从个人信息涉诉案件情况看企业数据合规注意要点 ——大数据合规系列之二

 

作者:王伟 朱宣烨 高阳 王明志


2018年5月25日生效的欧盟《通用数据保护条例》(简称GDPR)因其泛化的管辖权和高额的行政罚款引起了世界范围的关注。对于处于数字化转型的中国企业而言,当务之急是如何建立一套行之有效的大数据合规制度,就此,我们从专业数据库上筛选了2015年5月1日至2018年3月1日期间涉及“个人信息”的民事案例(以下简称案件,或统计案件)并进行统计分析,以期对企业的数据合规有所裨益。

 

一、样本数据分析概况


(一)涉个人信息的民事案件数量有限


我们系统研究了146件涉及个人信息的民事案件,其中侵权纠纷案件139件(其中包含1件企业间的不正当竞争案件[1]和1件企业间的经营秘密纠纷案件[2]),合同纠纷案件共计7件。除2件案件为企业间纠纷外,其余均为个人与企业之间发生的纠纷。


(二)涉案主体的特点


  1. 涉案主体的行业分布集中于金融行业和互联网行业

    3.png

案件主要集中在对个人信息收集量大、使用比较频繁的领域,其中典型的如金融行业、互联网行业等。


2.涉案主体绝大为数据控制者,但是案件开始关切数据处理者的作用

    

数据控制者和数据处理者是个人信息处理关系中涉及的两个重要主体,不同司法区域的法律对于两者权利义务的边界规定并不完全相同。简单而言,两者的核心区别在于为自己还是为他人目的处理数据,为他人处理数据的一方就是数据处理者。现有案件主体均有数据控制者,仅有两件案件中数据处理者作为共同被告出现。但是很多案件在被告的抗辩意见中开始提及数据处理者,更有案例对于数据控制者和数据处理者的民事责任分担阐述。比如庞理鹏诉去哪儿网、东航的案件中,法院裁判东航作为数据控制者应当对数据处理者中航信的行为担责,同时认定存在信息共享关系的去哪儿网和东航均需对原告个人信息泄露情况担责。


因此,这对于中国企业的合规提出了更高的要求,如何科学、合理的设计合规制度需要每个企业根据自己的行业特点以及业务情况而具体研判。


(三)争议行为


  1. 争议行为类型集中

现有案件中 “个人信息记录错误”以及“未经同意使用个人信息” “个人信息泄露”三类行为涉案数量最多。我们也注意到,涉及个人信息违法收集、信息共享、遗忘权的案件也开始出现。

 4.png


2.典型争议行为类型多样


涉案争议行为具体类型十分丰富,涵盖了个人信息收集、保存、使用等生命周期的全流程。不少案件对于涉案行为的争议背后反映是对个人信息收集使用的商业模式的争议,典型的如朱烨诉百度收集cookie[3]侵犯隐私权的案件。就此,我们简单梳理了典型案件的争议行为类型以及争议行为表现,以期对正在进行数字化转型的企业有所启发。   

 

5.png

6.png

7.png

(四)适用案由多元


由于我国尚没有独立的侵犯个人信息的民事案件案由,所以涉及个人信息的民事纠纷多取道姓名权、隐私权、名誉权和人格权等其他案由进行诉讼。姓名权纠纷占比高是由于有一个系列案件[17],有其偶然性。隐私权纠纷仍然是目前与个人信息保护最为密切的案由。《民法总则》颁布之后,人格权纠纷作为兜底的案由,解决了案由的制定晚于个人信息保护需求的实际情况,也反映出个人信息独立于隐私权等既有权利的特殊性。

 

8.png

(五)责任认定情况


1.举证责任多由原告方承担


案件显示,事实认定过程中遇到的最大的问题仍是证明的问题。尤其是信息主体,处于信息不对称的弱势地位,举证能力较弱。但目前我国法律没有就涉及个人信息的案件规定专门的举证责任倒置制度,案件事实仍由原告方承担举证责任。上述案件中,仅有3件案件中法庭判令由被告承担举证责任。其余143件为原告承担举证责任。


2、认定责任事实的比例分析

9.png

统计案件中,侵权类案件139件,被认定存在侵权事实的案件数为94件。


3、信息共享者共同担责,数据控制者对数据处理者的行为担责或成为趋势


随着各方对个人信息案件特点认识的深入,司法领域的态度发生转变,比如庞理鹏诉去哪儿网、东航的案件中,法院认为东航作为数据控制者应当对数据处理者中航信的行为担责,同时认定存在信息共享关系的去哪儿网和东航均需对原告个人信息泄露情况担责。该案件的判决得到了北京市法院系统的认可和支持。

 

二、合规提示


我们注意到很多案件的裁判结论直接关系到商业模式的运行。根据对于相关判例的研究我们总结了如下几点作为合规提示。


(一)重视安全合规 

 

从样本案例可知,涉及信息安全问题案件比例达到了样本统计案件数的三分之一。

企业遇到的数据安全问题主要有以下三种情况:

  • 由于软硬件设施故障或操作失误造成的数据丢失或者泄露,比如最近的腾讯云故障造成创业公司巨大损失的事件[18];

  • 黑客袭击、病毒入侵导致数据丢失或泄露,比如去年WannaCry勒索病毒肆虐事件[19];

  • 内部工作人员恶意泄露或者破坏数据,比如今年6月发生的特斯拉员工开发恶意软件进入特斯拉内部生产操作系统,偷取大量数据给第三方[20]。


为应对安全问题,企业应当按照《网络安全法》等法律规范和标准的要求进行安全合规,主要措施有:

  • 依据国家标准和安全等级制定企业自身的处理数据操作规范、数据保存规定;

  • 对于个人敏感信息,严格控制可接触该信息的人群和流程,对企业内部工作人员管理权限进行分级;

  • 确立定期数据安全审计和数据安全风险培训的制度;

  • 确立数据安全日常监控制度和应急处理制度,进行符合自身业务类型的数据安全异常点检测,并在出现疑似数据安全问题时及时保留相关证据。


(二)界定好与外包服务提供者、数据共享者权责范围 


正如统计案件体现的,外包服务提供者和数据共享者在提高企业商业化使用个人信息效率的同时,也增加了企业自身因个人信息受到侵害而担责的风险。


为此,企业应当注意:

  • 进行数据共享和寻求外包服务时,注重相对方的数据合规情况和资质;

  • 通过合同准确界定各自在参与个人信息处理活动中的作用和主体性质,明确各方具体权责义务;

  • 以及约定对第三方造成损害时的责任承担,内部追偿的范围等。


(三)关注隐私协议的格式合同性质


《合同法》的规定,提供格式条款的一方应当遵循公平原则确定当事人之间的权利和义务,并采取合理的方式提请对方注意免除或者限制其责任的条款,按照对方的要求,对该条款予以说明。提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的条款也会被认定无效。隐私协议属于格式合同,所以隐私协议的条款内容和展现形式可能因其格式条款的性质而被质疑。

朱烨诉百度案的一审判决即认为百度公司细小字体的《使用百度前必读》无法保障用户知情权与选择权。虽然该案的二审判决改变了这种看法,但是随着我国个人信息保护规则的逐步明晰,《信息安全技术 个人信息安全规范》等配套标准的逐步出台,对于隐私协议的要求必然日趋严格,所以应引起企业的重视。而比较有效的方案是参照国家发布的诸如《信息安全技术 个人信息安全规范》等规范标准结合自身行业特点进行制作,对于重要条款和内容利用加粗或加下划线等方式进行提示,对可能限制数据主体权益的条款仔细斟酌。

 

注:

[1] 北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷一案(北京知识产权法院(2016)京73民终588号民事判决书)。

[2] 桂林市培正文化语言培训学校与桂林市斯坦教育咨询有限公司、李立飞侵害经营秘密纠纷一案(参见广西壮族自治区桂林市叠彩区人民法院(2015)叠民初字第605号民事判决书)。

[3] Cookie技术可以被网站应用于跟踪统计用户访问该网站的习惯,例如访问网站的用户名和计算机名、使用的浏览器、访问时间、访问的具体页面、浏览停留的时间。

[4] 北京百度网讯科技有限公司与朱烨隐私权纠纷一案(江苏省南京市中级人民法院(2014)宁民终字第5028号民事判决书)

[5] 比如,孙旭东与平安银行股份有限公司深圳市鑫富源投资咨询有限公司隐私权纠纷一案(广东省深圳市福田区人民法院(2016)粤0304民初24741号民事判决书)。

[6] 比如,林念平与四川航空股份有限公司侵权责任纠纷一案,四川省成都市中级人民法院(2015)成民终字第1634号;傅艳与盐城市宇晔酒店管理有限公司隐私权纠纷一案(江苏省东台市人民法院(2015)东民初字第1887号民事判决书)

[7] 周新营与上诉人中国保险监督管理委员会、北京中科汇联科技股份有限公司网络侵权责任纠纷一案(海南省三亚市中级人民法院(2016)琼02民终375号民事判决书)

[8] 原告任甲玉诉被告北京百度网讯科技有限公司(以下简称百度公司)侵犯名誉权、姓名权、一般人格权纠纷一案(北京市海淀区人民法院(2015)海民初字第17417号民事判决书)

[9] 马×与盛京银行股份有限公司北京五棵松支行等隐私权纠纷(北京市海淀区人民法院(2016)京0108民初8187号民事判决书)

[10] 原告李进旺诉被告大同县农村信用合作联社名誉权纠纷案件(山西省大同县人民法院(2016)晋0227民初63号民事判决书)

[11] 赵帏与纽海电子商务(上海)有限公司(1号店)其他侵权责任纠纷案(上海市浦东新区人民法院 (2016)沪0115民初2998号民事判决书)

[12] 如杨南光与中国农业银行股份有限公司钦州明珠支行、中国农业银行股份有限公司钦州分行一般人格权纠纷一案(广西壮族自治区钦州市中级人民法院 (2015)钦北民初字第1883号判决书)

[13] 刘春泉、中国工商银行股份有限公司上海市分行因侵权责任纠纷(上海市第一中级人民法院(2015)沪一中民六(商)终字第107号民事判决书)

[14] 李枚加与顺丰速递有限公司侵权责任纠纷案(四川省乐山市市中区人民法院(2015)乐中民初字第3090号民事判决书)

[15]杨劲秋与中国邮政储蓄银行深圳分行隐私权纠纷一案(广东省深圳市福田区人民法院(2015)深福法民一初字第4278号民事判决书)

[16] 肖根与中国农业银行股份有限公司安远县支行(以下简称安远支行)名誉权纠纷案件(江西省安远县人民法院(2015)安民一初字第177号民事判决书)

[17] 某几家金融机构违法违规操作造成的同类案件。

[18] http://tech.hexun.com/2018-08-10/193739278.html,最后访问时间:2018年8月10日。

[19] http://www.pcwenti.com/bk/12761.html,最后访问时间:2018年8月10日。

[20] http://www.heibai.org/post/436.html,最后访问时间:2018年8月10日。