法院认为,判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人;二是关联,即从个人到信息,如已知特定自然人,则在该特定自然人活动中产生的信息即为个人信息。符合上述两种情形之一的信息,即应判定为个人信息。社交通讯软件的好友列表达到了识别性标准,应认定为用户的个人信息。同理,阅读应用中的读书信息也包含了可以指向该信息主体的网络身份标识信息,且包括了读书时长、最近阅读、书架、读书想法等,能够反映阅读习惯、偏好等,也属于个人信息。但是,结合阅读应用软件使用社交通讯好友列表的目的,该应用软件并不在于刺探原告的真实社交关系,而在于获取好友列表后用于扩展阅读社交功能。同时,原告读书记录的两本书籍的阅读信息亦不具有私密性,故两款软件的行为不构成对原告隐私权的侵害。
■法官讲法典
民法典人格权编第六章对隐私和个人信息进行了区别保护,二者的范围既有区别又存在重叠。根据民法典的规定,个人信息具有“可识别性”,能够单独或者与其他信息结合识别特定自然人;隐私则具有“私密性”,是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
值得注意的是,在区分隐私权和个人信息权益时,不宜将所有无涉公共事务的私人领域信息都纳入隐私范畴,应对个人信息进行相对合理的层级划分。符合社会一般合理认知下共识的私密信息,应强化其防御性保护,非特定情形不得处理;不具备私密性的一般信息,在征得信息主体的一般同意后,即可正当处理;兼具防御性期待及积极利用期待的个人信息,应结合使用场景判断是否构成隐私,根据信息内容、处理场景、处理方式等,进行符合社会一般合理认知的判断。社交通讯软件好友列表和读书信息不能笼统地纳入符合社会一般合理认知的私密信息范畴,而更符合前述第三类信息的特征。
处理个人信息应获得用户有效同意
民法典规定,处理个人信息应当遵循合法、正当、必要原则,不得过度处理。
网络运营者收集、使用个人信息应获得用户的同意,并且该知情同意应当有效。大型互联网平台在关联产品中共享用户个人信息的,也应获得用户有效的同意。根据民法典,信息处理者应当“公开”处理规则、“明示”处理的目的、方式和范围。具体实践中,用户知情同意的有效性,可从信息处理者告知信息主体的“透明度”来衡量,即一般理性用户在具体场景下,对信息处理主体处理特定信息的目的、方式和范围知晓的清晰程度,以及作出意愿表示的自主、具体、明确程度。2021年11月1日起施行的个人信息保护法第七条对此也作出了明确的要求。
保护与合理利用个人信息
孙某在B公司开发的搜索引擎上以其姓名为关键词进行图片搜索,发现搜索结果第一栏可获取自己清晰的面部证件照,照片页面的URL地址均为B公司的服务器地址。原来孙某曾将自己的该照片上传至某第三人运行的校友录网站中作为个人账户头像,但是该校友录网站已于2013年停止服务。孙某于2018年10月23日提交问题反馈,请B公司删除该个人证件照,并删除与关键词“孙某”的关联,但未获得任何回复,故诉至法院,要求B公司就侵害其隐私权和个人信息,赔偿经济损失1元和维权费用若干。
民法典在构建个人信息的保护框架时,也豁免了某些个人信息利用行为的民事责任。民法典的立法目的并不仅仅着眼于强化个人信息保护,而是平衡个人信息的保护与合理利用。在上述案件中,B公司承担责任的原因并不在于其处理了孙某的面部证件照,而在于孙某通知B公司删除后,B公司在明知或者应知孙某明确拒绝的情况下,并未及时采取必要措施,违反了民法典第一千一百九十五条的规定。本案中,孙某的面部证件照属于已经公开的信息,为平衡信息保护和信息共享,对于已公开的个人信息,一般推定权利人同意公开。
私人生活安宁属于个人隐私
■法条链接
《中华人民共和国民法典》
第一千零三十二条自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。
隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
第一千零三十三条除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为:
(二)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;
(三)拍摄、窥视、窃听、公开他人的私密活动;
(四)拍摄、窥视他人身体的私密部位;
(五)处理他人的私密信息;
(六)以其他方式侵害他人的隐私权。
第一千零三十四条自然人的个人信息受法律保护。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
第一千零三十五条处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
第一千零三十六条处理个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人或者其监护人同意的范围内合理实施的行为;
(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
第一千一百九十五条网络用户利用网络服务实施侵权行为的,权利人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。通知应当包括构成侵权的初步证据及权利人的真实身份信息。
权利人因错误通知造成网络用户或者网络服务提供者损害的,应当承担侵权责任。法律另有规定的,依照其规定。