@ 案例一：“统一服务平台”处理敏感个人与私密信息时，需征得用户单独同意

“统一服务平台”模式（互联网集团为其旗下多个应用程序App构建的一套共享技术和服务框架。运营主体之间，通过签署《数据共同处理协议》来约定共同处理用户信息的目的、范围和责任分担的数据共享模式）的合法性边界在于告知同意的有效性。互联网平台基于“统一服务平台”在关联应用间共同处理用户个人信息，其合法性不取决于该商业模式的名称，而取决于是否以真实、准确、完整且显著的方式向用户告知全部处理者范围、处理信息种类及具体处理方式，并据此获得用户自愿、明确的同意。告知不清、误导用户或捆绑同意，均导致同意无效。处理敏感个人信息与私密信息，无论其是否在“统一服务平台”内进行，都必须取得用户的单独同意。该义务是法定强制性要求，不因信息处理被定性为“共同处理”而豁免。

案情介绍

某信息公司、某科技公司（两公司间存在关联关系）共同运营涉案三款手机应用程序，某技术公司系涉案App的开发者，迟某是三款App的注册用户。在注册并使用涉案App的过程中，迟某发现其账号昵称、头像、简介、动态、实名认证信息、“粉丝和关注”列表、私信等信息会在三款App中进行同步显示与即时共享。迟某主张，其对使用涉案三款App账号过程中形成的信息享有个人信息权益及隐私权，而涉案三款App的运营者在未经其有效明示同意的情况下，擅自收集、存储、使用、共享其个人信息，已经构成对其合法权益的侵害，遂向法院提起诉讼，请求判令三家公司在App中增设关于三款App间共享个人信息的单独同意选项；立即停止统一服务平台处理个人信息；提供所收集的迟某个人信息清单及使用范围、目的与方式；并向其赔礼道歉，赔偿经济损失与合理维权费用。

裁判结果

一审法院认为，在“统一服务平台体系”下处理个人信息属于《个人信息保护法》第二十条规定的共同处理，而非二十三条规定的“向其他个人信息处理者提供”。“单独同意”虽不是法律规定的必选项，但也并非一概豁免，而是要根据所处理信息的类型来分别判断。对于一般个人信息需要按照《个人信息保护法》第十三条，取得用户的一般性“同意”即可。同意的有效性判断的关键是建立在“充分知情”和“自愿同意”的基础上。对于敏感个人信息、私密信息则应取得个人的单独同意。本案中，某信息公司、某科技公司未能以显著方式、清晰易懂的语言准确、完整地告知信息处理者的范围、所处理的个人信息的种类与处理方式，特别是处理实名认证信息、私信内容等敏感个人信息时也未取得迟某的单独同意，构成对迟某的个人信息权益与隐私权的侵犯。一审法院判决某信息公司、某科技公司向迟某书面致歉并赔偿其经济损失。

二审法院认为，涉案公司在处理用户个人信息时，未充分保障用户的知情权与自愿同意权，构成对个人信息权益的侵害；在未取得单独同意的情况下，处理用户实名认证信息及共享私信聊天记录，亦构成对隐私权的侵害。因相关行为缺乏合同必要性及法定依据，且未履行有效告知与单独同意程序，一审判决结果应予维持。据此，二审法院驳回上诉，维持原判。

典型意义

本案的典型意义在于，一是厘清了平台型经济中数据共享的合规路径，为商业模式创新划定了法律红线。本案判决明确，数字经济下“统一账号”“生态互通”的商业模式不能凌驾于个人信息保护的基本法律原则之上。平台在享受数据共享带来的商业便利时，必须履行与之匹配的、更高标准的合规义务，尤其是穿透式的告知义务和针对核心敏感信息的特别授权义务。二是确立了“单独同意”原则在复杂数据处理场景中的优先适用地位，强化了对用户核心隐私的刚性保护。判决有力地驳斥了“共同处理即可免除单独同意”的错误观点，明确指出敏感个人信息与私密信息的保护是绝对的。这为生物识别信息、私人通信等核心隐私数据树立了坚实的“安全盾牌”，要求平台必须设置专门、醒目的授权环节，杜绝任何形式的“强制捆绑”或“默认同意”。三是对大型互联网平台的集团化数据治理提出了明确的司法指引。 本案警示拥有多款应用的平台集团，其内部的数据流转并非“法外之地”。法院通过综合因素认定“共同处理”，既避免了机械执法，也引导平台必须通过清晰的内部协议、一致的对外告知和统一的安全管理来构建合规的数据治理体系，从而实现数据价值利用与用户权益保护的有效平衡。四是彰显了司法在数字时代平衡创新发展与权益保护中的积极作用。本案判决并未简单否定“统一服务平台”的商业模式，而是通过精准的法律适用，纠正其具体实施中的违法违规行为。这体现了司法智慧，既保护了用户的合法权益，也为数字经济的健康、有序、可持续发展提供了明确的行为预期和统一的裁判尺度。

@ 案例二：平台用户不能通过注销的方式实现对永久封禁账号的个人信息撤回——王某与某科技有限公司网络服务合同纠纷案

裁判要旨

为实现平台治理目的，对已被永久封禁的账号，用户要求通过注销账号以实现撤回个人信息授权、删除个人信息的主张不应予

以支持。允许此种情形下的注销将实质架空平台的处罚权，损害平台治理机制的有效性，不利于维护网络空间的公共秩序。

案情介绍

本案是因网络直播主播被处罚引发的网络服务合同及个人信息撤回同意纠纷。王某系直播平台用户，使用昵称为“王某”的账号进行直播。某科技有限公司以王某在直播中涉嫌传播低俗色情内容为由，对其账号采取了无限期封禁直播权限的处罚措施。王某认为其直播内容并未直接展示敏感部位，且相关言论系正常互动中的口语化表达，不应被认定为低俗或色情内容；其还主张因其账号永久封禁，平台不允许其注销解绑个人信息，违反《个人信息保护法》第十五条关于用户有权撤回信息授权的规定。王某起诉请求某科技有限公司解除封禁措施或解绑账号，并赔偿因其账号被封禁而造成的经济损失。

裁判结果

一审法院认为，王某与某科技有限公司之间成立合法有效的网络服务合同关系，相关协议对双方均有约束力。根据平台规则，用户不得传播淫秽、低俗等内容，否则平台有权采取相应处罚措施。现有证据表明，王某在直播中存在传播低俗色情内容的行为，且其账号曾因类似行为多次受罚。平台依据协议规则对其作出处罚，符合约定，并无不当。故对王某要求撤销处罚及赔偿损失等诉讼请求，不予支持。

二审法院认为，王某在直播中存在言语挑逗、传播性暗示内容等行为，违反平台《直播行为规范》，构成违规。平台基于其屡次违规情节，依规施以永久封禁，符合合同约定及过罚相当原则，程序亦无重大瑕疵，未超出平台自治合理边界。关于永久封禁与账号注销的关系，法院认为，永久封禁在功能上已实现对该账号个人信息的隔离与逻辑删除，符合个人信息保护的技术要求。若允许用户在受此终极处罚后仍可注销账号，将导致平台管理权被架空，并可能规避监管，损害网络公共秩序。据此，二审驳回上诉，维持原判。

典型意义

本案作为一起典型的网络直播服务合同纠纷，其裁判结果体现了司法对平台治理权的审查标准与价值导向，具有以下典型意义：一是确立了司法对平台自治权的有限审查原则。不替代平台履行具体管理职责，而是聚焦审查平台行为的“合约性”和“合理性”，即是否依据明确的合同条款；处罚是否基于有效证据，并与违规行为的性质、情节（如历史违规记录）相匹配，符合“过罚相当”原则。这种审查方式，既尊重平台的治理自主权，又防止权力滥用，为类似纠纷提供司法范式。二是解决了“永久封禁”与“账号注销”的权利冲突。法院明确，永久封禁已实现个人信息隔离，用户不得再主张注销账号以规避处罚。这一论断平衡了个人信息权益与平台管理权，防止恶意用户规避监管、维护网络生态秩序。总而言之，本案构建了数字契约下的治理框架，平台享有基于明确规则和正当程序进行治理的权限；用户遵守规则并承担违规后果。本案对构建清朗、有序的网络空间秩序具有重要司法意义。

@ 案例三：个人信息查阅复制权的行使需基于个人信息权益保护目的——李某某与某科技公司网络侵权责任纠纷案

裁判要旨

个人信息主体向个人信息处理者查阅复制涉及他人个人信息的浏览记录时，个人信息处理者有协助提供的义务，但应以不侵害其他个人信息主体合法权益为前提；根据具体场景，若个人信息处理者能够提供准确的网络链接地址，可以认定其履行了相应的协助义务。

案情介绍

李某某系某科技公司运营的某短视频APP实名用户，要求该公司以书面形式向其提供其曾观看过的全部视频浏览记录，包含视频名称、创作者账号名称、观看时长或观看完成度、观看时间、视频发布时间、播放量等。该公司未答复，李某某遂起诉要求提供上述信息。诉讼期间，某科技公司以Excel表格的形式提供了部分时间段内李某某浏览记录的副本，包括视频观看时间、观看完成度（百分比）、视频链接。

裁判结果

一审法院认为，个人信息为浏览记录等衍生个人信息时，应当允许个人信息处理者结合数据形式、存储能力、服务能力等，选择合理的方式和标准提供个人信息，但不得侵害其他个人信息主体合法权利。遂判决某科技公司向李某某提供一定期间的浏览记录。

二审法院认为，判断信息处理者是否履行个人信息查阅、复制义务，需综合考虑信息类型、数量及请求形式等因素。在浏览记录场景中，处理者可通过设置用户自行操作的系统指引，或通过专门系统、人工渠道响应，两种方式均符合现行法律对保障知情权与决定权的要求。某科技公司现有查阅方式在完整性与便捷性上存在不足，应向李某某提供浏览记录副本。基于浏览记录特性，提供准确的网络链接地址即可视为履行基本提供义务。同时法院认为，查阅、复制权的核心在于保障个人对信息的知情与决定权，而非满足统计等任意需求；此类衍生需求应由用户基于获取的副本自行处理。据此，二审法院驳回上诉，维持原判。

典型意义

本案一是明确了个人信息查阅、复制权在涉及多主体权益时的适用边界。个人信息处理者除依据法律规定及时响应用户的查阅、复制请求外，在处理承载多主体权益的数据时，还需平衡各方利益：以提供本人信息为原则，同时避免侵害他人合法权益。如查阅复制的个人信息和他人个人信息不可分割，在不侵害其他个人信息主体合法权利的前提下，个人信息处理者可以依法提供。二是规范了平台履行个人信息保护义务的方式。确认“用户自助”和“平台协助”两种履行方式均可，同时强调履行方式须具备完整性和便捷性的基本要求。三是厘清个人信息权利行使边界。明确查阅复制权以保障知情权和决定权为核心目的，区分基础权利行使与衍生需求满足的界限。该判决既保障了用户权利，又考虑了立法目的、技术可行性，体现了司法在数字治理中的审慎与平衡。

@ 案例四：人力技术成本、查询难度等一般不能成为个人信息查阅复制的有效抗辩事由，个人信息处理者应当依法全面提供所处理的信息内容，包括非主动提供型个人信息——肖某与某科技公司网络侵权责任纠纷案

裁判要旨

网盘用户依法享有个人信息查阅、复制权，网盘运营者作为个人信息处理者应当提供完整、便捷的查询渠道。个人信息处理者即使能够对信息处理行为作出合理解释，亦应协助用户提供所处理的个人信息副本。信息处理者以用户缺乏合理的请求理由、实现查阅复制的技术和人力成本过高等为理由，拒绝提供或仅提供部分信息，不符合《民法典》《个人信息保护法》关于个人信息处理公开、透明的原则要求，不属于已完整履行个人信息查阅复制的协助义务。

案情介绍

某科技公司系某网盘的运营者，肖某为该网盘的实名注册用户。肖某在其所在公司负责招投标文件制作。2022年，肖某将付费购买的投标文件资料存放在个人网盘中，之后肖某所在公司使用上述文件资料参与投标，未能成功中标。2023年，肖某发现其个人网盘账号登录记录项下有2021年、2023年登录未知设备记录，以及登录某科技公司关联公司开发的其他APP产品的登录记录，并且其个人网盘内出现了“来自Office”“来自iPad”的陌生文件夹。肖某怀疑其个人网盘账号被他人异常登录、网盘文件泄漏，故通过多种投诉途径向某科技公司申请获取异常登录期间的账号登录详情，均未果，遂提起本案诉讼。

裁判结果

一审法院认为，肖某可通过网盘自带功能查询部分个人信息（如最近3个月、最近30条登录记录），且肖某未在诉讼前就“异常登录”问题向某科技公司提出查询请求，同时某科技公司在诉讼中已对相关问题作出解释。根据《信息安全技术 个人信息安全规范》第8.1条，因查询内容时间跨度长、技术成本高，某科技公司拒绝提供具有合理性。一审认定，某科技公司未侵害肖某的查询权，判决驳回其诉讼请求。

二审法院认为，某科技公司向肖某提供的个人信息查阅功能存在信息缺失与限制，无法全面满足其需求，构成履行不充分，不符合《民法典》与《个人信息保护法》的规定。法院认为，个人信息处理者对用户疑问的解释说明，不能替代其提供个人信息副本的法定义务；推荐性国家标准中关于非主动提供型个人信息查询成本考量的条款，不得对抗前述法律的强制性规定。鉴于该公司客观上具备提供能力，故判决其在指定期限内向肖某提供其网盘账号在特定时间段内的完整登录记录的副本。

典型意义

首先，本案明确了个人信息查询权的保护性特征和有限抗辩属性。个人信息处理者不得以“技术成本高”“内容繁多”等理由拒绝提供。其次，界定了查询渠道的“完整性”标准。查询功能必须能够完整、全面地满足用户需求，若存在信息缺失或限制（如时间、条数、内容类型），则构成履行不充分。再次，厘清“解释说明义务”与“提供信息义务”并行不悖，不可相互替代。最后，平衡用户权利与企业运营成本，认可个人信息处理者在面对不合理或重复请求时，可参照国家标准收取合理费用，但不得以此为由完全拒绝提供信息。

@转载自丨京法网事 供稿 | 北京四中院