近期上海一中院和宝山法院分别在其公众号发布案件,裁判结果均要求技术方与业务方承担共同侵权责任,但案件事实确不尽相同。
1、一中院:网购保险后信息遭泄露,赔了!案号:(2024)沪01民终410号
2、宝山法院:收到不实骚扰短信,何人需要担责?案号:未检索到
本文旨在厘清复杂业务关系、民事法律关系之下的数据处理关系。
民法知识薄弱,文末有个疑问求指导。
一、案件情况
(一)保单信息泄漏案
原告于保险经纪公司A处购买保险公司B的产品,A引导原告前往技术服务方(保险电商网站)C实际运营的网站注册、购买保险。后发现用其手机号在搜索引擎检索可以查到其保单信息,网址就是C的域名。
裁判文书的论述二者构成共同处理只要从以下三方面论述:
一是,购买案涉保险之时,保险经纪公司引导具有投保需求的用户使用被技术服务方运营的网站填写信息完成下单操作,二者对于个人信息的收集及嗣后使用、传输等具有共同目的。在此过程中,并无证据表明保险经纪公司曾事先向原告披露填写信息的系统系由被技术服务方运营,原告作为难以该网站与保险经纪公司之间的内部关系。因此,对于用户而言,两家公司具有共同处理其个人信息的外观表象。
二是,被保险经纪公司在其与保险公司间的合作中,将涉案网站列为其网站并与合作方约定依托该网站进行互联网销售。同时,根据被技术服务方自认,其可以获取原告填写的全部信息,原告在网站填写保险单信息后,被技术服务方将填写的信息直接传至保险公司,保险公司确认后再将保险单信息回传至被技术服务方,事实上,保险公司仅与保险经纪公司存在合作协议,因此保险经纪公司以自己名义将被技术服务方的网站作为合作平台与被保险公司的系统对接,从前述合作模式及对应的个人信息流转过程来看,业务合作方主体系保险经纪公司,系统运营及个人信息的传输方系被技术服务方,保险经纪公司和被技术服务方对于“通过网站收集用户个人信息”“通过网站向保险公司传输及接收个人信息”有着明显合意,进而对其间所涉及的个人信息处理方式亦属于共同决定。
其三,在被技术服务方因监管文件的要求而停止服务时,自2021年2月1日起保险经纪公司承接相关权利义务并对外向用户提供服务,案涉个人信息亦应一并由保险经纪公司负责,也印证两公司共同决定相关用户个人信息的处理方式。
最终因保单信息泄漏侵害个人信权益,C承担1万元人民币的赔偿责任,A承担连带赔偿责任。
保险公司B因充分提交证明其已采取中分技术保护措施防止泄漏且亦无明确证据证明B实施了泄漏责任,故免责。
(二)不实催收信息案
原告收到了错误的催收信息,将短信渠道方及短信内容提供方均告上法庭。
短信内容提供方因未经原告同意向其发送错误的催收信息同时侵害隐私及个人信息权益,应当停止侵权、赔礼道歉并赔偿900元。
短信渠道方由于未能证明其尽到合理审查义务,承担共同侵权责任。
二、启示
这两个案件看似类似,都是技术服务商承担了共同侵权责任,但背后的法律关系其实完全不同。
(一)关于个人信息共同处理的认定
技术服务商如果希望被免于认定为个人信息处理者,应当避免直接为客户提供服务。尤其要避免使用自身的域名,此外也要在相关协议文本中充分披露,自己只是工具人。
在本案中,个人认为保险经纪公司拥有对相关客户数据的完全掌控,如查阅复制、引导技术公司与保险公司进行系统对接等,应为个人信息处理者。而技术公司只是因为用其独立的网站与客户交互未显著提示,此外检索到的保单链接域名也是其名下的,故被认定为直接个人信息处理者。反而是保险经纪公司对其承担连带赔偿责任。
还是稍有冤枉。引申一下,类似的电商平台该如何免责,就是一个更宏大的话题了。
(二)保险公司的免责
本案中保险产品的发行方免责,其免责的论述理由,对于其他金融产品管理人不被代销机构拉下水亦有非常大的借鉴意义。
法院的论述逻辑如下:
一是,未直接与客户接触且在保存外未作其他个人信息处理。保险公司并未直接对外与原告对接,保险公司确认保险单信息后将保险单回传给网站。同时,案涉保险单到期后,保险公司仅负有系依法“保存”义务,而不再或较少涉及其他个人信息处理活动。
二是泄漏渠道查明且保险公司已采取充分技术保护措施。信息泄露所处环节已被查明,在案并无证据证明保险公司实施了信息泄露行为,其亦已充分说明并提交证据证明其已采取相应技术措施防止个人信息被泄露。
总结下来就是,(1)不直接与客户交互;(2)采取充分技术保护措施;(3)能证明不是从自己这里泄漏的。
(三)短信渠道方的核实责任
本案中,短信渠道方明知短信是催收类短信的情况下,仍然向外发送,导致原告的隐私权及个人信息受到侵犯,应当视为未尽到审慎义务,需承担共同侵权责任。
由此来看,短信渠道方除了在合同中约束短信发送方外,对于涉及催债等可能严重侵扰当事人私人生活安宁的短信,应当要求短信内容提供方提供合理证明依据。这个义务其实就非常高了,生意不好做呀。
此前也有被为共同处理的案例,如下:
在无证据证明短信内容提供者的情况下,法院认定短信平台端口提供者、平台运营商均为个人信息处理者。双方未告知并取得原告的同意即处理其个人信息,侵害原告个人信息权益,应当依法承担连带责任。且二者之间关于权利义务的内部约定,不影响对外侵权责任的承担。 公众号:江西法院
江西高院发布2023年度全省法院贯彻实施民法典十大典型案例
但我有个疑问,希望民法大佬解惑。短信渠道方和短信内容提供方并不必然构成个人信息的共同处理。短信渠道方能证明其并不共同决定原告的个人信息处理目的,即为受托处理方。
受托处理方在委托方约定的范围内处理个人信息的,即无需承担个人信息权益的侵权责任。
此时,法院是否还可以认定共同侵害隐私权,要求二者承担连带责任?
