2023年《个人信息保护法》司法案例综述

《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）明确赋予了个人在个人信息处理活动中享有的知情权、决定权、查阅权、复制权、转移权、更正权、补充权、删除权等权利，不仅规定了相应的司法救济路径，还通过“过错推定”、“公益诉讼”等法律责任承担机制强化个人信息的司法保护。为观察《个人信息保护法》在司法实践中的应用情况，本文对2023年援引《个人信息保护法》的司法案例进行筛选梳理，综述如下。

一、2023年《个人信息保护法》司法案例梳理

本文所选案例需同时满足以下标准：（1）审结日期为2023年；（2）民事判决，包括公益诉讼；（3）判决书实质性引用《个人信息保护法》的条文。本文通过中国裁判文书网、北大法宝、威科先行进行检索，共得到11篇符合标准的裁判文书如下（筛选过程详见文末）：

二、合法性基础的选择

《个人信息保护法》第13条要求处理个人信息应具备合法性基础，并规定了“个人同意”、“订立、履行合同所必需”等七种合法性基础，构建了以“知情同意”为核心的合法性基础体系，并采用“列举+兜底”的方式规定了取得个人同意以外的合法处理情形，以实现个人信息主体及个人信息处理者乃至社会集体等多方利益的动态平衡。合法性基础的存在与否，既是争议的基点，也是纠纷的焦点。

在以“取得个人的同意”为合法性基础的案例中，涉及到个人撤回同意后已绑定企业抖音账号的处置、以实际使用电商平台作出同意的有效性判定。北京延庆法院在“刘婉竹与支棱起来北京文化传媒有限公司退伙纠纷案”中认为，个人因工作需要在运营企业抖音账号时用自己的身份信息进行实名认证，在个人退出公司后有权撤回同意从而要求公司停止使用个人的身份信息、解除抖音平台绑定。北京互联网法院在“许某与北京京东叁佰陆拾度电子商务有限公司民事纠纷案”中认为，被告在用户协议中约定了用户理解并同意被告发送订单信息、促销活动等内容的短信，原告使用被告平台以行动做出了对用户协议的同意；且用户协议中格式条款为发送促销活动等内容的短信，购物平台向平台注册用户发送促销短信，提醒用户参加促销活动，并未限制原告的主要权利，不存在格式合同无效情形；同时，被告使用原告手机号发送与平台内优惠活动等相关的短信，并非《个人信息保护法》规定的需要单独授权的情形；此外，由于被告提供了明确的关闭接收短信的渠道和指引，原告可自行设置关闭。综合以上情况，被告不存在强迫或变相强迫原告同意的情形。

在以“订立、履行合同所必需”为合法性基础的案例中，涉及到“所必需”范围的判定。北京四中院在“蔡文宗与北京京东叁佰陆拾度电子商务有限公司信息网络买卖合同纠纷案”中，从“相关行业规范和标准”以及“基本服务功能或用户自主选择附加功能的实现”两个角度，认为电子商务平台经营者为履行合同之必要收集注册用户的收货人姓名（名称）、地址、联系电话等个人信息并据此依据相关平台规则取消涉案订单，具有合法性基础。

关于“为履行法定职责或者法定义务所必需”，辽宁兴城法院在“于秋洪与辽宁兴城农村商业银行股份有限公司羊安支行民事纠纷案”中，认为原告在被告处抵押担保借款到期后未予清偿，中国人民银行征信中心依照法律、行政法规规定的权限、程序对原告的不良信用进行记录登记，系为履行法定职责或者法定义务所必需的职务行为，并未超出履行法定职责所必需的范围和限度，故对原告的各项请求不予支持。

在以“已公开个人信息的合理使用”为合法性基础的案例中，涉及到“合理使用”范围的判定。广州互联网法院在“麦海波、北京法先生科技有限公司等网络侵权责任纠纷案”中，认为对于范围合理与否的评价，应以处理目的和处理方式作为评价依据。在该案中，原告系广州市注册执业律师，受广州市律师协会管理。根据广州市律师协会发布《严正声明》中载明内容，“法先生”平台未经律师授权公开展示广州律师的联系方式等具体信息，小程序中显示的法律顾问与律师达成合作事宜涉嫌虚假宣传。从该声明文件中可知，一方面，法先生公司为实现自身的商业目的，采取了更具有侵害性的处理方式；另一方面，该处理活动对个人权益已造成重大影响，个人信息处理者应当取得个人同意。法先生平台为原告设定“收费标准”、显示原告“执业年限”“胜诉率”“执业证照片”等信息，虚构其在“法先生”平台成功承揽业务次数等数据，均未取得原告本人的同意。因此，法先生公司已违反合法、正当、必要等原则，构成了对麦海波个人信息权益的侵害行为。

三、规范自动化决策

在与自动化决策相关的案例中，涉及到自动化决策的概念以及结果是否公平、公正的判断。广州互联网法院在“麦海波北京法先生科技有限公司等网络侵权责任纠纷案”中，提到“就产业实践经验看，自动化决策通常包括两个环节：一是用户画像，二是利用用户画像结果对个人做出决策”，并认为虽然“生成”用户画像结果是自动化决策中的一个常见环节，但对于被告在“生成”的基础上，“公开”用户画像结果，并帮助平台使用者决策的行为，亦应当认定为自动化决策。广州互联网法院在“张奚杭州网易雷火科技有限公司等网络服务合同纠纷案”中，针对原告充值“运气”非常差、遭遇“大数据杀熟”的主张，在综合考虑下述因素后，认为原告主张缺少事实依据：（1）充值获取宝石并非唯一方法；（2）原告充值获取宝石的历史情况符合游戏公示概率；（3）充值金额与原告相当的同服务器其他玩家，既有比原告共鸣度数值高的，也有比原告共鸣度数值低的（共鸣度数值的高低主要与宝石等级有关）；（4）被告并未提供充值直接购买共鸣度数值的服务。

四、个人信息权利的实现

在与个人信息权利相关的案例中，涉及到保障查阅、复制权行使的范围及方式。在“李永卓与北京抖音信息服务有限公司网络侵权责任纠纷案”中，北京互联网法院在一审中认为，原告主张查阅、复制的浏览记录中的视频名称、视频发布者账号，既属于原告的关联性信息，也属于视频发布者识别性个人信息。在某信息同属于多主体个人信息的情况下，查阅、复制权的行使应充分进行利益衡量，遵循以下原则：查阅、复制的主体应对个人信息享有合法合理利益；不应侵害其他主体合法权益，并尽可能对其他个人信息主体影响较小。因此，综合考虑原告主张的查阅、复制事项属于原告个人账号下的浏览行为信息，其中视频创作者名称、视频名称系视频创作者已主动公开的个人信息且非敏感，原告要求提供的信息主要集中于自身知情，并无格外侵害第三方利益的动机，因此抖音公司应予提供原告要求的个人信息。对于在浏览记录中仅提供网页链接地址（而不完全按照个人请求提供对应页面中的具体内容）的方式，北京四中院在二审中认为，诚然从技术的角度上可能不会过于困难，但个人信息的查阅、复制不同于一般意义上的信息查询与拷贝，个人信息查阅、复制权系主要为保障个人信息主体对于自己信息知情和决定等权利的实现，防范个人信息被不当处理进而损害个人权益而设置，并不服务于个人的任意请求目的，上诉人如基于个人统计、分析目的需要上述具体信息，根据被上诉人提供的个人信息副本和上诉人个人西瓜视频账户内的观看历史记录自行解决即可。

五、个人信息侵权责任

在多个案例中涉及到个人信息侵权的过错认定、因果关系、损害类型、赔偿计算。

关于过错认定，在“薛祥飞、浙江淘宝网络有限公司隐私权纠纷案”中，针对《个人信息保护法》第69条过错推定原则的具体适用，杭州互联网法院认为，既要从宏观上考虑个人信息处理者采取的合规保护措施，也要从微观上考虑个人信息处理者个案中是否存在违法、违规处理行为，以及是否尽到了合理的与个案具体相关的安全保障义务，具体包括：（1）对信息处理者侵权责任中的过错应采客观过失标准，即在认定是否具有过失时不再探究特定行为人主观心理状态，而是统一基于社会生活共同需要提出某种的客观标准即“合理的人”或“善良管理人”的标准，将合理的人放在与行为人相同的情形之下，判断这个合理的人对于损害的发生是否可以预见、是否可以避免；（2）在具体的步骤和标准上，个人信息处理者要证明其信息处理行为无过错，首先，需要证明其没有违反个人信息处理规则的法律规范；其次，需要证明其采取了与案涉处理行为相关联的个人信息保护必要合规措施；最后，个人信息处理者还需要证明其已经尽到了与其专业能力相匹配的合理谨慎的人在特定情形下（与具体信息处理行为直接相关联的）所应尽到的安全保障注意义务。

关于因果关系，在“薛祥飞、浙江淘宝网络有限公司隐私权纠纷案”中，杭州互联网法院认为，考虑到个人信息具有很强的流动性，应适当降低个人信息处理者侵权责任中的因果关系证明标准，即只要个人提供的证据能够证明个人信息处理者存在泄露原告个人信息的高度可能性，或能够证明个人信息处理者的信息处理行为具有造成个人信息权益受损害的高度可能性，即初步完成了对因果关系的举证责任。此时，个人信息处理者应提供证据来推翻这种高度可能性，使之重新进入真伪不明的状态中，否则，应认定个人信息处理行为与损害事实之间存在有因果关系。

关于损害类型，精神损害是否被支持，取决于具体的情形。在“夏蔓莉与北京天荒地老科技有限公司侵权责任纠纷案”中，北京怀柔法院既判处被告向原告赔礼道歉，也判决被告在该判决生效后十日内赔偿原告维权合理支出1元、精神损害抚慰金1元。在“许林琳中国银行股份有限公司辽宁省分行等民事纠纷案”中，辽宁鞍山中院认为，尽管被上诉人某某鞍山分公司在未经许某某准许的情况下，擅自获取许某某的个人信息，多次拨打上诉人电话，但上诉人未举证证明某某鞍山分公司通过非法途径获取其电话号码后造成许某某人身或精神受到严重损害。根据许某某在一审中提供的通话录音内容可知某某鞍山分公司并无侵害许某某个人信息权益的故意，其向上诉人拨打电话的目的系提示上诉人母亲林某及时清偿信用卡贷款。某某鞍山分公司并未造成严重后果，亦无侵害许某某个人信息权益的故意，上诉人许某某要求各被上诉人赔偿精神损害抚慰金或公开致歉无事实和法律依据，因此不予支持并维持原判。

关于损害计算，合理开支可以被支持。在“麦海波北京法先生科技有限公司等网络侵权责任纠纷案”中，广州互联网法院结合该案取证等相关费用的合理性、必要性，综合考虑法先生公司对原告个人信息的具体使用方式、数量、范围、侵权持续时间等因素，依法酌定法先生公司赔偿原告经济损失3000元（含合理开支）。

六、个人信息保护公益诉讼

在“吉林省松原市人民检察院黄某1等个人信息保护纠纷案”中，吉林长春铁路运输中院认为，松原市检察院履职中发现存在侵害众多自然人个人信息的情形，因涉嫌侵害公共利益遂作出案涉公告，公告期内未有法律规定的机关和有关组织提起民事公益诉讼，故其依法具有提起本案诉讼的起诉人主体资格。此外，在该案中法院认为，被告以牟利为目的，未经机主同意便发送其手机号及短信验证码且数量众多，业已侵害公共利益。

附：案例检索筛选过程

本文针对2023年《个人信息保护法》司法案例的选取标准有三：第一，裁判文书的审结时间或典型案例的通报时间为2023年，而非案件发生或立案时间为2023年。第二，裁判文书的性质为民事判决书，不包括裁定书。同时根据《个人信息保护法》第70条的规定吸纳行政公益诉讼案件（行政公益诉讼案件大多通过诉前的检察建议进行实质性治理，未能在裁判依据部分适用《个人信息保护法》的具体规定），但不包括以侵犯公民个人信息罪为主的刑事案件。第三，案件必须以《个人信息保护法》的某个或某几个条文为审判依据，仅在裁判文书全文当中涉及或提及个人信息保护法的不纳入收集范围。本文通过中国裁判文书网、北大法宝、威科先行三大数据数据库检索的案例进行交叉印证和彼此补充，得到9篇符合条件的裁判文书和2篇反证裁判文书，共11篇。

（一）中国裁判文书网的案例的检索和收集

在中国裁判文书网，以全文选项设置检索“个人信息保护法”、在案件类型选择“民事案件”、在裁判年份选择“2023”，共得到46篇文书（含判决书40篇、裁定书6篇），检索时间为2024年1月15日。经人工筛查，其中以《个人信息保护法》作为裁判依据或裁判理由的判决书共9篇。

（二）北大法宝的案例的检索和收集

在北大法宝-中国司法案例数据库，以“裁判依据”选项设置检索“个人信息保护法”、在案件类型选择“民事案件”、在裁判年份选择“2023”（指裁判文书的审结时间在2023年的，并非案件发生或立案时间），共得到8篇判决书，检索时间为2024年1月15日。经人工筛查，可用的裁判文书与在中国裁判文书网已经收集到的判决书完全重合。此外，在北大法宝-中国司法案例数据库，以“全文”选项设置检索“个人信息保护法”，在“参照级别”当中人工筛查的案例共14个。这14个参照案例因无法查找到裁判文书全文，因此不列入综述范围，但仍然列出，以资参考和查阅。

（三）威科先行·法律信息库的案例的检索和收集

在威科先行·法律信息库裁判文书库，以“全文”选项设置检索“个人信息保护法”，在案件类型选择“民事”，在裁判年份选择“2023”，文书类型选择“判决书”，共得到42篇判决书，检索时间为2024年1月15日。经人工筛查，可用的裁判文书与在中国裁判文书网已经收集到的判决书完全重合。此外，在人工筛查的时候发现，有2篇判决书虽然最终没有以《个人信息保护法》为裁判依据，但却在“本院认为”中以《个人信息保护法》的相关规定作为裁判理由进行论述。这两篇判决书恰恰是所涉《个人信息保护法》相关条款的佐证或反证，因此也一并梳理在内。

郭小伟 | 清华大学智能法治研究院实习生

选题、指导 | 刘云、李天烁

编辑 | 刘懿阳

注：本公众号原创文章的著作权均归属于清华大学智能法治研究院，需转载者请在本公众号后台留言或者发送申请至computational_law@tsinghua.edu.cn，申请需注明拟转载公众号/网站名称、主理者基本信息、拟转载的文章标题等基本信息。

声明：本文来自清华大学智能法治研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。