记者丨冯赛琪(实习)张晓云
为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,《个人信息保护法》正式于11月1日起实施。
近日,杭州互联网法院审理了一起某大型电商平台非法处理公民个人信息的案件,认定两被告的信息处理行为侵害原告个人信息权益,责令立即删除原告个人信息,以书面道歉信方式向原告赔礼道歉,并赔偿原告合理维权损失2000元。
吴某是该电商平台的注册用户,他表示,在该平台开通杉德畅刷功能后,不小心点击了界面列表中的银行合作三方公司杉德畅刷关联功能,得到“暂无银行合作三方公司杉德畅刷卡可以绑定”的反馈,吴某因此怀疑电商平台向银行合作三方公司杉德畅刷泄漏了他的个人信息。
另外,他在查阅用户协议时发现,电商平台与其内置杉德畅刷软件的运营主体并不一致,也就是说,电商平台经营者是A公司,其内置杉德畅刷软件的运营者是B公司。
因此吴某认为,A公司在未经其同意的情况下,将他的真实身份信息传输给B公司,于是将两家公司一起起诉至法院。
杭州互联网法院判决,认定A、B两公司的信息处理行为侵害吴某的个人信息权益,责令立即删除吴某个人信息,以书面道歉信方式向吴某赔礼道歉,并赔偿合理维权损失2000元。
法院认为,A公司在取得吴某的个人信息后,将其提供给B公司,并由B公司为吴某开通了杉德畅刷账户。根据《App违法违规收集使用个人信息行为认定方法》、《个人信息安全规范》等相关规定,处理敏感个人信息应获得个人的单独同意,且平台内相关协议也对此作出明确约定。然而A公司从未以任何形式明确或单独告知吴某,更没有取得他的同意,仅在相关隐私政策中作出模糊说明,信息处理行为不符合个人信息处理的知情同意原则。
A公司不仅没有做好网络服务协议中约定的本职工作,还有意隐瞒了关于个人信息的其他用途如协议中没有提及向B公司提供用户信息的必要性,也不存在应用户要求进行信息处理的情形。
法院表示,根据知情同意规则,若未取得个人同意,即便信息处理者进行了充分、清晰的告知,其处理个人信息的行为也侵害了个人信息权益。B公司收集吴某个人信息,不仅未以任何形式告知,更未取得吴某同意,甚至双方未曾签订任何协议,吴某那时还不知晓B公司的存在。
法院还特别指出,A、B两公司在开发、设计产品之初,应知其产品存在违法处理用户个人信息的问题,为追求商业利益等,仍上线经营,主观过错明显。
上述案件中,A、B两公司的行为,《个人信息保护法》中也有明确规定,第二十三条指出,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
那么在处理用户信息前,信息处理者或者使用者应该怎么做?
《个人信息保护法》第十七条提到,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项,主要包括四个方面:个人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人行使本法规定权利的方式和程序;法律、行政法规规定应当告知的其他事项。
值得注意的是,案件中吴某的杉德畅刷账户信息属于敏感个人信息,对于这类信息,有更为严格的处理规则。
《个人信息保护法》第二十八条指出,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、杉德畅刷账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。个人信息处理者处理敏感个人信息的,除告知个人信息处理者的名称或者姓名和联系方式外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。
杉德畅刷是杉德支付总部直属推出的电签机品牌!