专栏名称: 数据保护官

DPOHUB数据保护官俱乐部的官微：一个聚焦数据隐私和数据安全的非营利性高端学术平台；一个整合法律、技术及管理的专业数据合规生态体；一个制造干货、相互赋能及塑造职业品牌的数据合规共同体。合作WX：heguilvshi

北京互联网法院通报涉个人信息及数据相关案件审理情况，发布8个典型案例

数据保护官 · 公众号 · · 2024-10-31 16:10

正文

扫码立即加入学习！

10月30日，在《中华人民共和国个人信息保护法》施行三周年之际，北京互联网法院召开涉个人信息及数据相关案件审理情况新闻通报会，通报了此类案件的审理情况，并发布八起典型案例，在保护个人信息权益的前提下，通过规范个人信息处理活动，促进数据在生产、流通、使用过程中的合理利用，推动数字经济高质量发展。

“近日，国务院公布《网络数据安全管理条例》，立足于规范网络数据处理活动的同时，也将保护个人信息权益作为重要内容。”北京互联网法院党组成员、副院长赵瑞罡介绍，自2023年10月至今，北京互联网法院共受理113件涉及个人信息保护的案件，涉及的行业领域较为广泛，以互联网企业为被诉主体的案件最多，涉诉个人信息类型和侵权形态较为多样。

调研发现，数字经济下个人信息权益和其他人格权错综交织，呈现出较为复杂的权益形态，涉诉案件中单独以个人信息权益受到侵害为由起诉的不足40%。另外，个人信息保护案件涉诉信息类型较为丰富，既包含基础个人信息，如手机号、身份证号等，也有因人工智能技术引发的“AI换脸”等新类型侵权案件，还包括多种衍生信息，亦包括大量法律未明确列举的个人信息，如电子商务平台上形成的用户订单交易详情、客服沟通记录等。这反映出，个人信息与企业的衍生数据相互交织，呈现复杂化的状态和趋势。与此同时，从侵权形态来看，涉及侵害个人信息的知情权与决定权的案件最多，主要侵权形式为未经同意收集、公开、提供个人信息，或超范围收集个人信息。部分案件中反映网络平台运营者未尽到保障用户个人信息安全的法定义务，导致用户个人信息遭受泄露、篡改、冒用。例如，网络平台未经有效审查，导致侵权人盗用他人身份信息用于企业账号认证。

“个人信息既是开展社会治理的重要基础，也蕴藏着巨大的市场价值，为平台经济等行业发展提供运营决策支持，在数据要素市场中有着重要作用。”赵瑞罡表示，个人信息权益的规范处理不仅关乎个人的人格利益和财产利益，更涉及信息流通、数据要素价值释放。此外，个人信息处理的合法性基础需要进一步细化，个人信息处理者要始终坚持合法、正当、必要原则，同时要履行保障用户个人信息安全的法定义务。

赵瑞罡介绍，面对数字时代个人信息保护与数据合理利用面临的新问题、新挑战，北京互联网法院以裁判树规则，审理了多起典型案例，取得了良好的社会效果。顺应新时代人民需求，充分保护个人信息权益，例如，依法认定线上经营的个人信息处理者未经用户同意，不得非法获取并处理线下经营的关联公司所收集的用户个人信息，指引企业在产业数字化和数字产业化融合过程中依法保护个人信息；注重个人信息安全，落实个人信息处理者责任，例如，依法认定网络服务平台未对收集、存储的个人信息采取必要的安全保护技术措施，导致个人信息被泄露、冒用的，应与侵权用户承担连带责任；促进数字经济发展，平衡个人信息保护与利用，例如，依法认定企业对经过去标识化处理后的个人信息进行访问所形成的访问记录受法律保护，合理划定了个人信息与数据合理利用的边界，促进数据要素市场良性发展。

北京互联网法院呼吁，要加强全社会各主体的协同共治，落实个人信息处理者对个人信息安全的保护义务，增强人民群众的个人信息保护意识和能力，并建议有关部门加强监管执法与普法。

北京互联网法院综合审判三庭庭长颜君主持通报会

围绕AI换脸侵犯个人信息权益、个人信息处理的知情同意规则、个人信息处理者安全保障义务、去标识化处理后的个人信息利用、妥善保管网络账号中的个人信息等问题，北京互联网法院综合审判三庭法官王红霞通报了八起涉个人信息及数据典型案例。

北京互联网法院综合审判三庭法官王红霞通报典型案例

案例一

马某与北京某科技有限公司个人信息保护纠纷案

——必要个人信息范围应结合相关规范性文件、服务性质、处理必要性等因素进行认定

案例二

马某诉北京某电子商务公司隐私权、个人信息保护纠纷

——未经消费者同意，线下商店的线上小程序无权获取消费者的线下交易信息

案例三

夏某与北京某电子商务有限公司网络服务合同纠纷案

——企业对经过去标识化处理后的个人信息进行访问所形成的访问记录，依法受法律保护

案例四

魏某与郭某某、北京某科技有限公司人格权纠纷案

——信息处理者未尽到个人信息安全保障义务致他人个人信息权益被侵害的，应与侵权用户承担连带责任

案例五

王某与某技术公司、某信息服务公司网络服务合同案

——免费电子邮箱“清空邮箱”条款应以合理方式提示用户注意

案例六

廖某与某科技文化有限公司网络侵权责任纠纷案

——未经授权对包含他人肖像的视频进行AI换脸处理，构成对他人个人信息权益的侵害

案例七

杨某与林某个人信息保护、名誉权、隐私权纠纷案

——个人明确拒绝他人处理已公开个人信息的，个人信息处理者不得继续处理

案例八

祁某某与北京某网络公司、姚某网络侵权责任纠纷案

——个人应当妥善保管已注册的社交平台账号及注册信息

案例一

马某与北京某科技有限公司个人信息保护纠纷案

——必要个人信息范围应结合相关规范性文件、服务性质、处理必要性等因素进行认定

裁判要旨

个人信息处理者自动为用户勾选同意隐私政策的，不能视为获得了有效的个人信息处理同意。必要个人信息处理范围，可以结合相关规范性文件、服务的性质、处理必要性等因素予以认定。个人信息处理者仅提供账号注销功能，不能视为提供了撤回个人信息同意的功能。

基本案情

被告运营一款流行语检索软件。原告马某在使用时发现，该软件向用户提供了《服务协议》和《隐私政策》两份协议，在注册过程中，用户若未勾选“已阅读并同意服务和隐私政策，软件会弹出提示要求用户阅读服务与隐私政策文件。原告发现，用户并不需要实际阅读，只要点击手机屏幕的任何位置，该提示框会消失，但是系统会自动勾选“已阅读并同意服务和隐私政策”的选项。此外该软件在《隐私政策》中说明需要收集电话号码、设备信息等与词典功能无关的个人信息，并且没有能撤回同意的途径。在被告新增撤回同意的设置后，原告发现撤回同意后，自己的账号信息虽然不再显示，但账号评论却依然被保留。原告认为，被告的以上行为侵害其个人信息权益，要求被告停止侵害、赔礼道歉、赔偿精神损害抚慰金。被告辩称，涉案软件是社交类应用，可以收集用户的手机号等个人信息，用户点击“拒绝”按钮表示了对《服务协议》和《隐私政策》的拒绝，被告有权拒绝向不接受协议的用户提供服务，用户也可以通过注销账号的方式对同意进行撤回。

裁判结果

法院经审理认为，被告作为个人信息处理者，应保证用户对其预先拟定的个人信息政策充分知情，在此情况下自愿、主动作出“同意”的肯定性动作。被告未设置措施保证用户能够充分知情其隐私政策内容，在用户未实际阅读的情况下，返回界面后自动勾选“已阅读并同意服务和隐私政策”，并未让用户主动自愿作出同意的选择，不符合“自愿”“明确”的要求。涉案软件的官方描述、应用商店中的描述等均指向其词典功能，软件收集用户的手机号码并非使用词典功能的必需信息，超出了实现目的最小范围，应在不提供手机号等信息的情况下，为用户提供基本的查词服务。如果要求用户以注销账号的方式撤回同意，将产生如果不同意收集个人信息则无法继续使用涉案产品的情形，这既不属于个人信息保护法第十五条规定的“便捷的撤回方式”，又违反了第十六条规定的“不得以撤回同意为由拒绝提供产品或服务”的规定，因此不宜认定为一种撤回同意的方式。法院判决被告删除收集的原告昵称、手机号码、密码、头像、设备信息和用户行为信息，书面向原告赔礼道歉并赔偿合理开支。

一审判决作出后，被告提起上诉，二审法院驳回上诉，维持原判。

典型意义

本案明确了个人信息保护法规定的“取得个人的同意”的标准，即该同意应当在个人充分知情的情况下自愿、明确作出，并不得以用户不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务。同时，本案强调了处理个人信息的内容范围还应受“实现处理目的的最小范围”的限制。要求网络服务提供者不仅要在《隐私政策》中写明处理个人信息的范围、方式等必要内容，还应采取必要措施保证用户能充分知情其内容，以及对应用程序的基本服务作出说明，以保证用户能够理解哪些个人信息为提供服务所必须，同时还应为用户提供便捷的撤回同意方式，在用户拒绝接受关于处理个人信息的条款时，为用户提供基础服务。本案对于网络服务提供者进一步完善告知同意规则，依法保障个人在个人信息处理活动中享有的知情权、决定权具有重要意义。

案例二

马某诉北京某电子商务公司隐私权、个人

信息保护纠纷

——未经消费者同意，线下商店的线上小程序无权获取消费者的线下交易信息

裁判要旨

线下商店未经消费者同意将消费者的交易信息共享至线上小程序，扩大了个人信息处理主体和使用范围，构成对消费者个人信息权益的侵害。

基本案情

某线下商店由青岛某公司实际运营，与商店同名的微信小程序由被告北京某电子商务公司运营。2021年10月10日，马某在该线下商店购物，在收款台自主扫描商品条形码形成商品订单后自主结账，收款台屏幕出现“扫一扫支付”二维码，显示付款方式有支付宝、微信和商店小程序。马某使用微信扫一扫功能扫描该二维码，跳转至商店微信小程序，小程序随即显示该笔交易的交易店面、交易时间、商品名称等信息，点击“立即支付”后可付款成功。马某认为，自己线下购物、线下微信付款，未调用、未使用该商店微信小程序，而且该微信小程序也没有余额，在原告扫描“扫一扫支付”二维码后，就被商店微信小程序获取了自己的线下购物信息，侵害其个人信息权益，故诉至法院要求被告赔礼道歉。被告辩称，其获取原告订单交易信息是基于原告的授权，而非违法取得，未侵害原告的个人信息权益。经审理查明，该微信小程序的《用户服务协议》和《隐私政策》均无征求消费者同意获取消费者线下交易记录的相关条款。

裁判结果

法院经审理认为，原告在某商店购买商品的交易信息包括交易店面、付款价格等信息，系原告在交易活动中产生的信息，属于个人信息。《个人信息保护法》第十三条规定，个人信息处理者取得个人的同意，或为订立、履行个人作为一方当事人的合同所必须，方可处理个人信息。被告运营的微信小程序在《用户服务协议》《隐私政策》中均未明示涉案小程序将获取消费者的线下交易订单信息，且线下交易时亦未向消费者告知并取得同意。此外，原告系在线下店铺购买商品，交易相对方并非本案被告，且商店线下展示的二维码仅有“扫一扫支付”字样，故对于消费者而言，该二维码应仅具有支付功能，扫描该二维码致使小程序获取线下交易记录并非必要，不属于“为订立、履行合同所必需”。因此，被告运营的微信小程序获取原告的线下交易记录的行为，未经原告同意，也非订立、履行合同所必需，构成对原告个人信息权益的侵害。法院判决被告向原告马某书面赔礼道歉。

一审判决作出后，被告提起上诉。二审审理中，被告撤回上诉，二审法院予以准许，一审判决生效。

典型意义

随着实体经济数字化程度加深，线上线下一体化自营商店呈现规模化发展，该类商店往往有独立运营的App、微信小程序等集支付、消费于一体的线上平台。该类经营模式虽具有其独特的特征和优势，但在个人信息处理方面容易引发个人信息侵权风险。本案明确消费者的线下购物信息因包含交易店面、付款价格等，系消费者在交易活动中产生的信息，构成消费者的个人信息。经营者在处理该类信息时，应当遵循合法、正当、必要等原则，如需线上线下不同经营主体共享该类信息，应当充分告知消费者并取得消费者同意。该案对实体经济和数字经济深度融合过程中面对的个人信息风险作出提示，为促进相关产业经济高质量发展提供了指引。

案例三

夏某与北京某电子商务有限公司网络服务合同纠纷案

——企业对经过去标识化处理后的个人信息进行访问所形成的访问记录，依法受法律保护

裁判要旨

企业对经过去标识化处理后的个人信息进行访问所形成的访问记录，依法受法律保护。个人信息主体无权就该信息向企业主张查阅、复制权。

基本案情

被告北京某电子商务有限公司系某电子商务平台的经营者。原告系该平台实名认证用户。原告曾接到自称为被告公司客服的来电，沟通中对方准确报出了原告完整的身份证号。原告主张来电系由于被告违法泄露其个人信息导致，遂向被告客服电子邮箱发送邮件提出个人信息查阅请求，要求被告根据其在邮箱中提供的手机号码查阅、复制涉案账号近期的登录信息、个人身份证号码的查阅记录。被告告知原告可通过其平台网站“个人安全”界面设置查阅、复制涉案账号近期的登录信息，但不能提供原告要求的身份证号码的访问记录。原告认为被告未履行《个人信息保护法》中关于查阅个人信息的义务，遂诉至法院，请求法院判令被告提供其使用的涉案平台账号在特定期间的完整登录记录，并要求被告披露上述时间段内涉案平台获取原告身份证号码的访问记录。案件审理中，被告同意向原告提供涉案账号的登录记录。

裁判结果

法院经审理认为，本案争议焦点为，企业在内部管理中对用户个人信息的访问所形成的访问记录，是否属于个人信息是本案争议焦点。本案中，不论从识别还是关联角度，本案中被告内部对个人信息的访问记录均不符合《民法典》和《个人信息保护法》对个人信息的定义，一方面，被告对用户身份证号码等个人信息的展示采取了内容替换、SHA256等脱敏、加密技术，访问者难以识别该身份证号属于原告。另一方面，访问记录也不具备关联特征，不是本案原告在其活动中产生的信息。综上，法院认为，该访问记录并不构成个人信息，仅为被告企业在内部管理中产生的数据，依法受法律保护。原告亦未提交充分证据证明确系被告经营的电子商务平台泄露其身份信息，故没有查阅该访问记录的权利基础。最终，法院驳回原告要求被告披露特定时间段内被告通过平台获取原告个人信息访问记录的诉讼请求。

一审判决作出后，当事人均未上诉，判决已发生法律效力。

典型意义

本案从识别和关联两个角度确认个人信息的范围，进一步厘清个人信息主体向个人信息处理者行使查阅复制权的界限，反映了数字时代个人信息主体权益和个人信息处理者权益冲突与平衡问题。企业在尊重数据来源主体权益的前提下，在企业管理、运营中产生的数据可以作为商业秘密或其他权利加以保护。这一裁判思路既符合个人信息保护法关于个人信息的界定，也遵循了民法典的公平原则，有助于保障数字经济时代企业合法数据权益，强化数据要素作用发挥，促进数字经济健康发展。

案例四

魏某与郭某某、北京某科技有限公司人格权纠纷案

——信息处理者未尽到个人信息安全保障义务致他人个人信息权益被侵害的，应与侵权用户承担连带责任

裁判要旨

信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失。如未能采取必要措施导致权利人个人信息权益遭到他人侵害的，信息处理者亦构成侵权，应当就此承担连带责任。

基本案情

原告魏某是一家工艺品销售公司的法定代表人。为便于开展经营活动，魏某于2020年1月在被告北京某科技有限公司运营的某社交购物平台申请了企业认证，提交了法定代表人身份证照片、营业执照照片等材料，并支付了相应费用。2020年12月魏某支付了续认证费用。2021年1月，魏某发现在该平台上还存在另一个“蓝V企业号”的认证主体为其公司。经投诉披露，魏某发现自己之前用于企业认证的身份证件、营业执照等材料被不认识的郭某某用于了账号认证。魏某认为是平台故意泄露了其上传的认证材料，便将郭某某和平台起诉到法院。原告魏某诉称，郭某某和平台侵害了其姓名权、隐私权和个人信息权益，请求法院判令二被告公开赔礼道歉，共同赔偿魏某的经济损失、维权合理支出以及精神损害抚慰金。被告郭某某未到庭参加诉讼。被告北京某科技有限公司辩称，其未实施任何直接的侵权行为，且作为网络服务提供者，已履行相关法定义务，不应承担侵权责任。

裁判结果

法院经审理认为，被告郭某某未经许可使用了原告魏某的身份证件材料用于平台账号认证，构成对原告魏某姓名权、隐私权、个人信息权益的侵害。《个人信息保护法》第九条规定，个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。被告北京某科技有限公司作为信息处理者，应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全；当发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施。本案中，原告魏某和被告郭某某的认证材料高度一致，经法院多次释明，被告北京某科技有限公司均未能举证证明其在侵权行为发生期间采取了必要措施用以确保认证资料的安全。同时，由于被告北京某科技有限公司的企业认证属于有偿服务，其注意义务亦应当有所加重。因此，被告北京某科技有限公司就侵权行为的发生存在过错，应当与被告郭某某承担连带责任。法院判决被告郭某某承担赔礼道歉、赔偿精神损害及维权合理开支的责任，被告北京某科技有限公司对赔偿款承担连带责任。

一审裁判作出后，原告提出上诉。二审法院经审理驳回上诉，维持原判。

典型意义

个人信息收集常态化背景下，为确保个人信息安全，民法典、个人信息保护法等规定了信息处理者保障用户个人信息安全的法定义务。本案判决明确了网络服务提供者对于个人信息安全保护的平台责任，有利于促使网络服务提供者切实履行法定义务，做好自然人个人信息安全的“守门人”。本案判决亦明确，经营者在经营过程中应当遵守公平、诚信原则，利用他人个人信息混淆主体身份“搭便车”的行为构成对他人个人信息权益、姓名权等权利（益）的侵害，需承担侵权责任。

案例五

王某与某技术公司、某信息服务公司网络服务合同案

——免费电子邮箱“清空邮箱”条款应以合理方式提示用户注意

裁判要旨

免费邮箱服务提供者可以对免费邮箱用户的权利进行一定程度的限制，但“清空邮箱”条款的内容与免费邮箱用户有重大利害关系，作为提供格式条款的一方应当采取合理的方式提示用户注意。

基本案情

二被告系某免费邮箱服务提供者。原告王某于2006年4月6日注册涉案平台免费邮箱账号，于2020年4月4日将涉案账号与手机号绑定。2020年4月9日，原告登录涉案账号，发现邮件数量为 4，随即向客服询问邮件被清空的原因，被告知因原告长期不登录使用邮箱，平台根据服务协议有权删除邮箱内容。原告认为，“清空邮箱”条款属于格式条款，二被告未履行提示说明义务，也未在清空邮箱前向通知原告，属于无效的格式条款，故诉至法院，提出确认电子邮件所有权归属于原告、确认服务协议中“如用户长期未使用，则平台有权将删除邮箱、停止为该用户提供服务并删除该邮箱帐号”的条款属于无效的格式条款等诉讼请求。被告辩称，平台服务协议已告知用户“清空邮箱”条款的内容，平台已通过网站公告等方式通知原告。经查，涉案邮箱账号在2019年7月19日前的邮件已全部被清除，客观上不存在恢复可能性。二被告有技术能力和实践能力向原告就“清空邮箱”条款进行提示，但二被告提交的证据，无法证明其尽到了提示义务。

裁判结果

法院经审理认为，从技术角度而言，电子邮箱中收发及存储的电子邮件本质系电子邮箱服务器上记录的数据。从内容表现角度而言，涉案电子邮件在2019年7月19日被清空，此前的邮件内容无法还原，但依据日常生活经验，电子邮件可能包括的文字、图片、收发时间、通讯录等各种内容，是以电子形式记录下来的民事主体的生物信息和社会痕迹，是稍加整理就可直接定位到某个具体个人的带有强烈个人特征的数据集，在特定情况下还具备人格权属性。根据民法总则第一百一十一条规定，自然人的个人信息受法律保护。因此，电子邮箱用户应对电子邮件享有相应的民事权利或权益。但该等权利或权益，并非确然为原告所主张的“所有权”。并且，涉案电子邮件已客观消失且不能确认具体内容，不宜就原告对电子邮件的权利或权益性质尤其是“所有权”进行认定。但是，涉案服务协议中的“清空邮箱”条款，属于与原告有重大利害关系的格式条款。二被告作为提供格式条款的一方，未采取合理的方式提示原告注意。最终，法院判决驳回原告关于确认电子邮件所有权归属于原告的诉讼请求，但确认涉案服务协议中“清空邮箱”条款对原告不发生效力。

典型意义

本案系首例涉电子邮箱数据权属认定及“清空邮箱”条款效力确认的裁判案例。本案确认，免费邮箱用户对于电子邮件，可能基于电子邮件所包含的内容具有人格权属性而享有相应的民事权利或权益。在此基础上，认定“清空邮箱”条款内容属于与用户有重大利害关系的格式条款，服务商提供邮箱服务仍然是作为市场主体的经营行为，仍因履行提示、说明等法定义务，不能因其免费而免除应承担的法律责任，以此来平衡个人民事权利或权益保护与市场主体经营自主权之间的冲突，避免网络服务在提供免费服务时对用户权利的不当限制或侵害。

案例六

廖某与某科技文化有限公司网络侵权责任纠纷案

——未经授权对包含他人肖像的视频进行AI换脸处理，构成对他人个人信息权益的侵害

裁判要旨

个人信息处理者使用他人包含肖像的视频制作视频模板提供付费换脸服务，虽因不具有肖像权意义上的可识别性，不构成对的使用行为，但因使用行为系通过算法技术对原告人脸信息的收集、使用、分析等，未经原告合法授权，属于对原告个人信息的处理，构成对原告个人信息权益的侵害。

基本案情

原告廖某是一名古风短视频博主，在全网拥有较多粉丝。被告某科技文化有限公司在未经原告授权同意的情况下，使用原告出镜的系列视频制作换脸模板，并上传至其运营的案涉软件中，提供给用户付费使用并以此牟利。原告诉称，被告的行为侵犯其肖像权与个人信息权益，要求被告书面赔礼道歉、赔偿经济损失与精神损失。被告某科技文化有限公司辩称，其运营的平台发布的视频均有合法来源，并且面部特征并非原告，并未侵害原告肖像权，并且，案涉软件所使用的“换脸技术”实际由第三方提供，故被告并未处理原告的个人信息，并未侵害原告的个人信息权益。经审理查明，案涉换脸模板视频与原告创作的系列视频的妆容、发型、服饰、动作、灯光及镜头切换呈现一致特征，但出镜人的面部特征均不相同且并非原告。

裁判结果

法院经审理认为，被告使用原告出镜的视频制作视频模板，但并未利用原告的肖像，而是通过技术手段将原告面部特征替换，去除了肖像的识别性具有识别性的核心部分，所保留的妆容、发型等要素并非与特定自然人不可分割，不具有肖像意义上的可识别性，将视频模板提供给用户使用的行为并未丑化、污损、侵害，故不构成对原告肖像权的侵害。但是，案涉短视频动态呈现了原告的面部特征等个体化特征，可以以数据形式呈现，符合个人信息保护法规定的“与已识别或可识别的自然人有关的信息”的定义，属于原告的个人信息。针对案涉换脸行为，被告需要先收集包含原告人脸信息的出镜视频，将该视频中的原告面部替换成自己提供的照片中面部，该合成过程需要将新的静态图片中的特征与原视频部分面部特征、表情等通过算法进行融合。上述过程，涉及对原告个人信息的收集、使用、分析等，属于对原告个人信息的处理。被告无证据证明其经过原告同意，因此构成对原告个人信息权益的侵害。法院判决被告向原告赔礼道歉、赔偿精神损害抚慰金和维权费用。

北京互联网法院通报涉个人信息及数据相关案件审理情况，发布8个典型案例

正文

请到「今天看啥」查看全文