2022年個人信息保護典型案件盤點

劉曉春 王璇琦

2021年11月1日，《個人信息保護法》正式生效?！秱€人信息保護法》實施的一年多以來，在監管機構、個人信息處理者、個人信息所有者等多方主體的共同努力下，《個人信息保護法》的一系列原則與規則得以落地生根，發揮作用，司法實踐中也涌現一批具有典型意義的影響力案件，涉及個人信息具體權益在不同應用場景的保護實踐，也涉及企業合規的范圍和注意義務，在自動化決策等新技術、新業態形塑司法規則。

1.用戶畫像的合規處理：北京大生知行科技有限公司與羅懿隱私權、個人信息保護糾紛

【案情描述】

原告在登錄被告旗下軟件時，進入賬號登錄界面輸入用戶名和密碼，點擊登錄后出現問答界面，需要對用戶“職業”“學習目的”“英語水平”等內容進行填寫，之后還需填寫個人基本信息界面，輸入中英文名等必填內容才能完成注冊并進入首頁。登錄過程中并無“跳過”選項，軟件也沒有關于同意收集個人信息的提示。原告認為這屬于強制收集用戶畫像信息。同時還主張被告存在未經同意向其發送營銷短信、向關聯軟件共享信息等行為，侵犯了其個人信息權益。

【簡評】

本案中，法院確認了用戶畫像作為個人信息的法律屬性，并明確了其收集和處理中兩個基本問題的重要規則。一是是否需要獲取用戶同意，如果個性化推薦并非涉案軟件的基礎服務功能，則收集用戶畫像不屬于履行合同所必需，從而需要獲得用戶同意；二是如何認定“有效同意”，被告未能提供用戶自主選擇情況下的強制收集行為，不能認定為有效同意，從而構成侵權。

2.算法錯誤關聯個人信息應當更正刪除：梁某、某實業公司與某科技公司網絡侵權責任糾紛案

【案情描述】

原告梁某是原告某實業公司的法定代表人，其發現，被告某科技公司運營的企業信用信息查詢平臺上將與梁某無關的失信被執行人信息、限制高消費信息、終本執行案件信息等錯誤關聯至其以及某實業公司名下。梁某、某實業公司遂向法院提起訴訟。

【簡評】

大數據產業主體利用算法技術處理涉個人信息數據時應當注意不要侵犯個人的權利邊界。為確保數字經濟發展，平臺等產業主體可以利用算法在合理范圍內對已經合法公開的個人信息進行處理、加工，但當出現算法模型漏洞、算法運行錯誤、算法黑箱、算法歧視等問題進而導致個人信息權益受損時，算法運用者應當承擔相關民事責任。

3.自動化決策中處理個人信息的合規義務：郭某某訴某網絡有限公司個人信息保護糾紛案

【案情描述】

原告郭某某在注冊、使用被告公司運營的某購物APP過程中發現，打開案涉APP時，APP會彈窗顯示《隱私權政策》《用戶協議》等，要求其選擇“同意”或“拒絕”，若其選擇“拒絕”，則不能繼續使用該購物APP。原告郭某某認為《隱私權政策》中部分內容侵犯其個人信息權益，請求法院判令被告公司提供在原告不同意上述隱私政策內容時仍能使用案涉APP的選項，并就侵害原告個人信息權益的行為進行賠禮道歉、賠償經濟損失。經查，案涉購物APP對于自動化決策及其在信息推送、商業營銷行為中的應用，已通過APP內措施保障用戶的選擇權（拒絕權）。該用戶選擇權（拒絕權）保障措施亦明晰載于案涉《隱私權政策》中。

【簡評】

自動化決策是通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等，并進行決策的活動。自動化決策離不開對個人信息的收集處理，但兩者之間邊界尚不明確。本案的意義在于對利用個人信息進行自動化決策與個人信息權益保護之間進行平衡。一方面，信息處理者應當事前通過隱私政策獲得個人概括性同意，并在進行自動化決策之初便向個人提供便捷的拒絕方式，以此保障個人的知情同意權利。反之，當信息處理者未向個人提供拒絕自動化決策的方式或者方式不足夠便捷，用戶因此不能依據真實意思表示拒絕自動化決策時，可以認定個人信息處理者違反了法定義務，侵害了用戶個人信息權益。

4.交友平臺算法誤判用戶為“殺豬盤”騙子：金某訴北京某科技公司網絡侵權責任糾紛案

【案情描述】

原告李某為某金融公司員工，注冊了被告運營的某征婚交友平臺。在李某正常使用平臺期間，被告對其賬戶進行了封號處理，并向其他網友提示稱“賬號可能存在異常”“不要與之發生金錢來往”等。該情況導致原告多位朋友誤認為原告是騙子。原告訴至法院，認為被告運營的平臺實施算法技術造成誤判侵犯其名譽權。被告辯稱其行為僅是為公共利益依法履行主體監管責任，系統自動判定原告賬戶為風險賬號，不存在侵權行為。

【簡評】

本案中，法院一方面承認了用戶權益在平臺經濟中應當受到充分保護，另一方面也認定了網絡平臺依據法律要求、履行打擊電信詐騙等治理義務的行為存在合法性基礎，當兩者出現一定程度的利益沖突時，本案判決為平臺確立了合理的注意義務標準及具體認定因素，在個體用戶權益保護和實現社會治理功能之間尋求精準的平衡點，探索并確立了判斷平臺治理合理邊界的法律適用標準，在確認平臺可以繼續采取有效措施防范“殺豬盤”等電信詐騙風險的同時，又確保被算法“誤傷”的個體權益可獲得救濟途徑，從而實現更大范圍內切實保護人民群眾切身利益的目標，為構建協同共治的網絡空間治理秩序提供法治保障。

1.電子公交卡征信信息利用合規：黃某某訴某信用管理有限公司個人信息保護糾紛案

【案情描述】

2021年3月15日，黃某某發現其某信用賬戶未經其允許被擅自開通，詢問某信用公司客服得知系其在開通重慶公共交通乘車碼時自動開通某信用賬戶所致，其中通過某應用開通乘車碼時需點擊“同意協議并開通”，下方有藍色字體載明“查看《付款服務協議》《某服務協議》與《用戶授權協議》，授權重慶公共交通乘車碼獲取你的姓名、手機號、身份證用于實名領卡”。黃某某當即要求某信用公司客服關閉其某信用賬戶及刪除賬戶內個人信息。2021年3月25日，黃某某在某應用開通清遠電子公交卡時，需點擊“同意協議并開通”，下方有藍色字體載明“查看《乘車碼服務協議》《用戶授權協議》，授權清遠市民卡有限公司獲取你的姓名、手機號、身份證用于實名領卡”。黃某某未點擊閱讀前述協議即開通清遠電子公交卡，后某信用公司將黃某某某信用賬戶被開通的信息通過某應用推送。

【簡評】

本案主要涉及先享后付功能的電子公交卡場景下個人信息保護與利用。個人信息處理者處理個人信息須遵循正當、必要、合法原則，不得過度處理。首先，相關協議均以顯著方式提醒用戶黃某某進行查閱，盡到提醒注意義務，并取得用戶同意，符合正當原則。其次，先享后付功能可以改善用戶體驗、保障收費功能正常運行，但這一功能以事先對用戶進行信譽評估為代價。權衡兩者利弊，開通先享后付功能能夠帶來更大社會便利，符合必要原則。最后，涉案信用公司在用戶開通電子公交卡之前對其進行必要詢問，尊重了用戶自主選擇服務的權利，保障了用戶的自主決定權，符合合法原則。

2.信貸業務機構處理征信信息行為的審查標準：王某訴某銀行股份有限公司個人信息保護糾紛案

【案情描述】

2021年4月26日，原告王某發現其個人征信報告中有若干筆被告某銀行的放款記錄。原告主張其對該放款不知情也未與該銀行簽訂過借款合同。被告某銀行單方面制作虛假電子借款合同、征信查詢授權書等，并未經原告同意單方面查詢原告征信，上傳原告不良征信，私自收集原告人臉、聲音信息等侵犯原告個人信息。被告某銀行認為雙方存在合法有效的金融借款合同關系。為了放款需要，被告在征得原告同意后查詢了原告的征信，并根據規定向征信系統報送了原告貸款情況，不存在侵權行為。原告貸款逾期造成自身不良征信記錄，應自行承擔責任。

【簡評】

本案于《個人信息保護法》施行當日宣判，廣受社會關注。征信信息相較于一般個人信息有其特殊價值，能夠以較低的成本獲取較多的交易機會，極大地提高了交易效率。本案中，法院明確了信貸業務機構處理征信信息行為的審查標準。首先，在貸款人知情同意的情況下，信貸業務處理機構向中國人民銀行個人信用信息基礎數據庫報送貸款人不良征信信息的行為屬于對個人信息的合理使用。其次，出于貸款審計目的，信貸業務處理機構以在線雙錄視頻的方式對貸款人的身份信息、貸款意愿等進行審核，符合合法、正當、必要原則，屬于合理使用。

1. 短視頻平臺未成年人個人信息保護：杭州市余杭區人民檢察院訴北京某科技有限公司未成年人保護民事公益訴訟案

【案情描述】

據某科技有限公司提供的數據顯示，截至2020年底該公司旗下某短視頻平臺18歲以下未實名未成年人注冊數量約為1000余萬。杭州市余杭區人民檢察院在審查辦理被告人徐某某猥褻兒童（未滿十四周歲）刑事案件時發現，某短視頻平臺在收集、存儲、使用兒童個人信息過程中，未遵循正當必要、知情同意、目的明確、安全保障、依法利用原則，遂對某短視頻平臺涉嫌侵害眾多不特定兒童個人信息權益和隱私權的行為向法院提起民事公益訴訟。

【簡評】

本案系全國首例兒童個人信息、網絡安全保護民事公益訴訟案件。如今未成年人的生活已離不開互聯網，但未成年人能力和防范意識卻十分薄弱，缺乏個人信息保護意識。對此，互聯網平臺作為網絡運營者應當承擔起對兒童用戶網絡安全保障的義務與責任。

本案對互聯網平臺如何承擔識別未成年人用戶的責任、告知并征得監護人有效明示同意的方式、是否可以根據未成年人用戶畫像進行個性化推薦與自動化決策以及如何主動積極對未成年人用戶的個人信息開展保護等多個問題，進行了全面細致的規定，有助于促進互聯網企業源頭性治理并形成長效機制。

2. 人臉信息保護：廣州市越秀區人民檢察院訴鄭某、任某、戴某、陳某個人信息保護民事公益訴訟案

【案情描述】

鄭某在群聊中向不特定社會公眾發布廣告，宣稱可代查個人名下手機號、通過微信號反查手機號等信息，也可以通過身份證號碼查找個人高清身份證照片。任某、戴某、陳某通過上述群組先后向鄭某購買公民個人信息，制作虛假人臉動態識別視頻，用于解封微信賬號、驗證工商類等政務APP的實名認證，從中非法獲利。目前受害人數量、身份、信息去向、用途均無法核實。廣州市越秀區人民檢察院以該四人行為侵害社會公共利益為由，向法院提起民事公益訴訟。

【簡評】

本案系全國首例涉人臉信息保護民事公益訴訟案件，在大規模個人信息侵權案件中，受害人往往無法準確認定，同時被泄露的個人信息仍然有繼續被非法利用的風險。對此，有必要對公眾的個人信息安全進行救濟。本案創新性解決了在大規模個人侵權案件中的非物質性損害認定要件及法律責任的適用問題，當非物質性損害達到顯著性和客觀性標準，且侵權行為與個人信息泄露的外部風險和侵權行為存在因果關系時，應當以侵權人收益為參考標準確定非物質性損害的損害賠償。此外，本案還提出了“恢復性司法+社會化綜合治理”的修復路徑，對公益損害修復起到長遠影響。

3.人臉信息保護：李開祥侵犯公民個人信息刑事附帶民事公益訴訟案

【案情描述】

被告人李開祥制作一款具有非法竊取安裝者相冊照片功能的手機“黑客軟件”，將其發布于暗網“茶馬古道”論壇售賣，并偽裝成“顏值檢測”軟件供訪客免費下載。一旦用戶使用軟件，軟件會自動獲取相冊照片并上傳至被告人搭建的服務器后臺，被告從而竊取安裝者相冊照片上千余張，其中部分照片含有公民個人信息100余條。被告人又購買并下載標題為“社工庫資料”數據轉存于某網盤，并將網盤鏈接分享至QQ群，供群成員免費下載。經鑒定，“社工庫資料”包含各類公民個人信息共計8100萬余條。

【簡評】

使用人臉識別技術處理的人臉信息以及基于人臉識別技術生成的人臉信息均具有高度的可識別性，能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況，屬于刑法規定的公民個人信息。

4.驗證碼構成個人信息：羅文君、瞿小珍侵犯公民個人信息刑事附帶民事公益訴訟案

【案情描述】

2019年12月，被告人羅文君了解到通過獲取他人手機號和隨機驗證碼用以注冊新的淘寶、京東等APP賬號（簡稱“拉新”）可以賺錢，其便與“悠悠141319”等專門從事“拉新”的人聯系?！坝朴?41319”等人與羅文君約定由其建立、管理、維護微信群，“悠悠141319”等人根據學員發送的手機號及驗證碼注冊淘寶、京東APP等新賬號。

【簡評】

服務提供者專門發給特定手機號碼的數字、字母等單獨或者其組合構成的驗證碼具有獨特性、隱秘性，能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的，屬于刑法規定的公民個人信息。

1. 個人查閱復制權：廣州唯品會電子商務有限公司、周彥聰個人信息保護糾紛案

【案情描述】

原告周彥聰致電被告唯品會客服，表示其系唯品會客戶，因擔心個人信息泄露，希望唯品會披露所收集到的其個人信息。唯品會客服表示：“用戶有填寫的信息，可以在APP個人中心予以查看，不會泄露；對于用戶沒有填寫的信息，唯品會是沒有辦法展示的，且鑒于周彥聰本人賬戶沒有實名認證，唯品會也是沒有辦法知道的。”同日，周彥聰通過電子郵件“周縵卿”向唯品會隱私專職部門郵箱發送郵件，請求公司披露相關內容，唯品會公司未回復該郵件。

【簡評】

個人查閱、復制其個人信息的權利是維護自然人的個人信息權益的重要手段。通過行使此權利可以確保自然人的知情權以及對處理其個人信息的行為保持適當控制，但《個人信息保護法》第45條沒有對可復制個人信息的范圍進行限制，只原則性地規定了復制權。

從判例來看，法院認為個人信息主體實現復制權的客體范圍既包括個人信息，也包括個人信息處理的相關情況，例如賬戶信息、設備信息、日志信息、與第三方共享的個人信息等。但在實踐中，企業對于App提供的個人信息副本，內容大多較為簡單，例如用戶的基本個人資料等或賬戶信息個人信息（用戶名、頭像、注冊信息等）?？梢?，企業的行業慣例顯然尚未達到司法實踐的標準，未來應當進一步平衡提高個人信息保護水平與降低相關行權成本的關系。

2. “劇本殺”商家因用戶差評披露個人信息侵害隱私權：張某等人訴某商家網絡侵權責任糾紛案

【案情描述】

2021年4月，張某等人因不滿廣州某公司提供的“劇本殺”游戲服務，在網上發布差評。某公司遂在其微信公眾號中披露了與張某等人的微信群聊記錄截圖、游戲包廂監控視頻錄像片段、張某等的微信個人賬號信息。張某等人認為公司上述行為侵害其隱私權、名譽權和個人信息權益。某公司則以張某等惡意發布差評為由，要求張某等承擔侵害名譽權的責任。

【簡評】

張某作為消費者依法有權對某公司提供的服務作出合理評價，而某公司作為服務提供者與經營者亦應當承擔因消費者作出差評而導致店鋪排名降低的經營風險。故消費者合理“差評”并不構成對商家的侵權。

同時，商家在服務過程中所獲取的消費者個人信息應征得信息主體本人同意，對于因提供服務而獲取的消費者個人信息，服務提供者應當妥善處理，保護消費者的個人隱私。如果公開，則必須滿足個人信息保護法對個人信息處理的規則要求，否則屬于違法處理個人信息。

《個人信息保護法》實施中的典型案件呈現出三方面特點。一是在新技術、新業態具體領域的規則日益明確，企業合規義務指引更加清晰。例如，在算法和自動化決策、個人征信信息等領域，都有一系列代表性的案例，在通過個案形成更加具體的合規指引。二是強化個人信息保護的同時也強調利益平衡和合理利用，尋求多元價值的平衡。例如在個人征信信息利用、平臺通過算法履行治理義務等方面，都體現了裁判者尋求平衡而非一味強調單一利益強化保護的裁判思路。三是公益訴訟日益發展成熟，并成為保護個人信息重點難點領域的重要途徑，檢察機關通過主動針對個人信息侵害行為發起的刑事和民事公益訴訟，有效增加了威懾力；展望未來的檢察公益訴訟，也有必要從刑事附帶民事公益訴訟為主的形式，逐步轉向到針對更大規模、更具典型意義的個人信息侵害行為單獨提起民事公益訴訟的模式，強化司法治理的指引和導向功能。

（作者單位：中國社會科學院大學互聯網法治研究中心，本文是中國社會科學院大學哲學社會科學實驗室重大專項“科教融合背景下計算社會科學人才培養大數據分析計算平臺建設”的階段性成果（X20220112））