從「校友錄」頭像被爬案看「通知刪除」模式下的個人信息保護

2020-10-11 北京市影視娛樂法學會

註:學會官方公眾號原創,轉載請註明來源:娛樂法內參 yulefaneican 作者:葉雅冰

娛樂法內參導讀:

近日,原告孫某某因發現其上傳至校友錄(小範圍社交網站,已停運)的頭像證件照與其姓名一同出現在百度搜索結果中,以百度網站未經其同意通過爬蟲技術向不特定公眾公開其個人信息,侵犯其隱私權、個人信息權益為由,訴至北京網際網路法院,要求判令北京百度網訊科技有限公司賠償其經濟損失1元和維權費用40元。雖然本案標的額只有象徵性的1元,但作為我國「通知刪除」模式下的標誌性案件,本案對於個人信息保護領域的指引作用不可小覷。下面,內參叔將結合本案判決,對個人信息的使用邊界和網絡服務提供者的侵權責任進行分析,並將我國「通知刪除」規則下的被動保護模式與歐盟《通用數據保護條例》中的「被遺忘權」進行比較,以進一步明晰我國個人信息保護的特點。

一、個人信息的使用邊界

(一)何為個人信息?

民法典》第1034條第2款規定:「個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。」換言之,個人信息的主體僅限於自然人,且個人信息的主要認定標準為較強的「可識別性」。以本案為例,若孫某某之訴求客體僅是單獨的證件照片,或許只能歸於肖像權的保護範疇,但由於其訴求為帶有其面部特徵信息的證件照片與其自然人姓名之結合,具有極高的「可識別性」,僅能識別為唯一特定自然人,因此可落入個人信息的保護之中。

此外,《民法典》第1034條第3款進一步將個人信息分為私密信息和一般信息。其中,私密信息是指通常不能適用於正常的社交場合、不宜在日常社會交往中廣泛傳播的信息,如裸照、身份證號等,對於私密信息的保護應適用有關隱私權的相關規定。而一般信息是指主觀上當事人無隱匿意願,且客觀上不處於私密狀態、能夠在日常社會交往中用於個人身份識別的信息,如本案中的個人信息,對於一般信息的保護應適用個人信息保護的相關規定。

(二)私密信息之使用邊界

對於侵權風險極高的私密信息,其保護邊界適用關於隱私權保護的嚴苛規定。《民法典》第1032條明確規定:「任何組織或個人不得以刺探、侵擾、洩露、公開等方式侵害他人的隱私權。」《民法典》第1033條第(五)項明確將「處理他人的私密信息」列為法定禁止的隱私權侵害行為之一。因此,對於私密信息,即使權利人未予通知刪除,網絡信息服務者若明知或應知存在私密信息之公開、洩露或其他違法處理的情形,應及時主動刪除,否則將構成對權利人隱私權之侵害。

(三)一般個人信息之使用邊界

對於侵權風險較低的一般個人信息,其保護邊界相對寬鬆,且可能存在權利人願意積極公開、一定範圍公開或不願公開等多種情形。基於網際網路言論自由和信息公開的本質特徵,北京網際網路法院認為可將權利人上傳一般個人信息到公開網絡的行為推定為權利人同意公開該一般個人信息。因此,對於一般個人信息,在權利人通知刪除前,網絡信息服務者將無法判斷涉案信息是否是未經授權公開的信息,若其對涉案信息不存在明知或應知的主觀過錯,則不構成對權益人個人信息權益的侵害。


二、網絡服務提供者之侵權責任認定

在「校友錄」頭像被爬案中,北京網際網路法院對於網絡服務提供者之侵權責任的認定路徑包括如下三步:第一,認定涉案信息構成「個人信息」;第二,認定被控侵權行為屬於未經同意處理個人信息的行為;第三,基於「通知刪除」規則認定網絡服務提供者之相應侵權責任。下面,內參叔將對比歐盟《通用數據保護條例》下的「被遺忘權」模式和我國法下的「通知刪除」模式,進一步闡釋網絡服務提供者之侵權責任。

(一)我國法下的「通知刪除權」及其被動保護模式

《民法典》第1037條第2款規定:「自然人發現信息處理者違反法律、行政法規的規定或者雙方的約定處理其個人信息的,有權請求信息處理者及時刪除。」此款系「通知刪除」模式的法律依據,即當信息處理者違反法律法規或違背與自然人之約定時,自然人可以採取「通知」的方式,要求信息處理者及時將涉案信息刪除。

一般而言,除搜尋引擎外的普通網絡服務提供者,如普通網站或社交媒體等,可通過提前要求用戶勾選訪問同意來規避「通知刪除」責任。然而,搜尋引擎的特殊性使其無法對用戶的預期搜索內容加以預判,進而無法與用戶進行預先約定。於是,當搜尋引擎通過爬蟲技術訪問、處理,並於搜索結果中呈現已被刪除但未關閉瀏覽權限的、儲存於其他網站信息庫中的信息時,搜尋引擎需根據相關法律規定承擔「通知刪除」責任。若相關網絡服務提供者怠於履行通知刪除責任,導致侵權行為的擴大,引發難以修復的損害,網絡服務提供者應對其怠於刪除的行為所造成的損失承擔相應的賠償責任。

然而,雖然個人信息在網際網路經濟的商業利用下,已經呈現一點的財產價值屬性,但是具體的侵權數額尚無客觀標準,個人信息權利人通常難以對其財產損失的具體數額予以舉證,在本案中也只是象徵性的予以1元之賠償,規避了對具體損失數額之舉證。因此,內參叔認為,網絡服務提供者的侵權責任通常僅限於「刪除」行為本身,其進一步的賠償責任仍有待進一步的相關立法予以確認。

(二)歐盟《通用數據保護條例》下的「被遺忘權」保護模式

與我國的通知刪除模式不同,歐盟的《通用數據保護條例》以「被遺忘權」的形式對與本案類似的情形予以保護。《通用數據保護條例》第17條將我國《民法典》第1037條第2款中的兩種情形擴張具化至六種情形。在《通用數據保護條例》的「被遺忘權」保護模式下,信息權利人可提請「通知刪除」的情形不再局限於純粹客觀的違反法律法規或違反約定的情形,還囊括了充分尊重當事人主觀意志的信息「不必要」、當事人撤回同意、當事人反對處理等情形。

在「被遺忘權」保護模式下,當事人提請網絡服務提供者「通知刪除」的權利不再以當事人上傳數據時的主觀意志為唯一根據,網絡服務提供者也不能僅以設置預先同意選項而完全迴避其通知刪除責任。當事人在勾選同意並上傳個人信息後,仍然有選擇「被遺忘」的後悔權利。較之我國法下的「通知刪除」模式,「被遺忘權」模式充分尊重了當事人流動的主觀意志。此外,必須強調的是,「被遺忘權」模式雖然體現了對當事人意志的絕對尊重,但也未忽視個人信息的公共屬性,它並沒有把當事人的意志視為「通知刪除」權的唯一考慮因素。當出現更為重要的公共利益時,如該信息涉嫌相應的刑事犯罪或與社會治安、公共衛生事件息息相關而必須公開時,當事人不能再以己方意志提請刪除。

內參叔曰

「校友錄」頭像被爬案作為個人信息保護領域的又一標誌性案件,對劃分網絡領域個人信息使用的邊界提供了明確指引。該判決強調個人信息和私密信息的分類保護,並對網際網路信息後續利用者(如本案中的百度公司)的侵權責任加以明確限定。該判決認為用戶主動上傳至網際網路的一般個人信息應被推定為公開使用,而信息後續利用者對無法預見的超範圍使用行為不存在過錯。此案系對我國法下「通知刪除」模式的進一步解釋。然而,與歐盟《通用數據保護條例》下的「被遺忘權」模式相比,該模式尚顯僵化,未賦予已無必要的信息被「遺忘」的權利,也未給予當事人撤回同意的自由,且存在網絡服務提供者可通過設置事前同意便規避「通知刪除」責任之風險,有待進一步完善。

相關焦點

  • 「校友錄」頭像被搜尋引擎爬取 網友索賠1元獲支持
    孫某訴稱,2018年10月,其在百度網站搜索自己的姓名,發現網站非法收錄並置頂了其在某校友錄網站上傳的個人帳戶頭像,即個人證件照,隨即向網站發出通知要求其刪除,但未獲任何回復。孫某上傳證件照至校友錄網站後,存儲在網站伺服器中。雖然普通的網絡用戶不能通過常規訪問方式查找到涉案照片,但通過爬蟲技術仍可訪問。百度網站在提供搜尋引擎服務的過程中,爬取到校友錄網站的涉案信息,當用戶對其發出相關搜索指令時,提供相關搜索結果。
  • 十年前的「校友錄」頭像被搜尋引擎爬取 網友告平臺索賠一元
    網民小孫沒想到,偶然在百度搜索自己的姓名後卻發現了自己十年前上傳至校友錄的一張頭像證件照。於是,小孫以百度搜尋引擎網站侵犯其隱私權、個人信息權益為由,訴至法院。北京網際網路法院一審認定,姓名與證件照結合構成個人信息,百度在收到小孫的刪除通知後未及時採取措施,構成侵權。北青-北京頭條9月29日獲悉,此案一審宣判後,雙方均未上訴,現已生效。
  • 「校友錄」頭像被爬案一審宣判 法院認定:搜尋引擎爬取一般公開網絡信息不侵權但通知後應採取措施
    在近期民法典出臺的背景下,個人信息保護成為社會關注的熱點。孫某某十年前上傳至校友錄的一張頭像證件照,突然出現在百度搜尋引擎網站,置頂於以其姓名為關鍵詞的搜索結果中,孫某某以該搜尋引擎網站侵犯其隱私權、個人信息權益為由,訴至法院。
  • 「校友錄」頭像被爬案一審宣判
    《民法典》頒布後,個人信息保護成為社會關注的熱點。孫某某十年前上傳至校友錄的一張頭像證件照,突然出現在百度搜尋引擎網站,置頂於以其姓名為關鍵詞的搜索結果中,孫某某以該搜尋引擎網站侵犯其隱私權、個人信息權益為由,訴至法院。
  • 「校友錄」頭像被爬案一審判決全文
    2018 年10月23日,原告通過百度網站下部的線上反饋渠道發送通知,要求百度網站刪除證件照,但該系統至今未進行任何處理。原告認為,涉案圖片為其本人肖像,涉案圖片以及其與原告姓名的關聯關係涉及個人隱私、個人信息。在「chinaren校友錄」網站圖片源地址已關閉的情況下,被告非法收錄、存儲涉及原告個人信息和個人隱私的圖片,在收到通知的情況下仍不刪除,構成侵權。
  • 未經允許使用10年前上傳到校友錄的其頭像證件照,百度被索賠經濟損失1元!法院這樣判
    孫某某十年前上傳至校友錄的一張頭像證件照,突然出現在百度搜尋引擎網站,置頂於以其姓名為關鍵詞的搜索結果中,孫某某以該搜尋引擎網站侵犯其隱私權、個人信息權益為由,訴至法院。案情回顧原告孫某某:搜尋引擎未經允許使用其頭像證件照,侵犯其隱私權和個人信息權益孫某某主張,2018年10月,其在百度網站搜索姓名「孫某某」關鍵詞,發現百度網站非法收錄並置頂了其在校友錄網站上傳的個人帳戶頭像,即個人證件照。
  • ...法院認定:搜尋引擎爬取一般公開網絡信息不侵權但通知後應採取...
    所分享內容為作者個人觀點,僅供讀者學習參考,不代表本號觀點在近期民法典出臺的背景下,個人信息保護成為社會關注的熱點。孫某某十年前上傳至校友錄的一張頭像證件照,突然出現在百度搜尋引擎網站,置頂於以其姓名為關鍵詞的搜索結果中,孫某某以該搜尋引擎網站侵犯其隱私權、個人信息權益為由,訴至法院。
  • 人臉識別第一案宣判,給個人信息保護「長了臉」
    11月20日,被稱為「人臉識別第一案」的郭兵與杭州野生動物世界有限公司服務合同糾紛案一審宣判,判決野生動物世界賠償郭兵合同利益損失及交通費共計1038元,刪除郭兵辦理指紋年卡時提交的包括照片在內的面部特徵信息。(11月21日《北京青年報》) 可以說,人臉識別第一案從「訴求表達」到「法庭立案」,從「對簿公堂」到「終於宣判」,經歷了曲折過程。
  • 《民法典》視野下的個人信息保護
    《民法典》順應時代潮流,對個人信息保護、網絡侵權、電子合同等問題進行制度安排,充分應對數字經濟挑戰,為網絡時代下公民權利的自由行使和新興技術的有序發展保駕護航。值此《民法典》頒布之際,大數據法律研究團隊推出「《民法典》中的網絡安全」系列文章,探討《民法典》如何在網絡信息技術迅猛發展的時代背景下公民權利需求和法律關係規制需要。
  • 大數據背景下我國個人數據法律保護模式分析
    大數據背景下個人數據法律保護之困境 在傳統立法中的個人數據保護問題尚未得到有效解決的情形下,大數據時代的到來又給個人數據法律保護帶來了新的困惑,主要表現為以下方面: 1. 數據主體的對數據的控制權嚴重削弱 數據控制權是指數據主體有權決定其個人信息在何時、何地及以何種方式被收集、處理及利用。
  • 人臉識別第一案,信息保護分水嶺?
    (11月22日《新京報》)可以說,人臉識別第一案從「訴求表達」到「法庭立案」,從「對簿公堂」到「終於宣判」,經歷了曲折過程。這個過程,是「個體」與「群體」的較量,是「護法」與「違法」的較量,是「權益」與「侵權」的較量。人臉識別第一案,「賠錢」不重要,重要的是用法律給個人信息的權益維護「長了臉」,其價值遠遠超越了1038元的賠償。
  • 《民法典》視角下隱私權與個人信息保護
    3.最後,就信息主體而言,《民法典》賦予自然人對其個人信息的查閱、複製、請求更正以及刪除的權利;就信息處理者而言,其負有不得洩露、篡改、非法提供自然人個人信息,並且採取必要措施確保個人信息安全的相關義務,包括在發生個人信息安全事件時及時採取補救措施等。這些規定,總體上還是在現有的個人信息保護的框架內進行的規定,並沒有修改或補充相關具體規則。
  • 大數據時代個人信息保護模式需改變 管理與保護並重
    大數據時代個人信息保護模式需改變  在當今信息化時代,個人信息既不再是隱私權的客體,也不是人格權衍生出的財產權的組成部分,而成為國家、數據企業和個人共享的寶貴數據資源。網絡上的信息日夜不分地緊密結合在一起,並形成巨大的信息流。在此情形下,無法將某一主體所提出的原信息從信息束的整體中獨立拆分、收回(撤回)、取消或刪除。  信息不同於傳統意義上的物,它不具有像物權客體經使用而衰減或隨時間而窮竭的特點;相反,被後續信息迭代或者自身經過不同數據企業以各種方式挖掘之後,信息能展現出取之不盡、用之不竭的獨特性質。
  • 從日本個人信息保護法修訂大綱談疫情下對我國個人信息保護的立法...
    因此,中央網絡安全和信息化委員會制定部門規範性文件《中央網絡安全和信息化委員會辦公室關於做好個人信息保護利用大數據支撐聯防聯控工作的通知》,對疫情中個人信息收集、使用等有關問題再次做出了明確規定。兼顧個人信息的充分合理利用和個人信息權益保護的重要性在疫情下顯現無疑。
  • 暮色年華 九個校友錄以及同學錄程序評價
    為什麼會出現這樣的情況,我猜想主要是沒有錢賺,畢竟同學錄是公益性質的,而且訪問流量也僅限於同學,不象論壇,社區,分類信息,SNS那樣可以找到商業盈利點,以下是我收集同學錄程序。下載地址:https://down.chinaz.com/soft/19639.htm4 、cc校友錄(cclinux.com)接觸比較早的校友錄程序,最開始是單班版的,叫什麼v0312,好象是軟體命名法,也03年12月發布的意思。
  • 光明時評:「人臉識別第一案」勝訴,不應有個人信息受保護的錯覺
    作者:陳城近日,「人臉識別第一案」一審宣判。浙江省杭州市富陽區人民法院判決野生動物世界賠償郭某合同利益損失及交通費共計1038元,刪除其辦理指紋年卡時提交的包括照片在內的面部特徵信息;駁回郭某提出的其他訴訟請求。
  • 網際網路視野下公民個人信息的洩露風險與刑事保護
    在此背景下,數據信息技術的高速發展也同樣為公民個人信息這一具備巨大商業價值的「核心資產」洩露提供了技術支持,並隨之衍生出大量的電信網絡新型違法犯罪類型。幾乎所有的手機用戶都接到過賭博、詐騙、推銷、騷擾電話和簡訊,「兼職刷單」、線上博彩、虛假貸款、「二維碼跑分」等新型網絡犯罪模式層出不窮,令人防不勝防。
  • 「人臉識別第一案」原告上訴 個人信息保護諸多困境待解
    西南政法大學民商法學院教授張建文也對記者表示,「人臉識別第一案」的意義可能僅僅止步於個案,我國個人信息保護的諸多難題、困境依然待解。案件之外,因人臉識別濫用造成危害的事件不斷發生,公眾對人臉識別技術的討論熱度也逐漸上升。人臉信息和較於其他個人信息有何特別之處?為何企業爭相落地人臉識別應用?使用人臉識別這種個人生物信息的邊界在哪裡?
  • 葉名怡:個人信息的侵權法保護 |《法學研究》2018年第4期第83頁-102頁
    在具體場景下,應否保護個人信息並拒絕他人使用,須個案綜合判斷,並不能從「一般性地全面保護個人信息」直接推導出「書寫或呼叫他人姓名即侵犯他人信息權益」這樣的極端結論。保護範圍的寬廣性與保護要件設定的嚴格程度,是可以分離也應當分離的兩個問題。當然,信息敏感度不同,法律保護力度亦不同。