個人信息保護之爭

文/泓杰

電商平臺的注冊用戶，向平臺提出查閱、刪除其非必要個人信息的要求，未得到充分回應，引發個人信息保護之爭。在電子商務環境下，哪些個人信息處于被保護的范圍內？電商平臺處理個人信息該如何做到合規？

擔心泄露隱私

2020年“雙11”購物節前夕，文欣下載了某電商平臺的App。App以彈窗方式展示了服務條款、隱私保護政策、支付用戶服務協議等，并提示了個人信息處理規則。文欣均點擊“確認”或“同意”，并填寫了郵箱賬號、手機號碼等個人信息。在后來的購物過程中，她還填寫了收貨人、收貨地址等。

自2021年2月下旬起，文欣的母親多次接到陌生來電，向其推銷商品，還收到外地寄來的廣告宣傳單。更離譜的是，竟有快遞小哥上門送“免費的酒”，聲稱收貨人是文欣，讓其母代付高額快遞費，被拒絕后悻悻離開。文欣懷疑她在某平臺留下的信息被泄露了。經詢問，某平臺客服答復“有隱私保護政策”。

文欣要求某平臺提供其所收集的相關信息，包括姓名、性別、出生年月、家庭信息、常用地址、聯系方式，賬戶信息、設備型號操作系統版本、設備識別符、位置信息、IP地址等等。客服回應:“用戶已填寫的信息可以在個人中心查看，對于用戶沒有填寫的信息無法提供。”

文欣通過電子郵件賬戶“文麗麗”向某平臺發送郵件，要求提供相關內容，平臺未予回復。

主張相關權利

2021年6月12日，文欣在廣州互聯網法院提起訴訟，要求某平臺提供在其App客戶端收集的文欣的所有個人信息，她還要求平臺刪除所有非必要信息。

文欣訴稱，某平臺的服務條款和隱私保護政策稱，會在各種情形下主動獲取、收集、使用用戶的信息。原告作為信息的權益主體，有權要求被告刪除非必要信息，并繼續接受相關服務。

某平臺辯稱，公司在用戶同意的合理范圍內處理個人信息，并不違反法律、行政法規的規定及與用戶的約定。同時，公司已充分保障原告的查閱、復制等數據權益，也采取了符合業界標準且合理可行的數據安全保護措施。

某平臺進一步解釋稱，首先，公司已通過客服響應并解決了文欣提出的問題。其次，文欣以私人郵箱方式提出查閱、復制個人信息，而平臺難以核實電子郵件發送人的真實身份及其和文欣之間的關系，故不予提供信息是合法合理的。最后，平臺通過交互界面直接提供查詢、復制功能。對于未收集到的信息，平臺自然無法提供查閱和復制服務——文欣應先行舉證某平臺收集了某些信息。

某平臺還辯稱，文欣僅以“擔心”為由主張刪除其相關個人信息，沒有法律及合同依據。某平臺遵照最小必要規則，僅要求用戶提供基本業務功能中的必要個人信息，并未收集非必要個人信息。

支持查閱、復制

一審法院歸納了爭議焦點。

文欣要求查閱、復制的信息是否屬于個人信息？ 法院認為，文欣要求某平臺提供的信息，其中個人資料中的姓名、電話號碼、訂單信息，可以直接識別出特定自然人的身份和財產狀況；其他如設備信息、位置信息、瀏覽記錄等，雖然無法識別特定自然人，但與其他信息進行結合就可以識別特定自然人。因此，文欣訴請某平臺提供的以上信息均屬于個人信息范圍。

個人信息查閱權、復制權的范圍有哪些？法院指出，文欣請求查閱的內容不僅包括個人信息，也包含了個人信息處理的相關情況。某平臺確認收集到的個人信息，屬于其正在處理的信息，應當依法提供給信息主體進行查閱和復制。但本案中，文欣并未提交證據證明，某平臺作出了對其個人權益有重大影響的自動化決策，其要求某平臺披露被用于“用戶畫像”的信息，無事實和法律依據，法院不予支持。

根據某平臺的隱私保護政策，可能會將用戶的個人信息與平臺關聯方、授權合作伙伴共享。該隱私保護政策并未披露共享個人信息的關聯方以及授權合作伙伴的具體名稱。某平臺有必要根據文欣的申請披露與第三方共享個人信息的清單，列明第三方的具體名稱以及共享給第三方的信息，包括信息種類、信息內容、使用目的、使用場景和共享方式。另外，文欣的支付信息亦應受到保護。

至于文欣所列清單的其他信息，某平臺未確認已收集，文欣亦無證據證明某平臺存在收集行為，故文欣的該項主張法院不予支持。

某平臺是否侵害了文欣的查閱、復制權？如果侵權成立，某平臺應以何種方式保障查閱、復制權的行使？法院認為，文欣先后通過致電客服和發送郵件的方式提出了查閱、復制其個人信息的請求，可認定其已向某平臺行使了查閱、復制請求權。某平臺存在無正當理由拒絕文欣行使查閱、復制權的行為。文欣向某平臺發送郵件后，某平臺的首要工作是驗證其個人信息主體身份，然后在合理的時間內給出答復。但某平臺并未作出任何處理，實質上拒絕了文欣的申請。

一審法院指出，某平臺在隱私保護政策中明確規定，用戶可以獲取個人信息副本。因此，某平臺有必要提供通用的、可下載個人信息副本的方式。考慮到文欣以電子郵件方式提出請求，某平臺也應以常用的電子郵件方式提供個人信息副本。

由于文欣未提交證據證明，某平臺存在應主動刪除文欣個人信息的情形，對此法院不予支持。

2021年12月13日，廣州互聯網法院作出一審判決：某平臺提供自文欣注冊App之日起收集到的其個人信息，以及個人信息處理的相關情況，供文欣查閱、復制。駁回文欣的其他訴訟請求。

某平臺提出上訴。二審期間，某平臺提供了郵箱網關系統隔離記錄截圖等一系列新證據，擬證明文欣于2021年3月1日發送給某平臺的郵件，因存在禁用詞被郵箱網關系統隔離，某平臺實際上并未收到該郵件。在不知曉文欣發送郵件的情況下未對其請求進行答復，不存在過錯。

鑒于新證據的出現，二審法院認為“某平臺未對文欣郵件進行答復不存在過錯”的上訴理由成立。二審法院認定，第三方收集的個人信息，是指某平臺合作伙伴通過在App中嵌入第三方軟件收集的用戶個人信息。某平臺主張并未參與該類信息的收集、上傳、儲存過程，根據現有證據亦未能顯示某平臺收集了上述信息。故文欣要求某平臺向其提供第三方收集的個人信息，依據不足，不予支持。

2022年5月13日，廣州市中級人民法院作出二審判決，認定某平臺的上訴理由部分成立，對判決表述作出相應調整，加入“相關”的限制詞，即某平臺提供自文欣注冊App之日起收集到的相關個人信息，以及個人信息處理的相關情況，以供文欣查閱、復制。

法官點評

2021年11月1日，《個人信息保護法》正式開始施行。這是我國首部專門針對個人信息保護的系統性、綜合性法律。在此背景下，掌握海量個人信息的互聯網企業要做到合規化，必須掌握四個要點：一是貫徹“告知-同意”規則。即處理個人信息應當在實現充分告知的前提下取得個人同意。二是注意對青少年個人信息的保護。《個人信息保護法》規定，14歲以下少年兒童的個人信息為敏感信息，互聯網企業在甄別用戶時，要對青少年個人信息作特別處理。三是注重對自動化決策的規范。不得對個人在交易價格等交易條件上實行不合理的差別待遇。四是強化對敏感個人信息的保護。《個人信息保護法》將生物識別、醫療健康、金融賬戶等列為敏感個人信息。對敏感個人信息進行處理，應當事前進行影響評估，告知處理敏感個人信息的必要性以及對個人權益的影響，并取得個人單獨同意。