新京报讯(记者慕宏举)近日,新京报记者从北京互联网法院获悉了一起网络服务合同纠纷案。该案中,用户接到某电子商务平台客服的来电并报出了自己的身份证号。用户要求查阅自己在该平台上的个人信息遭拒后起诉至法院。法院认为,企业对经过去标识化处理后的个人信息进行访问所形成的访问记录,依法受法律保护,最终驳回用户的诉讼请求。
新京报记者了解到,被告北京某电子商务有限公司系某电子商务平台的经营者。原告系该平台实名认证用户。原告曾接到自称为被告公司客服的来电,沟通中对方准确报出了原告完整的身份证号。原告主张来电系由于被告违法泄露其个人信息导致,遂向被告客服电子邮箱发送邮件提出个人信息查阅请求,要求被告根据其在邮箱中提供的手机号码查阅、复制涉案账号近期的登录信息、个人身份证号码的查阅记录。被告告知原告可通过其平台网站“个人安全”界面设置查阅、复制涉案账号近期的登录信息,但不能提供原告要求的身份证号码的访问记录。原告认为被告未履行《个人信息保护法》中关于查阅个人信息的义务,遂诉至法院,请求法院判令被告提供其使用的涉案平台账号在特定期间的完整登录记录,并要求被告披露上述时间段内涉案平台获取原告身份证号码的访问记录。案件审理中,被告同意向原告提供涉案账号的登录记录。
法院经审理认为,本案争议焦点为,企业在内部管理中对用户个人信息的访问所形成的访问记录,是否属于个人信息是本案争议焦点。本案中,不论从识别还是关联角度,本案中被告内部对个人信息的访问记录均不符合《民法典》和《个人信息保护法》对个人信息的定义,一方面,被告对用户身份证号码等个人信息的展示采取了内容替换、脱敏加密技术,访问者难以识别该身份证号属于原告。另一方面,访问记录也不具备关联特征,不是本案原告在其活动中产生的信息。
综上,法院认为,该访问记录并不构成个人信息,仅为被告企业在内部管理中产生的数据,依法受法律保护。原告亦未提交充分证据证明确系被告经营的电子商务平台泄露其身份信息,故没有查阅该访问记录的权利基础。最终,法院驳回原告要求被告披露特定时间段内被告通过平台获取原告个人信息访问记录的诉讼请求。
一审判决作出后,当事人均未上诉,判决已发生法律效力。
法官表示,企业对经过去标识化处理后的个人信息进行访问所形成的访问记录,依法受法律保护。个人信息主体无权就该信息向企业主张查阅、复制权。
本案从识别和关联两个角度确认个人信息的范围,进一步厘清个人信息主体向个人信息处理者行使查阅复制权的界限,反映了数字时代个人信息主体权益和个人信息处理者权益冲突与平衡问题。企业在尊重数据来源主体权益的前提下,在企业管理、运营中产生的数据可以作为商业秘密或其他权利加以保护。这一裁判思路既符合个人信息保护法关于个人信息的界定,也遵循了民法典的公平原则,有助于保障数字经济时代企业合法数据权益,强化数据要素作用发挥,促进数字经济健康发展。
编辑 甘浩
校对 张彦君
来阅读我的更多文章吧
慕宏举
新京报记者
记者主页
热门跟贴