Tag: 隐私权

上海市浦东新区人民法院  （2014）浦民一（民）初字第501号

 

 

原告王金龙诉称，2012年12月5日，原告（曾用名左金龙）因出差广州办理公司事务，于当日入住天河区汉庭快捷酒店。在订房过程中原告依据酒店的要求提供了个人身份证以及手机号码等个人信息，并于当日通过银行卡预付房费人民币600元，汉庭酒店工作人员向原告出具通用发票，发票收款方为“汉庭星空（上海）酒店管理有限公司广州天河分公司”，并加盖有该公司发票专用章。2013年10月5日，国内第三方安全漏洞监测平台乌云（WooY某某.org）在其官网上以“如家等大量酒店客户开房记录被第三方存储并因漏洞导致泄漏”为题，公开披露了慧某网络公司开发的酒店无线认证门户系统存在高危漏洞，易导致客户敏感信息泄露的事实和证据。同年10月10日，慧某网络公司在其官网发布公告，承认其无线门户系统存在安全加密等级较低问题，有信息泄露的安全隐患。随后不久，互联网上又爆出文件名为“2，000wcsv”的包含2，000万条酒店客户开房记录的数据包以及以该数据包为基础的开房信息查询网站。原告及其同事出于对自身信息安全的关注，通过在网上搜索，下载了上述数据包，并通过搜寻已经在网上公开的解压密码对其进行解压，得到了10个csv数据包文件。通过写字板打开第一个名为“1-200W”的文件，显示了大量记载有姓名、身份证号、出生日期、住址、手机号、开房日期等涉及公民个人身份及隐私的电子信息。随后，原告输入自己的身份证号查找，发现自己在汉庭酒店的包括上述信息在内的入住信息也在其中。随后，原告又通过搜索“找开房网”，并在http：／／www.zhaokaifang.com的网站查询，亦显示有包括原告姓名、身份证号、性别、生日、住址、手机号码以及开房时间等的个人隐私信息，且与上述数据包中的信息一致。因此，原告的个人隐私已遭公开泄露并且还在持续扩散中。原告的隐私权业已受到严重侵害，原告也因此遭受不明来历的推销广告、短信等骚扰，并严重影响了生活品质。依据《全国人民代表大会常务委员会关于加强网络信息保护的决定》（以下简称《决定》）的有关规定，能识别公民个人身份及涉及公民个人隐私的电子信息受国家保护，网络服务提供者等应采取相应措施确保公民个人信息安全。而汉庭酒店以及慧某网络公司显然未履行上述《决定》规定的义务，致使原告隐私权受到严重侵害。因原告入住被告汉庭酒店，与之形成旅店住宿服务合同关系，酒店收集和掌握了原告的个人身份信息及入住信息，其对原告的信息安全负有安全保障义务。现汉庭酒店未能尽到上述安全保障义务，致使原告个人身份信息及入住酒店的隐私信息被第三人在网上公开泄露和传播。而慧某网络公司官网显示，汉庭酒店系其酒店技术系统服务的客户，故原告的信息实时保存在慧某网络公司的服务器上。综上，汉庭酒店和慧某网络公司收集、使用原告个人信息以及入住酒店的隐私信息，但未尽到安全保障义务，致使原告隐私权受到严重侵害，应当承担相应的民事责任。为此，原告依据上述《决定》以及《中华人民共和国侵权责任法》等法律规定，提起诉讼，要求为此，原告向本院提起诉讼，要求：1、判决汉庭酒店及慧某网络公司停止侵害，立即删除其自身服务器内涉及原告入住酒店的信息；2、要求慧某网络公司立即删除其合作单位服务器内涉及原告入住酒店的信息；3、判决汉庭酒店及慧某网络公司消除影响，移除在国内知名互联网搜索引擎服务商（百度、360、谷歌、搜狗、搜搜）以关键字“2，000W开房数据”的所有下载链接；4、判决汉庭酒店及慧某网络公司消除影响，移除在国内知名互联网搜索引擎服务商（百度、360、谷歌、搜狗、搜搜）对“找开房网”“zhaokaifang”网站站点的链接；5、要求汉庭酒店对其会员管理系统、客户入住系统，慧某网络公司对其无线接入管理系统，均进行等级保护测评，并按我国国家标准《信息技术-安全技术-信息安全管理体系要求》（GB／T22080-2008／ISO／IEC27001：2005）进行ISO27001标准化管理；6、判决慧某网络公司立即停止侵害，立即停止收集、保存或者使用原告的入住信息；7、判决汉庭酒店及慧某网络公司赔偿原告经济损失15万元（包括精神损害抚慰金4.7万元，误工损失5万元、公证费损失3，000元，律师费损失5万元）；8、判令汉庭酒店及慧某网络公司在国内重要门户网站（新浪、搜狐、网易、腾讯）以及自身官网向原告赔礼道歉；9、判令本案诉讼费由汉庭酒店及慧某网络公司承担。

 

被告汉庭酒店辩称，第一，其与慧某网络公司在无线门户认证系统领域并不存在合作关系，故不存在原告所称的其酒店住宿信息因慧某网络公司无线门户认证系统漏洞而被泄露的事实。相反，汉庭酒店至今并未发生信息泄露事故，更没有故意对外泄露原告信息的侵权行为。第二，从原告所提供证据看，公开原告信息的是百度云、找开房网等网络，并非汉庭酒店，而且网上所公开的原告信息与汉庭酒店系统中留存的原告信息在内容和格式上均有显著差异和矛盾之处。互联网上公开的原告手机号XXXXXXXXXXX，汉庭酒店从未有过登记，该信息中的“开房时间”也没有明确载明是在汉庭酒店的入住时间，且与原告实际入住或离开汉庭酒店的具体时间并不一致，原告仅凭臆想和推测来认定系与汉庭酒店有关，并无依据。第三，互联网上公开的电子文件信息，在未经查证前不能直接认定为酒店住宿信息。即使是酒店住宿信息，掌握该信息的主体除汉庭酒店之外，还包括原告本人及公安机关等，因此在无证据证明该信息泄露主体系汉庭酒店时，不能推定系汉庭酒店泄露。第四，汉庭酒店从技术和管理上对酒店管理系统以及个人会员CRM系统均已尽到合理范围内的安全保障义务，并不存在过错。第五，汉庭酒店登记原告入住信息，并予以保管存储系履行法定职责，且并未给百度、360、谷歌、搜狗、搜搜等网络提供过入住信息的链接服务。第六，原告并无证据证明其受到精神损害以及误工等方面的损失。原告所称网络上流传的其手机号码并非汉庭酒店登记的号码，故即使原告手机号码收到骚扰，也足以排除系汉庭酒店导致。综上，不同意原告的所有诉讼请求。

 

慧某网络公司在诉讼中述称，其与汉庭酒店在无线门户认证系统中并不存在合作关系，并不存在获取汉庭酒店客户入住信息的可能。且其公司无线门户认证系统中所采集的客户信息内容仅包括客户的姓名、入住及离开时间，并不包括身份证号、手机号、生日等个人信息，且格式与网上所泄露的信息也完全不一致。而且乌某某亦发表声明网上的2，000万数据与其发布的漏洞无关，与慧某网络公司亦无关。

 

2013年10月5日，乌某某（WooY某某.org）在其网页上（网址www.wooy某某.org／bugs／wooy某某-2010-034935）发布了漏洞标题为“如家等大量酒店开房记录被第三方存储并因漏洞导致泄漏”的漏洞信息。该信息的“漏洞概要”中指出，该漏洞编号为wooy某某-2013-34935，相关厂商为慧某网络公司，公开时间为2013-10-0523：22，漏洞类型为敏感信息泄露，危害等级为高，漏洞状态为已交由第三方厂商（cncert国家互联网应急中心）处理等；该信息的“漏洞详情”中指出，如家等酒店全部或部分使用了慧某网络公司开发的酒店wifi管理、认证管理系统；该公司在服务器上实时存储了酒店客户的记录，包括客户名、身份证号、开房日期，房间号等敏感、隐私信息，其合作酒店包括如家酒店连锁、汉庭酒店；该信息的“漏洞回应”中厂商回应的确认时间为2013-08-2600：08，且厂商回复，系统漏洞于2013年10月8日已经修复，并说明汉庭（华住）酒店与慧某驿站在无线门户业务领域上没有合作关系等。2013年10月10日，慧某网络公司在其网站（www.cnwisdom.com）中发布“释疑酒店住客信息泄露事件——慧某驿站无线门户系统安全升级通告”，指出其无线门户系统存在信息安全加密等级较低问题，有信息泄露的安全隐患，慧某驿站的技术团队针对现有无线门户认证系统已完成全面升级等，另慧某驿站在无线门户业务领域与汉庭酒店（华住集团）等客户没有合作关系等。2013年10月21日，国家互联网应急中心在其国家信息安全漏洞共享平台网站（www.cnvd.org.cn）中发布《关于浙江慧某驿站网络有限公司无线认证数据通道服务器漏洞风险的处置情况公告》（安全公告编号：CNTA-2013-0031）。该《公告》指出：“近期，互联网上披露了涉及浙江慧某驿站网络有限公司（简称慧某公司）无线认证数据通道服务器漏洞风险的情况（信息披露详情参见：http：／／www.wooy某某.org／bugs／wooy某某-2010-034935），CNCERT主办的国家信息安全漏洞共享平台（CNVD）协调慧某公司对漏洞风险进行了处置。10月10日，CNVD与慧某公司建立了联系渠道，协商事件处置事宜。10月11日，慧某公司向CNVD反馈了针对漏洞风险的修复措施。10月12日CNVD通过邮件确认慧某公司采取了以下3条主要修复措施：（1）目前在CNVD测试网络内直接访问目标服务器地址会跳转至其他导航页面；（2）数据加密文件采用DES算法加密；（3）默认服务端与客户端传输协议为HTTPS，研判抓包无法获得明文数据。此外，CNVD要求慧某公司进一步做好白名单更新管理，加强安全认证机制。……”同日，慧某网络公司亦在其网站（www.cnwisdom.com）中发布“国家互联网应急中心关于浙江慧某驿站网络有限公司无线认证数据漏洞风险的修复机制的确认公告”的页面内容，并发出致慧某驿站酒店客户及相关媒体的信函，指出经国家互联网应急中心（CNCERT／CNVD）的权威鉴定，其公司无线认证数据通道服务器漏洞已修复，安全隐患已解除，并附上国家互联网应急中心上述公告的网址链接。

 

另查明，2014年2月12日，乌某某（WooY某某.org）在其网页上发布“乌云声明”，指出“乌某某在2013年10月5日发布的‘如家等酒店客户开房记录被第三方存储并因漏洞导致泄漏’漏洞报告详细说明中所提及的‘汉庭’等相关内容，系提交者Yep个人臆测，乌某某经调查核实后，已于2013年10月9日在官网该报告标题以及正文中去除了‘汉庭’相关内容。特此发布声明再次予以澄清。”2014年2月19日，乌某某（WooY某某.org）在其网页上又发布“关于乌云平台发布的WooY某某-2013-34935漏洞的声明公告”，内容为：“乌某某于2013年10月5日向公众公开的编号为WooY某某-2013-34935的漏洞（标题为：如家等大量酒店客户开房记录被第三方存储并因漏洞导致泄漏），该漏洞由注册白帽子Yep依照乌云漏洞提交规则发布，漏洞披露后交由CNCERT国家互联网应急中心，协调浙江慧某驿站公司对漏洞风险及时进行了处置（CNCERT／CNVD安全公告编号：CNTA-2013-0031）。按注册白帽子Yep在该漏洞披露发布时提交的数据信息，该漏洞披露所涉及的少量数据（单个文件PMS_6127.DAT）为漏洞披露者Yep收集用于演示和证明目的，实质并未发生泄漏。互联网上所传的‘某酒店2，000W用户信息’的数据，经调查该数据早于2013年5-6月份期间就被人获取并在地下和网络上传播，涉事者并没有通过乌云提交进行处理。该数据从泄露时间、披露通道、数据格式、数据量均与乌云在漏洞WooY某某-2013-34935披露的涉及数据非同一批数据，该数据与乌云平台披露的上述漏洞涉及的数据无关。特此发布声明再次予以澄清。”

 

还查明，汉庭酒店广州天河岗顶店以及深圳南山大道店等门店使用的无限上网设备，系汉庭酒店委托汉庭科技（苏州）有限公司代为向上海格拓信息科技有限公司采购。汉庭科技（苏州）有限公司于2009年2月8日开发完成汉庭酒店管理系统软件（简称：Web-PMS）V1.0，并于2009年5月19日取得该计算机软件著作权登记证书；于2011年1月20日开发完成个人CRM系统V1.0计算机软件，并于2012年3月15日取得该计算机软件著作权登记证书。上述两套计算机软件系统均自研发完成之日起，由汉庭科技（苏州）有限公司授权汉庭酒店使用。2013年12月16日，北京神州某某科技有限公司为汉庭酒店网络安全服务出具项目报告，结论为“经过详细的安全服务和日志分析，汉庭的PMS酒店管理系统，CRM会员管理系统，官网以及手机APP均未发现由于攻击导致数据泄漏的痕迹。”2014年4月18日，经上海市信息安全测评认证中心测评，汉庭酒店的汉庭酒店管理系统及个人CRM系统安全保护等级均为3级，测评结论均为基本符合。2014年4月23日，汉庭酒店上述3级汉庭酒店管理系统（PMS）及3级个人CRM系统经公安机关备案，取得信息系统安全等级保护备案证明。

审理中，1、原告于2014年6月13日以其个人信息保存在汉庭酒店，与慧某网络公司无关为由，撤回了对慧某网络公司的起诉。2、原告基于被告汉庭酒店的酒店管理系统（PMS）及个人CRM系统已经进行安全等级测评，并取得公安机关的备案，故不再要求汉庭酒店就上述两系统进行等级测评，但仍要求汉庭酒店对上述两系统按照ISO27001国家标准进行标准化管理。对此，被告汉庭酒店表示，上述国家标准属于推荐性标准，并非国家强制性标准，企业可自愿采用，因此对被告并无强制约束力，而且该项请求并不属法院民事诉讼的受案范围，法院不应处理。3、原告表示，互联网上泄露的其个人信息中的手机号码XXXXXXXXXXX、住址南昌市，就是其在2007年前后办理被告汉庭酒店会员卡时登记的信息，当时原告办理会员卡时，汉庭酒店就原告填报的信息向原告发过确认的电子邮件，且原告也曾使用过户籍地为南昌市的第一代身份证入住汉庭酒店，现被告酒店管理系统及个人会员管理系统中的信息存在更改的可能，故对其真实性不予认可。被告对原告上述陈述不予认可，表示原告系2010年4月注册成为会员的，其注册信息即为汉庭酒店个人会员管理系统中的信息，并不存在更改的情形。原告对其上述陈述未提供相应证据予以证明。

 

本院认为，本案原、被告争议的焦点在于：一、互联网上流传的“2，000万开房信息”中涉及的原告信息是否是原告在被告处的入住信息？二、被告是否泄漏了原告的入住信息，是否构成对原告隐私权的侵害？

 

针对上述争议焦点一，本院认为，将互联网上流传的“2，000万开房信息”中信息与被告酒店管理系统及个人会员管理系统中留存的信息进行比对可以发现，两者所涉及的原告信息在“姓名、身份证号、性别、生日”几方面具有一致性，而其他信息，包括住址、手机号码以及开房（入住）时间却不一致。互联网上流传的信息中原告的住址为南昌市，手机号码为XXXXXXXXXXX，开房时间为2012年12月6日02时18分45秒，而被告上述系统以及临时住宿登记单中留存的原告住址为江西省九江市浔阳区浔阳东路XXX号，籍贯为江西抚州市临川区，手机号码为XXXXXXXXXXX，入住时间分别为2012年12月3日12时16分08秒、2012年12月5日14时22分15秒以及2012年12月6日09时56分19秒。虽然原告称其注册成为被告会员时，登记的住址即为南昌市的地址，手机号码亦为XXXXXXXXXXX的手机号码，但一则原告对此并未提供证据予以证明，二则被告对此亦不予认可，故本院对原告上述意见，实难采纳。此外，关于被告酒店管理系统中留存的原告入住被告的三次具体时间，虽然原告称上述信息因属被告控制，存在更改的可能，故对其真实性不予确认。但本院注意到，被告上述系统中留存的原告2012年12月3日入住广州天河岗顶店以及2012年12月5日入住深圳南山大道店的时间，与原告入住该两店时分别签字确认的临时住宿登记单上载明的到店时间相比，除后者未标明“秒数”外，两者在“日期”、“时数”和“分数”上均能一一对应。同时，原告在临时住宿登记单中签字确认后，被告再在其酒店管理系统中录入或记载其入住信息亦符合酒店入住登记的一般程序，因此被告酒店管理系统中留存的原告上述两次的入住时间虽然均比原告签字确认的临时住宿登记单中记载的到店（入住）时间分别多了8秒和15秒，但均符合常理，故本院对被告酒店管理系统中留存的上述两次入住时间的记载真实性予以确认。对于被告酒店管理系统中留存的入住时间2012年12月6日09时56分19秒的记录，本院认为，因原告该日仍然在被告深圳南山大道店住宿，但因更换房间，故在该店办理了原房XXX号房间的退房手续和新房XXX号房间的入住手续，且原告于该日09时57分支付了新房XXX号房间的房费。从该房费的实际支付时间来看，其与被告酒店管理系统中登记的该次入住时间亦仅有数十秒的间隔，亦符合酒店办理登记入住的正常手续，故该次登记的入住时间亦符合常理，本院对其记载真实性亦可予采信。原告虽称上述信息属被告控制，存在更改的可能，但其并无被告实际更改上述信息的相关证据，故本院对原告的猜测性抗辩，不予采纳。基于此，由于网络上流传的“2，000万开房信息”在信息性质上具有非常明确的指征性，即入住酒店信息，且原告亦主张该信息泄露了其手机号码导致被骚扰，但从上述分析不难看出，互联网上流传的该信息与被告酒店管理系统和个人会员管理系统中留存的原告信息相比，两者所显示的开房（入住）时间和原告的手机号码、住址等关键信息却并不相同。虽然两者所显示的原告姓名、性别、身份证号、生日的信息内容一致，但上述信息作为原告的基本信息，其使用频率和范围较广，并不为被告所单独掌握，其扩散渠道也并不具有单一性和唯一性，故亦难以仅凭上述部分信息的一致而判断互联网上流传的原告信息即为被告系统中留存的原告信息。综上，本院难以确认，互联网上流传的“2，000万开房信息”中的原告信息就是被告酒店管理系统和个人会员管理系统中留存的原告信息。

 

对于第二个争议焦点，本院认为，由于原告最初系基于慧某网络公司的无线门户系统存在漏洞，且被告系慧某网络公司无线门户系统的合作客户，故其入住被告的信息被泄露。而从本案查明的事实看，被告与慧某网络公司均一致否认双方在无线门户系统方面存在合作关系，且最初发布系统漏洞的乌某某亦在官网上对此予以了澄清，原告在审理中亦以其入住被告的信息与慧某网络公司无关为由撤回了对慧某网络公司的起诉。因此，在难以确认网上流传的“2，000万开房信息”中所涉及的原告信息与被告系统中留存的入住信息等具有关联性的情况下，再加之原告现也并无其他证据证明被告泄露了其入住酒店的信息，因此对于原告主张被告泄露其入住酒店信息的事实，本院不予采信。基于被告并不存在泄露原告入住酒店等信息的事实，故亦不存在原告所主张的因被告泄露其入住酒店等信息而侵犯其隐私权的事实。由此，原告要求被告承担侵权责任的主张，无事实依据，本院不予采纳。

 

综上，由于被告并不存在侵犯原告隐私权的事实，且被告基于相关法律法规或行业规定保存原告入住酒店的信息，并无不妥，故原告向被告提出的上述诉讼请求1、3、4、7、8，均无事实依据，本院不予支持。原告自愿撤回要求被告对其酒店管理系统以及个人会员管理系统进行等级保护测评的请求，本院予以准许。关于原告要求被告对其酒店管理系统以及个人会员管理系统进行ISO27001标准化管理的请求，因该标准属于国家推荐性标准，并不属强制性标准，企业可自行确定是否适用，且该请求并不属于法院的受案范围，故本院对此不予处理。原告自愿撤回对慧某网络公司的起诉，并无违反法律的规定，本院予以准许。据此，依照《最高人民法院关于民事诉讼证据的若干规定》第二条的规定，判决如下：

一、驳回原告王金龙要求被告汉庭星空（上海）酒店管理有限公司停止侵害，立即删除自身服务器内原告王金龙入住酒店信息的请求；

二、驳回原告王金龙要求被告汉庭星空（上海）酒店管理有限公司消除影响，移除在国内知名互联网搜索引擎服务商（百度、360、谷歌、搜狗、搜搜）以关键字“2，000W开房数据”的所有下载链接的请求；

三、驳回原告王金龙要求被告汉庭星空（上海）酒店管理有限公司消除影响，移除在国内知名互联网搜索引擎服务商（百度、360、谷歌、搜狗、搜搜）对“找开房网”“zhaokaifang”网站站点的链接的请求；

四、驳回原告王金龙要求被告汉庭星空（上海）酒店管理有限公司赔偿其经济损失15万元的请求；

五、驳回原告王金龙要求被告汉庭星空（上海）酒店管理有限公司在国内重要门户网站（新浪、搜狐、网易、腾讯）以及自身官网向其赔礼道歉的请求。

http://www.court.gov.cn/zgcpwsw/sh/shsdyzjrmfy/ms/201502/t20150225_6691304.htm 

 

 

“王芳向本院以及对方当事人展示了上述（投诉）网页的页面信息。鉴于千橡公司无法举证否认上述证据的真实性，本院在审查后认定，王芳提供的这些证据真实存在。”

 

“仅处理了相应照片，而未对侵权用户的网页予以屏蔽或者断开该侵权链接。显然，千橡公司在接到通知后未及时采取必要措施，故其需就王芳损失扩大的部分承担侵权责任。”

 

 

本院认为，本案的争议焦点为认定千橡公司是否需对王芳承担相应侵权责任。《中华人民共和国侵权责任法》第三十六条第二款规定，网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。就本案而言，网络用户发布的信息显然构成侵权。在此情形下，被侵权人王芳有权通知网络服务提供者千橡公司采取必要措施，以维护其合法权益。从王芳提供的证据分析，其在发现侵权信息后，多次要求千橡公司屏蔽该用户，但千橡公司仅处理了相应照片，而未对侵权用户的网页予以屏蔽或者断开该侵权链接。显然，千橡公司在接到通知后未及时采取必要措施，故其需就王芳损失扩大的部分承担侵权责任。王芳要求千橡公司在“某网”主页上刊登道歉信的请求，本院予以认同，该道歉信的具体内容和刊登时间由本院根据本案实际情况确定。王芳请求千橡公司赔偿精神损害抚慰金30，000元、公证费1，000元的请求，合法有据，本院予以照准。依照《中华人民共和国侵权责任法》第三十六条第二款，《中华人民共和国民事诉讼法》第一百七十条第一款第（三）项之规定，判决如下：

 

一、撤销上海市浦东新区人民法院（2014）浦民一（民）初字第21978号民事判决；

二、北京千橡网景科技发展有限公司于本判决生效之日起10日内在“某网”主页（域名：http：／／www.AA.com／121947331／profile）刊登道歉信二个月，以消除影响，恢复王芳名誉（道歉信内容需经法院审核）；

三、北京千橡网景科技发展有限公司于本判决生效之日起10日内赔偿王芳精神损害抚慰金人民币30,000元、公证费1,000元。

 

 

北京二中院 2014，（2014）二中民终字第05602号

 

本院认为：名誉是指人们对公民或法人的品德、才能及其他素质的社会综合评价。名誉权是指公民和法人就其自身属性和价值所获得的社会评价，享有的保护和维护的人格权。公民享有名誉权，公民的人格尊严受法律保护，禁止用侮辱、诽谤等方式损害公民的名誉。公民的名誉权受到侵害的，有权要求停止侵害，恢复名誉，消除影响，赔礼道歉，并可以要求赔偿损失。本案中，宫×确实因涉嫌合同诈骗罪被司法机关立案侦查、刑事拘留、逮捕及移送审查起诉，此后因犯罪事实不清、证据不足，被检察机关决定不予起诉，且涉案文章登载于宫×被检察机关决定不起诉之前，涉案文章并非天盈九州公司凭空捏造，涉案文章内容基本符合客观事实，所用之词不构成侵权，涉案文章所记载内容未降低公众对宫庭海的社会评价，涉案文章亦于原审审理中被删除，故对宫×关于天盈九州公司登载文章对其构成侵权的主张，缺乏事实及法律依据，本院不予采信，对其诉讼请求，本院不予支持。另，宫×称其在司法机关对其作出不予起诉决定后，在第一时间便将此事告知了天盈九州公司，要求天盈九州公司删除涉案文章，该行为就是侵权行为，但宫×并就其陈述提交相应证据予以证明，故对其该项主张，本院亦不予支持。

 

 

这个案子让人想起欧洲的Right to be forgotten 以及Costeja案（详情见下面的链接）

 

http://ec.europa.eu/justice/data-protection/files/factsheets/factsheet_data_protection_en.pdf

 

http://en.wikipedia.org/wiki/Google_Spain_v_AEPD_and_Mario_Costeja_Gonz%C3%A1lez

 

 

 

北京市高级人民法院 （2014）高民申字第00202号

 

李国仓申请再审称：判决认定事实不清，程序违法，判决不公。我的座机号码和手机号码用于业务宣传使用，途牛公司未经我同意，将我的手机号码用于其他商家团购咨询电话使用，影响了我的合理使用，对我的工作和生活产生的骚扰，我提出后，对方仍不改正。途牛公司仍有侵权行为，法院应判决其删除互联网上所有我的电话，对我进行书面道歉，并赔偿我相应费用及精神损失费。综上所述，我申请再审，请求撤销二审判决。

 

本院认为：途牛公司使用李国仓号码不当，应当予以删除并赔偿相关费用。途牛公司同意给李国仓书面道歉。一审法院就此做出相关判决，二审法院根据查明事实做出驳回李国仓的上诉，处理并无不当。李国仓称审判程序违法一节未有相关事实依据，本院对此不予采信。李国仓申请再审的理由不能成立。综上，李国仓的再审申请不符合《中华人民共和国民事诉讼法》第二百条规定的情形。依照《中华人民共和国民事诉讼法》第二百零四条第一款之规定，裁定如下：驳回李国仓的再审申请。

 

第631号

 

    《征信业管理条例》已经2012年12月26日国务院第228次常务会议通过，现予公布，自2013年3月15日起施行。

 

 

                                                     总理   温家宝

　　　　　　　　　　　　　　　　　　　　　　　　　　　  　2013年1月21日

 

 

 

第一章 总  则

 

    

    第一条  为了规范征信活动，保护当事人合法权益，引导、促进征信业健康发展，推进社会信用体系建设，制定本条例。

    第二条  在中国境内从事征信业务及相关活动，适用本条例。

    本条例所称征信业务，是指对企业、事业单位等组织（以下统称企业）的信用信息和个人的信用信息进行采集、整理、保存、加工，并向信息使用者提供的活动。

    国家设立的金融信用信息基础数据库进行信息的采集、整理、保存、加工和提供，适用本条例第五章规定。

    国家机关以及法律、法规授权的具有管理公共事务职能的组织依照法律、行政法规和国务院的规定，为履行职责进行的企业和个人信息的采集、整理、保存、加工和公布，不适用本条例。

    第三条  从事征信业务及相关活动，应当遵守法律法规，诚实守信，不得危害国家秘密，不得侵犯商业秘密和个人隐私。

    第四条  中国人民银行（以下称国务院征信业监督管理部门）及其派出机构依法对征信业进行监督管理。

    县级以上地方人民政府和国务院有关部门依法推进本地区、本行业的社会信用体系建设，培育征信市场，推动征信业发展。

 

 

第二章  征信机构

 

 

    第五条  本条例所称征信机构，是指依法设立，主要经营征信业务的机构。

    第六条  设立经营个人征信业务的征信机构，应当符合《中华人民共和国公司法》规定的公司设立条件和下列条件，并经国务院征信业监督管理部门批准：

    （一）主要股东信誉良好，最近3年无重大违法违规记录；

    （二）注册资本不少于人民币5000万元；

    （三）有符合国务院征信业监督管理部门规定的保障信息安全的设施、设备和制度、措施；

    （四）拟任董事、监事和高级管理人员符合本条例第八条规定的任职条件；

    （五）国务院征信业监督管理部门规定的其他审慎性条件。

    第七条  申请设立经营个人征信业务的征信机构，应当向国务院征信业监督管理部门提交申请书和证明其符合本条例第六条规定条件的材料。

    国务院征信业监督管理部门应当依法进行审查，自受理申请之日起60日内作出批准或者不予批准的决定。决定批准的，颁发个人征信业务经营许可证；不予批准的，应当书面说明理由。

    经批准设立的经营个人征信业务的征信机构，凭个人征信业务经营许可证向公司登记机关办理登记。

    未经国务院征信业监督管理部门批准，任何单位和个人不得经营个人征信业务。

    第八条  经营个人征信业务的征信机构的董事、监事和高级管理人员，应当熟悉与征信业务相关的法律法规，具有履行职责所需的征信业从业经验和管理能力，最近3年无重大违法违规记录,并取得国务院征信业监督管理部门核准的任职资格。

    第九条  经营个人征信业务的征信机构设立分支机构、合并或者分立、变更注册资本、变更出资额占公司资本总额5%以上或者持股占公司股份5%以上的股东的，应当经国务院征信业监督管理部门批准。

    经营个人征信业务的征信机构变更名称的，应当向国务院征信业监督管理部门办理备案。

    第十条  设立经营企业征信业务的征信机构，应当符合《中华人民共和国公司法》规定的设立条件，并自公司登记机关准予登记之日起30日内向所在地的国务院征信业监督管理部门派出机构办理备案，并提供下列材料：

    （一）营业执照；

    （二）股权结构、组织机构说明；

    （三）业务范围、业务规则、业务系统的基本情况；

    （四）信息安全和风险防范措施。

    备案事项发生变更的，应当自变更之日起30日内向原备案机构办理变更备案。

    第十一条  征信机构应当按照国务院征信业监督管理部门的规定，报告上一年度开展征信业务的情况。

    国务院征信业监督管理部门应当向社会公告经营个人征信业务和企业征信业务的征信机构名单，并及时更新。

    第十二条  征信机构解散或者被依法宣告破产的，应当向国务院征信业监督管理部门报告，并按照下列方式处理信息数据库：

    （一）与其他征信机构约定并经国务院征信业监督管理部门同意，转让给其他征信机构；

    （二）不能依照前项规定转让的，移交给国务院征信业监督管理部门指定的征信机构；

    （三）不能依照前两项规定转让、移交的，在国务院征信业监督管理部门的监督下销毁。

    经营个人征信业务的征信机构解散或者被依法宣告破产的，还应当在国务院征信业监督管理部门指定的媒体上公告，并将个人征信业务经营许可证交国务院征信业监督管理部门注销。

 

 

第三章  征信业务规则

 

 

    第十三条  采集个人信息应当经信息主体本人同意，未经本人同意不得采集。但是，依照法律、行政法规规定公开的信息除外。

    企业的董事、监事、高级管理人员与其履行职务相关的信息，不作为个人信息。

    第十四条  禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。

    征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是，征信机构明确告知信息主体提供该信息可能产生的不利后果，并取得其书面同意的除外。

    第十五条  信息提供者向征信机构提供个人不良信息，应当事先告知信息主体本人。但是，依照法律、行政法规规定公开的不良信息除外。

    第十六条  征信机构对个人不良信息的保存期限，自不良行为或者事件终止之日起为5年；超过5年的，应当予以删除。

    在不良信息保存期限内，信息主体可以对不良信息作出说明，征信机构应当予以记载。

    第十七条  信息主体可以向征信机构查询自身信息。个人信息主体有权每年两次免费获取本人的信用报告。

    第十八条  向征信机构查询个人信息的，应当取得信息主体本人的书面同意并约定用途。但是，法律规定可以不经同意查询的除外。

    征信机构不得违反前款规定提供个人信息。

    第十九条  征信机构或者信息提供者、信息使用者采用格式合同条款取得个人信息主体同意的，应当在合同中作出足以引起信息主体注意的提示，并按照信息主体的要求作出明确说明。

    第二十条  信息使用者应当按照与个人信息主体约定的用途使用个人信息，不得用作约定以外的用途，不得未经个人信息主体同意向第三方提供。

    第二十一条  征信机构可以通过信息主体、企业交易对方、行业协会提供信息，政府有关部门依法已公开的信息，人民法院依法公布的判决、裁定等渠道，采集企业信息。

    征信机构不得采集法律、行政法规禁止采集的企业信息。

    第二十二条  征信机构应当按照国务院征信业监督管理部门的规定，建立健全和严格执行保障信息安全的规章制度，并采取有效技术措施保障信息安全。

    经营个人征信业务的征信机构应当对其工作人员查询个人信息的权限和程序作出明确规定，对工作人员查询个人信息的情况进行登记，如实记载查询工作人员的姓名，查询的时间、内容及用途。工作人员不得违反规定的权限和程序查询信息，不得泄露工作中获取的信息。

    第二十三条  征信机构应当采取合理措施，保障其提供信息的准确性。

    征信机构提供的信息供信息使用者参考。

    第二十四条  征信机构在中国境内采集的信息的整理、保存和加工，应当在中国境内进行。

    征信机构向境外组织或者个人提供信息，应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定。

 

 

第四章  异议和投诉

 

 

    第二十五条  信息主体认为征信机构采集、保存、提供的信息存在错误、遗漏的，有权向征信机构或者信息提供者提出异议，要求更正。

    征信机构或者信息提供者收到异议，应当按照国务院征信业监督管理部门的规定对相关信息作出存在异议的标注，自收到异议之日起20日内进行核查和处理，并将结果书面答复异议人。

    经核查，确认相关信息确有错误、遗漏的，信息提供者、征信机构应当予以更正；确认不存在错误、遗漏的，应当取消异议标注；经核查仍不能确认的，对核查情况和异议内容应当予以记载。

    第二十六条  信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的，可以向所在地的国务院征信业监督管理部门派出机构投诉。

    受理投诉的机构应当及时进行核查和处理，自受理之日起30日内书面答复投诉人。

    信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的，可以直接向人民法院起诉。

 

 

第五章  金融信用信息基础数据库

 

 

    第二十七条  国家设立金融信用信息基础数据库，为防范金融风险、促进金融业发展提供相关信息服务。

    金融信用信息基础数据库由专业运行机构建设、运行和维护。该运行机构不以营利为目的，由国务院征信业监督管理部门监督管理。

    第二十八条  金融信用信息基础数据库接收从事信贷业务的机构按照规定提供的信贷信息。

    金融信用信息基础数据库为信息主体和取得信息主体本人书面同意的信息使用者提供查询服务。国家机关可以依法查询金融信用信息基础数据库的信息。

    第二十九条  从事信贷业务的机构应当按照规定向金融信用信息基础数据库提供信贷信息。

    从事信贷业务的机构向金融信用信息基础数据库或者其他主体提供信贷信息，应当事先取得信息主体的书面同意，并适用本条例关于信息提供者的规定。

    第三十条  不从事信贷业务的金融机构向金融信用信息基础数据库提供、查询信用信息以及金融信用信息基础数据库接收其提供的信用信息的具体办法，由国务院征信业监督管理部门会同国务院有关金融监督管理机构依法制定。

    第三十一条  金融信用信息基础数据库运行机构可以按照补偿成本原则收取查询服务费用，收费标准由国务院价格主管部门规定。

    第三十二条  本条例第十四条、第十六条、第十七条、第十八条、第二十二条、第二十三条、第二十四条、第二十五条、第二十六条适用于金融信用信息基础数据库运行机构。

 

 

第六章  监督管理

 

 

    第三十三条  国务院征信业监督管理部门及其派出机构依照法律、行政法规和国务院的规定，履行对征信业和金融信用信息基础数据库运行机构的监督管理职责，可以采取下列监督检查措施：

    （一）进入征信机构、金融信用信息基础数据库运行机构进行现场检查，对向金融信用信息基础数据库提供或者查询信息的机构遵守本条例有关规定的情况进行检查；

    （二）询问当事人和与被调查事件有关的单位和个人，要求其对与被调查事件有关的事项作出说明；

    （三）查阅、复制与被调查事件有关的文件、资料，对可能被转移、销毁、隐匿或者篡改的文件、资料予以封存；

    （四）检查相关信息系统。

    进行现场检查或者调查的人员不得少于2人，并应当出示合法证件和检查、调查通知书。

    被检查、调查的单位和个人应当配合，如实提供有关文件、资料，不得隐瞒、拒绝和阻碍。

    第三十四条  经营个人征信业务的征信机构、金融信用信息基础数据库、向金融信用信息基础数据库提供或者查询信息的机构发生重大信息泄露等事件的，国务院征信业监督管理部门可以采取临时接管相关信息系统等必要措施，避免损害扩大。

    第三十五条  国务院征信业监督管理部门及其派出机构的工作人员对在工作中知悉的国家秘密和信息主体的信息，应当依法保密。

 

 

第七章  法律责任

 

 

    第三十六条  未经国务院征信业监督管理部门批准，擅自设立经营个人征信业务的征信机构或者从事个人征信业务活动的，由国务院征信业监督管理部门予以取缔，没收违法所得，并处5万元以上50万元以下的罚款；构成犯罪的，依法追究刑事责任。

    第三十七条  经营个人征信业务的征信机构违反本条例第九条规定的，由国务院征信业监督管理部门责令限期改正，对单位处2万元以上20万元以下的罚款；对直接负责的主管人员和其他直接责任人员给予警告，处1万元以下的罚款。

    经营企业征信业务的征信机构未按照本条例第十条规定办理备案的，由其所在地的国务院征信业监督管理部门派出机构责令限期改正；逾期不改正的，依照前款规定处罚。

    第三十八条  征信机构、金融信用信息基础数据库运行机构违反本条例规定，有下列行为之一的，由国务院征信业监督管理部门或者其派出机构责令限期改正，对单位处5万元以上50万元以下的罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下的罚款；有违法所得的，没收违法所得。给信息主体造成损失的，依法承担民事责任；构成犯罪的，依法追究刑事责任：

    （一）窃取或者以其他方式非法获取信息；

    （八）违反征信业务规则，侵害信息主体合法权益的其他行为。

    经营个人征信业务的征信机构有前款所列行为之一，情节严重或者造成严重后果的，由国务院征信业监督管理部门吊销其个人征信业务经营许可证。

    第三十九条  征信机构违反本条例规定，未按照规定报告其上一年度开展征信业务情况的，由国务院征信业监督管理部门或者其派出机构责令限期改正；逾期不改正的，对单位处2万元以上10万元以下的罚款；对直接负责的主管人员和其他直接责任人员给予警告，处1万元以下的罚款。

    第四十条  向金融信用信息基础数据库提供或者查询信息的机构违反本条例规定，有下列行为之一的，由国务院征信业监督管理部门或者其派出机构责令限期改正，对单位处5万元以上50万元以下的罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下的罚款；有违法所得的，没收违法所得。给信息主体造成损失的，依法承担民事责任；构成犯罪的，依法追究刑事责任：

    （一）违法提供或者出售信息；

    （二）因过失泄露信息；

    （三）未经同意查询个人信息或者企业的信贷信息；

    （四）未按照规定处理异议或者对确有错误、遗漏的信息不予更正；

    （五）拒绝、阻碍国务院征信业监督管理部门或者其派出机构检查、调查或者不如实提供有关文件、资料。

    第四十一条  信息提供者违反本条例规定，向征信机构、金融信用信息基础数据库提供非依法公开的个人不良信息，未事先告知信息主体本人，情节严重或者造成严重后果的，由国务院征信业监督管理部门或者其派出机构对单位处2万元以上20万元以下的罚款；对个人处1万元以上5万元以下的罚款。

    第四十二条  信息使用者违反本条例规定，未按照与个人信息主体约定的用途使用个人信息或者未经个人信息主体同意向第三方提供个人信息，情节严重或者造成严重后果的，由国务院征信业监督管理部门或者其派出机构对单位处2万元以上20万元以下的罚款；对个人处1万元以上5万元以下的罚款；有违法所得的，没收违法所得。给信息主体造成损失的，依法承担民事责任；构成犯罪的，依法追究刑事责任。

    第四十三条  国务院征信业监督管理部门及其派出机构的工作人员滥用职权、玩忽职守、徇私舞弊，不依法履行监督管理职责，或者泄露国家秘密、信息主体信息的，依法给予处分。给信息主体造成损失的，依法承担民事责任；构成犯罪的，依法追究刑事责任。

 

 

第八章  附则

 

 

    第四十四条  本条例下列用语的含义：

    （一）信息提供者，是指向征信机构提供信息的单位和个人，以及向金融信用信息基础数据库提供信息的单位。

    （二）信息使用者，是指从征信机构和金融信用信息基础数据库获取信息的单位和个人。

    （三）不良信息，是指对信息主体信用状况构成负面影响的下列信息：信息主体在借贷、赊购、担保、租赁、保险、使用信用卡等活动中未按照合同履行义务的信息，对信息主体的行政处罚信息，人民法院判决或者裁定信息主体履行义务以及强制执行的信息，以及国务院征信业监督管理部门规定的其他不良信息。

    第四十五条  外商投资征信机构的设立条件，由国务院征信业监督管理部门会同国务院有关部门制定，报国务院批准。

    境外征信机构在境内经营征信业务，应当经国务院征信业监督管理部门批准。

    第四十六条  本条例施行前已经经营个人征信业务的机构，应当自本条例施行之日起6个月内，依照本条例的规定申请个人征信业务经营许可证。

    本条例施行前已经经营企业征信业务的机构，应当自本条例施行之日起3个月内，依照本条例的规定办理备案。

    第四十七条  本条例自2013年3月15日起施行。