Data Privacy under the PRC Network Security Law and the Draft PRC E-Commerce Law

First, here are some slides for quick reference if you are lazy and don’t want to read.

Capture6

Capture7
Capture8

The PRC Network Security Law (“NS Law”) has come into force on June 1, 2017. This law provides certain provisions in relation to the data privacy. Some of them appear to be beneficial to the individual data owners, whilst some others may be counter-productive to the protection of data privacy.

In parallel, the legislative branch of the Chinese government has published a draft PRC E-Commerce Law (“Draft EC Law”) for public consultation in December 2016.  This draft law has not yet to be passed by the PRC National People’s Congress (NPC) to become effective. However, its provisions have reflected some basic attitudes of the Chinese authority towards the protection of data privacy.

This essay sets out and provides my comments on the key provisions with respect the data privacy under the NS Law and the Draft EC Law.  In order to make readers digesting these laws easily, I will apply Daniel J. Solove’s theory of categorization of the data privacy issues.

1. Data Collection and Aggregation

“Aggregation” means the gathering of a person’s data from different sources and then combining them to form a clearer image of the person.

  • Art. 22.3 of the NS Law: ISP cannot collect its users’ personal information without the expressive consent. Art. 41 of the NS Law: ISP shall publish the rules, purpose, method, and scope of collection of personal information. No collection without users’ consent.[Comments: (i) These provisions do not distinguish “collection” and “aggregation”.  (ii) As a result, although these provisions have clearly required an operator to obtain consent before collecting its users’ information, they did not address the issue whether a third party can search and aggregate personal information (either from the public domain or from the first-hand data collectors.)]

2. Surveillance

Surveillance means the act or system enabling the government or a company to monitor user’s activities (“Big brother is watching you”).

  • Art. 51 of the Draft EC Law obliges E-commerce business operators to provide data to government authority (although it also said that the government authority should adopt “necessary measures” to protect data security).
    [Comments: (i) This provision legitimized (rather than prohibited) the surveillance practice.]
  • Art. 21.3 of the NS Law: ISPs are obliged to monitor and record user’s activities and should keep records for no less than 6 months.
    [Comments: (i) this could be counter-productive to protecting privacy from the individual data owner’s perspective; (ii) the 6 months storage obligation is not new in China, but the NS Law makes the compliance to be a necessity (at least on paper). ]

3. Identification

Identification means to identify a particular person or a particular group of persons by data analysis.

  • Art. 42.1 of the NS Law: No sharing of identifiable personal data without consent. Art. 50 of the Draft EC Law: an E-commerce business entity is obliged to take protection measures to ensure anonymity before it shares the e-commerce data with another E-commerce business entity.[Comments: Article 42 of the NS Law first prohibits business operators from divulging personal information to a third party. Then it says that if the data cannot identify a particular person, then it is fine to transfer without the data owner’s consent. Article 50 of the Draft EC Law has generally kept consistency with the NS Law on this regard. ]
  • Art. 45 of the Draft EC Law confirms that the buyers have autonomy over their personal data; it also defines the personal data with a detailed list, such as name, ID certificates number, address, contact details, information of geographical location, bank card info, transaction records, payment records and records of accepting logistic services.[Comments: The Draft EC Law did not distinguish the “private personal data” and the “business personal data”.  In some countries, use and aggregation of the business contacts (e.g. office telephone numbers, office email address and other info shown on a business card) may enjoy certain exemptions.]
  • Art. 46 of the Draft EC Law first provides that collection of personal data requires user consent; then it prohibits the denial of service due to the user’s refusal of providing personal data.

4. Disclosure and Insecurity

Disclosure means the data holder’s own act of disclosing the private facts. Insecurity means the situation that the data is attacked and stolen.

  • Art. 21. 2 and 21.4 of the NS Law request ISP to take technical measures to protect its system from attack; ISP also needs to classify, backup and encrypt data.
  • Art. 22.1 and 22.2 of the NS Law request ISP to take remedial actions when its system is in risk; provide security maintenance during the term of service. These provisions also generally requested the producer of network security products or services to report the authority about the data breach.
  • Art. 27 of the NS Law generally prohibits hacking acts. It also prohibits the assistance of hacking practice, such as tech support, advertising, and settlement of payment.
    [Comments: The provision did not clarify if the “assistance” means knowingly assistance. It also did not clarify if “constructive knowledge” also applies to this provision.]
  • Art. 42.2 of the NS Law requests ISP to take technical measures to protect data from disclosure, damages or loss. It also mentioned that the data holder shall report the data breach to the relevant authority.
  • Art. 49 of the Draft EC Law provides that e-commerce business entities must establish rules and technologies to prevent disclosure of data. It also provides if there is a data breach, the e-commerce business entity is obliged to (i) take remedial measures, (ii) notify the users and (iii) report to government authorities.

5. Exclusion 

Exclusion means the act/rule disabling/excluding a user from maintenance and deletion of his personal data from the system. The reason for deletion can be either those data are objectively outdated or the data owner simply changed its mind of disclosing the data.

  • Art. 43 of the NS Law: User has right to request deletion if the service provider’s collection or use of personal information in breach of the law/agreement; or there are mistakes in the personal information.[Comments: According to this provision, if there is no mistake in the personal information and the service provider does not breach the contract, then the data owner will not have right to remove the data he/she has provided to the service provider. It is not clear whether “mistake” herein includes “outdated”.  However, it seems clear that data owner would have lost an absolute right of deletion.]
  • Art. 47 of the Draft EC Law: provides that when a user requests correction or supplement of his/her personal information, the E-commerce business entity should correct or supplement the information accordingly.
  • Art. 48(3) of the Draft EC Law: provides that a user has right to delete its personal information. However, such right of deletion only arises (and is only mentioned) upon lapse of agreed / statutory term of preservation of personal data.

6. Increased Accessibility

Increased accessibility means, without the consent of the personal data owner, making the information that is already available to the public EASIER for a wider scope of the audience to access.

E.g., a buyer’s review of a particular product is usually made available to the public.  However, the buyer might not want his friends or colleagues to know that he purchased such product.

Neither the Draft EC Law nor the NS Law has provision preventing increased accessibility of data.

7. Blackmail, which means using a person’s personal data to blackmail him/her.

In e-commerce scenarios, it is possible that an e-commerce vendor may blackmail a buyer with the buyer’s personal records when the vendor gives a negative review of the vendor’s product. The Draft EC Law has no provision preventing such blackmails.

8. Distortion

Distortion: means disseminating false and misleading information to manipulate the way a person is perceived and judged by others.

  • Art. 42.1 of the NS Law provides that service providers cannot distort personal information. But this appears to be too general.
  • Art. 52 of the Draft EC Law stipulates that the state should promote all e-commerce business entities to ensure that information is accurate and reliable etc.

9. Second Use

Second use means the use of data for purposes unrelated to the purposes for which the data was initially collected without the data subject’s consent.

  • Art. 52 of the Draft EC Law provides that the State shall establish public data sharing mechanism. Such mechanism necessarily involves the second use of data. However, no guidance or rules are provided in relation to second use except to the extent that the State should ensure e-commerce business entities shall protect the liability, security, and authenticity of aggregated data.

 

案例:王金龙与汉庭星空(上海)酒店管理有限公司隐私权纠纷

 王金龙与汉庭星空(上海)酒店管理有限公司隐私权纠纷

上海市浦东新区人民法院  (2014)浦民一(民)初字第501号
 
 
原告王金龙诉称,2012年12月5日,原告(曾用名左金龙)因出差广州办理公司事务,于当日入住天河区汉庭快捷酒店。在订房过程中原告依据酒店的要求提供了个人身份证以及手机号码等个人信息,并于当日通过银行卡预付房费人民币600元,汉庭酒店工作人员向原告出具通用发票,发票收款方为“汉庭星空(上海)酒店管理有限公司广州天河分公司”,并加盖有该公司发票专用章。2013年10月5日,国内第三方安全漏洞监测平台乌云(WooY某某.org)在其官网上以“如家等大量酒店客户开房记录被第三方存储并因漏洞导致泄漏”为题,公开披露了慧某网络公司开发的酒店无线认证门户系统存在高危漏洞,易导致客户敏感信息泄露的事实和证据。同年10月10日,慧某网络公司在其官网发布公告,承认其无线门户系统存在安全加密等级较低问题,有信息泄露的安全隐患。随后不久,互联网上又爆出文件名为“2,000wcsv”的包含2,000万条酒店客户开房记录的数据包以及以该数据包为基础的开房信息查询网站。原告及其同事出于对自身信息安全的关注,通过在网上搜索,下载了上述数据包,并通过搜寻已经在网上公开的解压密码对其进行解压,得到了10个csv数据包文件。通过写字板打开第一个名为“1-200W”的文件,显示了大量记载有姓名、身份证号、出生日期、住址、手机号、开房日期等涉及公民个人身份及隐私的电子信息。随后,原告输入自己的身份证号查找,发现自己在汉庭酒店的包括上述信息在内的入住信息也在其中。随后,原告又通过搜索“找开房网”,并在http://www.zhaokaifang.com的网站查询,亦显示有包括原告姓名、身份证号、性别、生日、住址、手机号码以及开房时间等的个人隐私信息,且与上述数据包中的信息一致。因此,原告的个人隐私已遭公开泄露并且还在持续扩散中。原告的隐私权业已受到严重侵害,原告也因此遭受不明来历的推销广告、短信等骚扰,并严重影响了生活品质。依据《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《决定》)的有关规定,能识别公民个人身份及涉及公民个人隐私的电子信息受国家保护,网络服务提供者等应采取相应措施确保公民个人信息安全。而汉庭酒店以及慧某网络公司显然未履行上述《决定》规定的义务,致使原告隐私权受到严重侵害。因原告入住被告汉庭酒店,与之形成旅店住宿服务合同关系,酒店收集和掌握了原告的个人身份信息及入住信息,其对原告的信息安全负有安全保障义务。现汉庭酒店未能尽到上述安全保障义务,致使原告个人身份信息及入住酒店的隐私信息被第三人在网上公开泄露和传播。而慧某网络公司官网显示,汉庭酒店系其酒店技术系统服务的客户,故原告的信息实时保存在慧某网络公司的服务器上。综上,汉庭酒店和慧某网络公司收集、使用原告个人信息以及入住酒店的隐私信息,但未尽到安全保障义务,致使原告隐私权受到严重侵害,应当承担相应的民事责任。为此,原告依据上述《决定》以及《中华人民共和国侵权责任法》等法律规定,提起诉讼,要求为此,原告向本院提起诉讼,要求:1、判决汉庭酒店及慧某网络公司停止侵害,立即删除其自身服务器内涉及原告入住酒店的信息;2、要求慧某网络公司立即删除其合作单位服务器内涉及原告入住酒店的信息;3、判决汉庭酒店及慧某网络公司消除影响,移除在国内知名互联网搜索引擎服务商(百度、360、谷歌、搜狗、搜搜)以关键字“2,000W开房数据”的所有下载链接;4、判决汉庭酒店及慧某网络公司消除影响,移除在国内知名互联网搜索引擎服务商(百度、360、谷歌、搜狗、搜搜)对“找开房网”“zhaokaifang”网站站点的链接;5、要求汉庭酒店对其会员管理系统、客户入住系统,慧某网络公司对其无线接入管理系统,均进行等级保护测评,并按我国国家标准《信息技术-安全技术-信息安全管理体系要求》(GB/T22080-2008/ISO/IEC27001:2005)进行ISO27001标准化管理;6、判决慧某网络公司立即停止侵害,立即停止收集、保存或者使用原告的入住信息;7、判决汉庭酒店及慧某网络公司赔偿原告经济损失15万元(包括精神损害抚慰金4.7万元,误工损失5万元、公证费损失3,000元,律师费损失5万元);8、判令汉庭酒店及慧某网络公司在国内重要门户网站(新浪、搜狐、网易、腾讯)以及自身官网向原告赔礼道歉;9、判令本案诉讼费由汉庭酒店及慧某网络公司承担。
 
被告汉庭酒店辩称,第一,其与慧某网络公司在无线门户认证系统领域并不存在合作关系,故不存在原告所称的其酒店住宿信息因慧某网络公司无线门户认证系统漏洞而被泄露的事实。相反,汉庭酒店至今并未发生信息泄露事故,更没有故意对外泄露原告信息的侵权行为。第二,从原告所提供证据看,公开原告信息的是百度云、找开房网等网络,并非汉庭酒店,而且网上所公开的原告信息与汉庭酒店系统中留存的原告信息在内容和格式上均有显著差异和矛盾之处。互联网上公开的原告手机号XXXXXXXXXXX,汉庭酒店从未有过登记,该信息中的“开房时间”也没有明确载明是在汉庭酒店的入住时间,且与原告实际入住或离开汉庭酒店的具体时间并不一致,原告仅凭臆想和推测来认定系与汉庭酒店有关,并无依据。第三,互联网上公开的电子文件信息,在未经查证前不能直接认定为酒店住宿信息。即使是酒店住宿信息,掌握该信息的主体除汉庭酒店之外,还包括原告本人及公安机关等,因此在无证据证明该信息泄露主体系汉庭酒店时,不能推定系汉庭酒店泄露。第四,汉庭酒店从技术和管理上对酒店管理系统以及个人会员CRM系统均已尽到合理范围内的安全保障义务,并不存在过错。第五,汉庭酒店登记原告入住信息,并予以保管存储系履行法定职责,且并未给百度、360、谷歌、搜狗、搜搜等网络提供过入住信息的链接服务。第六,原告并无证据证明其受到精神损害以及误工等方面的损失。原告所称网络上流传的其手机号码并非汉庭酒店登记的号码,故即使原告手机号码收到骚扰,也足以排除系汉庭酒店导致。综上,不同意原告的所有诉讼请求。
 
慧某网络公司在诉讼中述称,其与汉庭酒店在无线门户认证系统中并不存在合作关系,并不存在获取汉庭酒店客户入住信息的可能。且其公司无线门户认证系统中所采集的客户信息内容仅包括客户的姓名、入住及离开时间,并不包括身份证号、手机号、生日等个人信息,且格式与网上所泄露的信息也完全不一致。而且乌某某亦发表声明网上的2,000万数据与其发布的漏洞无关,与慧某网络公司亦无关。
 
2013年10月5日,乌某某(WooY某某.org)在其网页上(网址www.wooy某某.org/bugs/wooy某某-2010-034935)发布了漏洞标题为“如家等大量酒店开房记录被第三方存储并因漏洞导致泄漏”的漏洞信息。该信息的“漏洞概要”中指出,该漏洞编号为wooy某某-2013-34935,相关厂商为慧某网络公司,公开时间为2013-10-0523:22,漏洞类型为敏感信息泄露,危害等级为高,漏洞状态为已交由第三方厂商(cncert国家互联网应急中心)处理等;该信息的“漏洞详情”中指出,如家等酒店全部或部分使用了慧某网络公司开发的酒店wifi管理、认证管理系统;该公司在服务器上实时存储了酒店客户的记录,包括客户名、身份证号、开房日期,房间号等敏感、隐私信息,其合作酒店包括如家酒店连锁、汉庭酒店;该信息的“漏洞回应”中厂商回应的确认时间为2013-08-2600:08,且厂商回复,系统漏洞于2013年10月8日已经修复,并说明汉庭(华住)酒店与慧某驿站在无线门户业务领域上没有合作关系等。2013年10月10日,慧某网络公司在其网站(www.cnwisdom.com)中发布“释疑酒店住客信息泄露事件——慧某驿站无线门户系统安全升级通告”,指出其无线门户系统存在信息安全加密等级较低问题,有信息泄露的安全隐患,慧某驿站的技术团队针对现有无线门户认证系统已完成全面升级等,另慧某驿站在无线门户业务领域与汉庭酒店(华住集团)等客户没有合作关系等。2013年10月21日,国家互联网应急中心在其国家信息安全漏洞共享平台网站(www.cnvd.org.cn)中发布《关于浙江慧某驿站网络有限公司无线认证数据通道服务器漏洞风险的处置情况公告》(安全公告编号:CNTA-2013-0031)。该《公告》指出:“近期,互联网上披露了涉及浙江慧某驿站网络有限公司(简称慧某公司)无线认证数据通道服务器漏洞风险的情况(信息披露详情参见:http://www.wooy某某.org/bugs/wooy某某-2010-034935),CNCERT主办的国家信息安全漏洞共享平台(CNVD)协调慧某公司对漏洞风险进行了处置。10月10日,CNVD与慧某公司建立了联系渠道,协商事件处置事宜。10月11日,慧某公司向CNVD反馈了针对漏洞风险的修复措施。10月12日CNVD通过邮件确认慧某公司采取了以下3条主要修复措施:(1)目前在CNVD测试网络内直接访问目标服务器地址会跳转至其他导航页面;(2)数据加密文件采用DES算法加密;(3)默认服务端与客户端传输协议为HTTPS,研判抓包无法获得明文数据。此外,CNVD要求慧某公司进一步做好白名单更新管理,加强安全认证机制。……”同日,慧某网络公司亦在其网站(www.cnwisdom.com)中发布“国家互联网应急中心关于浙江慧某驿站网络有限公司无线认证数据漏洞风险的修复机制的确认公告”的页面内容,并发出致慧某驿站酒店客户及相关媒体的信函,指出经国家互联网应急中心(CNCERT/CNVD)的权威鉴定,其公司无线认证数据通道服务器漏洞已修复,安全隐患已解除,并附上国家互联网应急中心上述公告的网址链接。
 
另查明,2014年2月12日,乌某某(WooY某某.org)在其网页上发布“乌云声明”,指出“乌某某在2013年10月5日发布的‘如家等酒店客户开房记录被第三方存储并因漏洞导致泄漏’漏洞报告详细说明中所提及的‘汉庭’等相关内容,系提交者Yep个人臆测,乌某某经调查核实后,已于2013年10月9日在官网该报告标题以及正文中去除了‘汉庭’相关内容。特此发布声明再次予以澄清。”2014年2月19日,乌某某(WooY某某.org)在其网页上又发布“关于乌云平台发布的WooY某某-2013-34935漏洞的声明公告”,内容为:“乌某某于2013年10月5日向公众公开的编号为WooY某某-2013-34935的漏洞(标题为:如家等大量酒店客户开房记录被第三方存储并因漏洞导致泄漏),该漏洞由注册白帽子Yep依照乌云漏洞提交规则发布,漏洞披露后交由CNCERT国家互联网应急中心,协调浙江慧某驿站公司对漏洞风险及时进行了处置(CNCERT/CNVD安全公告编号:CNTA-2013-0031)。按注册白帽子Yep在该漏洞披露发布时提交的数据信息,该漏洞披露所涉及的少量数据(单个文件PMS_6127.DAT)为漏洞披露者Yep收集用于演示和证明目的,实质并未发生泄漏。互联网上所传的‘某酒店2,000W用户信息’的数据,经调查该数据早于2013年5-6月份期间就被人获取并在地下和网络上传播,涉事者并没有通过乌云提交进行处理。该数据从泄露时间、披露通道、数据格式、数据量均与乌云在漏洞WooY某某-2013-34935披露的涉及数据非同一批数据,该数据与乌云平台披露的上述漏洞涉及的数据无关。特此发布声明再次予以澄清。”
 
还查明,汉庭酒店广州天河岗顶店以及深圳南山大道店等门店使用的无限上网设备,系汉庭酒店委托汉庭科技(苏州)有限公司代为向上海格拓信息科技有限公司采购。汉庭科技(苏州)有限公司于2009年2月8日开发完成汉庭酒店管理系统软件(简称:Web-PMS)V1.0,并于2009年5月19日取得该计算机软件著作权登记证书;于2011年1月20日开发完成个人CRM系统V1.0计算机软件,并于2012年3月15日取得该计算机软件著作权登记证书。上述两套计算机软件系统均自研发完成之日起,由汉庭科技(苏州)有限公司授权汉庭酒店使用。2013年12月16日,北京神州某某科技有限公司为汉庭酒店网络安全服务出具项目报告,结论为“经过详细的安全服务和日志分析,汉庭的PMS酒店管理系统,CRM会员管理系统,官网以及手机APP均未发现由于攻击导致数据泄漏的痕迹。”2014年4月18日,经上海市信息安全测评认证中心测评,汉庭酒店的汉庭酒店管理系统及个人CRM系统安全保护等级均为3级,测评结论均为基本符合。2014年4月23日,汉庭酒店上述3级汉庭酒店管理系统(PMS)及3级个人CRM系统经公安机关备案,取得信息系统安全等级保护备案证明
 
审理中,1、原告于2014年6月13日以其个人信息保存在汉庭酒店,与慧某网络公司无关为由,撤回了对慧某网络公司的起诉。2、原告基于被告汉庭酒店的酒店管理系统(PMS)及个人CRM系统已经进行安全等级测评,并取得公安机关的备案,故不再要求汉庭酒店就上述两系统进行等级测评,但仍要求汉庭酒店对上述两系统按照ISO27001国家标准进行标准化管理。对此,被告汉庭酒店表示,上述国家标准属于推荐性标准,并非国家强制性标准,企业可自愿采用,因此对被告并无强制约束力,而且该项请求并不属法院民事诉讼的受案范围,法院不应处理。3、原告表示,互联网上泄露的其个人信息中的手机号码XXXXXXXXXXX、住址南昌市,就是其在2007年前后办理被告汉庭酒店会员卡时登记的信息,当时原告办理会员卡时,汉庭酒店就原告填报的信息向原告发过确认的电子邮件,且原告也曾使用过户籍地为南昌市的第一代身份证入住汉庭酒店,现被告酒店管理系统及个人会员管理系统中的信息存在更改的可能,故对其真实性不予认可。被告对原告上述陈述不予认可,表示原告系2010年4月注册成为会员的,其注册信息即为汉庭酒店个人会员管理系统中的信息,并不存在更改的情形。原告对其上述陈述未提供相应证据予以证明。
 
本院认为,本案原、被告争议的焦点在于:一、互联网上流传的“2,000万开房信息”中涉及的原告信息是否是原告在被告处的入住信息?二、被告是否泄漏了原告的入住信息,是否构成对原告隐私权的侵害?
 
针对上述争议焦点一,本院认为,将互联网上流传的“2,000万开房信息”中信息与被告酒店管理系统及个人会员管理系统中留存的信息进行比对可以发现,两者所涉及的原告信息在“姓名、身份证号、性别、生日”几方面具有一致性,而其他信息,包括住址、手机号码以及开房(入住)时间却不一致。互联网上流传的信息中原告的住址为南昌市,手机号码为XXXXXXXXXXX,开房时间为2012年12月6日02时18分45秒,而被告上述系统以及临时住宿登记单中留存的原告住址为江西省九江市浔阳区浔阳东路XXX号,籍贯为江西抚州市临川区,手机号码为XXXXXXXXXXX,入住时间分别为2012年12月3日12时16分08秒、2012年12月5日14时22分15秒以及2012年12月6日09时56分19秒。虽然原告称其注册成为被告会员时,登记的住址即为南昌市的地址,手机号码亦为XXXXXXXXXXX的手机号码,但一则原告对此并未提供证据予以证明,二则被告对此亦不予认可,故本院对原告上述意见,实难采纳。此外,关于被告酒店管理系统中留存的原告入住被告的三次具体时间,虽然原告称上述信息因属被告控制,存在更改的可能,故对其真实性不予确认。但本院注意到,被告上述系统中留存的原告2012年12月3日入住广州天河岗顶店以及2012年12月5日入住深圳南山大道店的时间,与原告入住该两店时分别签字确认的临时住宿登记单上载明的到店时间相比,除后者未标明“秒数”外,两者在“日期”、“时数”和“分数”上均能一一对应。同时,原告在临时住宿登记单中签字确认后,被告再在其酒店管理系统中录入或记载其入住信息亦符合酒店入住登记的一般程序,因此被告酒店管理系统中留存的原告上述两次的入住时间虽然均比原告签字确认的临时住宿登记单中记载的到店(入住)时间分别多了8秒和15秒,但均符合常理,故本院对被告酒店管理系统中留存的上述两次入住时间的记载真实性予以确认。对于被告酒店管理系统中留存的入住时间2012年12月6日09时56分19秒的记录,本院认为,因原告该日仍然在被告深圳南山大道店住宿,但因更换房间,故在该店办理了原房XXX号房间的退房手续和新房XXX号房间的入住手续,且原告于该日09时57分支付了新房XXX号房间的房费。从该房费的实际支付时间来看,其与被告酒店管理系统中登记的该次入住时间亦仅有数十秒的间隔,亦符合酒店办理登记入住的正常手续,故该次登记的入住时间亦符合常理,本院对其记载真实性亦可予采信。原告虽称上述信息属被告控制,存在更改的可能,但其并无被告实际更改上述信息的相关证据,故本院对原告的猜测性抗辩,不予采纳。基于此,由于网络上流传的“2,000万开房信息”在信息性质上具有非常明确的指征性,即入住酒店信息,且原告亦主张该信息泄露了其手机号码导致被骚扰,但从上述分析不难看出,互联网上流传的该信息与被告酒店管理系统和个人会员管理系统中留存的原告信息相比,两者所显示的开房(入住)时间和原告的手机号码、住址等关键信息却并不相同。虽然两者所显示的原告姓名、性别、身份证号、生日的信息内容一致,但上述信息作为原告的基本信息,其使用频率和范围较广,并不为被告所单独掌握,其扩散渠道也并不具有单一性和唯一性,故亦难以仅凭上述部分信息的一致而判断互联网上流传的原告信息即为被告系统中留存的原告信息。综上,本院难以确认,互联网上流传的“2,000万开房信息”中的原告信息就是被告酒店管理系统和个人会员管理系统中留存的原告信息。
 
对于第二个争议焦点,本院认为,由于原告最初系基于慧某网络公司的无线门户系统存在漏洞,且被告系慧某网络公司无线门户系统的合作客户,故其入住被告的信息被泄露。而从本案查明的事实看,被告与慧某网络公司均一致否认双方在无线门户系统方面存在合作关系,且最初发布系统漏洞的乌某某亦在官网上对此予以了澄清,原告在审理中亦以其入住被告的信息与慧某网络公司无关为由撤回了对慧某网络公司的起诉。因此,在难以确认网上流传的“2,000万开房信息”中所涉及的原告信息与被告系统中留存的入住信息等具有关联性的情况下,再加之原告现也并无其他证据证明被告泄露了其入住酒店的信息,因此对于原告主张被告泄露其入住酒店信息的事实,本院不予采信。基于被告并不存在泄露原告入住酒店等信息的事实,故亦不存在原告所主张的因被告泄露其入住酒店等信息而侵犯其隐私权的事实。由此,原告要求被告承担侵权责任的主张,无事实依据,本院不予采纳。
 
综上,由于被告并不存在侵犯原告隐私权的事实,且被告基于相关法律法规或行业规定保存原告入住酒店的信息,并无不妥,故原告向被告提出的上述诉讼请求13478,均无事实依据,本院不予支持。原告自愿撤回要求被告对其酒店管理系统以及个人会员管理系统进行等级保护测评的请求,本院予以准许。关于原告要求被告对其酒店管理系统以及个人会员管理系统进行ISO27001标准化管理的请求,因该标准属于国家推荐性标准,并不属强制性标准,企业可自行确定是否适用,且该请求并不属于法院的受案范围,故本院对此不予处理。原告自愿撤回对慧某网络公司的起诉,并无违反法律的规定,本院予以准许。据此,依照《最高人民法院关于民事诉讼证据的若干规定》第二条的规定,判决如下:
一、驳回原告王金龙要求被告汉庭星空(上海)酒店管理有限公司停止侵害,立即删除自身服务器内原告王金龙入住酒店信息的请求;
二、驳回原告王金龙要求被告汉庭星空(上海)酒店管理有限公司消除影响,移除在国内知名互联网搜索引擎服务商(百度、360、谷歌、搜狗、搜搜)以关键字“2,000W开房数据”的所有下载链接的请求;
三、驳回原告王金龙要求被告汉庭星空(上海)酒店管理有限公司消除影响,移除在国内知名互联网搜索引擎服务商(百度、360、谷歌、搜狗、搜搜)对“找开房网”“zhaokaifang”网站站点的链接的请求;
四、驳回原告王金龙要求被告汉庭星空(上海)酒店管理有限公司赔偿其经济损失15万元的请求;
五、驳回原告王金龙要求被告汉庭星空(上海)酒店管理有限公司在国内重要门户网站(新浪、搜狐、网易、腾讯)以及自身官网向其赔礼道歉的请求。

案件受理费1,300元,由原告王金龙负担。

 王金龙与汉庭星空(上海)酒店管理有限公司隐私权纠纷

上海市浦东新区人民法院  (2014)浦民一(民)初字第501号
 
 
原告王金龙诉称,2012年12月5日,原告(曾用名左金龙)因出差广州办理公司事务,于当日入住天河区汉庭快捷酒店。在订房过程中原告依据酒店的要求提供了个人身份证以及手机号码等个人信息,并于当日通过银行卡预付房费人民币600元,汉庭酒店工作人员向原告出具通用发票,发票收款方为“汉庭星空(上海)酒店管理有限公司广州天河分公司”,并加盖有该公司发票专用章。2013年10月5日,国内第三方安全漏洞监测平台乌云(WooY某某.org)在其官网上以“如家等大量酒店客户开房记录被第三方存储并因漏洞导致泄漏”为题,公开披露了慧某网络公司开发的酒店无线认证门户系统存在高危漏洞,易导致客户敏感信息泄露的事实和证据。同年10月10日,慧某网络公司在其官网发布公告,承认其无线门户系统存在安全加密等级较低问题,有信息泄露的安全隐患。随后不久,互联网上又爆出文件名为“2,000wcsv”的包含2,000万条酒店客户开房记录的数据包以及以该数据包为基础的开房信息查询网站。原告及其同事出于对自身信息安全的关注,通过在网上搜索,下载了上述数据包,并通过搜寻已经在网上公开的解压密码对其进行解压,得到了10个csv数据包文件。通过写字板打开第一个名为“1-200W”的文件,显示了大量记载有姓名、身份证号、出生日期、住址、手机号、开房日期等涉及公民个人身份及隐私的电子信息。随后,原告输入自己的身份证号查找,发现自己在汉庭酒店的包括上述信息在内的入住信息也在其中。随后,原告又通过搜索“找开房网”,并在http://www.zhaokaifang.com的网站查询,亦显示有包括原告姓名、身份证号、性别、生日、住址、手机号码以及开房时间等的个人隐私信息,且与上述数据包中的信息一致。因此,原告的个人隐私已遭公开泄露并且还在持续扩散中。原告的隐私权业已受到严重侵害,原告也因此遭受不明来历的推销广告、短信等骚扰,并严重影响了生活品质。依据《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《决定》)的有关规定,能识别公民个人身份及涉及公民个人隐私的电子信息受国家保护,网络服务提供者等应采取相应措施确保公民个人信息安全。而汉庭酒店以及慧某网络公司显然未履行上述《决定》规定的义务,致使原告隐私权受到严重侵害。因原告入住被告汉庭酒店,与之形成旅店住宿服务合同关系,酒店收集和掌握了原告的个人身份信息及入住信息,其对原告的信息安全负有安全保障义务。现汉庭酒店未能尽到上述安全保障义务,致使原告个人身份信息及入住酒店的隐私信息被第三人在网上公开泄露和传播。而慧某网络公司官网显示,汉庭酒店系其酒店技术系统服务的客户,故原告的信息实时保存在慧某网络公司的服务器上。综上,汉庭酒店和慧某网络公司收集、使用原告个人信息以及入住酒店的隐私信息,但未尽到安全保障义务,致使原告隐私权受到严重侵害,应当承担相应的民事责任。为此,原告依据上述《决定》以及《中华人民共和国侵权责任法》等法律规定,提起诉讼,要求为此,原告向本院提起诉讼,要求:1、判决汉庭酒店及慧某网络公司停止侵害,立即删除其自身服务器内涉及原告入住酒店的信息;2、要求慧某网络公司立即删除其合作单位服务器内涉及原告入住酒店的信息;3、判决汉庭酒店及慧某网络公司消除影响,移除在国内知名互联网搜索引擎服务商(百度、360、谷歌、搜狗、搜搜)以关键字“2,000W开房数据”的所有下载链接;4、判决汉庭酒店及慧某网络公司消除影响,移除在国内知名互联网搜索引擎服务商(百度、360、谷歌、搜狗、搜搜)对“找开房网”“zhaokaifang”网站站点的链接;5、要求汉庭酒店对其会员管理系统、客户入住系统,慧某网络公司对其无线接入管理系统,均进行等级保护测评,并按我国国家标准《信息技术-安全技术-信息安全管理体系要求》(GB/T22080-2008/ISO/IEC27001:2005)进行ISO27001标准化管理;6、判决慧某网络公司立即停止侵害,立即停止收集、保存或者使用原告的入住信息;7、判决汉庭酒店及慧某网络公司赔偿原告经济损失15万元(包括精神损害抚慰金4.7万元,误工损失5万元、公证费损失3,000元,律师费损失5万元);8、判令汉庭酒店及慧某网络公司在国内重要门户网站(新浪、搜狐、网易、腾讯)以及自身官网向原告赔礼道歉;9、判令本案诉讼费由汉庭酒店及慧某网络公司承担。
 
被告汉庭酒店辩称,第一,其与慧某网络公司在无线门户认证系统领域并不存在合作关系,故不存在原告所称的其酒店住宿信息因慧某网络公司无线门户认证系统漏洞而被泄露的事实。相反,汉庭酒店至今并未发生信息泄露事故,更没有故意对外泄露原告信息的侵权行为。第二,从原告所提供证据看,公开原告信息的是百度云、找开房网等网络,并非汉庭酒店,而且网上所公开的原告信息与汉庭酒店系统中留存的原告信息在内容和格式上均有显著差异和矛盾之处。互联网上公开的原告手机号XXXXXXXXXXX,汉庭酒店从未有过登记,该信息中的“开房时间”也没有明确载明是在汉庭酒店的入住时间,且与原告实际入住或离开汉庭酒店的具体时间并不一致,原告仅凭臆想和推测来认定系与汉庭酒店有关,并无依据。第三,互联网上公开的电子文件信息,在未经查证前不能直接认定为酒店住宿信息。即使是酒店住宿信息,掌握该信息的主体除汉庭酒店之外,还包括原告本人及公安机关等,因此在无证据证明该信息泄露主体系汉庭酒店时,不能推定系汉庭酒店泄露。第四,汉庭酒店从技术和管理上对酒店管理系统以及个人会员CRM系统均已尽到合理范围内的安全保障义务,并不存在过错。第五,汉庭酒店登记原告入住信息,并予以保管存储系履行法定职责,且并未给百度、360、谷歌、搜狗、搜搜等网络提供过入住信息的链接服务。第六,原告并无证据证明其受到精神损害以及误工等方面的损失。原告所称网络上流传的其手机号码并非汉庭酒店登记的号码,故即使原告手机号码收到骚扰,也足以排除系汉庭酒店导致。综上,不同意原告的所有诉讼请求。
 
慧某网络公司在诉讼中述称,其与汉庭酒店在无线门户认证系统中并不存在合作关系,并不存在获取汉庭酒店客户入住信息的可能。且其公司无线门户认证系统中所采集的客户信息内容仅包括客户的姓名、入住及离开时间,并不包括身份证号、手机号、生日等个人信息,且格式与网上所泄露的信息也完全不一致。而且乌某某亦发表声明网上的2,000万数据与其发布的漏洞无关,与慧某网络公司亦无关。
 
2013年10月5日,乌某某(WooY某某.org)在其网页上(网址www.wooy某某.org/bugs/wooy某某-2010-034935)发布了漏洞标题为“如家等大量酒店开房记录被第三方存储并因漏洞导致泄漏”的漏洞信息。该信息的“漏洞概要”中指出,该漏洞编号为wooy某某-2013-34935,相关厂商为慧某网络公司,公开时间为2013-10-0523:22,漏洞类型为敏感信息泄露,危害等级为高,漏洞状态为已交由第三方厂商(cncert国家互联网应急中心)处理等;该信息的“漏洞详情”中指出,如家等酒店全部或部分使用了慧某网络公司开发的酒店wifi管理、认证管理系统;该公司在服务器上实时存储了酒店客户的记录,包括客户名、身份证号、开房日期,房间号等敏感、隐私信息,其合作酒店包括如家酒店连锁、汉庭酒店;该信息的“漏洞回应”中厂商回应的确认时间为2013-08-2600:08,且厂商回复,系统漏洞于2013年10月8日已经修复,并说明汉庭(华住)酒店与慧某驿站在无线门户业务领域上没有合作关系等。2013年10月10日,慧某网络公司在其网站(www.cnwisdom.com)中发布“释疑酒店住客信息泄露事件——慧某驿站无线门户系统安全升级通告”,指出其无线门户系统存在信息安全加密等级较低问题,有信息泄露的安全隐患,慧某驿站的技术团队针对现有无线门户认证系统已完成全面升级等,另慧某驿站在无线门户业务领域与汉庭酒店(华住集团)等客户没有合作关系等。2013年10月21日,国家互联网应急中心在其国家信息安全漏洞共享平台网站(www.cnvd.org.cn)中发布《关于浙江慧某驿站网络有限公司无线认证数据通道服务器漏洞风险的处置情况公告》(安全公告编号:CNTA-2013-0031)。该《公告》指出:“近期,互联网上披露了涉及浙江慧某驿站网络有限公司(简称慧某公司)无线认证数据通道服务器漏洞风险的情况(信息披露详情参见:http://www.wooy某某.org/bugs/wooy某某-2010-034935),CNCERT主办的国家信息安全漏洞共享平台(CNVD)协调慧某公司对漏洞风险进行了处置。10月10日,CNVD与慧某公司建立了联系渠道,协商事件处置事宜。10月11日,慧某公司向CNVD反馈了针对漏洞风险的修复措施。10月12日CNVD通过邮件确认慧某公司采取了以下3条主要修复措施:(1)目前在CNVD测试网络内直接访问目标服务器地址会跳转至其他导航页面;(2)数据加密文件采用DES算法加密;(3)默认服务端与客户端传输协议为HTTPS,研判抓包无法获得明文数据。此外,CNVD要求慧某公司进一步做好白名单更新管理,加强安全认证机制。……”同日,慧某网络公司亦在其网站(www.cnwisdom.com)中发布“国家互联网应急中心关于浙江慧某驿站网络有限公司无线认证数据漏洞风险的修复机制的确认公告”的页面内容,并发出致慧某驿站酒店客户及相关媒体的信函,指出经国家互联网应急中心(CNCERT/CNVD)的权威鉴定,其公司无线认证数据通道服务器漏洞已修复,安全隐患已解除,并附上国家互联网应急中心上述公告的网址链接。
 
另查明,2014年2月12日,乌某某(WooY某某.org)在其网页上发布“乌云声明”,指出“乌某某在2013年10月5日发布的‘如家等酒店客户开房记录被第三方存储并因漏洞导致泄漏’漏洞报告详细说明中所提及的‘汉庭’等相关内容,系提交者Yep个人臆测,乌某某经调查核实后,已于2013年10月9日在官网该报告标题以及正文中去除了‘汉庭’相关内容。特此发布声明再次予以澄清。”2014年2月19日,乌某某(WooY某某.org)在其网页上又发布“关于乌云平台发布的WooY某某-2013-34935漏洞的声明公告”,内容为:“乌某某于2013年10月5日向公众公开的编号为WooY某某-2013-34935的漏洞(标题为:如家等大量酒店客户开房记录被第三方存储并因漏洞导致泄漏),该漏洞由注册白帽子Yep依照乌云漏洞提交规则发布,漏洞披露后交由CNCERT国家互联网应急中心,协调浙江慧某驿站公司对漏洞风险及时进行了处置(CNCERT/CNVD安全公告编号:CNTA-2013-0031)。按注册白帽子Yep在该漏洞披露发布时提交的数据信息,该漏洞披露所涉及的少量数据(单个文件PMS_6127.DAT)为漏洞披露者Yep收集用于演示和证明目的,实质并未发生泄漏。互联网上所传的‘某酒店2,000W用户信息’的数据,经调查该数据早于2013年5-6月份期间就被人获取并在地下和网络上传播,涉事者并没有通过乌云提交进行处理。该数据从泄露时间、披露通道、数据格式、数据量均与乌云在漏洞WooY某某-2013-34935披露的涉及数据非同一批数据,该数据与乌云平台披露的上述漏洞涉及的数据无关。特此发布声明再次予以澄清。”
 
还查明,汉庭酒店广州天河岗顶店以及深圳南山大道店等门店使用的无限上网设备,系汉庭酒店委托汉庭科技(苏州)有限公司代为向上海格拓信息科技有限公司采购。汉庭科技(苏州)有限公司于2009年2月8日开发完成汉庭酒店管理系统软件(简称:Web-PMS)V1.0,并于2009年5月19日取得该计算机软件著作权登记证书;于2011年1月20日开发完成个人CRM系统V1.0计算机软件,并于2012年3月15日取得该计算机软件著作权登记证书。上述两套计算机软件系统均自研发完成之日起,由汉庭科技(苏州)有限公司授权汉庭酒店使用。2013年12月16日,北京神州某某科技有限公司为汉庭酒店网络安全服务出具项目报告,结论为“经过详细的安全服务和日志分析,汉庭的PMS酒店管理系统,CRM会员管理系统,官网以及手机APP均未发现由于攻击导致数据泄漏的痕迹。”2014年4月18日,经上海市信息安全测评认证中心测评,汉庭酒店的汉庭酒店管理系统及个人CRM系统安全保护等级均为3级,测评结论均为基本符合。2014年4月23日,汉庭酒店上述3级汉庭酒店管理系统(PMS)及3级个人CRM系统经公安机关备案,取得信息系统安全等级保护备案证明
 
审理中,1、原告于2014年6月13日以其个人信息保存在汉庭酒店,与慧某网络公司无关为由,撤回了对慧某网络公司的起诉。2、原告基于被告汉庭酒店的酒店管理系统(PMS)及个人CRM系统已经进行安全等级测评,并取得公安机关的备案,故不再要求汉庭酒店就上述两系统进行等级测评,但仍要求汉庭酒店对上述两系统按照ISO27001国家标准进行标准化管理。对此,被告汉庭酒店表示,上述国家标准属于推荐性标准,并非国家强制性标准,企业可自愿采用,因此对被告并无强制约束力,而且该项请求并不属法院民事诉讼的受案范围,法院不应处理。3、原告表示,互联网上泄露的其个人信息中的手机号码XXXXXXXXXXX、住址南昌市,就是其在2007年前后办理被告汉庭酒店会员卡时登记的信息,当时原告办理会员卡时,汉庭酒店就原告填报的信息向原告发过确认的电子邮件,且原告也曾使用过户籍地为南昌市的第一代身份证入住汉庭酒店,现被告酒店管理系统及个人会员管理系统中的信息存在更改的可能,故对其真实性不予认可。被告对原告上述陈述不予认可,表示原告系2010年4月注册成为会员的,其注册信息即为汉庭酒店个人会员管理系统中的信息,并不存在更改的情形。原告对其上述陈述未提供相应证据予以证明。
 
本院认为,本案原、被告争议的焦点在于:一、互联网上流传的“2,000万开房信息”中涉及的原告信息是否是原告在被告处的入住信息?二、被告是否泄漏了原告的入住信息,是否构成对原告隐私权的侵害?
 
针对上述争议焦点一,本院认为,将互联网上流传的“2,000万开房信息”中信息与被告酒店管理系统及个人会员管理系统中留存的信息进行比对可以发现,两者所涉及的原告信息在“姓名、身份证号、性别、生日”几方面具有一致性,而其他信息,包括住址、手机号码以及开房(入住)时间却不一致。互联网上流传的信息中原告的住址为南昌市,手机号码为XXXXXXXXXXX,开房时间为2012年12月6日02时18分45秒,而被告上述系统以及临时住宿登记单中留存的原告住址为江西省九江市浔阳区浔阳东路XXX号,籍贯为江西抚州市临川区,手机号码为XXXXXXXXXXX,入住时间分别为2012年12月3日12时16分08秒、2012年12月5日14时22分15秒以及2012年12月6日09时56分19秒。虽然原告称其注册成为被告会员时,登记的住址即为南昌市的地址,手机号码亦为XXXXXXXXXXX的手机号码,但一则原告对此并未提供证据予以证明,二则被告对此亦不予认可,故本院对原告上述意见,实难采纳。此外,关于被告酒店管理系统中留存的原告入住被告的三次具体时间,虽然原告称上述信息因属被告控制,存在更改的可能,故对其真实性不予确认。但本院注意到,被告上述系统中留存的原告2012年12月3日入住广州天河岗顶店以及2012年12月5日入住深圳南山大道店的时间,与原告入住该两店时分别签字确认的临时住宿登记单上载明的到店时间相比,除后者未标明“秒数”外,两者在“日期”、“时数”和“分数”上均能一一对应。同时,原告在临时住宿登记单中签字确认后,被告再在其酒店管理系统中录入或记载其入住信息亦符合酒店入住登记的一般程序,因此被告酒店管理系统中留存的原告上述两次的入住时间虽然均比原告签字确认的临时住宿登记单中记载的到店(入住)时间分别多了8秒和15秒,但均符合常理,故本院对被告酒店管理系统中留存的上述两次入住时间的记载真实性予以确认。对于被告酒店管理系统中留存的入住时间2012年12月6日09时56分19秒的记录,本院认为,因原告该日仍然在被告深圳南山大道店住宿,但因更换房间,故在该店办理了原房XXX号房间的退房手续和新房XXX号房间的入住手续,且原告于该日09时57分支付了新房XXX号房间的房费。从该房费的实际支付时间来看,其与被告酒店管理系统中登记的该次入住时间亦仅有数十秒的间隔,亦符合酒店办理登记入住的正常手续,故该次登记的入住时间亦符合常理,本院对其记载真实性亦可予采信。原告虽称上述信息属被告控制,存在更改的可能,但其并无被告实际更改上述信息的相关证据,故本院对原告的猜测性抗辩,不予采纳。基于此,由于网络上流传的“2,000万开房信息”在信息性质上具有非常明确的指征性,即入住酒店信息,且原告亦主张该信息泄露了其手机号码导致被骚扰,但从上述分析不难看出,互联网上流传的该信息与被告酒店管理系统和个人会员管理系统中留存的原告信息相比,两者所显示的开房(入住)时间和原告的手机号码、住址等关键信息却并不相同。虽然两者所显示的原告姓名、性别、身份证号、生日的信息内容一致,但上述信息作为原告的基本信息,其使用频率和范围较广,并不为被告所单独掌握,其扩散渠道也并不具有单一性和唯一性,故亦难以仅凭上述部分信息的一致而判断互联网上流传的原告信息即为被告系统中留存的原告信息。综上,本院难以确认,互联网上流传的“2,000万开房信息”中的原告信息就是被告酒店管理系统和个人会员管理系统中留存的原告信息。
 
对于第二个争议焦点,本院认为,由于原告最初系基于慧某网络公司的无线门户系统存在漏洞,且被告系慧某网络公司无线门户系统的合作客户,故其入住被告的信息被泄露。而从本案查明的事实看,被告与慧某网络公司均一致否认双方在无线门户系统方面存在合作关系,且最初发布系统漏洞的乌某某亦在官网上对此予以了澄清,原告在审理中亦以其入住被告的信息与慧某网络公司无关为由撤回了对慧某网络公司的起诉。因此,在难以确认网上流传的“2,000万开房信息”中所涉及的原告信息与被告系统中留存的入住信息等具有关联性的情况下,再加之原告现也并无其他证据证明被告泄露了其入住酒店的信息,因此对于原告主张被告泄露其入住酒店信息的事实,本院不予采信。基于被告并不存在泄露原告入住酒店等信息的事实,故亦不存在原告所主张的因被告泄露其入住酒店等信息而侵犯其隐私权的事实。由此,原告要求被告承担侵权责任的主张,无事实依据,本院不予采纳。
 
综上,由于被告并不存在侵犯原告隐私权的事实,且被告基于相关法律法规或行业规定保存原告入住酒店的信息,并无不妥,故原告向被告提出的上述诉讼请求13478,均无事实依据,本院不予支持。原告自愿撤回要求被告对其酒店管理系统以及个人会员管理系统进行等级保护测评的请求,本院予以准许。关于原告要求被告对其酒店管理系统以及个人会员管理系统进行ISO27001标准化管理的请求,因该标准属于国家推荐性标准,并不属强制性标准,企业可自行确定是否适用,且该请求并不属于法院的受案范围,故本院对此不予处理。原告自愿撤回对慧某网络公司的起诉,并无违反法律的规定,本院予以准许。据此,依照《最高人民法院关于民事诉讼证据的若干规定》第二条的规定,判决如下:
一、驳回原告王金龙要求被告汉庭星空(上海)酒店管理有限公司停止侵害,立即删除自身服务器内原告王金龙入住酒店信息的请求;
二、驳回原告王金龙要求被告汉庭星空(上海)酒店管理有限公司消除影响,移除在国内知名互联网搜索引擎服务商(百度、360、谷歌、搜狗、搜搜)以关键字“2,000W开房数据”的所有下载链接的请求;
三、驳回原告王金龙要求被告汉庭星空(上海)酒店管理有限公司消除影响,移除在国内知名互联网搜索引擎服务商(百度、360、谷歌、搜狗、搜搜)对“找开房网”“zhaokaifang”网站站点的链接的请求;
四、驳回原告王金龙要求被告汉庭星空(上海)酒店管理有限公司赔偿其经济损失15万元的请求;
五、驳回原告王金龙要求被告汉庭星空(上海)酒店管理有限公司在国内重要门户网站(新浪、搜狐、网易、腾讯)以及自身官网向其赔礼道歉的请求。

案件受理费1,300元,由原告王金龙负担。

案例:王芳诉千橡网景科技发展有限公司名誉权纠纷

王芳诉千橡网景科技发展有限公司名誉权纠纷二审判决书

上海一中院 (2014)沪一中民一(民)终字第3287号

 
亮点:
 
“王芳向本院以及对方当事人展示了上述(投诉)网页的页面信息。鉴于千橡公司无法举证否认上述证据的真实性,本院在审查后认定,王芳提供的这些证据真实存在。”
 
“仅处理了相应照片,而未对侵权用户的网页予以屏蔽或者断开该侵权链接。显然,千橡公司在接到通知后未及时采取必要措施,故其需就王芳损失扩大的部分承担侵权责任。”
 
“本院认为”部分:
 
本院认为,本案的争议焦点为认定千橡公司是否需对王芳承担相应侵权责任。《中华人民共和国侵权责任法》第三十六条第二款规定,网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。就本案而言,网络用户发布的信息显然构成侵权。在此情形下,被侵权人王芳有权通知网络服务提供者千橡公司采取必要措施,以维护其合法权益。从王芳提供的证据分析,其在发现侵权信息后,多次要求千橡公司屏蔽该用户,但千橡公司仅处理了相应照片,而未对侵权用户的网页予以屏蔽或者断开该侵权链接。显然,千橡公司在接到通知后未及时采取必要措施,故其需就王芳损失扩大的部分承担侵权责任。王芳要求千橡公司在“某网”主页上刊登道歉信的请求,本院予以认同,该道歉信的具体内容和刊登时间由本院根据本案实际情况确定。王芳请求千橡公司赔偿精神损害抚慰金30,000元、公证费1,000元的请求,合法有据,本院予以照准。依照《中华人民共和国侵权责任法》第三十六条第二款,《中华人民共和国民事诉讼法》第一百七十条第一款第(三)项之规定,判决如下:
 
一、撤销上海市浦东新区人民法院(2014)浦民一(民)初字第21978号民事判决;
二、北京千橡网景科技发展有限公司于本判决生效之日起10日内在“某网”主页(域名:http://www.AA.com/121947331/profile)刊登道歉信二个月,以消除影响,恢复王芳名誉(道歉信内容需经法院审核);
三、北京千橡网景科技发展有限公司于本判决生效之日起10日内赔偿王芳精神损害抚慰金人民币30,000元、公证费1,000元。
 
 

王芳诉千橡网景科技发展有限公司名誉权纠纷二审判决书

上海一中院 (2014)沪一中民一(民)终字第3287号

 
亮点:
 
“王芳向本院以及对方当事人展示了上述(投诉)网页的页面信息。鉴于千橡公司无法举证否认上述证据的真实性,本院在审查后认定,王芳提供的这些证据真实存在。”
 
“仅处理了相应照片,而未对侵权用户的网页予以屏蔽或者断开该侵权链接。显然,千橡公司在接到通知后未及时采取必要措施,故其需就王芳损失扩大的部分承担侵权责任。”
 
“本院认为”部分:
 
本院认为,本案的争议焦点为认定千橡公司是否需对王芳承担相应侵权责任。《中华人民共和国侵权责任法》第三十六条第二款规定,网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。就本案而言,网络用户发布的信息显然构成侵权。在此情形下,被侵权人王芳有权通知网络服务提供者千橡公司采取必要措施,以维护其合法权益。从王芳提供的证据分析,其在发现侵权信息后,多次要求千橡公司屏蔽该用户,但千橡公司仅处理了相应照片,而未对侵权用户的网页予以屏蔽或者断开该侵权链接。显然,千橡公司在接到通知后未及时采取必要措施,故其需就王芳损失扩大的部分承担侵权责任。王芳要求千橡公司在“某网”主页上刊登道歉信的请求,本院予以认同,该道歉信的具体内容和刊登时间由本院根据本案实际情况确定。王芳请求千橡公司赔偿精神损害抚慰金30,000元、公证费1,000元的请求,合法有据,本院予以照准。依照《中华人民共和国侵权责任法》第三十六条第二款,《中华人民共和国民事诉讼法》第一百七十条第一款第(三)项之规定,判决如下:
 
一、撤销上海市浦东新区人民法院(2014)浦民一(民)初字第21978号民事判决;
二、北京千橡网景科技发展有限公司于本判决生效之日起10日内在“某网”主页(域名:http://www.AA.com/121947331/profile)刊登道歉信二个月,以消除影响,恢复王芳名誉(道歉信内容需经法院审核);
三、北京千橡网景科技发展有限公司于本判决生效之日起10日内赔偿王芳精神损害抚慰金人民币30,000元、公证费1,000元。
 
 

中国征信业管理法律法规

 中国征信业管理法律法规(来自人民银行征信管理局网站)

http://www.pbc.gov.cn/publish/zhengxinguanliju/692/index.html

法律法规
     
 
• 征信业管理条例(国务院令 第631号) 2013-03-05
• 中华人民共和国物权法 2012-07-06
 
人行规章
     
 
• 征信机构管理办法 2013-12-03
• 应收账款质押登记办法 2012-07-06
• 个人信用信息基础数据库管理暂行办法 2012-07-06
• 银行信贷登记咨询管理办法(试行) 2012-07-06
 
规范性文件
     
 
• 个人信用信息基础数据库数据报送管理规程(暂行) 2012-07-06
• 个人信用信息基础数据库数据金融机构用户管理办法(暂行) 2012-07-06
• 中国人民银行征信管理局关于加强银行间债券市场信用评级管理的通知 2011-08-25
• 中国人民银行 中国银行业监督管理委员会关于印发《融资性担保公… 2011-08-25
 
征信标准
     
 
• 中国人民银行关于发布《征信数据元 信用评级数据元》和《征信数… 2011-08-25
• 中国人民银行关于发布《征信数据元 数据元设计与管理》等五项行… 2011-08-25
• 我国征信行业标准简介 2010-10-25
• 征信数据元注册与管理办法 2009-06-12

 中国征信业管理法律法规(来自人民银行征信管理局网站)

http://www.pbc.gov.cn/publish/zhengxinguanliju/692/index.html

法律法规
     
 
• 征信业管理条例(国务院令 第631号) 2013-03-05
• 中华人民共和国物权法 2012-07-06
 
人行规章
     
 
• 征信机构管理办法 2013-12-03
• 应收账款质押登记办法 2012-07-06
• 个人信用信息基础数据库管理暂行办法 2012-07-06
• 银行信贷登记咨询管理办法(试行) 2012-07-06
 
规范性文件
     
 
• 个人信用信息基础数据库数据报送管理规程(暂行) 2012-07-06
• 个人信用信息基础数据库数据金融机构用户管理办法(暂行) 2012-07-06
• 中国人民银行征信管理局关于加强银行间债券市场信用评级管理的通知 2011-08-25
• 中国人民银行 中国银行业监督管理委员会关于印发《融资性担保公… 2011-08-25
 
征信标准
     
 
• 中国人民银行关于发布《征信数据元 信用评级数据元》和《征信数… 2011-08-25
• 中国人民银行关于发布《征信数据元 数据元设计与管理》等五项行… 2011-08-25
• 我国征信行业标准简介 2010-10-25
• 征信数据元注册与管理办法 2009-06-12

北京爱奇艺科技有限公司与于川绿野名誉权纠纷

北京爱奇艺科技有限公司与于川绿野名誉权纠纷二审民事判决书

北京市第一中级人民法院 (2014)一中民终字第7538号

http://www.court.gov.cn/zgcpwsw/bj/bjsdyzjrmfy/ms/201410/t20141030_3727608.htm

本院认为:公民享有名誉权,公民的人格尊严受法律保护,禁止用侮辱、诽谤等方式损害公民的名誉。以书面、口头等形式宣扬他人的隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。

北京爱奇艺科技有限公司与于川绿野名誉权纠纷二审民事判决书

北京市第一中级人民法院 (2014)一中民终字第7538号

http://www.court.gov.cn/zgcpwsw/bj/bjsdyzjrmfy/ms/201410/t20141030_3727608.htm

本院认为:公民享有名誉权,公民的人格尊严受法律保护,禁止用侮辱、诽谤等方式损害公民的名誉。以书面、口头等形式宣扬他人的隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。

爱奇艺公司在一审审理中已经认可本案争议视频系其公司制作,故对爱奇艺公司上诉认为涉案视频非其制作视频的理由,本院不予采纳。爱奇艺公司经营的“爱奇艺”网站作为向不特定网民广泛传播信息和咨询的网络媒体,在未对涉案视频内容真实性进行审查的情况下,制作于川绿野为“绿茶婊”并以其为例解说如何鉴别“绿茶婊”的视频,并将上述视频传至公共互联网让网友点击观看,主观上已经存在过错,视频内容具有侮辱、贬损于川绿野名誉的特征,且因“爱奇艺”网站的传媒特点,上述视频势必造成于川绿野社会评价的降低,故爱奇艺公司的上述行为已构成对于川绿野的名誉侵权,不属于于川绿野应容忍舆论的范围。一审法院结合爱奇艺公司侵权行为的具体内容、持续时间、影响范围等因素确定赔礼道歉方式及精神损害抚慰金的赔偿数额,并无不当,爱奇艺公司的上诉请求和理由缺乏事实和法律依据,本院不予采信。

综上,原审法院认定事实清楚,适用法律正确,本院予以维持。据此,依照《中华人民共和国民事诉讼法》第一百七十条第一款第(一)项之规定,判决如下:驳回上诉,维持原判。