自然人的个人信息承载着个人利益、企业利益和公共利益。当前个人信息过度收集、不当收集、信息滥用等现象多发,个人信息保护已经成为公众最关心、最直接、最现实的利益问题之一。如何明晰个人信息合理使用的边界,平衡利益冲突,需要在司法实践中不断探索。
本期分享的案例是一起涉员工个人信息合理使用的个人信息保护纠纷案件。人民法院从个人信息的司法认定入手,结合企业使用员工个人信息的场景,从合法、正当、必要角度逐层分析企业处理个人信息是否合理。该案获评2023年上海法院精品案例。
刘甲诉A公司等个人信息保护纠纷案
裁判要旨
企业不得过度使用其掌握的员工个人信息。认定企业使用员工个人信息是否构成合理使用,应当遵循合法、正当、必要原则,从企业使用员工个人信息的行为是否具备合法性基础,目的和手段是否正当,是否采取对个人权益影响最小的方式处理企业事务等方面判断。
在个人信息处理行为构成侵权的情况下,需根据具体的侵权样态对损害后果进行综合判断,从人格权请求权、损害赔偿请求权的角度确定具体的责任承担方式。
基本案情
刘甲曾在A公司的关联公司B公司任职。2022年初离职后,刘甲发现A公司在国家企业信用信息公示系统填报2021年企业年报信息时,在“企业联系电话”一栏填写了刘甲实名登记的手机号码。刘甲认为上述行为使公众误认为刘甲系A公司法定代表人刘乙,给刘甲的生活和工作带来极其恶劣的影响,故起诉要求A公司、刘乙停止侵权行为、赔礼道歉,并赔偿精神损失、名誉损失共计50000元。
A公司、刘乙辩称,刘甲在职期间允许A公司填报企业年报信息时使用其手机号码,公示的手机号码没有与刘甲姓名关联,与A公司无关的人员不可能通过手机号码识别到刘甲并实施侵害,刘甲也没有证据证明遭受损失。
第三人B公司同意A公司、刘乙的意见。
裁判结果
裁判思路
案例评析
一、以可识别性为核心要件认定个人信息
《中华人民共和国民法典》(以下简称民法典)第一千零三十四条第二款规定,“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”从上述规定可知,可识别性是认定个人信息的核心要件。
本案中,刘甲主张A公司不当使用其手机号码,侵犯其个人信息权益,而A公司认为手机号码没有与刘甲的姓名关联,其他人无法通过手机号码识别到刘甲并进行侵害,即仅使用刘甲手机号码不可能构成对个人信息的侵害。
笔者认为,民法典列举了几类个人信息,其中包括自然人的电话号码,刘甲的手机号码属于其个人信息是毋庸置疑的。该手机号码是刘甲实名登记的号码,与刘甲进行了关联和绑定。而在大数据时代,随处可见通过手机号码关联和绑定特定个人的场景,手机号码属于可以轻易地直接或与其他信息结合识别到特定主体的信息。并且现有环境下,通过手机号码来识别特定自然人所需的识别技术和成本并不高,获取手机号码即具有识别特定自然人的可能。因此,A公司使用刘甲手机号码时虽未与刘甲姓名关联,但并不影响将该手机号码认定为具有可识别性的个人信息并进行保护。
二、根据合法、正当、必要原则判断是否合理使用个人信息
根据民法典规定,处理个人信息,应当遵循合法、正当、必要原则。实践中,认定处理个人信息是否具有合法性,一般从两个方面考虑,即处理个人信息是否取得信息主体的同意,以及是否存在无需信息主体同意的其他法定情形。
具备上述两个条件,可以认为处理个人信息具有了合法性的基础。正当性原则要求处理个人信息符合目的正当、手段正当的要求,履行充分告知的义务,公开处理个人信息的规则等。必要性原则要求处理个人信息的手段与处理目的直接相关,采取对个人利益影响最小的方式处理,不得过度处理。
本案中,首先,从合法性角度分析:刘甲在B公司任职期间,因工作原因涉及到A公司。之所以其离职前A公司使用刘甲的手机号码进行登记,系基于取得了刘甲的默示同意。刘甲离职后,未同意A公司继续使用其个人信息。此外,将员工个人信息用于企业年报登记,并非法定的可以无需取得员工同意的情形。因此,A公司在刘某离职后使用刘甲的个人信息不具有合法性基础。
其次,从正当性角度分析:A公司填报2021年企业年度报告时,未对使用刘甲的个人信息进行相应告知。
最后,从必要性角度分析:企业年度报告公示的目的是解决交易中的信息不对称,实现以市场和社会监督为导向的报告公示和信用监管。A公司将其关联公司离职人员的手机号码作为企业联系方式进行公示,无法达到企业信息公示的目的,其个人信息处理行为不符合必要性的原则。
综上分析,A公司的行为侵害刘甲个人信息权益。
三、结合具体的侵权样态,从人格权请求权与财产损害赔偿请求权角度确定责任承担方式
实践中,侵害个人信息权益所造成的损害后果主要有以下三种样态:
一是个人信息中与财产安全紧密关联的敏感个人信息被泄露,此时损害后果往往表现为权利人的财产受到损害,例如银行账号密码被泄露,导致银行存款被转移等;
二是与特定机会相关联的个人信息被侵害,损害后果表现为交易机会丧失或可期待利益丧失,例如购房名额被冒名顶替致丧失购房资格、自然人被冒用信息登记为法定代表人致承担相应法律责任等;
三是不存在直接、明显的经济损失,例如私密信息被泄露等。
本案中,刘甲认为A公司侵犯其个人信息,主张的损害后果即社会公众可以通过企业信息查询获取其电话号码,进而拨打电话对其造成困扰。从人格权请求权角度而言,刘甲因A公司的侵权行为受到影响,综合考虑侵权行为的方式、影响及A公司的过错程度,人民法院支持刘甲要求A公司停止侵权行为、赔礼道歉的诉讼请求。同时,赔礼道歉的方式应当与侵权行为的具体方式和造成的损害范围相当。
从财产损害赔偿请求权角度,刘甲可以要求A公司承担赔偿损失的民事责任。刘甲在本案中未证明存在直接、明显的经济损失,其主张精神损害损失,但根据《中华人民共和国民法典》第一千一百八十三条第一款之规定,主张精神损害赔偿需要提供证据证明其遭受严重精神损害,才可以获得精神损害赔偿。鉴于刘甲未进行举证,人民法院未支持其此项主张。
此外,刘甲虽主张名誉损失,但A公司的侵权行为损害的是刘甲对于个人信息的自主决定权与支配权,并无证据证明有损刘甲的社会评价,刘甲要求赔偿名誉损失无事实和法律依据。
(评析部分仅代表作者个人观点)
法条链接
《中华人民共和国民法典》
第九百九十八条 认定行为人承担侵害除生命权、身体权和健康权外的人格权的民事责任,应当考虑行为人和受害人的职业、影响范围、过错程度,以及行为的目的、方式、后果等因素。
第一千条 行为人因侵害人格权承担消除影响、恢复名誉、赔礼道歉等民事责任的,应当与行为的具体方式和造成的影响范围相当。
行为人拒不承担前款规定的民事责任的,人民法院可以采取在报刊、网络等媒体上发布公告或者公布生效裁判文书等方式执行,产生的费用由行为人负担。
第一千零三十四条 自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
第一千一百八十三条 侵害自然人人身权益造成严重精神损害的,被侵权人有权请求精神损害赔偿。
因故意或者重大过失侵害自然人具有人身意义的特定物造成严重精神损害的,被侵权人有权请求精神损害赔偿。
来源:上海市高院
案例撰写人:叶莎
责任编辑:邱悦、牛晨光
编辑:马雯珺