个人信息被“聚合”危害大 手机号、家庭住址是“重灾区”
客户委托北京链家房地产经纪有限公司出售房屋,不曾想个人信息却被链家公司员工冒用办理居住证。11月20日,北京朝阳区法院作出一审判决,认定链家前员工宋某华、杨某东共同侵权,链家公司管理存在过错,判令链家公司、宋某华赔礼道歉并连带赔偿赵先生经济损失10万元。
相关数据显示,六成以上个人信息侵权涉及三种以上信息同时被侵害,手机号、家庭住址是“重灾区”。记者从朝阳法院了解到,法院已向北京市住建委和链家公司发出司法建议,加强房地产中介行业个人信息保护。
被告不认可损失不同意赔偿
因委托出售位于北京朝阳区清河营东路一套房屋,2017年4月份,赵先生与链家公司签订《房屋出售委托协议》,并将身份证、房产证复印件等资料提交给链家公司经纪人杨某等二人。
2017年9月份,赵先生到派出所办理北京市居住证,被告知自己名下的房屋已经由承租人办理了北京市居住证,无法再次办理。因房屋从未出租,赵先生当场提出异议,民警遂将已办理居住证的相关手续出示给赵先生,赵先生这才得知原来是链家公司员工宋某利用职务之便,盗用其身份证、房屋产权证复印件等个人信息资料,伪造了租房协议等,骗取公安机关为宋某本人和其妻子办理了居住证。
经核实,相关证件是经纪人杨某提供给宋某的。赵先生提出异议后,2017年9月4日,宋某办理了北京市居住登记卡注销手续。
赵先生认为,链家公司作为房地产中介服务机构,疏于管理,使员工利用职务之便侵犯其民事权益,行为性质和社会影响恶劣,故将链家公司、宋某、杨某诉至法院,要求三被告公开赔礼道歉,索赔经济损失10万元、精神损害抚慰金20万元,并要求删除个人信息。
链家公司表示,公司收取赵先生资料的做法符合《房地产经纪管理办法》,具有合理依据。对于客户信息的保护,该公司制定有管理办法,侵权员工已经予以辞退。链家公司同意书面赔礼道歉,但不同意赵先生提出的在链家网站和主流网站刊登30天的方式。链家公司认为经济损失没有实际发生、精神损害抚慰金不符合法律规定,均拒绝赔偿,但同意在合理范围内补偿。对于删除信息,链家公司表示解除委托关系后可以删除。
对于侵权行为,宋某则表示,自己只是“无意之中擅自使用”了赵先生的身份信息,伪造租赁合同办理了北京市居住证,但该“行为并无恶意”,没有给赵先生造成实际损失和负面影响,已经短信道歉并撤销了居住证,故不同意书面道歉,经济损失和精神损害抚慰金也拒绝赔偿。杨某称,自己虽然知道不对,但因和宋某关系比较好,还是把手机里保存的赵先生资料给了宋某。对于赵先生的诉讼请求,杨某同意口头道歉,但拒绝赔偿。
法院认定个人信息有财产价值
庭审中,链家公司员工陈述,房产成交后,公司要求卷宗快递到公司卷库,对于没有成交的卷宗,则由门店助理锁在柜子里。卷宗店内员工均可查阅,查阅卷宗没有记录。
链家公司表示,客户资料保管方式是经纪人将电子材料上传到链家公司内部的link系统中,实体材料由助理保管。公司要求经纪人必须将客户身份证、房产证及合同信息拍照上传。
法院审理认为,自然人的个人信息受法律保护。宋某非法使用客户个人信息的行为构成民事侵权,杨某明知宋某非法使用的目的,仍提供信息的行为构成共同侵权。杨某的侵权行为与其履行职务存在内在关联,相应责任由链家公司承担。
法院指出,链家公司主要利用信息优势地位,为房地产市场租售双方提供信息匹配的居间服务。对市场信息的掌握是链家公司营利的核心要素。在利用客户信息获取利益的同时,链家公司需承担高于一般主体的保管义务。信息使用应仅限于客户委托之合同目的。然而,作为管理者,链家公司未建立信息安全管理制度和操作规程,未对客户信息安全作风险提示、未对客户敏感信息作加密处理,其要求经纪人拍照上传资料的做法,亦增加了侵犯个人信息的可能性和危险性。同时,链家公司并未采取任何实际有效措施防控风险,导致员工可轻易将业主个人信息泄露用于非法目的。本案侵权事实的发生与链家公司内部监管漏洞直接相关。链家公司管理存在过错,应承担侵权责任。
法院认为,个人信息兼具人格利益和财产价值,并最终判决链家公司及宋某公开赔礼道歉,连带赔偿赵先生经济损失10万元。关于删除个人信息的诉讼请求,法院未予处理,并指出可在委托协议终止、解除或完成后另行主张。
针对这一案件反映出的具体问题,朝阳法院分别向北京市住房和建设委员会、链家公司发送司法建议。针对房地产中介机构普遍存在缺乏有效的客户个人信息安全保管规范制度、个人信息取得及使用方式的释明不充分、缺乏互联网平台客户个人信息安全保管操作规范、缺乏对中介经纪人教育培训及制度化监督管理等问题,法院建议规范房地产中介服务行为、完善行业管理制度。
房产中介个人信息保护亟待加强
据不完全统计,2003年至2017年间,朝阳法院共受理侵犯个人信息民事案件74件,其中2013年至2017年共受理38件,呈现增长态势,这与大数据应用发展、个人信息价值提高和公民保护意识增强有关。
“近三年原告胜诉率不足一半,呈下降特点。”朝阳法院酒仙桥法庭庭长吴彬认为,这与信息泄露渠道增加、权利人证明信息被特定主体侵害的举证难度增大有关。
侵权主体呈现社会化、侵权途径呈现网络化特点,“陌生人网络侵权”渐成个人信息侵权的主要渠道。2013年至2017年,朝阳法院受理的涉侵犯个人信息民事案件中,79.4%的案件发生在陌生人之间,51.4%的案件中个人信息系通过网络传播,权利人起诉要求网络平台承担责任的案件达15件,占比41.7%。除姓名外,权利人主张被侵害最多的两类信息为电话号码和家庭住址。
吴彬表示,多重个人信息的聚合,大大提高了信息应用场景和经济价值,也使泄露、公布或不当使用行为的危害性更大,给权利人带来更大困扰、损失和潜在风险。
记者调查发现,常见的侵犯公民个人信息行为包括:信息保管人转让、泄露个人信息;冒用、盗用个人信息;公开非法获取个人信息;非法公开合法获取个人信息;因错误登记导致个人信息公开。最典型且常见的非法获取个人信息侵权行为是“网络人肉搜索行为”。
“网络环境日益复杂、侵权主体难以确定,违法成本过低、信息保管人改进动力不足等成为制约个人信息保护的主要原因。”吴彬介绍,有的公司员工可以轻易拷贝批量客户信息,用户个人信息几乎处于“裸奔”状态,相较于低廉的违法成本,许多市场主体不愿投入人、财、物建设个人信息保护系统。
为此,法院建议公民强化自我保护意识,谨慎提供核心个人信息,慎重勾选个人信息授权使用条款,养成良好的网络使用习惯,积极通过合法途径维权。例如,在提供身份证、房产证等重要资料复印件时,要手写注明“该复印件仅用于办理某某事项”,最大限度避免复印件被再次复印或作其他用途;对于提供虚拟号码的网约车、房屋租赁等网络平台,尽量使用平台网络虚拟号码;网站或APP关闭前,先执行退出登录操作;注意分辨识别钓鱼网站、钓鱼软件,不随便点击陌生人发来的链接,慎重接入无密码的未知WIFI,避免病毒植入,信息被盗取。(经济日报·中国经济网记者 李万祥)