AI Trust案例 | 虚拟手机号也属个人信息，未经信息主体同意，不得交易！ - 新鲜讯息

报名：人工智能管理专家CAIM课程（上海班）

时间：6月22-23日,聚焦ISO/IEC42001人工智能管理体系
形式：线下为主、线上同步
费用：CAIM6000元，早鸟价9折和团购价8折
地址：上海市徐汇区宜山路889号4号楼5楼SGS上海培训中心
咨询：138 1664 6268，[email protected]

预报名请咨询

来源：北京二中院

案评导读

在我国，手机号码需实名认证，通过手机号即可关联到特定个体，用户手机号码是个人信息毋庸置疑。但值得关注的另一问题是，虚拟后的真实手机号码是否仍属个人信息范畴？如果未经用户同意买卖经过虚拟的手机号，并且拨打联系到用户个人，是否侵犯了公民的个人信息权益呢？

本案即对上述问题做出了回应。审理中，法官认为案涉数据虽系虚拟后的电话号码，但其中暗含个人特征，且当事人通过拨打行为，可在交谈中获悉各种信息，通过多种信息的组合，也完全有可能识别到个人的真实身份信息，进而关联到特定个体。因此，虚拟手机号码在一定程度上仍具备可识别性，应属于去标识化的个人信息范畴，受到《民法典》个人信息保护相关规定及《个人信息保护法》的调整。而双方提供并实际拨打经虚拟后的手机号的行为也未事先征得用户同意，违反了《个人信息保护法》的“知情—同意”规则，因此无效。同时，法院强调，案涉合同的无效并不影响监管部门对双方当事人违规使用个人信息的行为追究法律责任。

此案也给企业一个警示：在数据成为现代经济的关键生产要素的今天，企业对数据处理的依赖日益加深，但数据能否合法合规转换为现实生产力是值得关注的法律问题。若数据处理不当，企业不仅面临合同无效，交易受阻的问题，更有可能面临行政处罚，甚至刑事追责。企业须关注数据处理全生命周期的合规问题，必须确保数据来源合法，严格遵守个人信息保护法规，不得使用非法获取的个人信息或来源不明的数据。

【案情回顾】

甲公司与乙公司签订了一份《大数据平台服务合同》，合同实际履行过程中，甲公司要求乙公司按照其提出的模型，提供运营商平台存储的数据，具体指的是经过虚拟的电话号码，可以进行外呼以实现引流的目的。甲公司为此支付了服务费和数据费，现因乙公司未按约定的数量向甲公司提供虚拟手机号码，甲公司遂诉至法院要求解除服务合同，乙公司退还相应费用。

【法院判决】

法院经审理认为，甲公司基于合同有效主张解除案涉合同，并要求乙公司退还合同未履行部分的费用等，虽然双方在诉辩意见中均未提及并主张合同无效，但合同效力属于法院依职权主动审查的范畴，法院依法对案涉合同效力予以分析认定。

未经用户个人授权同意交易虚拟手机号码，并实际实施拨打，是否违反了《民法典》《个人信息保护法》规定的处理个人信息应遵循知情同意原则，合同是否因此无效？法院认为，本案中，尽管甲公司要求乙公司提供的手机号码为已经过虚拟处理的号码，但在甲公司向乙公司提出业务需求，乙公司据此提供相应手机号码的过程中，双方均应知晓虚拟号码所对应的用户某项行为特征，并且甲公司也实际实施了拨打行为，其拨打联系真实用户的行为本身已构成对特定主体的识别，并已实现对特定类别主体识别并联系的目的。而且，不仅通过拨打虚拟号码可以识别特定主体的行为特征，在与对方通话交流中通过各种信息的组合，也完全有可能识别到个人的真实身份信息。因此，虚拟手机号码在一定程度上仍然具备可识别性，应属于去标识化的个人信息范畴，受到《民法典》个人信息保护相关规定及《个人信息保护法》的调整。

本案双方在微信沟通中从未提及乙公司向甲公司提供的手机号是否经过用户个人同意，也未向法院提供其已获得有关用户同意并授权的证据，故双方未经信息主体同意即交易、处理用户个人信息的行为违反了《民法典》《个人信息保护法》规定的处理个人信息应遵循知情同意原则的规定。法院最终认定，双方所签订的《大数据平台服务合同》应属无效，基于合同无效的裁判规则，法院判决乙公司返还甲公司向其支付的数据费和服务费。但特别指出，法院对民事案件进行裁判不影响其他有关行政管理部门对双方违反《个人信息保护法》所应承担的其他法律责任作出处理。

【法官说法】

处理个人信息应当遵循知情同意原则。未经个人同意交易虚拟手机号并实际实施拨打，是否侵犯了公民个人信息权益，一直存有争议。分析这一问题，需判断虚拟手机号是否属于个人信息。《民法典》第一千零三十四条规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《个人信息保护法》第四条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。从上述法律条文可以看出，个人信息的核心特点为“可识别性”。

判断某一信息是否具备可识别性，应从“可识别性”的内涵和外延予以考量。在互联网技术的加持下，人们的日常工作交流、生活消费、社交活动等越来越依托网络平台进行，某种程度上来说，对于某一自然人具体人格形象的认知与其个人的真实身份信息是可以相互独立分离的，在不知晓自然人真实身份信息的前提下，仍然可以了解到该主体的个人特征、行为习惯和行为偏好。因此，作为个人信息核心特点的可识别性，其识别内容不仅在于对自然人真实身份的识别，还包括对自然人个人特征的识别，即可以据此确定自然人的行为习惯、社会特征和人格形象，具备这些识别特征的信息也属于个人信息的范畴。因此，虚拟手机号码在一定程度上仍然具备可识别性，既可以识别到特定主体的行为特征，也完全能够通过其他信息组合识别到自然人的真实身份信息，不属于匿名化的个人信息，受到《民法典》个人信息保护相关规定及《个人信息保护法》的调整。

《民法典》第一千零三十五条规定，处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；……《个人信息保护法》第十三条规定，符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意；……因此，未经个人同意交易、处理经过虚拟的手机号码属于交易、处理用户个人信息的行为，违反了《民法典》《个人信息保护法》规定的处理个人信息应遵循知情同意原则的规定，双方所签合同应属无效。

【法官提示】

我国手机号注册办理实行实名认证，通过手机号码即可识别到个人的真实身份信息，虚拟手机号码虽然无法直接对应公民的实名身份，但通过拨打虚拟手机号码并联系到具体的个人，实际上已经构成了对特定主体的识别，因此虚拟手机号码仍属于个人信息的范畴。

《民法典》规定，处理用户个人信息应征得个人同意。《个人信息保护法》进一步对违法处理个人信息的行为主体规定了民事、行政甚至刑事责任。数据处理主体不能因手机号码经过虚拟处理即免除了保护个人信息的义务和责任，在实施收集、使用、加工、传输、提供、公开等处理用户虚拟手机号码的具体行为中，仍应当获得用户个人同意，并遵守法律规定的保护个人信息的各项义务。

关于AI Trust

AI Trust是一个聚焦AI治理的高端开放平台，一个整合法律、技术及管理的AI治理专家共同体，一个制造干货、相互赋能及塑造职业品牌的AI治理生态体。AI Trust将持续举办沙龙、读书会、论坛、年度大会等开放性活动，并同时提供首席人工智能官CCAIO系列培训、ISO/IEC42001人工智能管理体系认证、欧盟人工智能法合规咨询、AI安全及技术落地等前沿服务。现招募“AI Trust×”共建活动的合作单位及AI大咖！

联系人：徐博士

138 1664 6268 [email protected]