“负面标签”案

武汉某科技公司经营“XX查查”网站，设有裁判文书专栏、可疑买家分析专栏（打假师、敲诈师、恶意退货、诈骗师、差评师）等栏目。充值会员，即可享有“查询恶人、查淘客单、旺旺验号（信誉＋黑号）”等权益。

程某在“XX查查”网站搜索其实名办理的手机号码后，显示“旺旺号：134**202、姓名：程*、ta是：敲诈师、所属平台：拼多多、手机：134**202、支付宝账号：**、 收货地址：重庆市…”。

程某认为该公司侵犯个人信息权益并构成诽谤，诉至法院，请求法院判令被告赔偿精神损害抚慰金1元并公开道歉、删除该公司系统收录的有关程某的个人信息、支付公证费。

法院认为被告构成侵权——侵害原告个人信息权益、侵害原告名誉权，判令其删除网站上关于程某的个人信息、公开道歉、赔偿精神损害抚慰金1元及公证费2000元。理由如下：

• 被告在“XX查查”网站上公开的涉案信息可以识别为程某的个人信息：

被告虽然对其发布的程某姓名、账号、电话号码、地址等加“*”处理，未直接明确指向程某，但和在网站上输入程某手机号搜索得出的个人信息重合，因此，该等信息具有间接识别性，能够认定被告在网站上公开的涉案信息可识别为程某的个人信息。

• 处理个人信息应经个人信息主体同意，且该等同意应是在主体充分知情的前提下，自愿、明确作出的。本案中，被告未经程某同意，非法获取并发布其个人信息，侵害其个人信息权益。
• 同时，被告在“恶人选项”中给程某贴上了敲诈字眼的标签，是对程某的负面评价性描述，客观上降低了程某的社会评价，侵害了程某的名誉权。

宣判后，双方当事人均未上诉，判决已生效。

重庆高院认为本案是网络平台违法公布个人信息并冠以“负面标签”的典型案例，典型意义在于：

• 大数据时代，无所不在的数据收集对个人形成密集追踪，网络平台对个人信息的累积、分析、比对并冠以主观标签予以公布，将对公民的个人信息权益及名誉权造成严重侵害。
• 处理个人信息应以“知情同意”为前提，网络平台应当根据个人信息的种类、处理目的、处理方法及对个人权益的影响、可能存在的安全风险等，制定合法的内部管理制度和操作流程，防止个人信息未经授权同意而泄露、丢失等，从而确保个人信息的处理合法、合规。
• 本案依法运用《个人信息保护法》相关规定，有效纠正了网络平台不当处理个人信息的行为，对保护公民个人信息、引导网络平台守法经营、营造清朗的网络空间环境具有重要意义。

本案并非孤例，广州互联网法院也处理过同类案件：

• 2020年6月开始，张某发现通过电商平台下单购买商品时，不少商家拒绝向其发货。经查，张某发现其姓名、联系方式、收货地址、电商平台注册账号等个人信息经部分加星“*”处理后，被公布在“反恶”公司运营的“反恶”网站上，并被打上“打假师、欺诈师、恶人、恶意欺诈”等标签。
• 张某认为该公司行为侵害其个人信息权益及名誉权，诉至法院，请求法院判令被告删除侵权信息、赔礼道歉、赔偿经济损失；判令被告披露发布张某个人信息及侵害其名誉权的网络用户姓名、联系方式、网络地址等信息。
• 法院审查思路和裁判依据与重庆案一样，判定被告构成侵权，即侵害原告个人信息权益、名誉权。法院认为：

1）案涉信息包括张某的姓名、联系方式、平台账号、收货地址，上述信息是张某为购买商品授权平台商家在履行信息网络买卖合同范围内使用的个人信息，“反恶”公司未经张某同意，非法获取并发布上述信息，构成对张某个人信息权益的侵害。

2）“反恶”公司直接或间接地将张某的个人信息与具有侮辱等性质的负面评价词汇结合。一方面，案涉网站以“恶人”称呼职业打假人，网站首页使用“搜恶人”“曝光恶人”等侮辱性词汇；另一方面，“反恶”公司自述，注册用户在发布“恶人”信息时可以选择给“恶人”打上不同标签，包括预设标签和自定义标签，如“恶意敲诈”“骗运费险”“威胁好评返现”“恶意退货”“恶意差评”等。“反恶”公司故意使用上述具有侮辱等性质的负面评价词汇描述张某，客观上降低了张某的社会评价，构成对张某名誉权的侵害。

免责措施难免责

查询重庆案被告官网及相关宣传资料可知：

• 被告有关个人信息处理行为的告知，主要是以平台协议、“不同意就不要使用”形式作出，且告知的对象是使用其服务查“恶人”数据的用户，即主要服务对象电商平台商家。
• 对于被标注成“恶人”的人，平台提供服务一般需要用到其手机号、身份证号、地址信息等个人信息，其中包括敏感个人信息，而对于该等信息相关的处理行为，在官网查询不到相关的告知文件。

被告申请数据缓存、缓存系统及查询方法相关专利时，介绍如下：

“[0028]本实施例的应用场景为电商平台的后台数据管理系统，主要是针对目前电商环境下存在的一些恶意售假商家和恶意退货、刷评买家；其一般是团伙作案，每个团伙包括多个用户，每个用户都有对应的手机号、旺旺号、旺旺名、收货地址等个人信息；这些用户为了躲避追踪，一般会经常更换个人信息，这些为后台数据管理提出了更高的要求，需要开发出更高效查询用户最新个人信息并有效节省存储内存的数据缓存方法和数据查询方法。”

“……其特征在于，所述用户的个人信息包括用户的手机号、身份证号和地址信息。”

对于作标记可能触发的侵权问题，平台意欲通过采取以下措施进行免责：

• 设置“标记撤销”程序供被标记方提出异议。
• 在网站使用协议中设置“免责条款”，进行免责声明：

“XX查查不能对用户举报信息的正确性进行保证。”

“用户在XX查查发表的内容仅表明其个人的立场和观点，并不代表XX查查的立场或观点。作为内容的发表者，需自行对所发表内容负责，因所发表内容引发的一切纠纷，由该内容的发表者承担全部法律及连带责任。XX查查不承担任何法律及连带责任。”

结合我们前面通过“怪味豆”案归纳梳理的个人信息处理者侵权责任认定问题来看，这些措施不足以免除责任，且冠以“敲诈师”“诈骗师”等等负面标签的行为易于构成名誉权侵权。

电商平台卖家在消费者诉讼索赔案件中，为证明买家存在恶意购买职业打假、敲诈勒索、恶意诉讼等情况，不属于正常消费行为，因此不应退赔时，有时会提交“XX查查”、“反恶联盟”等查询结果为证据，从2016年以来此类案例检索情况看，法院并不会认为这类网站的主观标签可以给一个人定性，会回归买家行为表现本身进行审查。例如：

• 1853号案中，卖家主张买家是职业打假人、通过打假进行勒索，不是消费者，自己不应承担赔偿责任。法院没有采信其意见，判决写道：

买家因卖家出售的食品系不合格食品，通过诉讼主张权利并无不当；

“职业打假”并非规范的法律概念，《消费者权益保护法》第二条并未规定“职业打假人”不受其保护，亦未规定“职业打假人”并非消费者；

《最高人民法院关于审理食品药品纠纷案件适用法律若干问题的规定》第三条规定，因食品、药品质量问题发生纠纷，购买者向生产者、销售者主张权利，生产者、销售者以购买者明知食品、药品存在质量问题而仍然购买为由进行抗辩的，人民法院不予支持。8206号案中法院也持同样意见。

• 473号案中，卖家主张原告并非消费者、不应适用十倍赔偿，提供以下证据用于证明原告属职业打假人，但没有获得法院支持。法院认为该等证据与本案待证事实不具有关联性，达不到卖家的证明目的，均不予采信：

证据十一，“XX查查”平台投诉记录，拟证明唐某某遭多个商家投诉职业打假；

证据十三，“职业打假人知假买假，法院应否支持”文章，拟证明职业打假行为不应支持；

证据十四，湖南、深圳、北京等地判决书，拟证明不支持职业打假行为。

• 2621号案中，卖家主张买家是职业打假人，并非正常消费者，不应适用十倍赔偿，但未获法院支持：

卖家答辩时提出：“从扫黑除恶打假角度：1.我们提供打假的惯犯证据，通过手机号以及真实姓名在“反恶联盟”查询，查询结果显示，有多条案例来证明屈某就是依靠这种手段来获取不正当收益。屈某通过不同的收货地址、收货姓名来掩盖其欺诈行为。……3.现在全国都在扫黑除恶，屈某收入来源是通过网络来进行假一赔十来敲诈……”

法院没有采信其意见。对于卖家是否应担承担赔偿责任，回归其销售行为本身是否符合食品安全责任要求进行审查，最终判定被告未履行食品经营者的法定义务，应退还购物款并十倍赔偿。

在这种情况下，买家如果进一步对卖家、给其打负面标签的平台提起网络侵权责任之诉，平台如果不能举证证明其个人信息处理行为合法合规且尽到了必要的安全保障注意义务，仅以平台协议免责条款和“标签撤销”程序主张免责，会很困难。

AIGC等新场景的告知同意

回到昨天文章结尾的问题：平台将收集沉淀的用户个人信息类数据、用户生成内容类数据用于已有用户协议/隐私条款尚未覆盖的应用/服务场景，比如用于进军AIGC赛道所需的模型与算法训练、向第三方提供训练数据集等等全新业务场景，是否需要告知用户并取得用户同意？

回归数据与个人信息处理相关规则可知，问题不在于是否需要告知用户并取得用户同意，主要在于“告知”“同意”的具体形式，具体形式需要结合具体业务场景进行设计：

• 根据《民法典》《网络安全法》《个人信息保护法》等法律及配套规则的要求，个人信息处理行为的合法性基础、处理原则是“同意为原则、豁免同意为例外”；
• 只要涉及个人信息处理活动，就应满足“知情同意”规则等合法性要求，除非落入法律法规明确规定的“同意豁免”情形；
• “告知同意”的具体形式，应结合个人信息类型、处理行为、处理场景等具体事项进行确认，比如对于个人敏感信息、具有个人信息与具体人格权载体复合属性的侵权高风险信息（比如肖像、声音）等，适用更高标准，必要时取得个人单独同意或者书面同意。

目前实践中比较常见的问题是，已有“告知”是否可以覆盖新用途。比如：

• 一般App会在用户协议与隐私条款中会对自己收集个人信息的种类、处理目的、处理方法、对个人权益的影响、可能存在的安全风险等进行说明；
• 说明时会区分基本业务功能和扩展业务功能；
• 基本业务功能是与用户使用App的主要目的相关的业务，往往会一一列明；扩展业务功能是指基本业务功能之外的功能，包括仅为实现改善服务质量、提升使用体验、定向推送信息、研发新产品目的的业务功能，外部第三方或关联公司提供的业务功能，有时会以概括告知的形式进行说明；
• 当新业务场景（比如用于提供深度合成服务、AIGC模型与算法训练、向第三方开放训练数据集等）未落入基本业务功能时，扩展业务功能相关规则告知是否可已覆盖新场景下平台数据的利用就是个问题。

此时的答案是“未必”，还是要回归个人信息保护相关法律法规的要求进行审查，对该等处理行为可能对个人权益产生的影响、可能存在的安全风险问题进行评估，再做回答。自评估时可以按诉讼中能否自证“无过错”进行倒推，因为合规过程中肯定要考虑一个问题——用户如果不同意处理其个人信息，怎么办？”

下篇看一个算法相关案例。

参考：

重庆两江自贸法院公众号，2022年12月26日发表的《重庆法院网络空间司法保障典型案例（第五批）》

https://news.dayoo.com/gzrbrmt/202112/16/158543_54141677.htm，最后访问时间：2023年5月13日

2016年4月10日绍兴市越城区人民法院民事判决书（2016）浙0602民初9955号

2019年2月19日北京互联网法院民事判决书（2018）京0491民初2621号

2019年3月8日北京互联网法院民事判决书（2019）京0491民初1853号

2022年5月7日湖南省常德市中级人民法院民事判决书（2022）湘07民终437号

2022年9月30日上海市松江区人民法院民事判决书（2022）沪0117民初8206号