——陈某诉某公司个人信息保护案
【案件基本信息】
1.裁判书字号
湖北省黄冈市中级人民法院(2021)鄂11民终3136号民事判决书 2.案由：个人信息保护纠纷
3.当事人
原告(上诉人):陈某
被告(被上诉人):某公司

【基本案情】
某某App 应用标签为“实用工具”“浏览器”;某某贴吧 App 应用标签为 “社交通讯”“社区”,均由某某在线网络技术(北京)有限公司开发、由某公 司实际运营。陈某于2015年8月13日注册某某账号，于2018年开始使用某某 贴吧。
2020年7月2日，陈某使用某某贴吧App 时，在关闭应用权限的地理位置 定位开关后，该应用向其推送第三方关于其所在地黄冈地区的广告。2020年12 月31日，陈某以其个人某某账号登录某某 App, 在搜索“留学”“借贷”相关 关键词并浏览相应结果后，进入某某贴吧 App, 在首页推荐页面出现“借贷” 及“留学”相关广告。在某某App搜索“蛋糕”“减肥”“整形”等相关关键 词并浏览相应结果后，某某贴吧 App 首页推荐页面也出现有关“蛋糕”“减肥”

五 、隐私权、个人信息保护纠纷 281

“整形”及其所在地上海的广告。
陈某认为某公司在未经其明确授权同意的情况下，处理其使用某某 App 时 的所在城市地理位置、网页搜索记录等信息内容，包括将信息提供给第三方广 告主，通过投放精准广告进行牟利，构成侵权。其中：地理位置(含IP 地址) 为个人信息；浏览记录中关于“整形”“减肥”的记录为其私密信息。其主张 的侵权行为方式包括收集、存储、使用、公开、共享其相关信息。某公司认为： 1.某公司是在陈某同意其隐私政策后才根据约定收集原告个人信息；2.某某贴 吧给予了用户对个性化广告的控制权，可以对其进行关闭；3.某某贴吧并未获 取原告地理位置，而是通过分析设备IP 地址了解设备所在的公开且模糊的区域 信息，或综合原告的行为信息方式进行的信息推送。IP 地址颗粒度大，定位宽 泛，不具有可识别性，不属于法律意义上的个人信息。案件审理期间，陈某认 可某公司上述关于收集“地理位置”的陈述。
【案件焦点】
1.某公司是否收集陈某使用某某 App产品的浏览记录并在某某贴吧产品中 予以使用；2.案涉城市地理位置、某某App 的浏览记录是否属于陈某的个人信 息，其中关于“整形”“减肥”的浏览记录是否属于私密信息；3.某公司处理 案涉地理位置、浏览记录是否构成对陈某个人信息、隐私的侵权。
【法院裁判要旨】
湖北省蕲春县人民法院经审理认为：关于焦点一。陈某进行关键词搜索浏 览后，相关广告出现的频率明显高于未搜索浏览之前。尽管相关广告在呈现时 间上有一定差异性，但上述搜索浏览行为与关联性广告的高频率呈现之间，直 观上展现出一定的因果关系。因某公司未就其广告推送是否依据了上述信息进 行举证，应对其主张承担不利后果。故某某贴吧的广告推送行为与用户的搜索 浏览记录具有因果关系，据此推定某公司收集了陈某在某某App中的浏览记录 并在某某贴吧 App中予以使用。
关于焦点二。(一)基于IP 地址形成的城市位置是否属于陈某个人信息。


282 中国法院2023年度案例 ·人格权纠纷

个人信息的核心特征为“可识别性”,即能够单独或者与其他信息结合识别特 定自然人，包括直接识别和间接识别。同时，“识别”既包括对个体身份的识 别，也包括对个体特征的识别。对个体身份的识别确定信息主体“是谁”,对 个体特征的识别确定信息主体“是什么样的人”,即该信息能反映个人的人格 形象(如用户画像)。对某项信息是否属于个人信息，应考虑两条路径： 一是 识别，即从信息到个人，由信息本身的特殊性识别出特定自然人。识别的信息 可以是单独信息，也可以是组合信息。可识别性需要从信息特征以及信息处理 方的角度结合具体场景进行判断。二是关联，即从个人到信息，如已知特定自 然人，则该特定自然人活动中产生的信息即为个人信息。符合上述两种情形之 一的信息，即应判定为个人信息。陈某在登录个人账号访问某某App及某某贴 吧App 时，某公司作为信息处理方，相应服务器均已收集陈某的电话号码、唯 一设备标识符、浏览记录、使用时间、时长等，其中陈某的电话号码为实名认 证号码，IP 地址与上述信息的组合能够识别到陈某在该区域。此时，该区域位 置不单纯表达为设备连接网络时的IP 地址，同时亦系陈某在某一时刻(段) 所处的城市地理位置，可以认定是陈某的行踪信息。故某公司收集陈某使用设 备IP地址形成的城市位置应属于陈某的个人信息。
(二)浏览记录是否属于个人信息，其中关于“整形”“减肥”的浏览记 录是否属于陈某的私密信息。网络搜索浏览记录是用户在网络空间上的活动轨 迹，可以反映用户的兴趣、偏好、行为轨迹，并对用户进行画像。在与其他信 息相结合时可以识别到个人。陈某在登录访问某某产品时，服务器已收集了其 电话号码、IP 地址等信息，浏览记录与电话号码、IP 地址等信息的结合，能够 识别陈某个人的网络活动轨迹，故其浏览记录属于个人信息。个人信息包括属 于隐私权客体的私密信息和非私密信息，二者的法律适用、保护方法均不相同， 故不能仅由信息主体的单方主观意愿来决定信息类型，而应结合案件具体情况， 从社会公众的一般认知和价值衡量的角度出发来认定该信息是否属于私密信息。
核心考虑因素包括：1.该信息对于维护自然人的人格尊严和人格自由的重要程 度；2.该信息对于维护社会正常交往、信息自由等重要程度；3.一般公众对该

五、隐私权、个人信息保护纠纷 283

信息作为私密信息的认知和期待。一方面，一般来说，检索的关键词本身并非 个人信息，只能反映个人对该关键词相关信息的兴趣或对相关商品、服务的需 求倾向，我们无法根据关键词的检索记录来对个人人格进行推断或评断。另一 方面，从社会合理认知而言，在现今推崇自由与个性、崇尚健康与美丽的社会 主流价值观下，“减肥”“整形”是人们对于健康和美丽的普遍关注点，展现的 是个人对生活的积极与热爱，并非一经公开会引发公众对个人的负面评价而致 人格利益受损的敏感信息。再者，该信息在某种情况下的允许使用也可以给个 人的生活学习带来便利，在对信息进行匿名化、去标识化的技术处理后亦不具 有个体识别性，而通过对广大用户信息进行汇总分析后可促进企业开发更好的 产品和服务，亦可对政府关于公共事务决策提供更好的依据和指引，允许该信 息的合法利用与自由流通更有利于平衡个人信息保护与网络信息产业及数字经 济的发展之间的利益。故该类信息在性质上更倾向于兼具消极防御性和积极利 用性的个人信息。综上，陈某使用某某产品的浏览记录属于其个人信息，其关 键词“减肥”“整形”的浏览记录不属于私密信息。
关于焦点三。(一)某某贴吧App产品的功能定位。某某贴吧App为一款 社交平台应用，其产品定位是兴趣类社交。基于该定位，对其收集用户的相关 个人信息并提供个性化内容推荐服务，用户应该有一定的合理期待。
(二)陈某对某公司的授权情况。某公司通过其公示的隐私政策、用户协 议、使用产品前的“同意”等，对其处理用户个人信息的目的、方式和范围进 行了明确告知，上述告知的信息处理范围包含陈某诉称的IP 地址、搜索浏览记 录，并告知会基于收集的信息对位置、偏好等作特征分析和用户画像，在某某 平台展现或推荐相关程度更高的广告。陈某是在清楚并同意相应隐私政策之后 才使用某某的相关产品。某公司通过隐私政策等约定对用户的一般个人信息采 取概括授权方式获取权限，但对于位置(发帖添加的位置)、相册、相机、录 音、通信录、通知等权限的调用则采取另行单独获取授权方式，对于个人信息 的共享、转让、公开则以取得用户事先授权同意为前提。即其隐私政策的概括 同意并非不分情况的“一揽子”同意。《民法典》第一千零三十三条和第一千


284 中国法院2023年度案例 ·人格权纠纷

零三十六条对于私密信息和个人信息，适用不同的授权规则，处理他人私密信 息必须经权利人本人的明确同意，更为严格，而处理他人个人信息，权利人或 其监护人均可表示同意，且同意方式不要求“明确”。与上述条款相对应，《中 华人民共和国个人信息保护法(草案)》(第二次审议稿)第十四条规定，处 理个人信息的同意，应当由个人在充分知情的前提下，自愿、明确作出意思表 示……第三十条规定，基于个人同意处理个人敏感信息的，个人信息处理者应 当取得个人的单独同意。参照上述规定精神，对个人私密信息、敏感信息的 “明确同意”的内涵应包括“单独”同意，与之相对的对个人一般信息的“同 意”则不要求必须单独同意，即允许概括同意。对于用户而言，一方面，某某 贴吧App作为一款兴趣类社交应用软件，并非我们生活中的必需软件，同类型 应用或能实现类似使用目的的其他平台在市场中也大量存在，在用户对其政策 极不认可的情况下可以选择“以脚投票”的方式拒绝使用，转而选择其他同类 型产品，不使用该产品并不会导致给个人生活造成严重不便的后果。另一方面， 用户同意后的使用过程中，某公司也为其个性化广告推送提供了相应的调整路 径，如自主调整兴趣偏好、关闭广告并选择“不感兴趣”、清除本地搜索浏览 记录及cookies等，来调整系统对用户的个人画像。故某公司并未侵犯用户的选 择权，其对于“分析用户行为信息(搜索、浏览等)、位置信息形成用户画像 并进行个性化推送”这种一般个人信息的处理，以隐私政策获取用户的概括同 意，属于取得用户的有效授权。
(三)某某产品推送广告的正当性分析。陈某使用的某某App、某某贴吧 App 均为免费软件，而公司在进行产品开发和运营维护过程中必然要投入大量 成本，而通过推送广告获取经济效益是大部分提供免费产品服务的互联网行业 生存的基本商业模式。用户对于在享受免费的产品服务过程中接收部分商业广 告应当具有一定的容忍度。相较于一般广告，基于对用户使用产品时的特征信 息进行分析，预测其偏好而推送的个性化广告更有利于提升广告的有效触达率。 个性化广告推送属于对个人信息的商业利用，但这种利用并未被法律所禁止。 而对于用户来说，个性化广告相较于一般广告而言，更好地过滤掉了无价值广

五 、隐私权、个人信息保护纠纷 285

告对个人空间的占用和打扰，也可能给用户个人生活带来便利，实际上个性化 广告也得到了很多人的喜爱。故在未对用户个人信息进行不当收集利用的情况 下，某公司向用户推送广告包括个性化广告的行为具有正当性。
(四)某公司将通过某某App 获取的陈某搜索浏览信息使用于某某贴吧 App 是否超出合理使用限度。从一般社会合理认知而言，一个公司基于其开发 产品而获得的用户信息属于公司重要资产，其有权在合理限度内在其其他产品 中积极使用。同时，某公司就某某平台产品设置了综合性的隐私政策平台，对 于搜索记录这类仅反映用户一般偏好的信息而言，将其迁移至关联产品中予以 使用的行为并未超出一般社会认知的合理期待，即未超出对用户信息的合理使 用限度。
综上所述，一方面，案涉陈某的个人信息均为一般个人信息，而非私密信 息，且未向第三方披露；另一方面，某公司依据上述信息进行的广告推送也仅 展示于陈某使用的某某平台产品之中，在信息内容之中偶尔出现，不影响用户 的正常产品体验。某公司以概括授权同意方式取得的陈某授权，不违反法律强 制性规定，属于有效授权。其在关联产品中对获取的上述信息合理使用的行为 亦未超出正当限度。故某公司处理案涉陈某个人信息的行为未侵犯其个人信息 权益。
湖北省蕲春县人民法院依照《最高人民法院关于适用〈中华人民共和国民 法典〉时间效力的若干规定》第三条、第四条，《中华人民共和国民法典》第 一千零三十二条、第一千零三十四条、第一千零三十五条、第一千零三十六条 第一项，《中华人民共和国民事诉讼法》第一百四十二条规定，作出如下判决：
驳回陈某的全部诉讼请求。
陈某不服一审判决，提起上诉。湖北省黄冈市中级人民法院经审理同意一 审法院裁判意见，判决：
驳回上诉，维持原判。

【法官后语】
本案是一起典型的因定向广告推送引起的网络人格权侵权纠纷案，主要涉

286 中国法院2023年度案例 ·人格权纠纷

及：设备IP 地址、关键词检索和网页浏览记录是否属于个人信息、私密信息； 对隐私政策“同意”的授权效力；基于个人信息的广告推送行为是否超出合理 实施限度等公众争议的热点问题。本案的审理是从个人信息侵权的构成要件出 发，即侵权行为、权利客体、是否存在过错或违法阻却事由三个方面，逐一进 行认定，缺少任何要件，就不能认定个人信息侵权。由于个人信息权益属于人 格权范畴，其性质属于绝对权，与侵权损害赔偿请求权不同，基于人格权请求 权提起的个人信息保护请求不要求损害后果的实际发生，只要有妨害风险，权 利主体即可行使请求权。
一、是否存在权利客体，即被诉侵权行为指向对象是否为个人信息、私密信息
(一)民法典、个人信息保护法均对个人信息的定义及核心特征作出了明 确规定
因个人信息核心特征为“可识别性”,对于不具有单独识别性的信息而言， 能否识别到个人应根据该信息是否存在其他辅助信息，与之的组合是否能够识 别到特定自然人，故而一项信息能否成为个人信息权益的保护对象具有动态的 不确定性，这就决定了对个人信息的判别必须进行场景复原，在当时当地的具 体情境下来分析。
(二)私密信息与非私密信息的区分
民法典对私密信息与非私密信息的权益类型、法律适用、保护方法、处理 规则进行了区分规定。非私密信息的个人信息之上，既有信息主体的个人信息 权益，也有个人、企业、国家机关的积极利用需求。如仅由个人主观认知来确 定个人信息的类型，很容易导致个人权利的滥用，将个人信息都认定为私密信 息，从而妨碍数据的流通与积极利用，阻碍数字经济的发展与社会进步。故一 项信息是否属于私密信息，应当从隐私权的特征出发，结合案件具体场景，从 社会一般合理认知和价值衡平的角度出发来认定。
本案设备IP 地址、关键词检索和网页浏览记录在案件场景中是与实名认证 的手机号码、唯一设备标识符等具备可识别性的个人信息结合使用的，是与可 识别的特定自然人相关联的，故本案场景中的上述信息属于个人信息。对于网


五、隐私权、个人信息保护纠纷 287

络检索和浏览记录这类个人信息而言，一方面，检索的关键词反映个人的兴趣 或对相关商品、服务的需求倾向，我们无法根据关键词的检索记录来对他人人 格进行推断或评判。另一方面，从社会合理认知而言，除对于可能较敏感信息 的反复多频率关注，对于常规信息的关注和浏览并不会导致社会的负面评价。 而检索浏览行为本身反映出用户的个人偏好，允许对该类信息合理使用也可以 给个人的生活学习带来便利，在对信息进行匿名化、去标识化的技术处理后亦 不具有个体识别性，而允许该类信息的合法利用与自由流通更有利于平衡个人 信息保护与网络信息产业及数字经济的发展之间的利益。故通常情况下，该类
信息在性质上更倾向于兼具消极防御性和积极利用性的一般个人信息。 二 、是否符合处理个人信息的免责条件：有效授权与合理实施
(一)是否取得有效授权
根据民法典第一千零三十六条和第一千零三十三条规定，私密信息和非私 密个人信息，适用不同的授权规则，处理他人私密信息必须经权利人本人的明 确同意，更为严格，而处理他人非私密个人信息，权利人或其监护人均可表示 同意，且同意方式不要求“明确”。与上述条款相对应，个人信息保护法第十 四条与第三十条也作出了区分规定，处理个人信息的同意，要求自愿、明确作 出意思表示；而处理个人敏感信息的，应当取得个人的单独同意。通过上述对 比，应当认为，对个人私密信息、敏感信息的“明确同意”的内涵应包括单独 同意，与之相对的对个人一般信息的“同意”则不要求必须单独同意，即允许 概括同意。
本案例中，某公司通过隐私政策、用户协议的方式对获取设备IP 地址、检 索、浏览记录并会用于个性化内容、广告的推送进行了明确告知和提示注意， 通过用户主动选择“同意”的积极行为获得用户的明示授权，同时区分情形， 对位置信息、电话信息等敏感信息、私密信息分别给予单独授权，对IP 地址、 搜索及浏览记录等一般个人信息采取概括授权，该授权的取得符合告知同意规 则的要求，应属于有效授权。


288 中国法院2023年度案例 ·人格权纠纷

(二)是否属于合理实施
对合理实施的具体判断应当以数据处理行为发生时的法律、行政法规为依 据，根据具体案件场景，综合当时的整体技术水平、行业习惯，从价值衡量及 社会合理认知的角度来认定。
在用户免费使用产品、企业以广告收益为收入来源的互联网商业经营模式 下，应允许企业推送商业广告。而定向广告也被许多人所接受，具有增强用户 体验和促进经济效益的双重优势。定向广告也并未被任何法律法规所禁止。 GB/T 35273-2020《信息安全技术个人信息安全规范》附录中表C.1 交互式 功能界面模板的设计中亦展示“我们可能会将您的个人信息用于向您推送您感 兴趣的商业广告”。故某公司在已明确告知会获取上述信息，并用于广告推送， 且取得用户“同意”的情况下，进行案涉个性化广告推送的行为属于合理实施。
从一般社会合理认知而言，一个公司基于其开发产品而获得的用户信息属 于公司重要资产，其有权在合理限度内在其关联产品中积极使用，这种使用并 未导致信息的控制权发生变化，也不导致个人信息所涵盖信息主体的人格利益、 人身财产权益被侵害风险的增加。同时，某公司就其平台产品设置了综合性的 隐私政策平台，对于搜索记录这类仅反映用户一般偏好的信息而言，将其迁移 至关联产品中予以使用的行为并未超出一般社会认知的合理期待，即未超出对 用户信息的合理使用限度。
综上，本案中，陈某诉称的IP 地址、关键词搜索和网页浏览记录均属于一 般个人信息，某公司在明确告知将处理上述信息及处理目的、方式并提醒注意 后，陈某的概括同意为有效授权，故某公司获取上述信息并基于该信息在旗下 产品中推送定向商业广告的行为未超出合理限度，未侵犯陈某的个人信息权益 和隐私权。
编写人：湖北省蕲春县人民法院宋卫东 陈周全