Redian新闻
>
判决书全文 | 北京互联网法院:强制收集用户画像用于定推构成侵权

判决书全文 | 北京互联网法院:强制收集用户画像用于定推构成侵权

公众号新闻
手把手教您如何搭建企业合规体系!

近日,北京互联网法院审结了APP强制收集用户画像信息侵权案。该案中,原告罗某认为被告运营的软件在用户首次登录时强制收集用户画像信息用于个性化推送,侵犯其个人信息权益。法院经审理认为,涉案软件在首次登录界面收集用户画像信息,未设置“跳过”“拒绝”等路径,属于强制收集,构成侵权,依法判决被告涉案软件运营者承担相应侵权责任。宣判后,被告上诉,二审维持原判,目前该案已生效。


综合自北京互联网法院、网络法实务圈


案情回顾


原告罗某诉称,被告运营的软件在未告知隐私政策的情况下,要求用户必须填写“姓名”“职业”“学习目的”“英语水平”等内容才能完成登录,属于强制收集用户画像信息。同时,原告还主张被告存在未经同意向其发送营销短信、向关联软件共享信息等行为,侵犯其个人信息权益。原告诉至法院,要求法院判令被告涉案软件运营者向原告提供个人信息副本、停止侵权、删除个人信息、赔礼道歉并赔偿损失。

被告涉案软件运营者辩称,由于被告服务的性质,需根据不同用户需求,为用户推荐合适的服务内容,因此,收集相关标签是提供服务所必需,并未违反个人信息收集的必要性原则,且该信息是原告主动填写,原告通过自己主动作出的行为同意了被告的信息收集行为。

法院查明,原告在登录涉案软件时,进入账号登录界面输入用户名和密码,点击登录,即出现若干问答界面,需要对用户“职业”“学习目的”“英语水平”等内容进行填写,填写完成后,还需填写个人基本信息界面,输入中英文名等必填内容才能完成注册并进入首页。上述过程中并无“跳过”选项,亦无关于同意收集个人信息的提示。原告另行取证,在新用户注册登录时,在上述过程中出现若干问答界面前,会出现个人信息收集授权同意界面,用户在勾选同意后方可进入下一界面。

法院经审理认为


从相关行业规范上看,《个人信息安全规范》明确规定,个性化决策推送信息不应作为必要或唯一的信息推送模式,需同时提供不针对个人特征的选项或提供便捷的拒绝方式。据此,被告不得以仅提供个性化决策推送信息这一种业务模式为由,主张收集用户画像信息为提供服务的前提。

从涉案软件功能设置本身上看,履行合同所必需的范围,应限定在软件运营者提供的基本服务功能,或用户在有选择的基础上自主选择增加的附加功能。被告抗辩其针对不同用户需求推送个性化信息,虽可视为增进用户体验之举,但不能据此认定此为基础功能或用户必选功能而作为履行合同所必需。

涉案软件在用户首次登陆界面要求用户提交画像信息,未设置“跳过”“拒绝”等不同意提交相关信息外的登陆方式,使得提交相关信息成为成功登录、进入首页使用软件的唯一方式。此种产品设计将导致不同意相关信息收集的用户为实现使用软件的目的,不得不勾选同意或提交相应的信息。此种同意或对个人信息的提供,是在信息主体不自由或不自愿的情况下,强迫或变相强迫地作出,不能被认定为有效同意。

综上,被告收集用户画像信息的行为并非“履行合同所必需”,亦未征得用户有效同意,构成侵权。

同时,被告未经同意向原告发送营销短信、向关联软件共享信息亦构成侵权,法院判决支持原告行使查询权和复制权。


裁判结果


最终,法院判决被告涉案软件运营者向原告罗某提供个人信息副本、删除个人信息并停止个人信息处理行为,赔礼道歉并赔偿维权支出2900元。


附判决书全文


北京互联网法院

民 事 判 决 书

(2021)京0491民初5094号

原告:罗某

委托诉讼代理人:麻策,浙江垦丁律师事务所律师

委托诉讼代理人:王琼飞,浙江垦丁律师事务所律师。

被告:北京大生知行科技有限公司,住所地北京市海淀区上地东路9号得实大厦。

法定代表人:黄佳佳,董事长。

委托诉讼代理人:**男,该公司员工。

委托诉讼代理人:**北京**律师事务所律师。

原告罗某与被告北京大生知行科技有限公司(以下简称大生知行公司)隐私权、个人信息保护纠纷一案,本院于2021年1月27日立案后,依法适用普通程序,由本院审判员姜颖、孙铭溪、颜君组成合议庭,于2021年11月24日对本案公开开庭进行了审理。原告罗某委托诉讼代理人王琼飞、麻策,被告大生知行公司的委托诉讼代理人罗***到庭参加诉讼。本案现已审理终结。

原告罗某向本院提出诉讼请求:1.判令被告依法向原告以书面形式提供所处理的全部个人信息副本;2.判令被告立即停止使用并删除原告尾号为8688手机号码账号中的全部个人信息,包括但不限于原告的手机号码及密码关联原告“上班族”“商务职场”“会说简单单词”等画像标签,以及订单课程信息;3.判令被告立即停止并删除原告尾号为0038手机号账号中的全部个人信息,包括但不限于原告手机号及密码,关联原告幼儿的“幼儿园大班”“会说简单单词”及学习目的等相关画像标签,以及订单课程信息;4.判令被告立即停止超范围使用原告个人信息,包括立即停止将其“51Talk”产品中的账号信息在其关联产品“多说英语”app和“哈沃在线外教班课”中超范围使用,立即停止将其“51Talk”产品中的订单信息在其关联产品“多说英语”app中超范围展示和使用;5.判令被告立即停止向原告尾号为8688和0038的手机号码发送短信和拨打电话;6.判令被告在“51Talk”产品首页显著位置(www.51talk.com和“51Talk”产品移动端)向原告公开道歉(道歉内容需经法院审核且经原告同意后发布);7.判令被告赔偿原告损失(含合理费用),共计5000元。诉讼中,原告变更诉讼请求第7项为,赔偿原告合理费用2900元。

事实及理由:2021年1月15日,在未经原告明确授权同意的情况下,被告擅自收集原告尾号为8688和0038的手机号码,并为原告配置了“51Talk”产品的账号密码,发送至原告手机号码。此外,在未经原告明确授权同意的情况下,被告将其“51Talk”产品中的账号信息在其关联产品“多说英语”app和“哈沃在线外教班课”中超范围使用,也将其“51Talk”产品中的订单信息在其关联产品“多说英语”app中超范围展示和使用。原告认为,被告上述行为已经严重侵害了原告的个人信息权益和私人生活安宁权,违反了《中华人民共和国民法典》第六章“隐私权和个人信息保护”的相关规定,导致原告相关损失。故原告诉至法院。

被告大生知行公司辩称,不同意原告的全部诉讼请求。第一,被告已经依法提供了有关原告账号的全部个人信息副本即被告的后台信息截图,已经删除使用涉案手机号所注册的账号,已经停止向原告拨打电话、发送信息。第二,被告并未侵害原告的隐私权,也未违法处理原告的个人信息,被告不应向原告赔礼道歉、赔偿损失。首先,被告没有违法处理原告个人信息、侵害其生活安宁权的主观故意。涉案手机号是由被告合作的线下体验店所收集。线下体验店利用被告的CRM系统为原告开通了账号,被告系统因此存储了原告的手机号信息并发送开通账号的提示信息。由此可见,被告并没有主动收集原告所使用的手机号,且被告系统也只是根据体验店的开通账号的情况向涉案手机号发送开通账号提醒,并没有违法收集、处理原告信息、侵害原告生活安宁权的主观故意。其次,被告根据线下体验店的申请仅向被告所使用的2部手机共发送3条短信,且上述短信为同一时间发送,并未反复打扰原告的生活安宁,也不会给原告造成精神损害和财产损害。因此,被告不同意原告的赔偿损失及赔礼道歉的诉讼请求。

当事人围绕诉讼请求依法提交了证据,本院组织当事人进行了证据交换和质证。根据当事人陈述和证据,本院认定证据和事实如下:

一、关于原被告主体基本情况

(一)关于原告主体基本情况

原告提交中国联合网络通信有限公司***营业厅业务受理单、发票等证据,用以证明其为131****8688手机号的使用用户。被告对该证据真实性认可、证明目的不认可。鉴于业务受理单中明确载明原告用户号码为131****8688,故本院对原告该项证明事项予以采信,认定罗某为131****8688手机号的使用用户。

原告提交联通营业厅用户资料查询界面证据,用以证明其为130****0038手机号的使用用户。被告对该证据真实性予以认可,并认可原告为该手机号用户。据此,本院认定罗某为130****0038手机号的使用用户。

(二)关于被告主体基本情况

根据工业和信息化部网页查询信息,网站www.51talk.com的主办单位为大生知行公司,审核日期为2019年7月。庭审中,被告认可应用软件“多说英语”“哈沃英语”均为被告51Talk平台旗下产品,由被告运营。根据被告陈述,目前,上述三款软件均已停止运营,升级为“51talk素养”软件,“51talk素养”软件在被告的管理和控制之下。

根据原告提交的被告网页介绍内容显示,“51Talk”提供在线青少儿英语课程,主要是针对青少学员设计的课堂体验;“多说英语”主要提供实用场景课程、实用口语话题社区等服务;“哈沃英语”主要提供面对5至12岁少儿的在线外教班课。“51Talk”网站相关介绍页面还介绍到,“专为孩子打造的英语学习平台,网络连接专线全球数百个网络节点,同一时段支持上百万节课流畅稳定进行,独立研发先进音视频传输技术,老师和学生端均可享受清晰流畅的课堂体验”。“多说英语”软件界面显示,全部课程的“热门分类”下有“日常生活”“出国旅行”“影音娱乐”等类别,具体课程包括“工作了,毛绒玩具收起来(难度:新手级)”“结账要优雅(难度:新手级)”“行李寄存(难度:提高级)”等,英语角中有“看漫画学俚语”“焦虑症自测,五条以上你就中招啦!”等文章,听英语的“热门分类”栏目下有“经典英文歌”“名人演讲”“经典电影台词”等信息。

二、关于被控侵权行为相关的事实

原告主张被告存在以下三项侵权行为:

第一,被告未经同意收集原告手机号,为原告分配登录涉案软件的账户和密码,向原告发送营销短信,侵犯原告隐私权和个人信息权益;

第二,被告运营的51Talk网站和“多说英语”软件未经告知个人信息收集政策,强制收集用户画像信息,侵犯原告个人信息权益;

第三,被告未经同意向其关联产品“多说英语”和“哈沃英语”提供账户信息和订单信息,侵犯原告个人信息权益。

(一)关于第一项被控侵权行为

1.关于原告主张的事实

原告于2021年1月19日通过真相数据保全中心、司法联盟链对以下截屏进行证据保全,用以证明被告存在未经同意收集手机号、分配账户和密码、发送营销短信等行为。该截图载明,2021年1月15日,原告手机收到尾号0773发送者发送短信,“【51talk】学员您好,已为您分配51talk账号:131****8688,密码:25**81。您可以在官网进行密码修改”,以及尾号0008发送者发送短信,“【51Talk】学员您好,已为您分配51talk账号:130****0038,密码:78**55。您可以在官网进行密码修改。回T退订”,和“【51Talk】感谢您注册51talk!您已获得一节在线1对1外教课,登录官网或APP,即可约课体验!……祝您学习愉快!”。2021年3月24日,原告手机收到尾号0008发送者发送短信,“【51Talk】物流派送通知:您家宝贝1对1纯外教课19元课包礼包已送达,请马上签收。u.51tk.com/nhN。回T退订”。此外,原告主张“51talk素养”软件还向原告发送过注销短信,但并未就此举证。

被告对原告上述证据真实性认可、证明目的不认可。本院对上述证据真实性及其证明的事实予以确认,认定被告曾于2021年1月15日向原告发送3条短信,于2021年3月24日向原告发送1条短信。

2.关于被告抗辩的事实

针对原告主张的第一项侵权行为,被告抗辩,涉案手机号是由被告合作的线下体验店收集,线下体验店使用被告CRM系统开通了原告体验课账号、发送提示短信,并提交如下证据:

(1)《51talk体验店授权代理合作协议》(以下简称《合作协议》),该协议甲方为大生知行公司,乙方为某市某区……教育培训有限公司,协议签订时间为2020年12月21日。

(2)经电子存证保全取证的被告CRM系统后台操作视频和相关截图,上述内容显示,打开51TalkCRM系统,进入“销售管理”-“学员搜索”页面,在“手机”一栏中输入131****8688,出现该手机号对应条目。

进入“销售管理”-“学员搜索”页面,在“手机”一栏中输入130****0038,出现该手机号对应条目。

原告对协议真实性予以认可,对CRM系统操作真实性不予认可,认为被告不能保证证据来源,以及取证是否完整,即使存在线下体验店收集一事,线下体验店的收集行为亦未经过原告同意。经询,原告表示,其从未去过上述线下体验店或进行过相关授权行为。本院结合前述证据取证和录屏的情况对其形式真实性予以确认,就该证据所涉待证事实,因需结合其他证据及举证责任进行认定,本院在后详述。

庭审中,法庭询问被告,线下体验店收集原告信息是否有原告的授权,被告说一般情况下应该有原告填写手机号的底单,但被告未就此提交证据,并解释道,负责收集原告信息的涉事员工已离职,故无法查清当时具体情况。

3.双方当事人针对第一项侵权行为的意见梳理

第一,关于该项行为涉及的信息内容和属性。原告主张手机号码和配置的账号密码均可作为识别个人身份的信息,属于个人信息。被告认为单纯的手机号,并无原告姓名,不构成个人信息,账号密码系被告为原告配置,也非原告个人信息。

第二,关于收集手机号和配置账号的行为是否侵权。原告主张被告未经同意收集手机号属于非法收集个人信息行为,为原告手机号配置对应账号密码的行为属于处理个人信息的行为。被告抗辩,手机号由其合作的线下体验店收集,其并无收集原告个人信息的主观故意。对此,原告认为,即使个人信息来源于第三方公司,被告和第三方公司出于共同的目的处理个人信息,被告应直接承担责任。

第三,关于发送短信的行为是否侵权。原告主张,根据民法典的规定,只要实施未经同意发送短信的行为,及构成对原告私人生活安宁的侵害,而不需考虑损害程度。与此同时,由于互联网经济为注意力经济,注意力是商家争夺的稀缺资源,发送营销短信会唤醒屏幕亮起,起到吸引注意力的作用,而面对营销短信,原告需要耗费精力查看手机,并查询配置账号的原因,陷入不确定性的不安状态,据此对原告产生了精神方面困扰。被告认为,涉案短信为线下体验店所发,其并无侵害原告生活安宁的主观故意,且仅发送了3条短信,并未反复发送短信侵扰原告生活,也未给予原告造成任何精神和财产损失,故并不构成对原告隐私权的侵害。

(二)关于第二项被控侵权行为

1.关于原告主张的事实

原告于2021年1月20日通过电子存证方式对以下录屏和截屏进行证据保全,用以证明被告运营的“51talk”网站和“多说英语”软件存在未经告知个人信息收集政策,强制收集用户画像信息的行为。上述录屏显示:打开www.51talk.com网站,进入账号登录页面,输入131****8688及其密码,点击登录,进入下一页面,出现若干问答选择界面:1.“您注册51talk的目的是?”,“我的孩子要学英语”“我要学英语”;2.“请填写您的详细信息,以便我们提供适合您英语水平的课程”,“您的职业:上班族”“大学生”“高中生”,“学习目的:综合英语能力”“学习目的:商务职场”“在职面试”“出国旅行”“雅思”“托福”;“英语水平:没学过英语”“会说简单单词”“能说完整句子”“能流利交流”,点击完成,进入填写个人基本信息界面,包括输入英文名、真实姓名、手机号、头像、性别、生日等内容,其中英文名和真实姓名为加星号必填内容,英文名后载有“长度2-20位仅限字母,便于外教上课时称呼您”,真实姓名后面载有“请正确填写真实姓名,作为获奖级别证书或邮寄礼物使用”,填写完毕后,完成注册过程。

打开www.51talk.com网站,进入账号登录页面,输入130****0038及其密码,点击登录,进入下一页面,出现若干问答选择界面:1.“您注册51talk的目的是?”,“我的孩子要学英语”“我要学英语”;2.“请填写孩子的学习情况,以便我们提供适合您孩子英语水平的课程”,“学龄阶段:幼儿”“小学生”“初中生”,“学习目的:提高听说能力”;“英语水平:没学过英语”“会说简单单词”“能说完整句子”“能流利交流”,点击完成,进入填写个人基本信息界面,包括输入英文名、真实姓名、手机号、头像、性别、生日等内容,其中英文名和真实姓名为加星号必填内容,英文名后载有“长度2-20位仅限字母,便于外教上课时称呼您”,真实姓名后面载有“请正确填写真实姓名,作为获奖级别证书或邮寄礼物使用”,填写完毕后,完成注册过程。

打开“多说英语”软件,进入账号登录页面,输入131****8688及其密码,点击登录,进入下一页面,出现若干问答选择界面:1.“选身份”,“小学”“初中”“高中”“大学”;2.“选兴趣”,“高中教材”“校园日常”……“雅思”。

同时,原告提供正常注册过程录屏:打开www.51talk.com网站,原告另行使用尾号为7317手机号账户登录,出现“我已阅读并同意《用户协议》《个人信息保护政策》《未成年人个人信息保护政策及监护人须知》”选择栏,勾选同意后进入下一页面,出现“您注册51talk的目的是?”等信息。

被告对原告上述证据真实性认可、证明目的不认可。本院对上述证据真实性及其证明的注册登录过程情况的事实予以确认。

庭审中,被告陈述,正常注册过程中,用户须勾选《用户协议》等内容才能登录软件,但由于线下体验店已向原告分配了账户和密码,故原告在登录时不需进行注册,未出现《用户协议》告知页面,直接进入登录页面。被告表示,按照被告内部规定,这种情况下一定要保留相关证据,但经与线下体验店核实,并未保留与此案原告的相关沟通证据。经询,双方认可上述登录页面中的问题选择界面,须选择答案后才能完成登录过程进入软件使用页面主页,不选择相关信息则无法继续登录过程,并无“跳过”选项。

2.双方当事人针对第二项侵权行为的意见梳理

第一,关于该项行为涉及的信息内容和属性。原告主张登录过程收集的内容为画像标签信息,该信息是标识为原告的信息,且被告收集过程也明确提示要求填写的内容为“您的信息”,故属于其个人信息。被告认为该信息并不具有识别性,不属于个人信息,且原告填写信息系出于取证所需,并非真实信息。

第二,关于行为是否侵权。原告主张上述画像标签信息并非被告提供服务所必须,超出了收集个人信息必要的范围,且被告通过软件界面设计,在登录环节必须填写信息才能进入使用界面,强制收集原告身份和兴趣信息,构成违法收集。对此,被告认为,被告作为英语课程服务提供者,针对不同年龄、不同水平的用户需求,开设不同的英语课程,只有了解了年龄段、英语水平、学习需求等信息,才能精准第为用户推荐合适的课程服务。因此,被告设置相关标签是提供服务所必须的,并未违反信息收集的必要性原则。再者,上述信息是原告主动填写,原告通过自己主动作出的行为同意了被告收集其所填写的相关信息。

(三)关于第三项被控侵权行为

1.关于原告主张的事实

原告于2021年1月20日、24日通过电子存证方式对以下录屏和截屏进行证据保全,用以证明被告未经同意向其关联产品“多说英语”和“哈沃英语”提供账户信息和订单信息。上述录屏显示:

(1)与131****8688相关的内容:

2021年1月19日,打开51talk“www.51talk.com”网站,进入登录页面,输入131****8688及其密码,点击登录,进入软件使用界面。“您注册51talk的目的是?”“请填写您的详细信息……”等选项。站内信显示2021年1月15日“欢迎来到51talk!您现在即可预约一节免费的外教一对一体验课!”等内容。

2021年1月19日,打开“多说英语”app,进入登录页面,输入131****8688及其密码,点击登录,进入软件使用界面。

2021年1月20日,打开“哈沃”www.51hawo.com网站,进入登录页面,输入131****8688及其密码,点击登录,出现“Hi,student进入我的会员中心”,出现“新手指南”等内容。

2021年1月24日,打开51talk“www.51talk.com”网站,登录131****8688账户,选择预约“我的玩具会唱歌”“买房还是租房”等福利直播课。之后,打开“多说英语”app,登录131****8688账户,点击“我的课表”,出现“我的玩具会唱歌”“买房还是租房”等课程信息。

(2)与130****0038相关的内容:

2021年1月20日,打开51talk“www.51talk.com”网站,进入登录页面,输入130****0038及其密码,点击登录,进入软件使用界面。“您注册51talk的目的是?”“请填写您孩子的学习情况……”等选项。站内信显示2021年1月15日“欢迎来到51talk!您现在即可预约一节免费的外教一对一体验课!”等内容。

2021年1月24日,打开“多说英语”app,进入登录页面,输入130****0038及其密码,点击登录,进入软件使用界面,并显示“51talk账号登录成功”“51talk和多说英语已实现账号互通,需统一使用51talk账号登录”。

2021年1月24日,打开“哈沃”www.51hawo.com网站,进入登录页面,输入130****0038及其密码,点击登录,出现“Hi,student进入我的会员中心”。

2021年1月24日,打开www.51talk.com网站,登录130****0038账户,选择预约“故事发生的地方”等福利直播课。此后,打开“多说英语”app,登录130****0038账户,点击“我的课表”,出现“故事发生的地方”等课程信息。

被告对原告上述证据真实性认可、证明目的不认可。本院对上述证据真实性及其证明的取证过程呈现的事实予以确认。

2.关于被告抗辩的事实

针对原告主张的第三项侵权行为,被告抗辩,更新至2020年6月1日的《51Talk用户协议》载明,我方平台指我方平台网站(域名为www.51talk.com)及相关客户端;我方平台经营者指北京大生知行公司及其关联公司;我方平台产品及服务是指我方平台经营者基于互联网,包含我方平台网站、客户端等在内的各种形态(包括未来技术发展出现的新的服务形态)向您提供的各项产品及服务。《个人信息保护政策》中首部载明,本个人信息保护政策适用于51Talk的所有相关产品或服务,如北京大生知行科技有限公司关联公司的产品或服务中使用了51Talk的产品或服务,但未建立独立的个人信息保护政策的,则本政策同样适用于该产品或服务……51talk产品和/或服务,指51Talk通过下述途径向您提供你的英语培训等产品及服务:包括但不限于51Talk运营网站,移动应用,客户端,相关微信开放平台账号或小程序。因此被告基于上述用户协议及个人信息保护政策,可在51talk关联产品中共享信息。

3.双方当事人针对第三项侵权行为的意见梳理

第一,关于该项行为涉及的信息内容和属性。原告主张“51talk”共享给“多说英语”和“哈沃英语”的信息包括账户密码和订单信息,该信息属于个人信息。被告对此不予认可。

第二,关于行为是否侵权。原告主张“51talk”“多说英语”和“哈沃英语”三款软件产品设计和用户定位完全不同,“51talk”是一对一外教,主要针对青少年学员,“哈沃英语”是一对多教授英语,“多说英语”针对全年龄段,还有用户社交功能。因此,用户使用一款软件,并无跨越使用另一款软件的期待,被告将“51talk”的信息共享给“多说英语”和“哈沃英语”的行为应属于向他人提供信息的行为,应当遵循合法正当必要原则,且征得用户的单独同意。对此,被告认为,三款软件属于互补的关系,用户根据其需要可同时使用三款产品,产品设计时对三款软件账户和密码实施互通是为了方便用户,避免用户使用不同软件时发生混淆输错密码,这是行业内普遍做法。

经询,被告表示三款产品可以独立使用,在首次使用51talk账户密码登录“多说英语”软件时,页面并无账户信息共享的授权页面。

三、关于原告诉讼请求相关的其他事实

(一)关于查阅复制个人信息

原告主张,依据相关法律规定和被告的承诺,被告应在十五日内以书面形式提供处理其全部个人信息的副本,但被告未履行上述义务,构成侵权。原告提供被告《个人信息保护政策》予以证明,该政策第八项“您的权利”中第6条载明,“我们将根据您的书面请求,为您提供以下类型的个人信息副本:您的个人基本资料,个人身份信息。您可以随时联系我们的客服人员,我们将在十五秒钟回复您的请求。但请注意,我们为您提供的信息副本仅以我们收集的信息为限。”,第8条载明“为保障安全,您可能需要提供书面请求,或以其他方式证明您的身份。我们可能会先要求您验证自己的身份,然后再处理您的请求。我们将在十五个月作出回应。如您不满意,还可以通过以下途径投诉:发送邮件到[email protected],或拨打我们的客服电话4000-51-51-51。对于您合理的请求,我们原则上不支付费用,但对多次重复,超过合理限度的请求,我们将视情承认一定成本费用。”

关于查询信息范围,原告要求被告提供其收集和原告提供的全部个人信息。被告表示,其提供的CRM系统后台截图中显示的涉案信息即为所有其收集存储的原告个人信息,其已通过提交证据的方式向原告提供。对此,原告表示不认可,认为上述信息并不完整,例如,画像标签信息与被告软件页面所收集的内容并不一致,且截图内容模糊,难以看清。被告回应,并非所有原告填写的信息都会收集。原告不认可被告该项意见,但表示,为解决争议,同意以被告当庭承诺的情况为准,但认为被告在今后的运营中应受此承诺的约束,如今后发现被告存储有CRM系统之外的个人信息,应承担相应责任。

经询,原告表示其诉讼前的调解过程曾提出该项查询复制要求,但未就此举证,原告称其查阅复制的目的是为知晓其个人信息被处理的具体情况,以确定删除范围。另查,本案起诉书于2021年2月3日向被告送达,被告于2021年5月13日在提交诉讼证据时,提交了包含原告个人信息的CRM系统截图。

(二)关于停止侵权、删除个人信息和赔礼道歉

原告主张其在诉讼中仍收到被告发送短信,对于被告是否还会继续侵权,存在不确定性,故要求被告停止向原告手机发送短信。对此,被告表示,被告已将原告账户注销,删除包括原告手机号在内的所有信息,故不可能再向原告发送短信。

原告主张被告违法收集和处理其个人信息,应当予以删除。被告表示,目前已删除原告全部个人信息,注销原告账户。原告认可其账户已无法登陆。诉讼中,本院组织双方对被告后台CRM系统进行勘验。

此后,本院再次组织双方对被告后台CRM系统进行勘验,搜索上述两个号码,均在搜索栏目中可自动联想显示该号码,但搜索后显示无对应内容。对此,原告表示对于真实性、合法性无异议,但是依然表示存在自动联想功能,并主张可能除此端口外,另有其他的数据库存有原告的信息。对于被告应如何展示后台数据的方式,原告表示应由被告尽到举证责任,原告无能力提出举证方式。

原告主张被告对于三项侵权行为,以及侵害原告查询权、删除权等行为,在51talk网站和软件首页进行公开赔礼道歉。对此,被告表示,仅发送3条信息,对原告的损失轻微,原告亦无证据证明造成的损害范围,故在网站和软件首页位置道歉缺乏依据。

(三)关于赔偿损失

原告主张赔偿损失范围包括费用**元、取证费1400元。

关于律师费,原告提供律师费发票,金额为**元。

关于取证费,原告提供浙江**科技有限公司“信息技术服务费”发票,金额为1200元;真相网络科技(北京)有限公司“专业技术服务费”,金额为200元。

被告对上述证据真实性认可,证明目的不认可,认为涉案行为并未对原告造成损害,不应进行赔偿。本院对上述证据真实性予以确认,对是否应据此予以赔偿,在后文一并详述。

本院认为,结合各方当事人的诉辩意见及在案证据,本案争议焦点为,一、被控侵权行为是否侵犯原告隐私权和个人信息权益;二、原告主张的各项诉讼请求是否成立。

一、被控侵权行为是否侵犯原告隐私权和个人信息权益

原告主张被告存在以下三项侵权行为:第一,被告未经同意收集原告手机号,为原告分配登录涉案软件的账户和密码,向原告发送营销短信;第二,被告运营的51Talk网站和“多说英语”软件未经告知个人信息收集政策,强制收集用户画像信息;第三,被告未经同意向其关联产品“多说英语”和“哈沃英语”提供账户信息和订单信息。由于上述三项行为产生于相对独立的信息处理阶段,具有相对独立的处理目的和方式,本院分别予以评述。

(一)关于第一项被控侵权行为

围绕第一项侵权行为,双方就手机号是否属于个人信息、被告行为是否违法、是否构成侵权均存在争议,本院逐一评述如下:

1.单独的手机号是否构成个人信息

原告主张的收集手机号和为手机号配置账户密码的行为,均为围绕手机号进行的处理行为,而当事人双方对手机号是否属于个人信息存在争议,故需先明确手机号的属性。

《中华人民共和国民法典》(以下简称《民法典》)第一千零三十四条第二款规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《民法典》采用抽象定义加列举的方式明确了个人信息的概念,并直接将电话号码列入个人信息的列举范围。

具体到本案来看,根据手机作为个人移动通信终端设备使用的日常惯例,手机号码与特定身份使用者往往具有较强的一一对应关系,特别是在我国已实行手机号码实名制的背景下,单独的手机号在通常情况下即可达到直接识别特定自然人的效果。本案中,原告为涉案期间两个手机号实名登记的使用者,涉案手机号码与原告建立了对应关系。立法关于个人信息概念语境中的“识别”仅需达到识别特定自然人的程度,本案中,基于涉案手机号与原告作为特定自然人之间的一一对应关系,已达到将原告从众多自然人中区分进而特定化的程度。对于被告的抗辩意见,单纯的手机号未关联原告姓名,不构成个人信息,本院认为,识别特定自然人并不一定要求达到知晓该自然人的姓名的程度。因此,单独通过涉案手机号足以达到直接识别原告特定身份的程度。

综上,本院认定涉案两个手机号构成原告个人信息,原告有权据此主张相关权益。

2.被告是否存在收集原告手机号、分配对应账户和密码、发送短信的行为

根据原告手机收到被告发送分配账户密码信息的既有事实,结合短信发送的一般技术原理、短信营销的商业过程,可推断存在以下信息处理行为:获取原告手机号码——为该手机号配置对应账户和密码——向原告手机发送通知短信。双方对上述过程不持异议,但对实施上述行为的主体存在争议,故需先确定由谁实施了上述行为。

根据《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第九十一条第(一)项的规定,主张法律关系存在的当事人,应当对产生该法律关系的基本事实承担举证证明责任,以及此司法解释第一百零八条之规定,对负有举证证明责任的当事人提供的证据,人民法院经审查并结合相关事实,确信待证事实的存在具有高度可能性的,应当认定该事实存在。对一方当事人为反驳负有举证证明责任的当事人所主张事实而提供的证据,人民法院经审查并结合相关事实,认为待证事实真伪不明的,应当认定该事实不存在。提供证据的责任,应根据当事人的主张,结合证据特点、当事人的举证能力、证据距离等因素确定,并有可能因当事人的实际攻防情况在当事人之间转移。

原告主张被告实施了上述行为,被告对此持有异议,主张涉案手机号码为其合作的线下体验店收集,该体验店在被告运营的CRM系统中开通账户并发送了短信。本案中,原告按照侵权法律关系提起诉讼,则应对被告行为符合侵权责任的要件承担证明责任。被告是否实施了被控侵权行为作为侵权纠纷的要件事实之一,应由原告进行举证。原告已就被告向其发送短信的事实予以举证,而对于收集手机号码和分配账户等系列信息处理行为,原告作为普通网络用户一般仅能通过其持有的手机,对可感知、可接触的前述行为的结果进行举证,对信息后台处理运转等过程事实的举证能力较弱。也即,原告客观上无从知晓谁、用何种方式实施了上述行为,要求原告对谁实施了上述行为进行举证客观上难以实现。而反观被告一方,其作为CRM系统的控制方,对该项事实举证具有更强的技术优势。且现有证据已表明系由其控制的CRM系统实施了利用手机号码发送账户分配信息短信的行为,故可推知相关手机号码和账户配置情况的信息来源在被告所控制范围之内,被告理应知晓。故本院综合考虑双方的攻防意见、证据距离、举证能力等因素,认为原告已完成了对其主张事实的初步举证,反驳原告主张的行为意义上的举证责任从而转移至被告一方,被告对其关于手机号码和账户信息来源于他人的主张需进一步举证。

为反驳原告主张之事实,被告提供了《合作协议》、CRM系统视频和截图等反证。本院认为,CRM系统由被告运营控制,被告未就该系统存在被告之外其他使用人等事实进行举证,虽《合作协议》载明被告与线下体验店存在业务合作关系,但仅凭CRM系统截图中载明的“线下体验店宁波海曙”难以认定系由此线下体验店操作该系统实施的涉案行为。退一步讲,即使如被告所述,系由线下体验店操作CRM系统,上传手机号码并发送账户通知短信,根据被告与线下体验店《合作协议》表明,该线下体验店是在被告授权之下实施的51Talk相关产品销售行为,而被告直接面向用户提供51Talk产品并控制管理CRM系统,为可以自主决定相关个人信息处理目的和处理方式的主体。虽协议中约定线下体验店对其违反法律法规的行为自行承担责任,但该约定仅有对内效力,不影响个人信息处理者对外应承担的责任。故被告仍应作为实施前述行为的个人信息处理者独立承担相应责任。

3.前述行为是否侵犯原告个人信息权益

根据《民法典》第一千零三十五条第(一)项的规定,处理个人信息应遵循合法、正当、必要原则,不得过度处理,并符合下列条件:征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外。该规定为个人信息处理行为明确了规范指引。个人信息的处理包括围绕着个人信息开展的各种行为、活动,本案涉及的获取手机号码、为手机号配置对应账户和密码、发送通知短信等行为属于收集、存储、使用、加工等处理个人信息的行为,应遵循个人信息处理的相关规定。从该规定可见,个人信息处理在遵循合法、正当、必要原则的同时,还需符合“知情-同意”等具体化条件,也即,个人信息处理的三原则与处理规则的具体要求是并用关系,不能以符合上述部分条件来排除其他规则的适用。故在存在具体化条件的情况下,可优先以其作为判断依据。同时结合双方诉辩理由,此处需首先判断被告是否获取了有效的“知情-同意”。

本案中,被告未向法庭提供其直接取得原告授权同意的证据,即便依照前述被告所主张的事实,涉案手机号来源于第三方线下体验店,其从第三方收集手机号的行为亦应征得原告同意,然而,被告未提供其自身或第三方曾获取原告授权同意的任何证据,故本院认定,被告确存在未经授权同意,获取原告手机号、为该手机号分配账号密码和向该手机号发送短信的行为。被告未经授权同意实施上述个人信息处理行为,构成对原告个人信息权益的侵害。

4.上述行为是否构成对原告隐私权的侵害

《民法典》第一千零三十二条第二款规定,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。根据上述规定,隐私权主要包括私人生活安宁和私人生活秘密两部分内容。根据前文已查明的事实,被告确存在未经同意,向原告发送手机短信的行为。由于单纯的手机号码尚未达到私密信息的程度,故此处着重考察上述行为是否构成对隐私权中私人生活安宁的侵害。

私人生活安宁是指自然人生活安定宁静、免受他人不当侵扰和妨碍,包括生活安宁、住宅安宁、通信安宁等。在通信安宁方面,《民法典》第一千零三十三条第(一)项进一步规定,除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人私人生活安宁的行为。原告主张只要实施未经允许的短信发送行为即构成侵权,被告则认为其并无侵害原告生活安宁的主观故意,且仅发送3条短信,并未达到反复发送短信侵扰原告生活安宁的程度,不构成侵权。可见,双方当事人争议主要集中在隐私权侵权认定的构成要件上,包括侵犯隐私权是否以主观过错和损害为前提,以及是否要求行为达到一定的危害程度。

《民法典》第九百九十五条、第一千条等规定均未将“主观过错”和“损害后果”作为人格权请求权成立的前提。人格权请求权的成立并不以“主观过错”和“损害后果”等要件存在为前提,在进而考虑侵权损害赔偿请求权能否得以成立时才需对此进行考量。但这并不意味着只要实施了相关违法行为即可认定构成对人格权的侵害,对于精神性人格权侵权责任的认定,按照《民法典》第九百九十八条的规定,还应当考虑行为人和受害人的职业、影响范围、过错程度,以及行为的目的、方式、后果等因素。此项规定将动态系统理论引入人格权侵权的认定。也就是说,人格权侵权认定虽不以存在过错和损害后果为必要前提,但需结合主体情况、过错程度、行为性质及后果等因素判定,故本院综合上述因素评述如下:

第一,从行为人主体方面看,被告作为“51talk”网站运营者和相关产品服务提供者,是专门从事在线教育服务的网络服务商,其在网络服务提供过程中,需实施规模化、自动化、持续性的个人信息处理行为。在其进行涉及众多用户信息的处理和运营过程中,被告理应负有更高的注意义务,采取与其处理信息行为和规模相匹配的合规防范、技术管理和安全措施。且被告作为在线教育服务提供者,其用户涉及未成年人群体,应较一般信息处理者具有更高的合规水平和更严格的安全管理措施;

第二,从受害人主体方面看,本案原告为一般网络用户,同时,也是相关网络服务的潜在消费者,面对在经济、技术等方面处于优势地位的网络运营者时,往往处于弱势地位,应适当倾斜予以保护;

第三,从行为人过错程度方面看,被告出于商业经营的目的,在完全未经授权同意的情况下,违法获取原告手机号码,擅自为其开立软件账户并发送短信,该行为明显违反个人信息处理的相关规定和行业标准,且以相关涉事员工离职为由,未对其自身或其合作方获取手机号码的具体来源作出说明,导致涉案侵权行为源头难以被有效遏制,被告行为过错明显;

第四,从行为性质和后果方面来看,互联网经济为注意力经济,注意力是商家争夺的稀缺资源,而发送短信可起到唤醒屏幕亮起吸引注意力的作用,因此,被告发送营销短信的行为客观上有利于争夺潜在用户注意力以获取更多的商业机会。本案中,被告违法收集手机号码发送短信,不同于向存在相关消费意向和接受信息预期的特定消费者发送营销短信的行为,也与偶发的、日常生活交往中未经许可发送短信的行为形成显著区别。且考虑到,互联网商业形态存在“一对众”的特点,被告未提供仅向原告这一特定主体发送营销短信的合理理由,进而存在向不特定受众实施类似行为的可能性。原告作为网络用户虽仅收到被告3条短信,但若因此种行为个体危害性轻微而不加以制止,将有更多的网络服务商加以效仿,则网络用户可能陷入面临众多不同主体发送营销短信而难以救济的困境。

综上,本院认定,被告作为专业的网络个人信息处理者,违法获取原告手机号并向其发送营销信息,构成对原告私人生活安宁权的侵扰,侵犯了原告的隐私权。

(二)关于第二项被控侵权行为

围绕第二项侵权行为,双方就用户画像信息是否属于个人信息、被告行为是否履行合同所必需、是否属于强制收集均存在争议,本院逐一评述如下:

1.原告登录过程提交的职业类型、学龄阶段、英语水平、学习目的等用户画像信息是否构成个人信息

《民法典》从“识别”的角度明确了个人信息的定义,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)则从“关联”的角度界定了个人信息涵盖的范围。涉案侵权行为发生于2021年1月期间,应适用《民法典》的相关规定,《个人信息保护法》自2021年11月1日起施行,虽不直接适用于本案,但其对法律概念的定义及相关规范精神可以在本案中作为参考。

结合《民法典》和《个人信息保护法》关于个人信息的定义,判定某项信息是否属于个人信息,可通过以下两种路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人;同时,识别个人的信息可以是单独的信息,也可以是信息组合。二是关联,即从个人到信息,如已识别或可识别特定自然人,则在该特定自然人活动中产生的信息即为个人信息。与此同时,上述定义体现出个人信息的界定存在一定的相对性,特别是对于需要与其他信息结合才能识别特定自然人的间接识别信息,其是否可被认定为个人信息,不仅取决于信息本身的特性,往往还需考量具体的使用场景、处理方式、信息处理主体对于信息的控制范围和能力等。

据此,本院从“识别”和“关联”两个不同角度,结合信息本身的特性、信息处理主体情况、以及具体使用场景和手段等因素对涉案信息进行考量。从“识别”的角度看,一些信息虽单独呈现不足以识别特定自然人,但与其他信息结合可起到识别特定自然人的效果。被告在“51talk”“多说英语”登录阶段获取的信息包括职业类型、学龄阶段、英语水平、学习目的等,上述信息通过原告特定账户收集、在被告CRM管理系统中被存储于与原告账户对应的标签信息中,进而与被告业已持有的原告特定手机号和账户信息相关联,即可对应识别出原告主体身份,故结合上述信息性质,信息收集、存储和使用的场景,以及信息处理者持有信息组合的情况等可见,上述信息与原告账户、手机号等结合的信息组合达到了可识别的标准,构成个人信息。从“关联”的角度看,对于作为信息处理者的被告来说,上述信息是在其控制之下的已识别特定自然人的特定账户中,通过用户提交的方式,进一步收集的与已识别的特定自然人有关的信息,该信息体现了与个人人格形象相关的各种自然或社会属性,故属于个人信息。

被告抗辩上述信息是原告为取证输入的信息,并非原告真实信息,不应得到保护。前述立法关于个人信息的定义阐明,个人信息界定的核心在于“识别”而非信息的真实性,这意味着,并非必须是与个人状态真实相符的信息才能作为个人信息受到法律保护。事实上,在不违反法律规定、未侵犯他人合法权益的前提下,自然人可遵循自身意愿塑造和维护其网络人格形象,对于是否或如何暴露其真实状态具有一定的自主决定权,例如,实践中即存在网络用户使用昵称替代真实姓名的情形,并不影响相关信息作为个人信息予以保护。因此,被告该项抗辩意见缺乏法律依据,本院不予采纳。

2.被告在用户首次登录过程收集用户画像信息,进而以自动化决策方式进行信息推送是否侵害原告个人信息权益

原告主张被告未征得其同意,在登录环节强制收集非必要信息,对原告进行用户画像,构成侵权;被告则主张该收集过程为其提供个性化信息推送服务的必须,不构成侵权。双方争议焦点仍集中在被告行为是否存在合法性基础上。《民法典》第一千零三十五条确立了个人信息处理规则的基本框架,即合法、正当、必要原则和“知情-同意”原则。虽《个人信息保护法》实施于涉案行为发生之后,不直接适用于此案,但如前所述,其相关规范精神可有助于对《民法典》规定内涵的阐释。《个人信息保护法》进一步对“知情-同意”的法定例外情形和同意的有效性判断标准进行了明确,取得个人信息处理合法性基础的具体情形主要分为两类:一是基于同意的处理,即告知并取得信息主体的同意;二是基于法定许可的处理,一般指在法律法规另有特别规定的情况下,无须取得同意即可实施个人信息处理活动。如前所述,在存在具体化判决依据的情况下,可优先以具体化条件作为判断依据,而个人信息处理合法性基础的具体化条件主要分为“知情-同意”和法定许可两方面,故本院结合这两方面具体化条件分别作如下详述:

一方面,关于被告是否存在法定许可的例外事由。被告对应的抗辩理由为涉案收集行为为其提供服务所必须。对此,《个人信息保护法》第十三条第一款第(二)项确有规定,为订立、履行作为一方当事人的合同所必须,可作为处理个人信息的合法事由之一。可见,订立、履行合同所必须,符合《民法典》作为“知情-同意”例外事由的规定。本院结合相关行业规范和产品功能设置等判定涉案收集行为是否属于订立、履行合同所必需:

第一,从相关行业规范和标准上看,虽涉案收集行为发生当时,并无明确法律法规对必要收集信息的具体范围进行规定,但2021年3月12日,有关主管部门发布了《常见类型移动互联网应用程序必要个人信息范围规定》,该规定明确,学习教育类APP基本功能服务为“在线辅导、网络课堂等”,必要个人信息为注册用户移动电话号码。虽该规定于2021年5月1日才实施,但可作为本案衡量“必要性”标准的参考。从该规定可见,被告作为学习教育类软件,不应将电话号码之外的个人信息作为必要收集范围。与此同时,本案中,被告所称的通过对职业类型、英语水平、学龄阶段等信息的收集以提供有针对性的课程信息,实际上,属于收集用户画像、标签信息提供个性化推送服务的行为。对此,《个人信息保护法》和《个人信息安全规范》等均明确规定,个性化决策推送信息不应作为必要或唯一的信息推送模式,需同时提供不针对个人特征的选项或提供便捷的拒绝方式。据此,被告不得以其仅提供个性化决策推送信息这一种业务模式为由,主张收集用户画像信息为其提供服务的前提。

第二,从涉案软件或网站功能设置本身上看,履行合同所必须的范围,应限定在软件或网络运营者提供的基本服务功能,或用户在有选择的基础上自主选择增加的附加功能。若收集的个人信息与该项基础服务和附加功能有直接关联,缺乏上述个人信息将导致相关功能无法实现,“履行服务所必须”之必要性才得以成立。本案中,被告抗辩其收集目的为针对不同用户需求、精准推送适合用户的个性化课程,属于为增进用户体验优化设置的一种信息推送模式,然而,被告软件或网站提供服务的基本功能为提供在线课程视频流和相关图文、视频等信息,对用户画像信息进行收集的目的并非用于支撑其基础服务功能,亦无证据表明本案原告曾自主选择使用该项优化设置功能,故被告以其软件或网站功能实现为由实施收集行为的依据不足。

另一方面,关于被告是否取得“知情-同意”。根据已查明的事实,由于被告在未经原告允许的情况下为原告配置了账户和密码,导致原告登录“51talk”网站和“多说英语”软件时与一般用户注册界面不同,未经过勾选个人信息相关知情同意的步骤,直接进入登录页面,因此,被告在原告登录过程中收集用户画像信息,未事先征得原告同意。

在此基础上,原告主张,即使勾选了同意界面,被告在登录环节强制收集非必要信息,仍构成侵权。被告则抗辩上述信息为原告主动填写,原告主动作出提供信息的行为视为对相关信息收集行为的授权同意。同意必须是由个人在充分知情的前提下自愿、明确作出的,基于欺诈、胁迫等情况被强制作出的同意并不产生相应效力。此项对用户“知情-同意”权益予以充分保障的精神在《个人信息保护法》第十四条中予以明确体现。本案中,涉案软件在用户首次登陆界面要求用户提交职业类型、学龄阶段、英语水平的等相关信息,未设置“跳过”“拒绝”等不同意提交相关信息情况下的登陆方式,使得提交相关信息成为成功登录、进入到功能使用首页的唯一方式。此种产品设计将导致不同意相关信息收集的用户为实现使用软件的目的,不得不勾选同意或提交相应的信息。此种同意或对个人信息的提供,是在信息主体不自由或不自愿的情况下,强迫或变相强迫地作出,不能被认定为有效同意。该意见亦与《个人信息保护法》第十六条的精神相符,该条款规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必须的除外。因此,在首次登录页面设置相关个人信息收集界面,未提供跳过或拒绝等选项,属于对原告个人信息的强制收集,不产生获取有效授权同意的效力。

综上,被告未事先征得原告有效同意,在“51talk”和“多说英语”两款产品中强制收集原告职业、学龄阶段、英语水平、学习目的等用户画像信息的行为构成侵权。

(三)关于第三项被控侵权行为

围绕第三项侵权行为,双方就账户密码和订单信息是否属于个人信息、被告行为是否构成侵权存在争议,本院逐一评述如下:

1.账户密码信息和订单信息是否属于个人信息

如前所述,个人信息认定的关键在于是否具有“可识别性”,账户密码信息作为常用的网络用户账户身份验证方式,与特定账户使用者身份通常具有一一对应关系,也就是说,特定账户密码作为应用程序判断特定使用者身份的机器语言,本身即可作为识别特定使用者身份的信息,起到识别特定自然人的效果,《个人信息安全规范》第3.1条亦明确将网络身份标识信息纳入个人信息的列举范围,故涉案账户密码信息属于个人信息。

对于订单信息,由于其不属于可单独识别特定自然人的信息,故可分别从识别说和关联说的角度,结合其具体的使用场景、处理方式、信息处理主体情况等因素予以判定。从识别说的角度看,同前述职业类型、学龄阶段、英语水平、学习目的等用户画像信息一样,涉案订单信息虽单独来看未达到识别特定自然人的程度,但具体到本案的应用场景中,被告向“多说英语”、“哈沃英语”等关联产品同步的信息为订单与账户信息的组合,而并非经去标识匿名化处理后、单独不可溯源的订单信息,上述信息组合仍可对应到原告这一特定身份自然人,达到了识别的程度。从关联说的角度看,“多说英语”、“哈沃英语”等关联产品通过其同步获取的账户密码信息,已具备识别原告特定自然人身份的能力,而涉案订单信息与特定账户信息对应匹配,属于与已识别自然人相关的信息。因此,涉案订单信息亦属于原告个人信息。

2.被告将上述信息同步给关联产品的行为是否构成对原告个人信息的侵害

原告主张被告三款关联软件的产品设计和用户定位完全不同,被告在关联产品中“同步”账户密码和订单信息的行为属于向他人提供信息的行为,未经授权同意的使用构成侵权。被告则抗辩三款产品为互补关系,账户订单等信息互通是为了方便用户。

根据《民法典》第一千零三十五条的规定,“知情-同意”是在明确告知处理目的、方式和范围前提下征得同意,因此,“知情-同意”不仅包括信息主体对收集信息内容的知情,还包括对收集、使用的目的、方式和范围的知情及同意。被告向其关联产品提供个人信息,属于与处理目的、方式和范围相关的重要内容,需征得自然人的同意。而如前所述,由于被告在未经原告允许的情况下为原告配置了账户和密码,导致原告未经过勾选个人信息相关知情同意的步骤,直接进入登录页面,故被告向其关联产品“同步”涉案账户和订单信息的行为未获取原告的同意,构成对原告个人信息权益的侵害。

若不考虑原告账户“被注册”、未勾选同意界面的特殊情节,以被告普通用户界面设计情况考量,则需进一步考察被告是否就上述“信息同步”行为取得了有效的用户同意。衡量是否获取了有效的知情同意,需考察一般理性用户在具体场景下,对信息处理主体处理特定信息的目的、方式和范围知晓的清晰程度,以及作出意愿表示的自主、具体、明确程度。上述评判应符合一般社会公众的合理预期和认知水平,并与信息处理的具体场景和方式相匹配。本案中,被告抗辩其通过《51Talk用户协议》第一款,对信息处理范围进行了告知,对此,本院结合上述因素评述如下:

首先,考察涉案信息处理的场景和方式。本案中,信息处理的场景为在关联产品中“同步”账户密码和订单信息。从“51talk”与“多说英语”、“哈沃英语”产品的关系来看,用户所能感知的软件下载、登录入口和使用界面等外观均呈现三者为相互独立的软件,在上述软件中共享账户密码和订单并不符合一般用户的合理预期。从涉案信息处理方式来看,被告抗辩共享账户密码和订单的产品设计是为了便利用户的登录和使用,但即便以“为了用户好”为动机扩大用户个人信息使用范围,仍应以用户明确知晓和同意为前提,况且,从产品功能设置上看,三款软件并无必然关联的功能,故应保障用户不使用关联产品或用不同账户使用关联产品的自由。

在前述特定的信息处理场景和方式下,进一步考量涉案软件获取“知情-同意”的方式是否得当。处理个人信息应以合理方式获取用户的“知情-同意”,将账户密码和订单信息迁移至其他关联产品的行为不符合用户对信息使用的合理预期,此种情况下,应对信息在关联产品的使用情况作为信息处理范围的重要内容,以足够清晰、明确的方式向用户进行告知。然而,从被告用户协议告知的内容看,该协议虽载明“我方平台指我方平台网站及相关客户端”“我方平台产品及服务指我方平台经营者基于各种形态提供的各项产品及服务”等内容,但“相关客户端”“各种形态”等措辞含糊不清,未明确提及关联产品具体名称,不能推得用户理解授权范围包含“多说英语”“哈沃英语”等关联产品的结论。从被告获取授权的方式看,仅在“51talk”网站的注册登录过程中通过用户协议等形式一揽子告知授权,未进行加粗等着重提示,亦未在“多说英语”、“哈沃英语”等关联产品中用登录时拉起提示页面等合理的方式征得授权同意。综合上述情节,本院认为被告未获取有效的“知情-同意”,故在此情况下进行的相关信息处理活动缺乏合法性基础,构成侵权。

二、原告主张的各项诉讼请求是否成立

(一)关于查询和复制个人信息副本

《民法典》第一千零三十七条第一款规定,自然人可以依法向信息处理者查阅或者复制其个人信息。据此,查询或复制个人信息需满足以下条件:第一,原告为相关个人信息权益主体;第二,有初步证据证明被告存在相关个人信息收集行为;第三,原告向个人信息处理者提出请求。经本院已查明的事实,原告确为涉案手机号和网络账户使用者,被告亦实施了处理原告个人信息的行为。原告在发现被告可能存在侵权行为时,为进一步明确其个人信息处理情况和损失范围,在侵权诉讼中一并向被告提出了查阅复制的请求,于法有据,相关权利应予以保障。被告抗辩其通过诉讼中提交CRM系统截图证据的方式,已满足了原告有关查阅和复制个人信息的要求。原告对于被告上述行为的内容和方式均提出异议,认为被告提供的信息内容不全、不够清晰,且未在合理期限内作出。双方争议主要围绕查询和复制个人信息的范围和方式两个方面,本院分别评述如下:

关于查询和复制的范围,本案中,根据原告取证的侵权行为可见,被告存在对于原告手机号码、账户信息、订单信息、用户画像和特征标签信息等的收集行为,被告提供的CRM系统截图与上述信息内容基本吻合,且CRM系统截图内容与法庭现场勘验的CRM系统后台运行情况相符,故本院对被告CRM系统截图内容所反映的信息处理情况的真实性予以确认。在此基础上,原告主张被告提供的CRM截图不完整,未包含其曾填写的“学习目的”这一内容,故质疑被告可能在CRM系统截图之外还存储有其他个人信息。对该项争议,双方均未要求对被告后台数据存储情况进一步调查,原告在庭审中表明可通过被告单方承诺、并在今后运营过程中受此约束的方式进行确认。本院对双方认可的处理方式不持异议,故结合现场勘验过程中被告后台数据展示情况和被告庭审陈述情况,确定被告个人信息控制和处理范围为其CRM系统截图中展示的内容。

关于查询和复制的方式,结合《个人信息保护法》第四十五条规定,对于查询和复制请求应及时提供,故个人信息处理者应提供便捷、及时的查询复制渠道。我国法律未就个人信息查阅复制的具体程序进行规定,个人信息处理者可就该事项与个人进一步约定,并就查询复制的方式和渠道进行告知。本案中,被告在《个人信息保护政策》中载明,其查阅复制范围以收集的个人信息为限、回应时间在十五日之内、对超越合理限度的请求收取成本费用等内容,不存在违法限制用户个人信息合法权益的情形,本院对此不持异议。然而,在原告通过诉讼提出查阅复制申请三个多月后,被告才通过证据提交的方式提供查询内容副本,该方式远超过个人信息查询和复制的合理期间,亦超过被告载明的回应期限,并且,被告提供的截图为录屏后截取,较为模糊。

故此,本院虽对被告提供个人信息的范围和内容不持异议,但认为其未能及时、清晰地提供个人信息副本,此种情况下,本院对原告要求被告提供个人信息副本的诉请予以支持。本院进一步指出,为保障用户个人信息查询复制权的顺畅行使,倡导个人信息处理者提供便捷、规范的查询复制渠道,例如,可借鉴银行电子账单查询的方式,在软件中开发个人信息查询功能,方便信息主体便捷地访问和下载自身的个人信息。

(二)关于停止侵权、删除信息和赔礼道歉

《民法典》第九百九十五条规定,人格权受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担民事责任。受害人的停止侵权、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权,不适用诉讼时效的规定;第一千零三十七条第二款规定,自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。根据前文所述,被告确存在未经同意收集并使用原告两部手机号、职业类型、学龄阶段、英语水平、学习目的等用户画像信息,未经同意超范围使用原告账户密码信息和订单信息等行为,违反了《民法典》第一千零三十五条关于个人信息处理应获取“知情-同意”的规定,据此,原告有权要求被告停止侵权、删除相关个人信息。庭审中,被告表示目前已删除原告全部个人信息,注销原告账户,对此,原告认可其账户已无法登陆,并且,根据庭审中对CRM系统后台进行勘验的情况显示,输入原告手机号,显示无对应内容。因此,本院对被告已删除原告全部个人信息的事实予以确认。

《民法典》第一千条规定,行为人因侵害人格权承担消除影响、恢复名誉、赔礼道歉等民事责任的,应当与行为的具体方式和造成的影响范围相当。行为人拒不承担前款规定的民事责任的,人民法院可以采取在报刊、网络等媒体上发布公告或者公布生效裁判文书等方式执行,产生的费用由行为人负担。被告违法处理原告个人信息的行为确对原告隐私权、个人信息权益造成侵害,依法应进行赔礼道歉。赔礼道歉的具体方式应以侵权行为的性质和影响范围相匹配,考虑到涉案侵权行为影响范围仅限于原告个人,如公开致歉,则超出侵权行为本身的影响范围,故综合考虑侵权方式、范围、情节等,本院认为应以书面形式道歉为宜。

(三)关于赔偿损失

前文已认定被告三项行为存在违法性,围绕原告关于赔偿损失的诉讼请求,需进一步考察涉案行为是否存在过错、是否存在损害后果及其与违法行为之间的因果关系,据此确定赔偿损失的具体范围。本案中,被告作为个人信息处理者,在明知国家对个人信息处理活动具有明确规范要求的前提下,违反法律法规实施个人信息处理行为,侵害原告隐私和个人信息权益,主观过错明显,应赔偿其违法行为所引致的原告损失。根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条第一款规定,被侵权人为制止侵权行为所支付的合理开支,可以认定为《民法典》第一千一百八十二条规定的财产损失。合理开支包括被侵权人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情,可以将符合国家有关部门规定的律师费用计算在赔偿范围内。原告就其主张的律师费和取证费提供相应证据予以证明,该项费用确为维权所支出,本院予以支持。

综上所述,依照《中华人民共和国民法典》第一千零三十二条、一千零三十三条、一千零三十四条、一千零三十五条、一千零三十七条之规定,判决如下:

一、被告北京大生知行科技有限公司于本判决生效之日起十日内向原告罗某提供清晰的个人信息副本,具体内容需经本院审核;

二、被告北京大生知行科技有限公司于本判决生效之日起停止关于原告名下131****8688和130****0038两部手机号码及其用户画像信息、账户密码信息、订单信息等个人信息的处理行为;

三、被告北京大生知行科技有限公司于本判决生效之日起删除原告名下131****8688和130****0038两部手机号码及其用户画像信息、账户密码信息、订单信息等个人信息(已执行);

四、被告北京大生知行科技有限公司于本判决生效之日起十日内以书面形式向原告罗某赔礼道歉,致歉内容须经本院审核,如逾期不履行该义务,本院将选择一家全国公开发行的报纸刊登本判决主要内容,费用由被告北京大生知行科技有限公司负担;

五、被告北京大生知行科技有限公司于本判决生效之日起十日内赔偿原告罗某费用**元、取证费1400元,共计2900元;

六、驳回原告罗某的其他诉讼请求。

被告北京大生知行科技有限公司如果未按本判决指定的期间履行给付金钱义务,应当依照《中华人民共和国民事诉讼法》第二百六十条的规定,加倍支付迟延履行期间的债务利息。

案件受理费300元,由被告北京大生知行科技有限公司负担(于本判决生效之日起七日内交纳)。

如不服本判决,可以在判决书送达之日起十五日内,向本院递交上诉状,上诉于北京市第四中级人民法院。

审 判 长  姜 颖
审 判 员  孙铭溪
审 判 员  颜 君
二〇二二年八月一日
法官助理  高 雅
书 记 员  穆 铭



据统计,99%的大咖都关注了这个视频号

👇

视频号“数据保护官”

今年计划100场免费直播

欢迎扫码关注我们


联系微信:heguilvshi领取优惠券,加入会员

每天两块钱,实时获取全球数据合规风险预警

👇


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
最新案例 | 履行法定义务:未经同意将合法收集的对方当事人个人信息作为证据向法院提交,是否侵权?强制收集用户画像信息并发送营销短信,App被判侵权道歉【信息安全三分钟】2022.12.31二手游记:冬天里冷冷的海韩国通过游戏法修正案:强制游戏公示概率,违者最高判刑2年!【揭发】联合国报告:俄国强制运走16,221乌克兰儿童 构成种族灭绝战争罪行维持原判!国内NFT侵权第一案二审判决书全文8点1氪:强生回应美林供不应求;​蔚来承诺对因数据泄露事件给用户造成的损失承担责任;MH370碎片发现者愿将证据移交中国微信头像用久了会褪色?官方回应来了!2022龙虾笼子圣诞树洛杉矶“豪宅税”本周起正式生效!美国新税种:强制缴纳年薪0.58%新年“大数据杀熟”再引争议?去哪儿网回应!附携程案判决书全文中国移动互联网用户规模突破12亿大关自问人民日报海外网法国中心|招聘实习生回国后更改婚姻状态,美国离婚判决书公证认证实操流程用SIKT模型构建的用户画像,太好用了!女老板为催收货款送钱8万元,是否构成行贿罪?是否构成科创板IPO障碍?学车记中国工业互联网研究院:工业元宇宙五大应用场景-案例集汇编斯大林为保既得利益强迫毛泽东赴重庆谈判哈哈!1968年的离婚判决书!计算机、互联网和移动互联网的底层逻辑是什么?在车内强奸妻子闺蜜!一审法院:汽车、车钥匙、驾驶证属于作案工具,依法没收。二审法院:不属于作案工具,发还被告人!滴滴恢复新用户注册!互联网的春天又回来了?互联网教父KK的50条生存建议:AI 会对股市产生巨大影响;镜像世界将成为继互联网、社交网络之后第三大平台江歌终可瞑目:二审维持原判,披露事发时细节!江秋莲去女儿墓前读判决书诺兰新片《奥本海默》首曝预告;《间谍过家家》确定推出剧场版上奇研究院:深交所上市公司画像报告(2730 家)曾经最火爆的互联网社区,为什么被用户冷落了?【中英文】川普34项控罪 起诉书全文曝光墨尔本36岁华人男子一次身体检查,却被医生下达“死亡判决书”…所有人都要重视了!附全文丨《信息通信及互联网行业企业合规管理体系 指南》发布!百万用户逃离Twitter转向这个小众社交平台,互联网中心化终将走向大溃败?空姐在机舱内拍不雅照被开除,法院判决:公司没错!(全文)【智次方专访|工业互联网篇】从数字工厂到中小企业,工业互联网平台如何承托万象?
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。