在北京互联网法院公布的关于个人信息及数据处理的典型案例中,涵盖了个人信息保护、数据安全、隐私政策等多个方面,明确了个人信息保护法律依据的条款适用标准,强调了处理个人信息的内容范围应受“实现处理目的的最小范围”的限制,同时要求网络服务提供者采取必要措施保证用户能充分知情其内容。
下面我们一一通过这些典型案例解析、判决依据、法律条款和警示,个人和企业可以更好地理解和遵守个人信息保护的相关法规,确保个人信息的合法使用和安全。
个人信息保护的法律依据
个人信息保护在国内主要依据以下法律法规:
- 《中华人民共和国个人信息保护法》(PIPL):这是我国个人信息保护的基本法,明确了个人信息的定义、处理原则、权利义务、法律责任等内容。
- 《中华人民共和国网络安全法》:该法律规定了网络运营者收集和使用个人信息的基本要求,包括合法性、正当性和必要性原则。
- 《中华人民共和国民法典》:民法典中有关于个人隐私和个人信息保护的规定,强调了个人信息的私密性和不可侵犯性。
- 《消费者权益保护法》:该法律规定了消费者的个人信息受法律保护的权利,以及经营者在收集和使用消费者个人信息时应遵守的规则。
八大典型案例解析和警示
案例一:必要个人信息范围的认定
确定必要个人信息的范围时,需综合考虑多个因素。这包括相关的法规文件,以确保合规性;服务的性质,以明确信息使用的目的;以及处理的必要性,以评估信息收集的合理程度。这一综合考量的过程旨在保护个人隐私,同时满足服务提供的基本需求。简言之,只有在充分评估并确认其必要性后,才能收集和使用个人信息,以确保在合法、合规的基础上,实现个人信息安全与服务效率的平衡。
案例一:某流⾏语检索软件未经用户同意自动勾选隐私政策,超出了实现功能的最小范围收集个人信息,法院判决删除相关信息并赔偿。
判决依据:
法院认为被告未设置措施保证用户能够充分知情其隐私政策内容,在用户未实际阅读的情况下,自动勾选“已阅读并同意服务和隐私政策”,并未让用户主动自愿作出同意的选择,不符合“自愿”“明确”的要求。 适用法律法规条款:《个人信息保护法》第十五条、十六条。
法律条款:
《个人信息保护法》第十五条:基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
《个人信息保护法》第十六条:个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
案例警示:
个人:了解并关注个人信息处理的范围和目的,确保自己的同意是在充分知情的情况下作出的。
企业:在收集和处理个人信息时,必须明确告知用户信息的使用目的,并确保用户能够便捷地撤回同意。
案例二:线下商店线上小程序获取线下交易信息
线下商店的线上小程序,在未征得消费者同意的情况下,不得擅自获取消费者的线下交易信息。这一规定旨在保护消费者的隐私权,防止个人信息被滥用。商家应尊重消费者的意愿,只在获得明确授权后才能收集和使用相关信息。此举有助于建立消费者与商家之间的信任关系,促进商业活动的健康发展。同时,消费者也应提高自我保护意识,谨慎授权,确保个人信息安全。
案例二:线下商店未经消费者同意将交易信息共享至线上小程序,法院判决被告赔礼道歉。
判决依据:
法院认为被告运营的微信小程序在《用户服务协议》《隐私政策》中均未明示涉案小程序将获取消费者的线下交易订单信息,且线下交易时亦未向消费者告知并取得同意。 适用法律法规条款:《个人信息保护法》第十三条。
法律条款:
《个人信息保护法》第十三条:个人信息处理者取得个人的同意,或为订立、履行个人作为一方当事人的合同所必须,方可处理个人信息。
案例警示:
个人:在进行线下交易时,注意保护自己的个人信息,避免在不必要的情况下泄露。
企业:在共享个人信息时,必须事先取得用户的明确同意,并确保信息共享的合法性和必要性。
案例三:去标识化处理后的个人信息访问记录
企业对经过去标识化处理的个人信息访问记录受法律保护。去标识化处理旨在保护个人隐私,确保数据安全。这些访问记录虽已去除个人身份信息,但仍关联特定个人,因此需法律保障。此举维护了个人隐私权和数据安全,防止未经授权的访问和滥用。同时,它鼓励企业在遵守法律的前提下,合理利用这些数据,推动业务发展,实现数据价值最大化与隐私保护之间的平衡,促进数字经济的健康发展。
案例三:企业对经过去标识化处理后的个人信息进行访问形成的记录不受个人信息保护法保护,法院驳回原告查阅请求。
判决依据:
法院认为被告内部对个人信息的访问记录不符合《民法典》和《个人信息保护法》对个人信息的定义,访问记录并不构成个人信息。 适用法律法规条款:《民法典》、《个人信息保护法》。
法律条款:
《个人信息保护法》第四条:本法所称个人信息,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
案例警示:
个人:了解个人信息去标识化处理后的法律地位,合理行使自己的权利。
企业:在处理去标识化信息时,确保符合法律法规的要求,保护企业的合法权益。
案例四:信息处理者未尽到个人信息安全保障义务
信息处理者在保护个人信息方面若未能履行其应有的安全保障义务,导致他人个人信息权益受损,将需要与实施侵权行为的用户共同承担连带责任。这一规定强调了信息处理者在个人信息保护中的重要角色和责任。若其疏忽或不当行为致使个人信息泄露或被滥用,受害者有权要求信息处理者与侵权者共同承担责任,以保障个人信息权益不受侵害,并强化了信息处理者的责任意识。
案例四:某社交购物平台未尽到个人信息安全保障义务,导致他人信息被侵害,法院判决平台与侵权用户承担连带责任。
判决依据:
法院认为被告北京某科技有限公司作为信息处理者,应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全;当发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施。 适用法律法规条款:《个人信息保护法》第九条。
法律条款:
《个人信息保护法》第九条:个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
案例警示:
个人:在使用网络服务时,注意保护自己的个人信息,及时发现并报告任何可能的安全隐患。
企业:必须采取有效的技术和管理措施,确保个人信息的安全,防止信息泄露、篡改和丢失。
案例五:免费电子邮箱“清空邮箱”条款
免费电子邮箱服务在设定“清空邮箱”条款时,必须以显著且合理的方式提醒用户注意。这一措施至关重要,旨在确保用户在邮箱被清空前充分知情,并有机会备份或处理其中的重要信息。此举不仅保护了用户的权益,也体现了服务提供商对用户责任的承担。通过明确提示,可避免因误解或忽视条款而引发的不必要纠纷,从而建立更加和谐、透明的服务关系。
案例五:免费邮箱服务提供者未合理提示“清空邮箱”条款,法院确认该条款对原告不发生法律效力。
判决依据:
法院认为涉案服务协议中的“清空邮箱”条款,属于与原告有重大利害关系的格式条款,二被告作为提供格式条款的一方,未采取合理的方式提示原告注意。 适用法律法规条款:《民法典》第四百九十六条。
法律条款:
《民法典》第四百九十六条:格式条款是当事人为了重复使用而预先拟定,并在订立合同时未与对方协商的条款。采用格式条款订立合同的,提供格式条款的一方应当遵循公平原则确定当事人之间的权利和义务,并采取合理的方式提示对方注意免除或者减轻其责任等与对方有重大利害关系的条款。
案例警示:
个人:在使用免费服务时,注意阅读并理解服务条款,特别是那些可能对自己权益产生重大影响的条款。
企业:在制定格式条款时,必须公平合理,并采取适当方式提示用户注意重要条款。
案例六:AI换脸处理
未经授权擅自使用AI换脸技术处理包含他人肖像的视频,是对他人个人信息权益的侵犯行为。这种行为严重侵犯了他人的隐私和肖像权,可能导致被换脸者的社会评价降低、人格尊严受损。因此,我们必须尊重他人的个人信息权益,未经许可不得擅自使用他人的肖像进行AI换脸处理。同时,相关部门也应对此加强监管,对违法行为进行严厉打击,以维护社会公正和公民权益。
案例六:未经授权对包含他人肖像的视频进行AI换脸处理,构成对个人信息权益的侵害,法院判决被告赔礼道歉并赔偿。
判决依据:
法院认为被告使用原告出镜的视频制作视频模板,但并未利用原告的肖像,而是通过技术手段将原告面部特征替换,去除了肖像的识别性具有识别性的核心部分,所保留的妆容、发型等要素并非与特定自然人不可分割,不具有肖像意义上的可识别性,将视频模板提供给用户使用的行为并未丑化、污损、侵害,故不构成对原告肖像权的侵害。 适用法律法规条款:《民法典》第一千零一十九条。
法律条款:
《民法典》第一千零一十九条:任何组织或者个人不得以丑化、污损,或者利用信息技术手段伪造等方式侵害他人的肖像权。未经肖像权人同意,不得制作、使用、公开肖像权人的肖像,但是法律另有规定的除外。
案例警示:
个人:在使用AI换脸等技术时,注意保护自己的肖像权和个人信息,避免未经授权的使用。
企业:在使用和处理个人信息时,必须获得用户的明确同意,避免侵犯用户的个人信息权益。
案例七:个人明确拒绝他人处理已公开个人信息
当个人明确拒绝他人处理其已公开的个人信息时,个人信息处理者必须立即停止相关处理活动。这一规定旨在保护个人隐私权,防止未经授权的个人信息处理行为。个人信息的公开并不意味着处理者可以随意使用或分享这些信息,特别是在个人明确表示反对的情况下。因此,处理者有责任尊重个人的意愿,并确保在处理个人信息时遵守相关法律法规和道德准则。
案例七:个人明确拒绝他人处理已公开个人信息,信息处理者不得继续处理,法院判决被告删除信息并赔偿。
判决依据:
法院认为涉案文章中录用名单截图包含有原告的姓名、院校、专业与学历,属于原告的个人信息。《个人信息保护法》第二十七条规定,个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。 适用法律法规条款:《个人信息保护法》第二十七条。
法律条款:
《个人信息保护法》第二十七条:个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。
案例警示:
个人:在公开个人信息时,了解自己的权利,明确拒绝不合理的处理请求。
企业:在处理已公开的个人信息时,尊重个人的拒绝权,避免继续处理可能侵犯个人权益的信息。
案例八:社交平台账号管理
个人必须重视对已注册社交平台账号及其注册信息的保护。这些账号和信息不仅是我们日常交流的重要工具,还可能包含我们的个人信息和隐私。一旦泄露,可能会给我们的生活带来极大的不便和风险。因此,我们每个人都有责任采取适当的措施来确保它们的安全。这包括但不限于设置强密码、定期更换密码、不随意透露账号信息等。只有这样,我们才能更好地享受社交平台带来的便利,同时保护自己的权益不受侵害。
案例八:个人应妥善保管已注册的社交平台账号及注册信息,法院驳回要求赔偿损失的诉讼请求。
判决依据:
法院认为原告作为涉案社交平台账号的初始申请注册人,虽然对账号注册及使用中形成的个人信息享有权益,但自身应该妥善保管其账号及注册信息,在明确不再使用涉案社交平台账号后应及时注销,避免个人信息的泄露。 适用法律法规条款:《民法典》第一千一百六十五条。
法律条款:
《民法典》第一千一百六十五条:行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。
案例警示:
个人:妥善保管自己的社交平台账号和注册信息,及时注销或解绑不再使用的账号。
企业:在审核和管理用户账号时,采取必要措施保护用户的个人信息安全,防止账号被不当使用。
案例涉及的数据安全措施
在典型案例中涉及的这些措施共同构成了一个较为全面的数据安全和个人信息保护框架,旨在个人隐私和数据保护的同时,促进数据的合理利用,包括:
- 最小化收集原则:收集个人信息应限于实现处理目的所必需的最小范围,避免过度收集。
- 用户同意:在收集和处理个人信息之前,应获得用户的明确同意,并且应提供充分的信息以便用户做出明智的决定。
- 隐私政策透明度:网络服务提供者应制定清晰的隐私政策,明确告知用户个人信息的收集、使用、存储、共享和保护方式。
- 安全保障义务:网络服务提供者应采取适当的技术和管理措施,保护个人信息免受未经授权的访问、泄露、篡改或破坏。
- 用户控制权:用户应有权访问、更正、删除其个人信息,以及撤回同意。
- 数据去标识化处理:对于不再需要识别的个人信息,应进行去标识化处理,以降低个人信息被重新识别或滥用的风险。
- 责任追究:对于违反个人信息保护法律法规的行为,应依法追究责任,包括但不限于删除个人信息、赔偿损失、公开道歉等。
- 账号管理:个人应妥善保管自己的社交平台账号及注册信息,以防止未经授权的访问和使用。
来源:北京互联网法院,本篇针对全文由生成式 AI 做出的核心摘要和解答,仅作为参考,请以原文为准。
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
欢迎领取数字人才中国方案,一起产研内训、知识平台共建!请在我们的微信公众号“idtzed”对话框内,发送“入”添加老邪企业微信获取。
欢迎先注册,登录后即可下载检索个人信息等相关标准、白皮书及报告。更多高质量纯净资料下载,进入公众号菜单“治库”。
