从2022年典型司法案例看企业数据合规风险防范要点（下）

2022年11月3日，最高人民检察院发布5件检察机关惩治洗钱犯罪典型案例，其中包括一件自洗钱案件，这是自2021年3月1日《中华人民共和国刑法修正案（十一）》（“《刑法修正案十一》”）实施以来，自洗钱案件首次入选最高检典型案例；以典型案例的形式予以公布，无疑再次将自洗钱带回大众的视野，下面，笔者将结合该典型案例，带领大家进一步认识和了解自洗钱。

数据使用阶段

许某某与杭州某软件服务公司案¹：利用个人信息进行自动化决策的司法审查

许某某在某公司运营的网站申请注册账户，开展推广活动。后某日，被告公司认定该账户“流量异常”，遂冻结该账户内部分佣金。许某某请求法院判令解除冻结。被告公司提交了经过公证的关于许某某账户行为的平台大数据分析结果，后又委托电子数据司法鉴定所对其认定许某某账户异常、进而冻结其部分佣金所采用的大数据监测方法及逻辑演算过程进行了鉴定，并向法院提交了该鉴定意见。

法院生效裁判指出，自动化决策形成的大数据分析具有较强的专用性和技术性，对大数据分析报告进行公证可以保证算法源代码的客观性，却不能体现算法逻辑构造的合理性，需要引入第三方专业机构进行验证。平台通过委托鉴定的方式推演算法逻辑，法庭通知鉴定人出庭接受质询，其陈述意见具有相当合理性。法院最终判决驳回原告诉讼请求。

合规启示

本案是首例对网络平台利用个人信息进行自动化决策进行司法审查的案例。根据《个人信息保护法》《算法推荐管理规定》相关要求，平台行使算法权力应当公开透明，不仅需事先披露治理机制、管理规则以及算法相关技术原理，而且应当保障用户的知情同意，同时亦应赋予用户对算法自动化决策提出质疑和申诉的权利。

实践中企业为满足上述合规要求：1）应建立内部的算法审查机制，定期审核算法机制机理、模型、数据和应用结果；2）宜在《隐私政策》或个性化推荐管理页面设置单独链接，对算法的基本原理、运行机制、具体应用场景和目的意图进行详细说明；3）在《隐私政策》中向用户告知其对自动化决策享有的要求解释说明的权利及行权路径；4）基于个人信息进行个性化内容推送和精准营销的企业，应在其运营的网站或App中提供给用户关闭上述个性化推荐的选项，并可允许用户对个性化推荐的标签直接进行自主管理。

蚂蚁金服诉企查查案²：公共数据的合理使用

2019年5月，企查查通过向特定用户推送的方式，发布了蚂蚁金服旗下公司“蚂蚁微贷”清算的企业信息，引发媒体广泛关注，短时间内新闻搜索条数达千万条以上。事后查明该条清算信息是企查查抓取自全国企业信用公示系统的公共数据，但系“蚂蚁微贷”2014年企业年度报告出现的历史信息。

法院生效裁判认为，企查查通过国家企业信用信息公示系统抓取“蚂蚁微贷”的企业信息，虽然数据本身来源于公共数据，但是信息的发布和推送行为应当保持与“蚂蚁微贷”企业信息的一致性，即客观公正地反映企业信息，不应因数据来源的公共属性而损害数据原始主体的商业利益。企查查作为从事企业征信业务的互联网征信机构，在享有征信数据带来的经济利益的同时，还应当对数据质量负有一定的注意义务，征信数据的数据质量不但影响互联网征信机构自身的竞争能力，还因为数据本身对数据主体的商誉影响，而影响数据主体的竞争优势。法院最终判决企查查构成不正当竞争，赔偿蚂蚁金服60万元并为其消除影响。

合规启示

本案是全国首例公共数据案。使用公开的公共数据无需征得原始数据主体的同意，但使用行为仍需遵守基本的注意义务，防止不当使用给数据原始主体带来不当损害。大数据产品或服务提供者使用公共数据时，应当以适当技术和管理措施，如接入第三方敏感词检测工具、建立人工信息查验机制等，保证信息时效、保障信息质量，并坚持对敏感信息进行校验。特别是对于重大负面敏感信息，应当通过数据过滤、交叉检验等数据处理方式，确保数据的质量，防止信息发布行为不当而误导公众，损害信息主体企业的利益。

数据对外共享

吴某某诉上海某信息服务公司案³：未经用户授权对外提供个人信息

原告吴某在使用被告公司运营的电商购物App时，发现个人中心项下有“某钱包”选项，遂按照App界面的要求，在输入本人真实姓名及身份号码后开通了“某钱包”。在使用“免输卡号添加银行卡”功能时，吴某误触了列表中的某银行，得到了“暂无银行卡可以绑定”的反馈。吴某认为自己并未授权App告知某银行真实姓名及身份号码，但该银行能够反馈自己无卡可绑的消息，系App向该银行泄露自己上述个人信息所致。此外，吴某还发现App运营主体上海某公司与“某钱包”经营主体某付费通公司不一致，亦认为该App在自己未明确知情并同意的情况下，将自己的身份信息先由被告传输给了某付费通公司，又由某付费通公司传输给了某银行。法院最终认定上海某公司、某付费通公司对吴某某个人信息的处理行为缺乏合法性基础，二者的信息处理行为侵害了吴某某的个人信息权益。

合规启示

根据《个人信息保护法》相关规定，对外提供个人信息，除具有其它法定事由外，应当取得个人信息主体的单独同意，并向个人信息主体告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类。实务中App运营者为满足上述要求，宜使用弹窗提示或跳出授权页面，将个人信息授权对外提供的具体事项明示告知用户，并征得用户的单独同意。

数据主体权利行使

杜某诉某网络公司案⁴：个人信息主体权利请求响应机制的重要性

杜某在被告网络公司运营的电商平台购物过程中，点击了平台发布的“好友圈好友等你开拼手气红包”字样，页面跳出“进圈并邀请好友”的跳转链接，杜某受吸引点击进入“好友圈”。随后，杜某发现其在该平台的购物记录被自动公开并被分享到“好友圈”为其自动设定的第三人视线之下。朋友通过此功能看到了其购物记录的部分信息，杜某认为隐私受到了侵犯，遂诉至法院。

法院生效裁判认为，被告某网络公司已通过协议约定和后台设置构建了个人行使权利的申请受理及处理机制，原告杜某可通过以上方式行使个人信息知情权和决定权。但杜某提起本案诉讼前并未向被告某网络公司提出请求，而是径行向法院请求救济其在个人信息处理活动享有的权利，不符合法律规定中关于“个人信息权利请求权”的起诉受理条件，故驳回原告杜某的起诉。

合规提示

《个人信息保护法》第五十条第二款规定，“个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。” 因此，用户行使个人信息权利请求权诉权的前置条件是向个人信息处理者行权失败。尽管有业内人士认为对于此条的解读不宜采取一刀切的方式，即只要企业在受理程序上有响应，用户在司法层面就无救济，但我们理解这并不影响建立相对完备的个人信息主体权利请求响应机制的企业，还是可以较大程度地提升用户体验、规避民事侵权诉讼风险。故而在实践当中，企业不仅应在隐私政策中详细披露个人信息主体享有的权利及行使方式、响应时限，还应建立和完善可落地的权利请求内部响应机制和流程。

周某某诉唯品会案⁵：用户可行使查阅复制权的个人信息范围

周某某因担心唯品会App获取并记载的其本人信息有误或被泄露，致电该平台客服，希望平台披露收集到的其本人信息。客服表示，用户有填写的信息，可以在App个人中心予以查看；对于用户没有填写的信息，平台无法展示。同日，周某某向该平台隐私专职部门邮箱发送电子邮件，请求披露其个人信息，平台未予回复。周某某遂诉至法院，请求运营唯品会App的某电子商务公司向其披露收集的个人信息。

法院生效判决认为，周某某要求平台向其披露个人信息，实质是主张个人信息查阅复制权。个人信息查阅复制权是个人重要的法定权利，依法应予充分保障。周某某作为平台注册用户，有权要求平台披露收集的个人信息及相关处理情况。同时，周某某行使查阅复制权的范围不限于App个人中心可自行查阅的个人信息种类，而是还包括账户注册时间、APP收集的用户设备信息、浏览记录、第三方共享信息等个人信息。

合规启示

本案为个人信息主体要求行使查阅复制权的第一案。实务中不少企业都会在客户端的隐私政策中注明用户有权查阅、复制其个人信息，但无论是对内还是对外，都未明确用户可查阅复制的具体个人信息种类。本案判决提示企业应当建立行之有效的个人信息权利响应机制：1）对内，企业应当明确在自身产品形态和特定的个人信息处理场景下，用户可行使个人信息查阅复制权的具体范围，并通过制定内部响应流程、数据主体权利回复模板及内部培训等方式，将相关规则传递到具体岗位和责任人；2）对外，企业应《隐私政策》中详细说明用户可查阅复制的个人信息种类及行权路径，同时在App菜单栏中设置“个人信息收集清单”，在该清单下完整展示收集的个人信息种类及具体内容，对应的收集目的和使用场景。

注解：

1.选自数据和算法十大典型案例｜杭州互联网法院5周年

2.选自数据和算法十大典型案例｜杭州互联网法院5周年

3.选自个人信息保护十大典型案例｜杭州互联网法院5周年

4. 选自个人信息保护十大典型案例｜杭州互联网法院5周年

5. 选自广东法院个人信息保护典型案例