廣東高院發布個人信息保護典型案例
《中華人民共和國個人信息保護法》施行兩周年之際,廣東省高級人民法院發布一批個人信息保護典型案例。這些案例通過依法治理互聯網平臺違規收集處理信息、算法運行錯誤侵權、未經同意發送商業短信、非法采集人臉圖像等侵害個人信息權益的行為,保護個人隱私和信息安全,規范商業推廣行為,彰顯了廣東法院充分發揮審判職能作用,強化個人信息權益保護,維護良好網絡空間生態,促進互聯網行業和數字經濟健康發展的司法實踐。
01
互聯網平臺收集和處理個人信息的標準認定
——王某與某計算機公司個人信息保護糾紛案
裁判要點
互聯網平臺收集、使用用戶個人信息,應當遵循合法、正當、必要的原則,向用戶明示收集、使用信息的規則,并經用戶同意,使用范圍限于必要范圍。
基本案情
王某2019年4月首次登錄某APP時,授權其獲取微信好友關系。而后卸載重新下載安裝時,王某拒絕了APP關于公開地區、性別和微信好友等信息的要求,未再授權APP使用其微信好友關系,但該APP仍然顯示其微信好友瀏覽信息。王某認為某計算機公司運營的該APP未經授權使用其微信好友信息,侵害其隱私及個人信息,遂訴至法院,要求某計算機公司立即停止侵權,并賠償損失及合理支出等。
裁判結果
深圳市中級人民法院生效判決認為,該APP收集、使用王某“地區、性別”信息,同時又允許用戶隨意更改和填寫該信息,其收集處理該信息不符合必要性原則。在王某重新下載安裝且未予授權的情況下,繼續使用其微信好友關系不符合正當性要求。考慮到本案審結前,該APP已刪除王某個人信息,依據《中華人民共和國民法典》第一千零三十四條、第一千零三十五條以及《中華人民共和國個人信息保護法》第五條、第十五條等規定,判令某計算機公司支付王某合理支出1萬元。
典型意義
互聯網行業在合法、正當、必要的原則下,合理獲取使用個人信息,可以促進互聯網行業和數字經濟的發展,但應以不損害個人利益為前提。本案就互聯網平臺收集、處理個人信息應遵循的原則提出了具體評判標準,規范互聯網平臺對用戶數據的收集和使用行為,對厘清權利邊界,促進平臺經濟發展,具有較好的示范意義。
02
算法運行錯誤導致個人信息不實的責任主體認定
——梁某等與某科技公司網絡侵權責任糾紛案
裁判要點
互聯網平臺可以利用算法技術在合理范圍內處理已經合法公開的個人信息,但應保證個人信息準確。因算法運行錯誤導致個人信息不準確、不完整的,個人有權要求互聯網平臺承擔相應侵權責任。
基本案情
2021年3月,某實業公司法定代表人梁某在某科技公司信用信息查詢平臺查詢時,發現梁某的《投資任職及風險報告》錯誤顯示其在多家失信企業擔任法定代表人等職務,且某實業公司的《信用報告》也被錯誤關聯了上述信息。某科技公司辯稱系由于其平臺算法對與梁某同名同姓但不同身份證號的另一主體識別錯誤等原因造成。梁某、某實業公司訴至法院,要求某科技公司賠禮道歉,并賠償損失及維權費用等。
裁判結果
廣州市中級人民法院生效判決認為,某科技公司對算法技術加以利用的同時,應當對其產生的危險后果承擔責任。涉案信用報告因同名同姓主體的身份識別問題而出現錯誤,是開展征信業務應解決的基礎問題。不論某科技公司是明知相關技術不能避免此類錯誤而不予解決,抑或是因疏忽大意未注意到該類錯誤問題,均屬于對涉案錯誤信息關聯未盡到合理注意義務。依據《中華人民共和國民法典》第一千零三十七條等規定,判令某科技公司作出致歉聲明,賠償梁某等經濟損失6萬元以及必要支出費用3.1萬元。
典型意義
算法作為大數據時代的重要技術工具,在帶來數據效率最大化的同時,也因算法模型漏洞、算法運行錯誤等引發侵害個人信息及其他人格權糾紛。本案明晰了大數據產業主體利用算法技術處理個人信息數據的權利邊界,維護了個人對其信息準確性、完整性享有的合法權益,彰顯了司法對個人信息保護的力度和溫度。
03
未經同意發送商業短信侵害個人信息權益
——王某與某信息公司網絡侵權責任糾紛案
裁判要點
信息公司未經自然人同意向其手機發送商業短信,涉及對個人信息的不當收集、使用等行為,侵害了個人信息權益,應承擔責任。
基本案情
2021年4月,王某的手機收到一條由某信息公司所使用的號碼10692735***發送的短信,內容為“您的話費余額即將不足?送您立減6元話費充值券,限時1天領取……回復BK退訂。”王某按短信提示回復“BK”退訂,產生資費0.1元。王某認為某信息公司未經同意向其發送營銷類短信廣告,侵害其隱私權及個人信息權益,遂訴至法院,要求某信息公司賠禮道歉、賠償退訂短信資訊費等。
裁判結果
廣州互聯網法院生效判決認為,涉案短信由某信息公司掌握的號碼端口發出,在無其他相反證據的情況下,應認定其系該信息內容的提供者。涉案手機號碼屬于王某的個人信息,在王某未曾提供該手機號碼的情況下,無論某信息公司從何種渠道獲取該手機號碼,均存在收集王某個人信息的行為。向王某手機號碼發送商業廣告,屬于個人信息使用行為。綜上,某信息公司未取得王某同意即處理其個人信息,構成對王某個人信息權益的侵害。依據《中華人民共和國民法典》第一千零三十五條等規定,判決某信息公司向王某賠禮道歉,并賠償退訂短信資訊費0.1元。
典型意義
本案是依法規制商業短信侵害個人信息權益的典型案例。本案以最大化保護自然人個人信息為宗旨,認定在無相反證據的情況下,號碼的登記使用者為個人信息處理者,合理推定短信發送行為涉及個人信息處理行為,在未征得信息主體同意情況下構成個人信息侵權,為規范商業推廣行為,保護個人信息權益提供有益借鑒。
04
個人信息認定標準“可識別性”的適用
——田某與某物業公司隱私權、個人信息保護糾紛案
裁判要點
個人信息保護應準確把握“可識別性”的認定標準,對于已脫敏處理、無法識別到具體個人的信息,在使用中不構成對個人信息的泄露。
基本案情
2021年7月,法院判決田某向某物業公司支付物業管理費及違約金。為督促其他欠費業主盡快繳納物業費,某物業公司將涉案判決書復印件中的田某姓名、身份證號碼、詳細地址等個人信息隱蔽后,在小區門口、公告欄張貼公示。田某認為某物業公司未將判決書中其民族、委托訴訟代理人信息進行隱蔽處理就公開,侵犯其個人信息及隱私權,遂訴至法院,要求某物業公司賠禮道歉并賠償精神損失費。
裁判結果
江門市蓬江區人民法院生效判決認為,某物業公司在張貼涉案民事判決書時,已經對案號、業主姓名、身份證號碼、出生年月以及住址采取涂畫的隱蔽措施,僅憑業主的民族、委托訴訟代理人信息要素無法識別為某一特定自然人,不構成個人信息泄露及侵犯隱私權。依據《中華人民共和國民法典》第一千零三十四條等規定,判決駁回田某的訴訟請求。
典型意義
個人信息的認定標準為具有“可識別性”,對于單獨或者結合其他信息可識別特定自然人的信息,均納入個人信息的范疇。本案準確把握“可識別性”的認定標準,依法認定物業公司已對可識別的個人信息進行脫敏處理,不構成個人信息泄露以及對隱私權的侵犯,防止個人信息保護的權利被濫用,切實保障個人信息安全。
05
未經同意采集人臉圖像作為證據的效力認定
——某科技公司與某房地產公司商品房委托代理銷售合同糾紛案
裁判要點
房地產公司在未征得客戶同意前提下,出于經營目的,在售樓現場設置人臉圖像采集設備,長時間收集、儲存客戶人臉信息,侵犯了個人信息權益。通過該方式收集的證據為非法證據,不得作為認定案件事實的根據。
基本案情
2021年11月,某房地產公司委托某科技公司銷售其開發的樓盤。后某科技公司推薦聶某成功購買一套房屋,但某房地產公司拒付傭金。某科技公司訴至法院,要求某房地產公司支付傭金及利息。某房地產公司則以聶某此前到過樓盤,不屬于有效客戶,不需要支付傭金為由進行抗辯,并提供了其在售樓處安裝的人臉識別系統所抓拍的該客戶的人臉識別信息作為證據。
裁判結果
佛山市禪城區人民法院一審認為,某房地產公司未經有關機關許可、也未經客戶同意,為其經營目的,擅自設置人臉圖像采集、個人身份識別設備,長時間收集、儲存客戶人臉信息,嚴重侵犯他人合法權益、違反法律禁止性規定,其以該方式所收集的證據屬于非法證據,不得作為認定案件事實的根據,應不予采信。依據《中華人民共和國民法典》第一百一十條、第九百六十三條以及《中華人民共和國個人信息保護法》第二十六條等規定,判決某房地產公司支付傭金4萬元及利息。佛山市中級人民法院二審調解結案。
典型意義
人臉信息是敏感個人信息,對當事人的人格尊嚴、財產安全影響很大,其收集、存儲、使用等處理行為有著嚴格的法律規定。當前一些市場主體出于經營目的,違法采集公民人臉圖像信息,侵害個人信息權益。本案依法否定違法采集公民個人圖像信息作為民事證據的效力,切實維護個人信息權益,保護人民群眾“臉面”安全。
06
大規模個人信息侵權中不特定損害的判定
——廣州市越秀區人民檢察院與鄭某等個人信息保護公益訴訟案
裁判要點
侵害社會公眾不特定個人信息,造成損害的,應參照侵權人收益進行賠償。
基本案情
2020年9月始,鄭某向任某等三人出售大量公民身份證號碼、照片等信息,用于制作虛假人臉動態識別視頻,解封微信賬號、驗證工商類等政務APP的實名認證,從中非法獲利。同時,鄭某等四人利用“蝙蝠”軟件“閱后即焚”功能刪除大量信息和交易記錄,導致受害人數量、身份、信息去向、用途均無法核實。廣州市越秀區人民檢察院認為鄭某等的行為已侵害社會公共利益,遂提起民事公益訴訟,要求鄭某等立即停止侵權、支付公益損害賠償金等。
裁判結果
廣州互聯網法院生效判決認為,鄭某等所處理的人臉信息屬于敏感個人信息中的生物識別信息,蘊含人格權益及財產利益,其在未取得授權同意的情況下,對不特定社會公眾的人臉信息進行非法收集、買賣、使用,侵害了不特定公眾的信息自決權,損害了社會公共利益。綜合考慮人臉信息的敏感性、侵權行為波及的領域、影響的程度等因素,酌情參照其違法所得計算公共利益損失。依據《中華人民共和國民法典》第一百一十一條、一千一百八十二條等規定,判決鄭某等立即停止侵權,支付公益損害賠償金10.3萬元,通過與個人信息保護相關的警示教育、公益宣傳、志愿服務等方式進行行為補償。
典型意義
本案系全國首例涉人臉信息保護民事公益訴訟案件。人臉信息屬于敏感個人信息,一旦泄露或者非法使用,將會對個人的人身財產權益造成嚴重侵害。本案確立了大規模個人信息侵權中造成損害的認定標準,創新提出“恢復性司法+社會化綜合治理”路徑,對教育震懾非法處理個人信息行為、推動構建科技向善治理模式具有積極意義。
07
危害公共利益的個人信息侵權行為的司法認定
——東莞市人民檢察院與趙某侵犯公民個人信息民事公益訴訟案
裁判要點
公民個人信息兼具財產屬性及公益屬性,個人信息處理者違反法律規定處理個人信息,侵害眾多群眾權益,社會危害性較大,應認定構成對公共信息安全領域的社會公共利益的侵害。
基本案情
2018年9月,趙某向中國移動公司承包了手機SIM卡開戶業務,后通過與他人合作、購買的形式,快速獲得公民個人信息,再將非法獲取的實名認證手機SIM卡1000多張出售給他人。2019年10月,公安機關將趙某抓獲歸案,法院生效判決認定趙某構成侵犯公民個人信息罪。東莞市人民檢察院提起民事公益訴訟,要求趙某公開賠禮道歉并支付侵犯公民個人信息損害賠償金。
裁判結果
東莞市中級人民法院生效判決認為,趙某未經公民個人同意,非法收集不特定個人身份信息用于制作手機卡并部分出售給他人,以及購買載有個人信息的手機卡轉售,出售手機卡1000多張,導致眾多不特定公民個人信息被泄露。且趙某出售的上述手機卡被購買者用于進行電信詐騙等違法犯罪活動,嚴重危害不特定公民的財產安全,損害公共信息安全領域的社會公共利益。依據《中華人民共和國民法典》第一百一十一條以及《中華人民共和國個人信息保護法》第十條等規定,判決趙某向社會公眾公開賠禮道歉,支付侵犯公民個人信息及公共利益損害賠償款3萬元。
典型意義
當今社會信息技術高度發達,個人信息流通便捷,經營者可以高效利用各種信息為特定消費者提供個性化服務,但同時也存在個人信息被不法商家泄露用于違法犯罪活動的風險。本案依法認定經營者非法獲取眾多消費者個人信息且為違法犯罪活動提供幫助,判令承擔損害賠償責任,彰顯了法律對人格尊嚴和人格自由的尊重,構筑起個人信息保護的“防火墻”。
