【今日普法】个人信息保护典型案例(四)

发布日期:2022-08-25 19:32 编辑:商务局站点管理员 来源:宿州市商务局 阅读: 字号:【  

案例四

网购平台向内嵌支付机构提供用户个人信息的合法性认定——吴某某诉上海某信息服务有限公司等违规提供用户个人信息保护纠纷案

【入选理由】

个人信息权益属于人格权益,个人信息保护源自于对个人私生活的尊重和个人事务自决(自由)原则,违法处理个人信息可能会侵害到自然人的人格尊严,但个人信息权益不等同于人格权,个人信息权益只是一种民事权益,不具有绝对权的保护强度,侵害个人信息权益并不必然导致人格尊严受损等精神损害后果,特别是尚未发生实质性损害的情况下更是如此。故在尚未发生实质性损害的情况下,违法处理信息主体的个人信息是否造成人格尊严等精神损害,应充分考虑处理行为的特点、量级、违法性和个人信息类型等因素,判断信息主体是否因违法处理行为陷入可能预见的风险和焦虑中,若答案为肯定,则应认定构成对人格尊严、人格自由的精神损害。该案前述相关问题进行了有益的探索。

【案例索引】

一审:杭州互联网法院(2021)浙0192民初2929号

二审:杭州中院(2021)浙01民终12780号

【案情介绍】

原告吴某诉称,其下载某电商购物App并使用个人手机号注册了账号。登录App后,原告发现某电商购物App“个人中心”栏项下有“某钱包”选项,遂按照App界面要求,在输入原告本人真实姓名及身份号码后开通了“某钱包”。在使用“某钱包”提供的“免输卡号添加银行卡”功能时,原告原本打算选择自己有卡的银行进行关联,但误触了列表中的某银行,得到了“暂无银行卡可以绑定”的反馈。原告认为,其并未授权某电商购物平台经营方告知某银行自己真实姓名及身份号码,某银行能够得知原告本人并无银行卡在该行开具,系案涉App泄露原告的敏感个人信息所致,而某银行亦因此非法获得了原告的敏感个人信息。其后,原告在某电商购物App内查阅了相关用户协议内容后还进一步发现, App的运营主体上海某公司与“某钱包”经营主体某付费通公司的运营主体并不一致,而在原告并未明确知情同意的情况下,其真实身份信息还由上海某公司传输给了某付费通公司,并极可能又由某付费通公司传输给了某银行。原告自觉权利受损,遂决定注销“某钱包”,但竟然无法注销。故向法院提起诉讼。

经查,案涉电商购物平台(APP)系由被告上海某公司运营的电商平台。某电商购物APP在应用程序个人用户界面上线了名为“某钱包”的支付服务应用功能,用户可通过“某钱包”的支付功能在平台内购物交易时进行充值、支付及提现等应用。“某钱包”的实际运营主体为某付费通公司。被告某付费通公司为实现用户“某钱包”账户绑定银行卡并具备银行卡快捷支付功能,与包括某银行公司在内的多家银行机构开展有银行卡快捷支付合作。原告吴某某使用案涉账号首次进入某电商购物APP“某钱包”界面填入的个人姓名、公民身份号码等信息,先由上海某公司收集、存储,在原告不知情的情况下,再由上海某公司提供给某付费通公司。当原告进入“某钱包”添加银行卡界面选择免输卡号进行银行卡绑定操作时,某付费通公司则会将其姓名、公民身份号码信息提供给选定绑卡的银行,银行获取前述信息后根据提供的信息验证该信息主体是否为该银行的持卡人,若为该行持卡人则留存该信息并进入后一步绑卡操作流程;若非为该行持卡人亦留存该信息并向某付费通公司反馈结果。

【裁判内容】

杭州互联网法院判决认为,某电商购物平台向某付费通公司提供其收集的吴某某个人信息的行为属于未明示信息处理的目的、方式、范围的行为,吴某某系在未充分知情的情况下实施对其个人信息披露的同意。某电商购物平台的上述行为既违反了其与吴某某之间的合同约定,也不符合个人信息处理活动应遵循的知情同意规则。某付费通公司收集吴某某个人信息时,某电商平台APP未以任何形式告知吴某某,某付费通公司将获取其案涉个人信息,更未以任何形式获得过吴某某的同意,亦不存在通过订立、履行合同必需规则或履行法定义务规则等获得处理吴某某个人信息的合法性基础。综上,某电商购物平台经营者、某付费通公司对吴某某个人信息的处理行为缺乏合法性基础,法院认定二者的信息处理行为侵害了吴某某的个人信息权益。

某电商购物平台经营者、某付费通公司违法处理吴某某的个人敏感信息。吴某某在未被充分告知的情况下披露了个人敏感信息,其因个人敏感信息被违法处理产生对个人信息风险的担忧,对个人生命健康、人格尊严或经济利益可能遭受严重损害或极易遭受损害产生恐惧、焦虑等情绪,可以认定为遭受到精神利益的害。且某电商购物平台经营者、某付费通公司作为行业内具有较大影响力的公司,更应严格依照法律法规处理用户个人信息,对于平台中违法处理个人信息的设置应予以及时发现、改进,并对相关的个人信息处理活动采取更加审慎、周密的方式,本案中某电商购物平台经营者、某付费通公司显未尽到前述注意义务,存在明显的过错。考虑到某电商购物平台经营者、某付费通公司对吴某某个人信息的处理行为存在意思联络,故判令两被告向吴某某进行书面道歉并赔偿相应合理维权支出。

宣判后,被告上诉,二审法院驳回上诉,维持原判。

【裁判要旨】

《个人信息保护法》第十三条对个人信息处理行为的合法性基础、个人信息处理规则做出了原则性的规定,并构建了以取得同意为原则,以豁免同意为例外的个人信息处理合法性基础的二元结构。这表明,知情同意规则并非信息处理行为的唯一合法性基础,为了在保护个人信息权益的同时,也能实现个人信息的合理利用,同时维护公共利益、国家利益等,通常对于信息处理者为订立、履行个人作为一方当事人的合同所必需以及为履行法定职责或者法定义务所必需的处理行为等情形,也可认定为法定许可的情形,具有合法性基础,不属于违法处理行为。但信息处理者运用订立、履行合同必需规则、履行法定职责或法定义务规则等作为其信息处理行为的合法性基础时,需确保其处理行为符合对应规则的要求。

原标题:《【今日普法】个人信息保护典型案例(四)》