早在《中华人民共和国个人信息保护法》施行(即2021年11月01日)之前,北京互联网法院就已“司法先行”,于2020年07月30日作出第(2019)京0491民初16142号《民事判决书》(下称“本案”),依法认定微信读书侵害个人信息权益,在司法实践中厘定了个人信息的认定标准,强调了“告知-同意”原则对于处理个人信息的重要性。
本文将对本案所确立的个人信息的认定标准及“告知-同意”原则的适用进行总结。
一、本案焦点
1. 微信好友关系、读书信息是否属于个人信息;
2. 微信读书获取用户微信好友关系、向用户共同使用该应用的微信好友公开用户读书信息、为用户自动关注微信好友并使得关注好友可以查看用户读书信息的行为,是否构成对用户个人信息权益的侵害。
二、个人信息的认定标准
判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人;同时,识别个人的信息可以是单独的信息,也可以是信息组合。可识别性需要从信息特征以及信息处理方的角度结合具体场景进行判断。二是关联,即从个人到信息,如已知特定自然人,则在该特定自然人活动中产生的信息即为个人信息。符合上述两种情形之一的信息,即应判定为个人信息。
个人信息可以根据合理隐私期待划分为三类:一是符合社会一般合理认知下共识的私密信息,如有关性取向、性生活、疾病史、未公开的违法犯罪记录等,此类信息要强化其防御性保护,非特定情形不得处理;二是不具备私密性的个人信息,在征得信息主体的一般同意后,即可正当处理;三是私密度因人而异的个人信息,此类信息的处理是否侵权,需要结合信息内容、处理场景、处理方式等,进行符合社会一般合理认知的判断。
三、微信好友关系和读书信息是个人信息
微信读书获取的好友列表包含了可以指向信息主体的网络身份标识信息(如:微信生成的用户识别码OPEN_ID),即“从信息到个人”;而自然人的微信好友列表,体现了该自然人在微信上的联系人信息,属于“从个人到信息”,应认定为个人信息。
同理,微信读书中的读书信息包含了可以指向该信息主体的网络身份标识信息,即“从信息到个人”;读书信息,包括读书时长、最近阅读、书架、推荐书籍、读书想法等,能够反映阅读习惯、偏好等,符合“从个人到信息”的特征,属于个人信息。
四、微信好友关系和读书信息的私密度因人而异
好友列表信息的私密性因人、因具体关系而有所不同。此外,应用软件对微信好友关系的处理可能存在多种方式,不同用户对好友关系具体处理场景下的隐私期待也可能存在不同。
阅读可以同时承载个人爱好、知识共享、文化交流等多重需求。不同用户对于读书信息是否私密、是否愿意为他人知晓可能有不同的判断,也可能因特定软件上的图书类型、用户群体、个人爱好、知悉对象、开放程度等有着不同的偏好。
因此,微信好友关系和读书信息的私密度因人而异。
五、微信读书没有遵守“告知-同意”原则
网络运营者收集、使用个人信息应当遵循合法、正当、必要的原则,其处理个人信息需要同时满足让用户知情、获得用户同意的条件。该知情及同意不仅包括对信息内容的知情及同意,还包括对收集、使用的目的、方式和范围的知情及同意。
就获取用户微信好友列表和向用户并未主动添加关注的微信好友自动公开读书信息,微信读书没有告知用户并就此获得用户同意。
第一,两个软件共用好友关系不符合一般用户的合理预期。用户可以自由选择在各类应用中的社交圈是互联网开放、自由、多元的体现。微信读书不应简单地将微信好友进行迁移。
第二,微信读书向未主动关注的好友默认公开读书信息亦不符合一般用户的合理预期。微信读书公开的书架、正在阅读的读物、推荐的读物、读书想法、读书时长等信息的组合在一定程度上可以彰显一个人的兴趣、爱好、审美情趣、文化修养,可能勾勒刻画出一个人的人格侧面,而这些有关人们精神世界的信息组合恰恰是大量社会评价产生的基础。用户应享有通过经营个人信息而自主建立信息化“人设”的自由,也应享有拒绝建立信息化“人设”的自由。
第三,就处理微信好友列表与读书信息,微信读书没有向客户进行充分的告知。《微信读书软件许可及服务协议》中的表述难以让其用户联想到:注册微信读书即可在没有微信读书好友关系的情况下,将微信好友关系迁移到微信读书,且读书信息默认被公开。此外,该协议以无提示的方式规定读书信息“不属于个人隐私或不能公开的个人信息”,意图规避可能存在的侵害个人信息或隐私的风险。
第四,即便微信读书设置了可手动开启私密阅读的功能,也因告知的不清晰、不充分而可能影响用户的真实选择意愿。私密阅读功能的提示表述为“书架上的书籍好友可见”,难以令一般用户联想到该好友是指微信中的好友而非微信读书中的好友。
因此,法院认定微信读书违反了相关法律关于处理个人信息的规定,具有过错,侵害了用户的个人信息权益,需承担相应的赔礼道歉、赔偿损失等侵权责任。
六、案件启示
在大数据时代,借助个人信息分析和定位用户需求已是互联网企业经营常态。只有充分保护个人信息,才能促进互联网产业的繁荣发展。在本案中,北京互联网法院就个人信息的认定标准及“告知-同意”原则的适用作出了颇具指导性意义的判决。本案对我们的借鉴意义是:
第一,判断所处理信息是否具备识别或关联功能,是否属于个人信息;
第二,根据一般用户的合理隐私期待,对个人信息进行层级划分;
第三,根据层级划分,制订相应的个人信息处理告知书,就处理目的、处理方式、处理的个人信息种类和保存期限等事项向用户进行充分的告知;如需处理私密信息,还应就处理私密信息的必要性和其对个人权益的影响进行明确说明和显著提示;
第四,仅有在征得了用户的同意后,才对其个人信息进行处理。
更多关于个人信息保护的内空,可参见下一篇:《个人信息保护法》重要规定及合规建议。