个保法实施两周年,个人信息保护民事司法案例评析

来源:大成成都办公室

文章摘要
引 言 《中华人民共和国个人信息保护法》(“个保法”)由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过,自2021年11月1日起施行。
引 言
《中华人民共和国个人信息保护法》(“个保法”)由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过,自2021年11月1日起施行。而自2021年1月1日起实施的《中华人民共和国民法典》(“民法典”)也在第四编人格权第六章专章对“隐私权和个人信息保护”进行了规定,其中第一千零三十四条规定:“自然人的个人信息受法律保护”。那么个保法实施两年以来,个人信息保护司法运行情况如何?有多少案例,如何分布,有何特点?为此,我们进行了案例检索和评析,检索式如下:
裁判日期:2021年11月1日至2023年10月23日,引用法条:中华人民共和国个人信息保护法|中华人民共和国民法典第一千零三十四条,案由:民事。
通过以上检索式,我们共检索出民事一审、二审案件共150件,剔除无关案例(如错误引用)后共有案例137件。需要说明的是,由于检索式的限制,叠加司法案例公开渐少等因素,我们检索得到的案例数量将大大低于实际案例。
一、个人信息保护民事司法案例数据统计分析
我们对检索案例从以下6个维度进行数据统计分析,分别为:民事案由、法律适用、分布地区、管辖法院、侵权场景以及赔偿情况。
(一)民事案由数据统计分析

争议案由以个人信息保护纠纷、隐私权纠纷、侵权责任纠纷(网络侵权责任纠纷、其他侵权责任纠纷)以及名誉权纠纷为主。
在检索的137份裁判文书中,个人信息保护纠纷案件42件,占案件总数的31%;隐私权纠纷案件30件,占案件总数的22%;侵权责任纠纷案件22件,占案件总数的16%,其中网络侵权责任纠纷案件12件,占案件总数的9%;名誉权纠纷案件17件,占案件总数的12%。需要说明的是,部分案件存在案由并列的情形,如个人信息保护纠纷与隐私权纠纷及或名誉权纠纷的并列,为了便于统计,前述情形均统计为个人信息保护纠纷。
通过争议案由我们发现,自然人在寻求个人信息保护时并不局限于提起个人信息保护纠纷,还会选择提起隐私权、侵权责任、名誉权、一般人格权等纠纷。甚至在目前阶段,隐私权保护会成为自然人或法院“更熟悉”的选择。在具体诉讼请求中存在着个人信息、隐私保护等的并列,当然诉讼请求并列自然带来了案由的并列,有诉讼便利的考虑,也有概念不清的现实。甚至部分法院在判决中也未严格区分个人信息与隐私,而是笼统的进行侵权认定。因此,随着民法典特别是个保法的实施,需要在提起诉请及确定案由时对个人信息与隐私进一步厘清。
深圳市中级人民法院做出的(2021)粤03民终9583号民事判决书对隐私与个人信息的联系与区别进行了充分的说理:“个人信息保护与隐私权是两个既有联系又有区别的法律范畴,相互之间不是简单的交叉关系,两者的法律概念、保护原则、权能范围、侵权判断以及被侵害发生的法律后果均不一致”,值得学习与借鉴。
(二)法律适用数据统计分析

在检索的137份裁判文书中,法律适用主要集中在民法典第四编第六章:隐私权和个人信息保护。其中适用民法典第一千零三十四条【个人信息保护】的案件共116件,适用第一千零三十二条【侵害隐私权的行为】的案件共49件,适用第一千零三十五条【个人信息处理的原则】的案件共44件。相较于民法典而言,适用个保法的案例较少,适用法条也主要集中在第六十九条【过错推定及损失赔偿】、第十三条【个人信息处理条件】、第四条【个人信息的定义】。
通过法律适用情况我们也可以发现,即使个保法已经生效,但在民事司法实践中,适用个保法进行司法裁判的案例依然较少。杭州互联网法院在做出的(2022)浙0192民初4259号民事判决中阐明了出现法律适用频率差异甚大的根本原因,即个保法确立的个人信息处理者侵权责任和民法典中确立的一般侵权责任,在侵权主体和侵权行为方式上存在明显不同。
首先,个人信息处理者侵权责任的主体仅限于个人信息处理者。非个人信息处理者的组织和个人侵害个人信息权益造成损害时,则不能适用个人信息处理者侵权责任,而应适用民法典第一千一百六十五第一款规定的一般侵权责任。所谓个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。但个保法第七十二条第一款规定自然人因个人或者家庭事务处理个人信息的情形排除在个保法的适用范围之外,因此,自然人因个人或者家庭事务处理个人信息侵害他人个人信息权益的,亦不适用个人信息处理者侵权责任的法律规定。个人信息处理者从责任要素上看,只有在个人信息处理活动中能够自主决定处理目的、处理方式的,才是个人信息处理者,即个人信息处理者应该对信息处理行为具有控制力和决定力。总之,个保法立法目的在于解决以自动化方式处理个人信息造成的个人信息处理地位的不对等以及所带来的巨大风险问题,进而平衡科技进步与个人权利保护的关系,规范的是发生在信息、技术、经济等能力不对称的个人信息处理者与个人之间的个人信息处理活动,调整的是在信息处理能力上不平等的个人与信息处理者之间的关系,故对个人信息处理者进行界定时着重强调的是,在信息处理活动中个人信息处理者与个人之间的不平等的信息处理关系。
其次,个人信息处理者侵权责任的侵权行为限于个人信息处理活动中的行为,即个人信息处理者在个人信息的收集、存储、使用、加工、传输、提供、公开、删除等活动中的行为。既包括作为的处理行为,如在不具有合法性基础的情况下擅自处理他人的个人信息;也包括不作为,如没有依法采取必要措施保护个人信息安全、未尽到必要、合理的个人信息安全保障义务、未依法回应个人在个人信息处理活动中的权利请求、对涉及个人信息安全的事故未及时采取补救措施等,导致个人信息被他人窃取、篡改或不当使用等。对于个人信息处理者在其他活动中的行为,则不适用个人信息处理者侵权责任的法律规定。
因此,由于个保法对于个人信息处理者主体及行为进行了限定,而个人信息侵权场景又具有多样性和复杂性的特点,民法典的相关规定就可以解决司法实践中大量个保法无法规制的非个人信息处理者实施的个人信息侵权行为。
当然,司法实践中还存在大量个保法及民法典相关条文均可适用的案例,在具体的法条适用方面,广州互联网法院做出的(2022)粤0192民初20966号民事判决,从法律体系、行为目的、法律功能三个维度综合分析确定了该案“以《个人信息保护法》相关规定为宜,辅之《民法典》”的法律适用方式,该法律适用的分析方式也同样值得学习和借鉴。
(三)分布地区数据统计分析

从分布地区来看,当前案例主要集中在北京市、广东省和山东省,占比分别为17.5%、17.5%和16%,累计案件占比51%。当然,如前文所述,由于近年公布的裁判文书逐渐减少,实际情况或许与该数据存在出入。
(四)管辖法院数据统计分析

在检索的137份裁判文书中,广州市中级人民法院和北京互联网法院审理案件各6件,四川省凉山彝族自治州中级人民法院审理案件5件,上述3家法院为此次检索案例中审理个人信息保护类案件最多的法院。需要说明的是,四川省凉山彝族自治州中级人民法院审理的案件为自然人与同一家银行之间关于消除不良信贷记录的类案。
(五)侵权场景数据统计分析

通过梳理此次检索的137份裁判文书,我们发现个人信息侵权场景具有多样性和复杂性的特点,包括金融、物业、网络、劳动等多个领域,以及与家庭、社区和政府等各种关系。最终我们将检索案例中的个人信息侵权场景分为以下8类,分别为:网络服务、物业服务、相邻关系、金融征信、私人纠纷、劳动关系、公益诉讼、其他场景。其中发生在金融征信及相邻关系场景中的个人信息侵权案例在检索案例中占比最多,各占比18%,网络服务场景次之,占比14%。上述比例也反映了在数字化趋势日益发展的现代社会,侵犯个人信息的方式更加多样,且个人信息也更容易受到侵害。
(六)赔偿情况数据统计分析

通过梳理此次检索的137份裁判文书,我们发现在判决确认侵权的101起案件中,判决赔偿的案件比例仅占38%。未予支持赔偿请求的原因主要是:法院认为原告关于损失赔偿/精神抚慰金的主张缺乏事实和法律依据;法院认为被告的侵权行为结合侵权时间、影响范围、过错程度等因素,不足以对原告造成(精神)损伤等,即主要基于证据不足的原因,法院对于大多数侵权案件的赔偿请求不予支持。

通过梳理38件赔偿案件中涉及的43笔赔偿金额,我们发现个人信息侵权赔偿金额主要集中在10000元以下,其中2000元以下(包括2000元)占比最大,其中也不乏0.1元、1元等意义大于实质的“争口气”式主张被法院认可。而判决赔偿数额较高的案件普遍具有以下特点:个人生活遭受侵扰(频繁遭受电话骚扰、上门骚扰)、社会评价明显降低(附他人个人信息发布淫秽色情或其他社会禁忌性内容)、个人重大事项严重影响(报考志愿被篡改、无法正常缴纳社保)等。
二、个人信息保护民事司法案例典型侵权场景分析
我们认为既具启发又不失趣味的是对于典型侵权场景的具体分析,不仅可以通过案例进行抗辩学习,还更具合规意义,明白风险来源何处,防患于未然。
(一)网络服务中的个人信息侵权案例分析
个人信息保护天然与计算机及互联网的诞生有关。如我国台湾地区于1995年制定的个人信息保护的专门“法律”命名为“电脑处理个人资料保护法”。当然,需要厘清的是个保法下的个人信息包括电子或者其他方式记录的个人信息,在互联网犹如空气的今天,反而在观念里容易忽视纸张等非电子方式记录的个人信息,如随处可见的“访客登记表”。
我们享受着全世界最便利的移动互联网服务,自然网络服务中的个人信息侵权也非常值得我们关注。这些网络服务提供者有着强大的法务合规团队,且自2019年以来各部门针对App合规治理工作持续至今,可以说网络服务的个人信息保护水平在个保法前后已经经过了一轮轮的提升。具体而言,检索的部分案例发生在自然人与大型互联网公司之间,有两起案例直接侵犯律师的个人信息权益。根据侵权行为我们将案件分为以下几类:
1、法律服务平台未经许可使用律师个人信息注册账户或进行展示
律师姓名、执业证号、代理案例等信息已由司法部门、人民法院公开,属于公开个人信息。个保法第二十七条确立了公开个人信息的处理规则,即个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。
在检索的案例中,法院认为法律服务平台为实现自身的商业目的,针对已公开个人信息的处理行为不属于法定的合理范围,甚至存在虚构律师收费标准、通过平台成功承揽业务量等数据,构成对律师个人信息权益的侵害。另外,法院还认为某平台系专业提供法律服务的商业网站,其理应熟知个人信息保护的法律规定以及合理使用个人信息的范围,对于法律服务平台个人信息保护水平提出了更高的要求。
2、侵害个人信息查阅、复制权
个保法第四十五条第二款规定:个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。此外,个保法在第四章专章规定“个人在个人信息处理活动中的权利”,企业如何响应个人提出的查阅、复制、更正、补充、删除等要求(DSR, Data Subject Request)将是合规的重点和难点。
广州互联网法院一审、广州中院二审的DSR第一案对于企业合规建设具有很大的借鉴意义。在该案件中,周某某基于个人信息泄露的担心,起诉至法院要求某平台披露收集的所有个人信息并删除非必要信息,针对需要披露的个人信息,周某某提供表格作为起诉状附件进行了详细的列明,可见维权的专业性,法院对于周某某的请求一一进行了回应,在具体认定上一二审法院也存在一定的差异。例如,一审认为平台有必要向周某某列出第三方SDK收集的周某某个人信息,包括信息类型、内容、使用目的及场景等;二审法院认为平台不需向用户披露SDK收集的个人信息,仅需披露《第三方SDK收集个人信息清单》即可,包括第三方SDK名称、使用场景、收集个人信息字段、个人信息类型、所属机构、政策说明等。
在北京互联网法院审理的某案件中,原告要求视频App提供其观看的全部视频数据信息,法院认为平台仅提供90天浏览记录的查阅、复制具有合理性。
关于个人信息处理者提供的个人信息查阅、复制方式,北京互联网法院认为:提供的信息形式在足以满足个人需求,且并没有为个人实现权利制造障碍的情况下,个人信息处理者可以依据其信息存储形式、存储能力,选择合理的提供信息的方式。对于特定类型的个人信息处理者是否可以按照用户的具体要求提供查阅、复制服务,是市场主体优化用户体验、加强市场竞争力的主动选择;是否应有相对统一、具体的提供方式,需要进一步的实践积累共识,形成相关标准或规范,司法不应在现阶段在个案中划定过于严苛的标准。
3、超出必要限度收集个人信息
(2021)粤03民终9583号民事判决中,深圳市中级人民法院认为:平台在其运营的某APP强制获取用户地区、性别信息未满足互联网平台收集处理用户个人信息的必要性原则,一审法院对此认定有误,本院予以纠正。某APP在上诉人王某二次下载APP未予授权的情况下继续使用其好友关系的行为并未获得有效的用户知情同意,不符合正当性要求。一审法院对此认定有误,本院予以纠正。显然平台在APP上述设置并非技术不能,而是通过不对等的设置路径刻意规避向用户提供撤回使用好友关系授权的便利。前述超必要收集个人信息的情形随着App的更新迭代得到解决。
4、其他侵权主张还包括未经许可发送营销短信、未经许可注册网络账户、大数据杀熟等。
(二)物业服务中的个人信息侵权案例分析
在我们身边还存在一个大规模个人信息处理场景,就是物业服务。物业公司收集了大量业主的个人信息及隐私信息,但由于数据安全措施的不足,监管制约的缺乏,以及员工的不当行为,导致物业服务领域中个人信息侵权事件频发。在检索的137份裁判文书中,物业服务中的侵权案例就有15件,占比11%。通过梳理这15件侵权案例,可以按照侵权行为将其大致分为以下几类:
1、非法公开个人信息
个保法第二十五条规定:个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。但通过检索的裁判文书可以发现,很多物业公司存在非法公开业主个人信息的情况,具体表现形式为:在业主群内公开含有业主个人信息(姓名、出生日期、住址、身份证件号码、电话号码等)的起诉状、强制执行申请书;在楼道信息公示栏张贴含有业主个人信息的合同、通告;在微信公众号公开含有业主个人信息的判决书;物业公司工作人员制作的ppt中包含业主个人信息,该工作人员通过微信公开发布等。
2、非法提供个人信息
民法典第一千零三十八条明确规定:未经自然人同意,不得向他人非法提供其个人信息。现实中也存在物业公司向其他业主提供同小区业主个人信息的情况,但司法实践中对于该行为并不完全做否定性评价。在(2021)湘0112民初7592号民事判决中,长沙市望城区人民法院就认为:案外人李某作为自然人,在与原告发生纠纷时,为维护自身利益,从被告处获取原告的个人信息,并以起诉的方式在合理范围内使用,以便于解决纠纷;被告宏德公司在合理范围内向其提供原告的身份信息,具有一定的正当性和合理性。从结果看,亦有利于通过民事诉讼的方式,正确处理其服务的业主之间的纠纷。而且原告亦未提供被告将上述材料向不特定他人予以泄露、扩散的相应证据。
当然,如果物业公司向他人提供业主个人信息的行为,后续已经影响到业主的正常生活,使业主遭受侵扰,发生物理层面以及心理层面的伤害,则该物业公司需要承担相应的侵权责任(如(2022)闽01民终5983号民事判决书)。
3、人脸识别侵权
目前许多人员密集、安全防范难度较大的小区,物业公司出于业主精准识别、安全进出、智能管理的考量,采用了人脸识别功能进行门禁管理,甚至也存在不少小区将人脸识别作为出入小区的唯一验证方式。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第十条规定:物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。
在检索的案例中也发现确实有业主明确对人脸识别作为唯一验证方式提出异议,但由于物业公司没有妥善处理,业主诉诸法院的情况。在(2022)津01民终349号民事判决中,天津市第一中级人民法院认为,根据上述规定,物业公司关于业主已知情同意、业委会同意等抗辩均不能成立,并支持了业主关于删除其人脸信息并为其提供其他通行验证方式的诉讼请求。
上述案例也说明,物业服务公司需要加强数据保护措施、定期提供员工培训、明确隐私政策、遵循现行法律规范,以确保业主的个人信息得到妥善保护,让业主在家住得安全,睡得安心。
(三)相邻关系中的个人信息侵权案例分析
既让人意外又不出人意料的是,相邻关系中的个人信息保护案例竟多达24件,主要表现形式为安装摄像头侵犯他人个人信息及在业主群内公开他人个人信息。个保法第二十六条规定:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。显然在住宅入户口或其他位置安装摄像头并不满足公共场所安装设备的要求,更不是维护公共安全所必需。因私人纠纷或者其他原因在业主群内公开他人信息也不属于正当理由。
1、针对安装摄像头侵犯他人个人信息的情形,法院会结合摄像头位置,具体分析摄像头是否涉及个人信息或隐私权益侵犯。原告的诉讼请求通常为拆除相应的摄像头,在检索案例中还存在两个案例进一步主张删除相应的视频内容。
2、针对业主群公开他人信息的情形,主要是一方未经许可将起诉状、裁判文书等资料发送至所在小区业主群,而起诉状、裁判文书未对当事人的姓名、出生日期、身份证号码等信息进行遮蔽,构成个人信息权益或隐私权的侵权。
(四)金融征信中的个人信息侵权案例分析
金融征信场景中的个人信息保护案例在整个检索案例中占比最高,达到18%,有25件案例。但仅有12件案例被认定为侵权,其中11件案例都是因为银行或者信用合作社错误报送征信信息,导致原告产生不良征信记录。但有意思的是,在案由选择上,大多数法院都选择了名誉权纠纷,认为征信信息的错误报送,导致征信系统对个人的诚信度不良记录和否定性评价,构成对名誉权的侵害。仅有2家法院以个人信息保护纠纷为案由立案审查,认为银行征信记录属于个人信息,应适用个人信息保护相关规定。
事实上,这一法律适用及案由选择争议民法典已经做出了明确规定,民法典第一千零三十条规定:民事主体与征信机构等信用信息处理者之间的关系,适用本编有关个人信息保护的规定和其他法律、行政法规的有关规定。
(五)私人纠纷中的个人信息侵权案例分析
私人之间因情感、家庭或其他纠葛也会涉及个人信息侵权问题,我们共检索到 12 件案例。当然业主群内公开他人个人信息本质上也属于私人纠纷,为了便于统计,我们将其归类至相邻关系。如果将这些案件归类至私人纠纷,可以看到私人纠纷场景下涉及个人信息侵权的案例不在少数。本类纠纷中涉及的具体情形较为丰富,如被告在诉讼中恶意使用原告地址作为本人地址,随着裁判文书的公开导致原告地址公开,从而受到侵扰。该案件侧面反映出裁判文书公开的个人信息也违背必要原则。常见的纠纷类型还有在朋友圈、抖音等社交媒体公开他人个人信息,如身份证照片、行政处罚文书等,通常情况下法院均会给与否定评价。
(六)劳动关系中的个人信息侵权案例分析
虽说是劳动关系中的侵权,但在该分类项下,我们梳理发现更多案例是,在未建立劳动关系的前提下,用人单位使用他人的个人信息为其购买社保,一定程度上影响了他人的正常求职及社保缴纳。在检索的案例中甚至有6家企业在不同时间段为同一位未毕业大学生缴纳社保的情况,该社保缴纳行为将可能导致该学生无法以应届毕业生身份择业,最终该学生诉诸3家法院才完全解决其社保被错误缴纳的问题,严重影响了该学生的学习和生活,同时也带来了一定的精神困扰。
还有部分案例是用人单位未经劳动者同意,在公司微信群中公开了劳动者的个人信息(身份证号码、身份证地址、家庭地址、家庭成员手机号码等);用人单位在劳动者离职后,将该劳动者实名注册且开通电信支付业务的手机号交由他人使用,且未协助劳动者办理手机号码关联人信息的变更。用人单位应加强对劳动者个人信息的管理和保护工作,做好入职前、工作中、离职后的个人信息全流程管理。
(七)公益诉讼中的个人信息侵权案例分析
个保法第七十条规定:个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。本次检索的案例中有 6 件由各地检察院提起的个人信息保护民事公益诉讼。被起诉的对象有运营商的工作人员、拥有相应权限的合作机构人员以及手机店的经营者,前述人员利用职务便利获取个人电话号码、验证码等信息,非法获利。判赔金额通常为被告非法获利金额。从检索的6 个案件来看,最高金额为 16700 元,其他多为数千元。
(八)其他场景中的个人信息侵权案例分析
除了上述七大场景外,还存在其他场景下的个人信息侵权,如利用他人个人信息修改他人报考志愿;在售楼处安装摄像头收集人脸信息进行判客;电影实景拍摄泄漏他人电话号码;冒用他人身份信息注册公司;未经他人同意,频繁向他人进行电话营销、微信推销;借用他人个人信息注册社媒账号,在他人撤回同意后仍然使用该社媒账号从事营利活动;未经他人同意,将其个人信息传输给第三方办理业务等。
这些案例分布在教育、经济、营销、文娱和社交媒体等各种领域,也反映了个人信息侵权问题的广泛性和复杂性。
三、结语
个保法实施两周年,个人信息保护、数据安全始终是人们关注的热点与焦点。这里面有“日新月异”的立法,有高额的行政处罚,也有频繁的监管通报。当然,个保法的实际运行情况也离不开各级人民法院良好的司法实践。
谨以本文纪念个保法实施两周年。
技术驱动法律,专业成就未来