《个人信息保护法》实施两周年——相关案例分析总结

前言

2021年11月1日，《中华人民共和国个人信息保护法》（以下简称《个保法》）生效实施，这是我国首部与个人信息保护相关的法律，《个保法》从法律层面规定了个人信息的定义、个人信息处理者的义务等，在全社会形成了个人信息保护氛围，并对全民隐私保护意识的提升起到了重要影响，这充分说明了这部法律的普适性和重要性。值此《个保法》实施两周年之际，本文拟总结近年的司法案例，通过分析个人信息保护纠纷中常见的争议焦点，按照类型化分析的方式，梳理个人信息相关的概念，并总结个人信息处理者的合规义务。

根据在威科先行数据库检索的案例来看，在隐私与个人信息保护纠纷中经常出现的争议焦点有：（1）案件所涉信息是否属于个人信息，其中有部分案件会探讨隐私与个人信息二者的区别与联系；（2）个人信息处理者的行为是否合规；（3）个人信息处理者的行为是否构成对个人信息的侵犯。下文会结合具体案例，针对前述三个最常出现的争议点做简要分析。

一、所涉信息是否属于个人信息

首先，《中华人民共和国民法典》（以下简称《民法典》）第1034条明确指出了个人信息的定义，即是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《个保法》第4条对个人信息界定为以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。诚然，《民法典》和《个保法》对个人信息定义的表述不同，但两部法律均提到了“识别”，因此可以看出，个人信息的关键因素是“可识别性”，即通过个人信息，能够直接或间接识别特定的自然人，其中包括两个层面，一是对个体身份的识别，即“是谁”；二是对个体特征的识别，即“是什么样的人”，能体现个人痕迹或社会痕迹，可以勾勒出社会形象。

如果相关信息单独不能识别出特定自然人，但是与其他信息结合就可以识别，那么也属于个人信息。例如在广州唯品会电子商务有限公司、周彦聪个人信息保护纠纷中，周彦聪要求唯品会公司披露的信息，其中个人资料中的姓名、电话号码、订单信息一般情况可以直接识别到特定自然人的身份和财产状况；其他如设备信息、位置信息、浏览记录等信息，虽然仅凭借该信息无法识别出特定的自然人，但与其他信息进行结合就可以识别出特定的自然人。因此，周彦聪诉请唯品会公司披露的以上信息属于个人信息的范围。

在司法实践中，2021年1月1日实施的最高人民法院修改后的《民事案件案由规定》中，增加“个人信息保护纠纷”，与已有的“隐私权纠纷”并列。作为同属于人格权纠纷的案由，隐私与个人信息之间有着千丝万缕的联系，也经常看到判决书中会对这两个概念进行区分。

《民法典》第1032条对隐私进行了较为明确的定义，即自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。所以隐私同时具有“私人生活安宁”和“不愿为他人知晓的私密性”两个基本特征。其中，“私人生活安宁”主要考量个人所享有与公共利益无关的发展个性所必要的安宁和清静是否被非法侵扰，自然人有权排斥他人对其正常生活的骚扰；“不愿为他人知晓的私密性”是指私人不愿公开、不愿为他人知晓的信息，即客观上一般呈现为不为公众所知悉的样态，在主观上权利人也具有不愿为他人知晓的意图。判断是否属于法律意义上的隐私，既强调当事人不愿公开的主观意愿，也应当符合社会对私密性的一般合理认知。即隐私权要解决的核心问题是私密性与公开性的关系，而个人信息权益要解决的核心问题是个人信息的保护与社会利用问题。

在司法实践中，鉴于目前隐私权与个人信息保护纠纷属于人格权纠纷下的共同案由，因此导致某些法院在裁判过程中并没有深究所涉信息到底是属于个人信息还是隐私。例如在郭长城、深圳市思韵时代文化传播有限公司等个人信息保护纠纷中，法院认为自然人的个人信息受法律保护，除法律另有规定或者权利人明确同意外，任何组织或者个人不得以电话、短信、即时通信工具等方式侵扰他人的私人生活安宁。而在本案中，被告思韵公司未经原告同意向其手机推送商业短信3条，已侵犯其个人信息。二审法院对此持相同观点。

二、个人信息处理者是否合规

个人信息的处理方式包括收集、存储、使用、加工、传输、提供、公开等，在对个人信息进行处理前，需要征得权利人的同意，由于个人信息处理者需处理的信息较为庞杂，因此常见的短信验证码或者APP弹窗告知的方式在司法实践中是被法院所接受的。

在北京微播视界科技有限公司、许某某网络侵权责任纠纷中，原告使用手机号码登录后抖音APP后，主页视频上方显示原告所在城市“成都”， 随后才弹出弹窗询问“允许访问你的位置？”。对此法院认为，因手机号码具有可识别性，在收集了手机号码的情况下，被告收集的位置信息与手机号码信息组合，能够识别到特定人，属于个人信息。同时，抖音APP的隐私条款中显示，在通过IP地址、GPS等技术收集用户地理信息前，会请求用户授权地理位置权限，即通过IP地址获得地理位置亦应征得用户同意。因此被告在未征得原告同意的情况下收集原告的地理位置信息，构成对原告该项个人信息的侵害。

根据《个保法》的规定，在获得权利人的同意之后，个人信息处理者应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。同时，个人信息处理者还应遵守诚信原则，与其披露的使用目的、方式、范围保持一致。

在徐红婷、苏州平泰置业有限公司个人信息保护纠纷中，被告苏州平泰置业有限公司在其售楼处安装了人脸识别系统，用于人脸采集，并在售楼处入口处以宣传展板形式公示现场使用人脸识别系统，其中人脸识别使用目的公示为“视频安全内部远程巡查”、人脸信息存储时间公示为“三个月”。但实际上，该人脸识别系统除了被用作内部巡查外，还被用来识别判客，且存储时间超过三个月，因此法院认为被告的行为有违诚信原则，且人脸信息属于需要单独征得权利人同意的个人敏感信息，被告以消费者进入售楼处即推定其同意被人脸识别及采集信息，系以默认方式推定权利让渡，此举亦有悖自愿原则。据此法院认定被告未就人脸识别系统采集信息的真实使用目的向原告充分告知，未明确征求原告徐红婷同意对其进行人脸识别及信息采集，且存在超期、不当使用行为，构成侵权。

除了应按照《个保法》的规定，对个人信息进行正常的收集、处理之外，个人信息主体对涉及自身个人信息的查阅、复制、撤回和删除的权利同样需要被保护。

针对个人信息主体的查阅、复制权利，《个保法》第50条的规定：“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。”查阅复制权是权利人在个人信息处理活动中的权利，但是，法律并未明确规定该权利行使的前提条件，对此，法院一般认为，个人只需要能够证明自己属于个人信息主体即可以行使查阅复制权。

针对个人信息主体的撤回、删除权利，《个保法》第47条第一款规定：“有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：（一）处理目的已实现、无法实现或者为实现处理目的不再必要；（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；（三）个人撤回同意；（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；（五）法律、行政法规规定的其他情形。”在广州唯品会电子商务有限公司、周彦聪个人信息保护纠纷中，原告周彦聪认为唯品会公司作为个人信息处理者，超范围收集并处理其相关个人信息，要求唯品会公司披露并删除，法院认可了周彦聪要求唯品会公司披露所收集周彦聪个人信息的主张，但认为并无证据表明唯品会公司存在《个保法》中应当主动删除个人信息的情形，周彦聪述称其有理由怀疑唯品会公司收集“非必要个人信息”用于商业营销之用，并无证据予以证实。

三、个人信息处理者的行为是否构成对权利人的伤害

隐私和个人信息纠纷作为侵权之诉，同样应满足侵权责任的构成要件，即一方当事人主张另一方当事人承担侵权责任，应就另一方当事人存在违法行为、损害后果、违法行为与损害后果之间具有因果关系及主观过错四个构成要件承担举证责任。

就损害后果而言，在司法实践中一般需要权利人来证明其因个人信息处理者的行为导致权利人受到损害，法院会结合损害的程度裁判是否应当由个人信息处理者承担损害赔偿责任。例如在许林琳、中国银行股份有限公司辽宁省分行等个人信息保护纠纷中，二审法院认为尽管被上诉人某某鞍山分公司在未经许某某准许的情况下，擅自获取许某某的个人信息，多次拨打许某某电话，但原告许某某未举证证明某某鞍山分公司通过非法途径获取其电话号码后造成许某某人身或精神受到严重损害。根据许某某在一审中提供的通话录音内容可知某某鞍山分公司并无侵害许某某个人信息权益的故意，其向上诉人拨打电话的目的系提示上诉人母亲林某及时清偿信用卡贷款。某某鞍山分公司并未造成严重后果，亦无侵害许某某个人信息权益的故意，上诉人许某某要求各被上诉人赔偿精神损害抚慰金或公开致歉无事实和法律依据，本院不予支持。原审认定被上诉人对许某某不承担侵权责任并无不当，本院予以维持。

但需要注意的是，个人信息如果未在不特定范围人群内传播，则不构成对相关权利人的侵犯。例如在崔金禄与北京市西城区天桥街道香厂路社区居民委员会个人信息保护纠纷中，原告崔金禄认为，香厂路居委会向其妹妹崔金华提供其残疾证号并出具《残疾证明》的行为，侵犯了崔金禄的个人信息。对此法院认为，崔金禄为精神残疾人，其母李淑君亦为精神残疾人，在法院未予指定崔金禄法定监护人的情况下，其兄弟姐妹均对其有照顾的责任，香厂路居委会应崔金禄妹妹崔金华之申请为其出具《残疾证明》的行为亦是为了更好的保护崔金禄的合法权利和自身利益，以方便崔金禄就医和日常生活。根据《民法典》相关规定，为维护公共利益或者该自然人合法权益而合理实施的行为从而处理个人信息的，行为人不承担民事责任，香厂路居委会出具《残疾证明》的行为本身并不具有侵权责任法意义上的过错，亦未违反法律的相关规定，且该《残疾证明》向特定人即崔金禄的妹妹出具，在特定人群、限定空间、限定事项内合理使用亦不会侵害崔金禄的合法权益。

总结

在过去的两年，《个保法》从诞生到落地施行，个人信息、数据合规、信息安全等词在现实生活中频频出现，成为人们关注的热点与焦点，并在全社会范围内掀起了个人信息保护的热潮，以《个保法》为基础和原则，各类办法、规定、国家标准、行业细则也配套出台，我国个人信息保护制度体系正在逐步完善。在现实环境中，企业往往会在复杂的业务场景中以不同方式处理个人信息，因此更应按照《个保法》及相关规定的要求，审慎判断个人信息处理的合规性，并将个人信息保护有机地融入企业管理流程中，做到有的放矢，在追求经济效益的同时，背负好企业应承担的社会责任。