包含车架号的车况信息属于个人信息或隐私吗?
——个人信息及隐私的法律界定
编辑说几句
个人信息认定有两条路径,一是识别(从信息到个人),二是关联(从个人到信息),具体判断需基于场景,否则,即使姓名也会因全国范围内存在重名而不具有可识别性。因此,即使在本文案涉场景中,包含车架号的个人车况信息不构成法律保护的个人信息,也不应排除在其他特定场景中,个人车况信息应作为个人信息予以法律保护。
目 录
1. 个人车况信息未经车主同意被收集转让且凭车架号有偿查询
2. 个人车况信息属于个人信息吗?个人信息的范围界定
3. 个人车况信息属于隐私吗?个人信息与隐私权的界分
4. 不同于法院立场,国家标准将唯一设备识别码列入个人信息
《民法典》《个人信息保护法》均规定,自然人的个人信息受法律保护<1>。《民法典》规定,自然人享有隐私权<2>。本文通过分析一起涉及车辆车况信息的个人信息权益及隐私权纠纷案<3>的裁判理由和结果,结合国家标准《信息安全技术 个人信息安全规范》有关个人信息判定方法及范围的规定,进一步辩晰个人信息的保护边界与判定标准,并对实践中个人信息与隐私权的区分予以界定。
<1> 《民法典》第一千零三十四条:自然人的个人信息受法律保护。
《个人信息保护法》第二条:自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
<2> 《民法典》第一千零三十二条:自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。
<3> 原告余某诉被告北京酷车易美网络科技有限公司隐私权、个人信息保护纠纷案,广州互联网法院(2021)粤0192民初928号民事判决书,2021年3月5日。
个人车况信息未经车主同意被收集转让且凭车架号有偿查询
余某是一位丰田车车主。2020年12月,余某准备出售该车,向一位意向购买人提供了机动车行驶证内页。随后,意向购买人向其发来一份《丰田历史车况报告》,报告首部显示了汽车品牌“丰田”和车架号,主文的“车况概要”+“车况详情”极为详细,“车况概要”包括历史车况综合评级、解析顺序及年均行驶里程、年均保养次数、最后保养时间、最后记录时间的详细数据,“车况详情”部分,包括解析快读版、维保数据、碰撞数据的详细情况。该报告是意向购买人在北京酷车易美网络科技有限公司(“酷车易美公司”)运营的查博士APP上输入车架号查询取得,并花费了48元。意向购买人以该报告中显示丰田车存在维修信息为理由,要求余某降低车价3000元。
余某在查博士APP上输入车架号重复查询了其车况信息,花费48元就可以买到内容相同的车况报告。余某认为查博士APP提供的历史车况报告不单显示了车辆的维修保养项目等信息,也反映了他的维保行踪等,间接识别了他的身份,而这些属于其个人信息及个人隐私,其本人对此具有控制权,应当依法予以保护。而酷车易美公司没有经余某同意,就擅自有偿向他人提供余某车辆的维保数据等信息,导致余某的车辆信息被非法公开,车辆的维保时间、维保项目等个人信息、个人隐私被非法利用,才导致余某转让车辆售价无故降低,严重侵犯了余某的个人信息权益及隐私权。
2020年12月11日,余某先是通过12315平台就酷车易美公司所属查博士APP擅自提供余某车辆历史车况报告的行为举报,要求北京市朝阳区市场监督管理局依法查处酷车易美公司侵犯他人个人信息、个人隐私的违法行为,禁止其继续传播、使用余某相关个人信息与隐私。2020年12月29日,北京市朝阳区市场监督管理局告知余某被举报人不存在违法事实。无奈之下,余某于2021年1月11日一纸诉状诉至法院,起诉酷车易美公司
酷车易美公司的车况数据来自第三方(数据提供方),在收集使用车况数据前不会通知车主,与数据提供方采用脱敏化技术(包括隐去车主姓名)传输数据,但保留了车架号。酷车易美公司坚持主张其车况数据来源合法,得到了法院的认同。
一审法院最终驳回了余某的全部诉求。余某未上诉,该判决已经生效。法院认定包含车架号的历史车况信息不属于法律保护的个人信息范畴,更不属于隐私范畴,酷车易美公司从第三方取得包含车架号的历史车况信息并供公开查询不构成侵权。
个人车况信息属于个人信息吗?个人信息的范围界定
1. 法院认定:查博士 APP(酷车易美公司)提供历史车况信息的行为不侵犯余某的个人信息权益
法院认为,该案历史车况信息无法识别为余某所有,酷车易美公司提供历史车况信息的行为不侵犯余某的个人信息权益。
(1)案涉历史车况信息无法单独识别特定自然人。首先,从报告内容方面查证,案涉历史车况报告中的信息虽然包括了车架号、车辆基本行驶数据、维保数据等,但未出现自然人身份信息、行踪信息等能直接识别特定自然人的信息等;其次,从报告特征方面查证,案涉历史车况信息仅能综合反映所查车辆的日常损耗程度、安全系数等,无法关联到车辆所有人等特定自然人;最后从报告的来源查证,数据提供方及其关联方公司对汽车维修保养数据中涉及自然人隐私的敏感信息已经进行脱敏处理,模糊了特定自然人的行踪信息等细节,无法通过车况信息精准识别到车辆的实际使用人是否为余某本人。因此,案涉历史车况信息无法单独识别特定自然人,即无法单独识别为余某本人的个人信息。
(2)案涉历史车况信息无法与其他信息结合识别特定自然人。酷车易美公司与数据提供方采用脱敏化技术传输数据,数据提供方的主体与协议细节均为商业秘密,且不对外披露,降低了一般公众将车况信息与第三方信息结合重新识别特定自然人的可能性。因此,在车辆交易场景下,案涉车况信息与其他信息结合进行关联识别的可能性较低,法院据此认定历史车况报告不属于个人信息。
2. 哪些个人信息受保护?个人信息受保护范围认定
(1)现有法律对个人信息的详细规定
我国《网络安全法》第76条中规定,个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
我国《民法典》第1034条,再次明确个人信息受保护的范围:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。
今年已经实施的《个人信息安全规范》第3.1条也明确了个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”,并在《个人信息安全规范》的注1、2、3以及附录A对个人信息的范围详细规定。
今年11月1日即将实施的《个人信息保护法》第4条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
(2)个人信息认定的两条路径:识别与关联
综合前述法律法规及案例中法官裁判思路,可以发现,在司法实践中,针对个人信息权益纠纷案,一般从信息是否具备识别或关联特征认定,而这两个方面也遵循了《个人信息安全规范》中对个人信息认定的路径。
判定某项信息是否属于个人信息,一是识别,即应考虑从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人,即信息具有可识别性;二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息,是否能关联到某个特定的自然人,及信息具有关联性。具体案件中,只要符合这两种情况之一,就会被认定为案涉信息为个人信息受法律保护。
结合前述案例,法官对余某的历史车况报告是否属于个人信息认定过程中,所遵循的是第一条认定路径。法官对余某历史车况报告内容拆解分析,最终得出余某的历史车况信息无法单独识别为其本人所有,也无法与其他信息结合识别为其个人信息,何况信息提供主体在提供历史车况报告时,已经对涉及余某隐私的敏感信息进行脱敏处理,从社会公众的一般认知来看,该案历史车况信息仅能反映所查车辆的使用情况,其内容既不涉及余某个人,也不用于评价余某个人的行为或状态,无法关联到车辆所有人余某等特定自然人。
个人车况信息属于隐私吗?个人信息与隐私权的界分
1. 法院认定:提供历史车况信息的行为不侵犯当事人的隐私权
法院认定,案涉历史车况信息不为余某个人隐私,酷车易美公司提供历史车况信息的行为不侵犯余某的隐私权。
(1)案涉历史车况信息的公开未对余某私人生活安宁带来不当干扰。案涉历史车况信息无法识别到特定自然人,余某也并未向法院提供证据证明其日常生活安宁、住宅安宁、通信安宁等受到了不当打扰。因此,该信息的公开并未打扰余某的私人生活安宁。
(2)历史车况信息不具有私密性。隐私成立的条件之一是信息处于隐秘状态,且不为社会公众普遍知悉。该案车辆的车架号是可以通过观察车身直接获取的,并非处于隐秘状态。基本行驶及维修保养数据产生于公开汽修经营场所,虽然在公共场所发生的事件也可以成为隐私权的客体,但出于保证社会正常交往的需求,以及二手车交易市场的发展需要,将案涉历史车况信息认定为余某个人隐私,不符合一般社会合理认知。
2. 隐私权与个人信息如何区别?
实践中,经常出现公民个人信息与公民隐私重合的情况。由于公民的个人信息权益与隐私权保护强度及方式有所不同,因此准确厘定隐私和个人信息权益就显得尤为重要。
我国《民法典》第1032条规定,“自然人享有隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。”判断个人信息是否为隐私,关键在于判定该信息的公开是否会对当事人的私人生活带来不当干扰,以及该信息是否具有私密性。个人信息在符合这两个条件时,就具备认定为个人隐私的可能性受保护。
再依据《民法典》第1034条第3款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”我国《民法典》明确规定,当一项信息既属于个人信息又属于个人隐私时,由于隐私更体现了个人的人格尊严,个人信息体现的是私法自治理念,因此,需优先适用隐私权规则保护。
隐私主要是对私密信息、私密空间、私密活动和私生活安宁的维护,这些是个人信息保护所不包含的,隐私与个人信息最大的区别在于其强调私密性,更注重对个人的人格尊严维护。在具体案件中,无论是隐私权纠纷,还是个人信息权益纠纷,当相关具体损害赔偿规则不明确时,应当统一适用人格权编中的一般性保护规则。隐私权侵害,当事人可以追究侵权人的一般侵权责任与精神损害赔偿;个人信息权益侵害,更加注重实际损失的发生与财产损害赔偿。
不同于法院观点,国家标准将唯一设备识别码列入个人信息
从常识而言,车主作为车辆所有权人,对于作为车辆唯一识别码的车架号,无论如何应该拥有某种民事权利,包含车架号的车况信息应作为个人信息得到某种程度的保护。前述案例判决结果给人一种印象,车主没有这种权利。其实,不能完全排除在特定的场景下,车架号及根据车架号查询到的车况信息,可能具有一定的可识别性。“直接识别必须基于场景,在没有给定具体场景的语境下讨论识别没有任何意义,因为信息在不同的使用场景,其性质可能发生变化。譬如姓名这一最典型的直接标识符,如果没有给定场景就无法单独识别特定个人,因为大概率全国会有重名的人。<4>”
国家标准《信息安全技术 个人信息安全规范》(GB/T 35273—2020)附录A-表A.1“个人信息举例”将“个人常用设备信息列为“个人信息”的一大类,其中包括“唯一设备识别码”。依此理解,车辆的车架号应属于唯一设备识别码受法律保护。车辆的车架号由17位字符组成,类似于车辆的身份证号,它包含了车辆的生产厂家、年代、车型、车身型式及代码、发动机代码及组装地点等信息,车架号对于我们正确地识别车型,以及进行正确地诊断和维修十分重要。类似于查博士之类的软件虽然对除车架号之外的其他信息匿名化(或称之为脱敏),但是却对车架号未作保护,司法机关认定车架号是可以通过观察车身直接获取的,并非处于隐秘状态,本身属于公开信息不受保护,这也体现出司法机关在个案审理过程中与《个人信息安全规范》的制定主体对个人信息认定存在差异。
再如,《个人信息安全规范》中个人财产信息“房产信息”作为个人信息受保护。也即意味着房产信息可识别与关联到特定的个人,而其实通过车架号查询到车辆的信息,所得出的结果发生作用的也指向的是特定的人。在这点上,车辆的车架号也确实应作为个人信息受保护。如果为了公共利益考量,如二手车交易市场的发展需要推动相关信息开放共享,二手车卖方承担二手车信息的披露义务,那么,此处将二手车信息依据车架号的查询权交于二手车本人是否更合适?否则他人通过车架号查询到当事人的车辆信息,是否是对当事人未公开车辆信息的变相泄露?二手车信息公开确实会给当事人造成损失,该损失如果不能通过个人信息与隐私权予以保护,又该通过何种渠道救济? 因此,个人信息“识别”要件的理论研究还是司法实践,均有值得我们进一步思考的必要。
<4> 李黎:个人信息概念的反思:以“识别”要件为中心,载《信息安全研究》,2021年第7卷第8期,第754页。