关于个人信息的那些事儿

处理用户个人信息应获得用户有效同意

法律保障新华社发　勾建山　作

河北法制报记者　刘帅

信息时代，数据及信息的使用价值对于经济社会的便捷化、高速化发展具有重大意义，便捷门店服务给社会生活带来了便捷，但与此同时更应注重保护个人信息相关权益所有人对其个人信息享有的权益。

近日，于某在某连锁商店购买了一支牙膏，并使用支付软件进行扫码付款。付款完成后，于某发现该支付软件“支付完成”页面上最后一行以很小的字体显示“授权某购物平台获取你线下交易信息并展示”，并在其前面设置了“默认勾选”。于某担心个人信息被泄露，在尚未对该支付软件进行任何进一步确认操作的情况下，立即打开某购物平台进行登录查看，发现自己刚刚购买牙膏的交易详细信息已经显示在某购物平台的交易订单中。为了避免之后的交易行为再次被泄露，于某打开付款的支付软件，在刚刚的支付完成页面上取消勾选授权，并点击“完成”。于某想通过购买其他商品，验证取消授权是否确认完成。然而，在他再次购买了商品，用支付软件进行支付后的“支付完成”页面中却再也找不到“默认勾选”的“授权某购物平台获取你线下交易信息并展示”字样，致使于某无法操作选择取消“默认勾选”。但于某之后的多次交易仍然立即显示在某购物平台的交易订单中。

于某认为自己的商品交易活动、行踪等均属个人信息，担心个人信息及隐私有可能随时被泄露或被滥用。该连锁商店作为商品交易的经营者，将用户在其店铺的交易信息提供给网络支付平台，该网络支付平台在向用户提供支付服务的同时收集商品交易的详细信息和行踪活动，违背了网络服务经营者收集、使用个人信息应当遵循的合法、正当、必要的原则，且在未获得于某明示同意的前提下，还将非法收集的上述信息提供给某购物平台。于某认为某连锁商店、某支付软件和某购物平台的行为共同侵犯了自己对个人信息被收集、利用的知情权，以及授权他人利用的自主决定权等权利，遂将三方诉至法院，要求停止侵权、赔礼道歉并赔偿经济损失。

法院经审理后认为，于某的交易信息中包含了商品信息、店铺信息、购买时间、商品价格等，其基础性的信息均来源于用户的交易行为，通过用户的支付信息等痕迹信息可以形成用户身份识别代码，购物平台据此识别用户关联的账号等，这些信息显然可以通过与其他信息结合的方式识别出自然人的身份信息，属于个人信息。在于某整个交易过程中，某支付平台与某购物平台通过共享交易信息的方式实现了身份识别并关联生成了某购物平台的交易订单，这一行为是某连锁公司、某支付平台与某购物平台之间就于某交易信息的共享行为。而个人信息控制者只有在取得用户知情同意的情况下，方可与他人对用户的个人信息进行共享。本案中，被告在明知其使用个人信息需要事先获得用户授权的情况下，并未实际取得用户授权，使用了原告于某的个人信息，该行为侵犯了于某对其个人信息享有的权益，构成共同侵权，依法应当承担相应的侵权责任。

说法：

民法典规定，处理个人信息应当遵循合法、正当、必要原则，不得过度处理。网络运营者收集、使用个人信息应获得用户的同意，并且该知情同意应当有效。信息共享属于信息使用的一种，是信息控制者将其收集到的信息与他人进行分享的行为。信息共享涉及个人信息的再利用，可能导致个人信息的反复收集、利用，如不对此进行规制，将可能导致个人信息遭受不当使用，给个人信息的安全造成风险。

互联网平台在关联产品中共享用户个人信息的，也应获得用户有效的同意。我国网络安全法第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。第四十二条规定，网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意，不得向他人提供个人信息。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。经营者在收集、使用消费者个人信息时，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。网络运营者收集、使用用户所提供的个人信息，应当依照法律规定，使用范围限于必要范围，且应当向用户明示收集、使用信息的规则，同时应当取得用户同意。网络运营者即使向用户告知了其将共享用户的个人信息，在用户明确拒绝的情况下，亦不得再实施个人信息的共享行为。

根据民法典的相关规定，信息处理者应当“公开”处理规则、“明示”处理的目的、方式和范围。具体实践中，用户知情同意的有效性，可从信息处理者告知信息主体的“透明度”来衡量，即一般理性用户在具体场景下，对信息处理主体处理特定信息的目的、方式和范围知晓的清晰程度，以及作出意愿表示的自主、具体、明确程度。个人信息保护法第七条对此也作出了明确的要求。本案中，于某第一次支付完成后，在支付完成界面已经出现了“授权某购物平台获取你线下交易信息并展示”字样，于某应当已经知晓其交易信息会在某购物平台订单中出现，但是于某将该默认勾选取消，应当视为于某明确拒绝各被告对其个人信息实施共享行为，用户主观上不希望某购物平台获取其线下交易并进行展示，则三被告理应遵从用户意愿，不应再对用户交易信息进行共享。但各被告未遵从用户意愿，反而在后续交易中不再征求用户同意，该行为违背用户意志，不当收集和使用了用户的个人信息，侵犯了原告于某对其个人信息享有的权益。