部提供上述信息会使其承担高昂成本,也不符合行业惯例。对此,本院认为,浏览记录及平台与第三方共享的个人信息,是个人信息及其处理情况的重要组成部分,该信息对于个人判断个人信息是否被滥用具有重要意义,某电子商务公司作为个人信息处理者,应当依法向周某某披露上述信息相关情况。
(四)关于“第三方SDK收集的个人信息”:某电子商务公司主张并未参与该类信息的收集、上传、储存过程,根据现有证据亦未能显示某电子商务公司收集了上述信息,故周某某要求某电子商务公司向其披露第三方SDK收集的个人信息,依据不足,本院不予支持。需要指出的是,第三方SDK嵌入APP,一方面提升了APP兼容性和灵活性,节约了APP开发成本,但同时也带来了个人信息安全风险。虽然本院未支持周某某关于披露第三方SDK收集的个人信息的诉讼请求,但某电子商务公司作为某电子商务公司APP的运营方,仍应谨慎选择使用第三方SDK,通过加强动态监测和安全评估工作、完善与第三方SDK提供者的合作协议等有效举措,积极防范SDK安全漏洞、违法违规收集使用个人信息等风险,切实保障用户个人信息安全。
六、案涉个人信息的披露方式
如前所述,周某某请求某电子商务公司向其披露相关个人信息情况,实质上是在行使查阅复制权。某电子商务公司上诉主张其已向周某某提供了便捷的个人信息查阅途径,但根据查明事实,某电子商务公司提供的查阅途径仅能查阅部分周彦聪的个人信息,且对于复制权,一般应当理解为提供副本,仅提供查阅途径不能视为已满足周某某复制个人信息的请求。一审法院判令某电子商务公司以提供副本的方式向周某某披露个人信息情况,该披露方式能同时满足周某某查阅和复制的请求,本院予以确认。副本应当采取书面形式,可为纸介质或者电子介质。从减少个人信息处理者的披露成本、方便个人查阅的角度,一审判决某电子商务公司向周某某提供电子化的副本,并无不当,本院予以维持。电子化副本不限于Excel表格、Word文档等形式,某电子商务公司应当选择便于查阅的方式向周某某提供个人信息电子化副本。
二审判决如下:一、变更广州互联网法院(2021)粤0192民初17422号民事判决第一项为:某电子商务公司于本判决发生法律效力之日起三十日内提供自周某某注册APP之日起至本判决发生法律效力之日止的已收集到的相关个人信息以及个人信息处理的相关情况供周某某查阅、复制(具体内容见附表3);二、撤销广州互联网法院(2021)粤0192民初17422号民事判决第二项;三、驳回周某某的其他诉讼请求。
律师建议:
个人信息保护法的施行对于个人信息有着更加明确的保护要求。个人信息收集者无论是收集、使用、亦或是共享、自动化决策,都不应该逃出个人信息“归属”问题,即信息及其衍生信息是谁的,就应该由谁说了算。在个人提出明确对于自身信息的操作请求时,企业应当予以配合(包括查阅、复制及最大合理限度的删除等)。互联网时代,数据成为了企业新的资产载体,企业在收集使用并根据数据形成竞争优势的同时应当注重自身的数据合规,将该部分合规提升到与其他业务相同甚至更高的高度。组建专业的团队,在律师配合下对照着《个人信息保护法》、《数据安全法》、《网络安全法》及各项行业标准仔细核查着自身原有的包括但不限于隐私政策、用户协议等文件,并落实到业务部门,使用户个人信息权益能够得到保障,避免不必要的诉累发生。
欢迎各位读者浏览我们更多的文章,并通过顶部“关于我”标签了解我们团队。
若有帮助,欢迎您收藏本网站和添加作者微信!
