华诚数据法律团队2021年新春献礼——2020年数据经典案例及热点回顾

吴月琴 何鑫

综 述

2020年是中国数据法律发展进程中具有里程碑意义的一年。《民法典》出台，明确自然人对个人信息享有的权益属于民事权益，为个人信息保护提供了有力的法律支持。《个人信息保护法（草案)》与《数据安全法（草案）》的发布，为我们描绘出未来以《网络安全法》、《个人信息保护法》与《数据安全法》为基石的数据与网络安全法律框架的宏伟蓝图。与此同时，一些数据经典案件和热点事件也引起社会关注和热议，具有很高的实务研究价值。

值此新春佳节之际，华诚律师事务所数据法律团队精选2020年度数据案件，回顾2020年发生的数据法律热点，分析案件典型意义、双方争议焦点、揭示数据相关主体的利益博弈、进行法律评述，并有针对性地给予企业合规建议，以期在新的一年为企业的数据合规工作略尽绵薄之力。

热点一、新兴数字产业的专利布局前路光明    肖华

概览：“数实共生”理念为人们解决了数字经济如何与实体经济实现深度融合的问题，而SaaS模式则是时下各实体行业领域实现“数实共生”的最优方案。与此同时，对利用数字技术的应用创新进行专利布局，成为了各实体的切实需求。而这里面临着两大难题，即在专利申请阶段，数字化应用创新通过专利申请的实质性审查存在难度，以及在专利实施阶段，SaaS模式下的全面覆盖原则难以适用使得专利侵权责任判定面临困境。因此，如何解决这两大难题，成为了新兴数字产业进行专利布局，以谋求更好实现“数实共生”的关键。

热点二、从“微信群控案”探析数据权属争议——评腾讯公司诉搜道公司、聚客通公司案   吴月琴 陈雪妮

概览：本案是杭州互联网法院宣判的首例涉及微信数据权益认定的不正当竞争案。数据权属争议是目前涉及数据权益纠纷的前置问题。数据归属于谁，目前有多种观点——归属于个人数据主体、数据平台企业、两者共有以及属于公共资源等。“微信群控案”是司法裁判在个案中对数据权属问题予以回应的有益尝试。本案中，法院将数据资源分为数据资源整体以及单一数据个体：对于前者，权益应归属于投入经营成本从而形成数据资源的平台主体；而单一数据个体，应归属于个人数据主体，平台主体仅享有有限使用权。这为厘清平台主体数据权益边界提供了清晰的指引。

界定数据权属的目的在于明确数据权益的分配机制，从而规范、推动数据产业的进步，顺应大数据时代发展的趋势。明确个人和企业所享有的不同权益，能够使企业在数据竞争中尽可能规避风险，合理获取并利用数据，取得商业利益的同时，也能保障公共利益以及数据提供者的个人权益。而数据提供者也能据此更有效地维护自身应有的权益。

热点三、 App用户个人信息及隐私权保护合规——评抖音App及微信读书App案    陈旭

概览：App违规收集、使用或超范围收集个人信息始终是工信部加强个人信息保护的整治重点。与此同时，针对App违规收集、使用个人信息的诉讼案件逐渐增加，凸显了公民个人信息保护意识的加强。法院将个人信息权益从隐私权分离出来予以保护回应了加强个人信息保护的趋势和要求。App提供商应在提供服务的过程中，将合规重点放在合法收集个人信息上，这是实现依法合规运营的必要条件。

热点四、人脸识别技术的使用边界——评郭兵诉杭州野生动物世界案  何鑫

概览：人脸识别技术的应用时下面临巨大质疑，如何避免人脸识别技术滥用、如何确保个人信息不被违法收集、如何确保个人信息不被泄露，成为人们关注的重点。而如何合法合规地使用人脸识别技术，则是企业的关注重点。这两个方面实质上殊途同归，都是在提出厘清人脸识别技术的使用边界的迫切需求。而通过人脸识别技术使用的必要性判断、构建符合人脸识别技术特征且合规可行的个人信息处理机制以及完备的个人信息安全保护机制，可以使这一问题得到一定程度的回答。

热点五、商业促销短信与消费者权益的博弈   朱琦

概览：商业促销短信是企业进行商业推销的主要手段。虽然国家对于跨行政区域码号实施了严格的审批准入流程，但由于并未严格禁止将获批码号进行转包、接入、销售，这造成了消费者退订难的困境。从数据合规角度分析，由于发送商业促销短信的范围包括向潜在消费者发送商业促销短信。在这过程中可能会涉及到未经授权的收集、使用甚至共享消费者个人信息的情况，具有较大的数据合规风险。因此，如何避免合规风险是企业在利用商业促销短信的过程中所必须面对的难题。

热点六、构建个人金融信息合规路径——“池子事件”引发的启示   陈嘉龙

概览：金融机构掌握有大量的个人金融信息，一旦发生信息安全事件，不仅将使金融机构面临严重的信任危机，更会对个人金融信息主体造成难以弥补的损害。以往的经验告诉我们，金融机构发生信息安全事件多是出了“内鬼”，而最终的责任承担主体也主要是这些内鬼。然而这一经验在近期发生了改变，多家金融因存在信息安全管理工作不到位的情况而收到银保监会罚单。这意味着监管机构将对个人金融信息保护的监管环节重心由事后转向事前，这使得金融机构更加需要重视内部的信息安全制度构建，以避免监管风险。

热点七、公开个人信息的流通边界——评“校友录头像被爬案”   周晨曦

概览：作为一种新型生产要素，数据能够为众多企业赋能，而数据赋能的重要前提则是确保企业能在合法合规范围内利用数据。这其中，一般个人信息因兼具人格尊严价值、信息流通价值，在一定情况下容许对外公开披露。本案即划定了公开个人信息的流通边界，一是源头处理者之公开披露要合规，二是后续处理者不应超范围使用已公开个人信息，三是数据爬取方等特殊的后续处理者对难以预见的超范围使用行为不存在过错。此外，本案亦是“通知-删除”规则在个人信息保护领域的适用典范。

热点八、侵犯公民个人信息刑事附带民事公益诉讼案件   谢怡

概览：在我国加强个人信息保护的过程中存在着一大困局，即作为直接的受害者，个人信息主体维权往往处于弱势地位，尤其通过司法途径进行维权，需要付出极大的时间与经济成本。除少部分个人信息主体选择与违法者“死磕”到底外，大部分个人信息主体只得忍气吞声。鉴于此，提起公益诉讼实现对个人信息主体的权利保护，确保个人信息主体在个人信息权益受到侵犯时可以获得民事赔偿，这是可行的破局之道。在行政、刑事途径外，以民事公益诉讼的方式寻求对个人信息保护，具有积极意义。

热点九、快递公司，你当爱你的“邻人”   邹苏柯

概览：大法官阿特金公爵在判决书上中曾引用圣经新约“你当爱你的邻人”。“邻人”是指能会被我们的行为（包括作为或不作为）影响到的人，同时，爱我们的“邻人”我们不能够损害自己的“邻人”。

个人信息滥用与泄露等问题是目前企业数据治理过程中存在问题的缩影。快递行业的企业，收集和处理大量的个人信息，在个人信息合规工作有三个关键点：一是只可存储业务必要、最少范围的用户个人信息；二是如需保存，需要对个人信息去标识化、匿名化处理；三是要建立合理的内部管理机制，减少或者避免人为有意或无意的操作所导致用户的个人信息泄露。

（本期刊载的是首批九个热点案例，正在华诚微信公众号连载中……）