在11月1日个人信息保护法实施三周年之际,北京互联网法院通报了一年来的北京互联网法院个人信息保护案件审理情况,并发布了8个典型案例。通报显示,“AI换脸”等新类型侵权案件不断涌现,技术滥用、个人信息泄露、虚假信息传播等问题,导致个人信息侵权纠纷呈现出明显的技术性复杂性。

北京互联网法院集中审理北京市辖区内应当由基层人民法院审理的涉网个人信息保护案件。2023年10月到2024年10月,北京互联网法院共受理个人信息保护纠纷案件113件,已审结104件,呈现增长趋势。2018年至2023年间,共受理个人信息保护纠纷案件58件,与之相较,近一年受理的案件数量呈现增长趋势。

告知不充分、同意不自愿成为主要侵权情形

通报显示,从侵权主体来看,以互联网企业为被告的案件共95件,占比超过八成。北京互联网法院副院长赵瑞罡介绍说,从案涉信息类型来看,涉及姓名、身份证号、手机号等账号注册信息的有81件,占比约七成;涉及人脸等生物信息的共计23件,占比约两成。主要侵权形式为未经同意收集、公开、提供个人信息。

从案件实际情况来看,涉及个人信息保护的案件主要集中在规模化处理个人信息的互联网平台。赵瑞罡介绍,在这类案件中,往往涉及个人权益保护与促进数据利用之间的平衡问题。对个人信息处理者而言,希望鼓励个人信息、数据的共享,以最大化实现个人信息和数据的经济效用。对个人而言,大多数希望严格限制个人信息、数据共享,以避免自身合法权益遭受侵害。

他举例说,App运营者往往通过一揽子协议获取用户关于个人信息处理的同意,以实现企业经济效益的最大化,但是告知不充分、同意不自愿,成为主要的侵权情形。还有一些大数据服务企业,往往采取数据爬虫等技术手段收集并处理尽可能多的已公开个人信息,以提升大数据服务的精准度,但是超范围使用而侵害他人个人信息权益的案件屡见不鲜。

互联网、大数据、人工智能等技术的快速发展,既赋能了个人信息保护与利用,又带来了新的治理难点。赵瑞罡介绍,大型互联网服务平台、电子商务平台等重点行业的个人信息处理者掌握着大量自然人的个人信息,有义务采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并保障所处理个人信息的安全。然而,部分个人信息处理者未经用户同意,违反合法、正当、最小必要等原则,非法处理自然人的个人信息,侵害自然人个人信息权益。

例如,线下销售实体未经用户同意,将用户交易信息提供给线上小程序运营主体。部分作为个人信息处理者的网络平台运营者,未尽到保障用户个人信息安全的法定义务,导致用户个人信息遭受泄露、篡改、冒用。有的网络服务平台未尽到有效审查义务,导致自然人身份信息被他人盗用于企业账号认证。

在马某与北京某公司隐私权、个人信息保护纠纷中,北京互联网法院认定,未经用户主体同意,线上经营的个人信息处理者不得非法获取并处理线下经营的关联公司所收集的用户个人信息,对产业数字化和数字产业化融合过程中的个人信息保护路径进行了有效指引。在杨某与被告林某某网络侵权责任纠纷中,北京互联网法院认定,对于个人明确拒绝处理的已公开个人信息,个人信息使用者应停止使用,充分保障了信息主体的决定权。

“上述做法强化了个人信息保护力度,明确了网络服务提供者收集、处理个人信息的规则和界限。”赵瑞罡说。

新类型侵权案件不断涌现

通报显示,互联网、大数据、人工智能等技术的快速发展,既赋能了个人信息保护与利用,又带来了新的治理难点,涉诉信息更为敏感、私密,保护与利用的边界争议日益凸显,给个人信息保护带来新的挑战。

比如“AI换脸”带来的纠纷。“AI换脸”为用户提供了一种新奇的体验和情感满足,但是“AI换脸”所利用的人工智能技术,涉及人脸识别、关键点定位、特征提取等多项技术,将静态图片中的特征与原视频的面部特征、表情等通过算法融合,可能涉及肖像权及个人信息权益侵害问题。此外,电子商务平台利用算法对消费者进行“大数据杀熟”,以及商业征信平台利用算法推荐技术错误关联个人侵害自然人个人信息权益的案件也屡见不鲜。

在北京互联网法院综合审判三庭法官王红霞介绍的8起典型案例中,有一起“AI换脸”纠纷案。廖某是一名古风短视频博主,在全网拥有较多粉丝。某科技公司在未经廖某授权同意的情况下,使用廖某出镜的系列视频制作换脸模板,并提供给用户付费使用,以此牟利。廖某认为这家公司的行为侵犯了自己的肖像权和个人信息权益,将这家公司告上法庭。

法院经审理认为,被告公司不构成对原告肖像权的侵害,但构成对原告个人信息权益的侵害。北京互联网法院认定,被告作为“换脸”软件的运营主体,使用原告视频制作并上传至“换脸”软件中作为模板视频,将原告视频中的面部替换成他人面部,通过人工智能深度合成技术生成新的视频,涉及人脸识别、关键点定位、特征提取等多项技术,属于处理原告人脸信息的行为,构成对原告个人信息权益的侵害。

公众须树立“非必要不提供”个人信息的意识

实际上,当前个人信息的范围与种类正不断增加,个人信息主体主张享有个人信息权益的个人信息类型也在不断丰富和发展。

除民法典第一千零三十四条中明确列举的自然人的姓名、出生日期、身份证件号码、生物识别信息等个人信息类型外,在审判实践中,会出现个人信息主体主张对网络交易信息、浏览记录及浏览量、网络社交媒体留言、关注与粉丝列表、网络账号名称、个人动态信息、访问记录等信息类型享有个人信息权益。在具体案件中,判断这些新类型的信息是否属于个人信息,往往成为案件的争议焦点和审理难点。

然而法官在案件中发现,在多元化在线场景中,公民的个人信息保护意识和能力有待提升。有些人在社交媒体分享日常生活的过程中,无意识泄露了个人信息甚至隐私。还有人为了领取线上平台提供的优惠券或小礼物,随意提供敏感个人信息。

部分自然人依赖于App应用软件带来的便利服务,在注册和使用App过程中,不仔细阅读服务协议中的个人信息保护条款,不了解隐私设置的基本操作方法,导致个人信息被过度收集和处理。

特别是未成年人、老年人,对钓鱼网站、垃圾短信、病毒程序等识别防范意识和能力不足,易受诱骗,进而导致个人信息被非法收集,甚至遭遇网络诈骗。

北京互联网法院建议,个人信息处理者要充分认识到个人信息安全是市场主体在数字时代发展的战略基石,切实履行好保护个人信息安全的法定义务,公众也要增强个人信息保护意识,树立“非必要不提供”的意识,避免向他人随意泄露个人信息,尤其是身份证号码、银行账户等敏感个人信息。

中青报·中青网记者 刘言 来源:中国青年报

来源:中国青年报