周某某诉唯品会案：个人查阅复制权的法律限度

2022-11-14 03:11

领取优惠，立即加入DPOHUB会员！

来源：广州中院

转载：久毫米

基本案情

周X是唯品会平台的注册用户，并在该平台数次购物。在注册唯品会账号的过程中，按唯品会平台要求填写了邮箱账号、手机号码等个人信息；在购物的过程中，按唯品会平台要求填写了收货人、收货地址、手机号码等个人信息；此外，还在唯品会平台填写或使用了其他个人信息。同时，根据《唯品会服务条款》《唯品会隐私政策》《唯品支付用户服务协议》等文件的内容，唯品会平台还会在各种情形下主动获取、收集、使用用户的信息。因担心个人信息泄露或唯品会平台获取并记载的原告个人信息有误，或将原告个人信息用于其他用途损害原告利益，原告于2021年3月1日向《唯品会隐私政策》中载明的客户服务电话致电，要求唯品会平台向原告披露其获取的原告相关信息，但客服回复称平台仅会收集用户主动填报的信息，不会收集其他信息，并告知原告可自行通过APP客户端查看相关信息，平台无法披露。同日，原告又通过《唯品会隐私政策》中载明的个人信息保护专职部门邮箱发送邮件，说明相关情况并要求披露信息，但直至原告起诉之日，被告未给原告任何回复。

裁判结果

一审：一、唯品会公司于该判决发生法律效力之日起十日内提供自周x注册唯品会APP之日起至该判决发生法律效力之日止的已收集到的个人信息以及个人信息处理的相关情况供周X查阅、复制（具体内容详见附表2）；二、驳回周X的其他诉讼请求。一审案件受理费500元，由唯品会公司负担。

二审：一、变更广州互联网法院（2021）粤0192民初17422号民事判决第一项为：广州唯品会电子商务有限公司于本判决发生法律效力之日起三十日内提供自周X注册唯品会APP之日起至本判决发生法律效力之日止的已收集到的相关个人信息以及个人信息处理的相关情况供周X查阅、复制（具体内容见附表3）；二、撤销广州互联网法院（2021）粤0192民初17422号民事判决第二项；三、驳回周X的其他诉讼请求。

裁判理由

一审法院认为

本案系个人信息保护纠纷。案涉纠纷发生于《个人信息保护法》生效之前，但该法律事实持续至《个人信息保护法》施行后，因此，本案可适用《个人信息保护法》的相关规定。本案一审争议焦点为：一、周X要求查阅、复制的信息是否属于个人信息；二、个人信息查阅、复制权的范围；三、唯品会公司是否侵害了周X的查阅权和复制权，如侵权成立，唯品会公司应以何种方式保障周X的查阅权、复制权的行使；四、周X要求唯品会删除相关非必要个人信息的诉请能否得到支持。

一、周X要求查阅、复制的信息是否属于个人信息

《民法典》第一千零三十四条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”《个人信息保护法》第四条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”

根据上述规定，个人信息认定的关键因素是“识别”，只有可以直接或间接识别特定自然人的信息才是个人信息。本案中，周X要求唯品会公司披露的信息，其中个人资料中的姓名、电话号码、订单信息一般情况可以直接识别到特定自然人的身份和财产状况；其他如设备信息、位置信息、浏览记录等信息，虽然仅凭借该信息无法识别出特定的自然人，但与其他信息进行结合就可以识别出特定的自然人。因此，周X诉请唯品会公司披露的以上信息属于个人信息的范围。

关于唯品会公司抗辩设备信息以及日志信息是系统自动记录的信息，兼具商业运营信息的属性，企业有权在合理范围内且在不损害用户权益的基础上加以利用。一审法院认为，设备信息是用户在使用唯品会APP过程中所持有的个人常用设备型号、唯一设备识别码等硬件信息；日志信息，特别是其中的订单信息涉及用户姓名、收件人姓名、收件地址与收货电话号码。以上信息显然是用户主动提供的，可以指向用户的身份信息、财产信息、上网记录信息以及个人常用设备信息，属于个人信息，即便唯品会要利用设备信息和日志信息进行商业运营，亦不影响其个人信息的界定，自然人许可他人使用个人信息，而这种许可并不视为自然人放弃或者转让了其个人信息权益。因此，周X对其诉请唯品会公司披露的设备信息和日志信息具有个人信息权益，唯品会公司不应以商业利益为由拒绝周X对设备信息和日志信息行使权利。

二、个人信息查阅权、复制权的范围

《民法典》第一千零三十七条第一款规定：“自然人可以依法向信息处理者查阅或者复制其个人信息。”《个人信息保护法》第四十五条第一款亦规定了个人有向个人信息处理者查阅、复制其个人信息的权利。据此，个人享有向个人信息处理者查阅、复制其个人信息的权利，周X作为个人信息主体，有权向收集、处理其个人信息的唯品会公司查阅、复制其个人信息。

参考国家标准GB/T35273-2020《信息安全技术个人信息安全规范》，其中第8.1条将查阅的内容规定为：“个人信息控制者所持有的个人信息或者个人信息的类型；上述个人信息的来源、所用于的目的；已经获得上述个人信息的第三人身份或类型。”可知，个人信息查阅权、复制权的客体“个人信息”，不仅包括个人信息本身，还应该包括个人信息处理的相关情况。本案一审中，周X诉请唯品会公司披露收集到的其所有个人信息，具体内容以附表1为准，而附表1内的请求内容不仅包括个人信息，也包含了个人信息处理的相关情况。唯品会公司确认收集到的个人信息属于唯品会公司正在处理的个人信息，应当依法提供给个人信息主体进行查阅和复制。至于周X诉请披露的清单中所列其他个人信息以及个人信息处理的相关情况是否应在查阅、复制的范围，一审法院具体分析如下：

（1）关于周X所列清单中的“第三方SDK从唯品会公司收集到的其个人信息”。根据《唯品会隐私政策》中“您授权我们收集和使用您个人信息的情形——为您提供安全保障”条款约定“我们还可能在应用程序中嵌入我们合作的第三方合作伙伴开发的应用安全类的软件工具开发包（在本隐私政策中简称“SDK”）收集您的设备信息、服务日志信息……”可见，唯品会公司有向SDK共享用户信息的可能。至于第三方SDK实际收集了周X的何种信息，虽然附件一第三方SDK目录中列明了可能嵌入的第三方SDK名称、用途以及收集个人信息类型，但实际内嵌于唯品会APP中的第三方SDK以及该SDK实际收集的用户具体个人信息，用户是无法查阅的。因此，唯品会公司仍有必要向周X清晰列出实际内嵌第三方SDK收集的周X个人信息，包括第三方SDK的具体名称，以及第三方SDK已经收集到的周X个人信息基本情况，包括信息类型、信息内容、使用目的和使用场景。

（2）关于周X所列清单中的“哪些信息被用于用户画像”。参考国家标准GB/T35273-2020《信息安全技术个人信息安全规范》第3.8条规定，用户画像是指“通过收集、汇聚、分析个人信息，对某特定自然人个人特征，如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测，形成其个人特征模型的过程。”可知，用户画像是通过算法对个人信息的集合或部分集合进行自动化决策的过程。根据《个人信息保护法》第二十四条第三款规定，通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。本案中，周X并未提交证据证明唯品会公司作出了对其个人权益有重大影响的自动化决策，其诉求唯品会公司披露具体哪些信息被用于用户画像，无事实和法律依据，一审法院不予支持。

（3）关于周X诉请披露的“对外分享的信息：共享给第三方的信息以及第三方的具体名称”。根据《唯品会隐私政策》的约定，唯品会公司可能会将用户的个人信息与其关联方、授权合作伙伴共享，合作伙伴包括商品或技术服务的供应商、第三方商家以及委托唯品会公司进行推广的合作伙伴。该隐私政策并未披露共享个人信息的关联方以及授权合作伙伴的具体名称，根据《个人信息保护法》第二十三条的规定，“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。”据此，唯品会公司有必要根据周X的申请披露与第三方共享个人信息清单，列明第三方的具体名称以及共享给第三方的周X个人信息，包括信息种类、信息内容、使用目的、使用场景和共享方式。

（4）关于周X所列清单中的“支付信息：与唯品会合作的第三方支付机构从唯品会收集到的账户信息”，该信息仍属于上述唯品会公司共享给第三方的个人信息范畴，唯品会公司应根据周彦聪的申请予以披露。

（5）至于周X所列清单的其它信息：姓名、出生年月日、电子邮箱；设备名称、移动应用列表、应用程序版本、语言设置、运营商网络类型等软硬件特征信息；GPS位置以及能够提供相关信息的WLAN接入点、蓝牙和基站；搜索内容、浏览器类型、访问日期、时间以及访问的网页记录等，唯品会公司未确认已收集以上个人信息，周X亦无证据证明唯品会存在收集行为，故周X主张查阅、复制以上个人信息，无事实和法律依据，一审法院不予支持。

三、唯品会公司是否侵害了周彦聪的查阅复制权，如侵权成立，唯品会公司应以何种方式保障查阅复制权的行使

（一）唯品会公司是否侵害了周X的查阅权和复制权

个人信息查阅复制权，系个人信息处理公开透明原则的具体要求，是个人对个人信息处理享有知情权的具体体现，也是保障个人信息决定权的重要前提。关于唯品会公司抗辩提出的个人信息查阅权“可诉性”的问题，《个人信息保护法》第五十条的规定：“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。”据此，个人的查阅复制权被个人信息处理者无理由拒绝后，个人有权寻求司法救济，通过向法院提起诉讼而请求排除妨碍。考量周X个人信息查阅权、复制权是否被侵害，应当从以下两个维度进行：（1）周X是否已行使查阅复制请求权；（2）唯品会公司是否存在无正当理由拒绝的行为。结合本案，一审法院具体分析如下：

（1）周X已行使查阅复制请求权

查阅复制权是个人在个人信息处理活动中的权利，但是，法律并未明确规定该权利行使的前提条件，对此，一审法院认为，个人只需要能够证明自己属于个人信息主体即可以行使查阅复制权。案涉周X注册的唯品会账号虽然未进行实名认证，但周X使用了其手机号码进行注册并绑定了账号，收货联系人手机号码亦与账号一致，且案涉周彦聪的手机号码已实名登记。根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》第六条规定，电话号码必须实名登记，据此，电话号码这一信息可以识别出特定的自然人。周X通过实名登记的移动电话联系了唯品会公司的客服，客服亦通过周X的来电核实到周彦聪的注册账号，因此，周X已经证明了其属于案涉账号的信息主体。

根据唯品会隐私政策的约定，用户在无法通过个人账户访问其个人信息或是使用产品过程中产生的其他个人信息时，可以通过拨打客服电话或者向唯品会隐私专职保护部门发送邮件的方式要求访问。周X根据隐私政策的规定，先后通过致电客服和发送邮件的方式提出了查阅复制其个人信息的请求，可认定其已向唯品会公司行使了查阅复制请求权。

（2）唯品会公司存在无正当理由拒绝周X行使查阅、复制权的行为

首先，周X通过唯品会客服查询个人信息，唯品会客服陈述“用户有填写的信息，可以在APP个人中心予以查看；对于用户没有填写的信息，唯品会是没有办法展示的”，但根据唯品会隐私政策以及唯品会公司一审庭审中所确认的，除了周X自行提供的个人信息，系统还会自动收集、生产信息，包括:设备信息（设备的型号、操作系统版本、唯一设备标识符）以及日志信息（订单信息、浏览信息、IP地址）。经过庭审勘验，可以确认周X通过唯品会APP无法查阅设备信息以及日志信息中的IP地址。《个人信息保护法》第四十五条第一款规定了个人不得行使查阅、复制的两种情形：其一，本法第十八条第一款规定“法律、行政法规规定应当保密或者不需要告知的情形”；其二，本法第三十五条规定“国家机关为履行法定职责处理个人信息，……告知将妨碍国家机关履行法定职责的”。显然，设备信息和IP地址并不属于以上规定的两种情形，唯品会公司应当予以告知。

其次，关于周X向唯品会公司个人信息专职保护部门发送邮件的请求，虽然周X未附有个人的身份信息，其注册账号亦未提供电子邮箱，但周X使用了其收货人姓名“XXX”作为邮件发送方，唯品会公司是可以向周X验证身份的。《中华人民共和国电子商务法》第二十四条规定：“电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序，不得对用户信息查询、更正、删除以及用户注销设置不合理条件。电子商务经营者收到用户信息查询或者更正、删除的申请的，应当在核实身份后及时提供查询或者更正、删除用户信息。”参考国家标准GB/T35273-2020《信息安全技术个人信息安全规范》第8.7条规定，“响应个人信息主体的请求，对个人信息控制者的要求包括：在验证个人信息主体身份后，应及时响应个人信息主体的请求，应在30天内或法律规定的期限内作出答复及合理解释，并告知个人信息主体外部纠纷解决途径。”《唯品会隐私政策》中亦约定“为了保障安全，我们可能需要您提供书面请求，或以其他方式证明您的身份，我们将在收到您反馈并验证您的身份后的15天内答复您的请求。”可见，不论基于法律法规规定、国家相关标准，还是唯品会公司与周X之间的约定，唯品会公司在接到周X请求时的首要工作是验证其个人信息主体身份，然后在合理的期间作出答复，但唯品会公司在收到周X发送的邮件后，并未作出任何处理，实质上是拒绝了周X的申请。且在周X对唯品会公司提起诉讼后，唯品会公司已经核实了周彦聪的个人信息主体身份，仍拒绝披露周X在APP个人资料页面无法查看的信息。综上，一审法院认定唯品会公司存在无正当理由拒绝周X行使查阅、复制权的行为。

（二）唯品会公司应以何种方式保障查阅复制权的行使

法律规定个人信息主体有权复制其个人信息，与之相对的就是个人信息处理者应当提供正在处理的个人信息的副本，这种副本的形式应当包括纸质的，也包括电子化的，其应当是结构化的、通用的及可读的。一审庭审中，唯品会公司陈述可以通过截屏的方式获取个人资料的个人信息，但截屏显然不属于通用的个人信息副本方式。鉴于唯品会公司在隐私政策中明确约定用户可以获取个人信息副本，因此，唯品会公司有必要提供一种通用的、可下载的个人信息副本方式，考虑到周彦聪以电子方式提出请求，唯品会公司也应当以常用的电子形式提供个人信息副本，如excel表格、word文档等。

综上，唯品会公司存在拒绝周X个人行使权利请求的行为，且拒绝理由不充分，周X向唯品会公司主张个人信息查阅、复制的请求权，有事实和法律依据，一审法院依法予以支持。根据周X的申请，唯品会公司应当披露的内容包括：1.唯品会公司确认收集的周X个人信息；2.嵌入唯品会APP第三方SDK的名称以及收集的周X个人信息基本情况；3.唯品会公司共享给第三方的周X个人信息基本情况（详见附表2）。

一审庭审中，周X确认其未使用过唯品会电商网站(××)，因此，其诉请唯品会公司披露在使用网站期间收集到的所有个人信息，无事实和法律依据，一审法院不予支持。

四、周X要求唯品会删除相关“非必要个人信息”的诉请能否得到支持

关于周X删除权的诉请，一审法院认为，首先应探究唯品会公司收集的相关个人信息是否取得了周彦聪的同意；其次应分析唯品会公司是否存在主动删除周X相关个人信息的情形。

首先，根据《个人信息保护法》第十三条第一款第一项规定，“取得个人的同意，个人信息处理者可处理个人信息。”唯品会公司提交的注册流程显示，用户注册唯品会APP时需“仔细阅读、充分理解《唯品会服务条款》《隐私条款》《唯品支付服务协议》中的条款内容后再点击同意注册”，周X注册了唯品会APP用户，即表示其已经阅读并同意了《唯品会隐私政策》。根据隐私政策约定，唯品会公司可根据用户的授权收集设备信息、网络日志、收集用户消费习惯形成用户画像等，且根据庭审勘验，周X可通过手机权限选择是否授权唯品会使用位置信息、相机、储存等信息。可见，唯品会公司虽然收集了周X主张的“非必要个人信息”，但取得了周X本人的同意。

其次，《个人信息保护法》第四十七条第一款规定：“有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：（一）处理目的已实现、无法实现或者为实现处理目的不再必要；（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；（三）个人撤回同意；（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；（五）法律、行政法规规定的其他情形。”本案并无证据表明唯品会公司存在以上应当主动删除周X个人信息的情形，周X述称其有理由怀疑唯品会公司收集“非必要个人信息”用于商业营销之用，并无证据予以证实。

综上，周X未提交证据证明唯品会公司存在应当主动删除其个人信息的情形，唯品会公司根据周彦聪的授权同意收集了相关个人信息，周X现要求唯品会公司予以删除，无事实和法律依据，一审法院对此不予支持。

二审法院认为

本案二审主要争议问题是，周X行使个人信息查阅复制权的范围和形式该如何确定。围绕唯品会公司的上诉请求、理由以及双方的具体争议问题，本院分析如下：

一、周X的诉讼请求是否包含了行使个人信息复制权

根据查明事实，周X的第一项诉讼请求为判令唯品会公司向其“披露”相关的个人信息。关于“披露”的含义，应当结合双方在诉辩过程中的陈述进行理解。一审中，周X提出唯品会公司可以通过书面的纸质方式，或是通过拷贝电子数据、发送电子邮件等方式向其披露个人信息，明确表达出需要唯品会公司向其提供个人信息副本的诉求，客观上是在主张行使其个人信息复制权。唯品会公司在一审中也明确提出“披露可以理解为是查询跟复制这两个权利”，对于一审法院关于“原告主张的个人信息查阅权、复制权以及删除权的权利性质是否具有可诉性”的争议焦点归纳，双方均没有表示异议。由此可见，一审中，唯品会公司对周X主张个人信息复制权的事实已充分了解。综上，本院认定，周X的诉讼请求包含了行使个人信息复制权，唯品会公司上诉主张一审判决超出周X的诉讼请求范围，不能成立，本院不予采纳。

二、本案是否可适用《个人信息保护法》

《个人信息保护法》的施行时间为2021年11月1日。虽然该法施行时间在本案一审最后一次庭审（2021年9月27日）之后，但本案为个人信息保护纠纷，案涉事实状态一直持续到《个人信息保护法》施行之后，且适用《个人信息保护法》可以更好地平衡双方的权利义务，有助于妥善解决本案纠纷。故一审法院适用《个人信息保护法》并无不当，唯品会公司上诉主张一审判决违反“法不溯及既往”原则，本院不予采纳。

三、周X是否可以提起本案诉讼

根据双方的诉辩主张，周X要求唯品会向其披露个人信息，实质上是主张个人信息查阅复制权。《个人信息保护法》第七条规定：“处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。”第四十四条规定：“个人对其个人信息的处理享有知情权、决定权。”第四十五条规定：“个人有权向个人信息处理者查阅、复制其个人信息；有本法第十八条第一款、第三十五条规定情形的除外。个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。”查阅复制权，既是个人信息处理公开、透明原则的重要体现，也是个人实现信息处理知情权的重要途径，同时是个人行使更正、补充、删除等其他个人信息权利的重要前提。个人信息查阅复制权是个人重要的法定权利，依法应予充分保障。个人对于个人信息处理者收集的个人信息，除存在依法不得查阅复制或权利滥用等情形外，均可依法行使查阅复制的权利，并不以个人信息泄露或存在泄露风险为前提条件。本案中，周X主张因担心个人信息泄露或个人信息有误，或唯品会公司将个人信息用于其他用途损害其利益，故向唯品会公司要求披露相关信息。此仅为周彦聪行使个人信息查阅复制权的动机，而并非必要前提条件。唯品会公司主张周X没有提供证据证明其个人信息发生了泄露，且已采取了相关措施保护用户个人信息，因上述事由并非周X行使个人信息查阅复制权的必要前提条件，本院对此不予确认。周X通过客服电话、邮件等方式要求唯品会公司向其披露个人信息未果，遂向一审法院提起本案诉讼，于法有据。唯品会公司抗辩称其未能核实周X的真实身份，且未收到周X发送的邮件。唯品会公司作为个人信息处理者，对于用户提出的查阅复制请求，应当采取相应的技术措施验证用户的真实身份。根据查明事实，周X曾通过致电客服、发送邮件等方式向唯品会公司主张权利，但唯品会公司并未告知周彦聪验证其真实身份的具体途径，也未在合理期间内对周X的诉求作出必要处理，显属不当。且案涉邮箱是由唯品会公司向用户提供的联系方式，唯品会公司有义务保障该邮箱能正常接收用户的邮件，在其未能证明周X发送的邮件存在不当内容，也从未在一审中否认收到该邮件的情况下，二审中以未收到该邮件为由进行抗辩，本院不予采纳。

四、唯品会公司应当向周X披露的个人信息范围

法律赋予个人查阅复制权，其目的是确保其对个人信息的知情权和保持应有的控制，避免因为非法收集、处理个人信息而致其人身财产权益遭受侵害。从实现查阅复制权的功能价值、保护个人合法权益的角度考虑，查阅复制权的客体不仅包含个人信息本身，还应当包括个人信息处理情况。本案中，周X作为唯品会APP的注册用户，对于该APP所收集的个人信息及相关处理情况，有权要求唯品会公司进行披露。由于周X并未对一审判决提起上诉，本院仅对一审判决确定的披露范围（附表2）进行评判：

（一）关于唯品会公司自认已实际收集且应当披露的个人信息

二审中，唯品会公司确认周X的“账户信息”中的账户注册时间、账号、头像，“个人基本信息”中的性别、手机号码，“设备信息”（设备型号、操作系统版本、唯一设备标识符），“日志信息”中的订单信息、IP地址，“收货信息”（收货人姓名、收货地址以及手机号码，及相应的订单号、所购商品或服务信息、支付的货款金额及支付方式），“购物习惯”等信息为其实际收集且应当披露的信息，本院对此予以确认。

（二）关于“昵称”与“居住地”信息是否应当披露

根据查明事实，周X在唯品会APP中的昵称为“唯品会会员”，虽然该昵称由唯品会APP自动生成，并非周彦聪自行填写，但根据《个人信息保护法》第四条关于“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”的规定，周X作为唯品会公司可识别的注册用户，其昵称仍属于个人信息范畴，至于该昵称为个人自行填写或是由系统自动生成，均不影响其性质的认定。据此，唯品会公司应当向周X披露其“昵称”信息。至于居住地信息，唯品会公司主张其未收集，周X亦确认并未填写该信息，根据现有证据亦不能认定唯品会APP收集了该信息，故本院认定唯品会公司不需要向周X披露其居住地信息。

（三）关于“浏览记录”及“与第三方（包括第三方支付机构）共享的个人信息”是否应当披露

关于周X在唯品会APP注册以来的浏览记录及与第三方（包括第三方支付机构）共享的个人信息，唯品会公司确认均有实际收集，但抗辩称若全部提供上述信息会使其承担高昂成本，也不符合行业惯例。对此，本院认为，浏览记录及平台与第三方共享的个人信息，是个人信息及其处理情况的重要组成部分，该信息对于个人判断个人信息是否被滥用具有重要意义，唯品会公司作为个人信息处理者，应当依法向周X披露上述信息相关情况。关于披露成本的问题，因唯品会公司并未能提供充分证据证明具体的披露成本，且披露成本高并非法定的免责事由，故对于唯品会公司抗辩，本院不予采纳。至于唯品会公司提出的行业惯例问题，因行业惯例仅能从一定程度上反应现有的个人信息保护水平，并非个人信息处理者是否履行法定义务的决定性因素，与唯品会公司是否应当披露上述信息并无必然关系。综上，唯品会公司应当向周X披露自周X在唯品会APP上注册之日起到本判决生效之日止的“浏览记录”及“与第三方（包括第三方支付机构）共享的个人信息”，后者应当包含信息种类、信息内容、使用目的、使用场景和共享方式等内容。考虑到唯品会公司履行上述披露义务需要耗费一定的成本和时间，本院将披露期限从一审确定的十日延长至三十日。

（四）关于“第三方SDK收集的个人信息”是否应当披露

第三方SDK收集的个人信息，是指唯品会公司合作伙伴通过在唯品会APP中嵌入SDK收集的用户个人信息。唯品会公司主张并未参与该类信息的收集、上传、储存过程，根据现有证据亦未能显示唯品会公司收集了上述信息，故周X要求唯品会公司向其披露第三方SDK收集的个人信息，依据不足，本院不予支持。

需要指出的是，第三方SDK嵌入APP，一方面提升了APP兼容性和灵活性，节约了APP开发成本，但同时也带来了个人信息安全风险。虽然本院未支持周X关于披露第三方SDK收集的个人信息的诉讼请求，但唯品会公司作为唯品会APP的运营方，仍应谨慎选择使用第三方SDK，通过加强动态监测和安全评估工作、完善与第三方SDK提供者的合作协议等有效举措，积极防范SDK安全漏洞、违法违规收集使用个人信息等风险，切实保障用户个人信息安全。

五、唯品会公司已向周X披露的个人信息

一审中，唯品会公司提交了《原告个人信息情况》，其中记载了周彦聪的部分个人信息。二审中，周X确认《原告个人信息情况》披露的周X个人信息，唯品会公司可以不再向其提供副本。故本院认定，对于《原告个人信息情况》记载的注册时间、账号、昵称、性别、手机号码等信息，应视为唯品会公司已向周X披露，唯品会公司不需要再提供相关副本。至于“收件人信息”中的收货人姓名、收货地址、收货手机号等，因该信息与相关的订单信息相关联，但《原告个人信息情况》中并未披露与此相关联的订单信息，故唯品会公司仍应当结合周X的订单信息对收货人姓名、收货地址、收货手机号等信息进行重新披露。

六、案涉个人信息的披露方式

如前所述，周X请求唯品会公司向其披露相关个人信息情况，实质上是在行使查阅复制权。唯品会公司上诉主张其已向周X提供了便捷的个人信息查阅途径，但根据查明事实，唯品会公司提供的查阅途径仅能查阅部分周X的个人信息，且对于复制权，一般应当理解为提供副本，仅提供查阅途径不能视为已满足周X复制个人信息的请求。一审法院判令唯品会公司以提供副本的方式向周X披露个人信息情况，该披露方式能同时满足周X查阅和复制的请求，本院予以确认。副本应当采取书面形式，可为纸介质或者电子介质。从减少个人信息处理者的披露成本、方便个人查阅的角度，一审判决唯品会公司向周X提供电子化的副本，并无不当，本院予以维持。电子化副本不限于Excel表格、Word文档等形式，唯品会公司应当选择便于查阅的方式向周X提供个人信息电子化副本。

综上，唯品会公司应当以电子副本的方式提供相关的个人信息及处理情况（详见附表3）供周X查阅复制。

随着数字化时代的到来以及数字经济的蓬勃发展，强化个人信息保护已经成为应对数字化挑战、保护个人合法权益、维护网络空间良好生态、促进数字经济健康发展的重要举措。从个人角度，落实法律赋予其在个人信息处理活动中的权利，可以有效防范个人信息被随意收集、违法获取、过度使用、非法买卖等风险，防止不法分子利用个人信息侵扰其生活安宁，危害其生命健康和财产安全；从个人信息处理者的角度，充分保障用户的个人信息合法权益，可以有效提升其服务水平，增强其在数字经济时代的市场竞争力，虽然短期内可能会增加个人信息处理者的运营成本，但对其长远发展具有重要的积极作用。据此，个人信息处理者应当把个人信息保护的理念融入处理活动和业务实践的全流程，在个人信息收集、储存、使用、加工、传输等环节预先考虑个人信息权益保障的需求，为全面、高效履行个人信息权益保障法定职责奠定基础。

唯品会公司作为互联网企业，根据法律及监管部门的要求，适时对平台隐私政策及相关附件进行修改完善，不断提升用户个人信息权益的保障水平，对此应当予以肯定。但从本案的事实看，唯品会公司的个人信息查阅复制机制仍存在进一步完善的空间。建议唯品会公司对照《民法典》《个人信息保护法》及相关监管要求，充分发挥自身技术条件，运用信息化技术，建立常态化、便捷化的个人信息查阅复制响应机制，不断降低成本，提升效率，匹配平台用户需求，切实全面保障用户的个人信息查阅复制权。

每天两块钱，实时获取全球数据合规风险预警

👇

招募讲师：欢迎加入DPOHUB课程平台

平台介绍：数据合规权威平台之一，数据法盟和数据保护官的专业粉丝超过10万，学员超过2万。
讲师收益：权威平台的免费宣传，塑造讲师个人职业品牌及影响力；收益共享权。
申请条件：只要在数据隐私、安全及治理等方面具有落地经验或理论积累，都可以申请加入。
授课方式：既可以是体系性课程（每讲20-30分钟），也可以是一次在线讲座（60-90分钟）。
申请方式：请将“简历、课程名称及大纲”发送到微信：heguilvshi 或邮箱：[email protected]

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。

来源: qq

点击查看作者最近其他文章