课题组负责人
程 啸 清华大学法学院教授
课题组成员
王 苑 东南大学法学院讲师
阮神裕 中国人民大学法学院讲师
熊定中 北京清律律师事务所首席合伙人
宁 园 武汉大学法学院特聘副研究员
孙鸿亮 清华大学法学院博士研究生
向子瞭 北京清律律师事务所律师
李西泠 清华大学法学院博士研究生
说明
1、本建议稿及起草说明由程啸教授组织的起草小组集体完成,所有成员均参与了条文的起草、修改与论证。其中,条文和说明由程啸教授具体执笔。
2、2023年4月9日清华大学法学院个人信息保护与数据权利研究中心主办的“个人信息保护法适用重大疑难问题研讨会”上讨论了本建议稿,与会各位专家学者提出了很多好的意见和建议。
3、本建议稿及起草说明的最后修改时间为:2023年4月20日。
总目
《<最高人民法院关于审理个人信息纠纷民事案件适用法律若干问题的解释>学者建议稿及说明》
第一条【调整范围】
第二条【域外管辖】
第三条【个人信息处理法律依据的证明责任】
第四条【告知义务履行的证明责任】
第五条【同意无效的情形】
第六条【单独同意的认定】
第七条【隐私政策的法律规制】
第八条【非法的个人信息处理活动的侵权责任】
第九条【超越合理范围的侵权责任】
第十条【共同处理个人信息的民事责任】
第十一条【委托处理个人信息的民事责任】
第十二条【提供个人信息的民事责任】
第十三条【不合理的差别待遇的认定】
第十四条【对个人权益有重大影响的认定】
第十五条【公开个人信息的处理】
第十六条【查阅复制权的范围】
第十七条【更正补充权】
第十八条【删除权】
第十九条【个人在个人信息处理活动中的权利的保护】
第二十条【死者的个人信息】
第二十一条【死者名誉等人格利益的保护】
第二十二条【侵害隐私权与个人信息权益的归责原则的适用】
第二十三条【侵害肖像权、名誉权与个人信息权益的归责原则的适用】
第二十四条【基于个人信息权益的人格权禁令】
第二十五条【共同危险行为的准用】
第二十六条【个人信息处理者对下游损害的赔偿责任】
第二十七条【过错推定的推翻】
第二十八条【侵害个人信息权益的财产损害】
第二十九条【侵害个人信息权益的精神损害】
第三十条【侵害个人信息权益的法定赔偿】
第三十一条【合并审理】
第三十二条【个人信息保护民事公益诉讼】
第三十三条【施行时间】
为正确审理个人信息相关民事案件,保护个人信息权益,促进个人信息合理利用,根据《中华人民共和国民法典》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国消费者权益保护法》《中华人民共和国电子商务法》《中华人民共和国民事诉讼法》等法律的规定,结合审判实践,制定本解释。
第一条【调整范围】
因个人信息处理者处理自然人的个人信息所引起的民事案件,适用本规定。
【说明】
讨论中对于该条存在的争议问题是,是否需要对个人信息(尤其是敏感的个人信息)提出一些更具体的、更明确的判断标准。尤其是如何协调《民法典》与《个人信息保护法》关于个人信息的定义。
第二条【域外管辖】
方案一:
个人以在中华人民共和国境外的个人信息处理者为被告,并证明符合《中华人民共和国个人信息保护法》第三条第二款规定的,由原告住所地、侵权行为发生地的人民法院管辖,适用《中华人民共和国个人信息保护法》的规定。
香港、澳门特别行政区和台湾地区的个人信息处理者参照适用前款规定。
方案二:
个人以在中华人民共和国境外的个人信息处理者为被告,由原告住所地、侵权行为发生地的人民法院管辖,适用《中华人民共和国个人信息保护法》的规定。但是,被告证明不符合《中华人民共和国个人信息保护法》第三条第二款规定的除外。
香港、澳门特别行政区和台湾地区的个人信息处理者参照适用前款规定。
【说明】
1、方案一要求作为原告的个人证明符合《个人信息保护法》第3条第2款中的域外适用情形,我国法院才管辖。方案二则由被告来证明不符合,以排除我国法院的管辖权。究竟适用方案一还是方案二,在本课题组内部存在争议。
赞同方案一的理由在于:首先,《个人信息保护法》第3条第2款是准入适用,不是排除适用规定,因此只有符合该法第3条第2款的才能诉讼,而非不满足地排除。如果采用方案二,可能导致原告在中国法院诉讼谷歌,然而谷歌完全不应诉。原告应当承担证明被告在中国境内有第3条第2款的情形,这是原告举证责任的一部分。其次,根据构成要件分类说,应当由主张适用个保法的原告对要件事实的存在承担证明责任。而且这几个要件都是积极肯定的要件,不存在证明没有的困难。
赞同方案二的观点认为,被告是否符合《个人信息保护法》第3条第2款的条件,最终由法院依职权判定。原告在起诉时仅需提供案件事实材料和相关证明材料,法院依其提供的案件事实及证明材料进行审查。若法院查明被告不符合第3条第2款(不管是因为原告证明材料不足还是处理者客观不符合条件),则驳回起诉;若符合,则被告也可提出抗辩,进一步证明其不符合第3条第2款的条件。因此,无需在本条文中特别强调有关《个人信息保护法》第3条第3款的证明责任分配,其本身并不具有特殊安排的必要。因此,在方案二的基础上,应当删除“但是,被告证明不符合《中华人民共和国个人信息保护法》第三条第二款规定的除外”。
2、本条第2款明确了港澳台属于境外,港澳台的个人信息处理者属于境外个人信息处理者。在个人信息保护实践中,就“境外”与“国外”是否等同,存在争议。例如,F公司是一家为用户提供健康规划服务的公司,用户数量高达百万,其计划前往香港上市,遂希望了解其是否需要按照《网络安全审查办法》第七条:“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”的要求,进行网络安全审查。
之所以有此疑问,是因为业界对于各个法律法规等文件中所使用的“外国”“境外”概念所涵盖的地理范围理解有疑惑。最终F公司考虑到《网络数据安全管理条例(征求意见稿)》有将“国外”和“香港”上市做区分,且在金融上市领域主流观点都认为,如使用“境外”一词,就默认已涵盖了港澳台地区,而使用“国外”就不包括,因此虽然F公司涉及处理超过100万用户个人信息,但暂无需申报网络安全审查。为明确相关纠纷中的境外个人信息处理者的涵义,本条第2款明确了港澳台的个人信息处理者属于境外的个人信息处理者,需要适用《个人信息保护法》第3条第2款的规定。
【实务场景】
F公司是一家为用户提供健康规划服务的公司,用户数量高达百万,其计划前往香港上市,遂希望了解其是否需要按照《网络安全审查办法》第七条:“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”的要求,进行网络安全审查。之所以有此疑问,是因为业界对于各个法律法规等文件中所使用的“外国”“境外”概念所涵盖的地理范围理解有疑惑。
最终F公司考虑《网络数据安全管理条例(征求意见稿)》有将“国外”和“香港”上市做区分,且在金融上市领域主流观点都认为,如使用“境外”一词,就默认已涵盖了港澳台地区,而使用“国外”就不包括,因此虽然F公司涉及处理超过100万用户个人信息,但暂无需申报网络安全审查。
如能通过司法解释,对个人信息处理场景下的“境外”含义作认定,将对关联的数据出境、网络安全审查条款的适用和配套制度起草起到引导作用。
第三条【个人信息处理法律依据的证明责任】
个人主张个人信息处理者非法处理个人信息的,应当初步证明其个人信息被处理的事实;个人信息处理者应当举证证明没有处理个人信息的行为或者处理个人信息符合法律、行政法规的规定。
【说明】
1、本条是对于个人信息纠纷民事案件的总体举证责任分配的一个规定。考虑到证明的难度,因此个人初步证明其个人信息被处理的事实的举证证明要求较低,比如证明自己下载并注册使用了被告的App即可。
2、个人信息处理者证明自己完全没有处理作为原告的个人信息,当然就不存在个人信息处理活动,或者虽然有个人信息处理活动,但是符合法律的规定,包括取得同意或有法律、行政法规的依据,以及符合个人信息处理的基本原则等。
第四条【告知义务履行的证明责任】
个人主张个人信息处理者在处理个人信息前未依法履行告知义务的,个人信息处理者应当对已经履行告知义务承担举证证明责任。
【说明】
个人信息处理前个人信息处理者是否依法履行告知义务对于维护个人信息权益至关重要。履行义务者应当负有举证证明已经履行义务的责任,这一点毋庸置疑。实践中,个人要主张个人信息处理者未履行告知义务时,很难举证。故此,本条将举证责任完全交给个人信息处理者。
【实务场景】
当下网络产品的告知义务履行,通常是通过提供《隐私政策》、产品界面展示(如弹窗)等方式来实现的。但由于App版本迭代很快,而且有的产品页面就根本无需App版本更新即可直接替换内容(如通过H5设置的界面,其就是一个网页,技术人员随时都可以在后台更改),导致用户在发现问题后,很难去还原当时的真实使用场景,毕竟用户并不会主动/特意去记录使用产品的过程,因此在主张个人信息处理者未履行告知义务时,很难举证。如果能够通过司法解释,将举证义务直接赋予个人信息处理者,将极大减轻个人信息主体维护自身权益的压力。
第五条【同意无效的情形】
有下列情形之一,个人信息处理者以已征得个人或者不满十四周岁未成年人的父母或者其他监护人的同意为由抗辩的,人民法院不予支持:
(一)个人信息处理者以拒绝提供产品或者服务的方式胁迫个人作出同意或拒绝撤回同意的,但处理个人信息属或者其监护人于提供产品或者服务所必需的除外;
(二)个人信息处理者以含混不清、模棱两可的表述或功能设计,或者采取告知虚假情况、隐瞒真实情况等误导、欺诈的方式取得同意的;
(三)没有依据法律、行政法规的规定取得单独同意或者书面同意的;
(四)以违反合法、正当、必要和诚信原则的方式取得同意的其他情形。
【说明】
本条对于同意无效的情形作出了规定。第一项是现有的法律以及人脸识别司法解释有的规定。
第二项主要是针对实践中很多个人信息处理者就是通过“模棱两可的表述或功能设计”来进行含混的表述,从而误导个人而作出的规定。例如,在吴梦龙诉拼多多案中,拼多多App在请用户填写个人信息,开通多多钱包的界面上,直接显示的是“拼多多官方”,而无其他文本提示,极其容易让人误以为是拼多多自己提供的服务,而不是第三方运营。
第三项是针对单独同意和书面同意的规定。第四项是兜底性规定,以应对实践中的各种无效同意的情形。
【实务场景】
网络产品服务提供者,通常是在首次用户使用产品时,为其提供《隐私政策》请用户阅读并同意来履行告知义务,并作为“告知同意”规则执行的前提条件。而且有的企业,会特别在隐私政策中会强调,用户同意《隐私政策》并不意味着一揽子授权,因为隐私政策一般会明确个人信息处理场景,列明哪些是必需收集的个人信息,如果不同意则无法使用产品,哪些情况下企业会单独请求用户同意处理个人信息等内容。(即通过隐私政策获取用户授权同意的范围,并不当然包括需要取得用户单独同意的部分)
如果企业未能通过隐私政策说明清楚处理规则,则会承担对应的不利后果,例如在“拼多多、多多钱包案”中,拼多多并未通过隐私政策或其他途径,告知用户其会代多多钱包收集个人信息,并提供给多多钱包,因此存在非法收集和提供个人信息的违法事实,拼多多认为其已通过隐私政策告知用户,会将个人信息与关联方共享,且取得了用户同意的主张,并未得到法院的认可和支持。而且拼多多自己也在隐私政策中强调,如将个人信息提供给其他主体,改变处理目的的,会单独获取用户的同意。
用户同意是目前处理个人信息最重要的合规基础,如何理解同意的解释,将对各个人信息处理者后续处理个人信息活动起到积极的指引作用。
第六条【单独同意的认定】
人民法院在认定个人信息处理者是否依据法律、行政法规的规定取得个人单独同意时,应当综合考虑需要取得单独同意的处理活动与其他处理活动的场景区分度、履行告知义务的方式、个人信息的处理方式等因素。
个人信息处理者针对需要取得单独同意的个人信息处理活动,采取下列方式之一取得个人同意的,人民法院可以认定为符合法律、行政法规规定的单独同意:
(一)制作专门的个人信息处理同意书;
(二)采取了单独弹窗、单独勾选、点击跳转链接等方式的;
(三)以拨打电话,发送电子邮件或短信等方式取得个人表示同意的回复。
【说明】
如何认定个人信息处理活动中个人的单独同意,在个人信息保护实践中非常重要。在课题组讨论时,有观点认为,以打电话、发短信等信息推送方式取得个人单独同意的情形很少见,除非涉及极为重要的数据处理活动才会考虑。主要是因为发送短信或打电话等需要额外时间或费用的支出,并且用户在收到邮件或短信后给出反馈的几率很小,大部分人不愿意回邮件或短信,而默认同意又难以被认定为与“单独同意”相同的效果,所以短信、邮件推送多作为规则告知的方式,而不是取得同意的方式。
另一种观点认为,本条第三项要求的是以打电话、发短信等信息推送的方式取得个人同意的回复的,才能认定为单独同意,不是说不回复就等于同意,因此,这种方式也可以作为一种单独同意的方式。
【实务场景】
目前常见的单独同意方式多为单独弹窗、单独文本勾选,例如,在使用跨国公司服务时,多需要同意相应的数据出境要求,比如在飞猪下单万豪集团的酒店,在下单时就需要勾选对应的数据出境同意书,而信息推送方式用的较少,除非涉及极为重要的数据处理活动才会考虑。
企业主要是从经济角度来考虑是否采取短信、邮件方式来获取同意的,一是因为发送短信需要额外支出,二是因为用户在收到邮件或短信后给出反馈的几率很小,大部分人不愿意回邮件或短信,而默认同意又难以被认定为与“单独同意”相同的效果,所以短信、邮件推送多作为规则告知的方式,而不是取得同意的方式。
单独同意在个保法中适用的条款并不少见,而且实务中确实存在大量的需要取得单独同意的场景,如果能够指明单独同意的适用要求,则对实务中请求同意流程的规范有很大的帮助。
第七条【隐私政策的法律规制】
个人信息处理者通过制定隐私政策、个人信息处理规则等方式履行告知义务、取得个人同意,个人信息处理者以个人同意为由主张与个人之间成立个人信息许可使用合同的,人民法院不予支持。
个人信息处理者在隐私政策、个人信息处理规则中要求个人授予其无期限限制、不可撤回、可任意转授权等各类处理个人信息的权利,该个人依据民法典第四百九十七条请求确认格式条款无效的,人民法院依法予以支持。
【说明】
1、关于个人信息处理者制定的隐私政策、个人信息处理规则是否能够因个人同意而在个人与个人信息处理者之间成立个人信息许可使用合同关系存在争议。
一种观点认为,隐私政策中包含的内容庞杂,有些如关于网络服务的内容可能会在个人与个人信息处理者之间成立网络服务合同,但是关于个人信息处理的部分不能仅仅因为个人同意就认为成立了个人信息许可使用合同,这对于个人是不利的,而且个人同意不等于个人授权。
另一种观点认为,隐私政策属于法律行为,因此个人同意后会成立合同关系,包括个人信息许可使用合同关系。本条第1款采取了第一种观点。
2、将个人信息处理者制定的隐私政策、个人信息处理规则看作格式条款,并不等于就在个人与个人信息处理者之间成立了个人信息许可使用合同,所以,仍然可以依据《民法典》关于格式条款无效的规定来规范隐私政策、个人信息处理规则。故此,本条第2款作出了相应的规定。
第八条【非法的个人信息处理活动的侵权责任】
个人信息处理者处理个人信息未取得个人同意且不存在法律、行政法规规定的不需取得个人同意的情形,个人请求个人信息处理者承担停止侵害、排除妨碍、消除危险等民事责任的,人民法院依法予以支持。
【说明】
本条是对非法的个人信息处理活动的侵权责任的概括性说明,主要是明确个人信息权益适用停止侵害、排除妨碍、消除危险等绝对权请求权,即人格权请求权。
第九条【超越合理范围的侵权责任】
个人信息处理者处理个人信息已取得个人的同意或者具备法律、行政法规规定的不需要取得个人同意的事由,但个人信息处理活动超出了合理的范围,违反必要、正当、诚信、目的限制等原则,个人请求个人信息处理者承担停止侵害、排除妨碍、消除危险、赔偿损失等民事责任的,人民法院依法予以支持。
【说明】
《民法典》第1036条第1项要求个人信息处理者处理个人信息,即便是取得了个人同意,也必须是在同意的范围内合理实施。此外,我国《个人信息保护法》第13条第1款第5项、第6项也强调了在合理的范围内处理。也就是说,合法处理不等于就不构成侵权。所谓超出合理的范围,从实践来看主要有两种场景:
(1)“目的变化的不合理”,例如,用户注册需要实名认证的账号,提交了个人手机号码,但平台未告知和取得用户同意且无其他必要的理由,就直接向用户发送营销短信。此时,平台对“手机号”这一个人信息超出了合理且必要的处理范围。
(2)“方式手段的不合理”,例如,某平台为用户提供就业撮合服务,个人用户可以将求职信息在该平台选择公开发布,任何人可浏览或以点对点私信形式提供。平台方为了优化产品,自行将个人用户选择点对点私信提交的简历信息也通过私信的方式自动推荐给其认为符合求职者意愿的其他公司HR,甚至计算用户求职动态向其现任职公司提供“预警”信息。这也属于超出合理的范围。
第十条【共同处理个人信息的民事责任】
两个以上的个人信息处理者共同处理个人信息,侵害个人信息权益造成损害,个人主张多个个人信息处理者按照过错程度和造成损害结果的大小承担侵权责任的,人民法院依法予以支持;符合民法典第一千一百六十八条、第一千一百六十九条第一款、第一千一百七十条、第一千一百七十一条等规定的相应情形,该自然人主张多个个人信息处理者承担连带责任的,人民法院依法予以支持。共同处理个人信息的处理者以内部约定为由抗辩的,人民法院不予支持。
前款共同处理个人信息,是指两个以上个人信息处理者共同决定个人信息的处理目的与处理方式;个人应当初步证明处理者属于共同处理个人信息,个人信息处理者主张并非共同处理个人信息的,应当承担举证证明责任。
【说明】
1、个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,依据《个人信息保护法》第20条第2款,应当依法承担连带责任。所谓依法就是指依据《民法典》关于多数人侵权责任的规定,故此,本条第1款作出了明确。
2、实践中,个人要证明数个处理者属于共同处理者很难,除非处理者之间有明确的书面记录并提供给个人,否则个人难以知悉。因此,本条第2款对个人与处理者之间的证明责任进行了分配。
【实务场景】
多主体参与个人信息处理已成为常态,在实务中,律师通常会要求客户注意通过在活动规则处理规则中写明双方关系,但实务中也可能存在个人信息处理者们,在“合作”初期并没有就处理个人信息活动中的各方法律关系约定明确,或者忽略告知用户。所以对个人信息主体来说,需要其来证明一个处理行为,是A和B共同决定处理目的和处理方式是很难的,除非有文字明确记录,否则用户可能就仅知道,某个活动是AB联合举办的。
例如,A运动品牌公司与B游戏公司出了联名皮肤,并决定举办游戏征文活动,要求参与活动的用户提供个人信息用于评比和寄送奖品。抽奖规则中没有明确活动所涉及的个人信息由哪方处理,那对参与抽奖的个人来说,其可以认为个人信息会同时被A和B公司获得,因为该活动是AB公司联名举办,遂是共同处理个人信息者。但实际上,也完全存在A或B公司单独处理个人信息的可能。
针对涉及多个主体的争议,个人有权主张该处理行为属于共同处理个人信息的行为,但个人需要承担的举证程度,值得通过司法解释来释明,个人作为处理活动中较为弱势的一方,其承担的证明责任应与能力相匹配。
第十一条【委托处理个人信息的民事责任】
受托人依照约定的处理目的、处理方式等处理个人信息侵害个人信息权益造成损害,个人请求个人信息处理者承担损害赔偿等侵权责任的,人民法院依法予以支持。个人信息处理者承担赔偿责任后,依据民法典第九百二十九条请求受托人赔偿损失的,人民法院依法予以支持。
受托人超出约定的处理目的、处理方式等处理个人信息,侵害个人信息权益造成损害,个人请求受托人承担赔偿损失等侵权责任的,人民法院依法予以支持。个人信息处理者存在过错,符合民法典第一千一百六十八条、第一千一百六十九条第一款、第一千一百七十条、第一千一百七十一条等规定的相应情形,个人主张个人信息处理者与受托人承担连带责任的,人民法院依法予以支持。
个人信息处理者委托处理个人信息的事项违反法律、行政法规的规定,侵害个人信息权益造成损害的,个人请求个人信息处理者与受托人承担连带责任的,人民法院依法予以支持。但是,受托人能够举证证明已尽合理注意义务仍不能知道委托处理个人信息的事项违反法律、行政法规的除外。
未经个人信息处理者同意,受托人转委托他人处理个人信息,侵害个人信息权益造成损害,个人请求受托人与转委托的受托人承担连带责任的,人民法院依法予以支持。
【说明】
本条对委托处理个人信息时的各类侵权责任作出了规定。实践中委托处理个人信息的情形很常见,如何确定委托人与受托人在侵害个人信息权益时的侵权责任,非常重要,本条对此作出了规定。
【实务场景】
在广告、金融等领域,有很多数据服务公司,其可能联合通信服务商、购物平台、调研机构为广告主、金融机构提供数据分析服务,大部分服务需要依赖设备ID(如IMEI号)、手机号或身份证号码来实现。在这个流程中,数据服务公司实际是作为“受托人”来处理数据,但“受托人”如何来验证委托方数据来源的合规性则存在一定的疑问,目前主要是根据数据性质来匹配对应的审查措施,甚至有的“受托方”根本不在意这方面的风险,因为其认为法律风险应该由委托方承担。
如果能够通过司法解释直接明确“受托人”与“委托方”承担连带责任的条件,以及例外情况,将有利于“受托人”型公司提升合规标准,更好地维护数据安全。
第十二条【提供个人信息的民事责任】
个人信息处理者向其他个人信息处理者提供其处理的个人信息,接收方未取得个人同意变更原先的处理目的、处理方式,个人请求接收方承担停止侵害、排除妨碍等侵权责任的,人民法院依法予以支持。
个人信息处理者向其他个人信息处理者提供其处理的个人信息,未履行告知义务或者没有取得个人单独同意,个人请求个人信息处理者承担停止侵害、排除妨碍等侵权责任的,人民法院依法予以支持。接收方知道或者应当知道提供方没有履行告知义务并取得个人单独同意的,个人请求接收方与个人信息处理者承担连带责任的,人民法院依法予以支持。
【说明】
1、本条第1款明确了接收方变更处理目的、处理方式处理个人信息的,构成侵权,应当承担侵权责任。
2、本条第2款主要是对接收方与提供方承担连带责任的情形作出了明确,即接收方知道或者应当知道提供方没有履行告知义务并取得个人单独同意的,个人有权请求接收方与个人信息处理者承担连带责任的。因为这种情形符合《民法典》第1168条的共同侵权责任的规定,即接收方和提供方构成共同故意侵权。
在实践中,很多公司在接收其他主体提供的个人信息时,会忽视对个人信息来源合规性的审查(无论是形式还是实质),大多是在协议中约定要求数据提供方确保合规。本款通过明确接收方承担连带责任的条件,有助于在实务侧推动数据接收方对数据提供方合规审查的标准和重视程度,有利于保护个人信息权益,促进个人信息的合理利用。
【实务场景】
A公司是家化公司,经营多个化妆品品牌,其中某品牌在屈臣氏销售,其希望屈臣氏能够提供购买了该品牌的屈臣氏会员手机号信息,与自己的会员信息做匹配,以了解会员在屈臣氏的采购率。屈臣氏同意提供加密手机号,并提供了隐私政策供A公司审查。
不过根据屈臣氏隐私政策,其告知用户的使用目的中不包括A公司的处理场景,因此还需要屈臣氏单独取得用户的同意。最终由于取得同意的条件难以满足,双方取消了数据匹配计划。
实务中,很多公司在接收其他主体提供的个人信息时,会忽视对个人信息来源合规性的审查(无论是形式还是实质),大多是在协议中约定要求数据提供方确保合规。如能通过司法解释明确信息接收方承担连带责任的条件,则会在实务侧推动数据接收方对数据提供方合规审查的标准和重视程度,有利于保护个人主体权益,促进数据流通。
第十三条【不合理的差别待遇的认定】
具有以下情形之一的,人民法院可以认定构成个人信息保护法第二十四条第一款的“不合理的差别待遇”:
(一)对同一产品或者服务,基于个人的支付能力、消费偏好、使用习惯等个人特征针对个人采取不同的交易价格、交易方式或者其他交易条件;
(二)对在交易安全、交易成本、信用状况、交易环节、交易持续时间等方面不存在实质性差别的个人采取不同的交易价格、交易方式或其他交易条件;
(三)基于有损人格尊严、人身自由的方式或者违背诚信、公平原则而实施的交易条件上的差别待遇。
满足下列情形之一的,人民法院可以认定为具有合理的差别待遇:
(一)根据交易相对人的实际需求,且符合正当的交易习惯和行业惯例,实行不同的交易条件;
(二)针对新用户在合理期限内开展的优惠活动;
(三)基于公平、合理、非歧视规则实施的随机性交易;
(四)法律、法规规定的其他情形。
【说明】
本条对《个人信息保护法》第24条第1·款中的“不合理的差别待遇”从正反两个方面作出了界定,主要参考了《国务院反垄断委员会关于平台经济领域的反垄断指南》第17条、《深圳经济特区数据条例》第69条等的规定。存在的争议是,将反垄断中的判断标准用于个人信息保护法是否合适!
第十四条【对个人权益有重大影响的认定】
通过自动化决策方式作出对个人权益有重大影响的决定,个人请求个人信息处理者予以说明或者通过非自动化决策的方式作出决定,个人信息处理者拒绝,个人向人民法院提起诉讼的,人民法院应当依法予以受理。
具有以下情形之一的,人民法院可以认定不构成个人信息保护法第二十四条第三款的“仅通过自动化决策的方式”:
(一)个人信息处理者或其委托方参与了决策;
(二)参与决策的人有能力改变决定的。
具有以下情形之一的,人民法院可以认定构成个人信息保护法第二十四条第三款、第二十七条“对个人权益有重大影响”:
(一)排除或者限制个人的主要权利;
(二)加重个人的义务或者法律责任;
(三)导致个人的经济、社会地位发生了不合理的变化;
(四)对于个人权益产生法律效力或造成重大影响的其他情形。
【说明】
1、本条第1款主要为《个人信息保护法》第24条第3款的规定提供司法救济程序。该款规定:“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”如果个人信息处理者拒绝说明,或者拒绝采取非自动化决策的方式作出决定的,那么个人可以针对个人信息处理者提起诉讼,法院可以判决个人信息处理者作出说明,或者按照非自动化决策的方式重新作出决定。
2、本条第2款对于非自动化决策的情形进行了明确。
3、《个人信息保护法》第24条、第27和第55条中都出现了“对个人权益有重大影响”的表述,本条第3款在参考《民法典》第496-497条对格式条款中限制排除权利的规定的基础上,结合个人的法律上的权利、义务、责任的角度提出了相应的判断标准。
【实务场景】
A场景:2021年,某唯品会用户向唯品会运营方提出行使个人信息复制权的要求,被唯品会以未实名拒绝,遂提起诉讼【(2022)粤01民终3937号 】。在诉讼过程中,针对用户要求披露哪些信息被唯品会用于用户画像的请求,法院认为用户并未提交证据证明唯品会作出了对其个人权益有重大影响的自动化决策,因此不予支持用户画像相关的个人信息披露请求。
B场景:E公司运营有一家金融借贷信息撮合平台,其计划根据用户提供的金融需求信息,通过算法推荐匹配的借款方,撮合双方达成贷款协议。某用户认为该模式所做出的决定对其个人权益有重大影响,要求E公司给出合理解释。
《个人信息保护法》除第24条外,在第27和第55条中也涉及了“对个人信息权益有重大影响”的表述,且都关联有后续的配套合规要求,但何谓“重大影响”并不明确,各个法条之间对“重大影响”的认定标准是否一致也不确定。而个人信息处理者需要结合“重大影响”的判断标准,决定在业务中是否需要配备对应的合规手段,以及能否正确应对个人主体可能提出的要求。如能够明确各条款中关于重大影响的认定标准,不仅有利于个人信息处理者更好地处理个人信息,也为个人信息主体主张相关权利提供了法律支持。
第十五条【公开个人信息的处理】
个人信息处理者在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息,个人已经明确拒绝而个人信息处理者没有及时停止处理,或者对个人权益有重大影响而个人信息处理者没有依法规定取得个人同意,个人请求个人信息处理者承担停止侵害、排除妨碍、消除危险、赔偿损失等民事责任的,人民法院依法予以支持。
具有以下情形之一的,人民法院可以认定构成个人信息保护法第二十七条的“在合理的范围内”:
(一)个人信息被公开时有明确的用途,个人信息处理者的处理目的和方式符合该用途;
(二)个人信息被公开时未明确用途,个人信息处理者遵循合法、正当、必要、诚信、目的限制等原则,合理、谨慎地处理该信息。
个人在自行公开其个人信息时明确作出禁止他人处理的书面表示,或者个人以书面形式向个人信息处理者提出不得处理已公开的个人信息的,人民法院可以认定为个人信息保护法第二十七条的“个人明确拒绝”。
【说明】
1、本条第1款明确了对于合法公开个人信息的处理原则上是不承担侵权责任的,除非两种情形:其一,个人已经明确拒绝而处理者没有及时停止处理;其二,对个人权益有重大影响而个人信息处理者没有依法规定取得个人的明确同意。
2、本条第2款对什么是合理的范围作出了界定。
3、本条第3款对于如何认定个人明确拒绝作出了规定。
【实务场景】
E公司运营有一家直播平台,平台中设置有用户打赏主播的功能,且用户打赏后将在相应的直播间展示“昵称、头像、打赏道具”信息。M公司通过技术手段收集E平台上所有用户的打赏信息,编辑汇总后,可供公众付费后通过“帐号昵称”的方式查询对应账号的打赏情况。(目标受众主要是MCN机构或平台公会,用来判断哪个主播值得投资或哪个榜一大哥值得拉拢进公会)E公司近几月来连续收到用户投诉,称其认为E公司泄露了用户个人信息,因为自己的打赏信息可以在其他平台可以被查询。
由于公众存在“公开信息即可以随便使用”的一些错误认知(信息所对应产生的商业利益),公开个人信息被不当利用的可能性和风险性更大,因此如果能够通过司法解释再次强调和明确公开信息的使用边界、原则,有利于后续合规解释工作的开展。
第十六条【查阅复制权的范围】
个人向个人信息处理者查阅、复制以下个人信息,个人信息处理者没有正当理由拒绝,个人向人民法院提起诉讼的,人民法院应当依法予以受理:
(一)个人信息处理者是否处理其个人信息;
(二)个人信息的处理目的、处理方式;
(三)处理的个人信息种类、内容、保存期限;
(四)个人信息的其他共同处理者、受托人;
(五)个人信息的提供方、接收方;
(六)处理的合法公开的个人信息及其来源;
(七)其他可以查阅、复制的个人信息。
【说明】
本条主要明确了《个人信息保护法》第45条第1款个人行使查阅复制权所查阅复制的个人信息的范围。
【实务场景】
2021年《个人信息保护法》即将生效时,B游戏公司启动了隐私政策修订工作,在修改过程中,公司对“复制权”如何履行产生了疑义,因为难以判断需要给出哪些信息、以什么方式给出信息,以及个人信息主体身份验证方式的设置复杂性要有多高。最终B公司计划暂时设置了常见的账号个人信息(昵称、头像、游戏等级等内容)复制路径,如用户有疑问再联系公司做个案处理,如此即给用户提供了复制权行使的渠道,不至于完全忽略个人的该项权利。
对于个人主张复制权的应对方式和范围,实务中尚未形成统一惯例,判决也仅有一例,如果可以通过司法解释出具指引,则对此类权利行使和司法判决提供指导。
第十七条【更正补充权】
个人发现其个人信息不准确或者不完整的,请求个人信息处理者更正、补充,个人信息处理者怠于或者拒绝更正、补充,个人向人民法院提起诉讼的,人民法院应当依法予以受理。
因个人信息处理者怠于、拒绝或者错误更正、补充不准确或者不完整的个人信息,侵害民事权益造成损害,受害人请求个人信息处理者承担赔礼道歉、赔偿损失等民事责任的,人民法院依法予以支持。
【说明】
本条主要对于更正补充权的行使以及错误更正补充的赔偿责任作出了规定。
第十八条【删除权】
存在法律、行政法规规定的应当删除个人信息的情形,个人信息处理者未删除,个人向人民法院提起诉讼请求个人信息处理者删除的,人民法院依法予以支持,但法律、行政法规另有规定的除外。
个人信息处理者违反法律、行政法规或者违反约定处理个人信息,个人向人民法院提起诉讼请求个人信息处理者删除的,人民法院依法予以支持。
个人信息处理者未及时主动删除个人信息,侵害民事权益造成损害,个人向人民法院请求个人信息处理者承担赔偿损失等民事责任的,人民法院依法予以支持。
【说明】
1、本条第1款和第2款是两种不同的情形,虽然在《个人信息保护法》第47条中违法和违约处理个人信息也被作出删除的情形之一,但其与其他情形的删除不同,因为前者本身已经构成了侵害个人信息权益,所以依据本条第2款,个人可以直接起诉,请求处理者停止侵害、排除妨碍等。但是其他情形的删除,则应当先向处理者提出请求,被拒绝后才能起诉,这是第1款的规定。
2、本条第3款对于不履行删除义务的侵权责任作出了规定,明确了删除义务不是单纯的行政法上的义务,也是民事义务,违反了会产生民事责任。
【实务场景】
B公司因与E公司签订的游戏授权协议到期,根据协议约定,将在我国内地停止运营游戏“泡泡大作战”,但E公司表示会继续在我国内地寻找其他厂商,运营“泡泡大作战”游戏,目前“泡泡大作战”游戏处于停止服务的状态。停止提供游戏运营服务后,由于游戏服务器中所存储的用户个人信息和其他不涉及个人信息的数据,如游戏知识产权代码未做区隔,难以拆分,而B公司其与E公司之间并未就服务器中数据如何处理达成一致,所以B公司决定暂时保持“停止除存储和采取必要的安全保护措施之外的处理”,但B公司有如下两点疑惑:(1)如果在暂时存储期间,有玩家提出要求复制数据等主张个人信息权益的情况发生,其是否需要满足玩家的需求?(2)如果在数据拆分完毕后,公司是否可以基于防范诉讼争议需要举证的目的,继续存储玩家的个人信息,以便应对诉讼时效期内可能发生的诉讼争议,即B公司可以调取存储的玩家数据,用于举证。
游戏停止运营后,B公司应根据《个人信息保护法》第47条关于删除的规定,删除存储的个人信息,但由于彻底删除全部数据会影响其他非个人信息数据的安全性,因此个人信息保持在存储状态,此时个人信息的状态是否应被认定为等同“删除”,不得做任何其他处理?也即个人信息主体主张个人信息权益的期限,也应该截止于个人信息处理者决定“删除”数据当天?上述疑问的厘清有助于帮助个人信息主体和个人信息处理者厘清权利义务履行的时间节点和方式。
针对问题2,疑问点在于“法律、行政法规规定的保存期限”概念的理解,该定义所指向的“保存期限”是指类似于网安法所要求的“网络安全日志需存储6个月”,此类有明确数据类型和保存期限指向的规定,还是包括了,基于类似民诉法规定了3年的诉讼时效,而诉讼当事人在诉讼中可能需要使用数据用于举证,因此在这个目的下个人信息处理者至少可以留存数据3年的,这种“推论式”保存期间认定?
明晰删除数据后的个人信息状态,将对个人信息处理者如何调整删除数据的流程,以及个人信息主体如何正当行使自己的权利有积极的指导意义。目前来看,数据删除阶段的合规监督还是较为薄弱的,一方面是因为“删除”状态难以简单核验,多需要借助技术手段来实现,或者通过个人信息处理者单方承诺,另一方面也是因为数据应用的隐蔽性,不易被察觉。因此如果能够通过司法解释对“保存期限”范围予以明确,以及“暂存”状态定性,则对删除争议的处理有所帮助。
第十九条【个人在个人信息处理活动中的权利的保护】
个人信息处理者拒不履行、不完全履行、迟延履行个人行使个人信息权益的请求,个人向人民法院提起诉讼要求继续履行、采取补救措施或者赔偿损失的,人民法院依法予以支持。
个人没有向个人信息处理者提出查阅、复制、转移、更正、补充其个人信息的请求,或者没有要求个人信息处理者对其个人信息处理规则进行解释说明,向人民法院提起诉讼主张行使权利的,人民法院依法驳回起诉。
【说明】
本条明确的是个人行使查阅、复制、补充、更正、补充等权利,原则上是个人信息处理者拒绝的情形下。
【实务场景】
在杭州互联网法院在(2022)浙0192民初4330号民事判决书裁判的案例中,杜某诉称,其是某网购平台用户,曾在该平台多次购买商品。某日,其在购物过程中,被平台发布的“好友圈好友等你开拼手气红包”字样吸引,遂点击该字样,随后页面跳出“进圈并邀请好友”的跳转链接,杜某继续点击进入“好友圈”。
随后,杜某发现其在该平台的购物记录被自动公开并分享,部分购物记录被朋友看到和提醒,使其产生隐私受到侵犯的感受。杜某认为,依据《个人信息保护法》第十四条和第四十四条的规定,被告在处理用户个人信息时,侵犯其知情权和决定权,严重违反诚实信用原则,造成了相应精神损失,故向法院提起诉讼,要求被告停止侵权、赔礼道歉并赔偿损失。
平台辩称,杜某在用户注册时,平台已通过协议约定明确告知用户收集及使用用户个人信息的方式、范围及目的,并获得用户同意,且未收到杜某对其个人信息处理活动的查询申请或投诉信息,故不存在侵犯个人信息权益的行为。同时,平台提交了关于行使个人信息权利的申请受理和处理机制路径的相关材料。
本案中,被告平台通过协议约定和后台设置,构建了个人行使权利的申请受理及处理机制,杜某可通过以上方式行使个人信息知情权和决定权。但杜某提起本案诉讼前并未向平台(信息处理者)提出请求,而是径行向本院请求救济其在个人信息处理活动中享有的权利,显然不符合法律规定中关于“个人信息权利请求权”的起诉受理条件。
综上,杭州互联网法院作出驳回起诉的裁定。
该条款对应的应该是《个人信息保护法》第50条,50条第2款规定为“个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。”其中针对“可以”的理解有两种模式,一方主张如杭互的理解,向个人信息主体提出权利请求为必要前提,另一方主张,该条款仅是为了提醒个人信息主体,如果其个人信息权利主张不顺,还可以通过诉讼的方式维护自身权益,而不是局限个人信息主体行使权利的条款,如按照杭州互联网法院的观点,法条规定为:“个人应当向个人信息处理者请求处理行使权利的诉求,对处理结果不服的,可以向人民法院起诉”可能更为适宜。因此为了统一司法适用,需要通过司法解释明确该条款的具体含义。
第二十条【死者的个人信息】
死者近亲属具有下列情形之一的,人民法院可以认定构成个人信息保护法第四十九条的“自身的合法、正当利益”:
(一)维护死者的名誉、隐私的需要;
(二)维护近亲属对死者的崇敬、追思之情的需要;
(三)其他维护近亲属自身的人身、财产权益的需要;
【说明】
本条对于如何判断《个人信息保护法》第49条的死者近亲属自身的合法、正当利益的标准作出了明确。
第二十一条【死者名誉等人格利益的保护】
自然人死亡后,个人信息处理者处理死者个人信息,侵害死者的姓名、肖像、名誉、荣誉、隐私的,死者的近亲属依据民法典第九百九十四条请求个人信息处理者承担民事责任的,人民法院依法予以支持。
【说明】
本条明确了死者名誉、隐私等人格利益的保护是不同于死者的近亲属行使针对死者的个人信息的权利。
第二十二条【侵害隐私权与个人信息权益的归责原则的适用】
个人信息处理者处理私密信息侵害个人信息权益造成损害的,个人请求个人信息处理者承担损害赔偿等侵权责任的,人民法院依法予以支持,个人信息处理者能够举证证明自己没有过错的除外。
自然人因个人或者家庭事务处理个人信息侵害个人信息权益、隐私权等民事权益造成损害,个人请求具有过错的个人信息处理者承担损害赔偿等侵权责任的,人民法院依法予以支持。
【说明】
司法实践中,如何区分侵害隐私权与侵害个人信息权益的民事责任究竟是竞合还是聚合,原告是否有权利选择等问题存在很大的争议,特别是在《个人信息保护法》和《民法典》分别规定了不同的归责原则的情形下。
本条区分了《个人信息保护法》第69条第1款的过错推定责任与《民法典》第1165条第1款在个人信息保护领域的适用范围。依据本条第2款,只要是自然人因个人或者家庭事务处理个人信息,无论是侵害个人信息权益、隐私权还是其他民事权益,都适用《民法典》第1165条第1款,是过错责任。因为《个人信息保护法》已经将自然人因个人或者家庭事务处理个人信息的情形排除在该法的调整范围之外,自然不能适用该法第69条第1款的过错推定责任,只有本条第1款规定的情形才能适用。
第二十三条【侵害肖像权、名誉权与个人信息权益的归责原则的适用】
个人信息处理者处理人脸信息、信用信息等侵害个人信息权益造成损害的,个人请求个人信息处理者承担损害赔偿等侵权责任的,人民法院依法予以支持,个人信息处理者能够举证证明自己没有过错的除外。
个人信息处理者处理人脸信息、信用信息等侵害肖像权、名誉权造成损害的,个人请求具有过错的个人信息处理者承担损害赔偿等侵权责任,人民法院依法予以支持。
【说明】
与隐私权和个人信息权益的关系一样,实践中对于侵害个人信息权益与侵害肖像权、名誉权的侵权责任之间的关系究竟是竞合还是聚合,也存在很大的争议。本条区分了个人信息权益与肖像权、名誉权的侵权责任归责原则的适用,对于侵害个人信息权益,适用的是过错推定责任,对于侵害肖像权、名誉权则适用的是过错责任。至于实践中,这些责任之间是聚合还是竞合,需要根据案件具体情况加以判断。
第二十四条【基于个人信息权益的人格权禁令】
个人有证据证明个人信息处理者正在实施或者即将实施侵害个人信息权益的行为,不及时制止将使其个人信息权益受到难以弥补的损害,向人民法院申请采取责令信息处理者停止有关行为的措施的,人民法院可以根据案件具体情况依法作出人格权侵害禁令。
【说明】
个人信息权益能否适用人格权禁令程序,理论界存在不同的看法。本条明确了个人信息权益也可以适用《民法典》规定的人格权禁令程序。
第二十五条【共同危险行为的准用】
两个以上的个人信息处理者处理相同个人信息危及个人信息权益,其中一个或者数个个人信息处理者的个人信息处理行为侵害个人信息权益造成损害,个人不能确定具体侵权人,请求行为人承担连带责任的,人民法院应当予以支持,但个人信息处理者能够证明自己的处理行为与个人信息权益被侵害没有因果关系的除外。
【说明】
实践中个人信息被多个处理者所处理,一旦出现侵害个人信息权益的行为,往往很难判断究竟是谁造成的,这种情况下,参照适用《民法典》关于共同危险行为的规定可以加以解决。但是,必须对于适用的条件作出严格的限定,否则就会滥科连带责任。
【实务场景】
拼多多和“多多钱包”案(拼多多向付费通提供用户信息,被判违法!https://xueqiu.com/2744910577/206059208)中,拼多多在其App中增加“多多钱包”功能,开通界面仅提示用户填写姓名、身份证号码可开通“多多钱包”,该功能是“拼多多官方”服务,界面上无任何服务协议、隐私政策文本,用户在开通界面无法知晓该功能实际是由“多多钱包”的运营方付费通来提供。
用户在使用多多钱包过程中,才发现多多钱包的实际运营方与拼多多不一致,因此认为开通“多多钱包”的过程中应该有非法处理个人信息,侵犯其个人信息权益的行为,特提起诉讼。而且用户是在庭审过程中,才知晓其填写的实名信息,是先由拼多多收集,再通过拼多多转交给付费通的,用户在前端界面中根本无法感知具体的数据传输情况。
对用户来说,在无明显提示和告知的情况下,其是难以判断多主体(如拼多多和多多钱包之间)是如何分工来处理个人信息的,因为个人既无法获知多主体间签订的协议或约定内容,也无法知晓个人信息实际流转情况,如果能通过司法解释直接要求个人信息处理者来承担处理关系解释的义务,则为个人积极维护自身权利扫清了一个大的举证障碍。
第二十六条【个人信息处理者对下游损害的赔偿责任】
方案一:
个人信息处理者没有依法采取相应的措施保护敏感的个人信息安全,发生个人信息泄露、丢失,第三人利用该信息侵害个人的民事权益造成损害,个人请求个人信息处理者与第三人承担连带责任的,人民法院应当予以支持。
个人信息处理者没有依法采取相应的措施保护非敏感的个人信息安全,发生个人信息泄露、丢失,第三人利用该信息侵害个人的民事权益造成损害,由实施侵权行为的第三人承担赔偿责任,个人信息处理者根据其过错和原因力承担相应的赔偿责任。
方案二:
个人信息处理者没有依法采取相应的措施保护个人信息的安全,发生个人信息泄露、丢失,第三人利用该信息侵害个人的民事权益造成损害,由实施侵权行为的第三人承担赔偿责任;个人信息处理者有过错的,应当在能够防止或者制止损害的范围内承担相应的补充赔偿责任。
方案三:
个人信息处理者没有依法采取相应的措施保护个人信息的安全,发生个人信息泄露、丢失,第三人利用该信息侵害个人的民事权益造成损害,由实施侵权行为的第三人承担赔偿责任,个人信息处理者根据其过错和原因力承担相应的赔偿责任。
【说明】
就个人信息处理者对下游损害的赔偿责任,目前有三种不同的观点。
第二十七条【过错推定的推翻】
个人信息处理者能够举证证明个人信息处理活动符合法律、行政法规规定的个人信息处理规则、履行了个人信息处理者的义务并满足了个人行使权利的请求的,人民法院依法认定个人信息处理者没有过错。
【说明】
本条对个人信息处理者如何推翻《个人信息保护法》第69条第1款规定的过错推定,作出了明确,主要就是综合依据法律法规的规定等加以判断,即通过反向运用“违法推定过失”的理论,来推翻对过错的推定。
第二十八条【侵害个人信息权益的财产损害】
个人信息处理者处理个人信息侵害个人信息权益,造成财产损失,被侵权人依据个人信息保护法第六十九条第二款请求个人信息处理者承担赔偿责任的,人民法院应当予以支持。
个人为制止侵权行为所支付的合理开支,可以认定为个人信息保护法第六十九条第二款规定的损失。合理开支包括个人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情,可以将合理的律师费用计算在赔偿范围内。
【说明】
本条是对侵害个人信息权益的财产损害的规定。第1款明确了个人信息权益也保护自然人针对其个人信息享有的经济利益,而第2款明确了个人为制止侵权行为所支付的合理开支等也属于财产损失。
第二十九条【侵害个人信息权益的精神损害】
个人信息处理者处理个人信息侵害个人信息权益,造成个人严重精神损害的,被侵权人依据民法典第一千一百八十三条第一款请求个人信息处理者承担赔偿责任的,人民法院应当予以支持。
个人信息发生泄露、篡改、丢失,个人没有证明其遭受的实际损失,只以其将来遭受损失的风险为由请求个人信息处理者赔偿损失的,人民法院不予支持。
【说明】
本条对侵害个人信息权益的精神损害的规定。重点是明确了个人信息泄露后可能引发身份盗窃的风险等风险性损害,还不能作为民法上的损害,获得赔偿。
第三十条【侵害个人信息权益的法定赔偿】
个人因个人信息权益被侵害而受到的损失以及个人信息处理者因此获得的利益难以确定的,人民法院可以根据实际情况在100万元以下的范围内确定赔偿数额。
【说明】
本条对侵害个人信息权益的法定赔偿作出了规定,明确了100万元的限额。
第三十一条【合并审理】
基于同一个人信息处理者处理个人信息发生的民事纠纷,多个受害人分别向同一人民法院起诉的,经当事人同意,人民法院可以合并审理。
【说明】
本条对个人信息民事纠纷案件的合并审理作出了规定。
第三十二条【个人信息保护民事公益诉讼】
个人信息处理者处理个人信息的行为符合个人信息保护法第七十条或者其他法律关于民事公益诉讼的相关规定,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织提起民事公益诉讼的,人民法院应予受理。
【说明】
本条对个人信息保护民事公益诉讼作出了规定。
第三十三条【施行时间】
本解释自2023年 月 日起施行。