案 情
张先生注销在国内某知识问答平台的账户后,发现未对自己在平台上发表的文章和回答进行删除。由于已注销账户,无法再进行删除操作,因此张先生要求某平台协助其删除曾发表的相关信息。某平台认为,删除张先生发表的文章将连带删除他人的评论,拒绝提供删除服务。张先生认为,某平台拒绝配合删除相关信息的行为涉嫌违法。 根据《消费者权益保护法》第二十九条的规定,张先生以某平台不正当收集、使用消费者个人信息为由提起投诉,要求工商部门进行处理。
争议焦点
1.用户在某平台上发表的文章和回答是否属于个人信息? 2.在涉及其他主体利益时,某平台能否仅经用户同意就删除其发表的文章?
分 析
一、用户在某平台上发表的文章和回答是否属于个人信息? 本案中,张先生认为其发表的回答和文章属于个人原创,包含自己的独特见解和生活经历,对相关观点的表述进行了艺术创作,有一定的个人特征。 某平台认为,张先生在该平台上公开发表的回答和文章不属于个人信息。文章是张先生本人主动发表的,其认可该平台收集并公开。张先生的知名度并未达到社会上多数人知晓,或者在某个领域内被广泛认可的程度,不删帖不会造成不利影响扩大,因此不接受其删除相关内容的要求。 办案机关认为,张先生在某平台上发表的文章和回答不属于个人信息。《电信和互联网用户个人信息保护规定》界定了个人信息的内涵,即姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息,以及用户使用服务的时间、地点等信息。2017年6月1日起施行的《网络安全法》通过概括的方式将个人信息确定为以电子或者其他方式记录的,能够单独或者与其他信息结合识别自然人个人身份的各种信息,同时列举了自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等常见的个人信息形式。2018年5月1日起实施的推荐性国家标准《信息安全技术个人信息安全规范》规定,个人信息是以电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 从上述规定可以看出,个人信息最核心的法律特征是具有身份识别性,即能够直接或者与其他信息关联识别个人身份。在本案中,张先生在某平台上发表的回答和文章内容虽然涉及个人活动经历和感官认知,但并不能直接或者间接关联个人身份,故不属于个人信息。因此,张先生不能依据《消费者权益保护法》第二十九条进行维权。
二、在涉及其他主体利益时,某平台能否仅经用户同意就删除其发表的文章? 张先生认为,其在某平台上发表的回答和文章归其所有,注销账户并不影响权利归属,某平台有义务协助其删除相关信息。 某平台认为,只要在该平台上发表的原创内容(包含但不仅限于回答、文章和评论),著作权均归用户所有,该平台可以经张先生授权后删除其个人文章和回答。然而,涉案张先生发表的文章后附有其他用户的评论,在张先生已经注销账户的情况下,该平台不能未经评论人许可就进行删除处理。 办案机关认为,张先生在某平台上发表的回答和文章属于个人数据,是个人在互联网载体上对客观事物进行阐述的记录。根据《网络安全法》第七十六条的规定,网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据。张先生在某平台上发表的文章和回答是其在互联网上产生的个人数据,因在一定条件下可以转让而具有经济价值。《民法总则》第一百一十一条和第一百二十七条对这两个不同的法律概念进行了区分,体现了个人信息的人格权属性和个人数据作为网络虚拟财产的产权属性。在鼓励数据充分流动和商业化的背景下,张先生和其他平台用户享有平等的合法权益,共同受到法律的保护。张先生可以不经评论人许可,自由删除其文章和回答,此权利并不因注销账户而丧失,但某平台却需要尊重其他评论者的著作权,保护话题所蕴含的集体智慧。
处理结果
经调解,某平台同意为张先生开通后台通道,暂时恢复账户,由其本人对发表的文章和回答进行删除。
案件启示
数字经济时代,技术和数据在消费者日常生活中的作用日益突出,消费者与企业共享的个人信息数量日益增加。同时,个人信息和数据在互联网上分享时也存在被滥用的风险,可能对个人造成破坏性影响,包括财产欺诈、身份盗窃、信息骚扰、名誉损害、情感压力等。 有效保护个人信息安全,同时不干涉信息自由流动,已经成为亟须解决的问题。不久前,《欧盟通用数据保护条例》(GDPR)颁布实施,美国和欧盟国家同样试图通过法律形式积极应对这一问题。目前,我国已通过《网络安全法》等法律法规,正式回应个人信息收集、使用和保护对个人隐私的影响,以及网络数据在收集、使用、加工和传输过程中产生的财产价值。作为综合市场监管部门执法人员,应当尊重市场规律和技术创新发展趋势,并在此基础上进行价值平衡。
一、注意区分个人信息与数据
欧盟在制定《欧盟通用数据保护条例》(GDPR)后,又专门立法鼓励非个人信息数据的自由流动。Facebook用户个人信息泄露后,美国相关监管机构对待此类平台的态度体现了一种思路,即对个人信息强调保护,对数据信息强调财产价值认可。一是个人信息是经过特殊处理或者分析后的个人数据。个人信息不仅包括隐私信息(如个人生理信息、财产信息等),也包括公开的信息(如年龄、联系方式等)。个人信息与知识产权有明显区别。个人信息权的基础来源于信息本身的识别性,而不是智慧成果的创造性。个人信息保护的重点不是对个人信息的占有、处置,而是对个人信息处理的控制。二是对个人信息的定义采取保留原则。除非被法律明确规定为个人信息,并被个人信息保护的相关法律法规条款所覆盖,否则应当被认定为网络数据。在对个人信息保护的基础上,考虑新技术行业整体利益,维护公共利益最大化,保护中小企业创新之源。三是数据控制者(平台)与使用者以平台的公共空间为基础产生共同利益,消费者应当能够就其个人信息行使控制权,并且期待防止个人信息被滥用的保护措施。企业应该在尊重消费者隐私的同时,提高信息的透明度。
二、重视各方主体的责任分配和衔接
根据《财经》杂志对2016年~2018年公开司法判例整理分析的结果,2017年被非法获取的公民个人信息的来源情况是:网络购买占59%,利用计算机获取占19%,利用职务之便获取占5%,未说明的占17%。2017年已生效判决中,涉及公民个人信息的种类分布为,通讯住址信息33%,公民身份信息27%,财产信息26%,网络账号信息6%,购物信息6%,车辆信息2%。 个人信息侵权案件存在取证难、责任判断难等问题。考虑到市场监管部门和市场主体的天然联系优势,市场监管部门应当配合电信主管部门发挥对市场主体的事中事后监管作用。然而,由于各种因素,无法形成执法合力。对此,可以建立以行政责任为主导,特殊情形下偏向个人保护的刑事责任制度,以及特定情况下的连带民事责任制度。 从上述数据可以看出,网购是非法获取个人信息的重要途径,围绕大型网络交易平台加强对流通链的治理是遏制个人信息泄露的关键一步。防范个人信息侵权必须督促企业落实主体责任。应当督促平台企业在利用数据进行技术创新、模式创新的同时,以技术手段解决个人信息保护问题,如网约车虚拟号码、快递单个人电子代码。
□北京市工商局海淀分局 朱春凤
声明:本文来自中国工商报网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
