玩个“剧本杀”游戏,觉得不甚满意,在大众点评网给店家一个差评,结果被店家将自己个人信息公开了……是不是很骇人听闻?如果您是这位消费者,您又会怎样做?数日前,在《中华人民共和国个人信息保护法》施行一周年之际,广东省高级人民法院发布了一批个人信息保护典型案例。上述个人信息侵权个案即为其中一起。
2021年4月,张某等六人因不满某公司提供的“剧本杀”游戏服务,在大众点评网发布了差评。该公司遂在其微信公众号中发表《澄清声明》,披露了与张某等人的微信群聊记录截图、游戏包厢监控视频录像片段、张某等人的微信个人账号信息,还称“可向公众提供全程监控录像”。张某等人认为该公司上述行为侵害其隐私权、名誉权和个人信息权,起诉要求该公司停止侵权、赔礼道歉及赔偿精神损失等。
广州互联网法院判令该商家立即停止公开监控录像,删除“可向公众提供全程监控录像”表述及张某等人的微信账号信息,在微信公众号发布致歉声明,并向张某等人赔偿精神损害抚慰金。
个人信息保护有什么法律规定?
《个人信息保护法》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”
《个人信息保护法》第十四条规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。”
个人信息处理的“告知同意规则”
个人信息处理的合法性基础需要遵从法律上的“告知同意规则”(又称“知情同意规则”),任何组织或个人在处理个人信息时都应当告知信息主体(即其个人信息被处理的自然人),并在取得同意后,方可从事相应的个人信息处理活动,否则该等行为即属违法,除非法律、行政法规另有规定。
因此,上述个案中该公司在提供剧本杀游戏服务时所需要获取的张某等消费者的微信个人账号等信息,经过线下游戏后,显然已经知晓上述微信由张某等人使用,那么无论其他人是否知晓该微信的实际使用者,于该公司而言,其获取的微信个人账号信息均属于消费者的个人信息,该公司未遵循法律上的“告知同意规则”将消费者的个人信息公开,明显构成违法处理个人信息、侵害消费者合法权益。
违法处理个人信息侵权事件屡发
生活中,类似上述违法处理个人信息、侵害消费者合法权益事件屡屡出现。网约车巨头滴滴公司因为过度采集个人信息被国家网信办处以80.26亿人民币罚款事件。消费者既震惊于该案罚款数额之巨大,更震惊于一个简简单单的打车软件,竟然可以在不知不觉中收集如此多个人信息,包括个人相册剪切板信息、年龄段、职业、亲情关系、家和公司打车地址等等。其实,过度采集个人信息的又岂只一个滴滴?
根据中国消费者协会日前发布的侵害消费者个人信息四大主要场景进行梳理,这四大场景包括:
一、手机APP过度索权。手机APP存在过度索取消费者个人信息的问题,主要表现为:一是超过必要范围收集个人信息。消费者如不同意APP获得调取非必要信息的权限,则该APP无法正常使用。二是超范围利用所收集的个人信息。如APP通过正常范围收集个人信息,却在个人信息未脱敏的状态下超出合理范围使用。三是未明确告知而收集信息。如APP在收集个人信息之前没有明示。
二、大数据杀熟。某些互联网平台通过收集和分析消费者个人信息进行“大数据杀熟”。如针对同一类产品或服务,平台通过对消费者年龄、身份、历史消费能力等数据进行分析,就同一种产品或服务
向不同的消费者推送不同的显示价格。
三、非法推送商业信息。某些企业为了实现精准营销,根据消费者的购买记录等个人信息,在未获得消费者同意的情况下,向消费者发送商业广告。虽然有的提示可通过回复短信退订,但毫无作用。
四、个人信息被不法泄露。某些企业为追求利益,存在泄露、买卖消费者个人信息的违法行为,导致消费者个人信息权益受到侵害。
个人信息保护配套措施亟待落实完善
当今,信息网络科技的高速发展使得社会的生产和生活被高度数字化、信息化,而过度采集数据的平台、软件以及相关的电子设备等在日常生活中随处可见。
例如去年315晚会上曝光的一些门店的摄像头在用户不知情的情况下违规采集数据及人脸信息等事件;又或者各类餐饮企业要求消费者先关注公众号或小程序,再进行扫码点餐等事件。
身处在高度数字化、信息化的社会,面对各种类型的信息处理者(平台、软件、电子设备等等),如欠缺相关配套保护措施的落实,即使有个人信息处理中的告知同意规则,即使有《个人信息保护法》等法律多层保护,在现实生活中,消费者仍很难有能力拒绝或阻止个人信息被收集,并容易丧失信息自决的权利。
当然,我们还是能看到个人信息保护方面的进步。
例如,2022年11月1日,由国家市场监督管理总局、国家标准化管理委员会发布的新国家标准《信息安全技术移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》已正式实施。
《基本要求》聚焦了当前App违法违规收集使用个人信息的突出问题,将成为现阶段监管侧及企业侧在移动App方向上的个人信息治理实施过程中的重要参考依据。而类似配套规则的不断完善,将推动社会对个人信息保护方面的进步。
呼吁和提醒
《中华人民共和国个人信息保护法》已施行一周年,中山市消委会在此提醒督促广大经营者,《个人信息保护法》与《民法典》、《网络安全法》、《数据安全法》、《电子商务法》、《消费者权益保护法》等法律已共同编织了一张消费者个人信息“保护网”,广大经营者应遵守法律的相关规定,深入学法、尊法守法,依法完善企业对消费者的个人信息处理规则,履行法定义务,规范个人信息处理程序,采取必要措施保障消费者个人信息安全。
同时,中山市消委会提醒广大消费者:应增加了解、积极学习个人信息保护方面法律法规。
消费者应了解个人信息和敏感个人信息的处理规则,了解自身在个人信息处理活动中所享有的权利,了解个人信息处理者应当承担的义务,了解个人信息权益受到侵害时的救济方式等内容。
消费者应根据最小范围原则、公开透明原则、消费者知情权、消费者撤回权、自主决策权、个人信息公开等,审慎关注平台、软件的相关条款,提高个人信息保护意识和能力,养成“非必要不提供”的良好习惯。
消费者网购过程中应及时销毁删除载有个人信息的资料单据,防止因随意丢弃、使用不当等造成个人信息泄露。
消费者应积极维护自身合法权益,当发现个人信息权益受到侵害或者发现经营者存在违法处理消费者个人信息的行为,要主动向个人信息保护管理部门进行投诉、举报,提供案件线索和相关证据,在维护自身合法权益的同时,有力遏制侵害个人信息权益的不法行为。