數(shù)據(jù)保護典型案例與執(zhí)法監(jiān)管動態(tài)—2022年3·15曝光典型案例分析(一)
作者:王良 2022-03-21一、數(shù)字經(jīng)濟衍生出新類型數(shù)據(jù)保護違法案件
2022年3·15消費者權(quán)益保護日,央視媒體曝光了一批嚴重侵害消費者權(quán)益的案件。其中,有五起案例與個人信息與數(shù)據(jù)保護相關,涉及技術(shù)手段操縱搜索結(jié)果、誘騙下載惡意APP應用程序、非法收集用戶電話號碼進行電話騷擾、軟件捆綁下載以及可穿戴設備軟件與數(shù)據(jù)安全等。 案例一:口碑營銷公司操縱搜索結(jié)果 深圳英邁思信息技術(shù)有限公司等多家口碑營銷公司,利用虛擬賬號或雇傭水軍,冒充真實用戶自問自答誤導網(wǎng)民。他們還利用“萬詞霸屏”的技術(shù),通過對上萬個海量關鍵詞的設定,讓用戶在搜索時,被推廣公司始終能排在前面。而對于一些用戶發(fā)布的批評性報道、用戶投訴等,他們也會利用技術(shù)手段,直接讓網(wǎng)頁無法顯示,還可以對網(wǎng)友發(fā)布的帖子進行標題修改。 案例二:免費Wi-Fi為名誘騙用戶下載惡意APP 在APP應用市場,WiFi破解精靈、越豹WiFi助手、雷達WiFi等可以提供“免費WiFi連接”服務的應用程序。用戶下載使用后發(fā)現(xiàn),想要的免費WiFi無法使用,手機里卻多了很多其他的應用程序。這類免費WiFi應用程序還在后臺大量收集用戶信息,不斷定位用戶的生活軌跡、行蹤,甚至是職業(yè)、喜好等,各種廣告自動彈出,無法即時關閉。 案例三:不堪其擾的騷擾電話 用戶用手機瀏覽某些網(wǎng)站時,手機識別碼MAC號被非法采集,雖然沒有留下電話號碼,卻接到了相關行業(yè)推銷電話。杭州以漁信息技術(shù)公司、鄭州綠牽網(wǎng)絡科技公司等企業(yè)抓取網(wǎng)站用戶瀏覽數(shù)據(jù),讓騷擾電話變得更加精準。而融營通信、容聯(lián)七陌等個別企業(yè)卻為電話營銷公司非法搭建外呼系統(tǒng),幫助騷擾電話逃避監(jiān)管。 案例四:高速下載實為捆綁下載 在PC6下載站、桔梗下載站、騰牛網(wǎng)、ZOL軟件下載平臺,用戶使用百助旗下公司研發(fā)的下載器,如果選擇高速下載,就會被誘導到捆綁下載陷阱。用戶即使將所有默認勾選取消掉,關閉下載器,也會有彈窗廣告。如果用戶試圖關閉廣告,就很可能會被偷偷安裝其它軟件。馬鞍山百助網(wǎng)絡公司專門向軟件下載網(wǎng)站提供下載器,他們把下載器偽裝成高速下載界面,誘騙用戶點擊下載,甚至強制用戶安裝不需要的捆綁軟件,以此獲得高額推廣收入。 案例五:低配的兒童智能手表成“行走的偷窺器” 一些生產(chǎn)廠家生產(chǎn)的兒童手表,選用低版本的操作系統(tǒng),忽略了用戶使用的安全性,惡意程序可輕松進入到智能手表中。無需用戶授權(quán)就可以拿走定位、通訊錄、麥克風、攝像頭等多種敏感權(quán)限,輕易獲取孩子的位置、人臉圖像、錄音等隱私信息。 二、新類型數(shù)據(jù)保護案件的法律適用分析 (一)涉案公司利用技術(shù)手段影響用戶選擇的行為涉嫌反不正當競爭 網(wǎng)絡經(jīng)營者應當誠實守信經(jīng)營,維護正常的市場競爭秩序,尊重消費者的選擇權(quán),不得利用技術(shù)手段,通過影響用戶選擇或者其他方式,妨礙、破壞其他經(jīng)營者合法提供的網(wǎng)絡產(chǎn)品或者服務正常運行的行為。《電子商務法》要求網(wǎng)絡經(jīng)營者提供不針對個人特征的選項,《個人信息保護法》明確規(guī)范自動化決策,應當保證決策的透明度和結(jié)果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。自2022年3月1日起施行的《互聯(lián)網(wǎng)信息服務算法推薦管理規(guī)定》則明確要求,算法推薦服務提供者不得利用算法虛假注冊賬號、非法交易賬號、操縱用戶賬號或者虛假點贊、評論、轉(zhuǎn)發(fā),不得利用算法屏蔽信息、過度推薦、操縱榜單或者檢索結(jié)果排序、控制熱搜或者精選等干預信息呈現(xiàn),實施影響網(wǎng)絡輿論或者規(guī)避監(jiān)督管理行為。 案例一中的涉案企業(yè)提供的“萬詞霸屏服務”就是利用技術(shù)手段,將其生成的“垃圾網(wǎng)頁”植入到第三方網(wǎng)站中,生成“虛假網(wǎng)頁”,并將虛假網(wǎng)頁與搜索關鍵詞相關聯(lián)。用戶一旦觸發(fā)搜索關鍵詞,百度搜索結(jié)果首頁中一條甚至幾條搜索結(jié)果均為二被告制造的虛假網(wǎng)頁,即稱“霸屏”。根據(jù)相關法律規(guī)定,涉案公司的上述行為涉嫌擾亂競爭秩序、妨礙公平競爭,市場監(jiān)督管理部門可以責令停止違法行為,處十萬元以上五十萬元以下的罰款;情節(jié)嚴重的,處五十萬元以上三百萬元以下的罰款。此外,被侵權(quán)方也可以選擇提起民事訴訟,要求停止妨礙、賠償損失。 2022年初,百度公司針對一家提供“萬詞霸屏服務”的公司提起訴訟。百度公司認為,“萬詞霸屏”實質(zhì)是通過技術(shù)手段,欺騙百度搜索服務,干擾百度搜索正常結(jié)果排序,導致用戶無法獲得真實、客觀的搜索結(jié)果,構(gòu)成不正當競爭。該案目前正在由鄭州市中級法院審理中,但我們認為,涉案公司行為的違法顯而易見,網(wǎng)絡交易經(jīng)營者不得違反《反不正當競爭法》,實施擾亂市場競爭秩序,損害其他經(jīng)營者或者消費者合法權(quán)益的不正當競爭行為,不得作虛假或者引人誤解的商業(yè)宣傳,欺騙、誤導消費者。而對于網(wǎng)絡經(jīng)營者與他人簽訂的以虛構(gòu)交易、虛構(gòu)點擊量、編造用戶評價等方式進行虛假宣傳的合同,也得不到法律的保護。根據(jù)《最高人民法院關于審理網(wǎng)絡消費糾紛案件適用法律若干問題的規(guī)定(一)》,此類合同無效。 (二)APP運營商誘導用戶下載APP行為違法 案例二中的涉案企業(yè),以免費Wi-Fi為名誘騙用戶下載惡意APP,該種行為涉嫌違法。根據(jù)法律規(guī)定,APP運營商應當保護用戶的合法權(quán)益,在用戶終端上進行軟件下載、安裝、運行、升級、卸載等操作的,應當提供明確、完整的軟件功能等信息,并事先征得用戶同意,不得欺騙、誤導或者強迫用戶使用或者不使用其他互聯(lián)網(wǎng)信息服務提供者的服務或者產(chǎn)品,也不得通過誤導、欺詐、脅迫等方式獲得個人的同意,惡意收集和處理用戶的敏感個人信息。此外,APP發(fā)布、發(fā)送廣告,不得影響用戶正常使用網(wǎng)絡。在互聯(lián)網(wǎng)頁面以彈出等形式發(fā)布的廣告,應當顯著標明關閉標志,確保一鍵關閉。 《移動互聯(lián)網(wǎng)應用程序信息服務管理規(guī)定》更加明確要求應用程序提供者應當嚴格落實信息安全管理責任,依法保障用戶在安裝或使用過程中的知情權(quán)和選擇權(quán),未向用戶明示并經(jīng)用戶同意,不得開啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能,不得開啟與服務無關的功能,不得捆綁安裝無關應用程序。國家互聯(lián)網(wǎng)信息辦公室2022年1月5日發(fā)布的《移動互聯(lián)網(wǎng)應用程序信息服務管理規(guī)定(征求意見稿)》第十條也規(guī)定,應用程序提供者應當規(guī)范經(jīng)營管理行為,不得通過虛假宣傳、捆綁下載等行為,或者利用違法和不良信息誘導用戶下載,不得通過機器或人工方式刷榜、刷量、控評,營造虛假流量。 而對于此類APP應用程序,依據(jù)《個人信息保護法》等相關規(guī)定,工信部可以責令暫停或者終止提供服務;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。 (三)網(wǎng)絡經(jīng)營者非法收集個人信息用于精準營銷涉嫌違法 個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息。案例三中的涉案企業(yè),非法采集了網(wǎng)頁瀏覽者手機中的 MAC 號,并且以MAC號作為基礎的身份識別,對接營銷公司自有數(shù)據(jù)、廣告投放數(shù)據(jù)和第三方數(shù)據(jù),匹配到用戶的手機號碼,從而實現(xiàn)呼叫網(wǎng)站瀏覽者的非法“精準營銷”。 根據(jù)《個人信息保護法》第十條的規(guī)定,任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》第八條也規(guī)定,任何個人和組織開展數(shù)據(jù)處理活動應當遵守法律、行政法規(guī),尊重社會公德和倫理,不得通過竊取或者以其他非法方式獲取數(shù)據(jù),非法出售或者非法向他人提供數(shù)據(jù)。任何個人和組織知道或者應當知道他人從事前款活動的,不得為其提供技術(shù)支持、工具、程序和廣告推廣、支付結(jié)算等服務。 (四)誘導用戶捆綁安裝無關應用程序?qū)儆诰W(wǎng)絡侵權(quán)行為 互聯(lián)網(wǎng)信息服務終端軟件捆綁其他軟件的,應當以顯著的方式提示用戶,由用戶主動選擇是否安裝或者使用,并提供獨立的卸載或者關閉方式,不得附加不合理條件。案例四中的涉案企業(yè),誘導用戶捆綁安裝下載軟件,侵害用戶知情權(quán)及自主選擇權(quán),用戶可據(jù)此主張經(jīng)營者依法承擔侵權(quán)責任。此外,電信管理機構(gòu)有權(quán)依據(jù)《規(guī)范互聯(lián)網(wǎng)信息服務市場秩序若干規(guī)定》第九條,對該經(jīng)營者處以警告,可以并處一萬元以上三萬元以下的罰款,向社會公告。 在李某訴北京獵豹移動科技有限公司網(wǎng)絡侵權(quán)責任糾紛案,一審案號:上海市長寧區(qū)人民法院(2020)滬0105民初4669號,原告李某登錄下載“金山毒霸”產(chǎn)品后,發(fā)現(xiàn)“軟件管家”及“獵豹護眼大師”兩款軟件被捆綁安裝,遂訴至法院,要求停止侵權(quán)并賠償損失。法院認為:判斷互聯(lián)網(wǎng)終端軟件是否構(gòu)成捆綁安裝,應當從外觀表現(xiàn)和實質(zhì)功能兩個方面進行考量。具體而言,在外觀表現(xiàn)方面,應審查捆綁軟件對應功能是否存在獨立軟件產(chǎn)品、是否可以獨立下載安裝及卸載等。實質(zhì)功能方面,應審查被捆綁的“內(nèi)置功能”的核心功能是否與主軟件功能緊密相關,是否系實現(xiàn)主軟件功能所必需。經(jīng)營者提供軟件捆綁下載及安裝服務時,如未盡到以合理方式事先提示和告知義務,未賦予消費者選擇單獨下載的權(quán)利和獨立卸載的功能的,則構(gòu)成對消費者知情權(quán)及自主選擇權(quán)的侵害,依法應承擔侵權(quán)責任。 (五)可穿戴設備存在隱私保護與個人信息安全問題 可穿戴設備主要收集用戶的生理活動、生活偏好、行為習慣和行動軌跡等敏感個人信息,很多生物特種識別技術(shù)應用在可穿戴設備上。這些數(shù)據(jù)一般會通過藍牙、WIFI傳輸?shù)皆贫嘶蛞苿釉O備,一旦發(fā)生泄露,將會對用戶的隱私造成損害,隱私保護與個人信息安全成為可穿戴設備企業(yè)亟需解決的問題。有數(shù)據(jù)顯示,可穿戴設備企業(yè)因用戶隱私數(shù)據(jù)問題產(chǎn)生法律訴訟、遭到行政處罰不在少數(shù)。案例五中的涉案企業(yè)生產(chǎn)的兒童智能手表,因安全能力不達標現(xiàn)已被停止銷售。同時,該類兒童智能手表存在軟件安全問題,可能導致兒童隱私與敏感個人信息泄露的重大風險。 根據(jù)《兒童個人信息網(wǎng)絡保護規(guī)定》,網(wǎng)絡運營者應當采取加密等措施存儲兒童個人信息,確保信息安全。網(wǎng)絡運營者收集、存儲、使用、轉(zhuǎn)移、披露兒童個人信息的,應當遵循正當必要、知情同意、目的明確、安全保障、依法利用的原則。其在收集、使用、轉(zhuǎn)移、披露兒童個人信息的,應當以顯著、清晰的方式告知兒童監(jiān)護人,并應當征得兒童監(jiān)護人的同意;不得收集與其提供的服務無關的兒童個人信息,不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集兒童個人信息;存儲兒童個人信息,不得超過實現(xiàn)其收集、使用目的所必需的期限。 案例五中的涉案企業(yè)網(wǎng)絡運營者落實兒童個人信息安全管理責任不到位,網(wǎng)信部門依據(jù)職責可以對涉案企業(yè)進行約談,涉案企業(yè)也應當及時采取措施進行整改,消除隱患。 三、2022年數(shù)據(jù)執(zhí)法與監(jiān)管動態(tài) (一)從保護“消費者基本權(quán)利”到對“數(shù)據(jù)主體權(quán)利”的關注與保護 本年度消費者權(quán)益保護日媒體所曝光的13個案件中,有5起涉及數(shù)據(jù)主體權(quán)利保護的問題。隨著我國數(shù)字經(jīng)濟的日益發(fā)展,數(shù)字經(jīng)濟衍生出越來越多的新型數(shù)據(jù)保護違法案件,執(zhí)法與監(jiān)管機構(gòu)勢必也會越來越關注此類案件,加大執(zhí)法力度。 我國的《消費者權(quán)益保護法》規(guī)定了消費者享有安全權(quán)、知情權(quán)等九項權(quán)利。《個人信息保護法》的頒布,豐富了個體的權(quán)利類型,個人擁有的權(quán)利包括:知情決定權(quán)、查閱復制權(quán)等。隨著《個人信息保護法》不斷的貫徹和實施,更多個體隱私保護意識得到加強,權(quán)利行使也會更加積極。企業(yè)除了需要保護消費者的權(quán)益外,還應當應重視對消費者作為數(shù)據(jù)主體權(quán)利的保障。如下為兩部法律個人權(quán)利的列表: (二) App專項整治縱深推進,重點監(jiān)管覆蓋應用商店、SDK、終端企業(yè)、重點互聯(lián)網(wǎng)企業(yè) 針對個人信息安全,重點聚焦違規(guī)調(diào)用手機權(quán)限、超范圍收集個人信息等問題,工信部門連續(xù)幾年一直推進APP專項整治,建成全國APP檢測平臺。根據(jù)工信部的近期通告,2022年工信部將堅持綜合治理,完善全鏈條監(jiān)管;重點突出關鍵責任鏈監(jiān)管,對應用商店、第三方軟件開發(fā)工具包(SDK)、終端企業(yè)、重點互聯(lián)網(wǎng)企業(yè)等實現(xiàn)監(jiān)管全覆蓋。 隨即,工信部發(fā)布《關于侵害用戶權(quán)益行為的APP通報(2022年第1批,總第21批)》指出,檢測的13款內(nèi)嵌SDK存在違規(guī)收集用戶設備信息的行為。企業(yè)應依據(jù)最新執(zhí)法動態(tài),分重點、分階段地深化和推進APP合規(guī)管理以及個人信息保護安全管理工作。 (三)算法透明并強化算法推薦服務提供者的主體責任,算法綜合治理專項行動持續(xù)開展 2021年9月,國家互聯(lián)網(wǎng)辦公室等九部委發(fā)布《關于加強互聯(lián)網(wǎng)信息服務算法綜合治理的指導意見》(國信辦發(fā)文〔2021〕7號),提出利用三年左右時間,逐步建立治理機制健全、監(jiān)管體系完善、算法生態(tài)規(guī)范的算法安全綜合治理格局。《互聯(lián)網(wǎng)信息服務算法推薦管理規(guī)定》提出建立算法安全評估機制、開展算法監(jiān)督檢查,嚴厲打擊算法歧視、“大數(shù)據(jù)殺熟”、誘導沉迷等算法不合理應用等違法違規(guī)行為。 2022年3月,國家網(wǎng)信辦啟動“清朗·算法綜合治理”專項行動。專項行動將聯(lián)合有關部門深入檢查各類算法應用的情況,針對違反《互聯(lián)網(wǎng)信息服務算法推薦管理規(guī)定》的現(xiàn)象和行為,依法依規(guī)進行懲治和處罰,嚴厲打擊算法違法違規(guī)行為;同時也督促企業(yè)開展算法備案,履行好主體責任。 (四)個人信息保護納入檢察公益訴訟法定領域,民事公益訴訟與刑事附帶民事公益訴訟的辦案力度加大 《個人信息保護法》專門設立公益訴訟條款,明確將個人信息保護納入檢察公益訴訟法定領域。最高人民檢察院隨即下發(fā)《關于貫徹執(zhí)行個人信息保護法推進個人信息保護公益訴訟檢察工作的通知》,明確將個人信息保護作為網(wǎng)絡侵害領域的辦案重點。包括:生物識別、宗教信仰、特殊身份、醫(yī)療健康、金融賬號、行蹤軌跡等敏感個人信息應當嚴格保護;兒童、婦女、殘疾人、老年人、軍人等特殊群體的個人信息需要特別保護;教育、醫(yī)療、就業(yè)、養(yǎng)老、消費等重點領域處理的個人信息,以及處理100萬人以上的大規(guī)模個人信息應當重點保護;對因時間、空間等聯(lián)結(jié)形成的特定對象的個人信息加強精準保護。 在最高檢近期發(fā)布的11件典型案例中,民事公益訴訟案件包括互聯(lián)網(wǎng)企業(yè)違法違規(guī)收集個人信息和非法獲取個人信息并進行消費欺詐等問題;刑事附帶民事公益訴訟案件涉及通過技術(shù)軟件、物業(yè)服務等不同手段非法獲取并交易個人信息問題。除了依法打擊行為人侵犯公民個人信息的犯罪行為,檢察機關還將網(wǎng)絡運營者作為共同被告要求承擔公益損害責任。為此,企業(yè)應加強數(shù)據(jù)合規(guī)體系的建設,保護好用戶的個人信息,避免因公益訴訟帶來的經(jīng)濟與聲譽損失。
