数读个保法颁布一年：案件渐次进入司法程序，部分条款尚待实践

南方财经全媒体记者 李润泽子 王俊 郭美婷 见习记者冯恋阁 实习生 刘子怡 周可欣 广州、北京报道

2022年8月20日，《个人信息保护法》颁布一周年。过去一年，该法作为我国首部规范和加强个人信息保护的专门性法律,为破解个人信息保护中的热点难点问题提供了强有力的法律保障。

如今，我国个人信息保护法实施情况如何？南方财经合规科技研究院梳理了《个人信息保护法》颁布一年以来，关于个人信息保护法的司法及执法案例，希望厘清《个人信息保护法》在实践中的适用情况，探究国内个人信息保护现状。

在南方财经合规科技研究院的不完全统计中，有20余份适用《个人信息保护法》的法律诉讼及行政处罚公开文书。通过对这些案例法律依据、处罚措施、地域情况、所涉行业等方面的分析，发现涉及多个行业，同时侵权行为类型多样。但值得注意的是，对于《个人信息保护法》立法之时讨论火热或备受争议的条款，例如敏感个人信息处理、算法自动化决策治理、“守门人”条款等，在目前已公布的司法案例上，尚未有太多的体现。

从执法层面来看，工信部App治理工作常态化开展，公开的行政处罚案件以地方公安机关为主。网信办查处滴滴案件成为个人信息保护法实施的一个重要节点事件，滴滴被处以80.26亿元罚款，并贯彻“双罚制”处罚到相关个人。

2021年，个人信息保护的新起点

自《个人信息保护法》颁布以来，我国个人信息保护力度不断加大，相关工作成效显著。梳理发现，伴随着《个人信息保护法》颁布实施，去年8月以来，在北大法宝公开检索以“隐私权、个人信息保护纠纷”为案由审结的民事诉讼案件，数量已超过两百件。

事实上，2021年对于个人信息保护领域而言，是具有里程碑式意义的一年。2021年1月1日，《民法典》正式实施，其中第四编人格权第六章专章规定了隐私权和个人信息保护，实行分类及交叉保护。2021年8月《个人信息保护法》出台，其作为我国个人信息保护领域的基础性法律，已于去年11月开始实施。

《个人信息保护法》出台后，实践层面对于个人信息的保护力度持续加大。在今年7月12日举行的“中国这十年”系列主题新闻发布会上，最高人民法院副院长、二级大法官贺小荣表示，下一步，人民法院要推进制定民法典侵权责任编司法解释，加强隐私权和个人信息保护，依法惩治网络侵权行为。

而在刑事案件方面，以“侵犯公民个人信息罪”为案由进行检索，去年8月至今年7月，案件数量也已超过1000件。

今年1月14日召开的公安部新闻发布会曾介绍，2021年，全国公安机关共侦办侵犯公民个人信息案件9800余起，抓获犯罪嫌疑人1.7万余名。最高人民检察院网站信息显示，2021年，500余名泄露公民个人信息的“内鬼”被检察机关起诉，涉及通信、银行、保险、房产、酒店、物业、物流等多个行业。

近千款应用因违规收集个人信息被通报

当前，我国APP在架数量和用户规模持续扩大，已经成为个人信息保护的关键领域。移动互联网发展焕发新活力的同时，也带来了一系列侵害用户个人信息权益等问题。

截至8月26日，工信部已公开通报25批侵害用户权益的应用。梳理发现，自2021年8月《个人信息保护法》颁布以来，包括生活服务、日常工具、假日出行、民生服务等各类APP及SDK共有超过1500款被工信部通报提出整改要求。当年12月，《个人信息保护法》开始正式出现在通报中。

在南方财经合规科技研究院的统计中（截止2022年8月23日），来自华为应用商店、应用宝和小米应用商店的问题APP较多，分别占比约20%、15%及10%。

此前应用商店曾多次因上架隐私不合规App，被主管部门通报。2021年1月工信部就因应用市场平台管理主题责任落实不到位，督促相关平台企业严格落实相关要求。当时，在工信部App个人信息保护专项整治行动已组织的十批次检测中，腾讯应用宝等5家应用市场所发现问题占比超六成。当年4月，工信部再次通报指出部分应用商店存在上架审核不严格，存量问题清理不彻底，登记核验APP开发运营者信息不准确，误导用户下载等问题。

在涉及问题方面，违规收集个人信息问题最为突出，在统计中，超过800个App因此被通报。此外，强制、频繁、过度索取权限，超范围收集个人信息，强制用户使用定向推送功能也是通报中常提及的App违规问题。

值得注意的是，梳理发现对违法违规收集个人信息的治理已逐渐做实做深。在工信部2022年通报的第1批侵害用户权益行为的App名单中，将13款内嵌第三方软件开发工具包（SDK）纳入，公开其存在的具体违规问题。13款违规SDK中，多款涉及违规获取设备ID。

由于SDK无法独立展示前台页面，其各种告知行为需要借助“宿主App”传达给用户。但如果部分SDK未向宿主APP告知自身收集的个人信息，或SDK公开了收集规则但宿主App却未向用户表明，那么就有可能违规泄露用户隐私。而“身份ID”一经泄露有可能导致被SDK开发者跟踪，存在隐私保护不合规的问题。

可以看出的是，政府部门的监管思路愈发清晰，将第三方SDK同APP一同纳入监管范围之内，将更容易检测过去隐藏于宿主APP之下的SDK合规风险。

14起行政处罚四成涉及科技型企业

依据《个人信息保护法》第66条，违规处理个人信息，或者处理个人信息未履行相应义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务。

行政处罚是落实《个人信息保护法》的重要抓手之一。南方财经合规科技研究院梳理了14起违反《个人信息保护法》的公开的行政处罚案件。

这些行政处罚案件的处罚机构以地方公安机关为主，其中广东8起，江苏4起，浙江1起，另有1起案件由国家互联网信息办公室执法。

从涉案主体来看，涉案最多的是科技企业，共有6起，2起是个人行为，还有6起涉服务咨询类及其他企业。

警告则是最常见的行政处罚措施，统计发现，14起案件中共有13起在行政处罚措施中提到了警告。其他行政处罚措施还包括：责令改正、责令停产停业，以及没收违法所得和非法财物。

在所有案件中，备受关注的是7月21日落地的滴滴80.26亿元罚单。据悉，滴滴公司共存在16项违法事实，归纳起来主要是违法收集用户和司机信息、未明确告知分析乘客信息意图、频繁索取用户权限等多个方面。而且涉及用户数量庞大，例如，滴滴公司过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条等。

手机号码、身份证等是常见被盗个人信息类型

南方财经合规科技研究院梳理发现，截至8月23日，中国裁判文书网已公布了至少7起以《个人信息保护法》作为判处依据的诉讼案件详情。

梳理这7起案件，可发现根据具体案情案件可分为以下几种情况：未经同意获取公民个人信息并售卖、未经同意获取用户信息和错误处理个人信息导致公民权益受损。其中，前两者的案件数量多达6起。

手机号码是最常见的被盗取的个人信息类型。被告可利用用户手机号码注册APP或转卖，并从中获利。其次是身份证、邮箱账号、收货地址、社交平台上的个人资料和好友信息等。

观察7起案件的处罚依据，除《个人信息保护法》外，这类案件大部分还适用于《民法典》，少部分适用于《网络安全法》《刑法》等。

从判处结果来看，罚款、公开赔礼道歉、删除相关个人信息资料以保护用户的信息不再被恶意利用等措施较为常见，情节严重者还被判处有期徒刑。

《个人信息保护法》中，哪些法条被引用程度较高？7起案件的梳理情况显示，第69条、第4条、第70条、第44条依次是出现最频繁的四条法条。

从法条内容上看，第4条明确了何为个人信息及个人信息的处理；第44条明确了个人对其个人信息所享有的权利；第69条规定了侵害个人信息权益后，个人信息处理者应当承担的损害赔偿等侵权责任，以及赔偿数额的界定规则；第70条明确规定了个人信息保护公益诉讼制度，明确赋予检察机关在个人信息保护领域公益诉讼中独立的诉讼主体地位，为个人信息保护提供公益救济新路径。这四条条款基本上涵盖了一般侵害个人信息权益案件从认定、归责，到判处、救济的全过程。

但对于《个人信息保护法》立法之时讨论火热或备受争议的条款，例如敏感个人信息处理、算法自动化决策治理、“守门人”条款等，在目前已公布的司法案例上，尚未有太多的体现。

不过，在近期杭州互联网法院公布的个人信息保护十大典型案例中，其中一例抛出了行使个人信息权利的前置程序问题，引起广泛讨论。

原告杜某诉称，其是某网购平台用户，曾在该平台多次购买商品。某日，其在购物过程中，被平台发布的“好友圈好友等你开拼手气红包”字样吸引，遂根据提示逐步点击。随后，杜某发现其在该平台的购物记录被自动公开并分享，部分购物记录被朋友看到和提醒，使其产生隐私受到侵犯的感受。

杜某认为，根据《个人信息保护法》，网购平台在处理用户个人信息时，侵犯其知情权和决定权，严重违反诚实信用原则，造成了相应精神损失，故向法院提起诉讼。平台辩称，未收到杜某对其个人信息处理活动的查询申请或投诉信息，故不存在侵犯个人信息权益的行为。

个人信息保护法第50条规定，个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。个人信息处理者拒绝个人行使权利的请求的，个人可以依法向法院提起诉讼。

法院认为，《个人信息保护法》第五十条第二款的诉权是以“个人信息处理者拒绝个人行使权利的请求”为前提，设置了个人向法院提起请求权救济的前置条件。本案中，杜某提起本案诉讼前并未向平台（信息处理者）提出请求，而是径行向本院请求救济其在个人信息处理活动中享有的权利，显然不符合法律规定中关于“个人信息权利请求权”的起诉受理条件。综上，杭州互联网法院作出驳回起诉的裁定，并引导其直接向个人信息处理者进行维权。

杭州互联网法院的这一裁决，在学界和实务界有不同的声音。

一方认为，将个人信息处理者拒绝个人行使权利请求作为起诉的前置条件，可能引发更多的司法审查问题，如个人信息处理者的拒绝应当作何理解，默示的拒绝是否可以视为已完成起诉前置条件等等。

另一种声音则指出，将“企业拒绝个人行使权利”作为起诉的前置条件，实际上是引导用户直接与企业进行沟通交涉，这不失为最高效的解决问题的方式。要是不设置前置条件，大量案件涌入，可能会造成司法资源的浪费。

可见，随着个人信息保护法的实施，会有更多的案例进入司法程序，相关条款的适用问题讨论也会推进对法律的认识。

（制图：徐晖）

更多内容请下载21财经APP