北京互联网法院涉个人信息及数据典型案例

10月30日，北京互联网法院召开涉个人信息及数据相关案件审理情况新闻通报会，会上发布了八起典型案例。具体案例如下：

个人信息处理者自动为用户勾选同意隐私政策的，不能视为获得了有效的个人信息处理同意。必要个人信息处理范围，可以结合相关规范性文件、服务的性质、处理必要性等因素予以认定。个人信息处理者仅提供账号注销功能，不能视为提供了撤回个人信息同意的功能。

被告北京某科技有限公司运营一款流行语检索软件。原告马某在使用时发现，该软件向用户提供了《服务协议》和《隐私政策》两份协议，在注册过程中，用户若未勾选“已阅读并同意服务和隐私政策”，软件会弹出提示要求用户阅读服务与隐私政策文件。原告发现，用户并不需要实际阅读，只要点击手机屏幕的任何位置，该提示框会消失，但是系统会自动勾选“已阅读并同意服务和隐私政策”的选项。此外该软件在《隐私政策》中说明需要收集电话号码、设备信息等与词典功能无关的个人信息，并且没有能撤回同意的途径。在被告新增撤回同意的设置后，原告发现撤回同意后，自己的账号信息虽然不再显示，但账号评论却依然被保留。原告认为，被告的以上行为侵害其个人信息权益，要求被告停止侵害、赔礼道歉、赔偿精神损害抚慰金。被告辩称，涉案软件是社交类应用，可以收集用户的手机号等个人信息，用户点击“拒绝”按钮表示了对《服务协议》和《隐私政策》的拒绝，被告有权拒绝向不接受协议的用户提供服务，用户也可以通过注销账号的方式对同意进行撤回。

法院经审理认为，被告作为个人信息处理者，应保证用户对其预先拟定的个人信息政策充分知情，在此情况下自愿、主动作出“同意”的肯定性动作。被告未设置措施保证用户能够充分知情其隐私政策内容，在用户未实际阅读的情况下，返回界面后自动勾选“已阅读并同意服务和隐私政策”，并未让用户主动自愿作出同意的选择，不符合“自愿”“明确”的要求。涉案软件的官方描述、应用商店中的描述等均指向其词典功能，软件收集用户的手机号码并非使用词典功能的必需信息，超出了实现目的最小范围，应在不提供手机号等信息的情况下，为用户提供基本的查词服务。如果要求用户以注销账号的方式撤回同意，将产生如果不同意收集个人信息则无法继续使用涉案产品的情形，这既不属于个人信息保护法第十五条规定的“便捷的撤回方式”，又违反了第十六条规定的“不得以撤回同意为由拒绝提供产品或服务”的规定，因此不宜认定为一种撤回同意的方式。法院判决被告删除收集的原告昵称、手机号码、密码、头像、设备信息和用户行为信息，书面向原告赔礼道歉并赔偿合理开支。

一审判决作出后，被告提起上诉，二审法院驳回上诉，维持原判。

本案明确了个人信息保护法规定的“取得个人的同意”的标准，即该同意应当在个人充分知情的情况下自愿、明确作出，并不得以用户不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务。同时，本案强调了处理个人信息的内容范围还应受“实现处理目的的最小范围”的限制。要求网络服务提供者不仅要在《隐私政策》中写明处理个人信息的范围、方式等必要内容，还应采取必要措施保证用户能充分知情其内容，以及对应用程序的基本服务作出说明，以保证用户能够理解哪些个人信息为提供服务所必须，同时还应为用户提供便捷的撤回同意方式，在用户拒绝接受关于处理个人信息的条款时，为用户提供基础服务。本案对于网络服务提供者进一步完善告知同意规则，依法保障个人在个人信息处理活动中享有的知情权、决定权具有重要意义。

线下商店未经消费者同意将消费者的交易信息共享至线上小程序，扩大了个人信息处理主体和使用范围，构成对消费者个人信息权益的侵害。

某线下商店由青岛某公司实际运营，与商店同名的微信小程序由被告北京某电子商务公司运营。2021年10月10日，原告马某在该线下商店购物，在收款台自主扫描商品条形码形成商品订单后自主结账，收款台屏幕出现“扫一扫支付”二维码，显示付款方式有支付宝、微信和商店小程序。马某使用微信扫一扫功能扫描该二维码，跳转至商店微信小程序，小程序随即显示该笔交易的交易店面、交易时间、商品名称等信息，点击“立即支付”后可付款成功。马某认为，自己线下购物、线下微信付款，未调用、未使用该商店微信小程序，而且该微信小程序也没有余额，在原告扫描“扫一扫支付”二维码后，就被商店微信小程序获取了自己的线下购物信息，侵害其个人信息权益，故诉至法院要求被告赔礼道歉。被告辩称，其获取原告订单交易信息是基于原告的授权，而非违法取得，未侵害原告的个人信息权益。经审理查明，该微信小程序的《用户服务协议》和《隐私政策》均无征求消费者同意获取消费者线下交易记录的相关条款。

法院经审理认为，原告在某商店购买商品的交易信息包括交易店面、付款价格等信息，系原告在交易活动中产生的信息，属于个人信息。《中华人民共和国个人信息保护法》第十三条规定，个人信息处理者取得个人的同意，或为订立、履行个人作为一方当事人的合同所必须，方可处理个人信息。被告运营的微信小程序在《用户服务协议》《隐私政策》中均未明示涉案小程序将获取消费者的线下交易订单信息，且线下交易时亦未向消费者告知并取得同意。此外，原告系在线下店铺购买商品，交易相对方并非本案被告，且商店线下展示的二维码仅有“扫一扫支付”字样，故对于消费者而言，该二维码应仅具有支付功能，扫描该二维码致使小程序获取线下交易记录并非必要，不属于“为订立、履行合同所必需”。因此，被告运营的微信小程序获取原告的线下交易记录的行为，未经原告同意，也非订立、履行合同所必需，构成对原告个人信息权益的侵害。法院判决被告向原告马某书面赔礼道歉。

一审判决作出后，被告提起上诉。二审审理中，被告撤回上诉，二审法院予以准许，一审判决生效。

随着实体经济数字化程度加深，线上线下一体化自营商店呈现规模化发展，该类商店往往有独立运营的App、微信小程序等集支付、消费于一体的线上平台。该类经营模式虽具有其独特的特征和优势，但在个人信息处理方面容易引发个人信息侵权风险。本案明确消费者的线下购物信息因包含交易店面、付款价格等，系消费者在交易活动中产生的信息，构成消费者的个人信息。经营者在处理该类信息时，应当遵循合法、正当、必要等原则，如需线上线下不同经营主体共享该类信息，应当充分告知消费者并取得消费者同意。该案对实体经济和数字经济深度融合过程中面对的个人信息风险作出提示，为促进相关产业经济高质量发展提供了指引。

企业对经过去标识化处理后的个人信息进行访问所形成的访问记录，依法受法律保护。个人信息主体无权就该信息向企业主张查阅、复制权。

被告北京某电子商务有限公司系某电子商务平台的经营者。原告夏某系该平台实名认证用户。原告曾接到自称为被告公司客服的来电，沟通中对方准确报出了原告完整的身份证号。原告主张来电系由于被告违法泄露其个人信息导致，遂向被告客服电子邮箱发送邮件提出个人信息查阅请求，要求被告根据其在邮箱中提供的手机号码查阅、复制涉案账号近期的登录信息、个人身份证号码的查阅记录。被告告知原告可通过其平台网站“个人安全”界面设置查阅、复制涉案账号近期的登录信息，但不能提供原告要求的身份证号码的访问记录。原告认为被告未履行《中华人民共和国个人信息保护法》中关于查阅个人信息的义务，遂诉至法院，请求法院判令被告提供其使用的涉案平台账号在特定期间的完整登录记录，并要求被告披露上述时间段内涉案平台获取原告身份证号码的访问记录。案件审理中，被告同意向原告提供涉案账号的登录记录。

法院经审理认为，本案争议焦点为，企业在内部管理中对用户个人信息的访问所形成的访问记录，是否属于个人信息是本案争议焦点。本案中，不论从识别还是关联角度，本案中被告内部对个人信息的访问记录均不符合《中华人民共和国民法典》和《中华人民共和国个人信息保护法》对个人信息的定义，一方面，被告对用户身份证号码等个人信息的展示采取了内容替换、SHA256等脱敏、加密技术，访问者难以识别该身份证号属于原告。另一方面，访问记录也不具备关联特征，不是本案原告在其活动中产生的信息。综上，法院认为，该访问记录并不构成个人信息，仅为被告企业在内部管理中产生的数据，依法受法律保护。原告亦未提交充分证据证明确系被告经营的电子商务平台泄露其身份信息，故没有查阅该访问记录的权利基础。最终，法院驳回原告要求被告披露特定时间段内被告通过平台获取原告个人信息访问记录的诉讼请求。

一审判决作出后，当事人均未上诉，判决已发生法律效力。

本案从识别和关联两个角度确认个人信息的范围，进一步厘清个人信息主体向个人信息处理者行使查阅复制权的界限，反映了数字时代个人信息主体权益和个人信息处理者权益冲突与平衡问题。企业在尊重数据来源主体权益的前提下，在企业管理、运营中产生的数据可以作为商业秘密或其他权利加以保护。这一裁判思路既符合个人信息保护法关于个人信息的界定，也遵循了民法典的公平原则，有助于保障数字经济时代企业合法数据权益，强化数据要素作用发挥，促进数字经济健康发展。

信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失。如未能采取必要措施导致权利人个人信息权益遭到他人侵害的，信息处理者亦构成侵权，应当就此承担连带责任。

原告魏某是一家工艺品销售公司的法定代表人。为便于开展经营活动，魏某于2020年1月在被告北京某科技有限公司运营的某社交购物平台申请了企业认证，提交了法定代表人身份证照片、营业执照照片等材料，并支付了相应费用。2020年12月魏某支付了续认证费用。2021年1月，魏某发现在该平台上还存在另一个“蓝V企业号”的认证主体为其公司。经投诉披露，魏某发现自己之前用于企业认证的身份证件、营业执照等材料被不认识的被告郭某某用于了账号认证。魏某认为是平台故意泄露了其上传的认证材料，便将被告郭某某和平台运营者被告北京某科技有限公司起诉到法院。原告魏某诉称，郭某某和平台侵害了其姓名权、隐私权和个人信息权益，请求法院判令二被告公开赔礼道歉，共同赔偿魏某的经济损失、维权合理支出以及精神损害抚慰金。被告郭某某未到庭参加诉讼。被告北京某科技有限公司辩称，其未实施任何直接的侵权行为，且作为网络服务提供者，已履行相关法定义务，不应承担侵权责任。

法院经审理认为，被告郭某某未经许可使用了原告魏某的身份证件材料用于平台账号认证，构成对原告魏某姓名权、隐私权、个人信息权益的侵害。《中华人民共和国个人信息保护法》第九条规定，个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。被告北京某科技有限公司作为信息处理者，应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全；当发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施。本案中，原告魏某和被告郭某某的认证材料高度一致，经法院多次释明，被告北京某科技有限公司均未能举证证明其在侵权行为发生期间采取了必要措施用以确保认证资料的安全。同时，由于被告北京某科技有限公司的企业认证属于有偿服务，其注意义务亦应当有所加重。因此，被告北京某科技有限公司就侵权行为的发生存在过错，应当与被告郭某某承担连带责任。法院判决被告郭某某承担赔礼道歉、赔偿精神损害及维权合理开支的责任，被告北京某科技有限公司对赔偿款承担连带责任。

一审裁判作出后，原告提出上诉。二审法院经审理驳回上诉，维持原判。

个人信息收集常态化背景下，为确保个人信息安全，民法典、个人信息保护法等规定了信息处理者保障用户个人信息安全的法定义务。本案判决明确了网络服务提供者对于个人信息安全保护的平台责任，有利于促使网络服务提供者切实履行法定义务，做好自然人个人信息安全的“守门人”。本案判决亦明确，经营者在经营过程中应当遵守公平、诚信原则，利用他人个人信息混淆主体身份“搭便车”的行为构成对他人个人信息权益、姓名权等权利（益）的侵害，需承担侵权责任。

免费邮箱服务提供者可以对免费邮箱用户的权利进行一定程度的限制，但“清空邮箱”条款的内容与免费邮箱用户有重大利害关系，作为提供格式条款的一方应当采取合理的方式提示用户注意。

二被告系某免费邮箱服务提供者。原告王某于2006年4月6日注册涉案平台免费邮箱账号，于2020年4月4日将涉案账号与手机号绑定。2020年4月9日，原告登录涉案账号，发现邮件数量为4，随即向客服询问邮件被清空的原因，被告知因原告长期不登录使用邮箱，平台根据服务协议有权删除邮箱内容。原告认为，“清空邮箱”条款属于格式条款，二被告未履行提示说明义务，也未在清空邮箱前通知原告，属于无效的格式条款，故诉至法院，提出确认电子邮件所有权归属于原告、确认服务协议中“如用户长期未使用，则平台有权将删除邮箱、停止为该用户提供服务并删除该邮箱账号”的条款属于无效的格式条款等诉讼请求。二被告辩称，平台服务协议已告知用户“清空邮箱”条款的内容，平台已通过网站公告等方式通知原告。经查，涉案邮箱账号在2019年7月19日前的邮件已全部被清除，客观上不存在恢复可能性。二被告有技术能力和实践能力向原告就“清空邮箱”条款进行提示，但二被告提交的证据，无法证明其尽到了提示义务。

法院经审理认为，从技术角度而言，电子邮箱中收发及存储的电子邮件本质系电子邮箱服务器上记录的数据。从内容表现角度而言，涉案电子邮件在2019年7月19日被清空，此前的邮件内容无法还原，但依据日常生活经验，电子邮件可能包括的文字、图片、收发时间、通讯录等各种内容，是以电子形式记录下来的民事主体的生物信息和社会痕迹，是稍加整理就可直接定位到某个具体个人的带有强烈个人特征的数据集，在特定情况下还具备人格权属性。根据民法总则（已随民法典施行而废止）第一百一十一条规定，自然人的个人信息受法律保护。因此，电子邮箱用户应对电子邮件享有相应的民事权利或权益。但该等权利或权益，并非确然为原告所主张的“所有权”。并且，涉案电子邮件已客观消失且不能确认具体内容，不宜就原告对电子邮件的权利或权益性质尤其是“所有权”进行认定。但是，涉案服务协议中的“清空邮箱”条款，属于与原告有重大利害关系的格式条款。二被告作为提供格式条款的一方，未采取合理的方式提示原告注意。最终，法院判决驳回原告关于确认电子邮件所有权归属于原告的诉讼请求，但确认涉案服务协议中“清空邮箱”条款对原告不发生效力。

本案系首例涉电子邮箱数据权属认定及“清空邮箱”条款效力确认的裁判案例。本案确认，免费邮箱用户对于电子邮件，可能基于电子邮件所包含的内容具有人格权属性而享有相应的民事权利或权益。在此基础上，认定“清空邮箱”条款内容属于与用户有重大利害关系的格式条款，服务商提供邮箱服务仍然是作为市场主体的经营行为，仍应履行提示、说明等法定义务，不能因其免费而免除应承担的法律责任，以此来平衡个人民事权利或权益保护与市场主体经营自主权之间的冲突，避免网络服务在提供免费服务时对用户权利的不当限制或侵害。

个人信息处理者使用他人包含肖像的视频制作视频模板提供付费换脸服务，虽因不具有肖像权意义上的可识别性，不构成对肖像的使用行为，但因使用行为系通过算法技术对原告人脸信息的收集、使用、分析等，未经原告合法授权，属于对原告个人信息的处理，构成对原告个人信息权益的侵害。

原告廖某是一名古风短视频博主，在全网拥有较多粉丝。被告某科技文化有限公司在未经原告授权同意的情况下，使用原告出镜的系列视频制作换脸模板，并上传至其运营的案涉软件中，提供给用户付费使用并以此牟利。原告诉称，被告的行为侵犯其肖像权与个人信息权益，要求被告书面赔礼道歉、赔偿经济损失与精神损失。被告某科技文化有限公司辩称，其运营的平台发布的视频均有合法来源，并且面部特征并非原告，并未侵害原告肖像权，并且，案涉软件所使用的“换脸技术”实际由第三方提供，故被告并未处理原告的个人信息，并未侵害原告的个人信息权益。经审理查明，案涉换脸模板视频与原告创作的系列视频的妆容、发型、服饰、动作、灯光及镜头切换呈现一致特征，但出镜人的面部特征均不相同且并非原告。

法院经审理认为，被告使用原告出镜的视频制作视频模板，但并未利用原告的肖像，而是通过技术手段将原告面部特征替换，去除了肖像的识别性具有识别性的核心部分，所保留的妆容、发型等要素并非与特定自然人不可分割，不具有肖像意义上的可识别性，将视频模板提供给用户使用的行为并未丑化、污损、侵害，故不构成对原告肖像权的侵害。但是，案涉短视频动态呈现了原告的面部特征等个体化特征，可以以数据形式呈现，符合个人信息保护法规定的“与已识别或可识别的自然人有关的信息”的定义，属于原告的个人信息。针对案涉换脸行为，被告需要先收集包含原告人脸信息的出镜视频，将该视频中的原告面部替换成自己提供的照片中面部，该合成过程需要将新的静态图片中的特征与原视频部分面部特征、表情等通过算法进行融合。上述过程，涉及对原告个人信息的收集、使用、分析等，属于对原告个人信息的处理。被告无证据证明其经过原告同意，因此构成对原告个人信息权益的侵害。法院判决被告向原告赔礼道歉、赔偿精神损害抚慰金和维权费用。

一审裁判作出后，当事人均未上诉，判决已发生法律效力。

本案涉及当下热门的AI换脸问题。AI换脸与个人肖像密切相关，不免引起公众对肖像权与个人信息权益的担忧。本案明确了肖像权“可识别性”不局限于面部，但应当主要集中于自然人的个人生理特征，避免肖像权的任意扩张影响妆容、造型等领域的合法使用及创作传播。同时，本案明确了肖像与个人信息的关系与认定差异，即肖像以特定范围内的公众可识别为要件，主要保护个人在社会生活中肖像识别带来的精神和财产利益；而个人信息认定标准不以公众识别为前提，重点在于预防个人信息被滥用的风险。本案围绕“AI换脸”这一新商业模式，对肖像权、个人信息权益及基于劳动创造投入的合法权益进行准确区分，既维护自然人的合法权益，又为人工智能技术和新兴产业发展留有合理空间，对于服务和保障数字经济规范健康发展有重要意义。

对于经企业公示程序合法公开的录用名单信息，若名单中人员明确拒绝行为人在其他平台公开发布的，行为人应立即停止处理行为。若行为人在合理期限内仍未停止的，将构成对信息主体个人信息权益的侵害。

2023年2月20日，被告林某在公众号发布了涉案文章，文中附有北京某企业的录用名单，名单中包含原告姓名、院校、专业及学历等信息。虽被告林某某对原告杨某姓名作出打码处理，但仍可根据其他信息识别出为原告。该录用名单系录用单位依据公示程序进行公开，但已在公示期满后予以删除。原告发现被告的涉案侵权行为后，于2023年6月6日向被告发送微信告知其已构成侵权，但被告未予删除或修改。故原告诉至法院，主张被告发布的涉案文章中公开了原告的姓名、学校、专业、学历信息，侵害了原告个人信息权益，要求被告停止侵权、赔礼道歉、赔偿经济损失和精神损害抚慰金。被告辩称，其不具有侵权的故意和行为，未产生侵权后果，应当驳回原告的诉讼请求。

法院经审理认为，涉案文章中录用名单截图包含有原告的姓名、院校、专业与学历，属于原告的个人信息。《中华人民共和国个人信息保护法》第二十七条规定，个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。本案中，被告在发布原告的个人信息时，虽未取得原告同意，但上述个人信息已经公示程序合法公开，且未侵害原告重大利益，在原告明确表示拒绝其处理前，被告发布涉案文章的行为不构成侵权。但是，原告于2023年6月明确拒绝被告处理其个人信息后，被告未对公众号内容进行修改或者删除处理，应对此行为承担侵害原告个人信息权益的民事责任。法院判决被告删除涉案微信公众号文章、向原告赔礼道歉并赔偿合理支出费用。

一审判决作出后，当事人均未上诉，判决已发生法律效力。

个人信息处理者在合理范围内处理已经合法公开的个人信息，无须取得自然人的同意，有利于充分发挥个人信息的信息流动价值。然而，这并不意味着个人对已经公开的个人信息失去完全的控制权。为保障自然人的人格尊严和自由，维护各方主体利益的相对平衡，法律明确了个人明确表示拒绝他人处理其已公开个人信息的，个人信息处理者非因法定事由不得处理该公开信息。本案是涉及个人明确拒绝他人对已经合法公开的个人信息进行处理的典型案件，为个人信息处理者依法处理已经合法公开的个人信息提供了法律指引。

用户注册及使用社交平台账号过程中形成的个人信息权益受法律保护。行为人不因通过购买手机号码登录他人社交平台账号并有使用行为，而获得该账号的使用权。

原告祁某某诉称，其于2015年在被告北京某网络公司运营的某社交平台注册了账号，输入个人认证信息，并且与诸多同学朋友互相关注，发布大量个人日常。2019年，祁某某发现该社交平台账号被他人“盗用”并转载了包括怀孕、妇科疾病等信息，却保留了原告在使用该账号中形成的个人信息。原告多次要求被告北京某网络公司披露实际侵权人信息，均未得到回复。经审理查明，目前该账号由原告使用手机号“188XXXX6768”注册，后原告停止使用该手机号，但未及时解除该手机号与账号的绑定，后该手机号机主变更为被告姚某。原告认为，二被告的行为严重损害了原告的个人信息权益，请求判令姚某注销账号、赔偿损失，判令北京某网络公司承担连带责任。被告北京某网络公司辩称，其运营的社交平台上某个账号的实际注册使用人须根据账号绑定身份信息和注册手机号机主信息综合确定。涉案账号的注册手机号为“188XXXX6768”，原告未提供其是注册手机号机主的证据，应承担举证不能的不利后果。被告姚某辩称，其于2017年实名购得涉案手机号“188XXXX6768”，并通过官方短信验证码登录涉案微博账号，而非采取非法途径，不应承担责任。

随着互联网技术的发展，网络社交账号成为人们表达自我、了解世界的窗口之一，在注册时账号填写的身份信息及账号使用过程中形成的账号信息，能够反映账号使用主体特定的社群关系和身份信息，具有一定的身份属性。对网络社交账号的不当管理、使用可能引发相应个人信息安全风险。本案明确了网络社交账号中的注册信息等具有个人信息属性，自然人应当妥善保管相关信息，在明确不再使用某网络账号及注册信息时应及时注销或解绑，若因自身原因导致损害发生的，应自行承担不利后果。该案驳回原告要求二被告赔偿其损失的诉讼请求，体现了责任自负的精神和公平正义的要求，对于引导自然人妥善保管个人信息具有示范、警示意义。