电子商务公司收集个人信息可以主张查阅复制权利
电子商务公司收集个人信息可以主张查阅复制权利
【经典案例】
原告周某向本院提出诉讼请求:一、判令被告向原告披露原告在使用某电商网站(××)及APP客户端(以下统称“某平台”)的过程中被告收集的原告的所有个人信息(具体内容见附表1);二、判令被告删除在原告身上收集到的所有非必要信息。
被告某公司辩称,某公司遵循合法、正当及必要原则,在原告同意的合理范围内处理个人信息,并不违反法律、行政法规的规定及与原告的约定。同时,某公司已充分保障原告实现查阅、复制等数据权益,也采取了符合业界标准且合理可行的数据安全保护措施以保护原告的个人信息,原告要求删除其个人信息没有法律及合同依据。
对本案有关事实,本院认定如下:
一、有关周某某账号的情况
某公司系某平台的运营主体,用户可通过网站和APP使用该平台;周某系某平台的注册用户。
二、有关周某请求某公司查阅个人信息的情况
2021年3月1日,周某致电某客服,表示其系某客户,因其母亲接到陌生电话对方对周某购物留下来的个人信息有所了解,故担心个人信息泄露,想知道某收集了哪些个人信息,希望某披露所收集到的其个人信息(比如姓名、性别、出生年月、家庭信息、常用地址、联系方式,账户信息、设备型号操作系统版本、唯一的设备识别符、位置信息、IP地址等)。
三、有关某的注册流程以及隐私政策
诉讼中,周某明确主张本案为侵权之诉,某公司拒不向周某披露个人信息的不作为构成对周某个人信息查阅、复制权的侵害,因此,周某请求排除妨碍、消除危险。
本院认为,本案系个人信息保护纠纷。案涉纠纷发生于《中华人民共和国个人信息保护法》生效之前,但该法律事实持续至个人信息保护法施行后,因此,本案可适用个人信息保护法的相关规定。本案的争议焦点为:一、周某要求查阅、复制的信息是否属于个人信息;二、个人信息查阅、复制权的范围;三、某公司是否侵害了周某的查阅权和复制权,如侵权成立,某公司应以何种方式保障周某的查阅权、复制权的行使;四、周某要求某删除相关非必要个人信息的诉请能否得到支持。
一、周某要求查阅、复制的信息是否属于个人信息
《中华人民共和国民法典》第一千零三十四条规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”《中华人民共和国个人信息保护法》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
根据上述规定,个人信息认定的关键因素是“识别”,只有可以直接或间接识别特定自然人的信息才是个人信息。本案中,周某要求某公司披露的信息,其中个人资料中的姓名、电话号码、订单信息一般情况可以直接识别到特定自然人的身份和财产状况;其他如设备信息、位置信息、浏览记录等信息,虽然仅凭借该信息无法识别出特定的自然人,但与其他信息进行结合就可以识别出特定的自然人。因此,周某诉请某公司披露的以上信息属于个人信息的范围。
关于某公司抗辩设备信息以及日志信息是系统自动记录的信息,兼具商业运营信息的属性,企业有权在合理范围内且在不损害用户权益的基础上加以利用。本院认为,设备信息是用户在使用某APP过程中所持有的个人常用设备型号、唯一设备识别码等硬件信息;日志信息,特别是其中的订单信息涉及用户姓名、收件人姓名、收件地址与收货电话号码。以上信息显然是用户主动提供的,可以指向用户的身份信息、财产信息、上网记录信息以及个人常用设备信息,属于个人信息,即便某要利用设备信息和日志信息进行商业运营,亦不影响其个人信息的界定,自然人许可他人使用个人信息,而这种许可并不视为自然人放弃或者转让了其个人信息权益。因此,周某对其诉请某公司披露的设备信息和日志信息具有个人信息权益,某公司不应以商业利益为由拒绝周某对设备信息和日志信息行使权利。
二、个人信息查阅权、复制权的范围
《中华人民共和国民法典》第一千零三十七条第一款规定:“自然人可以依法向信息处理者查阅或者复制其个人信息。”《中华人民共和国个人信息保护法》第四十五条第一款亦规定了个人有向个人信息处理者查阅、复制其个人信息的权利。据此,个人享有向个人信息处理者查阅、复制其个人信息的权利,周某作为个人信息主体,有权向收集、处理其个人信息的某公司查阅、复制其个人信息。
参考国家标准GB/T35273-2020《信息安全技术个人信息安全规范》,其中第8.1条将查阅的内容规定为:“个人信息控制者所持有的个人信息或者个人信息的类型;上述个人信息的来源、所用于的目的;已经获得上述个人信息的第三人身份或类型。”可知,个人信息查阅权、复制权的客体“个人信息”,不仅包括个人信息本身,还应该包括个人信息处理的相关情况。本案中,周某诉请某公司披露收集到的其所有个人信息,具体内容以附表1为准,而附表1内的请求内容不仅包括个人信息,也包含了个人信息处理的相关情况。某公司确认收集到的个人信息属于某公司正在处理的个人信息,应当依法提供给个人信息主体进行查阅和复制。至于周某诉请披露的清单中所列其他个人信息以及个人信息处理的相关情况是否应在查阅、复制的范围,本院具体分析如下:
(1)关于周某所列清单中的“第三方SDK从某公司收集到的其个人信息”。根据《某隐私政策》中“您授权我们收集和使用您个人信息的情形——为您提供安全保障”条款约定“我们还可能在应用程序中嵌入我们合作的第三方合作伙伴开发的应用安全类的软件工具开发包(在本隐私政策中简称“SDK”)收集您的设备信息、服务日志信息……”可见,某公司有向SDK共享用户信息的可能。至于第三方SDK实际收集了周某的何种信息,虽然附件一第三方SDK目录中列明了可能嵌入的第三方SDK名称、用途以及手机个人信息类型,但实际内嵌于某APP中的第三方SDK以及该SDK实际收集的用户具体个人信息,用户是无法查阅的。因此,某公司仍有必要向周某清晰列出实际内嵌第三方SDK收集的周某个人信息,包括第三方SDK的具体名称,以及第三方SDK已经收集到的周某个人信息基本情况,包括信息类型、信息内容、使用目的和使用场景。
(2)关于周某所列清单中的“哪些信息被用于用户画像”。参考国家标准GB/T35273-2020《信息安全技术个人信息安全规范》第3.8条规定,用户画像是指“通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。”可知,用户画像是通过算法对个人信息的集合或部分集合进行自动化决策的过程。根据《中华人民共和国个人信息保护法》第二十四条第三款规定,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。本案中,周某并未提交证据证明某公司作出了对其个人权益有重大影响的自动化决策,其诉求某公司披露具体哪些信息被用于用户画像,无事实和法律依据,本院不予支持。
(3)关于周某诉请披露的“对外分享的信息:共享给第三方的信息以及第三方的具体名称”。根据《某隐私政策》的约定,某公司可能会将用户的个人信息与其关联方、授权合作伙伴共享,合作伙伴包括商品或技术服务的供应商、第三方商家以及委托某公司进行推广的合作伙伴。该隐私政策并未披露共享个人信息的关联方以及授权合作伙伴的具体名称,根据《中华人民共和国个人信息保护法》第二十三条的规定,“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。”据此,某公司有必要根据周某的申请披露与第三方共享个人信息清单,列明第三方的具体名称以及共享给第三方的周某个人信息,包括信息种类、信息内容、使用目的、使用场景和共享方式。
(4)关于周某所列清单中的“支付信息:与某合作的第三方支付机构从某收集到的账户信息”,该信息仍属于上述某公司共享给第三方的个人信息范畴,某公司应根据周某的申请予以披露。
(5)至于周某所列清单的其它信息:姓名、出生年月日、电子邮箱;设备名称、移动应用列表、应用程序版本、语言设置、运营商网络类型等软硬件特征信息;GPS位置以及能够提供相关信息的WLAN接入点、蓝牙和基站;搜索内容、浏览器类型、访问日期、时间以及访问的网页记录等,某公司未确认已收集以上个人信息,周某亦无证据证明某存在收集行为,故周某主张查阅、复制以上个人信息,无事实和法律依据,本院不予支持。
三、某公司是否侵害了周某的查阅复制权,如侵权成立,某公司应以何种方式保障查阅复制权的行使
(一)某公司是否侵害了周某的查阅权和复制权
个人信息查阅复制权,系个人信息处理公开透明原则的具体要求,是个人对个人信息处理享有知情权的具体体现,也是保障个人信息决定权的重要前提。关于某公司抗辩提出的个人信息查阅权“可诉性”的问题,《中华人民共和国个人信息保护法》第五十条的规定:“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。”据此,个人的查阅复制权被个人信息处理者无理由拒绝后,个人有权寻求司法救济,通过向法院提起诉讼而请求排除妨碍。考量周某个人信息查阅权、复制权是否被侵害,应当从以下两个维度进行:(1)周某是否已行使查阅复制请求权;(2)某公司是否存在无正当理由拒绝的行为。结合本案,具体分析如下:
(1)周某已行使查阅复制请求权
查阅复制权是个人在个人信息处理活动中的权利,但是,法律并未明确规定该权利行使的前提条件,对此,本院认为,个人只需要能够证明自己属于个人信息主体即可以行使查阅复制权。案涉周某注册的某账号虽然未进行实名认证,但周某使用了其手机号码进行注册并绑定了账号,收货联系人手机号码亦与账号一致,且案涉周某的手机号码已实名登记。根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》第六条规定,电话号码必须实名登记,据此,电话号码这一信息可以识别出特定的自然人。周某通过实名登记的移动电话联系了某公司的客服,客服亦通过周某的来电核实到周某的注册账号,因此,周某已经证明了其属于案涉账号的信息主体。
根据某隐私政策的约定,用户在无法通过个人账户访问其个人信息或是使用产品过程中产生的其他个人信息时,可以通过拨打客服电话或者向某隐私专职保护部门发送邮件的方式要求访问。周某根据隐私政策的规定,先后通过致电客服和发送邮件的方式提出了查阅复制其个人信息的请求,可认定其已向某公司行使了查阅复制请求权。
(2)某公司存在无正当理由拒绝周某行使查阅、复制权的行为
首先,周某通过某客服查询个人信息,某客服陈述“用户有填写的信息,可以在APP个人中心予以查看;对于用户没有填写的信息,某是没有办法展示的”,但根据某隐私政策以及某公司庭审中所确认的,除了周某自行提供的个人信息,系统还会自动收集、生产信息,包括:设备信息(设备的型号、操作系统版本、唯一设备标识符)以及日志信息(订单信息、浏览信息、IP地址)。经过庭审勘验,可以确认周某通过某APP并无法查阅设备信息以及日志信息中的IP地址。《中华人民共和国个人信息保护法》第四十五条第一款规定了个人不得行使查阅、复制的两种情形:其一,本法第十八条第一款规定“法律、行政法规规定应当保密或者不需要告知的情形”;其二,本法第三十五条规定“国家机关为履行法定职责处理个人信息,……告知将妨碍国家机关履行法定职责的”。显然,设备信息和IP地址并不属于以上规定的两种情形,某公司应当予以告知。
其次,关于周某向某公司个人信息专职保护部门发送邮件的请求,虽然周某未附有个人的身份信息,其注册账号亦未提供电子邮箱,但周某使用了其收货人姓名“周缦卿”作为邮件发送方,某公司是可以向周某验证身份的。《中华人民共和国电子商务法》第二十四条规定:“电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件。电子商务经营者收到用户信息查询或者更正、删除的申请的,应当在核实身份后及时提供查询或者更正、删除用户信息。”参考国家标准GB/T35273-2020《信息安全技术个人信息安全规范》第8.7条规定,“响应个人信息主体的请求,对个人信息控制者的要求包括:在验证个人信息主体身份后,应及时响应个人信息主体的请求,应在30天内或法律规定的期限内作出答复及合理解释,并告知个人信息主体外部纠纷解决途径。”《某隐私政策》中亦约定“为了保障安全,我们可能需要您提供书面请求,或以其他方式证明您的身份,我们将在收到您反馈并验证您的身份后的15天内答复您的请求。”可见,不论基于法律法规规定、国家相关标准,还是某公司与周某之间的约定,某公司在接到周某请求时的首要工作是验证其个人信息主体身份,然后在合理的期间作出答复,但某公司在收到周某发送的邮件后,并未作出任何处理,实质上是拒绝了周某的申请。且在周某对某公司提起诉讼后,某公司已经核实了周某的个人信息主体身份,仍拒绝披露周某在APP个人资料页面无法查看的信息。综上,本院认定某公司存在无正当理由拒绝周某行使查阅、复制权的行为。
(二)某公司应以何种方式保障查阅复制权的行使
法律规定个人信息主体有权复制其个人信息,与之相对的就是个人信息处理者应当提供正在处理的个人信息的副本,这种副本的形式应当包括纸质的,也包括电子化的,其应当是结构化的、通用的及可读的。庭审中,某公司陈述可以通过截屏的方式获取个人资料的个人信息,但截屏显然不属于通用的个人信息副本方式。鉴于某公司在隐私政策中明确约定用户可以获取个人信息副本,因此,某公司有必要提供一种通用的、可下载的个人信息副本方式,考虑到周某以电子方式提出请求,某公司也应当以常用的电子形式提供个人信息副本,如excel表格、word文档等。
综上,某公司存在拒绝周某个人行使权利请求的行为,且拒绝理由不充分,周某向某公司主张个人信息查阅、复制的请求权,有事实和法律依据,本院依法予以支持。根据周某的申请,某公司应当披露的内容包括:1.某公司确认收集的周某个人信息;2.嵌入某APP第三方SDK的名称以及收集的周某个人信息基本情况;3.某公司共享给第三方的周某个人信息基本情况。(详见附表2)
庭审中,周某确认其未使用过某电商网站(××),因此,其诉请某公司披露在使用网站期间收集到的所有个人信息,无事实和法律依据,本院不予支持。
四、周某要求某删除相关“非必要个人信息”的诉请能否得到支持
关于周某删除权的诉请,本院认为,首先应探究某公司收集的相关个人信息是否取得了周某的同意;其次应分析某公司是否存在主动删除周某相关个人信息的情形。
首先,根据《中华人民共和国个人信息保护法》第十三条第一款第一项规定,“取得个人的同意,个人信息处理者可处理个人信息。”某公司提交的注册流程显示,用户注册某APP时需“仔细阅读、充分理解《某服务条款》《隐私条款》《唯品支付服务协议》中的条款内容后再点击同意注册”,周某注册了某APP用户,即表示其已经阅读并同意了《某隐私政策》。根据隐私政策约定,某公司可根据用户的授权收集设备信息、网络日志、收集用户消费习惯形成用户画像等,且根据庭审勘验,周某可通过手机权限选择是否授权某使用位置信息、相机、储存等信息。可见,某公司虽然收集了周某主张的“非必要个人信息”,但取得了周某本人的同意。
其次,《中华人民共和国个人信息保护法》第四十七条第一款规定:“有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一)处理目的已实现、无法实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。”本案并无证据表明某公司存在以上应当主动删除周某个人信息的情形,周某述称其有理由怀疑某公司收集“非必要个人信息”用于商业营销之用,并无证据予以证实。
综上,周某未提交证据证明某公司存在应当主动删除其个人信息的情形,某公司根据周某的授权同意收集了相关个人信息,周某现要求某公司予以删除,无事实和法律依据,本院对此不予支持。
综上所述,某公司作为大型的网络购物平台,应当践行保护个人信息知情权的理念,优化产品设计,提供更加便捷的个人信息查阅复制途径,充分保障个人信息主体的查阅权和复制权,本院对周某的诉讼请求,予以部分支持。依照《中华人民共和国民法典》第一千零三十四条、第一千零三十七条,《中华人民共和国个人信息保护法》第四条、第六条、第七条、第十三条第一款、第十八条第一款、第二十三条、第二十四条、第三十五条、第四十五条、第四十七条、第五十条,《中华人民共和国电子商务法》第二十四条,《中华人民共和国民事诉讼法》第六十四条之规定,判决如下:
一、被告广州某电子商务有限公司于本判决发生法律效力之日起十日内提供自原告周某注册某APP之日起至本判决发生法律效力之日止的已收集到的个人信息以及个人信息处理的相关情况供原告周某查阅、复制(具体内容详见附表2);
二、驳回原告周某的其他诉讼请求。
案件受理费500元,由被告广州某电子商务有限公司负担。
如不服本判决,可在判决书送达之日起十五日内,向本院递交上诉状,并按照对方当事人的人数提交副本,上诉于广东省广州市中级人民法院。
广州互联网法院案号:(2021)粤0192民初17422号裁判日期:2021.12.13