查阅复制权是查阅权与复制权的统称。它是指除法律、行政法规另有规定外,作为信息主体的个人在个人信息处理活动中依法享有的,向个人信息处理者查阅、复制其个人信息的权利。查阅复制权是个人信息主体享有知情权的具体体现,是公开透明原则的贯彻落实,也是对个人信息处理享有决定权的保障。
在《个人信息保护法》(下称“《个保法》”)颁布之前,《民法典》就对查阅复制权作了规定,即“自然人可以依法向信息处理者查阅或者复制其个人信息”。《个保法》在《民法典》的基础上进一步规定,“个人有权向个人信息处理者查阅、复制其个人信息”;有本法第十八条第一款、第三十五条规定情形的除外。【1】个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。”
经公开检索,目前我国涉及个人信息查阅复制权的诉讼案件只有一起,即平台领域的唯品会案(2022)。【2】与原则性的法律规定不同,一二审法院在该案中对个人信息查阅复制权的行使前提、范围,以及个人信息的披露方式、时间作了具体的要求。本文将归纳、总结这些具体规则,为企业了解司法实践中法院的初步立场提供参考。
一、案情简介
(一)基本案情
(二)判决概要
一审法院支持了原告提出的部分个人信息披露请求(详见下表中蓝色及红色字体内容,限10日内提供);驳回了部分个人信息披露请求(详见下表中黑色及绿色字体内容);驳回了删除所有非必要信息的请求。唯品会上诉,二审法院驳回,但将一审法院要求的披露时间从10日延长至了30日。原告未上诉。
二、核心规则总结:查阅复制权的行权前提、范围及个人信息的披露方式、时间
(一)查阅复制权的行权前提
根据一审判决,查阅复制权是《个保法》赋予个人信息主体的一项权利,其行使不以举证证明查阅动机为前提,也不以实名认证为前提。
本案中,唯品会抗辩称,原告称其因担心个人信息泄露,故提出查阅请求,但未举证证明其个人信息存在泄露的风险。对此,一审法院指出,动机不等于必要前提,无论是否有动机、出于何种动机都不影响信息主体行使此项权利。
另外,唯品会还抗辩称,原告未进行实名认证,唯品会无法依法核验其身份,故无法披露相关信息。一审法院指出,核验身份并不以实名认证为前提,通过绑定手机号等信息,同样可以核实个人信息主体身份。此外,唯品会既不告知原告验证真实身份的具体途径,也未在合理期限内对原告诉求作必要处理,已构成拒绝行权要求。
(二)查阅复制权的行权范围
如上表所示,一审法院支持披露的个人信息包括两类:
唯品会自认已实际收集且应当披露的个人信息(包括用户注册信息、订单信息、收货信息、设备信息、IP地址等);以及
唯品会与第三方共享的个人信息(包括支付信息、第三方SDK从唯品会收集的个人信息、共享给其他第三方的信息)以及浏览信息。
一审法院未支持披露的个人信息也包括两类:
唯品会未确认收集,原告亦无证据证明收集的个人信息(包括部分个人基本信息、设备信息、位置信息、日志信息等);以及
唯品会用于个人画像的个人信息。
针对不同类型的个人信息,相关规则总结如下:
1. 平台《隐私政策》中包含但未实际收集的个人信息
根据一审判决,平台未承认收集,且信息主体无反证证明平台实际收集的个人信息,不属于应披露的范围。
本案中原告提供的个人信息清单系参考唯品会《隐私政策》中披露的、可能收集的个人信息所列。其中部分个人信息(如设备名称、GPS位置信息),唯品会未承认收集。因原告无相反证据证明唯品会存在收集行为,故法院未予支持。
2. 与第三方共享的个人信息及用户浏览记录
根据判决,与第三方共享的个人信息及用户浏览记录,平台不得以成本过高、不符合行业惯例等为由,拒绝提供。具体而言:
唯品会抗辩:
-不应披露与第三方共享的个人信息。一方面,相关检索数据量巨大,且需向大量广告商核实数据传输情况,成本高昂;另一方面,唯品会已根据工信部要求,发布《个人信息第三方共享清单》,披露基本情况(包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等),此种做法已符合行业惯例。
-仅应提供近1个月的浏览记录。一方面,浏览记录需要逐日筛选,成本高昂,且一旦产生示范效应,会对唯品会的正常运营,甚至互联网行业产生负面影响。另一方面,提供近1个月的浏览记录足以满足原告合理需求,且符合行业惯例。
法院针对唯品会的抗辩,认为:
-浏览记录及平台与第三方共享的个人信息,对于个人判断个人信息是否被滥用具有重要意义,应当依法披露;
-披露成本高:唯品会未提供充分证据,证明具体披露成本,且披露成本高并非法定免责事由;
-行业惯例:行业惯例仅能从一定程度上反应现有的个人信息保护水平,并非是否履行法定义务的决定性因素;
-已通过清单披露第三方共享个人信息:清单中列出的并非第三方实际收集的原告的个人信息,应当披露。
3. 用于用户画像的个人信息
用户画像是指“通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程”,也即通过算法对个人信息的集合或部分集合进行自动化决策。
根据一审判决,如无法证明用户画像对个人权益产生重大影响,则相关披露要求不予支持。具体而言,《个保法》第二十四条第三款规定,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。因原告并未提交证据证明唯品会作出了对其个人权益有重大影响的自动化决策,法院不予支持相关个人信息披露请求。
由于原告没有上诉,二审法院并未对此作出分析。但我们认为,该判决或存在可商榷之处。首先,根据《个保法》和《APP违法违规收集使用个人信息行为认定方法》,处理个人信息,必须逐一明示收集使用的目的,用户画像也包含在内。其次,唯品会的隐私政策也实际披露了用于用户画像的个人信息类型,包括订单信息、浏览信息和购物习惯信息。第三,我们理解,《个保法》之所以设置第二十四条,是为了赋予个人信息主体质疑权和拒绝权,以防止对个人权益产生重大影响的自动化决策出错,个人信息主体没有其他请求复核的路径,而非剥夺个人信息主体的查阅复制权。另外,参考GDPR,第二十四条所指的“对个人权益有重大影响的决定”可能包括拒绝在线信贷申请、网络招聘或在线绩效评估等。
(三)个人信息的披露方式及时间
对于前述支持披露的个人信息,一审法院要求唯品会在10日内以Excel表格、Word文档等电子形式提供结构化的、通用的、可读的、可下载的个人信息副本,不包括截屏,也不包括APP内自查询。二审法院对此予以肯定,但将提供时长延长到了30日。
1. 披露方式:通用可读的个人信息副本
唯品会在上诉时抗辩称:
-其已向原告提供了便捷的APP内个人信息查阅途径;
-个人信息副本有多种形式,法律并未明确规定载体和形式,截屏、通过APP查阅同样可以完成对信息的复制;
-对个人信息副本形式要求过于严苛不符合我国当前的发展阶段,会对我国个人信息保护产生反作用。
一二审法院均认为:
-唯品会目前提供的APP内查阅途径仅能查到其收集的部分而非全部个人信息;
-复制权一般应当理解为提供副本,而非仅提供查阅途径;
-副本应采用书面形式,可纸质可电子,不限于excel表格、Word文档等形式,但应便于查阅。
2. 披露时间:10日→30日
《个保法》仅要求个人信息处理者及时提供个人信息,但未对“及时”一词作具体解释。一审法院将披露期限确定为10日,唯品会在上诉时未对此提出抗辩。但二审法院考虑到唯品会履行上述披露义务需耗费一定的成本和时间,主动将披露期限延长至了30日。这也与GDPR设置的一般披露期限相一致。
三、其他规则总结:《个保法》的溯及既往适用规则、删除权的行使规则
本案中涉及的其他规则还包括:《个保法》的溯及既往适用规则以及删除权的行使规则等,以下仅作简要介绍。
(一)《个保法》的溯及既往适用规则
本案中,由于一审最后一次庭审发生在《个保法》生效之前,因此唯品会主张,一审法院适用《个保法》违反“法不溯及既往”原则。对此,二审法院认为,本案为个人信息保护纠纷,案涉事实状态一直持续到《个保法》施行之后,且适用《个保法》可以更好地平衡双方的权利义务,妥善解决本案纠纷,因此适用《个保法》并无不当。
(二)删除权的行使规则
除查阅复制请求外,原告还提出了关于唯品会删除其非必要个人信息的诉请,但被一审法院以不符合《个保法》第四十七条规定的情形为由驳回。但是,我们理解,原告的上述请求属于第四十七条中的“个人撤回同意”这一个人有权请求个人信息处理者删除个人信息的法定情形,且删除非必要个人信息不会影响原告正常使用唯品会,因此,一审法院的判决或存在可商榷之处。由于原告没有上诉,二审法院并未审理该诉请。
四、我国平台领域个人信息查阅复制权的现状
自2022年5月13日二审判决作出,已历时2个月有余。我们理解,唯品会已经在法院规定的1个月期限内,按照判决向原告提供了相关个人信息。但是,这一判决短期内可能不会改变唯品会以及其他主流平台的通行做法。
唯品会:
查阅权方面:用户可在唯品会APP内查看账户信息(如基本资料、尺码信息)、个人基本信息(如手机号、验证邮箱)、订单信息、收藏、订阅、近期浏览足迹信息等,但无法查看IP地址、设备信息等其他信息。此外,与第三方共享的个人信息只能通过《个人信息第三方共享清单》查阅。
复制权方面:APP虽然提供了邮件导出个人信息的路径,但导出的文件是类似代码的英文格式,不便查阅。
淘宝:
查阅权方面:用户可以在APP个人信息采集清单中查阅淘宝采集的个人信息(包括基本信息、社交信息、交易信息——包括足迹、搜索记录等动态信息),以及近7天的使用日志,如图片信息、位置信息、设备信息等。此外,与第三方共享的个人信息也只能通过《个人信息共享清单》查阅。
复制权方面:APP可通过邮件发送excel形式的个人信息副本,但其中仅包括基本信息(会员名、绑定手机号及邮箱、昵称、个性签名、头像、注册时间)。
实际上,2021年12月底,澎湃新闻曾就50款热门APP作过调研。当时,仅11款APP提供了个人信息副本(例如微博至今无此功能);所提供的个人信息副本,内容也很有限,基本都是用户自行填写的信息(详见下图)。【3】
与我国不同的是,欧盟GDPR并未规定复制权,而是规定了可携权。可携权要求个人信息处理者提供结构化的、通用的、可机读的个人信息副本,以便提供给其他个人处理者,实现个人信息转移;副本内容为以用户同意为合法性基础的、通过自动化方式收集处理的个人信息。以亚马逊为例,个人信息副本中的内容包括:订单信息、地址信息、支付选项、订阅信息、搜索历史、配套设备信息、广告信息、用户支持沟通信息等。
五、结语
当前,如何保障个人信息主体的复制查阅权还是一个待探讨的新兴话题。在本案中,广州互联网法院和广州中院对查阅复制权的行权前提、范围以及个人信息的披露方式、时间作了开创性的探索,明确行权不以合理动机、实名认证为前提;成本高昂、行业惯例等不构成拒绝提供浏览记录、对外共享个人信息的合理理由;个人信息主体应以excel、word等通用可读的书面方式提供个人信息副本;披露期限一般为一个月。
但是,考虑到《个保法》生效时间较短,查阅复制权目前尚无配套细则出台,且目前执法机关的重点查处行为和各大APP的合规重点还集中在违法违规收集、使用个人信息方面,加上大多数APP所提供的服务是免费的,《个保法》也并未允许个人信息处理者就查阅复制行为合理收费,因此个人信息主体查阅复制权的行使规则可能直接影响到平台企业的合规成本、运行效率,未来如何平衡或还有待执法和司法共同探索。
注释:
1. 《个保法》第十八条第(一)款:“个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。” 第三十五条:“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。”
2. (2022)粤01民终3937号。
3. 参见:“澎湃新闻:从App中“复制”自己的个人信息,有多难?”,https://www.sohu.com/a/510558717_260616。
大成反垄断团队
邓志松 律师
大成北京
专业领域:竞争与反垄断、公司与并购、跨境投资与贸易、争议解决
电子邮箱:zhisong.deng@dentons.cn
戴健民 律师
大成上海
专业领域:竞争与反垄断、公司与并购、争议解决、生命科学与医药
电子邮箱:jianmin.dai@dentons.cn
本文系本公众号原创,转载请注明文字出自本公众号。
本文源自:大成数据保护团队
感谢Shirley/Vivien对本文的贡献
声明:本文来自个人信息与数据保护实务评论,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
