《个人信息保护法》实施一周年之际,CCIA数据安全工作委员会发起《个保法》实施“大家谈”专题工作,通过委员会内征文等形式,畅谈对《个保法》实施的观点,鼓励委员单位以汇总案例、解读条款、分享经验、提出建议等方式,各抒己见,为推进《个保法》进一步深入实施贡献力量。
为了促进个人信息权益保护和个人信息合理利用,全国人大常委会审议通过了《个人信息保护法》,其已于2021年11月1日起正式生效实施,此法为个人信息权益保护提供了更为完善的指引。《个人信息保护法》是中国第一部专门保护个人信息的单行立法,目前已经实施了一周年。TalkingData法务合规部现结合《个人信息保护法》实施一周年期间的相关案例与实践,本篇为上篇,从司法判决和行政处罚,这两个角度进行解读分析。
司法判决情况
在某大型法律数据库中,以“《个人信息保护法》”为关键词检索2021年11月1日之后的司法判决,共检索到35个案例,其中包括4个是刑事案例(附带民事诉讼)和31个民事案例。
4个刑事案例均为侵犯公民个人信息罪案,违法行为均是非法出售或非法提供公民个人信息,侵犯了众多公民的个人信息安全,损害了社会公共利益,因此附带民事诉讼的被告需要依据《个人信息保护法》的规定,承担相应的民事责任。刑事处罚措施主要包括有期徒刑、罚金、没收违法所得;民事处罚措施主要包括赔礼道歉、删除所存储的个人信息、损害赔偿。
35个民事案例中的绝大部分案例都是原告起诉和被告抗辩的阐述中提及了《个人信息保护法》的相关内容,最终在法院裁判说理的部分适用《个人信息保护法》的判决约37%,从条款适用角度看,第13条(处理个人信息的合法性基础)和第69条(过错推定的侵权法律责任)是相对常见的条款。从处罚措施角度看,主要包括停止侵害、赔礼道歉、损害赔偿等。
从违法行为角度看,法院在相关案例中会重点关注包括《个人信息保护法》的适用、个人信息和隐私的范围判定、用户权利行使与响应(特别是查阅权、复制权、撤回同意权、删除权)、个人信息处理行为(尤其是收集行为)的合法性认定等问题。
法院在判决的裁判说理部分适用《个人信息保护法》的案例信息汇总如下:
案件名称 | 适用条款 (《个人信息保护法》) | 法院裁判核心观点 | 裁判结果 |
蔡洪建、山东培森人力资源开发有限责任公司等个人信息保护纠纷一审案件 | 第4条、第6条、第8条、 第17条、第44条、第46条、第69条、第74条 | (1)未保障个人信息准确性的违法性判定:法院认为个人社会保障号码属于个人信息,处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。培森人力公司错误登记蔡洪建的社保信息,存在过错,与蔡洪建的损失存在直接因果关系,应承担赔偿责任。 (2)《个人信息保护法》的适用:法院认为虽然侵权行为以及状态在2021年5月13日已经结束,但是本案审理终结前,《个人信息保护法》已经生效实施,因此可适用此法。 | 培森人力公司赔偿蔡洪建2万元。 |
周彦聪、广州唯品会电子商务有限公司个人信息保护纠纷二审案件 | 第4条、第6条、第7条、第13条、第18条、第23条、第24条、第35条、第45条、第47条、第50条 | (1)个人信息的判定:法院指出,个人资料中的姓名、电话号码、订单信息一般情况可以直接识别到特定自然人的身份和财产状况;其他如设备信息、位置信息、浏览记录等信息,与其他信息进行结合就可以识别出特定的自然人。因此,周彦聪诉请唯品会公司披露的以上信息均属于个人信息的范围。 (2)查阅权、复制权的范围:法院认为个人信息主体要求行使查阅权、复制权的客体是个人信息,其不仅包括个人信息本身,还应该包括个人信息处理的相关情况,其中就包括关于周彦聪在唯品会APP注册以来的浏览记录及与第三方(包括第三方支付机构)共享的个人信息,但是法院认为查阅权和复制权的行权范围并不包括第三方SDK收集的个人信息,因为SDK属于自行收集用户的个人信息,且现有证据亦未能显示唯品会公司收集了上述信息。 (3)查阅权、复制权的响应方式:法院认为仅提供查阅途径不能视为已满足周彦聪复制个人信息的请求。副本应当采取书面形式,纸质副本或电子化副本(例如Excel表格、Word文档等)均可。 (4)《个人信息保护法》的适用:虽然《个人信息保护法》正式实施的时间在本案一审最后一次庭审(2021年9月27日)之后,但本案为个人信息保护纠纷,案涉事实状态一直持续到《个人信息保护法》施行之后,且适用此法可以更好地平衡双方的权利义务,有助于妥善解决本案纠纷,故可适用《个人信息保护法》审理此案。 | 唯品会公司向周彦聪提供自其注册唯品会APP之日起至本判决发生法律效力之日止的已收集到的相关个人信息以及个人信息处理的相关情况以供周彦聪查阅、复制。 |
王某、深圳市腾讯计算机系统有限公司个人信息保护纠纷二审案件 | 第4条、第5条、第15条、第69条 | (1)个人信息和隐私的判定:法院指出,王某微信中的地区、性别、好友关系均符合通过与其他信息结合识别特定自然人的要求,属于受法律保护的个人信息,但上述信息在此案中并不属于隐私,隐私的核心在于私密性,但王某并没证明其不愿他人知晓上述信息,亦未证明因公开上述信息导致其私生活受到侵扰。 (2)微视APP获取用户的微信地区和性别信息的非必要性判定:腾讯公司通过相关协议内容、微视APP的功能界面告知了王某,微视APP会使用其微信地区、性别信息,但为符合个人信息收集的必要性要求,法院指出,腾讯公司作为微视APP的运营者,应证明若缺少用户的微信地区、性别信息,微视APP将无法正常向用户提供服务,没有上述个人信息的参与,产品或服务的现有功能无法实现。仅有改善服务质量或提升用户体验及提供更好的服务不足以构成强制要求用户同意收集个人信息的理由。但腾讯公司并未举证证明地区、性别信息是微视APP提供正常服务实现完整业务功能的不可缺少信息,且用户可以在微信和微视APP随意更改和填写地区、性别信息,说明这两个信息的准确性、一致性并非使用微视APP服务所必需。因此,微视APP强制获取微信地区、性别信息未满足必要性要求。 (2)微视APP获取用户微信好友信息的非正当性判定:法院认为王某在卸载微视APP恢复出厂设置重新安装微视APP后,当微视APP在登录首页征询用户是否授权“寻找你的微信共同好友”时,王某勾选拒绝授权的情况下,王某作为用户有合理理由相信其已经不再予授权微视APP使用微信好友关系,无需通过回到微信撤销授权。但是微视APP后台仍然将“通知推送”界面中“好友加入微视”默认为开启状态,在后台对已储存的微信好友关系继续使用的行为不符合王某对其授权行为意思后果的“合理预判”,故微视APP在王某二次下载微视APP未予授权的情况下继续使用其微信好友关系的行为并未获得有效的用户知情同意,不符合正当性要求。 (3)撤回同意路径设置的不便捷性判定:法院指出,在2020年5月之前,若用户撤回授权微视APP使用微信好友关系只能回到微信撤销授权,不能在其他方式包括在微视的任何界面取消授权。该事实表明被上诉人腾讯公司在2020年5月之前对用户微信好友关系的取得授权使用和撤回授权使用提供的是不对等的设置。虽然微视APP可以通过微信用户接口进入和登录,但两者是两个独立的APP,而腾讯公司通过不对等的设置路径刻意规避向用户提供撤回使用微信好友关系授权的便利,这种设计没有实现保障用户便捷地撤回同意的权利。 | (1)撤销一审判决; (2)腾讯公司支付王某参与诉讼的合理支出一万元。 |
江某、滨州神奇大药房有限公司滨城泰山名郡店个人信息保护纠纷一审案件 | 第4条、第13条 | (1)合法收集行为判定:法院认为在新型冠状病毒感染的肺炎疫情防控期间,为应对突发公共卫生事件,滨州神奇大药房有限公司滨城泰山名郡店(以下简称“药房”)按照政府市场监督管理部门的部署要求和启用“滨州疫情防控药品追溯系统”的通知,在江某购买涉疫情防控药品时,落实发热、咳嗽、腹泻药品实名登记的规定,在“滨州疫情防控药品追溯系统”中输入原告作为购药人的姓名、联系电话等个人信息并无不当。 (2)删除权行使的条件:江某向药房提供上述的个人信息后觉得药价过高,最终并没有购买,因此希望药房删除其收集的相关个人信息,但是法院认为,“滨州疫情防控药品追溯系统”是滨州市市场监督管理局就零售药店销售发热、咳嗽、腹泻药品实名登记工作而开发使用,虽由药店落实发热、咳嗽、腹泻药品实名登记规定并负责对购药人登记的信息进行核实,但药店在系统使用中不能存储、修改和删除个人信息,且在系统中登录药房名后,药店销售记录已不再显示原告江某的个人信息,故不支持江某要求药房删除其个人信息的诉讼请求。 | 驳回江某的诉讼请求。 |
薛某某与深圳平安普惠小额贷款有限公司等网络侵权责任纠纷二审案件 | 第13条 | (1)合法收集行为判定:薛某某注册了平安普惠APP先后向平安普惠小贷公司申请三笔借款,双方签署了借款合同,法院认为薛某某向平安普惠公司提供人脸识别信息、身份证号、手机号、银行卡号信息,属于履行合同的必要信息,平安普惠小贷公司基于借款合同关系处理上述信息,并无不当,而且平安普惠小贷公司也已经在借款合同中将涉及的个人信息的收集使用情况明确告知了薛某某。因此,法院认定平安普惠小贷公司未侵害薛某某的个人信息权益。 (2)合法委托处理行为判定:双方签署的借款合同还明确规定了用户同意并授权平安普惠公司将其在申请和使用本服务过程中提供及形成的用户的个人信息提供给平安普惠公司的关联方和为本服务提供必要技术和支持的合作方的条款。所以法院认为北京数字认证公司基于平安普惠公司的委托提供类似于电子证据存证服务,该行为应属于技术支持的范畴,符合上述授权条款的内容,因此北京数字认证公司也没有侵害薛某某个人信息权益。 | 驳回上述,维持原判(一审判决为驳回薛某某诉讼请求)。 |
倪明洋与重庆市蓬江食品有限公司,李君苹民间借贷纠纷二审案件 | 第13条 | 法院依职权调取个人信息的合法性判定:法院指出,倪明洋持有的中国农业银行卡的交易流水属于其个人信息,但是对公民的个人信息的保护是相对的,在个人信息与公共利益发生冲突时,或者国家机关为了履行法定职责或者法定义务,则有权依职权调取相关信息。若该信息属于人民法院查明案件事实的重要证据,人民法院应当依职权调取。因此法院调取倪明洋持有的中国农业银行卡的交易流水是合法的。 | 驳回上述,维持原判(一审判决为倪明洋、李君苹清偿蓬江食品公司借款30万元及资金利息)。 |
俞亚娟、嘉善县润城房地产有限公司中介合同纠纷一审案件 | 第13条 | 违法收集个人信息判定:法院指出,虽然被告嘉善县润城房地产有限公司在售楼处贴有人脸收集的告示,但其收集到的个人信息在人证核验小程序比对后主要用于商业目的,该行为应当由个人在充分知情的前提下自愿、明示作出且个人信息处理者应当在《个保法》第13条规定的情形下才可以处理。而客户包永华、包寅波却并没有被明确告知嘉善县润城房地产有限公司会收集他们的人脸信息进行商业比对(帮助销售确定客源进行分成),所以法院认为,被告在客户包永华、包寅波未充分知情及明示同意的情形下将取得的个人信息进行商业处理属于违法收集行为,由此收集的证据也不能作为认定案件事实的依据。 | 嘉善县润城房地产有限公司支付俞亚娟佣金14万元。 |
贾友宝、青岛远海教育服务有限公司等个人信息保护纠纷一审案件 | 第69条 | 非法营销行为判定:贾友宝并未在青岛远海教育服务有限公司预留过个人信息或直接同意过营销行为,却收到了此公司的学历教育营销电话推销,法院认为,被告青岛远海教育服务有限公司并非国家机关、承担行政职能的法定机构,其作为企业,从网上下载魔方及其他软件,将他人号码提取、处理、导出,未经贾友宝同意就私自向其进行电话推介营销,侵害了贾友宝的通讯、生活安宁,也侵犯了贾友宝的个人信息权益。 | (1)停止侵害; (2)书面赔礼道歉; (3)青岛远海教育服务有限公司赔偿贾友宝实际损失500元和精神损害抚慰金3000元。 |
献县人民检察院、张国芝隐私权纠纷一审案件 | 第69条、第70条 | 非法处理行为判定:张国芝利用经营“十五级万**通讯”手机店的便利条件,通过搞活动赠送小礼品的方式,获取到店办理业务客户的手机号、验证码等个人信息,以每个手机号、验证码4-6元不等的价格出售给其上线公越,从中非法获利3646元,法院认为张国芝违反法律规定,实施了非法向他人出售、提供公民个人信息的行为,已扰乱了个人信息正常的收集、使用秩序,损害了公民的隐私权,对公民的生命财产安全造成潜在的威胁,损害社会公共利益,应当承担民事赔偿责任。 | (1)公开赔礼道歉; (2)张国芝向献县人民检察院指定专户支付损害社会公共利益赔偿款3646元; (3)彻底消除非法获取的公民信息。 |
四川省自贡市人民检察院、李博伦等个人信息保护纠纷民事一审案件 | 第70条 | (1)处理行为的性质判定:法院指出,李博伦、叶华宗、岳金龙、刘忠波以运营商回馈客户为名,通过向客户赠送鸡蛋、毛巾等小礼品的方式,要求客户持居民身份证原件拍照,获取众多自然人的居民身份证载明的信息,以此收集个人信息,再用收集的个人信息注册开通电话卡,而未将电话卡交给客户,私自予以出售的行为,属于个人信息处理行为。 (2)非法处理行为判定:法院认为个人信息处理应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。在本案中,李博伦、叶华宗、岳金龙、刘忠波四人在未向个人信息主体明示处理信息的目的、方式和范围的情况下,私自开通电话卡予以出售获利,违反了法律规定。四人违法处理个人信息的行为,侵害了众多自然人的合法权益,已经构成民事侵权。 | (1)发布道歉书 (2)李博伦、叶华宗、岳金龙连带赔偿公益损害赔偿金5000元,李博伦、叶华宗、岳金龙、刘忠波连带赔偿公益损害赔偿金11375元。 |
黎天鸿、济南磨滴智能科技有限公司买卖合同纠纷民事一审案件 | / | 合法收集个人信息判定:现行法律明确规定不得非法处理他人信息,收集、处理个人信息的行为,应当遵循合法、正当的原则。法院指出,“磨滴”小程序登录首页显示有《用户协议》和《隐私条款》,只有在用户的情况下,才能登录小程序。磨滴公司已对使用涉案“磨滴”小程序的用户履行了告知义务,是否登录小程序,由用户自己决定,故现有证据无法认定磨滴公司非法收集用户个人信息。 | 驳回黎天鸿的全部诉讼请求。 |
行政处罚情况
在某大型法律数据库中,以“《个人信息保护法》”为关键词检索2021年11月1日之后的行政处罚案例,共检索到12个案例。
从条款适用角度看,相对常见的行政处罚依据是第66条(法律责任),有8个案件的处罚依据都是此条款。从处罚措施角度看,所有案件的违规主体都被处以警告处罚,其他行政处罚措施还包括责令改正、责令停产停业、罚款。
从违法行为角度看,有8个案件涉及违法收集的问题,其中5个案件明确指出是未获取用户的同意就开始收集个人信息;有5个案件涉及违反个人信息安全保护义务的问题;有4个案件涉及违法告知问题,主要是未履行明确的告知义务或者告知的内容不完整的问题;有3个案件涉及违法使用问题,尤其是违法提供和出售行为非常值得关注。
相关行政处罚案例的信息汇总如下:
适用条款 (《个人信息保护法》条款) | 处罚事由 | 处罚措施 |
第66条 | 未按规定告知、报告安全风险。 | 警告、责令改正、责令停产停业 |
涉嫌违法收集、使用消费者个人信息。 | 警告 | |
非法获取、向他人提供个人信息。 | 警告 | |
非法获取、出售、向他人提供个人信息。 | 警告、责令改正、责令停产停业 | |
在公共场所安装图像采集未设置显著的提示标识。 | 警告 | |
“分付宝”APP存在以下问题: (1)未经用户同意收集使用个人信息; (2)网络安全隐患风险漏洞。 | 警告 | |
第66条、第51条 | 未履行个人信息保护义务。 | 警告、责令改正 |
第66条、第51条 | “花遇”APP首次运行未经用户阅读同意隐私政策,就开始收集个人信息MAC地址、IMEI、Android ID和应用列表信息。 | 警告 |
第13条 | 既未明示收集、使用信息的目的方式和范围,更未经消费者同意就获取消费者的人脸信息。 | 责令改正、处以罚款3万元 |
第13条、第7条 | “一起连连看”APP未经过用户同意收集使用个人信息,有安全使用隐患。 | 警告、责令改正、责令停产停业 |
第7条、第17条 | 深圳志辰网络科技有限公司的APP存在以下问题: (1)用户登录账号后无法查阅隐私政策,违反便于查阅原则; (2)未在隐私政策等公示文本中逐一列明APP所集成第三方SDK收集使用个人信息的目的、方式和范围。 | 警告、责令改正、责令停产停业 |
第7条 | “盈利宝”APP存在以下问题: (1)未在隐私政策等公示文本中逐一列明APP所集成第三方SDK收集使用个人信息的目的、方式和范围; (2)APP首次运行未经用户阅读同意隐私政策,就开始收集个人信息MAC地址、Android ID和应用列表信息; (3)存在Janus签名机制漏洞。 | 警告、责令改正、责令停产停业 |
(作者:北京腾云天下科技有限公司 葛梦莹 南钰彤)
未完待续……
CCIA数据安全工作委员会单位介绍 |
| 北京腾云天下科技有限公司(TalkingData) 成立于2011年,是国内领先的数据服务提供商。TalkingData秉承“数据改变企业决策,数据改善人类生活”的愿景,围绕TalkingData SmartDP数据智能平台(TalkingData数据中台)、数据安全岛构建“连接、安全、共享”的数据智能应用生态,致力于用数据+科技的能力为合作伙伴创造价值,帮助商业企业和现代社会实现以数据为驱动力的智能化转型。已在加速金融、零售、互联网、智慧城市等众多行业和领域数字化进程的实践中积累了丰富经验。 |
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...