■本报记者 桑雪骐
《个人信息保护法》已实施满两年。11月1日,北京互联网法院通报了自2018年9月至今个人信息保护案件的审理情况,并发布了涉及个人信息保护的典型案例。从案例中可以看出,涉诉个人信息类型丰富,覆盖众多行业领域。
涉及众多数字经济领域
记者从北京互联网法院获悉,自2018年9月至今,该院共受理58件涉及个人信息保护的案件,以互联网企业为主要被诉主体,涉诉个人信息类型和侵权形态较为多样,覆盖了社交、电商、金融、移动办公、在线教育等众多行业和领域。例如,金融企业被诉存在信息泄露问题,致使用户遭遇电信诈骗;在线教育APP被诉在用户登录阶段无法跳过年龄、职业、教育背景等信息填写环节,强制收集个人信息;电商平台被诉频繁拨打用户电话,不当使用或泄露个人信息;办公软件被诉未经同意将用户移出工作群等。
北京互联网法院副院长赵瑞罡表示,上述情况反映出数字时代个人信息处理活动频繁,引发个人信息纠纷的场景涉及众多数字经济领域。
涉诉个人信息类型丰富
北京互联网法院的通报显示,个人信息保护案件涉诉信息类型较为丰富,既包括法律法规列明的手机号、身份证号、行踪信息等,也包含大量法律未明确列举的信息,例如网页视频浏览记录、职业信息、交易信息、位置信息等,还包括敏感个人信息,如人脸信息。
北京互联网法院综合审判三庭庭长孙铭溪介绍了全国首例适用民法典裁判的APP强制收集用户画像信息侵权案。该案中,原告罗某认为被告运营的软件在用户首次登录时强制收集用户画像信息用于个性化推送,侵犯其个人信息权益。罗某诉称,被告运营的软件在未告知隐私政策的情况下,要求用户必须填写“姓名”“职业”“学习目的”“英语水平”等内容才能完成登录,同时被告还存在未经同意向其发送营销短信、向关联软件共享信息等行为。
北京互联网法院经审理认为,涉案软件在首次登录界面收集用户画像信息,未设置“跳过”“拒绝”等路径,属于强制收集,构成侵权,依法判决被告涉案软件运营者承担相应侵权责任。宣判后,被告上诉。二审维持原判。目前,该判决已生效。
处理者行为规范有待提升
赵瑞罡认为,在个人信息保护问题上仍然存在诸多待解难题,包括相关法律适用有待进一步明晰。《个人信息保护法》与《民法典》的适用有待进一步协调;个人信息范围和认定仍存争议;个人信息权益与其他人格权的关系仍需协调;多主体处理个人信息的责任承担仍需明确;个人信息请求权的实现程序、方式等方面仍缺乏统一标准;个人信息侵权经济赔偿标准尚待统一等。特别是个人信息处理的合法性基础需进一步细化,信息处理者主要依赖“知情同意”,对于其他无需同意的情形,实践探索较少,缺乏明确细化规定和操作指引。
此外,个人信息处理者行为有待规范。部分信息处理者仍存在违反个人信息保护法律规定的行为,比如,违规收集个人信息、收集个人信息明示告知不到位等。