第一千零三十八条 【信息处理者的信息安全保障义务】信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
适用指引
一、要注意与《民法典》侵权责任编相关规定的衔接适用问题
在信息网络侵权纠纷中,网络的匿名性问题导致原告难以确定侵权人的具体身份,从而难以维护自身的合法权益。
从网络服务提供者角度来看,一方面,其对网络用户个人信息负有保密义务;
另一方面,认为自己被侵权的主体往往请求网络服务提供者提供加害人的个人信息,进而确定被告并对其提起诉讼。
如果赋予原告直接要求网络服务提供者向其提供网络用户的个人信息的权利,则很容易发生借维权之名获取他人个人信息的现象,网络服务提供者也会违反相应的保密义务。
为解决原告权利保障与信息处理者保密义务间的冲突,《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》对此问题的处理思路是:原告可请求人民法院依据案件情况,责令网络服务提供者提供涉嫌侵权的网络用户的有关个人信息。
所谓根据案件情况,一是要看网络服务提供者是否以涉嫌侵权信息系网络用户发布作为抗辩事由;
二是要看原告的此项请求是否合理,与案件审理的相关性;
三是要看原告此项请求的可实现性,在技术上的可能性等。
当然,如果人民法院责令网络服务提供者提供相关信息,网络服务者无正当理由拒不提供的,人民法院可以对其采取相关处罚措施。
这种处理方式,从整体上看,是对原告要求网络服务提供者提供涉嫌侵权的网络用户个人信息的请求作出的一种司法上的审查。这既符合人民法院依职权调查取证的规则,也防止了个别人滥用权利,同时有利于网络服务提供者履行法定保密义务。
二、要注意信息处理者篡改个人信息导致个人信息发生错误时所承担的侵权责任与更正权间的关系
由于个人信息收集的常态化,即使是经过自然人允许的信息收集行为,也难免在收集、记载、转录等各个环节发生错误,错误有可能是由信息处理者的过错所导致,也有可能是权利人提供时发生错误,还有可能是由他人冒用权利人个人信息所导致。
在后两种情况下有可能出现信息处理者已经尽到审核义务但仍未发现错误的情形。
更正权的行使不以信息处理者存在过错为前提,但权利人依据《民法典》第1036条请求信息处理者更改信息后,可能要求信息处理者赔偿由于信息错误导致的相关损失,根据《民法典》侵权责任编的规定,此时应将信息处理者的过错因素考虑在内。
对于此类案件,人民法院要依法运用举证责任规则,在合理分配双方举证责任的基础上,准确查明个人信息错误是由何种原因导致,进而确定信息处理者是否存在过错,从而判决其是否承担侵权责任。
三、需注意委托处理时处理者的安全保护义务
在发生个人信息的委托处理、转让等情况时,信息处理者不仅负有征得权利人同意的义务,同时还应当对受托人、受让人以及第三方进行个人信息安全影响评估,确保受托人、受让人以及第三方达到数据能力要求,同时应当对受托人、受让人、第三方行使一定的监督。
若个人信息控制者得知或者发现受托人、受让人、第三方未按照约定要求处理个人信息,或未能有效履行个人信息安全保护责任时,应立即要求受托者停止相关行为,且采取或要求受托人、受让人和第三方采取相应技术措施或者其他必要措施,以消除或者控制个人信息面临的安全风险,必要时还应当要求受托人及时删除从个人信息处理者处获得的个人信息。
若个人信息出现泄露、篡改等情形,人民法院在考虑信息处理者是否存在过错时,应当一并就其采取必要措施义务的情况予以考量。