互聯網企業：個人信息保護之重責

一、互聯網企業成侵權主體焦點

北京互聯網法院通報的個人信息保護案件審理情況來看，以互聯網企業為被告的案件共 95 件，占比超過八成，無疑成為了侵權主體的焦點。這一現象反映出在數字經濟快速發展的背景下，互聯網企業在個人信息處理方面面臨著嚴峻的挑戰。

隨著互聯網的普及和發展，人們的生活越來越離不開各種互聯網服務。然而，在享受便利的同時，個人信息也面臨著被泄露、濫用的風險。從案涉信息類型來看，涉及姓名、身份證號、手機號等賬號注冊信息的有 81 件，占比約七成；涉及人臉等生物信息的共計 23 件，占比約兩成。這些數據表明，互聯網企業在收集、使用個人信息時，存在未經同意收集、公開、提供個人信息等侵權行為。

App 運營者往往通過一攬子協議獲取用戶關于個人信息處理的同意，以實現企業經濟效益的最大化。但這種方式往往存在告知不充分、同意不自愿的問題，成為主要的侵權情形。例如，部分自然人為了領取線上平臺提供的優惠券或小禮物，隨意提供自身敏感個人信息，卻不了解隱私設置的基本操作方法，導致個人信息被過度收集和處理。

大數據服務企業也常常采取數據爬蟲等技術手段收集并處理盡可能多的已公開個人信息，以提升大數據服務的精準度。然而，超范圍使用而侵害他人個人信息權益的案件屢見不鮮。這些行為不僅侵犯了個人的信息權益，也給個人帶來了諸多困擾，如騷擾電話、垃圾短信、網絡詐騙等。

互聯網企業作為個人信息的主要處理者，有義務采取必要措施確保個人信息處理活動符合法律、行政法規的規定，并保障所處理個人信息的安全。但部分企業未能嚴格履行法定義務，未經用戶同意，違反合法、正當、最小必要等原則，非法處理自然人的個人信息，侵害了自然人的個人信息權益。

總之，互聯網企業在個人信息保護方面承擔著重要責任。為了避免侵權糾紛的發生，互聯網企業應加強自律，嚴格遵守法律法規，充分保障用戶的個人信息安全。同時，用戶也應提高個人信息保護意識，謹慎提供個人信息，共同營造一個安全、可靠的網絡環境。

二、案涉信息類型多樣

（一）賬號注冊信息為主

在眾多個人信息保護糾紛案件中，涉及姓名、身份證號、手機號等賬號注冊信息的案件高達 81 件，占比約七成，充分體現了其普遍性。這些賬號注冊信息在日常生活中被廣泛應用，互聯網企業在用戶注冊、使用服務等環節中大量收集此類信息。例如，在一些社交平臺上，用戶注冊時需要提供手機號碼和姓名等信息；在電商平臺購物時，可能會涉及到身份證號用于實名認證等。然而，部分互聯網企業在收集這些信息后，未能妥善保管和合理使用，導致信息泄露的風險增加。據統計，每年因賬號注冊信息泄露而引發的騷擾電話數量可達數百萬通。一些不法分子利用這些泄露的信息進行精準詐騙，給用戶帶來了嚴重的經濟損失和精神困擾。

（二）生物信息占比不低

涉及人臉等生物信息的案件共計 23 件，占比約兩成，凸顯了新的關注點。隨著生物識別技術的發展，人臉等生物信息在互聯網領域的應用越來越廣泛。例如，一些手機解鎖、支付軟件等采用人臉識別技術，方便快捷的同時也帶來了安全隱患。在一些案例中，互聯網企業未經用戶同意收集和使用人臉信息，用于商業目的或其他不當用途?！癆I 換臉”技術的興起，更是引發了對人臉等生物信息保護的擔憂?！癆I 換臉”所利用的人工智能技術，涉及人臉識別、關鍵點定位、特征提取等多項技術，可能涉及肖像權及個人信息權益侵害問題。據調查，約有 30%的用戶對“AI 換臉”技術可能帶來的個人信息泄露風險表示擔憂。此外，生物信息一旦泄露，其后果可能更加嚴重，因為生物信息具有唯一性和不可更改性，一旦被不法分子利用，將給用戶帶來難以挽回的損失。

三、主要侵權形式明確

（一）App 運營者侵權行為

App 運營者常常通過一攬子協議獲取用戶關于個人信息處理的同意，以實現企業經濟效益的最大化。然而，這種方式往往存在告知不充分、同意不自愿的問題，成為主要的侵權情形之一。

例如，一些社交類 App 在用戶注冊時，要求用戶同意一系列復雜的隱私政策條款，這些條款內容冗長、晦澀難懂，用戶很難在短時間內完全理解其含義。很多用戶為了盡快使用 App，往往不經仔細閱讀就點擊同意，而實際上可能已經在不知不覺中授權 App 收集了大量個人信息。據統計，約有 60%的用戶在使用 App 時沒有仔細閱讀隱私政策。

此外，一些 App 運營者還會在未經用戶同意的情況下，將用戶的個人信息提供給第三方。比如，某些購物類 App 可能會將用戶的購買記錄、瀏覽歷史等信息提供給廣告商，以便廣告商能夠更精準地投放廣告。這種行為不僅侵犯了用戶的個人信息權益，也給用戶帶來了困擾，如頻繁收到不相關的廣告推送。

（二）大數據服務企業侵權行為

大數據服務企業也常常采取數據爬蟲等技術手段收集并處理盡可能多的已公開個人信息，以提升大數據服務的精準度。然而，超范圍使用而侵害他人個人信息權益的案件屢見不鮮。

一些簡歷大數據公司拼命發掘求職者簡歷上所有的秘密，讓 HR 看到簡歷上所有修改歷史，甚至出現了監測員工離職動向的工具軟件。這些公司通過數據爬蟲技術獲取大量簡歷信息，未經用戶同意將其提供給企業，侵犯了用戶的隱私權。據了解，正常渠道獲取簡歷需要招聘方與招聘網站簽訂合同，報價通常為每份 50 元，優惠后的價格也會在 10 元以上，但用爬蟲手段獲取簡歷省去了這一成本。

還有一些大數據服務企業在收集個人信息后，未按照合法、正當、必要的原則進行使用。例如，在電子商務領域，一些平臺利用算法對消費者進行“大數據殺熟”，即根據消費者的消費記錄、偏好等信息，對不同消費者提供不同的價格。這種行為不僅侵犯了消費者的公平交易權，也涉及個人信息的不當使用。攜程就曾因涉嫌“大數據殺熟”被用戶起訴，法庭一審判決原告勝訴。

未經同意收集、公開、提供個人信息的行為嚴重侵犯了用戶的個人信息權益，互聯網企業應加強自律，嚴格遵守法律法規，切實保護用戶的個人信息安全。

四、新類型侵權涌現

（一）AI 換臉糾紛

廖某是一名古風短視頻博主，在全網擁有較多粉絲。某科技公司在未經廖某授權同意的情況下，使用廖某出鏡的系列視頻制作換臉模板，并提供給用戶付費使用，以此牟利。廖某認為這家公司的行為侵犯了自己的肖像權和個人信息權益，將這家公司告上法庭。法院經審理認為，被告公司不構成對原告肖像權的侵害，但構成對原告個人信息權益的侵害。

“AI 換臉”所利用的人工智能技術，涉及人臉識別、關鍵點定位、特征提取等多項技術，將靜態圖片中的特征與原視頻的面部特征、表情等通過算法融合。這種技術在為用戶提供新奇體驗和情感滿足的同時，也帶來了個人信息權益侵害的風險。例如，在一些案例中，用戶的人臉信息被非法收集用于“AI 換臉”軟件的模板制作，未經用戶同意進行商業化利用。這不僅侵犯了用戶的個人信息權益，還可能對用戶的名譽、隱私等造成不良影響。據統計，目前市場上存在大量的“AI 換臉”軟件，其中部分軟件存在未經授權使用用戶視頻制作換臉模板的情況，涉及的用戶數量可能高達數千人。

（二）大數據殺熟等問題

電子商務平臺利用算法對消費者進行“大數據殺熟”的情況屢見不鮮。例如，一些在線旅游平臺會根據用戶的瀏覽歷史、消費習慣等信息，對不同用戶提供不同的價格。同樣的酒店房間，新用戶可能看到的價格比老用戶低，這種行為不僅侵犯了消費者的公平交易權，也涉及個人信息的不當使用。據調查，約有 40%的消費者表示曾遭遇過“大數據殺熟”。

商業征信平臺利用算法推薦技術錯誤關聯個人也侵害了自然人的個人信息權益。在一些案例中，商業征信平臺由于算法錯誤，將不同的個人信息錯誤關聯，導致個人的信用評價受到影響。這種錯誤關聯可能會給個人帶來諸多不便，如影響個人的貸款申請、就業等。例如，某商業征信平臺由于算法問題，將一位消費者的信用信息錯誤地與他人關聯，導致該消費者在申請貸款時被銀行拒絕。據了解，類似的情況在商業征信領域并非個案，每年都有不少消費者因為商業征信平臺的錯誤關聯而遭受損失。

五、個人信息保護挑戰與建議

（一）個人信息保護面臨的挑戰

用戶安全防護意識薄弱：犯罪分子通過網絡手段盜取用戶財產的手段層出不窮，而用戶的安全防護意識不強，給犯罪分子造成了可乘之機。例如，許多用戶為了方便記憶，會使用一些規律性的字符設置密碼，這是極為危險的，一旦密碼被套取，不僅賬戶的財產會直接損失，賬戶中的個人信息也容易被泄露。此外，用戶在遭遇“干擾信息”時，可能會因為風險意識不強而被誤導，產生后續的一系列損失。如果手機通訊出現癱瘓，用戶若沒有馬上查清故障原因，可能會導致攻擊者趁用戶處于“信息孤島”時，冒名頂替機主身份竊取賬戶。同時，最最重要的是，用戶不能將短信驗證碼告訴任何人，但仍有部分用戶因缺乏安全意識而泄露驗證碼。另外，用戶可能會安裝來路不明的應用，這些未知軟件中可能存在木馬病毒，一旦安裝，就會攻擊手機的安全系統，導致個人信息泄露。

互聯網企業義務履行困難：《個人信息保護法》的落地對互聯網企業提出了很高的保護義務要求，但在法律正式實施，配套機制、組織建設尚在進行中的當下，互聯網企業面臨諸多挑戰。例如，法律中的監管要求和落地實施還有一定的距離，具體的監管辦法、機構部門、審計內容都還需要進一步落實和完善，這對信息處理者的合規造成了困難。個人信息主體權益的保護要求和驗證方式還需完善，企業如何兌現用戶的權利缺乏驗證機制。大型互聯網企業保護責任的落實還需進一步明確，如何判斷一個企業是大型互聯網企業以及其義務內容均暫不明朗。個人信息的出境機制還未完全建成，出境評估的機構、評估的具體細則還沒完全擬定。

監管難度大：目前沒有明確的主管部門對侵犯個人信息安全的行為進行調查、取證、制止、處罰等。現有的公共管理部門，從網絡安全或從消費者權益保護角度介入，但部門間缺乏有效溝通。此外，個人信息處理涉及多個環節，目前個人信息保護處于分段管理階段，各部門針對信息傳送過程中的某一部分進行管理，難以形成合力。

（二）個人信息保護建議

用戶層面：

靜態密碼設置一定要復雜：用戶在設置密碼時，應當盡量設置得復雜一些，避免使用規律性的字符，以保障賬戶的信息安全。

遭遇“干擾信息”仔細甄別莫慌張：用戶在收到各種干擾信息時，要仔細甄別，不要輕易被誤導，避免產生后續的損失。

手機離奇“癱瘓”，緊急“掛失”當先：如果手機通訊出現癱瘓，用戶要馬上查清故障原因，如非手機本身或信號故障，要立刻掛失手機卡，并及時凍結第三方支付和銀行賬戶，避免攻擊者竊取賬戶。

短信驗證碼，不能告訴任何人：用戶一定要注意不要通過任何手段將自己收到的驗證碼泄露給他人。

不要安裝來路不明的應用：用戶只安裝手機品牌商店中的應用，避免安裝未知軟件中可能存在的木馬病毒，保護個人信息安全。

互聯網企業層面：

整體籌劃：個保法的落地需要企業從整體去思考。企業需要從意識培訓、管理制度、合同條約、人員管理、技術工具等多個方面全面、體系化地籌劃，而不是單一的以購買產品、疊加技術的方式去填補漏洞。

因業施策：企業需要根據自身的真實情況分行業、分場景地明確合規要求，考慮合規途徑。當前行業合規的要求不一，同時有些行業還存在一定空白，在這些空白行業，企業可以根據實際情況來形成合規思路，以自身的實踐來促進行業規范的形成，實現個人信息保護自底向上合規制度的完善。

密碼筑基：企業可以選擇密碼技術為核心技術來保護個人信息，盡可能的利用密碼技術作為保護手段。個人信息保護的重要目標是防止個人信息的濫用和泄露，密碼技術作為一種可得到形式化驗證的安全技術，可以通過增加基于證書的認證方式、傳輸加密、存儲加密等多種密碼技術的融合，最大程度保證個人信息的安全。

多方共治：企業可以考慮聯合第三方監管機構、第三方密鑰服務機構和用戶，從監管、審計、評估、保護各方面建立一個多方共治的個人信息保護機制。

監管部門層面：

加快立法進程：建議加快《個人信息保護法》的立法進程。通過專門立法，統一對公私領域的個人信息保護，明確運營主體收集、使用個人信息的原則、程序和保密、保護義務，不當使用、保護不力的法律責任以及監管部門的監督手段和處罰措施等。

設立專門監管機構：建議在立法中明確專門機構負責或牽頭負責個人信息保護工作，建立統一的制度規范，有權監督運營主體，并對違規行為進行處理。若采取牽頭負責模式，監管機構要發揮協調職能，相關部門應依法配合。

加強有效監管和行業自律：對政府部門利用公權力保護個人信息應當加以重點規制。對一些大眾服務類行業，諸如金融、電信、交通、教育、醫療等領域，對個人信息收集保護應作出嚴格規定。對應用商店提供的 APP 等互聯網產品加強監管，推動建立第三方評估認證機制。

形成監管合力：政府、行業、社會組織應形成監管合力，加強全鏈條信息監管的力度。統籌各方力量，梳理信息的產生、儲存、傳送、泄露各環節，進行深入的閉環分析，提出系統化監管方案。引導行業建立個人信息分級分類保護體系，加大對電信詐騙、網絡詐騙等違法犯罪活動的打擊力度，持續形成高壓態勢，保護消費者的合法權益。