委托诉讼代理人:王琼飞,浙江垦丁律师事务所律师。
被告:北京大生知行科技有限公司,住所地北京市海淀区上地东路9号得实大厦。
法定代表人:黄佳佳,董事长。
委托诉讼代理人:**男,该公司员工。
委托诉讼代理人:**北京**律师事务所律师。
当事人围绕诉讼请求依法提交了证据,本院组织当事人进行了证据交换和质证。根据当事人陈述和证据,本院认定证据和事实如下:
一、关于原被告主体基本情况
(一)关于原告主体基本情况
原告提交中国联合网络通信有限公司***营业厅业务受理单、发票等证据,用以证明其为131****8688手机号的使用用户。被告对该证据真实性认可、证明目的不认可。鉴于业务受理单中明确载明原告用户号码为131****8688,故本院对原告该项证明事项予以采信,认定罗某为131****8688手机号的使用用户。
原告提交联通营业厅用户资料查询界面证据,用以证明其为130****0038手机号的使用用户。被告对该证据真实性予以认可,并认可原告为该手机号用户。据此,本院认定罗某为130****0038手机号的使用用户。
(二)关于被告主体基本情况
原告主张被告存在以下三项侵权行为:
第二,被告运营的51Talk网站和“多说英语”软件未经告知个人信息收集政策,强制收集用户画像信息,侵犯原告个人信息权益;
第三,被告未经同意向其关联产品“多说英语”和“哈沃英语”提供账户信息和订单信息,侵犯原告个人信息权益。
(一)关于第一项被控侵权行为
1.关于原告主张的事实
被告对原告上述证据真实性认可、证明目的不认可。本院对上述证据真实性及其证明的事实予以确认,认定被告曾于2021年1月15日向原告发送3条短信,于2021年3月24日向原告发送1条短信。
2.关于被告抗辩的事实
针对原告主张的第一项侵权行为,被告抗辩,涉案手机号是由被告合作的线下体验店收集,线下体验店使用被告CRM系统开通了原告体验课账号、发送提示短信,并提交如下证据:
进入“销售管理”-“学员搜索”页面,在“手机”一栏中输入130****0038,出现该手机号对应条目。
3.双方当事人针对第一项侵权行为的意见梳理
第一,关于该项行为涉及的信息内容和属性。原告主张手机号码和配置的账号密码均可作为识别个人身份的信息,属于个人信息。被告认为单纯的手机号,并无原告姓名,不构成个人信息,账号密码系被告为原告配置,也非原告个人信息。
第三,关于发送短信的行为是否侵权。原告主张,根据民法典的规定,只要实施未经同意发送短信的行为,及构成对原告私人生活安宁的侵害,而不需考虑损害程度。与此同时,由于互联网经济为注意力经济,注意力是商家争夺的稀缺资源,发送营销短信会唤醒屏幕亮起,起到吸引注意力的作用,而面对营销短信,原告需要耗费精力查看手机,并查询配置账号的原因,陷入不确定性的不安状态,据此对原告产生了精神方面困扰。被告认为,涉案短信为线下体验店所发,其并无侵害原告生活安宁的主观故意,且仅发送了3条短信,并未反复发送短信侵扰原告生活,也未给予原告造成任何精神和财产损失,故并不构成对原告隐私权的侵害。
(二)关于第二项被控侵权行为
2.双方当事人针对第二项侵权行为的意见梳理
(三)关于第三项被控侵权行为
原告于2021年1月20日、24日通过电子存证方式对以下录屏和截屏进行证据保全,用以证明被告未经同意向其关联产品“多说英语”和“哈沃英语”提供账户信息和订单信息。上述录屏显示:
被告对原告上述证据真实性认可、证明目的不认可。本院对上述证据真实性及其证明的取证过程呈现的事实予以确认。
3.双方当事人针对第三项侵权行为的意见梳理
第一,关于该项行为涉及的信息内容和属性。原告主张“51talk”共享给“多说英语”和“哈沃英语”的信息包括账户密码和订单信息,该信息属于个人信息。被告对此不予认可。
第二,关于行为是否侵权。原告主张“51talk”“多说英语”和“哈沃英语”三款软件产品设计和用户定位完全不同,“51talk”是一对一外教,主要针对青少年学员,“哈沃英语”是一对多教授英语,“多说英语”针对全年龄段,还有用户社交功能。因此,用户使用一款软件,并无跨越使用另一款软件的期待,被告将“51talk”的信息共享给“多说英语”和“哈沃英语”的行为应属于向他人提供信息的行为,应当遵循合法正当必要原则,且征得用户的单独同意。对此,被告认为,三款软件属于互补的关系,用户根据其需要可同时使用三款产品,产品设计时对三款软件账户和密码实施互通是为了方便用户,避免用户使用不同软件时发生混淆输错密码,这是行业内普遍做法。
(一)关于查阅复制个人信息
关于查询信息范围,原告要求被告提供其收集和原告提供的全部个人信息。被告表示,其提供的CRM系统后台截图中显示的涉案信息即为所有其收集存储的原告个人信息,其已通过提交证据的方式向原告提供。对此,原告表示不认可,认为上述信息并不完整,例如,画像标签信息与被告软件页面所收集的内容并不一致,且截图内容模糊,难以看清。被告回应,并非所有原告填写的信息都会收集。原告不认可被告该项意见,但表示,为解决争议,同意以被告当庭承诺的情况为准,但认为被告在今后的运营中应受此承诺的约束,如今后发现被告存储有CRM系统之外的个人信息,应承担相应责任。
(二)关于停止侵权、删除个人信息和赔礼道歉
原告主张其在诉讼中仍收到被告发送短信,对于被告是否还会继续侵权,存在不确定性,故要求被告停止向原告手机发送短信。对此,被告表示,被告已将原告账户注销,删除包括原告手机号在内的所有信息,故不可能再向原告发送短信。
原告主张被告违法收集和处理其个人信息,应当予以删除。被告表示,目前已删除原告全部个人信息,注销原告账户。原告认可其账户已无法登陆。诉讼中,本院组织双方对被告后台CRM系统进行勘验。
此后,本院再次组织双方对被告后台CRM系统进行勘验,搜索上述两个号码,均在搜索栏目中可自动联想显示该号码,但搜索后显示无对应内容。对此,原告表示对于真实性、合法性无异议,但是依然表示存在自动联想功能,并主张可能除此端口外,另有其他的数据库存有原告的信息。对于被告应如何展示后台数据的方式,原告表示应由被告尽到举证责任,原告无能力提出举证方式。
原告主张被告对于三项侵权行为,以及侵害原告查询权、删除权等行为,在51talk网站和软件首页进行公开赔礼道歉。对此,被告表示,仅发送3条信息,对原告的损失轻微,原告亦无证据证明造成的损害范围,故在网站和软件首页位置道歉缺乏依据。
(三)关于赔偿损失
原告主张赔偿损失范围包括费用**元、取证费1400元。
关于律师费,原告提供律师费发票,金额为**元。
关于取证费,原告提供浙江**科技有限公司“信息技术服务费”发票,金额为1200元;真相网络科技(北京)有限公司“专业技术服务费”,金额为200元。
被告对上述证据真实性认可,证明目的不认可,认为涉案行为并未对原告造成损害,不应进行赔偿。本院对上述证据真实性予以确认,对是否应据此予以赔偿,在后文一并详述。
本院认为,结合各方当事人的诉辩意见及在案证据,本案争议焦点为,一、被控侵权行为是否侵犯原告隐私权和个人信息权益;二、原告主张的各项诉讼请求是否成立。
一、被控侵权行为是否侵犯原告隐私权和个人信息权益
围绕第一项侵权行为,双方就手机号是否属于个人信息、被告行为是否违法、是否构成侵权均存在争议,本院逐一评述如下:
1.单独的手机号是否构成个人信息
原告主张的收集手机号和为手机号配置账户密码的行为,均为围绕手机号进行的处理行为,而当事人双方对手机号是否属于个人信息存在争议,故需先明确手机号的属性。
2.被告是否存在收集原告手机号、分配对应账户和密码、发送短信的行为
根据原告手机收到被告发送分配账户密码信息的既有事实,结合短信发送的一般技术原理、短信营销的商业过程,可推断存在以下信息处理行为:获取原告手机号码——为该手机号配置对应账户和密码——向原告手机发送通知短信。双方对上述过程不持异议,但对实施上述行为的主体存在争议,故需先确定由谁实施了上述行为。
3.前述行为是否侵犯原告个人信息权益
4.上述行为是否构成对原告隐私权的侵害
《民法典》第一千零三十二条第二款规定,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。根据上述规定,隐私权主要包括私人生活安宁和私人生活秘密两部分内容。根据前文已查明的事实,被告确存在未经同意,向原告发送手机短信的行为。由于单纯的手机号码尚未达到私密信息的程度,故此处着重考察上述行为是否构成对隐私权中私人生活安宁的侵害。
综上,本院认定,被告作为专业的网络个人信息处理者,违法获取原告手机号并向其发送营销信息,构成对原告私人生活安宁权的侵扰,侵犯了原告的隐私权。
围绕第二项侵权行为,双方就用户画像信息是否属于个人信息、被告行为是否履行合同所必需、是否属于强制收集均存在争议,本院逐一评述如下:
结合《民法典》和《个人信息保护法》关于个人信息的定义,判定某项信息是否属于个人信息,可通过以下两种路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人;同时,识别个人的信息可以是单独的信息,也可以是信息组合。二是关联,即从个人到信息,如已识别或可识别特定自然人,则在该特定自然人活动中产生的信息即为个人信息。与此同时,上述定义体现出个人信息的界定存在一定的相对性,特别是对于需要与其他信息结合才能识别特定自然人的间接识别信息,其是否可被认定为个人信息,不仅取决于信息本身的特性,往往还需考量具体的使用场景、处理方式、信息处理主体对于信息的控制范围和能力等。
综上,被告未事先征得原告有效同意,在“51talk”和“多说英语”两款产品中强制收集原告职业、学龄阶段、英语水平、学习目的等用户画像信息的行为构成侵权。
围绕第三项侵权行为,双方就账户密码和订单信息是否属于个人信息、被告行为是否构成侵权存在争议,本院逐一评述如下:
1.账户密码信息和订单信息是否属于个人信息
如前所述,个人信息认定的关键在于是否具有“可识别性”,账户密码信息作为常用的网络用户账户身份验证方式,与特定账户使用者身份通常具有一一对应关系,也就是说,特定账户密码作为应用程序判断特定使用者身份的机器语言,本身即可作为识别特定使用者身份的信息,起到识别特定自然人的效果,《个人信息安全规范》第3.1条亦明确将网络身份标识信息纳入个人信息的列举范围,故涉案账户密码信息属于个人信息。
2.被告将上述信息同步给关联产品的行为是否构成对原告个人信息的侵害
若不考虑原告账户“被注册”、未勾选同意界面的特殊情节,以被告普通用户界面设计情况考量,则需进一步考察被告是否就上述“信息同步”行为取得了有效的用户同意。衡量是否获取了有效的知情同意,需考察一般理性用户在具体场景下,对信息处理主体处理特定信息的目的、方式和范围知晓的清晰程度,以及作出意愿表示的自主、具体、明确程度。上述评判应符合一般社会公众的合理预期和认知水平,并与信息处理的具体场景和方式相匹配。本案中,被告抗辩其通过《51Talk用户协议》第一款,对信息处理范围进行了告知,对此,本院结合上述因素评述如下:
二、原告主张的各项诉讼请求是否成立
(一)关于查询和复制个人信息副本
关于查询和复制的范围,本案中,根据原告取证的侵权行为可见,被告存在对于原告手机号码、账户信息、订单信息、用户画像和特征标签信息等的收集行为,被告提供的CRM系统截图与上述信息内容基本吻合,且CRM系统截图内容与法庭现场勘验的CRM系统后台运行情况相符,故本院对被告CRM系统截图内容所反映的信息处理情况的真实性予以确认。在此基础上,原告主张被告提供的CRM截图不完整,未包含其曾填写的“学习目的”这一内容,故质疑被告可能在CRM系统截图之外还存储有其他个人信息。对该项争议,双方均未要求对被告后台数据存储情况进一步调查,原告在庭审中表明可通过被告单方承诺、并在今后运营过程中受此约束的方式进行确认。本院对双方认可的处理方式不持异议,故结合现场勘验过程中被告后台数据展示情况和被告庭审陈述情况,确定被告个人信息控制和处理范围为其CRM系统截图中展示的内容。
故此,本院虽对被告提供个人信息的范围和内容不持异议,但认为其未能及时、清晰地提供个人信息副本,此种情况下,本院对原告要求被告提供个人信息副本的诉请予以支持。本院进一步指出,为保障用户个人信息查询复制权的顺畅行使,倡导个人信息处理者提供便捷、规范的查询复制渠道,例如,可借鉴银行电子账单查询的方式,在软件中开发个人信息查询功能,方便信息主体便捷地访问和下载自身的个人信息。
(二)关于停止侵权、删除信息和赔礼道歉
综上所述,依照《中华人民共和国民法典》第一千零三十二条、一千零三十三条、一千零三十四条、一千零三十五条、一千零三十七条之规定,判决如下:
一、被告北京大生知行科技有限公司于本判决生效之日起十日内向原告罗某提供清晰的个人信息副本,具体内容需经本院审核;
二、被告北京大生知行科技有限公司于本判决生效之日起停止关于原告名下131****8688和130****0038两部手机号码及其用户画像信息、账户密码信息、订单信息等个人信息的处理行为;
三、被告北京大生知行科技有限公司于本判决生效之日起删除原告名下131****8688和130****0038两部手机号码及其用户画像信息、账户密码信息、订单信息等个人信息(已执行);
四、被告北京大生知行科技有限公司于本判决生效之日起十日内以书面形式向原告罗某赔礼道歉,致歉内容须经本院审核,如逾期不履行该义务,本院将选择一家全国公开发行的报纸刊登本判决主要内容,费用由被告北京大生知行科技有限公司负担;
五、被告北京大生知行科技有限公司于本判决生效之日起十日内赔偿原告罗某费用**元、取证费1400元,共计2900元;
六、驳回原告罗某的其他诉讼请求。
案件受理费300元,由被告北京大生知行科技有限公司负担(于本判决生效之日起七日内交纳)。
如不服本判决,可以在判决书送达之日起十五日内,向本院递交上诉状,上诉于北京市第四中级人民法院。