裁判日期:2015-05-06
发布日期:2019-04-16
阅 读 量:45
  • 胜诉律师:
  • 江苏三法律师事务所

案例释义:

1、2013年9月1日实施的工信部《电信和互联网用户个人信息保护规定》:用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。2017年6月1日实施的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定:“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。根据以上规定,个人信息要求具有“可识别性”, 无“可识别性”则不在法律保护范围之内。

2、根据工信部《电信和互联网用户个人信息保护规定》,未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。

3、2018年5月1日,作为国家标准文件的《信息安全技术个人信息安全规范》付诸实施,该《规范》将个人信息界定为以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,并制定了采集、保存和利用个人信息的合规程序、方法和准则。其中的个人敏感信息,是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。

该《规范》规定,信息技术领域中有权决定个人信息处理目的、方式等的组织或个人,在收集个人敏感信息时应取得个人信息主体的明示同意,并确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示;通过主动提供或自动采集方式收集个人敏感信息前,应向个人信息主体告知所提供产品或服务的核心业务功能及所必需收集的个人敏感信息,并明确告知拒绝提供或拒绝同意将带来的影响,允许个人信息主体选择是否提供或同意自动采集;产品或服务如提供其他附加功能,需要收集个人敏感信息时,收集前应向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需,并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息,当个人信息主体拒绝时,可不提供相应的附加功能,但不应以此为理由停止提供核心业务功能,并应保障相应的服务质量;收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。

4、本案中,法院判决书认为,网络服务提供者利用网络技术向用户浏览器提供个性化推荐服务不属于利用信息网络的侵权行为。基于cookie(储存在用户本地终端上的数据)技术而产生的个性化推荐服务仅涉及匿名信息的收集、利用,且使用方式仅为将该匿名信息作为触发相关个性化推荐信息的算法之一,网络服务提供者对个性化推荐服务依法明示告知即可。网络用户通过使用搜索引擎形成的检索关键词记录,虽然反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,即不能与网络用户个人身份对应识别,不再属于个人信息范畴。


案情介绍:

原告朱某在利用家中和单位的网络上网浏览相关网站过程中,发现利用“百度搜索引擎”搜索相关关键词后,会在特定的网站上出现与关键词有关的广告。为了证明该过程的真实性,2013年4月17日,朱某再次重复上述操作过程时,邀请了南京市钟山公证处对该过程进行了公证。

另查明,北京百度网讯科技有限公司(以下简称百度网讯公司)在百度网站(www.baidu.com)首页设置了《使用百度前必读》的链接,该链接位于页面的最下方,并用下划线的方式进行了标注,但字体较小且呈灰色,夹在了“2014Baidu”与“京ICP证030173号”中间。点击进入“使用百度前必读”,页面的右侧放置了“隐私权保护声明”的链接,点击进入,该声明共六条,第二条第三款告知用户百度网讯公司使用了cookie技术。运用cookie技术,百度能够为您提供更加周到的个性化服务,并允许您设定您特定的服务选项。当您使用服务时,会向您的设备发送cookie。当您与我们提供给合作伙伴的服务(例如广告和/或推广服务,以及可能显示在其他网站上的由百度提供的服务功能)进行交互时,我们允许位于百度域的cookie或者其他匿名标识符发送给百度的web服务器。您可以选择拒绝cookie。您可以通过修改浏览器设置的方式拒绝cookie。如果您选择拒绝cookie,则您可能无法登录或使用依赖于cookie的百度服务或功能。如果您不希望在您访问百度联盟网站时,百度基于cookie向您推送个性化的信息,可以通过个性化配置限制百度对cookie的使用”。同时,百度网讯公司在上述“个性化配置”字样下插入了超链接。点击此超链接进入“个性化配置工具设置”页面,页面内容是“为了在您访问百度联盟网站时,向您推送与您更相关或您更感兴趣的推广信息,百度联盟网站通过cookie记录您的偏好信息(不涉及任何指向您个人的信息);如果您不希望百度联盟网站利用记录到的偏好信息向您推送推广信息,可以通过下方按钮选择停用,停用后百度的联盟网站将不会再根据您的偏好信息向您推广信息。网盟隐私保护设置只适用于您当前使用的计算机上的当前浏览器,当您删除当前浏览器的cookie后,系统会自动重置您浏览器的隐私保护设置”。在上述文字下方,百度网讯公司提供了“选择停用”按钮。

2013年5月6日,朱某认为,百度网讯公司利用网络技术,未经朱某的知情和选择,记录和跟踪了朱某所搜索的关键词,将朱某的兴趣爱好、生活学习工作特点等显露在相关网站上,并利用记录的关键词,对朱某浏览的网页进行广告投放,侵害了朱某的隐私权,故诉至南京市鼓楼区人民法院。一审法院认定被告百度网讯公司侵犯了朱某隐私权,百度网讯公司不服,向南京市中级人民法院提起上诉。

上诉人百度网讯公司诉称:一、本案中的搜索关键词和个性化推广内容与朱某不存在特定指向关系,不存在网络侵犯隐私权的基础。百度网讯公司为客户在合作网站上展示推广的内容仅是一种个性化展现,百度网讯公司所搜集的仅是不可识别的网络行为碎片化信息,而非现实世界中具体的个人信息,根本不可能与朱某发生对应识别关系。

二、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条第一款将“公开”作为互联网环境下侵犯隐私权的构成要件。本案中,百度网讯公司并未公开、宣扬朱某隐私。朱某搜索的“减肥”、“丰胸”、“人工流产”三个关键词,不包含朱某的身份信息,不是朱某的隐私。百度网讯公司也根本不可能知悉搜索“减肥”、“丰胸”、“人工流产”等关键词的是朱某。且百度网讯公司并未向第三人提供、公开朱某的信息,朱某的信息在朱某的电脑中,在其控制之下,并没有为公众所知悉。

三、百度网讯公司保障了朱某的知情权和选择权。百度网站首页“使用百度前必读”中的“隐私权保护声明”中已经明确告知用户使用cookie技术是为用户提供服务,保障了用户的知情权。而且百度网站也提供了选择退出机制。国家质量监督检验检疫总局、国家标准化管理委员会2012年11月5日批准发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z28828-2012)明确个人信息是指可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息分为个人敏感信息和个人一般信息。收集个人敏感信息时,要得到个人信息主体的明示同意;收集个人一般信息时,可以认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息。因此,本案中百度网讯公司对于不属于个人信息的网络行为碎片化信息的收集更不需要明示同意。

四、原审判决将极大阻碍互联网新兴技术和业务的正常健康发展,互联网时代更贴近用户的个性化服务代表着用户的普遍需求,原审判决会扼杀互联网新业务的发展空间。

被上诉人朱某答辩称:一、百度网讯公司采取窥探、跟踪网络用户操作电脑的操作程序和内容,并将网络用户搜索的个性化内容加以商业化利用,牟取商业利益,属于侵犯隐私权的行为。收集、利用他人隐私也是侵权隐私权的一种方式。百度网讯公司的行为侵犯的是不特定操作者,不能以不特定操作者就认定不是侵犯隐私。

二、网络个人终端属于个人隐私空间。网络用户在其电脑笔记本、智能手机上的操作和内容应当视为个人隐私空间,虽然个人在百度中搜索了普通的个别词语,但这些普通的个别词语能够显示出个人上网的偏好、兴趣和需求,属于个人隐私范围。百度网讯公司采取窥探、跟踪的方式获得了网络用户的个性化信息,并对这些信息商业化使用,网络用户不仅因个人隐私被泄漏而害怕,更因自己的网络活动轨迹被窥探和跟踪而恐惧。

三、cookie技术被百度网讯公司恶意利用。百度网讯公司默示同意的网络规则增加了用户的注意义务和心理负担,向用户定向投放广告增加了不必要的网络流量,为了牟取商业利益忽视了网民搜索信息的便利性。“使用百度前必读”和“隐私权保护声明”两个告知框位于百度首页的正下方,字体非常小,并没有以显著的方式告知用户,点击该链接时才会在新的页面中显示“使用百度前必读”和“隐私权保护声明”的全部内容,并且字体比较小。这些都不能认定百度网讯公司尊重了网络用户充分的知情权和选择权。

四、根据消费者权益保护法的规定,百度网讯公司的行为属于侵犯消费者权益的行为。其他网站虽然利用cookie技术,但是没有直接将这些信息进行商业化利用,而是通过网站点击量获取知名度来间接获取利益。如果认为百度网讯公司的行为属于正常合法行为,网络用户的个人隐私在强大的网络服务提供者面前将毫无权利可言,这会阻碍网络用户使用网络的积极性和主动性,也会阻碍互联网新型技术和业务的正常发展。

2015年5月6日,南京市中级人民法院对本案作出二审判决。


诉讼请求:

一审原告朱某诉请:

1、立即停止侵害朱某隐私权的行为;

2、赔偿朱某精神损害抚慰金10000元;

3、承担公证费1000元。

二审上诉人百度网讯公司诉请:

撤销原审判决,依法改判驳回朱某的原审全部诉讼请求。


争议焦点:

百度网讯公司的案涉行为是否侵犯朱某隐私权。


裁判理由:

南京市鼓楼区人民法院一审认为:

隐私权是自然人享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开的权利。本案中,百度网讯公司利用cookie技术收集朱某信息,并在朱某不知情和不愿意的情形下进行商业利用,侵犯了朱某的隐私权。

首先,关于朱某的网络活动踪迹是否属于个人隐私的问题。个人隐私除了用户个人信息外还包含私人活动、私有领域。朱某利用三个特定词汇进行网络搜索的行为,将在互联网空间留下私人的活动轨迹,这一活动轨迹展示了个人上网的偏好,反映个人的兴趣、需求等私人信息,在一定程度上标识个人基本情况和个人私有生活情况,属于个人隐私的范围。百度网讯公司未经朱某许可收集、利用了该特定行为产生的信息。

其次,关于是否存在被侵权对象的问题。虽然cookie技术识别的是网民所使用的浏览器,但浏览器本身并不直接产生数据或信息,它只是网民用以借助形成相关数据和信息的工具。因此,当朱某在固定的IP地址利用特定的词汇搜索时,其就成为了特定信息的产生者和掌控者,百度网讯公司通过cookie技术收集和利用这些信息时,未经过朱某的同意,朱某就会成为被侵权的对象。知不知道被侵权对象是谁并不是侵权构成的要件,不知道并不代表这个对象不存在。

再次,关于百度网讯公司是否存在侵权行为问题。cookie技术本身并不存在侵权问题,百度网讯公司在使用cookie技术的同时,收集了朱某的网上活动轨迹,并根据朱某的上网信息在百度网讯公司的合作网站上展示与朱某上网信息有一定关联的推广内容,进一步利用了他人隐私进行商业活动,且该利用并非cookie技术使用的必然结果,已经构成侵犯他人的隐私权。本案中,百度网讯公司单纯地把公开、宣扬他人隐私作为侵犯隐私权的唯一方式,忽视了收集、利用他人信息也会构成侵犯他人隐私的情形。

又次,关于百度网讯公司收集和利用朱某上网信息的行为是否经过朱某同意的问题。百度网讯公司网页中的《使用百度前必读》标识,虽有说明和提醒的内容,但该字却放在了网页的最下方,不仅字体明显较小,而且还夹放在“2014Baidu”与“京ICP证030173号”中间,实在难以识别并加以注意,无法起到规范的说明和提醒作用,不足以让朱某明了存在“选择同意”的权利。因此对百度网讯公司关于已经保障了用户的知情权和选择权的观点,不予采纳。

因此,百度网讯公司侵犯朱某隐私权的行为使朱某困扰于自己不愿为他人所知的私人活动已经被他人知晓,给其精神安宁和生活安宁带来了一定的影响。

南京市中级人民法院二审认为:

关于百度网讯公司的案涉行为是否侵犯朱某隐私权的问题,个人隐私属于受法律保护的民事权益,本案中,判断百度网讯公司是否侵犯隐私权,应严格遵循网络侵权责任的构成要件,正确把握互联网技术的特征,妥善处理好民事权益保护与信息自由利用之间的关系,既规范互联网秩序又保障互联网发展。

首先,百度网讯公司在提供个性化推荐服务中运用网络技术收集、利用的是未能与网络用户个人身份对应识别的数据信息,该数据信息的匿名化特征不符合“个人信息”的可识别性要求。根据国家工信部《电信和互联网用户个人信息保护规定》对个人信息的界定,个人信息是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的网络用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及网络用户使用服务的时间、地点等信息。网络用户通过使用搜索引擎形成的检索关键词记录,虽然反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴。经查,百度网讯公司个性化推荐服务收集和推送信息的终端是浏览器,没有定向识别使用该浏览器的网络用户身份。虽然朱某因长期固定使用同一浏览器,感觉自己的网络活动轨迹和上网偏好被百度网讯公司收集利用,但事实上百度网讯公司在提供个性化推荐服务中没有且无必要将搜索关键词记录和朱某的个人身份信息联系起来。因此,原审法院认定百度网讯公司收集和利用朱某的个人隐私进行商业活动侵犯了朱某隐私权,与事实不符。

其次,百度网讯公司利用网络技术向朱某使用的浏览器提供个性化推荐服务不属于《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条规定的侵权行为。该《规定》第十二条强调了“利用网络公开个人隐私和个人信息的行为”和“造成损害”是利用信息网络侵害个人隐私和个人信息的侵权构成要件。本案中,百度网讯公司利用网络技术通过百度联盟合作网站提供个性化推荐服务,其检索关键词海量数据库以及大数据算法均在计算机系统内部操作,并未直接将百度网讯公司因提供搜索引擎服务而产生的海量数据库和cookie信息向第三方或公众展示,没有任何的公开行为,不符合《规定》第十二条规定的利用网络公开个人信息侵害个人隐私的行为特征。同时,朱某也没有提供证据证明百度网讯公司的个性化推荐服务对其造成了事实上的实质性损害。朱某虽然在诉讼中强调自己因百度网讯公司的个性化推荐服务感到恐惧、精神高度紧张,但这仅是朱某个人的主观感受。个性化推荐服务客观上存在帮助网络用户过滤海量信息的便捷功能,网络用户在免费享受该服务便利性的同时,亦应对个性化推荐服务的不便性持有一定的宽容度。本案中,百度网讯公司的个性化推荐服务的展示位置在合作网站的网页,只有网络用户控制的浏览器主动登录合作网站时才会触发个性化推荐服务,并非由百度网讯公司或合作网站直接向网络用户的私有领域主动推送个性化推荐服务。即便没有开展个性化推荐,合作网站也会在其网页上进行一般化推荐。百度网讯公司的个性化推荐利用大数据分析提高了推荐服务的精准性,推荐服务只发生在服务器与特定浏览器之间,没有对外公开宣扬特定网络用户的网络活动轨迹及上网偏好,也没有强制网络用户必须接受个性化推荐服务,而是提供了相应的退出机制,没有对网络用户的生活安宁产生实质性损害。

再次,百度网讯公司利用网络技术对朱某提供个性化推荐服务并未侵犯网络用户的选择权和知情权。百度网讯公司在《使用百度前必读》中已经明确告知网络用户可以使用包括禁用cookie、清除cookie或者提供禁用按钮等方式阻止个性化推荐内容的展现,尊重了网络用户的选择权。至于原审法院认为百度网讯公司没有尽到显著提醒说明义务的问题,本院认为,cookie技术是当前互联网领域普遍采用的一种信息技术,基于此而产生的个性化推荐服务仅涉及匿名信息的收集、利用,且使用方式仅为将该匿名信息作为触发相关个性化推荐信息的算法之一,网络服务提供者对个性化推荐服务依法明示告知即可,网络用户亦应当努力掌握互联网知识和使用技能,提高自我适应能力。经查,百度网讯公司将《使用百度前必读》的链接设置于首页下方与互联网行业通行的设计位置相符,链接字体虽小于处于首页中心位置的搜索栏字体,但该首页的整体设计风格为简约型,并无过多图片和文字,网络用户施以普通注意义务足以发现该链接。在《使用百度前必读》中,百度网讯公司已经明确说明cookie技术、使用cookie技术的可能性后果以及通过提供禁用按钮向用户提供选择退出机制,朱某在百度网讯公司已经明确告知上述事项后,仍然使用百度搜索引擎服务,应视为对百度网讯公司采用默认“选择同意”方式的认可。《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z28828-2012)5.2.3条规定:“处理个人信息前要征得个人信息主体的同意,包括默许同意或明示同意。收集个人一般信息时,可认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息;收集个人敏感信息时,要得到个人信息主体的明示同意。”百度网讯公司在对匿名信息进行收集、利用时采取明示告知和默示同意相结合的方式亦不违反国家对信息行业个人信息保护的公共政策导向,未侵犯网络用户的选择权和知情权。


裁判结果:

一审判决:

1、百度网讯公司于判决生效之日起十日内向朱某赔礼道歉(如百度网讯公司未按判决进行赔礼道歉,法院将通过相关媒体公告判决书的内容,由此产生的费用由百度网讯公司承担);

2、百度网讯公司于判决生效之日起十日内赔偿朱某公证费损失1000元;

3、驳回朱某的其他诉讼请求。

二审判决:

1、撤销南京市鼓楼区人民法院(2013)鼓民初字第3031号民事判决;

2、驳回朱某的全部诉讼请求。


法律依据:

《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》

第十二条第一款 网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。

工信部《电信和互联网用户个人信息保护规定》

第四条 本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。

工信部《电信和互联网用户个人信息保护规定》

第九条 未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。 电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。 电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。 电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。 法律、行政法规对本条第一款至第四款规定的情形另有规定的,从其规定。

第十三条 电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失:(一)确定各部门、岗位和分支机构的用户个人信息安全管理责任;(二)建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度; (三)对工作人员及代理人实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施;(四)妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施;(五)对储存用户个人信息的信息系统实行接入审查,并采取防入侵、防病毒等措施;(六)记录对用户个人信息进行操作的人员、时间、地点、事项等信息; 七)按照电信管理机构的规定开展通信网络安全防护工作;(八)电信管理机构规定的其他必要措施。


案例来源:

北京百度网讯科技有限公司与朱某隐私权纠纷 (2014)宁民终字第5028号

同类案例

搜索