2024个人信息保护民事诉讼案例解读 —— 数据和人工智能法律2025展望系列之三
2025.03.10 董潇 周佳_Lark 陈超
随着数字经济的蓬勃发展和信息技术的广泛应用,个人信息保护问题日益成为社会关注的焦点。自《个人信息保护法》正式实施至今已有3年多,根据我们的观察,《个人信息保护法》及相关数据保护法律法规的应用仍然主要活跃于企业合规和监管执法这两个层面,目前公布的与个人信息保护相关的民事诉讼案件仍然相对有限。
根据我们在北大法宝数据库1中以“个人信息”、“保护”及“安全”为关键词,选择审结时间为2024年的民事诉讼案例,初步检索到196个公开案例。2经过对这些案例判决书的查看和筛选,我们最终得到31个与个人信息保护相关的有效案例。3这些有效案例主要涉及未经同意收集、使用个人信息、非法泄露个人信息、非法买卖个人信息、未充分履行个人信息处理告知义务、无正当理由请求获取他人个人信息以及未履行个人信息安全保护义务这些侵权形式,一定程度上反映了目前我国个人信息保护民事诉讼的主要争议纠纷点。在有效案例中,以自然人起诉法人主体为主4,涉案金额多数集中在10万元以下,约有三分之一的案件进入到二审阶段,由北京互联网法院审结的案例数量最多。
如下表格统计了上述有效案例的侵权行为类型及审理法院所在地区的分布比例。
侵权行为 | 数量 | 占比 |
未经同意收集、使用个人信息(“个人私自安装摄像头”、“未经同意向个人发送营销短信/拨打营销电话”居多) | 14 | 45.2% |
非法泄露个人信息 | 12 | 38.7% |
非法买卖个人信息 | 1 | 3.2% |
未充分履行个人信息处理告知义务 | 1 | 3.2% |
无正当理由请求获取他人个人信息 | 2 | 6.5% |
未履行个人信息安全保护义务 | 1 | 3.2% |
审理法院 | 数量 | 占比 |
北京地方法院 | 9 | 29.0% |
上海地方法院 | 3 | 9.7% |
广东地方法院 | 5 | 16.1% |
其他地方法院,包括江苏、安徽、四川、河南、湖南、辽宁、新疆、吉林、云南及内蒙古自治区 | 14 | 45.2% |
以下我们选取部分典型案例进行简要评析,供企业了解司法机关对于个人信息保护相关法律要求的解读。
一、个人信息处理告知义务应在保障个人信息权益与考量技术障碍及说明成本之间取得平衡
根据《个人信息保护法》第17条规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项。实践中,个人信息处理者的告知内容应当披露到何种详细程度才符合法律要求?北京互联网法院在其审理的一起案件5中探讨了利用个人信息进行自动化决策场景下个人信息处理者告知义务的履行程度问题。
原告作为微博用户,主张微博未详细说明个性化广告服务中收集和使用个人信息的方式、频率等技术规则,认为微博未充分履行告知义务,侵犯其知情权。经法院查明,微博在其《个人信息保护政策》中已明确说明“在您使用微博时,我们会根据您的设备信息、IP地址和位置信息向您推送个性化广告。在使用上述信息时,我们会进行去标识化处理,使得相关信息无法与您的真实身份直接关联”,以及个性化广告的关闭方式。法院认为,基于自动化算法决策的专业性和复杂性,个人信息处理者的告知义务应在保障个人信息权益与考量技术障碍及说明成本之间取得平衡。在本案中,以通常理性人标准判断,涉案条款已对个人信息处理规则进行了充分且适当的告知,未构成对原告知情权的侵害。
此外,原告亦对个性化广告功能的默认开启设置提出质疑,认为该设置属于获取“默认同意”,违反法律要求。法院认为,微博已在首次运行时通过其《个人信息保护政策》取得原告关于个性化广告服务的同意且提供了关闭个性化广告的方式,微博所采取的“事前概括同意机制”和“事后选择机制”已保障了原告的知情同意权,亦未构成侵犯个人信息权益。
本案中,法院在保障个人信息权益和企业履行个人信息处理告知义务所需的成本之间进行了平衡,一方面强调了企业应当按照法律要求履行告知义务,另一方面考虑到自动化决策技术的复杂性和说明成本,合理明确了告知义务的履行限度,避免对企业造成过高的义务负担。
二、个人信息处理者响应个人信息权利请求时应尽审慎核实义务
在南京市栖霞区人民法院审理的一起隐私权纠纷案件6中,经营者收到获取个人信息副本的请求后,未对请求者身份进行审慎核实,将个人信息副本发送给非消费者本人的其他个人,被法院判定构成侵犯个人隐私。
本案中,原告与其配偶正处于离婚纠纷,其配偶的离婚纠纷代理律师为收集证据,使用微信添加了原告与其他异性入住的酒店员工,自称为原告本人,并索要当时入住酒店的结账单。酒店员工在微信中询问并核对了对方提供的入住人姓名和入住时间后,向对方发送了原告入住酒店的结账单。原告认为,酒店在无任何调查令的情况下将其酒店入住信息提供给他人,严重侵犯其个人隐私,遂将酒店诉至法院。被告酒店认为,在对方已提供入住人姓名(尤其包括同住人姓名)的情况下,酒店作为善意相对人没有理由怀疑对方并非本人,更无理由要求对方到现场进一步核实身份信息,否则很可能会遭到客户投诉。
对此,法院认为,酒店仅基于入住人姓名及入住时间这两项信息就认为请求获取信息的个人为入住人本人,未通过其他方式与入住人本人进行核实,未尽到审慎核实义务,构成侵犯原告隐私权。但是,法院未对何为“充分履行审慎核实义务”作出进一步说明。不过,该案也起到一定提示作用,个人信息处理者在收到个人信息权利请求后,应注意核实请求者身份,尤其在发生可疑情况时,可以考虑通过多种方式进行身份验证,避免造成个人信息泄露。
三、已及时采取必要应对措施的网络平台无需对个人实施的侵犯隐私行为承担责任
在北京互联网法院审理的一起网络侵权责任纠纷案件7中,由于网络平台在发现用户实施的侵权行为后及时采取了必要的应对措施并留存了相应证据,网络平台未被要求承担侵权责任。
该案中,原告的收入证明被其家人发布在网络上引发大量关注,某招聘平台的用户(以下简称“截图者”)可能出于个人好奇心理,在招聘平台中浏览原告简历后,对原告简历进行截屏并将截图发送给案外第三人,截图包含原告的姓名、照片、现在职公司及岗位等个人信息。后原告发现其简历图片被发布至某社交平台,网络舆论进一步发酵升级。原告认为其隐私权遭到侵犯,将该名截图者及其所在公司、招聘平台共同作为被告诉至法院。由于招聘平台在发现侵权行为后及时对截图者的账号采取禁用措施8,与原告进行了及时的沟通,配合调查事件的公安机关出具了情况说明,后亦根据法院要求向法院提供了截图者的账号信息9,法院认为招聘平台已履行其法定义务,并无过错,故判定招聘平台无需承担任何侵权责任。
网络平台在发现平台内的个人信息侵权事件后依法及时采取相应措施并留存充分证据,可以有效避免因他人在平台内实施侵权行为而需承担相应责任。
四、个人信息的使用应严格限定在个人同意的范围内
处理个人信息基于取得同意这一合法性基础的,个人信息处理者应确保对个人信息的使用未超出个人同意的处理目的及处理方式。实践中,部分个人信息使用行为可能看似合理,但实际已超出个人同意范围,导致该使用行为因缺乏合法性基础而构成侵权。
在广州市中级人民法院审理的一起案件10中,被告房地产公司作为房屋贷款担保人,收集并留存了包含原告购房人的身份证信息、配偶子女情况等个人信息的文件。因被告与案外人中介公司就原告所购房屋发生业绩归属争议,为证明该业绩归属于被告,被告在原告不知情的情况下将含有前述原告个人信息的文件提供给中介公司。原告发现该情况后,以被告非法泄露其个人信息为由提起诉讼。被告认为其行为是为了维护自身权益,具有正当性,且符合行业商业习惯。
一审法院认为,被告为厘清其与中介公司的房屋业绩归属问题,依据被告与中介公司签订的合同将含有原告个人信息的文件提供给中介公司,该文件仅在有限的特定人群、空间及事项中使用,未进行广泛传播,属于合理使用个人信息,原告也无证据证明被告行为对原告造成损害结果,故判定被告未侵害原告个人信息权益。然而,二审法院广州市中级人民法院纠正了一审判决,认为原告提供案涉个人信息的目的是为了办理房屋贷款,而被告基于处理自己与案外人中介公司的商业纠纷这一目的,将含有原告个人信息的文件提供给中介公司,该行为已超出原告的同意范围,构成对原告个人信息权益的侵害。
五、经营者向消费者发送营销短信/拨打营销电话,应注意留存同意证据
在我们此次检索到的因营销短信/营销电话而引起的纠纷中,经营者均因无法提供证据证明在进行短信营销或电话营销前已事先取得消费者同意,而被法院判定构成侵权。
实践中,在应当如何就短信营销或电话营销向消费者征求同意这一点上,经营者采取“隐私政策/用户协议的说明+隐私政策/用户协议的勾选同意”这一方式即可,还是应当通过例如单独勾选框的方式向消费者取得单独同意,在市场实践层面尚无统一做法。比较遗憾的是,在此次我们所检索的相关案件中,法院未对同意的获取方式而作出相关论述。但是,无论企业目前正在采取何种同意获取方式,应注意在获取同意时留存好相应证据,以应对潜在诉讼。
结语
目前我国个人信息保护民事诉讼实践从案例数量上看尚有限,但通过现有案例可以发现,我国公民的个人信息保护意识已在逐步提升。公众对自身个人信息权益的关注和维护有力地推动了相关法律的落地和个人的维权。随着个人信息保护相关司法裁判的增加,数据保护领域法律法规的适用也会继续明晰、完善。
以上是我们对我国近期个人信息保护民事诉讼发展情况进行的一些总结和研究。我们将与各企业一同密切关注数据保护领域司法活动的新变化和新进展,并持续为客户提供及时有效的合规建议。
[1] 网页链接:https://www.pkulaw.com/。
[2] 检索时间为2024年12月5日。
[3] 案例无效原因主要包括:(1)判决书提及“个人信息”等检索关键词,但实际上原告未提出个人信息保护相关诉请;(2)原告诉请提及个人信息或隐私权相关问题,但法院未对该问题进行分析。
[4] 我们未在有效案例中发现企业内部员工因维护自身个人信息权益起诉其所在企业的情况。
[5] (2023)京0491民初1410号,审结日期为2024年2月1日。
[6] (2024)苏0113民初427号,审结日期为2024年4月8日。
[7] (2024)京0491民初741号,审结日期为2024年8月12日。
[8] 《民法典》1197条:网络服务提供者知道或者应当知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。
[9] 《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定(2020修正)》第3条第1款:原告起诉网络服务提供者,网络服务提供者以涉嫌侵权的信息系网络用户发布为由抗辩的,人民法院可以根据原告的请求及案件的具体情况,责令网络服务提供者向人民法院提供能够确定涉嫌侵权的网络用户的姓名(名称)、联系方式、网络地址等信息。
[10] (2023)粤01民终30936号,审结日期为2024年3月18日。
