10月30日,北京互联网法院召开涉个人信息及数据相关案件审理情况新闻通报会,对近一年来受理的113起个人信息保护纠纷案件的审理情况、主要特征、存在问题等进行分析,并从网络用户、个人信息处理者以及相关监管部门等角度就加强个人信息保护和数据合理利用提出建议。
超八成案件的被告为互联网企业
南都记者了解到,2023年10月至今年10月,北京互联网法院共受理个人信息保护纠纷案件113件,其中已审结104件。
从侵权主体来看,上述113起案件中,以互联网企业为被告的案件最多,共计95件,占比84.1%;以物业公司、房屋租赁中介、雇佣单位等法人或非法人组织为被告的案件共计11件,占比9.7%;仅以自然人为被告的案件有7起,占比6.2%。涉及的行业领域较为广泛,反映出数字时代个人信息处理主体的多样性,以及个人信息处理活动的频繁性。
此外,从侵权形态来看,涉及侵害个人信息的知情权与决定权的案件最多,主要侵权形式为未经同意收集、公开、提供个人信息,或超范围收集个人信息,共计73件,占比64.6%;其次为主张被告泄露个人信息导致经济损失的案件,共计33件,占比29.2%;涉及主张行使个人信息查阅、复制、删除、更正补充权的,共计5件,占比4.4%。
北京互联网法院进一步分析发现,113起案件呈现出三方面特征。
一是个人信息保护与数据合理利用价值间存在张力。在与规模化处理个人信息的互联网平台相关的案件中,往往涉及到个人权益保护与促进数据利用之间的平衡问题。具体而言,个人信息处理者希望鼓励个人信息、数据的共享,最大化实现个人信息和数据的经济效用;大多数个人则希望严格限制个人信息、数据共享,以避免自身合法权益遭受侵害。
二是权益主体主张的个人信息类型日益丰富。除《民法典》中明确列举的自然人的姓名、出生日期、身份证号码、生物识别信息等个人信息类型外,实践中出现个人信息权益主体主张对网络交易信息、浏览记录及浏览量、网络社交媒体留言、关注与粉丝列表、网络账号名称等信息类型享有个人信息权益。判断这些新类型的信息是否属于个人信息,往往成为案件的争议焦点和审理难点。
三是“AI换脸”人工智能等新类型侵权案件不断涌现。技术的快速发展带来了新的治理难点,主要包括技术滥用、个人信息泄露、虚假信息传播等问题,个人信息侵权纠纷呈现出明显的技术性、复杂性,涌现出许多新类型案件,涉诉信息更为敏感、私密,保护与利用的边界争议日益凸显。
相关规则缺乏限制了公共数据资源的利用
经过对113 起案件的统计分析,北京互联网法院总结了在实现个人信息保护与数据合理利用过程中,主要存在的问题。
首先,个人在多元化在线场景中的个人信息保护意识和能力有待提升。网络用户深度参与、依赖在线服务等各类网络活动,加大了个人信息暴露风险。常见情形包括在社交媒体中无意识泄露个人信息甚至个人隐私;为了领取平台提供的优惠便利随意提供自身敏感个人信息;对钓鱼网站、垃圾短信、病毒程序等识别防范意识和能力不足,导致个人信息被非法收集等。
其次是个人信息处理者未严格履行法定义务引发信息安全风险。个人信息处理者有义务采取必要措施确保个人信息处理活动符合法律、行政法规规定,并保障所处理个人信息的安全。然而,部分个人信息处理者未经用户同意,违反合法、正当、最小必要等原则,非法处理自然人的个人信息,侵害自然人个人信息权益。
再者是监管部门执法手段与风险预警措施需进一步加强。个人信息保护涉及对象多、领域广;加密通信、虚拟货币等新技术的加速应用,加大了执法和监管成本,行政执法部门可能难以及时采取相对应的监管措施。此外,公共数据的开发利用规则尚未完全建立,限制了公共数据资源的利用。
为此,北京互联网法院结合上述问题及实践经验,提出一系列建议。
从用户角度看,要增强个人信息保护意识和能力。树立“非必要不提供”个人信息的意识;妥善保管好个人社交媒体账号等网络账号,确定不再使用时应及时注销或解绑;不仅要在注册软件、向他人提供个人信息时仔细阅读相关条款,还要熟练掌握手机及应用程序相关的隐私设置、访问权限设置等操作方法。当个人信息权益被侵害时,要及时留存相关证据,依法维护自身合法权益。
从个人信息处理者角度看,要落实其保护义务和责任。在个人信息处理活动中始终坚持合法、正当、必要原则,自觉提升合规管理能力和水平;明示个人信息处理规则,确保自然人在充分知情的情况下作出明确同意,并建立已收集个人信息清单;完善内部管理机制,建立全生命周期个人信息保护机制等。
从监管角度来看,需进一步加强个人信息的保护与监管力度。履行个人信息保护职责的部门应当不断健全个人信息保护制度体系,制定和完善个人信息保护国家标准,加强各部门工作联动,充分利用数字化手段,提升监管执法效能。同时,进一步强化普法工作,引导广大人民群众学习和掌握个人信息保护技能等。
采写:南都记者 樊文扬