前沿观察,

北京互联网法院个人信息及数据纠纷典型案例解读

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
中国香港特别行政区
新加坡
美国
全球

标签:合规业务-网络安全与数据合规数字经济电信、传媒、娱乐与高科技-数据及隐私权保护

引言

10月30日,北京互联网法院召开涉个人信息及数据相关案件审理情况新闻通报会,发布了八起典型案例,强调在保护个人信息权益的前提下,通过规范个人信息处理活动,促进数据在生产、流通、使用过程中的合理利用,推动数字经济高质量发展。值得注意的是,这次发布恰逢《个人信息保护法》实施三周年,八起典型案例覆盖了告知同意、数据权益、公开个人信息处理、用户义务等个人信息保护重点环节,对个人信息保护合规具有清晰、直接的参考意义。

金杜网络安全与数据合规团队对八起典型案例进行了梳理、概括,为相关企业个人信息保护合规提供参考。

典型案例速览及个人信息涉诉情况

我们将八起案例进行了汇总,方便快速阅读,详见下表。而对案件有进一步兴趣的,可以继续阅读后文的具体内容。

来源:金杜网络安全与数据合规团队整理

根据北京互联网法院披露的信息,自2023年10月至今,北京互联网法院共受理113件涉及个人信息保护的案件(根据我们初步检索,民事领域涉个人信息保护纠纷的的裁判文书约有12.6万份)。个人信息权益与其他人格权、企业数据权益等交织,涉及的行业领域广泛,以互联网企业为被诉主体的案件最多。个人信息类型比较丰富,包括手机号、身份证号等基础个人信息,也包括大量法律上未明确列举的个人信息,如电子商务平台上形成的用户订单交易详情、客服沟通记录等。这反映出个人信息与企业的衍生数据相互交织、复杂变化的趋势。

从侵权形态来看,北京互联网法院受理的侵害个人信息的知情权、决定权的案件最多,主要侵权形式为未经同意收集、公开、提供个人信息,或者超范围收集个人信息。部分案件中反映网络平台经营者未尽到保障用户个人信息安全的法定义务,导致用户个人信息遭受泄露、篡改、冒用。例如,网络平台未经有效审查,导致侵权人盗用他人身份信息用于企业账号认证(详见案例四),但与此同时,亦对用户的注意义务作出了要求,怠于保管账号安全的用户也应承担相应不利后果(详见案例八)。

北京互联网法院强调,数字时代面临个人信息保护与数据合理利用的新问题、新挑战,此次八起典型案例即希望合理划定个人信息保护与数据合理利用的边界,促进数据要素市场良性发展。例如,依法认定线上经营的个人信息未经用户同意,不得非法获取并处理线下经营的关联公司所收集的用户个人信息(详见案例二);依法认定网络服务平台未对收集、存储的个人信息采取必要的安全保护技术措施,导致个人信息被泄露、冒用的,应承担连带责任(详见案例四);依法认定企业对经过去标识化处理的个人信息进行访问所形成的访问记录数据受法律保护(详见案例三)。

案例一:马某与北京某科技有限公司个人信息保护纠纷案

1. 案情:自动勾选同意且未设置撤回同意途径

原告马某使用被告运营的一款流行语检索软件,在注册过程中,该软件提供了《服务协议》和《隐私政策》,如果不勾选“已阅读并同意服务和隐私政策”,软件会弹出提示要求用户阅读服务与隐私政策文件。但实际上,用户不需要实际阅读,只要点击手机屏幕任何位置,弹窗就会消失,且软件自动勾选“已阅读并同意服务和隐私政策”。

该软件在《隐私政策》中说明需要收集电话号码、设备信息等个人信息,且没有撤回同意的途径。被告新增撤回同意的设置后,原告发现撤回同意后,其账号信息不再显示,而账号评论却依然保留。

2. 裁判:未取得用户自愿、明确的同意构成对个人信息权益的侵害

法院认为,自动勾选不符合“自愿”“明确”的要求(《个人信息保护法》第十四条第一款:基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。……)。涉案软件的功能是词典服务,收集用户的手机号码并非使用词典功能的必需信息,超出了实现目的最小范围,应在不提供手机号等信息的情况下,为用户提供基本服务。注销账号不等于撤回同意,否则将产生撤回同意即无法继续使用服务的情形,违反了《个人信息保护法》第十六条规定的“不得以撤回同意为由拒绝提供产品或服务”的规定,因此不宜认定为一种撤回同意的方式。处理个人信息应受“实现处理目的的最小范围”的限制,个人信息处理者不仅要在《隐私政策》中写明处理个人信息的范围、方式等必要内容,还应保证用户充分知情。

法院判决被告删除收集的原告昵称、手机号码、密码、头像、设备信息和用户行为信息,书面向原告赔礼道歉并赔偿合理开支。一审判决作出后,被告提起上诉,二审法院驳回上诉,维持原判。

案例二:马某诉北京某电子商务公司隐私权、个人信息保护纠纷

1. 案情:线下主体收集个人信息向线上关联主体共享未取得用户同意

某线下商店由青岛某公司实际运营,与商店同名的微信小程序由北京某电子商务公司(本案被告)运营。原告马某在该线下商店购物,在收款台自主扫描商品条形码形成商品订单后自主结账,并通过屏幕“扫一扫支付”二维码付款。马某扫描二维码后,跳转至商店微信小程序,随即小程序中显示该笔交易的交易店面、交易时间、商品名称。该微信小程序的《用户服务协议》和《隐私政策》中均无征求消费者同意获取消费者线下交易记录的相关条款。

2. 裁判:线下主体向线上主体共享个人信息不属于合同必需

法院认为,原告在线下商店购买商品的交易信息包括交易店面、付款价格等信息,系原告在交易活动中产生的信息,属于个人信息。被告运营的微信小程序在《用户服务协议》《隐私政策》中均未明示将获取消费者线下交易订单信息,且线下交易时未向消费者告知并取得同意。二维码仅有“扫一扫支付”字样,对于消费者而言,该二维码应仅具有支付功能,扫描该二维码致使小程序获取线下交易记录并非必要,不属于“为订立、履行合同所必需”。

法院判决被告向原告书面赔礼道歉。一审判决作出后,被告提起上诉。二审中被告撤回上诉,一审判决生效。

案例三:夏某与北京某电子商务有限公司网络服务合同纠纷案

1. 案情:用户要求查询企业内部访问记录数据

被告北京某电子商务有限公司系某电子商务平台的经营者。原告系该平台实名认证用户,原告因怀疑被告泄露其个人信息,向被告提出个人信息查阅请求,要求查阅、复制涉案账号近期的登录信息、个人身份证号码的查阅记录。

2. 裁判:个人要求查询非个人信息的企业数据不受支持

法院认为,本案中被告内部对个人信息的访问记录均不符合《民法典》和《个人信息保护法》对个人信息的定义:(1)被告对用户身份证号码等个人信息的展示采取了内容替换、SHA256等脱敏、加密技术,访问者难以识别该身份证号码属于原告;(2)访问记录不具备关联特征,不是原告在其活动中产生的信息。因此,该访问记录不构成个人信息,属于企业在内部管理中产生的数据,依法受法律保护。

案例四:魏某与郭某某、北京某科技有限公司人格权纠纷案

1. 案情:平台未尽审核义务导致个人信息被盗用

原告魏某是一家工艺品销售公司的法定代表人,其在被告某科技有限公司运营的某社交购物平台申请了企业认证,提交了法定代表人身份证照片、营业执照照片等材料,并支付了相应费用。此后,魏某发现该平台上还有另一个“蓝V企业号”的认证主体为其公司。

2. 裁判:平台未尽妥善义务保障个人信息安全需承担连带责任

法院认为,被告郭某某未经许可使用了原告魏某某的身份证件材料用于平台账号认证,构成对原告魏某姓名权、隐私权、个人信息权益的侵害。被告北京某科技有限公司未能举证证明其在侵权行为发生期间采取了必要措施用以确保认证资料的安全,且该认证属于有偿服务,其注意义务应有所加重。

法院判决,被告郭某某承担赔礼道歉、赔偿精神损害及维权合理开支的责任;被告北京某科技有限公司就侵权行为的发生存在过错,应当与被告郭某某承担赔偿款的连带责任。

案例五:王某与某技术公司、某信息服务公司网络服务合同案

1. 案情:邮箱服务提供者通过格式条款约定“清空邮箱”

二被告系免费邮箱服务提供者,原告于2006年在涉案平台注册免费邮箱账号,2020年4月4日将该邮箱账号与手机号绑定,2020年4月8日登录账号,发现邮件被清空(仅剩4封)。被告客服告知,因原告长期不登录使用邮箱,平台根据服务协议有权删除邮箱内容。

2. 裁判:清空邮箱作为格式条款对用户无效

法院认为,涉案邮件内容无法还原,但依据日常生活经验,电子邮件可能包括的文字、图片、收发时间、通讯录等各种内容,是以电子形式记录下来的民事主体的生物信息和社会痕迹,是稍加整理就可直接定位到某个具体个人的带有强烈个人特征的数据集,在特定情况下还具备人格权属性,但原告主张的“所有权”不宜认定。涉案服务协议中的“清空邮箱”条款,属于与原告有重大利害关系的格式条款,二被告未采取合理方式提示原告注意,该条款对原告不发生效力。

法院判决,驳回原告关于确认电子邮件所有权归属于原告的诉讼请求,但确认涉案服务协议中“清空邮箱”条款对原告不发生效力。

案例六:廖某与某科技文化有限公司网络侵权责任纠纷案

1. 案情:将他人肖像的面部删除后用于AI制作

原告廖某是一名拥有较多粉丝的古风短视频博主,被告某科技文化有限公司在未经原告授权同意的情况下,使用原告出境的系列视频制作换脸模板,并上传至其运营的涉案软件中。涉案换脸模板视频与原告创作的系列视频的妆容、发型、服饰、动作、灯光及镜头切换呈现一致特征,但出境人的面部特征均不相同且并非原告。

2. 裁判:未使用肖像但仍涉及其他个人信息

法院认为,被告并未利用原告的肖像,而是通过技术手段将原告面部特征替换,去除了肖像具有识别性的核心部分,所保留的妆容、发型等要素并非与特定自然人不可分割。涉案短视频动态呈现了原告的面部特征等个体化特征,可以以数据形式呈现,属于原告的个人信息,且换脸过程中涉及对原告个人信息的收集、使用、分析等,属于个人信息处理活动。

法院判决,被告向原告赔礼道歉、赔偿精神损害抚慰金和维权费用。一审判决作出后,当事人均未上诉,判决已发生法律效力。

案例七:杨某与林某个人信息保护、名誉权、隐私权纠纷案

1. 案情:使用公开个人信息被拒绝后仍不删除

被告于2023年2月在公众号发布了涉案文章,其中附有北京某企业的录用名单,包含原告姓名、院校、专业及学历等信息。被告虽对姓名作出打码处理,但仍可根据其他信息识别出原告。该录用名单在公示期满后予以删除。原告于2023年6月向被告告知其构成侵权,但被告未予删除或修改。

2. 裁判:经个人拒绝仍使用其公开个人信息构成侵权

法院认为,涉案文章中包含原告的姓名、院校、专业与学历,属于原告的个人信息。被告发布原告个人信息,虽未取得原告同意,但这些个人信息已经公示,且未侵害原告重大利益,在原告明确拒绝前,不构成侵权。原告明确拒绝后,被告未对公众号内容进行修改或者删除处理,应对此行为承担侵害个人信息权益的民事责任。

法院判决,被告删除涉案微信公众号文章,向原告赔礼道歉并赔偿合理支出费用。一审判决作出后,当事人均未上诉,判决已发生法律效力。

案例八:祁某某与北京某网络公司、姚某网络侵权责任纠纷案

1. 案情:个人注销手机号后为解除平台账号绑定导致他人使用该账号

原告祁某某于2015年在被告北京某网络公司运营的社交平台注册账号,输入个人认证信息,并与诸多同学朋友互相关注,发布大量个人日常信息。此后,祁某某停止使用注册该账号的手机号,但未及时解除该手机号与账号的绑定,而该手机号机主并更为被告姚某。2019年,祁某某发现该账号被姚某使用并转载了包括怀孕、妇科疾病等信息,且保留了原告在使用该账号中形成的个人信息。

2. 裁判:个人未妥善保管账号信息需承担不利后果

法院认为,被告姚某虽然使用购买的涉案手机号码并采取短信验证的方式登录、使用涉案社交平台账号,但未因此获得该账号的使用权。原告虽然对账号注册及使用中形成的个人信息享有权益,但自身应该妥善保管其账号及注册信息,在明确不使用涉案社交平台账号后应及时注销,避免个人信息的泄露。被告北京某网络公司因履行审核义务的必要要求原告提交证明材料,原告并未提供,不利后果由原告承担。

法院判决,被告姚某注销涉案社交平台账号,驳回原告的其他诉讼请求。一审判决作出后,当事人均未上诉,判决已发生法律效力。

对企业合规的启示

11月1日是《个人信息保护法》实施三周年之日,个人信息保护作为数字时代最为重要的公民数字权利,在司法、执法实践中均是重点内容。随着对《个人信息保护法》理解的深入,特别是司法、执法案例不断丰富的基础之上,个人信息保护合规将变得更为清晰。《网络数据安全管理条例》也将于明年1月1日起实施,其中对个人信息保护有关具体要求也做出了明确的规定。与此同时,2024年亦是数据资源入表实践的“元年”,很多企业探索挖掘数据显性价值。本次北京互联网法院通过八起典型案例,在很大程度上说明了个人信息保护与数据合理利用的基本原则,也释明了具体平衡过程中的司法考量。这不仅对于司法领域未来裁判具有指引作用,相信也会影响行政执法监督的具体尺度。对于企业而言,可以通过这些案例进一步对齐个人信息合规的水平,同时也需进一步关注司法、执法动向,确保个人信息合规风险可控。

扫码订阅“金杜律师事务所”,了解更多业务资讯

最新文章
前沿观察
2024年12月31日,中国国家知识产权局发布了《人工智能相关发明专利申请指引(试行)》(下称“《指引》”),意在进一步明确和细化我国现行专利法律制度框架下人工智能领域的专利审查政策,回应创新主体普遍关切的热点法律问题。基于此,本文针对人工智能是否能成为发明专利的适格客体这一问题进行了探讨,并进一步对中美两国对于人工智能专利客体的适格性标准进行了比较研究,以期为出海企业在全球范围内的专利布局提供参考。知识产权-专利,人工智能

2025/01/15

前沿观察
2024年,我国经济以“稳中求进”为总基调,以“攻坚克难”为关键词, 新“国九条”和资本市场“1+N”政策落地见效。从“坚持把防控风险作为金融工作永恒主题”的战略方向, 到《关于加强监管防范风险推动资本市场高质量发展的若干意见》等资本市场风险防控工作的具体落实;从“金融监管要‘长牙带刺’、有棱有角”的深刻把握,到“零容忍”打击各类违法违规行为的从严监管;从“上市公司是市场之基,是投资价值的源泉” 这一正确认识,到出台上市公司市值管理指引、深化上市公司并购重组市场改革等一系列规范政策出台。 2024年,是引导和督促上市公司完善公司治理,建设建强以投资者为本的资本市场的重要一年。上市公司是国民经济的“基本盘”、“压舱石”和“优等生”,是经济高质量发展的重要微观基础。 上市退市方面,严把发行上市准入关,从源头上提高上市公司质量,严格强制退市标准,拓宽多元化退出渠道,2024年全年55家上市公司平稳退市 ;外资投资方面,发挥战略投资渠道引资潜力,支持长期投资、价值投资;股份减持方面,有效防范绕道减持,细化违规责任条款;市值管理方面,引导上市公司关注自身投资价值,切实提升投资价值;并购重组方面,深化上市公司并购重组市场改革,支持经济转型升级、实现高质量发展;强化监管方面,加强信息披露监管,严惩业绩造假,加强现金分红监管,增强投资者回报。在对上市公司的全链条监管下,我国着力打造安全、规范、透明、开放、有活力、有韧性的资本市场。 2024年,是全面实施“强本强基、严监严管”的关键一年。“金融的安全靠制度、活力在市场、秩序靠法治。”2024年全年,证监会办理各类案件739件,罚没款金额超过上一年的两倍。推动形成财务造假综合惩防体系,严肃查处欺诈发行、财务造假、违规减持、操纵市场等一批大要案 ;持续打击实控人等“关键少数”违法,助力维护中小投资者合法权益;强化行政、刑事、民事立体化追责,助力提高违法成本。突出“严”,立足“效”,着眼“准”,聚力“合”,以强有力行政执法工作护航资本市场高质量发展,不断增强投资者的获得感和投资安全感。 2024年,是资本市场波澜诡谲、上市公司犯罪查处愈发从严的一年。根据我们的不完全统计,本年度A股上市公司及关联主体涉嫌刑事犯罪或遭受刑事侵害的案件共有102起,涉及97家上市公司。 纵览上市公司刑事犯罪情况,财产与金融安全仍是高风险领域,操纵证券市场、违规内幕交易愈发成为上市公司犯罪重灾区。从执法趋势来看,司法机关针对上市公司犯罪案件,施行刑事追责、市场禁入、行政处罚、民事赔偿等多元手段,不仅打击直接的犯罪行为,还同步审查非法配资、“黑嘴”荐股、出具虚假审计报告、洗钱等上下游、前后手犯罪,致力维护资本市场秩序、保护中小投资者利益。 通过梳理及分析2024年度上市公司犯罪情况,我们形成本年度上市公司犯罪报告,继续揭示上市公司刑事风险的趋势与特点,以期从一般社会预防的角度,为上市公司及相关方增强刑事调查与合规意识、预防刑事法律风险提供帮助。争议解决与诉讼-刑事调查及辩护,证券与资本市场-上市公司常年法律顾问,金融机构-金融市场监管

2025/01/14

前沿观察
排污许可制是针对固定污染源环境监管的核心制度,也是环境监管制度的重大改革内容之一。2016年国务院印发《控制污染物排放许可制实施方案》,开始推行排污许可制度改革,原环境保护部先后印发《排污许可管理办法》(试行)和《排污许可管理办法》,从部门规章层面为推进排污许可制度提供了规章依据。2021年国务院制定《排污许可管理条例》,排污许可制度上升到“行政法规”层面,这一法规的出台,标志着排污许可制度改革取得了阶段性成果。 近年来,党中央、国务院对深化排污许可制度改革提出了新要求,党的二十大报告要求全面实行排污许可制,《中共中央 国务院关于全面推进美丽中国建设的意见》再次提出全面实行排污许可制要求,党的二十届三中全会通过的《中共中央关于进一步全面深化改革 推进中国式现代化的决定》,明确“落实以排污许可制为核心的固定污染源监管制度”的改革目标任务。在此背景下,2024年11月生态环境部发布了《全面实行排污许可制实施方案》(下称“《实施方案》”),这是落实党中央国务院部署,深化排污许可制度改革的一项重要举措。 根据《实施方案》提出的重点任务,深化排污许可制度改革的重点将聚焦进一步完善排污许可相关法律法规及标准技术规范体系等、落实以排污许可制为核心的固定污染源监管制度、全面落实固定污染源“一证式”管理、进一步加强排污许可基础保障建设等。深化排污许可制度改革提出的重点任务也包括对排污单位提出要求,即排污单位需构建基于排污许可证的环境管理制度。 本文拟结合我们长期为排污单位提供环境法律服务的经验,针对目前排污单位排污许可管理的状况、存在的问题及不足,就如何构建基于排污许可证的环境管理制度谈谈我们的看法,以供参考。合规业务-环境法

2025/01/13