北京互联网法院发布八起个人信息及数据纠纷典型案例
北京互联网法院发布八起个人信息及数据纠纷典型案例
北京互联网法院于10月30日发布了八起个人信息及数据纠纷典型案例,这些案例涵盖了告知同意、数据权益、公开个人信息处理、用户义务等多个个人信息保护重点环节。此次发布的案例恰逢《个人信息保护法》实施三周年,具有重要的参考价值。金杜网络安全与数据合规团队对这些案例进行了详细梳理,为企业和个人提供了具体的合规建议。
典型案例速览及个人信息涉诉情况
来源:金杜网络安全与数据合规团队整理
根据北京互联网法院披露的信息,自2023年10月至今,北京互联网法院共受理113件涉及个人信息保护的案件。这些案件涉及的行业领域广泛,以互联网企业为被诉主体的案件最多。个人信息类型比较丰富,包括手机号、身份证号等基础个人信息,也包括大量法律上未明确列举的个人信息,如电子商务平台上形成的用户订单交易详情、客服沟通记录等。
从侵权形态来看,北京互联网法院受理的侵害个人信息的知情权、决定权的案件最多,主要侵权形式为未经同意收集、公开、提供个人信息,或者超范围收集个人信息。部分案件中反映网络平台经营者未尽到保障用户个人信息安全的法定义务,导致用户个人信息遭受泄露、篡改、冒用。
八起典型案例详解
案例一:自动勾选同意且未设置撤回同意途径
案情:原告马某使用被告运营的一款流行语检索软件,在注册过程中,该软件提供了《服务协议》和《隐私政策》,但用户不需要实际阅读,只要点击手机屏幕任何位置,弹窗就会消失,且软件自动勾选“已阅读并同意服务和隐私政策”。该软件在《隐私政策》中说明需要收集电话号码、设备信息等个人信息,且没有撤回同意的途径。
裁判:法院认为,自动勾选不符合“自愿”“明确”的要求。涉案软件的功能是词典服务,收集用户的手机号码并非使用词典功能的必需信息,超出了实现目的最小范围。处理个人信息应受“实现处理目的的最小范围”的限制,个人信息处理者不仅要在《隐私政策》中写明处理个人信息的范围、方式等必要内容,还应保证用户充分知情。
判决结果:被告删除收集的原告昵称、手机号码、密码、头像、设备信息和用户行为信息,书面向原告赔礼道歉并赔偿合理开支。
案例二:线下主体收集个人信息向线上关联主体共享未取得用户同意
案情:某线下商店由青岛某公司实际运营,与商店同名的微信小程序由北京某电子商务公司运营。原告马某在该线下商店购物后通过二维码支付,跳转至商店微信小程序后显示该笔交易的交易店面、交易时间、商品名称。微信小程序的《用户服务协议》和《隐私政策》中均无征求消费者同意获取消费者线下交易记录的相关条款。
裁判:法院认为,原告在线下商店购买商品的交易信息属于个人信息。被告运营的微信小程序在《用户服务协议》《隐私政策》中均未明示将获取消费者线下交易订单信息,且线下交易时未向消费者告知并取得同意。二维码仅有“扫一扫支付”字样,对于消费者而言,该二维码应仅具有支付功能,扫描该二维码致使小程序获取线下交易记录并非必要,不属于“为订立、履行合同所必需”。
判决结果:被告向原告书面赔礼道歉。
案例三:用户要求查询企业内部访问记录数据
案情:原告系某电子商务平台实名认证用户,因怀疑被告泄露其个人信息,向被告提出个人信息查阅请求,要求查阅、复制涉案账号近期的登录信息、个人身份证号码的查阅记录。
裁判:法院认为,被告内部对个人信息的访问记录均不符合《民法典》和《个人信息保护法》对个人信息的定义:(1)被告对用户身份证号码等个人信息的展示采取了内容替换、SHA256等脱敏、加密技术,访问者难以识别该身份证号码属于原告;(2)访问记录不具备关联特征,不是原告在其活动中产生的信息。因此,该访问记录不构成个人信息,属于企业在内部管理中产生的数据,依法受法律保护。
案例四:平台未尽审核义务导致个人信息被盗用
案情:原告魏某是一家工艺品销售公司的法定代表人,其在被告某科技有限公司运营的某社交购物平台申请了企业认证,提交了法定代表人身份证照片、营业执照照片等材料,并支付了相应费用。此后,魏某发现该平台上还有另一个“蓝V企业号”的认证主体为其公司。
裁判:法院认为,被告郭某某未经许可使用了原告魏某某的身份证件材料用于平台账号认证,构成对原告魏某姓名权、隐私权、个人信息权益的侵害。被告北京某科技有限公司未能举证证明其在侵权行为发生期间采取了必要措施用以确保认证资料的安全,且该认证属于有偿服务,其注意义务应有所加重。
判决结果:被告郭某某承担赔礼道歉、赔偿精神损害及维权合理开支的责任;被告北京某科技有限公司就侵权行为的发生存在过错,应当与被告郭某某承担赔偿款的连带责任。
案例五:邮箱服务提供者通过格式条款约定“清空邮箱”
案情:二被告系免费邮箱服务提供者,原告于2006年在涉案平台注册免费邮箱账号,2020年4月4日将该邮箱账号与手机号绑定,2020年4月8日登录账号,发现邮件被清空(仅剩4封)。被告客服告知,因原告长期不登录使用邮箱,平台根据服务协议有权删除邮箱内容。
裁判:法院认为,涉案邮件内容无法还原,但依据日常生活经验,电子邮件可能包括的文字、图片、收发时间、通讯录等各种内容,是以电子形式记录下来的民事主体的生物信息和社会痕迹,是稍加整理就可直接定位到某个具体个人的带有强烈个人特征的数据集,在特定情况下还具备人格权属性,但原告主张的“所有权”不宜认定。涉案服务协议中的“清空邮箱”条款,属于与原告有重大利害关系的格式条款,二被告未采取合理方式提示原告注意,该条款对原告不发生效力。
判决结果:驳回原告关于确认电子邮件所有权归属于原告的诉讼请求,但确认涉案服务协议中“清空邮箱”条款对原告不发生效力。
案例六:将他人肖像的面部删除后用于AI制作
案情:原告廖某是一名拥有较多粉丝的古风短视频博主,被告某科技文化有限公司在未经原告授权同意的情况下,使用原告出境的系列视频制作换脸模板,并上传至其运营的涉案软件中。涉案换脸模板视频与原告创作的系列视频的妆容、发型、服饰、动作、灯光及镜头切换呈现一致特征,但出境人的面部特征均不相同且并非原告。
裁判:法院认为,被告并未利用原告的肖像,而是通过技术手段将原告面部特征替换,去除了肖像具有识别性的核心部分,所保留的妆容、发型等要素并非与特定自然人不可分割。涉案短视频动态呈现了原告的面部特征等个体化特征,可以以数据形式呈现,属于原告的个人信息,且换脸过程中涉及对原告个人信息的收集、使用、分析等,属于个人信息处理活动。
判决结果:被告向原告赔礼道歉、赔偿精神损害抚慰金和维权费用。
案例七:使用公开个人信息被拒绝后仍不删除
案情:被告于2023年2月在公众号发布了涉案文章,其中附有北京某企业的录用名单,包含原告姓名、院校、专业及学历等信息。被告虽对姓名作出打码处理,但仍可根据其他信息识别出原告。该录用名单在公示期满后予以删除。原告于2023年6月向被告告知其构成侵权,但被告未予删除或修改。
裁判:法院认为,涉案文章中包含原告的姓名、院校、专业与学历,属于原告的个人信息。被告发布原告个人信息,虽未取得原告同意,但这些个人信息已经公示,且未侵害原告重大利益,在原告明确拒绝前,不构成侵权。原告明确拒绝后,被告未对公众号内容进行修改或者删除处理,应对此行为承担侵害个人信息权益的民事责任。
判决结果:被告删除涉案微信公众号文章,向原告赔礼道歉并赔偿合理支出费用。
案例八:个人注销手机号后为解除平台账号绑定导致他人使用该账号
案情:原告祁某某于2015年在被告北京某网络公司运营的社交平台注册账号,输入个人认证信息,并与诸多同学朋友互相关注,发布大量个人日常信息。此后,祁某某停止使用注册该账号的手机号,但未及时解除该手机号与账号的绑定,而该手机号机主并更为被告姚某。2019年,祁某某发现该账号被姚某使用并转载了包括怀孕、妇科疾病等信息,且保留了原告在使用该账号中形成的个人信息。
裁判:法院认为,被告姚某虽然使用购买的涉案手机号码并采取短信验证的方式登录、使用涉案社交平台账号,但未因此获得该账号的使用权。原告虽然对账号注册及使用中形成的个人信息享有权益,但自身应该妥善保管其账号及注册信息,在明确不使用涉案社交平台账号后应及时注销,避免个人信息的泄露。被告北京某网络公司因履行审核义务的必要要求原告提交证明材料,原告并未提供,不利后果由原告承担。
判决结果:被告姚某注销涉案社交平台账号,驳回原告的其他诉讼请求。
对企业合规的启示
11月1日是《个人信息保护法》实施三周年之日,个人信息保护作为数字时代最为重要的公民数字权利,在司法、执法实践中均是重点内容。随着对《个人信息保护法》理解的深入,特别是司法、执法案例不断丰富的基础之上,个人信息保护合规将变得更为清晰。《网络数据安全管理条例》也将于明年1月1日起实施,其中对个人信息保护有关具体要求也做出了明确的规定。与此同时,2024年亦是数据资源入表实践的“元年”,很多企业探索挖掘数据显性价值。本次北京互联网法院通过八起典型案例,在很大程度上说明了个人信息保护与数据合理利用的基本原则,也释明了具体平衡过程中的司法考量。这不仅对于司法领域未来裁判具有指引作用,相信也会影响行政执法监督的具体尺度。对于企业而言,可以通过这些案例进一步对齐个人信息合规的水平,同时也需进一步关注司法、执法动向,确保个人信息合规风险可控。