《個人信息保護法》實施兩周年——相關案例分析總結

前言

2021年11月1日，《中華人民共和國個人信息保護法》（以下簡稱《個保法》）生效實施，這是我國首部與個人信息保護相關的法律，《個保法》從法律層面規定了個人信息的定義、個人信息處理者的義務等，在全社會形成了個人信息保護氛圍，並對全民隱私保護意識的提升起到了重要影響，這充分說明了這部法律的普適性和重要性。值此《個保法》實施兩周年之際，本文擬總結近年的司法案例，通過分析個人信息保護糾紛中常見的爭議焦點，按照類型化分析的方式，梳理個人信息相關的概念，並總結個人信息處理者的合規義務。

根據在威科先行數據庫檢索的案例來看，在隱私與個人信息保護糾紛中經常出現的爭議焦點有：（1）案件所涉信息是否屬於個人信息，其中有部分案件會探討隱私與個人信息二者的區別與聯系；（2）個人信息處理者的行為是否合規；（3）個人信息處理者的行為是否構成對個人信息的侵犯。下文會結合具體案例，針對前述三個最常出現的爭議點做簡要分析。

一、所涉信息是否屬於個人信息

首先，《中華人民共和國民法典》（以下簡稱《民法典》）第1034條明確指出了個人信息的定義，即是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。《個保法》第4條對個人信息界定為以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理後的信息。誠然，《民法典》和《個保法》對個人信息定義的表述不同，但兩部法律均提到了“識別”，因此可以看出，個人信息的關鍵因素是“可識別性”，即通過個人信息，能夠直接或間接識別特定的自然人，其中包括兩個層面，一是對個體身份的識別，即“是誰”；二是對個體特征的識別，即“是什麼樣的人”，能體現個人痕跡或社會痕跡，可以勾勒出社會形象。

如果相關信息單獨不能識別出特定自然人，但是與其他信息結合就可以識別，那麼也屬於個人信息。例如在廣州唯品會電子商務有限公司、周彦聰個人信息保護糾紛中，周彦聰要求唯品會公司披露的信息，其中個人資料中的姓名、電話號碼、訂單信息一般情況可以直接識別到特定自然人的身份和財產狀況；其他如設備信息、位置信息、浏覽記錄等信息，雖然僅憑借該信息無法識別出特定的自然人，但與其他信息進行結合就可以識別出特定的自然人。因此，周彦聰訴請唯品會公司披露的以上信息屬於個人信息的範圍。

在司法實踐中，2021年1月1日實施的最高人民法院修改後的《民事案件案由規定》中，增加“個人信息保護糾紛”，與已有的“隱私權糾紛”並列。作為同屬於人格權糾紛的案由，隱私與個人信息之間有著千絲萬縷的聯系，也經常看到判決書中會對這兩個概念進行區分。

《民法典》第1032條對隱私進行了較為明確的定義，即自然人的私人生活安寧和不願為他人知曉的私密空間、私密活動、私密信息。所以隱私同時具有“私人生活安寧”和“不願為他人知曉的私密性”兩個基本特征。其中，“私人生活安寧”主要考量個人所享有與公共利益無關的發展個性所必要的安寧和清靜是否被非法侵擾，自然人有權排斥他人對其正常生活的騷擾；“不願為他人知曉的私密性”是指私人不願公開、不願為他人知曉的信息，即客觀上一般呈現為不為公眾所知悉的樣態，在主觀上權利人也具有不願為他人知曉的意圖。判斷是否屬於法律意義上的隱私，既強調當事人不願公開的主觀意願，也應當符合社會對私密性的一般合理認知。即隱私權要解決的核心問題是私密性與公開性的關系，而個人信息權益要解決的核心問題是個人信息的保護與社會利用問題。

在司法實踐中，鑒於目前隱私權與個人信息保護糾紛屬於人格權糾紛下的共同案由，因此導致某些法院在裁判過程中並沒有深究所涉信息到底是屬於個人信息還是隱私。例如在郭長城、深圳市思韻時代文化傳播有限公司等個人信息保護糾紛中，法院認為自然人的個人信息受法律保護，除法律另有規定或者權利人明確同意外，任何組織或者個人不得以電話、短信、即時通信工具等方式侵擾他人的私人生活安寧。而在本案中，被告思韻公司未經原告同意向其手機推送商業短信3條，已侵犯其個人信息。二審法院對此持相同觀點。

二、個人信息處理者是否合規

個人信息的處理方式包括收集、存儲、使用、加工、傳輸、提供、公開等，在對個人信息進行處理前，需要征得權利人的同意，由於個人信息處理者需處理的信息較為龐雜，因此常見的短信驗證碼或者APP彈窗告知的方式在司法實踐中是被法院所接受的。

在北京微播視界科技有限公司、許某某網絡侵權責任糾紛中，原告使用手機號碼登錄後抖音APP後，主頁視頻上方顯示原告所在城市“成都”， 隨後才彈出彈窗詢問“允許訪問你的位置？”。對此法院認為，因手機號碼具有可識別性，在收集了手機號碼的情況下，被告收集的位置信息與手機號碼信息組合，能夠識別到特定人，屬於個人信息。同時，抖音APP的隱私條款中顯示，在通過IP地址、GPS等技術收集用戶地理信息前，會請求用戶授權地理位置權限，即通過IP地址獲得地理位置亦應征得用戶同意。因此被告在未征得原告同意的情況下收集原告的地理位置信息，構成對原告該項個人信息的侵害。

根據《個保法》的規定，在獲得權利人的同意之後，個人信息處理者應當遵循公開、透明原則，公開個人信息處理規則，明示處理的目的、方式和範圍。同時，個人信息處理者還應遵守誠信原則，與其披露的使用目的、方式、範圍保持一致。

在徐紅婷、蘇州平泰置業有限公司個人信息保護糾紛中，被告蘇州平泰置業有限公司在其售樓處安裝了人臉識別系統，用於人臉采集，並在售樓處入口處以宣傳展板形式公示現場使用人臉識別系統，其中人臉識別使用目的公示為“視頻安全內部遠程巡查”、人臉信息存儲時間公示為“三個月”。但實際上，該人臉識別系統除了被用作內部巡查外，還被用來識別判客，且存儲時間超過三個月，因此法院認為被告的行為有違誠信原則，且人臉信息屬於需要單獨征得權利人同意的個人敏感信息，被告以消費者進入售樓處即推定其同意被人臉識別及采集信息，系以默認方式推定權利讓渡，此舉亦有悖自願原則。據此法院認定被告未就人臉識別系統采集信息的真實使用目的向原告充分告知，未明確征求原告徐紅婷同意對其進行人臉識別及信息采集，且存在超期、不當使用行為，構成侵權。

除了應按照《個保法》的規定，對個人信息進行正常的收集、處理之外，個人信息主體對涉及自身個人信息的查閱、複制、撤回和刪除的權利同樣需要被保護。

針對個人信息主體的查閱、複制權利，《個保法》第50條的規定：“個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的，應當說明理由。個人信息處理者拒絕個人行使權利的請求的，個人可以依法向人民法院提起訴訟。”查閱複制權是權利人在個人信息處理活動中的權利，但是，法律並未明確規定該權利行使的前提條件，對此，法院一般認為，個人只需要能夠證明自己屬於個人信息主體即可以行使查閱複制權。

針對個人信息主體的撤回、刪除權利，《個保法》第47條第一款規定：“有下列情形之一的，個人信息處理者應當主動刪除個人信息；個人信息處理者未刪除的，個人有權請求刪除：（一）處理目的已實現、無法實現或者為實現處理目的不再必要；（二）個人信息處理者停止提供產品或者服務，或者保存期限已屆滿；（三）個人撤回同意；（四）個人信息處理者違反法律、行政法規或者違反約定處理個人信息；（五）法律、行政法規規定的其他情形。”在廣州唯品會電子商務有限公司、周彦聰個人信息保護糾紛中，原告周彦聰認為唯品會公司作為個人信息處理者，超範圍收集並處理其相關個人信息，要求唯品會公司披露並刪除，法院認可了周彦聰要求唯品會公司披露所收集周彦聰個人信息的主張，但認為並無證據表明唯品會公司存在《個保法》中應當主動刪除個人信息的情形，周彦聰述稱其有理由懷疑唯品會公司收集“非必要個人信息”用於商業營銷之用，並無證據予以證實。

三、個人信息處理者的行為是否構成對權利人的傷害

隱私和個人信息糾紛作為侵權之訴，同樣應滿足侵權責任的構成要件，即一方當事人主張另一方當事人承擔侵權責任，應就另一方當事人存在違法行為、損害後果、違法行為與損害後果之間具有因果關系及主觀過錯四個構成要件承擔舉證責任。

就損害後果而言，在司法實踐中一般需要權利人來證明其因個人信息處理者的行為導致權利人受到損害，法院會結合損害的程度裁判是否應當由個人信息處理者承擔損害賠償責任。例如在許林琳、中國銀行股份有限公司遼寧省分行等個人信息保護糾紛中，二審法院認為盡管被上訴人某某鞍山分公司在未經許某某準許的情況下，擅自獲取許某某的個人信息，多次撥打許某某電話，但原告許某某未舉證證明某某鞍山分公司通過非法途徑獲取其電話號碼後造成許某某人身或精神受到嚴重損害。根據許某某在一審中提供的通話錄音內容可知某某鞍山分公司並無侵害許某某個人信息權益的故意，其向上訴人撥打電話的目的系提示上訴人母親林某及時清償信用卡貸款。某某鞍山分公司並未造成嚴重後果，亦無侵害許某某個人信息權益的故意，上訴人許某某要求各被上訴人賠償精神損害撫慰金或公開致歉無事實和法律依據，本院不予支持。原審認定被上訴人對許某某不承擔侵權責任並無不當，本院予以維持。

但需要注意的是，個人信息如果未在不特定範圍人群內傳播，則不構成對相關權利人的侵犯。例如在崔金禄與北京市西城區天橋街道香廠路社區居民委員會個人信息保護糾紛中，原告崔金禄認為，香廠路居委會向其妹妹崔金華提供其殘疾證號並出具《殘疾證明》的行為，侵犯了崔金禄的個人信息。對此法院認為，崔金禄為精神殘疾人，其母李淑君亦為精神殘疾人，在法院未予指定崔金禄法定監護人的情況下，其兄弟姐妹均對其有照顧的責任，香廠路居委會應崔金禄妹妹崔金華之申請為其出具《殘疾證明》的行為亦是為了更好的保護崔金禄的合法權利和自身利益，以方便崔金禄就醫和日常生活。根據《民法典》相關規定，為維護公共利益或者該自然人合法權益而合理實施的行為從而處理個人信息的，行為人不承擔民事責任，香廠路居委會出具《殘疾證明》的行為本身並不具有侵權責任法意義上的過錯，亦未違反法律的相關規定，且該《殘疾證明》向特定人即崔金禄的妹妹出具，在特定人群、限定空間、限定事項內合理使用亦不會侵害崔金禄的合法權益。

總結

在過去的兩年，《個保法》從誕生到落地施行，個人信息、數據合規、信息安全等詞在現實生活中頻頻出現，成為人們關注的熱點與焦點，並在全社會範圍內掀起了個人信息保護的熱潮，以《個保法》為基礎和原則，各類辦法、規定、國家標準、行業細則也配套出臺，我國個人信息保護制度體系正在逐步完善。在現實環境中，企業往往會在複雜的業務場景中以不同方式處理個人信息，因此更應按照《個保法》及相關規定的要求，審慎判斷個人信息處理的合規性，並將個人信息保護有機地融入企業管理流程中，做到有的放矢，在追求經濟效益的同時，背負好企業應承擔的社會責任。