2022年個人信息保護(hù)典型案件盤點(diǎn)

劉曉春 王璇琦

2021年11月1日，《個人信息保護(hù)法》正式生效?！秱€人信息保護(hù)法》實(shí)施的一年多以來，在監(jiān)管機(jī)構(gòu)、個人信息處理者、個人信息所有者等多方主體的共同努力下，《個人信息保護(hù)法》的一系列原則與規(guī)則得以落地生根，發(fā)揮作用，司法實(shí)踐中也涌現(xiàn)一批具有典型意義的影響力案件，涉及個人信息具體權(quán)益在不同應(yīng)用場景的保護(hù)實(shí)踐，也涉及企業(yè)合規(guī)的范圍和注意義務(wù)，在自動化決策等新技術(shù)、新業(yè)態(tài)形塑司法規(guī)則。

1.用戶畫像的合規(guī)處理：北京大生知行科技有限公司與羅懿隱私權(quán)、個人信息保護(hù)糾紛

【案情描述】

原告在登錄被告旗下軟件時(shí)，進(jìn)入賬號登錄界面輸入用戶名和密碼，點(diǎn)擊登錄后出現(xiàn)問答界面，需要對用戶“職業(yè)”“學(xué)習(xí)目的”“英語水平”等內(nèi)容進(jìn)行填寫，之后還需填寫個人基本信息界面，輸入中英文名等必填內(nèi)容才能完成注冊并進(jìn)入首頁。登錄過程中并無“跳過”選項(xiàng)，軟件也沒有關(guān)于同意收集個人信息的提示。原告認(rèn)為這屬于強(qiáng)制收集用戶畫像信息。同時(shí)還主張被告存在未經(jīng)同意向其發(fā)送營銷短信、向關(guān)聯(lián)軟件共享信息等行為，侵犯了其個人信息權(quán)益。

【簡評】

本案中，法院確認(rèn)了用戶畫像作為個人信息的法律屬性，并明確了其收集和處理中兩個基本問題的重要規(guī)則。一是是否需要獲取用戶同意，如果個性化推薦并非涉案軟件的基礎(chǔ)服務(wù)功能，則收集用戶畫像不屬于履行合同所必需，從而需要獲得用戶同意；二是如何認(rèn)定“有效同意”，被告未能提供用戶自主選擇情況下的強(qiáng)制收集行為，不能認(rèn)定為有效同意，從而構(gòu)成侵權(quán)。

2.算法錯誤關(guān)聯(lián)個人信息應(yīng)當(dāng)更正刪除：梁某、某實(shí)業(yè)公司與某科技公司網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案

【案情描述】

原告梁某是原告某實(shí)業(yè)公司的法定代表人，其發(fā)現(xiàn)，被告某科技公司運(yùn)營的企業(yè)信用信息查詢平臺上將與梁某無關(guān)的失信被執(zhí)行人信息、限制高消費(fèi)信息、終本執(zhí)行案件信息等錯誤關(guān)聯(lián)至其以及某實(shí)業(yè)公司名下。梁某、某實(shí)業(yè)公司遂向法院提起訴訟。

【簡評】

大數(shù)據(jù)產(chǎn)業(yè)主體利用算法技術(shù)處理涉?zhèn)€人信息數(shù)據(jù)時(shí)應(yīng)當(dāng)注意不要侵犯個人的權(quán)利邊界。為確保數(shù)字經(jīng)濟(jì)發(fā)展，平臺等產(chǎn)業(yè)主體可以利用算法在合理范圍內(nèi)對已經(jīng)合法公開的個人信息進(jìn)行處理、加工，但當(dāng)出現(xiàn)算法模型漏洞、算法運(yùn)行錯誤、算法黑箱、算法歧視等問題進(jìn)而導(dǎo)致個人信息權(quán)益受損時(shí)，算法運(yùn)用者應(yīng)當(dāng)承擔(dān)相關(guān)民事責(zé)任。

3.自動化決策中處理個人信息的合規(guī)義務(wù)：郭某某訴某網(wǎng)絡(luò)有限公司個人信息保護(hù)糾紛案

【案情描述】

原告郭某某在注冊、使用被告公司運(yùn)營的某購物APP過程中發(fā)現(xiàn)，打開案涉APP時(shí)，APP會彈窗顯示《隱私權(quán)政策》《用戶協(xié)議》等，要求其選擇“同意”或“拒絕”，若其選擇“拒絕”，則不能繼續(xù)使用該購物APP。原告郭某某認(rèn)為《隱私權(quán)政策》中部分內(nèi)容侵犯其個人信息權(quán)益，請求法院判令被告公司提供在原告不同意上述隱私政策內(nèi)容時(shí)仍能使用案涉APP的選項(xiàng)，并就侵害原告?zhèn)€人信息權(quán)益的行為進(jìn)行賠禮道歉、賠償經(jīng)濟(jì)損失。經(jīng)查，案涉購物APP對于自動化決策及其在信息推送、商業(yè)營銷行為中的應(yīng)用，已通過APP內(nèi)措施保障用戶的選擇權(quán)（拒絕權(quán)）。該用戶選擇權(quán)（拒絕權(quán)）保障措施亦明晰載于案涉《隱私權(quán)政策》中。

【簡評】

自動化決策是通過計(jì)算機(jī)程序自動分析、評估個人的行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況等，并進(jìn)行決策的活動。自動化決策離不開對個人信息的收集處理，但兩者之間邊界尚不明確。本案的意義在于對利用個人信息進(jìn)行自動化決策與個人信息權(quán)益保護(hù)之間進(jìn)行平衡。一方面，信息處理者應(yīng)當(dāng)事前通過隱私政策獲得個人概括性同意，并在進(jìn)行自動化決策之初便向個人提供便捷的拒絕方式，以此保障個人的知情同意權(quán)利。反之，當(dāng)信息處理者未向個人提供拒絕自動化決策的方式或者方式不足夠便捷，用戶因此不能依據(jù)真實(shí)意思表示拒絕自動化決策時(shí)，可以認(rèn)定個人信息處理者違反了法定義務(wù)，侵害了用戶個人信息權(quán)益。

4.交友平臺算法誤判用戶為“殺豬盤”騙子：金某訴北京某科技公司網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案

【案情描述】

原告李某為某金融公司員工，注冊了被告運(yùn)營的某征婚交友平臺。在李某正常使用平臺期間，被告對其賬戶進(jìn)行了封號處理，并向其他網(wǎng)友提示稱“賬號可能存在異常”“不要與之發(fā)生金錢來往”等。該情況導(dǎo)致原告多位朋友誤認(rèn)為原告是騙子。原告訴至法院，認(rèn)為被告運(yùn)營的平臺實(shí)施算法技術(shù)造成誤判侵犯其名譽(yù)權(quán)。被告辯稱其行為僅是為公共利益依法履行主體監(jiān)管責(zé)任，系統(tǒng)自動判定原告賬戶為風(fēng)險(xiǎn)賬號，不存在侵權(quán)行為。

【簡評】

本案中，法院一方面承認(rèn)了用戶權(quán)益在平臺經(jīng)濟(jì)中應(yīng)當(dāng)受到充分保護(hù)，另一方面也認(rèn)定了網(wǎng)絡(luò)平臺依據(jù)法律要求、履行打擊電信詐騙等治理義務(wù)的行為存在合法性基礎(chǔ)，當(dāng)兩者出現(xiàn)一定程度的利益沖突時(shí)，本案判決為平臺確立了合理的注意義務(wù)標(biāo)準(zhǔn)及具體認(rèn)定因素，在個體用戶權(quán)益保護(hù)和實(shí)現(xiàn)社會治理功能之間尋求精準(zhǔn)的平衡點(diǎn)，探索并確立了判斷平臺治理合理邊界的法律適用標(biāo)準(zhǔn)，在確認(rèn)平臺可以繼續(xù)采取有效措施防范“殺豬盤”等電信詐騙風(fēng)險(xiǎn)的同時(shí)，又確保被算法“誤傷”的個體權(quán)益可獲得救濟(jì)途徑，從而實(shí)現(xiàn)更大范圍內(nèi)切實(shí)保護(hù)人民群眾切身利益的目標(biāo)，為構(gòu)建協(xié)同共治的網(wǎng)絡(luò)空間治理秩序提供法治保障。

1.電子公交卡征信信息利用合規(guī)：黃某某訴某信用管理有限公司個人信息保護(hù)糾紛案

【案情描述】

2021年3月15日，黃某某發(fā)現(xiàn)其某信用賬戶未經(jīng)其允許被擅自開通，詢問某信用公司客服得知系其在開通重慶公共交通乘車碼時(shí)自動開通某信用賬戶所致，其中通過某應(yīng)用開通乘車碼時(shí)需點(diǎn)擊“同意協(xié)議并開通”，下方有藍(lán)色字體載明“查看《付款服務(wù)協(xié)議》《某服務(wù)協(xié)議》與《用戶授權(quán)協(xié)議》，授權(quán)重慶公共交通乘車碼獲取你的姓名、手機(jī)號、身份證用于實(shí)名領(lǐng)卡”。黃某某當(dāng)即要求某信用公司客服關(guān)閉其某信用賬戶及刪除賬戶內(nèi)個人信息。2021年3月25日，黃某某在某應(yīng)用開通清遠(yuǎn)電子公交卡時(shí)，需點(diǎn)擊“同意協(xié)議并開通”，下方有藍(lán)色字體載明“查看《乘車碼服務(wù)協(xié)議》《用戶授權(quán)協(xié)議》，授權(quán)清遠(yuǎn)市民卡有限公司獲取你的姓名、手機(jī)號、身份證用于實(shí)名領(lǐng)卡”。黃某某未點(diǎn)擊閱讀前述協(xié)議即開通清遠(yuǎn)電子公交卡，后某信用公司將黃某某某信用賬戶被開通的信息通過某應(yīng)用推送。

【簡評】

本案主要涉及先享后付功能的電子公交卡場景下個人信息保護(hù)與利用。個人信息處理者處理個人信息須遵循正當(dāng)、必要、合法原則，不得過度處理。首先，相關(guān)協(xié)議均以顯著方式提醒用戶黃某某進(jìn)行查閱，盡到提醒注意義務(wù)，并取得用戶同意，符合正當(dāng)原則。其次，先享后付功能可以改善用戶體驗(yàn)、保障收費(fèi)功能正常運(yùn)行，但這一功能以事先對用戶進(jìn)行信譽(yù)評估為代價(jià)。權(quán)衡兩者利弊，開通先享后付功能能夠帶來更大社會便利，符合必要原則。最后，涉案信用公司在用戶開通電子公交卡之前對其進(jìn)行必要詢問，尊重了用戶自主選擇服務(wù)的權(quán)利，保障了用戶的自主決定權(quán)，符合合法原則。

2.信貸業(yè)務(wù)機(jī)構(gòu)處理征信信息行為的審查標(biāo)準(zhǔn)：王某訴某銀行股份有限公司個人信息保護(hù)糾紛案

【案情描述】

2021年4月26日，原告王某發(fā)現(xiàn)其個人征信報(bào)告中有若干筆被告某銀行的放款記錄。原告主張其對該放款不知情也未與該銀行簽訂過借款合同。被告某銀行單方面制作虛假電子借款合同、征信查詢授權(quán)書等，并未經(jīng)原告同意單方面查詢原告征信，上傳原告不良征信，私自收集原告人臉、聲音信息等侵犯原告?zhèn)€人信息。被告某銀行認(rèn)為雙方存在合法有效的金融借款合同關(guān)系。為了放款需要，被告在征得原告同意后查詢了原告的征信，并根據(jù)規(guī)定向征信系統(tǒng)報(bào)送了原告貸款情況，不存在侵權(quán)行為。原告貸款逾期造成自身不良征信記錄，應(yīng)自行承擔(dān)責(zé)任。

【簡評】

本案于《個人信息保護(hù)法》施行當(dāng)日宣判，廣受社會關(guān)注。征信信息相較于一般個人信息有其特殊價(jià)值，能夠以較低的成本獲取較多的交易機(jī)會，極大地提高了交易效率。本案中，法院明確了信貸業(yè)務(wù)機(jī)構(gòu)處理征信信息行為的審查標(biāo)準(zhǔn)。首先，在貸款人知情同意的情況下，信貸業(yè)務(wù)處理機(jī)構(gòu)向中國人民銀行個人信用信息基礎(chǔ)數(shù)據(jù)庫報(bào)送貸款人不良征信信息的行為屬于對個人信息的合理使用。其次，出于貸款審計(jì)目的，信貸業(yè)務(wù)處理機(jī)構(gòu)以在線雙錄視頻的方式對貸款人的身份信息、貸款意愿等進(jìn)行審核，符合合法、正當(dāng)、必要原則，屬于合理使用。

1. 短視頻平臺未成年人個人信息保護(hù)：杭州市余杭區(qū)人民檢察院訴北京某科技有限公司未成年人保護(hù)民事公益訴訟案

【案情描述】

據(jù)某科技有限公司提供的數(shù)據(jù)顯示，截至2020年底該公司旗下某短視頻平臺18歲以下未實(shí)名未成年人注冊數(shù)量約為1000余萬。杭州市余杭區(qū)人民檢察院在審查辦理被告人徐某某猥褻兒童（未滿十四周歲）刑事案件時(shí)發(fā)現(xiàn)，某短視頻平臺在收集、存儲、使用兒童個人信息過程中，未遵循正當(dāng)必要、知情同意、目的明確、安全保障、依法利用原則，遂對某短視頻平臺涉嫌侵害眾多不特定兒童個人信息權(quán)益和隱私權(quán)的行為向法院提起民事公益訴訟。

【簡評】

本案系全國首例兒童個人信息、網(wǎng)絡(luò)安全保護(hù)民事公益訴訟案件。如今未成年人的生活已離不開互聯(lián)網(wǎng)，但未成年人能力和防范意識卻十分薄弱，缺乏個人信息保護(hù)意識。對此，互聯(lián)網(wǎng)平臺作為網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)承擔(dān)起對兒童用戶網(wǎng)絡(luò)安全保障的義務(wù)與責(zé)任。

本案對互聯(lián)網(wǎng)平臺如何承擔(dān)識別未成年人用戶的責(zé)任、告知并征得監(jiān)護(hù)人有效明示同意的方式、是否可以根據(jù)未成年人用戶畫像進(jìn)行個性化推薦與自動化決策以及如何主動積極對未成年人用戶的個人信息開展保護(hù)等多個問題，進(jìn)行了全面細(xì)致的規(guī)定，有助于促進(jìn)互聯(lián)網(wǎng)企業(yè)源頭性治理并形成長效機(jī)制。

2. 人臉信息保護(hù)：廣州市越秀區(qū)人民檢察院訴鄭某、任某、戴某、陳某個人信息保護(hù)民事公益訴訟案

【案情描述】

鄭某在群聊中向不特定社會公眾發(fā)布廣告，宣稱可代查個人名下手機(jī)號、通過微信號反查手機(jī)號等信息，也可以通過身份證號碼查找個人高清身份證照片。任某、戴某、陳某通過上述群組先后向鄭某購買公民個人信息，制作虛假人臉動態(tài)識別視頻，用于解封微信賬號、驗(yàn)證工商類等政務(wù)APP的實(shí)名認(rèn)證，從中非法獲利。目前受害人數(shù)量、身份、信息去向、用途均無法核實(shí)。廣州市越秀區(qū)人民檢察院以該四人行為侵害社會公共利益為由，向法院提起民事公益訴訟。

【簡評】

本案系全國首例涉人臉信息保護(hù)民事公益訴訟案件，在大規(guī)模個人信息侵權(quán)案件中，受害人往往無法準(zhǔn)確認(rèn)定，同時(shí)被泄露的個人信息仍然有繼續(xù)被非法利用的風(fēng)險(xiǎn)。對此，有必要對公眾的個人信息安全進(jìn)行救濟(jì)。本案創(chuàng)新性解決了在大規(guī)模個人侵權(quán)案件中的非物質(zhì)性損害認(rèn)定要件及法律責(zé)任的適用問題，當(dāng)非物質(zhì)性損害達(dá)到顯著性和客觀性標(biāo)準(zhǔn)，且侵權(quán)行為與個人信息泄露的外部風(fēng)險(xiǎn)和侵權(quán)行為存在因果關(guān)系時(shí)，應(yīng)當(dāng)以侵權(quán)人收益為參考標(biāo)準(zhǔn)確定非物質(zhì)性損害的損害賠償。此外，本案還提出了“恢復(fù)性司法+社會化綜合治理”的修復(fù)路徑，對公益損害修復(fù)起到長遠(yuǎn)影響。

3.人臉信息保護(hù)：李開祥侵犯公民個人信息刑事附帶民事公益訴訟案

【案情描述】

被告人李開祥制作一款具有非法竊取安裝者相冊照片功能的手機(jī)“黑客軟件”，將其發(fā)布于暗網(wǎng)“茶馬古道”論壇售賣，并偽裝成“顏值檢測”軟件供訪客免費(fèi)下載。一旦用戶使用軟件，軟件會自動獲取相冊照片并上傳至被告人搭建的服務(wù)器后臺，被告從而竊取安裝者相冊照片上千余張，其中部分照片含有公民個人信息100余條。被告人又購買并下載標(biāo)題為“社工庫資料”數(shù)據(jù)轉(zhuǎn)存于某網(wǎng)盤，并將網(wǎng)盤鏈接分享至QQ群，供群成員免費(fèi)下載。經(jīng)鑒定，“社工庫資料”包含各類公民個人信息共計(jì)8100萬余條。

【簡評】

使用人臉識別技術(shù)處理的人臉信息以及基于人臉識別技術(shù)生成的人臉信息均具有高度的可識別性，能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況，屬于刑法規(guī)定的公民個人信息。

4.驗(yàn)證碼構(gòu)成個人信息：羅文君、瞿小珍侵犯公民個人信息刑事附帶民事公益訴訟案

【案情描述】

2019年12月，被告人羅文君了解到通過獲取他人手機(jī)號和隨機(jī)驗(yàn)證碼用以注冊新的淘寶、京東等APP賬號（簡稱“拉新”）可以賺錢，其便與“悠悠141319”等專門從事“拉新”的人聯(lián)系?！坝朴?41319”等人與羅文君約定由其建立、管理、維護(hù)微信群，“悠悠141319”等人根據(jù)學(xué)員發(fā)送的手機(jī)號及驗(yàn)證碼注冊淘寶、京東APP等新賬號。

【簡評】

服務(wù)提供者專門發(fā)給特定手機(jī)號碼的數(shù)字、字母等單獨(dú)或者其組合構(gòu)成的驗(yàn)證碼具有獨(dú)特性、隱秘性，能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的，屬于刑法規(guī)定的公民個人信息。

1. 個人查閱復(fù)制權(quán)：廣州唯品會電子商務(wù)有限公司、周彥聰個人信息保護(hù)糾紛案

【案情描述】

原告周彥聰致電被告唯品會客服，表示其系唯品會客戶，因擔(dān)心個人信息泄露，希望唯品會披露所收集到的其個人信息。唯品會客服表示：“用戶有填寫的信息，可以在APP個人中心予以查看，不會泄露；對于用戶沒有填寫的信息，唯品會是沒有辦法展示的，且鑒于周彥聰本人賬戶沒有實(shí)名認(rèn)證，唯品會也是沒有辦法知道的?！蓖?，周彥聰通過電子郵件“周縵卿”向唯品會隱私專職部門郵箱發(fā)送郵件，請求公司披露相關(guān)內(nèi)容，唯品會公司未回復(fù)該郵件。

【簡評】

個人查閱、復(fù)制其個人信息的權(quán)利是維護(hù)自然人的個人信息權(quán)益的重要手段。通過行使此權(quán)利可以確保自然人的知情權(quán)以及對處理其個人信息的行為保持適當(dāng)控制，但《個人信息保護(hù)法》第45條沒有對可復(fù)制個人信息的范圍進(jìn)行限制，只原則性地規(guī)定了復(fù)制權(quán)。

從判例來看，法院認(rèn)為個人信息主體實(shí)現(xiàn)復(fù)制權(quán)的客體范圍既包括個人信息，也包括個人信息處理的相關(guān)情況，例如賬戶信息、設(shè)備信息、日志信息、與第三方共享的個人信息等。但在實(shí)踐中，企業(yè)對于App提供的個人信息副本，內(nèi)容大多較為簡單，例如用戶的基本個人資料等或賬戶信息個人信息（用戶名、頭像、注冊信息等）?？梢?，企業(yè)的行業(yè)慣例顯然尚未達(dá)到司法實(shí)踐的標(biāo)準(zhǔn)，未來應(yīng)當(dāng)進(jìn)一步平衡提高個人信息保護(hù)水平與降低相關(guān)行權(quán)成本的關(guān)系。

2. “劇本殺”商家因用戶差評披露個人信息侵害隱私權(quán)：張某等人訴某商家網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案

【案情描述】

2021年4月，張某等人因不滿廣州某公司提供的“劇本殺”游戲服務(wù)，在網(wǎng)上發(fā)布差評。某公司遂在其微信公眾號中披露了與張某等人的微信群聊記錄截圖、游戲包廂監(jiān)控視頻錄像片段、張某等的微信個人賬號信息。張某等人認(rèn)為公司上述行為侵害其隱私權(quán)、名譽(yù)權(quán)和個人信息權(quán)益。某公司則以張某等惡意發(fā)布差評為由，要求張某等承擔(dān)侵害名譽(yù)權(quán)的責(zé)任。

【簡評】

張某作為消費(fèi)者依法有權(quán)對某公司提供的服務(wù)作出合理評價(jià)，而某公司作為服務(wù)提供者與經(jīng)營者亦應(yīng)當(dāng)承擔(dān)因消費(fèi)者作出差評而導(dǎo)致店鋪排名降低的經(jīng)營風(fēng)險(xiǎn)。故消費(fèi)者合理“差評”并不構(gòu)成對商家的侵權(quán)。

同時(shí)，商家在服務(wù)過程中所獲取的消費(fèi)者個人信息應(yīng)征得信息主體本人同意，對于因提供服務(wù)而獲取的消費(fèi)者個人信息，服務(wù)提供者應(yīng)當(dāng)妥善處理，保護(hù)消費(fèi)者的個人隱私。如果公開，則必須滿足個人信息保護(hù)法對個人信息處理的規(guī)則要求，否則屬于違法處理個人信息。

《個人信息保護(hù)法》實(shí)施中的典型案件呈現(xiàn)出三方面特點(diǎn)。一是在新技術(shù)、新業(yè)態(tài)具體領(lǐng)域的規(guī)則日益明確，企業(yè)合規(guī)義務(wù)指引更加清晰。例如，在算法和自動化決策、個人征信信息等領(lǐng)域，都有一系列代表性的案例，在通過個案形成更加具體的合規(guī)指引。二是強(qiáng)化個人信息保護(hù)的同時(shí)也強(qiáng)調(diào)利益平衡和合理利用，尋求多元價(jià)值的平衡。例如在個人征信信息利用、平臺通過算法履行治理義務(wù)等方面，都體現(xiàn)了裁判者尋求平衡而非一味強(qiáng)調(diào)單一利益強(qiáng)化保護(hù)的裁判思路。三是公益訴訟日益發(fā)展成熟，并成為保護(hù)個人信息重點(diǎn)難點(diǎn)領(lǐng)域的重要途徑，檢察機(jī)關(guān)通過主動針對個人信息侵害行為發(fā)起的刑事和民事公益訴訟，有效增加了威懾力；展望未來的檢察公益訴訟，也有必要從刑事附帶民事公益訴訟為主的形式，逐步轉(zhuǎn)向到針對更大規(guī)模、更具典型意義的個人信息侵害行為單獨(dú)提起民事公益訴訟的模式，強(qiáng)化司法治理的指引和導(dǎo)向功能。

（作者單位：中國社會科學(xué)院大學(xué)互聯(lián)網(wǎng)法治研究中心，本文是中國社會科學(xué)院大學(xué)哲學(xué)社會科學(xué)實(shí)驗(yàn)室重大專項(xiàng)“科教融合背景下計(jì)算社會科學(xué)人才培養(yǎng)大數(shù)據(jù)分析計(jì)算平臺建設(shè)”的階段性成果（X20220112））