益友视点 | 沧海拾珠:关于数据合规领域八个“第一案”的年中盘点(上篇)
时间:2022-07-13 作者:益友天元
2022年已过半,我们注意到今年上半年数据合规领域涌现出多个具有第一案意义的热点法律事件,值此机会我们检索相关案件并进行汇总梳理,以期提升数据合规领域守法用法的共识,并对如何开展数据合规管理有所启发。 一、天津“人脸识别第一案”:“我的脸我做主” 关键词:生物识别、个人信息保护 案情摘要 顾某租住在天津某小区,该小区除刷脸外不提供其他通行验证方式。顾某一审以隐私权纠纷为案由起诉小区物业管理公司,一审法院以证据不能证明隐私权受侵害为由驳回顾某全部诉讼请求。顾某以个人信息保护纠纷上诉,二审法院支持顾某要求物业管理公司删除顾某人脸信息、提供刷脸以外的通行验证方式、支付赔偿金(部分)的请求。判决生效后,顾某收到赔偿金,但坦陈其他判决事项尚未得到履行,自己决定将在确认判决全部履行后再搬出小区。 顾某起诉前,2021年8月1日,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“《人脸识别司法解释》”)生效;二审判决前,2021年11月1日,《个人信息保护法》(以下简称“《个保法》”)正式生效。 简评: 顾某胜诉为个人信息保护法律实践提供生动注解,此案有以下三个重要看点: 第一,人脸识别(生物识别)技术关涉《个保法》所规定的敏感个人信息,敏感个人信息作为独立的被保护客体,无需藉由《民法典》隐私权制度加以保护。 第二,根据《人脸识别司法解释》,物业管理公司应当提供除人脸识别以外的其他通行验证方式,并且,物业管理公司处理人脸信息必须经过个人同意。《个保法》进一步规定,处理敏感个人信息须经个人单独同意,否则应按个人要求删除。 第三,“应对突发公共卫生事件”“维护公共安全”的责任豁免是否适用本案?我们认为不适用。首先,《人脸识别司法解释》和《个保法》都是在我国近三年疫情防控大考的背景下出台的,如果认为出入小区这种日常场景关涉突发、公共安全问题,是对“突发公共卫生事件”“维护公共安全”的不合理泛化。其次,人脸信息具有易获取性、难更改性和泄露后果的严重性,这些特点决定人脸识别的运用场景应当严格限制、该项技术应当审慎运用、防止滥用。最后,信息采集、处理者承担责任是原则,豁免是例外,在敏感个人信息保护还是现实难题的背景下,应当多强调充分履行法律义务,使《个保法》的法律保护实践更快更好地发展壮大。 二、从上海首例数据合规不起诉看企业数据合规 关键词:合规不起诉、第三方组织 案情摘要 Z公司为上海一家互联网大数据公司,主要为本地商户提供数字化转型服务。2019年至2020年,在未经授权许可的情况下,Z公司多名技术人员通过“外爬”“内爬”等手段,非法获取某外卖平台数据。案发后,涉案公司对外卖平台积极赔偿损失并取得谅解。检察机关决定对其做合规不起诉试点,成立由网信办、互联网安全企业等组成的第三方组织,全程监督该公司数据合规工作,督促其构建有效整改体系。最终,涉案公司郑重承诺并聘请法律顾问落实承诺,包括听证员、公安机关、第三方组织、被害单位等一致认可数据合规整改结果。2022年5月,上海普陀区检察院对Z公司做出不起诉决定,并开展不起诉“云宣告”。至此,上海首例数据合规不起诉案件画上句号。 简评: 本案是数据合规和刑事合规交叉领域具有典型示范意义的新型案件。早在2020年,最高检在上海、江苏等地六家区级检察院试点开展“企业犯罪相对不起诉适用机制改革”;2021年6月,最高检等九部门联合印发《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》。今年我们正式迎来首个数据犯罪案件适用刑事合规不起诉制度的案例,该案也受到最高人民检察院的高度关注。 第一,Z公司在合规整改期间实现稳步规范发展,避免“办理一起案件,垮掉一个企业,失业一批员工”的现象发生,这说明在数据犯罪领域适用合规不起诉制度,引入检察机关规范引导,客观上加强了新兴行业中小民营企业的刑事司法保护,既让民营企业真正提升合规治理水平,又有力保障数字经济有序健康发展。 第二,本案很好地反映出合规不起诉这项刑事司法程序的重要标准。检察机关提出检察建议,认为Z公司犯罪情节较轻,主观恶性较小,符合开展合规不起诉的条件,因此既考量刑法、刑事诉讼法规则要求,又要兼顾数据行业特性,运用正当程序,本着治病救人的态度,有理有据地规范数据企业发展。 第三,本案为数据企业提供了一套数据刑事合规审查的流程方案。在前述Z公司数据合规被不起诉案中,公司围绕管理、技术、制度进行自查整改,构建企业内部治理结构、人员管理、规章制度等专项合规计划,建立风险识别、风险监控、应对体系等。整改完成后,公司邀请法律顾问、第三方组织评估监督。未雨绸缪,数据企业都可以参照上述成功经验,做好合规规划。 三、NFT侵权第一案 关键词:NFT,网络提供者侵权 案情摘要 马千里是一名漫画家,其微博网名为“不二马大叔”,其创作的“我不是胖虎”的动漫形象成为广受用户欢迎的爆款IP,后马千里将系列作品的著作权独家授权给深圳奇策公司。 后奇策公司发现某科技公司经营的“元宇宙”平台上,有用户铸造并发布“胖虎打疫苗”的NFT。“胖虎打疫苗”是马千里创作“我不是胖虎”系列作品的其中一个;NFT是由一串代码形成的虚拟数字艺术藏品。该NFT售价899元,NFT作品甚至在右下角还带有原作者马千里的微博水印,也就是说该用户盗用马千里原创的动漫形象来铸造一款虚拟艺术品并发布在元宇宙平台上牟利。 由于每一个特定NFT具有不可替代性,奇策公司认为,NFT数字作品一旦被铸造上链,很难像传统互联网信息一样,易于删除处理。科技公司打造元宇宙数字藏品平台,却没有对在平台上发布的NFT数字作品权属情况进行审核。故奇策公司起诉某科技公司。 2022年3月23日,杭州互联网法院公开审理上述案件,并于2022年4月23日作出判决,支持了奇策公司要求科技公司停止侵害该美术作品的信息网络传播权并赔偿经济损失的诉请。 简评: 本案是法院判决NFT(非同质化通证,一般称为“数字藏品”)侵权的第一案,具有重要示范效应。近年来,虚拟资产相关案件频发,研究讨论亦颇为系统丰富。相较于NFT诞生前的其他虚拟资产,NFT不仅是基于区块链技术、虚拟资产实践的产物,而且还拥有自身的艺术作品的属性和价值。 根据法律规定,“我不是胖虎”的动漫形象属于美术作品,元宇宙平台用户私自盗用该形象制作数字艺术品已经侵犯作者著作权。 关于责任认定问题,根据《民法典》规定,科技公司作为网络服务提供者应当就网络用户的侵权行为承担责任。并且根据《最高院关于侵害网络传播权的规定》结合本案,涉案被铸造成NFT的美术作品右下角带有明显原作者马千里的微博水印,科技公司没有进行审查、没有履行基本的注意义务,主观上存在过错,应当承担帮助侵权责任。 尽管NFT是虚拟藏品,但是依然受到法律保护,任何侵犯公民合法权益的行为,无论侵害的客体是否“有形”,都将被追究责任。 四、《延禧攻略》信息网络传播权纠纷:算法推荐第一案 关键词:平台责任、帮助侵权 案情摘要 爱奇艺公司起诉称其拥有影视作品《延禧攻略》全球范围内独占信息网络传播权,认为字节公司在该剧热播期间,通过其运营之APP“今日头条”,利用信息流推荐技术,将APP用户上传的截取自该剧的短视频向公众传播并推荐,侵害爱奇艺公司权益。海淀法院一审判决认定字节公司构成帮助侵权,判令赔偿爱奇艺公司经济损失和诉讼合理开支若干。双方均上诉,北京知识产权法院已就此案二审开庭。 简评: 尽管本案尚未作出二审判决,但关涉的平台注意义务、帮助侵权认定问题颇值研讨。 目前针对案件有两种观点,一种认为使用算法推荐技术的平台有较高的注意义务,不应以“技术中立”为由主张豁免;另一种观点则认为,算法推荐技术达成的结果不以平台意志为转移,不应对平台课以过重的注意义务和责任。我们认为,第一种观点更具有规则依据和现实合理性和说服力。 第一,注意义务:用户的侵权行为是否应归咎网络服务提供者(平台)? 《最高人民法院关于审理侵害信息网络传播权民事纠纷案件适用法律若干问题的规定》规定:平台没有义务主动审查网络用户的侵权行为,不主动审查本身并不构成平台的过错。但是,对于用户明显的侵权行为,平台仍有注意义务。也就是说,如果用户上传至平台的剧作是热播剧作,而平台对该热播剧作以各种方式推荐、且公众能够直接通过平台网页以浏览方式获取,那么平台有责任审查该用户的行为是否侵权。 显然,司法解释规定的“各种方式推荐”并没有把算法推荐技术排除在外。因此,使用算法推荐技术,平台仍有审查用户侵权行为的义务。如果平台明知或应知用户上传的内容侵权,却不采取合理有效措施阻止,甚至通过算法推荐技术使侵权行为影响扩大,就构成帮助侵权。 此外,如果可以明显感知相关作品、表演、录音录像制品为未经许可提供,法院可以根据案件具体情况认定提供信息存储空间服务的平台应知网络用户开展侵权活动。若平台从网络用户提供的作品、表演、录音录像制品中直接获得经济利益,则平台对本平台用户侵权负有较高的注意义务。 第二,“技术中立”是否是万能抗辩? 国家网信办《关于进一步压实网站平台信息内容管理主体责任的意见》规定:“优化算法推荐,明确推荐重点,细化推荐标准,评估推荐效果,按要求开展算法备案”。根据该规定,算法推荐的合规要求,包括评估推荐效果,平台有义务对算法推荐技术导致的效果负责。因此技术中立原则显然不能用来对抗主管机关明确规定的平台主体责任。 2022年3月1日生效的《互联网信息服务算法推荐管理规定》亦规定:算法推荐服务提供者不得利用算法推荐服务从事侵犯他人合法权益的活动。这也是对纵容默许明显的信息网络传播权侵权行为构成帮助侵权规则的强化。
王宇宁
资深律师(北京办公室)
yuning.wang@yiyou.com.cn
董益红 实习律师(昆山办公室) yh.dong@yiyou.com.cn
贾俊杰 苏州办公室 carey.jia@yiyou.com.cn
