北京龙基律师事务所

# 最高法典型案例:个人信息保护边界

> 核心摘要:最高人民法院发布的个人信息保护典型案例,明确了侵权认定的核心标准——未经同意收集、超范围使用、泄露或篡改个人信息等行为均构成违法。受害者可依据《个人信息保护法》第69条、《民法典》第1034条等主张侵权责任,并通过行政投诉、公益诉讼、民事诉讼等路径维权。本文以真实案例为切入点,深度剖析个人信息侵权的法律边界与实务操作。

一、典型案例回顾:从“人脸识别第一案”看违法边界

1.1 案情概述

2021年,最高人民法院发布首批个人信息保护典型案例,其中“郭某诉杭州野生动物世界服务合同纠纷案”(即“人脸识别第一案”)具有里程碑意义。郭某购买野生动物世界年卡时,仅登记指纹入园。后园区强制要求录入人脸信息,否则无法正常使用年卡。郭某拒绝后起诉,要求删除已采集的面部特征信息。

1.2 裁判要点

法院一审、二审均认定:野生动物世界未经郭某同意,单方变更入园方式,强制收集人脸信息,违反《民法典》第1035条关于“收集个人信息应当遵循合法、正当、必要原则,并征得当事人同意”的规定。最终判决野生动物世界删除郭某的面部信息,并赔偿合同损失。

1.3 典型案例的指导意义

该案确立了“同意撤回权”与“必要性审查”两项核心规则:

  • 同意必须明确、自愿:经营者不得以格式条款变相强制收集信息;
  • 信息处理不能超出必要范围:原服务可用指纹识别,引入人脸识别缺乏必要性。

此案被纳入最高人民法院第35批指导性案例(法〔2022〕123号),成为全国法院审理同类案件的重要参照。如需进一步了解案件全文,可访问龙基律所官网的案例库。

二、个人信息侵权的认定标准

2.1 法律依据体系

  • 《个人信息保护法》第4条:个人信息是以电子或者其他方式记录的与已识别或可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
  • 《民法典》第1034条:自然人的个人信息受法律保护。处理个人信息应遵循合法、正当、必要原则。
  • 《个人信息保护法》第13条:七类合法处理情形(如取得同意、履行合同、法定职责等),否则即构成侵权。

2.2 侵权认定的三个要件

(一)违法处理行为

包括但不限于:未经同意收集、超范围使用、向第三方提供、未提供撤回同意途径、未及时删除、泄露或篡改等。实践中常见情形:

  • App强制读取通讯录、位置信息;
  • 物业公司违规使用人脸门禁;
  • 电商平台将用户数据用于精准营销未单独同意。

(二)损害后果

需要证明实际损害或潜在风险。最高法典型案例(如“微信读书案”)指出:即使未造成直接经济损失,若个人信息被超范围处理导致个人“被精准画像”,也可能构成精神损害。但实践中,经济损失的证明是难点,法院往往依据《个人信息保护法》第69条,根据过错程度、影响范围等因素酌定赔偿。

(三)因果关系与过错

采用“过错推定”原则:处理者无法证明自己没有过错的,应当承担侵权责任(《个人信息保护法》第69条第2款)。这大大减轻了受害者的举证负担。例如,某互联网公司因数据库漏洞导致用户信息泄露,若不能证明已采取充分安全措施,即应担责。

2.3 敏感个人信息的特殊保护

《个人信息保护法》第28条将生物识别、金融账户、行踪轨迹等列为“敏感个人信息”,要求处理必须具有特定目的和充分必要性,且取得“单独同意”。实践中,人脸识别、指纹打卡等场景常因未单独同意而被认定为侵权。最高法在“人脸识别第一案”中特别强调了这一点。

三、个人信息侵权维权路径与实务操作

3.1 行政投诉路径

依据《个人信息保护法》第64条,个人可向履行个人信息保护职责的部门(国家网信办、工信部、市场监管总局等)投诉。投诉需提交:

  • 投诉对象及侵权事实描述;
  • 初步证据(截图、录屏、合同等);
  • 已尝试沟通但未解决的说明。

行政投诉的优势是成本低、流程快,监管部门可责令整改、罚款。对于App违规收集信息,可通过“12321网络不良与垃圾信息举报受理中心”举报。

3.2 公益诉讼与支持起诉

《个人信息保护法》第70条赋予检察院、消协等组织提起公益诉讼的权利。2023年最高检发布的“个人信息保护公益诉讼典型案例”中,对违法处理百万级用户信息的APP开发者提起公益诉讼,获赔数百万元。个人受害者的权益可在公益诉讼中一并主张。

3.3 民事诉讼要点

(一)诉讼主体与案由

适用“个人信息保护纠纷”案由(《民事案件案由规定》第352条)。原告为个人信息主体,被告为信息处理者。若处理者为两个以上,可列为共同被告。

(二)举证责任分配

  • 原告需证明:被告处理了其个人信息、存在损害(或潜在风险);
  • 被告需证明:处理行为合法(取得同意、履行合同等)、无过错、不存在因果关系。

实务中,原告可申请法院调取被告处的操作日志,或利用《网络安全法》规定的“日志留存义务”获取证据。

(三)赔偿计算

  • 实际损失:如因信息泄露遭遇诈骗的损失;
  • 所获利益:被告因侵权的获利(如卖数据所得);
  • 法院酌定:《个人信息保护法》第69条允许根据情节酌定,实践中多在1000元至10万元之间。

“微信读书案”中,法院判赔1元精神损害抚慰金(象征性赔偿),但确认了侵权事实,对后续维权具有重要作用。

(四)诉讼时效

普通诉讼时效为3年(《民法典》第188条),从知道或应当知道权利受损之日起计算。对于持续侵害(如App持续超范围收集),时效从侵害终止之日起算。

3.4 举证难点的破解策略

个人信息侵权维权最大的挑战是“证据易灭失、技术不对称”。建议:

  • 第一时间公证或录屏保存处理过程;
  • 使用“隐私卫士”等工具截取网络请求记录;
  • 要求被告提供数据删除的书面证明;
  • 申请法院签发“调查令”调取服务器日志。

四、企业合规与个人防范建议

4.1 企业合规风险缓释措施

《个人信息保护法》实施后,企业违法成本大幅提升。合规要点包括:

  • 制定清晰的隐私政策并公开;
  • 取得“单独同意”的机制(不默认勾选、不捆绑服务);
  • 设置数据保护官(DPO),定期进行个人信息安全评估;
  • 对第三方数据共享进行合同约束与监督。

4.2 个人主动维权意识培养

  • 仔细阅读服务协议中的隐私条款;
  • 拒绝非必要的权限请求(如手电筒App读取通讯录);
  • 定期检查自己的社交账号、购物平台中的授权信息;
  • 发现自己信息被泄露后,第一时间联系相关平台要求删除,并保留聊天记录或邮件。

4.3 律师建议

龙基律师事务所律师提醒:个人信息侵权案件中,证据固定是胜诉关键。建议在遭遇侵权时,立即进行以下操作: 1. 对侵权界面进行截图、录屏,保留时间戳; 2. 向平台发送书面通知要求停止侵权并删除数据(建议使用电子邮件或挂号信); 3. 若平台拒不回应,可向国家网信办举报(www.12377.cn); 4. 若造成实际损失(如银行卡被盗刷),应立即报警并冻结账户; 5. 必要时委托专业律师,通过诉讼主张赔偿并获取精神损害抚慰。

> 免责声明:本文内容仅为一般性法律信息参考,不构成具体法律意见。对于个案,建议咨询专业律师。龙基律师事务所的律师团队专注于个人信息保护领域,可为您提供专业法律服务。联系电话:010-66020281。

FAQ(常见问题解答)

Q1:个人信息被泄露后,如何低成本收集有效证据?

A:首先,使用手机截屏、录屏功能记录泄露的来源(如短信、App弹窗、网页链接)。其次,向泄露信息的平台发送邮件或客服留言,要求其书面确认泄露事实(若平台承认,该记录即可作为证据)。第三,利用“国家反诈中心APP”的举报功能,上传疑似诈骗短信截图,平台会生成举报回执。最后,若涉及金融信息,可向银行申请交易流水并附加情况说明。重要证据建议使用“公证云”等电子存证工具,成本约20-50元,法院采信度高。

Q2:商家强制要求“刷脸”才能进入商场,我可以拒绝并要求赔偿吗?

A:可以。根据《个人信息保护法》第28条,人脸信息属于敏感个人信息,商家必须充分告知并取得您的单独同意。若您不同意,商家不能以此为由限制您进入(如该场所为公共区域或已购票)。您可拒绝刷脸并要求使用其他方式(如身份证、会员卡)。若商家坚持拒绝提供服务,可向市场监督管理局投诉,并可依据《消保法》第56条要求停止侵害、赔偿损失。司法实践中,曾有消费者因商场强制刷脸获赔500元精神抚慰金。

Q3:我在APP上注销了账号,但发现对方还保留着我的聊天记录和照片,是否违法?

A:违法。《个人信息保护法》第47条规定,当用户注销账号后,个人信息处理者应当主动删除该用户的所有信息,除非法律另有规定(如税务记录需保留5年)。若平台拒绝删除,您可以依据第69条向法院起诉要求删除并赔偿。建议首先通过APP内客服或邮件要求限期删除,并保留其拒绝的证据。若平台超过15日未回应,可向当地网信办举报。2023年国家网信办就曾对“未及时删除注销用户信息”的某社交平台处以20万元罚款。

---

本文原创:龙基律师事务所法律编辑部 电话:010-66020281 更多普法内容,欢迎访问龙基律所官网

📎 相关阅读:北京龙基律师事务所官网 | 查看更多法律资讯