个人信息保护面临新挑战！北京互联网法院：涉诉个人信息类型和侵权形态较为多样

      中国消费者报报道（记者桑雪骐）线下扫码付款，个人交易信息就被共享至线上小程序；个人信息处理者自动为用户勾选同意隐私政策，且无撤回途径……10月30日，在《个人信息保护法》施行三周年之际，北京互联网法院召开涉个人信息及数据相关案件审理情况新闻通报会，通报此类案件的审理情况，并发布了八起典型案例。

　　实体店线上小程序获取线下交易信息须消费者同意

　　越来越多的消费者在线下商店购物时会选择自助扫码付款，但是让消费者马先生没想到的是，他在由青岛某公司实际运营的线下商店使用微信扫一扫功能支付购物款项后，自己的个人信息却被共享到与商店同名、由北京某电子商务公司运营的微信小程序上。

　　据介绍，马先生在线下商店的收款台自主扫描商品条形码形成商品订单后自主结账，收款台屏幕出现“扫一扫支付”二维码后，显示付款方式有支付宝、微信和商店小程序。马先生使用微信扫一扫功能扫描该二维码，跳转至商店微信小程序，小程序随即显示该笔交易的交易店面、交易时间、商品名称等信息，点击“立即支付”后可付款成功。马先生认为，自己在线下购物、线下微信付款，并未调用、使用该商店微信小程序，而且该微信小程序也没有余额，在原告扫描“扫一扫支付”二维码后，就被商店微信小程序获取了自己的线下购物信息，侵害其个人信息权益，故将微信小程序运营者诉至北京市互联网法院，要求被告赔礼道歉。

　　经法院审理发现，涉案微信小程序的《用户服务协议》和《隐私政策》均无征求消费者同意获取消费者线下交易记录的相关条款，因此被告运营的微信小程序获取原告的线下交易记录的行为，未经原告同意，也非订立、履行合同所必需，构成对原告个人信息权益的侵害。判决被告向原告书面赔礼道歉

　　“随着经济数字化程度加深，线上线下一体化自营商店呈现规模化发展，该类商店往往有独立运营的APP、微信小程序等集支付、消费于一体的线上平台。该类经营模式虽具有其独有的特征和优势，但在个人信息处理方面容易引发个人信息侵权风险。”北京互联网法院综合审判三庭法官王红霞表示，消费者的线下购物信息因包含交易店面、付款价格等，系消费者在交易活动中产生的信息，构成消费者的个人信息。经营者在处理该类信息时，应当遵循合法、正当、必要等原则，如需线上线下不同经营主体共享该类信息，应当充分告知消费者并取得消费者同意。

　　自动勾选的隐私政策协议无效

　　如今，使用各种软件、程序，都会有一个消费者对于服务协议和隐私政策勾选意见的过程，但是有消费者却发现，某款流行语检索软件的相关勾选页面，用户并不需要实际阅读，只要点击手机屏幕的任何位置，提示框会消失，而系统会自动勾选“已阅读并同意服务和隐私政策”的选项。此外该软件在《隐私政策》中说明需要收集电话号码、设备信息等与词典功能无关的个人信息，并且没有能撤回同意的途径。在软件运营者新增了撤回同意的设置后，原告发现撤回同意后，自己的账号信息虽然不再显示，但账号评论却依然被保留。

　　消费者认为，软件运营者的上述行为侵害其个人信息权益，将其诉至北京市互联网法院。法院审理后认为，被告未设置措施保证用户能够充分知情其隐私政策内容，且所收集的信息超出了实现目的的最小范围。用户虽然可以通过注销账号的方式对同意进行撤回，但这既不属于《个人信息保护法》第十五条规定的“便捷的撤回方式”，又违反了第十六条规定的“不得以撤回同意为由拒绝提供产品或服务”的规定。因此，法院判决被告删除收集的原告昵称、手机号码、密码、头像、设备信息和用户行为信息，书面向原告赔礼道歉并赔偿合理开支。

　　个人信息保护案件涉及行业范围广泛

　　“近日，国务院公布《网络数据安全管理条例》，立足于规范网络数据处理活动的同时，也将保护个人信息权益作为重要内容。”北京互联网法院党组成员、副院长赵瑞罡介绍说，自2023年10月至今，北京互联网法院共受理113件涉及个人信息保护的案件，涉及的行业领域较为广泛，以互联网企业为被诉主体的案件最多，涉诉个人信息类型和侵权形态较为多样。

　　据赵瑞罡介绍，调研发现，数字经济下个人信息权益和其他人格权错综交织，呈现出较为复杂的权益形态，涉诉案件中单独以个人信息权益受到侵害为由起诉的不足40%。另外，个人信息保护案件涉诉信息类型较为丰富，既包含基础个人信息，如手机号、身份证号等，也有因人工智能技术引发的“AI换脸”等新类型侵权案件，还包括多种衍生信息，亦包括大量法律未明确列举的个人信息，如电子商务平台上形成的用户订单交易详情、客服沟通记录等。这反映出，个人信息与企业的衍生数据相互交织，呈现复杂化的状态和趋势。

　　与此同时，从侵权形态来看，涉及侵害个人信息的知情权与决定权的案件最多，主要侵权形式为未经同意收集、公开、提供个人信息，或超范围收集个人信息。部分案件中反映网络平台运营者未尽到保障用户个人信息安全的法定义务，导致用户个人信息遭受泄露、篡改、冒用。例如，网络平台未经有效审查，导致侵权人盗用他人身份信息用于企业账号认证。

　　“个人信息既是开展社会治理的重要基础，也蕴藏着巨大的市场价值，为平台经济等行业发展提供运营决策支持，在数据要素市场中有着重要作用。”赵瑞罡表示，个人信息权益的规范处理不仅关乎个人的人格利益和财产利益，更涉及信息流通、数据要素价值释放。此外，个人信息处理的合法性基础需要进一步细化，个人信息处理者要始终坚持合法、正当、必要原则，同时要履行保障用户个人信息安全的法定义务。

　　赵瑞罡表示，面对数字时代个人信息保护与数据合理利用面临的新问题、新挑战，北京互联网法院以裁判树规则，审理了多起典型案例，取得了良好的社会效果。

　　北京互联网法院呼吁，要加强全社会各主体的协同共治，落实个人信息处理者对个人信息安全的保护义务，增强人民群众的个人信息保护意识和能力，并建议有关部门加强监管执法与普法。