如您希望下载PDF版本,请点击文末“阅读原文”获取。
引言
10月30日,北京互联网法院召开涉个人信息及数据相关案件审理情况新闻通报会,发布了八起典型案例,强调在保护个人信息权益的前提下,通过规范个人信息处理活动,促进数据在生产、流通、使用过程中的合理利用,推动数字经济高质量发展。值得注意的是,这次发布恰逢《个人信息保护法》实施三周年,八起典型案例覆盖了告知同意、数据权益、公开个人信息处理、用户义务等个人信息保护重点环节,对个人信息保护合规具有清晰、直接的参考意义。
金杜网络安全与数据合规团队对八起典型案例进行了梳理、概括,为相关企业个人信息保护合规提供参考。
典型案例速览及个人信息涉诉情况
我们将八起案例进行了汇总,方便快速阅读,详见下表。而对案件有进一步兴趣的,可以继续阅读后文的具体内容。
来源:金杜网络安全与数据合规团队整理
根据北京互联网法院披露的信息,自2023年10月至今,北京互联网法院共受理113件涉及个人信息保护的案件(根据我们初步检索,民事领域涉个人信息保护纠纷的的裁判文书约有12.6万份)。个人信息权益与其他人格权、企业数据权益等交织,涉及的行业领域广泛,以互联网企业为被诉主体的案件最多。个人信息类型比较丰富,包括手机号、身份证号等基础个人信息,也包括大量法律上未明确列举的个人信息,如电子商务平台上形成的用户订单交易详情、客服沟通记录等。这反映出个人信息与企业的衍生数据相互交织、复杂变化的趋势。
从侵权形态来看,北京互联网法院受理的侵害个人信息的知情权、决定权的案件最多,主要侵权形式为未经同意收集、公开、提供个人信息,或者超范围收集个人信息。部分案件中反映网络平台经营者未尽到保障用户个人信息安全的法定义务,导致用户个人信息遭受泄露、篡改、冒用。例如,网络平台未经有效审查,导致侵权人盗用他人身份信息用于企业账号认证(详见案例四),但与此同时,亦对用户的注意义务作出了要求,怠于保管账号安全的用户也应承担相应不利后果(详见案例八)。
北京互联网法院强调,数字时代面临个人信息保护与数据合理利用的新问题、新挑战,此次八起典型案例即希望合理划定个人信息保护与数据合理利用的边界,促进数据要素市场良性发展。例如,依法认定线上经营的个人信息未经用户同意,不得非法获取并处理线下经营的关联公司所收集的用户个人信息(详见案例二);依法认定网络服务平台未对收集、存储的个人信息采取必要的安全保护技术措施,导致个人信息被泄露、冒用的,应承担连带责任(详见案例四);依法认定企业对经过去标识化处理的个人信息进行访问所形成的访问记录数据受法律保护(详见案例三)。
案例一
马某与北京某科技有限公司个人信息保护纠纷案
1. 案情:自动勾选同意且未设置撤回同意途径
原告马某使用被告运营的一款流行语检索软件,在注册过程中,该软件提供了《服务协议》和《隐私政策》,如果不勾选“已阅读并同意服务和隐私政策”,软件会弹出提示要求用户阅读服务与隐私政策文件。但实际上,用户不需要实际阅读,只要点击手机屏幕任何位置,弹窗就会消失,且软件自动勾选“已阅读并同意服务和隐私政策”。
该软件在《隐私政策》中说明需要收集电话号码、设备信息等个人信息,且没有撤回同意的途径。被告新增撤回同意的设置后,原告发现撤回同意后,其账号信息不再显示,而账号评论却依然保留。
2. 裁判:未取得用户自愿、明确的同意构成对个人信息权益的侵害
法院认为,自动勾选不符合“自愿”“明确”的要求(《个人信息保护法》第十四条第一款:基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。……)。涉案软件的功能是词典服务,收集用户的手机号码并非使用词典功能的必需信息,超出了实现目的最小范围,应在不提供手机号等信息的情况下,为用户提供基本服务。注销账号不等于撤回同意,否则将产生撤回同意即无法继续使用服务的情形,违反了《个人信息保护法》第十六条规定的“不得以撤回同意为由拒绝提供产品或服务”的规定,因此不宜认定为一种撤回同意的方式。处理个人信息应受“实现处理目的的最小范围”的限制,个人信息处理者不仅要在《隐私政策》中写明处理个人信息的范围、方式等必要内容,还应保证用户充分知情。
法院判决被告删除收集的原告昵称、手机号码、密码、头像、设备信息和用户行为信息,书面向原告赔礼道歉并赔偿合理开支。一审判决作出后,被告提起上诉,二审法院驳回上诉,维持原判。
案例二
马某诉北京某电子商务公司隐私权、个人信息保护纠纷
1. 案情:线下主体收集个人信息向线上关联主体共享未取得用户同意
某线下商店由青岛某公司实际运营,与商店同名的微信小程序由北京某电子商务公司(本案被告)运营。原告马某在该线下商店购物,在收款台自主扫描商品条形码形成商品订单后自主结账,并通过屏幕“扫一扫支付”二维码付款。马某扫描二维码后,跳转至商店微信小程序,随即小程序中显示该笔交易的交易店面、交易时间、商品名称。该微信小程序的《用户服务协议》和《隐私政策》中均无征求消费者同意获取消费者线下交易记录的相关条款。
2. 裁判:线下主体向线上主体共享个人信息不属于合同必需
法院认为,原告在线下商店购买商品的交易信息包括交易店面、付款价格等信息,系原告在交易活动中产生的信息,属于个人信息。被告运营的微信小程序在《用户服务协议》《隐私政策》中均未明示将获取消费者线下交易订单信息,且线下交易时未向消费者告知并取得同意。二维码仅有“扫一扫支付”字样,对于消费者而言,该二维码应仅具有支付功能,扫描该二维码致使小程序获取线下交易记录并非必要,不属于“为订立、履行合同所必需”。
法院判决被告向原告书面赔礼道歉。一审判决作出后,被告提起上诉。二审中被告撤回上诉,一审判决生效。
案例三
夏某与北京某电子商务有限公司网络服务合同纠纷案
1. 案情:用户要求查询企业内部访问记录数据
被告北京某电子商务有限公司系某电子商务平台的经营者。原告系该平台实名认证用户,原告因怀疑被告泄露其个人信息,向被告提出个人信息查阅请求,要求查阅、复制涉案账号近期的登录信息、个人身份证号码的查阅记录。
2. 裁判:个人要求查询非个人信息的企业数据不受支持
法院认为,本案中被告内部对个人信息的访问记录均不符合《民法典》和《个人信息保护法》对个人信息的定义:(1)被告对用户身份证号码等个人信息的展示采取了内容替换、SHA256等脱敏、加密技术,访问者难以识别该身份证号码属于原告;(2)访问记录不具备关联特征,不是原告在其活动中产生的信息。因此,该访问记录不构成个人信息,属于企业在内部管理中产生的数据,依法受法律保护。
案例四
魏某与郭某某、北京某科技有限公司人格权纠纷案
1. 案情:平台未尽审核义务导致个人信息被盗用
原告魏某是一家工艺品销售公司的法定代表人,其在被告某科技有限公司运营的某社交购物平台申请了企业认证,提交了法定代表人身份证照片、营业执照照片等材料,并支付了相应费用。此后,魏某发现该平台上还有另一个“蓝V企业号”的认证主体为其公司。
2. 裁判:平台未尽妥善义务保障个人信息安全需承担连带责任
法院认为,被告郭某某未经许可使用了原告魏某某的身份证件材料用于平台账号认证,构成对原告魏某姓名权、隐私权、个人信息权益的侵害。被告北京某科技有限公司未能举证证明其在侵权行为发生期间采取了必要措施用以确保认证资料的安全,且该认证属于有偿服务,其注意义务应有所加重。
法院判决,被告郭某某承担赔礼道歉、赔偿精神损害及维权合理开支的责任;被告北京某科技有限公司就侵权行为的发生存在过错,应当与被告郭某某承担赔偿款的连带责任。
案例五
王某与某技术公司、某信息服务公司网络服务合同案
1. 案情:邮箱服务提供者通过格式条款约定“清空邮箱”
二被告系免费邮箱服务提供者,原告于2006年在涉案平台注册免费邮箱账号,2020年4月4日将该邮箱账号与手机号绑定,2020年4月8日登录账号,发现邮件被清空(仅剩4封)。被告客服告知,因原告长期不登录使用邮箱,平台根据服务协议有权删除邮箱内容。
2. 裁判:清空邮箱作为格式条款对用户无效
法院认为,涉案邮件内容无法还原,但依据日常生活经验,电子邮件可能包括的文字、图片、收发时间、通讯录等各种内容,是以电子形式记录下来的民事主体的生物信息和社会痕迹,是稍加整理就可直接定位到某个具体个人的带有强烈个人特征的数据集,在特定情况下还具备人格权属性,但原告主张的“所有权”不宜认定。涉案服务协议中的“清空邮箱”条款,属于与原告有重大利害关系的格式条款,二被告未采取合理方式提示原告注意,该条款对原告不发生效力。
法院判决,驳回原告关于确认电子邮件所有权归属于原告的诉讼请求,但确认涉案服务协议中“清空邮箱”条款对原告不发生效力。
案例六
廖某与某科技文化有限公司网络侵权责任纠纷案
1. 案情:将他人肖像的面部删除后用于AI制作
原告廖某是一名拥有较多粉丝的古风短视频博主,被告某科技文化有限公司在未经原告授权同意的情况下,使用原告出境的系列视频制作换脸模板,并上传至其运营的涉案软件中。涉案换脸模板视频与原告创作的系列视频的妆容、发型、服饰、动作、灯光及镜头切换呈现一致特征,但出境人的面部特征均不相同且并非原告。
2. 裁判:未使用肖像但仍涉及其他个人信息
法院认为,被告并未利用原告的肖像,而是通过技术手段将原告面部特征替换,去除了肖像具有识别性的核心部分,所保留的妆容、发型等要素并非与特定自然人不可分割。涉案短视频动态呈现了原告的面部特征等个体化特征,可以以数据形式呈现,属于原告的个人信息,且换脸过程中涉及对原告个人信息的收集、使用、分析等,属于个人信息处理活动。
法院判决,被告向原告赔礼道歉、赔偿精神损害抚慰金和维权费用。一审判决作出后,当事人均未上诉,判决已发生法律效力。
案例七
杨某与林某个人信息保护、名誉权、隐私权纠纷案
1. 案情:使用公开个人信息被拒绝后仍不删除
被告于2023年2月在公众号发布了涉案文章,其中附有北京某企业的录用名单,包含原告姓名、院校、专业及学历等信息。被告虽对姓名作出打码处理,但仍可根据其他信息识别出原告。该录用名单在公示期满后予以删除。原告于2023年6月向被告告知其构成侵权,但被告未予删除或修改。
2. 裁判:经个人拒绝仍使用其公开个人信息构成侵权
法院认为,涉案文章中包含原告的姓名、院校、专业与学历,属于原告的个人信息。被告发布原告个人信息,虽未取得原告同意,但这些个人信息已经公示,且未侵害原告重大利益,在原告明确拒绝前,不构成侵权。原告明确拒绝后,被告未对公众号内容进行修改或者删除处理,应对此行为承担侵害个人信息权益的民事责任。
法院判决,被告删除涉案微信公众号文章,向原告赔礼道歉并赔偿合理支出费用。一审判决作出后,当事人均未上诉,判决已发生法律效力。
案例八
祁某某与北京某网络公司、姚某网络侵权责任纠纷案
1. 案情:个人注销手机号后为解除平台账号绑定导致他人使用该账号
原告祁某某于2015年在被告北京某网络公司运营的社交平台注册账号,输入个人认证信息,并与诸多同学朋友互相关注,发布大量个人日常信息。此后,祁某某停止使用注册该账号的手机号,但未及时解除该手机号与账号的绑定,而该手机号机主并更为被告姚某。2019年,祁某某发现该账号被姚某使用并转载了包括怀孕、妇科疾病等信息,且保留了原告在使用该账号中形成的个人信息。
2. 裁判:个人未妥善保管账号信息需承担不利后果
法院认为,被告姚某虽然使用购买的涉案手机号码并采取短信验证的方式登录、使用涉案社交平台账号,但未因此获得该账号的使用权。原告虽然对账号注册及使用中形成的个人信息享有权益,但自身应该妥善保管其账号及注册信息,在明确不使用涉案社交平台账号后应及时注销,避免个人信息的泄露。被告北京某网络公司因履行审核义务的必要要求原告提交证明材料,原告并未提供,不利后果由原告承担。
法院判决,被告姚某注销涉案社交平台账号,驳回原告的其他诉讼请求。一审判决作出后,当事人均未上诉,判决已发生法律效力。
对企业合规的启示
11月1日是《个人信息保护法》实施三周年之日,个人信息保护作为数字时代最为重要的公民数字权利,在司法、执法实践中均是重点内容。随着对《个人信息保护法》理解的深入,特别是司法、执法案例不断丰富的基础之上,个人信息保护合规将变得更为清晰。《网络数据安全管理条例》也将于明年1月1日起实施,其中对个人信息保护有关具体要求也做出了明确的规定。与此同时,2024年亦是数据资源入表实践的“元年”,很多企业探索挖掘数据显性价值。本次北京互联网法院通过八起典型案例,在很大程度上说明了个人信息保护与数据合理利用的基本原则,也释明了具体平衡过程中的司法考量。这不仅对于司法领域未来裁判具有指引作用,相信也会影响行政执法监督的具体尺度。对于企业而言,可以通过这些案例进一步对齐个人信息合规的水平,同时也需进一步关注司法、执法动向,确保个人信息合规风险可控。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
方禹
顾问
合规业务部
转载声明:好文共赏,如需转载,请直接在公众号后台或下方留言区留言获取授权。
封面图源:画作·林子豪
