广东高院发布个人信息保护七大典型案例

通过依法治理互联网平台违规收集处理信息、算法运行错误侵权、未经同意发送商业短信、非法采集人脸图像等侵害个人信息权益的行为,保护个人隐私和信息安全。

640-10
出处:广东省高级人民法院

《中华人民共和国个人信息保护法》施行两周年之际,广东省高级人民法院发布一批个人信息保护典型案例。这些案例通过依法治理互联网平台违规收集处理信息、算法运行错误侵权、未经同意发送商业短信、非法采集人脸图像等侵害个人信息权益的行为,保护个人隐私和信息安全,规范商业推广行为,彰显了广东法院充分发挥审判职能作用,强化个人信息权益保护,维护良好网络空间生态,促进互联网行业和数字经济健康发展的司法实践。

01

互联网平台收集和处理个人信息的标准认定
——王某与某计算机公司个人信息保护纠纷案

裁判要点

互联网平台收集、使用用户个人信息,应当遵循合法、正当、必要的原则,向用户明示收集、使用信息的规则,并经用户同意,使用范围限于必要范围。

基本案情

王某2019年4月首次登录某APP时,授权其获取微信好友关系。而后卸载重新下载安装时,王某拒绝了APP关于公开地区、性别和微信好友等信息的要求,未再授权APP使用其微信好友关系,但该APP仍然显示其微信好友浏览信息。王某认为某计算机公司运营的该APP未经授权使用其微信好友信息,侵害其隐私及个人信息,遂诉至法院,要求某计算机公司立即停止侵权,并赔偿损失及合理支出等。

裁判结果

深圳市中级人民法院生效判决认为,该APP收集、使用王某“地区、性别”信息,同时又允许用户随意更改和填写该信息,其收集处理该信息不符合必要性原则。在王某重新下载安装且未予授权的情况下,继续使用其微信好友关系不符合正当性要求。考虑到本案审结前,该APP已删除王某个人信息,依据《中华人民共和国民法典》第一千零三十四条、第一千零三十五条以及《中华人民共和国个人信息保护法》第五条、第十五条等规定,判令某计算机公司支付王某合理支出1万元。

典型意义

互联网行业在合法、正当、必要的原则下,合理获取使用个人信息,可以促进互联网行业和数字经济的发展,但应以不损害个人利益为前提。本案就互联网平台收集、处理个人信息应遵循的原则提出了具体评判标准,规范互联网平台对用户数据的收集和使用行为,对厘清权利边界,促进平台经济发展,具有较好的示范意义。

02

算法运行错误导致个人信息不实的责任主体认定
——梁某等与某科技公司网络侵权责任纠纷案

裁判要点

互联网平台可以利用算法技术在合理范围内处理已经合法公开的个人信息,但应保证个人信息准确。因算法运行错误导致个人信息不准确、不完整的,个人有权要求互联网平台承担相应侵权责任。

基本案情

2021年3月,某实业公司法定代表人梁某在某科技公司信用信息查询平台查询时,发现梁某的《投资任职及风险报告》错误显示其在多家失信企业担任法定代表人等职务,且某实业公司的《信用报告》也被错误关联了上述信息。某科技公司辩称系由于其平台算法对与梁某同名同姓但不同身份证号的另一主体识别错误等原因造成。梁某、某实业公司诉至法院,要求某科技公司赔礼道歉,并赔偿损失及维权费用等。

裁判结果

广州市中级人民法院生效判决认为,某科技公司对算法技术加以利用的同时,应当对其产生的危险后果承担责任。涉案信用报告因同名同姓主体的身份识别问题而出现错误,是开展征信业务应解决的基础问题。不论某科技公司是明知相关技术不能避免此类错误而不予解决,抑或是因疏忽大意未注意到该类错误问题,均属于对涉案错误信息关联未尽到合理注意义务。依据《中华人民共和国民法典》第一千零三十七条等规定,判令某科技公司作出致歉声明,赔偿梁某等经济损失6万元以及必要支出费用3.1万元。

典型意义

算法作为大数据时代的重要技术工具,在带来数据效率最大化的同时,也因算法模型漏洞、算法运行错误等引发侵害个人信息及其他人格权纠纷。本案明晰了大数据产业主体利用算法技术处理个人信息数据的权利边界,维护了个人对其信息准确性、完整性享有的合法权益,彰显了司法对个人信息保护的力度和温度。

03

未经同意发送商业短信侵害个人信息权益
——王某与某信息公司网络侵权责任纠纷案

裁判要点

信息公司未经自然人同意向其手机发送商业短信,涉及对个人信息的不当收集、使用等行为,侵害了个人信息权益,应承担责任。

基本案情

2021年4月,王某的手机收到一条由某信息公司所使用的号码10692735***发送的短信,内容为“您的话费余额即将不足?送您立减6元话费充值券,限时1天领取……回复BK退订。”王某按短信提示回复“BK”退订,产生资费0.1元。王某认为某信息公司未经同意向其发送营销类短信广告,侵害其隐私权及个人信息权益,遂诉至法院,要求某信息公司赔礼道歉、赔偿退订短信资讯费等。

裁判结果

广州互联网法院生效判决认为,涉案短信由某信息公司掌握的号码端口发出,在无其他相反证据的情况下,应认定其系该信息内容的提供者。涉案手机号码属于王某的个人信息,在王某未曾提供该手机号码的情况下,无论某信息公司从何种渠道获取该手机号码,均存在收集王某个人信息的行为。向王某手机号码发送商业广告,属于个人信息使用行为。综上,某信息公司未取得王某同意即处理其个人信息,构成对王某个人信息权益的侵害。依据《中华人民共和国民法典》第一千零三十五条等规定,判决某信息公司向王某赔礼道歉,并赔偿退订短信资讯费0.1元。

典型意义

本案是依法规制商业短信侵害个人信息权益的典型案例。本案以最大化保护自然人个人信息为宗旨,认定在无相反证据的情况下,号码的登记使用者为个人信息处理者,合理推定短信发送行为涉及个人信息处理行为,在未征得信息主体同意情况下构成个人信息侵权,为规范商业推广行为,保护个人信息权益提供有益借鉴。

04

个人信息认定标准“可识别性”的适用
——田某与某物业公司隐私权、个人信息保护纠纷案

裁判要点

个人信息保护应准确把握“可识别性”的认定标准,对于已脱敏处理、无法识别到具体个人的信息,在使用中不构成对个人信息的泄露。

基本案情

2021年7月,法院判决田某向某物业公司支付物业管理费及违约金。为督促其他欠费业主尽快缴纳物业费,某物业公司将涉案判决书复印件中的田某姓名、身份证号码、详细地址等个人信息隐蔽后,在小区门口、公告栏张贴公示。田某认为某物业公司未将判决书中其民族、委托诉讼代理人信息进行隐蔽处理就公开,侵犯其个人信息及隐私权,遂诉至法院,要求某物业公司赔礼道歉并赔偿精神损失费。

裁判结果

江门市蓬江区人民法院生效判决认为,某物业公司在张贴涉案民事判决书时,已经对案号、业主姓名、身份证号码、出生年月以及住址采取涂画的隐蔽措施,仅凭业主的民族、委托诉讼代理人信息要素无法识别为某一特定自然人,不构成个人信息泄露及侵犯隐私权。依据《中华人民共和国民法典》第一千零三十四条等规定,判决驳回田某的诉讼请求。

典型意义

个人信息的认定标准为具有“可识别性”,对于单独或者结合其他信息可识别特定自然人的信息,均纳入个人信息的范畴。本案准确把握“可识别性”的认定标准,依法认定物业公司已对可识别的个人信息进行脱敏处理,不构成个人信息泄露以及对隐私权的侵犯,防止个人信息保护的权利被滥用,切实保障个人信息安全。

05

未经同意采集人脸图像作为证据的效力认定
——某科技公司与某房地产公司商品房委托代理销售合同纠纷案

裁判要点

房地产公司在未征得客户同意前提下,出于经营目的,在售楼现场设置人脸图像采集设备,长时间收集、储存客户人脸信息,侵犯了个人信息权益。通过该方式收集的证据为非法证据,不得作为认定案件事实的根据。

基本案情

2021年11月,某房地产公司委托某科技公司销售其开发的楼盘。后某科技公司推荐聂某成功购买一套房屋,但某房地产公司拒付佣金。某科技公司诉至法院,要求某房地产公司支付佣金及利息。某房地产公司则以聂某此前到过楼盘,不属于有效客户,不需要支付佣金为由进行抗辩,并提供了其在售楼处安装的人脸识别系统所抓拍的该客户的人脸识别信息作为证据。

裁判结果

佛山市禅城区人民法院一审认为,某房地产公司未经有关机关许可、也未经客户同意,为其经营目的,擅自设置人脸图像采集、个人身份识别设备,长时间收集、储存客户人脸信息,严重侵犯他人合法权益、违反法律禁止性规定,其以该方式所收集的证据属于非法证据,不得作为认定案件事实的根据,应不予采信。依据《中华人民共和国民法典》第一百一十条、第九百六十三条以及《中华人民共和国个人信息保护法》第二十六条等规定,判决某房地产公司支付佣金4万元及利息。佛山市中级人民法院二审调解结案。

典型意义

人脸信息是敏感个人信息,对当事人的人格尊严、财产安全影响很大,其收集、存储、使用等处理行为有着严格的法律规定。当前一些市场主体出于经营目的,违法采集公民人脸图像信息,侵害个人信息权益。本案依法否定违法采集公民个人图像信息作为民事证据的效力,切实维护个人信息权益,保护人民群众“脸面”安全。

06

大规模个人信息侵权中不特定损害的判定
——广州市越秀区人民检察院与郑某等个人信息保护公益诉讼案

裁判要点

侵害社会公众不特定个人信息,造成损害的,应参照侵权人收益进行赔偿。

基本案情

2020年9月始,郑某向任某等三人出售大量公民身份证号码、照片等信息,用于制作虚假人脸动态识别视频,解封微信账号、验证工商类等政务APP的实名认证,从中非法获利。同时,郑某等四人利用“蝙蝠”软件“阅后即焚”功能删除大量信息和交易记录,导致受害人数量、身份、信息去向、用途均无法核实。广州市越秀区人民检察院认为郑某等的行为已侵害社会公共利益,遂提起民事公益诉讼,要求郑某等立即停止侵权、支付公益损害赔偿金等。

裁判结果

广州互联网法院生效判决认为,郑某等所处理的人脸信息属于敏感个人信息中的生物识别信息,蕴含人格权益及财产利益,其在未取得授权同意的情况下,对不特定社会公众的人脸信息进行非法收集、买卖、使用,侵害了不特定公众的信息自决权,损害了社会公共利益。综合考虑人脸信息的敏感性、侵权行为波及的领域、影响的程度等因素,酌情参照其违法所得计算公共利益损失。依据《中华人民共和国民法典》第一百一十一条、一千一百八十二条等规定,判决郑某等立即停止侵权,支付公益损害赔偿金10.3万元,通过与个人信息保护相关的警示教育、公益宣传、志愿服务等方式进行行为补偿。

典型意义

本案系全国首例涉人脸信息保护民事公益诉讼案件。人脸信息属于敏感个人信息,一旦泄露或者非法使用,将会对个人的人身财产权益造成严重侵害。本案确立了大规模个人信息侵权中造成损害的认定标准,创新提出“恢复性司法+社会化综合治理”路径,对教育震慑非法处理个人信息行为、推动构建科技向善治理模式具有积极意义。

07

危害公共利益的个人信息侵权行为的司法认定
——东莞市人民检察院与赵某侵犯公民个人信息民事公益诉讼案

裁判要点

公民个人信息兼具财产属性及公益属性,个人信息处理者违反法律规定处理个人信息,侵害众多群众权益,社会危害性较大,应认定构成对公共信息安全领域的社会公共利益的侵害。

基本案情

2018年9月,赵某向中国移动公司承包了手机SIM卡开户业务,后通过与他人合作、购买的形式,快速获得公民个人信息,再将非法获取的实名认证手机SIM卡1000多张出售给他人。2019年10月,公安机关将赵某抓获归案,法院生效判决认定赵某构成侵犯公民个人信息罪。东莞市人民检察院提起民事公益诉讼,要求赵某公开赔礼道歉并支付侵犯公民个人信息损害赔偿金。

裁判结果

东莞市中级人民法院生效判决认为,赵某未经公民个人同意,非法收集不特定个人身份信息用于制作手机卡并部分出售给他人,以及购买载有个人信息的手机卡转售,出售手机卡1000多张,导致众多不特定公民个人信息被泄露。且赵某出售的上述手机卡被购买者用于进行电信诈骗等违法犯罪活动,严重危害不特定公民的财产安全,损害公共信息安全领域的社会公共利益。依据《中华人民共和国民法典》第一百一十一条以及《中华人民共和国个人信息保护法》第十条等规定,判决赵某向社会公众公开赔礼道歉,支付侵犯公民个人信息及公共利益损害赔偿款3万元。

典型意义

当今社会信息技术高度发达,个人信息流通便捷,经营者可以高效利用各种信息为特定消费者提供个性化服务,但同时也存在个人信息被不法商家泄露用于违法犯罪活动的风险。本案依法认定经营者非法获取众多消费者个人信息且为违法犯罪活动提供帮助,判令承担损害赔偿责任,彰显了法律对人格尊严和人格自由的尊重,构筑起个人信息保护的“防火墙”。