【业界动态】北京互联网法院通报涉个人信息及数据相关案件审理情况

2024年10月30日，在《中华人民共和国个人信息保护法》施行三周年之际，北京互联网法院召开涉个人信息及数据相关案件审理情况新闻通报会，通报了此类案件的审理情况，并发布八起典型案例，在保护个人信息权益的前提下，通过规范个人信息处理活动，促进数据在生产、流通、使用过程中的合理利用，推动数字经济高质量发展。

“近日，国务院公布《网络数据安全管理条例》，立足于规范网络数据处理活动的同时，也将保护个人信息权益作为重要内容。”北京互联网法院党组成员、副院长赵瑞罡介绍，自2023年10月至今，北京互联网法院共受理113件涉及个人信息保护的案件，涉及的行业领域较为广泛，以互联网企业为被诉主体的案件最多，涉诉个人信息类型和侵权形态较为多样。

调研发现，数字经济下个人信息权益和其他人格权错综交织，呈现出较为复杂的权益形态，涉诉案件中单独以个人信息权益受到侵害为由起诉的不足40%。另外，个人信息保护案件涉诉信息类型较为丰富，既包含基础个人信息，如手机号、身份证号等，也有因人工智能技术引发的“AI换脸”等新类型侵权案件，还包括多种衍生信息，亦包括大量法律未明确列举的个人信息，如电子商务平台上形成的用户订单交易详情、客服沟通记录等。这反映出，个人信息与企业的衍生数据相互交织，呈现复杂化的状态和趋势。与此同时，从侵权形态来看，涉及侵害个人信息的知情权与决定权的案件最多，主要侵权形式为未经同意收集、公开、提供个人信息，或超范围收集个人信息。部分案件中反映网络平台运营者未尽到保障用户个人信息安全的法定义务，导致用户个人信息遭受泄露、篡改、冒用。例如，网络平台未经有效审查，导致侵权人盗用他人身份信息用于企业账号认证。

“个人信息既是开展社会治理的重要基础，也蕴藏着巨大的市场价值，为平台经济等行业发展提供运营决策支持，在数据要素市场中有着重要作用。”赵瑞罡表示，个人信息权益的规范处理不仅关乎个人的人格利益和财产利益，更涉及信息流通、数据要素价值释放。此外，个人信息处理的合法性基础需要进一步细化，个人信息处理者要始终坚持合法、正当、必要原则，同时要履行保障用户个人信息安全的法定义务。

赵瑞罡介绍，面对数字时代个人信息保护与数据合理利用面临的新问题、新挑战，北京互联网法院以裁判树规则，审理了多起典型案例，取得了良好的社会效果。顺应新时代人民需求，充分保护个人信息权益，例如，依法认定线上经营的个人信息处理者未经用户同意，不得非法获取并处理线下经营的关联公司所收集的用户个人信息，指引企业在产业数字化和数字产业化融合过程中依法保护个人信息；注重个人信息安全，落实个人信息处理者责任，例如，依法认定网络服务平台未对收集、存储的个人信息采取必要的安全保护技术措施，导致个人信息被泄露、冒用的，应与侵权用户承担连带责任；促进数字经济发展，平衡个人信息保护与利用，例如，依法认定企业对经过去标识化处理后的个人信息进行访问所形成的访问记录受法律保护，合理划定了个人信息与数据合理利用的边界，促进数据要素市场良性发展。

北京互联网法院呼吁，要加强全社会各主体的协同共治，落实个人信息处理者对个人信息安全的保护义务，增强人民群众的个人信息保护意识和能力，并建议有关部门加强监管执法与普法。

北京互联网法院综合审判三庭庭长颜君主持通报会

围绕AI换脸侵犯个人信息权益、个人信息处理的知情同意规则、个人信息处理者安全保障义务、去标识化处理后的个人信息利用、妥善保管网络账号中的个人信息等问题，北京互联网法院综合审判三庭法官王红霞通报了八起涉个人信息及数据典型案例。

北京互联网法院综合审判三庭法官王红霞通报典型案例

案例一

马某与北京某科技有限公司个人信息保护纠纷案

——必要个人信息范围应结合相关规范性文件、服务性质、处理必要性等因素进行认定

案例二

马某诉北京某电子商务公司隐私权、个人信息保护纠纷

——未经消费者同意，线下商店的线上小程序无权获取消费者的线下交易信息

案例三

夏某与北京某电子商务有限公司网络服务合同纠纷案