——麦某诉科技公司、信息技术公司网络侵权责任案
【案件基本信息】
1.裁判书字号
广州互联网法院(2022)粤0192民初20966号民事判决书 2.案由：网络侵权责任纠纷

20


中国法院2024年度案例 ·侵权赔偿纠纷


3.当事人 原告：麦某
被告：科技公司、信息技术公司

【基本案情】
2022年8月30日，麦某在法××(科技公司字号)网页输入“麦某”进行 搜索，页面上为麦某设定“收费标准”“法×X编号”、显示麦某执业律所、执 业证号、代理案件类型、执业年限、执业证照片、胜诉率、代理案件数、咨询 时间、办案所在地、合作方式、最近判例时间等信息。下方还标注“请勿私下 与律师达成合作”等字样，引导当事人与“选律师专属顾问解某某、张某”联 系，下拉页面呈现有“选律师专属顾问解某某法××平台顾问，更好帮您找到 合适的律师；非常热心，专业性强，内容实用；帮助客户与律师达成合作3 次”及“张某法××平台顾问……”,底部有“解某某法××”及电话图标，点 击电话图标则显示“呼叫138××××xx××”的内容。
两被告回应称，“法××”平台仍处于内测阶段，中介推荐业务尚未实际开 展，帮助客户与律师达成合作的次数系工程师为展示平台功能使用的“假数 据”,认证律师标注系错误标注。关于“法×x” 平台页面上为麦某设定“收费 标准”、显示麦某“执业年限”“胜诉率”“执业证照片”等信息的来源问题， 两被告称平台页面上显示的“收费标准”系各地律协所标注律师收费指导价的 最低价。麦某“执业年限”系通过律师执业证号编码规律换算的执业年份，若 执业信息不准确，无法匹配相应的执业证号，则无法准确显示执业年限，可能 在平台显示0执业年限。“胜诉率”系平台从中国裁判文书网等开放访问的国 家公示网站以及大数据平台中获取的公开律师信息。平台通过算法规则统计既 往判决中诉讼请求被支持情况对胜诉率进行计算。而平台上的执业证照片只有 认证律师的执业证照片可以点击查看，非认证律师则不可查看。
另查明：(1)2022年9月1日，科技公司在信息技术公司实名认证微信公 众号“法××”发布情况说明，就科技公司自行研发的“法××法律大数据”小 程序的公众号文章在社交网络流传并引发议论作相关说明。(2)2022年8月31

一 、网络侵权责任纠纷 21

日，某市律师协会发布《严正声明》,表示其从未授权“法×X法律大数据”微 信小程序及“信息技术公司”发布广州律师的联系方式等信息，将向有关部门 反映上述情况，坚决维护行业整体利益和会员合法权益。再查明，科技公司由 信息技术公司独资设立。
【案件焦点】
1.科技公司收集和使用麦某案涉信息是否侵权；2.如构成侵权，科技公司 应如何承担法律责任；3.信息技术公司应否对科技公司侵权损害赔偿责任承担 连带责任。
【法院裁判要旨】
广州互联网法院经审理认为：本案系网络侵权责任纠纷。本案主要事实为 科技公司收集和使用麦某本人的相关信息，用于其律师业务评价、中介推荐服 务等，法律适用应主要以《中华人民共和国个人信息保护法》相关规定为宜， 辅之《中华人民共和国民法典》。案涉相关信息为科技公司通过中国裁判文书 网等公共渠道爬取、分析、统计的个人信息，属于已公开的个人信息。科技公 司为实现自身的商业目的，采取了更具有侵害性的处理方式，该处理活动对个 人权益已造成重大影响，须经麦某同意但未取得同意，故其针对已公开个人信 息的处理行为不属于法定的合理范围，构成对麦某个人信息权益的侵害。科技 公司对麦某用户画像并公开相关结果，帮助平台使用者决策的行为，构成自动 化决策，但科技公司未保证自动化决策的透明和处理结果的公平公正，构成了 对麦某个人信息权益的侵害行为。
综上，科技公司依法应承担赔礼道歉、赔偿经济损失等责任，由于案涉行 为不足以造成麦某严重精神损害，故对麦某精神损害赔偿诉请，本院不予支 持。科技公司由信息技术公司独资设立，现信息技术公司作为股东未举证证明 其公司财产独立于科技公司的财产，故应当对科技公司的相关债务承担连带 责任。
广州互联网法院依照《中华人民共和国个人信息保护法》第四条、第十三

22 中国法院2024年度案例 ·侵权赔偿纠纷

条、第十七条、第二十四条、第六十九条，《中华人民共和国民法典》第一百 七十九条、第一千条、第一千一百六十八条、第一千一百八十二条、第一千一 百八十三条、第一千一百九十四条，《中华人民共和国公司法》第六十三条， 《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若 干问题的规定》第十二条第一款，《中华人民共和国民事诉讼法》第六十七条 之规定，判决如下：
一 、被告科技公司于本判决发生法律效力之日起十日内，使用微信公众号 “法××”发布对麦某的道歉声明，道歉内容不少于100字，内容需事先经本院 审查，保留时间不少于10天；被告科技公司拒不履行的，本院将采取在报刊、 网络等媒体上发布公告或者公布生效裁判文书等方式执行，产生的费用由被告 科技公司负担；
二 、被告科技公司于本判决发生法律效力之日起十五日内赔偿原告麦某经 济损失3000元(含合理开支);
三 、被告信息技术公司对上述第二项判项确定的债务承担连带责任；
四、驳回原告麦某的其他诉讼请求。
判决后，双方当事人均未上诉，本判决现已生效。

【法官后语】
本案虽然案情较为简洁明晰，但当中蕴含了三个重要的实务问题，即《中 华人民共和国民法典》(以下简称《民法典》)与《中华入民共和国个入信息 保护法》(以下简称《个人信息保护法》)的适用逻辑、处理已公开个人信息 的“合理范围”认定以及自动化决策认定问题。本案在裁判过程中，对这三个 问题给出了具体的分析框架和判定标准，有助于厘清目前涉个人信息案件裁判 的重大疑难问题，并为类案审理提供务实的论证细节与裁判步骤。
一、《民法典》与《个人信息保护法》的适用逻辑
本案第一个疑难问题是：《民法典》与《个人信息保护法》在具体个案中 的适用逻辑。我国《民法典》在人格权编专门规定了个人信息保护，其后又颁 布《个人信息保护法》,就两部法律之间的关系以及如何理解与适用而言，引



一、网络侵权责任纠纷


23


发一定争论。①《个人信息保护法》具有较为典型的“领域法”特色，与《民 法典》紧密呼应，两部法律中规定的相关主体权利、义务与法律责任，是结构 性地理解两部法律如何适用的关键点。
《个人信息保护法》是一部保护个人信息的综合性立法，其所包含的个人 信息的私法规则与《民法典》构成特别法与一般法的关系，《民法典》确立了 个人信息的性质及其在民事权利体系中的位置，是解释和适用《个人信息保护 法》相关规则的基础和依据。《个人信息保护法》的适用需要在《民法典》的 框架体系中展开，其适用应当贯彻《民法典》确认的人格尊严价值，并结合 《民法典》确认的人格权保护一般规则。《个人信息保护法》还需要注重与《民 法典》相关条款的体系协调，从而实现对个人信息的体系化保护。
本案主要事实为：科技公司收集和使用麦某本人的相关信息，用于其律师 业务评价、中介推荐服务等。该信息既是麦某姓名权、肖像权、名誉权等一般 人格权客体，又是其个人信息权益客体。就此事实的法律评价而言，《民法典》 第一百一十条规定：“自然人享有生命权、身体权、健康权、姓名权、肖像权、 名誉权、荣誉权、隐私权、婚姻自主权等权利。”而《民法典》第一百一十一 条规定：“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个 人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输 他人个人信息，不得非法买卖、提供或者公开他人个人信息。”对于个人信息 争议，除《民法典》外，现行立法中还有《个人信息保护法》可供适用。因 此，本案讼争不仅存在一般人格权与个人信息权益的请求权基础竞合问题，还 存在如何适用法律条文为宜的问题。
第一，从法律体系看，《民法典》人格权编采用专章的方式对个人信息与 一般人格权一并予以保护，并对个人信息的类型、收集、更改或删除作了初步 规定，但其对个人信息的回应具有零散性的特点，选择性地回应了超前发展的 网络社会实践，而且对个人信息的规定带有阶段性、宣誓性的特点，具体操作

① 姚佳：《〈民法典〉与〈个人信息保护法》的适用逻辑》,载《中国社会科学报》 2022年7月6日。

24


中国法院2024年度案例 ·侵权赔偿纠纷


由《个人信息保护法》加以完善。本案科技公司行为均可适用《个人信息保护 法》和《民法典》的有关规定，但前者有关个人信息私法保护的相关规定是后 者的组成部分，更为系统、全面地规定了个人信息保护的规则，可以有效协调 个人信息的保护权利和信息合理利用之间的关系。
第二，从行为目的看，科技公司通过收集麦某公开个人信息的主要目的是 用于构建与完善“法××”数据平台，并向访问者提供律师执业详情信息的查 询、统计与中介服务，系基于连续的个人信息处理行为而形成的业务模式。 《个人信息保护法》所确定的有关个人信息处理的相关规则，实际上是《民法 典》有关个人信息处理基本规则的具体化。如上所述，本案的核心争议在于应 对科技公司聚合分析已公开个人信息数据的业务模式，及其该业务模式是否对 麦某人格权(益)产生侵权损害结果，《个人信息保护法》更有利于对本案事 实作出法律评价。
第三，从法律功能看，相较于《民法典》,《个人信息保护法》第一条规 定：“为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利 用，根据宪法，制定本法。”该条规定确立了保护个人信息权益、规范个人信 息处理活动与促进个人信息合理利用的三重立法目的。本案中，科技公司采取 的数据聚合分析业态，在日常生活中较为常见，如就医医师评价、高校导师评 价等。这些业态的商业逻辑本身，代表着个人信息兼具个体属性与社会流通属 性。因此，本案若采用权利规范的审查方法，对相关业态采取对世权、绝对权 的维权形式加以评判，可能会忽视个人信息背后的多重权益，不利于在具体场 景中确立个人信息收集与利用行为的合理边界。相反，根据科技公司的行为目 的，综合考虑本案所涉场景，采用行为规制的方法加以审查，则更为符合个人 信息保护的根本特征，也更有利于统筹个人信息的保护与利用。
因此，本案的法律适用应主要以《个人信息保护法》相关规定为宜，辅之 《民法典》,更为妥适。
二、处理已公开个人信息的“合理范围”认定
本案第二个疑难问题是：处理已公开个人信息的“合理范围”应当如何认

一、网络侵权责任纠纷 25

定。《个人信息保护法》第十三条将个人信息的公开作为知情同意规则适用的 例外情形，但第二十七条等规定又对这种例外情形施加“合理的范围”等限制 条件。至于如何解释“合理的范围”或“合理使用”,结合本案来看，“合理使 用”的认定标准应当以“合法、正当、诚信且必要”等基本原则为基础，结合 处理目的、处理方式以及是否存在《个人信息保护法》第二十七条提及的“明 确拒绝”等具体要素进行判断。
《个人信息保护法》第四条规定：“个人信息是以电子或者其他方式记录的 与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。 个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、 删除等。”案涉相关信息为科技公司通过中国裁判文书网等公共渠道爬取、分 析、统计的个人信息，属于已公开的个人信息。因此，科技公司构成对麦某已 公开个人信息的处理。
一般情况下，个人信息处理者应当根据《个人信息保护法》第十七条的规 定，在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整 地向个人告知相关事项。科技公司可以根据具体的业务需求，设计和实施告知 义务的履行方式，充分保障个人信息主体的知情权。
具体到本案中，科技公司对麦某的已公开个人信息行为，需要考虑：《个 人信息保护法》第十三条第一款规定：“符合下列情形之一的，个人信息处理 者方可处理个人信息……(六)依照本法规定在合理的范围内处理个人自行公 开或者其他已经合法公开的个人信息……”该条款强调了个人信息处理者在合 理的范围内处理已公开个人信息，原则上可以无须就处理活动告知个人信息主 体，也无须取得其同意。而对于范围合理与否的评价，应以处理目的和处理方 式作为评价依据。麦某系某市注册执业律师，受某市律师协会管理。根据某市 律师协会发布《严正声明》中载明内容，“法×x”平台未经律师授权公开展示 广州律师的联系方式等具体信息，小程序中显示的法律顾问与律师达成合作事 宜涉嫌虚假宣传。从该声明文件中可知，一方面，科技公司为实现自身的商业 目的，采取了更具有侵害性的处理方式；另一方面，该处理活动对个人权益已

26


中国法院2024年度案例 ·侵权赔偿纠纷


造成重大影响，个人信息处理者应当取得个人同意。法××平台为麦某设定“收 费标准”、显示麦某“执业年限”“胜诉率”“执业证照片”等信息，虚构其在 “法×x” 平台成功承揽业务次数等数据，均未取得麦某本人的同意。因此，科 技公司已违反合法、正当、必要等原则，其针对已公开个人信息的处理行为不 属于法定的合理范围，构成了对麦某个人信息权益的侵害行为。
三、自动化决策的司法判定标准
本案第三个疑难问题是：用户画像结果的公开是否可以成立自动化决策? 虽然“生成”用户画像结果是自动化决策中的一个常见环节，但对于科技公司 在“生成”的基础上，“公开”用户画像结果，并帮助平台使用者决策的行为， 仅仅是单纯的用户画像行为，还是自动化决策本身呢?
《个人信息保护法》第七十三条第二项规定：“自动化决策，是指通过计算 机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况 等，并进行决策的活动。”GT/T 35273—2020《信息安全技术个人信息安全规 范》(以下简称《个人信息安全规范》)“3.8用户画像 user profiling”中规定， 用户画像是指通过收集、汇聚、分析个人信息，对某特定自然人个人特征，如 职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测，形 成其个人特征模型的过程。
就产业实践经验看，自动化决策通常包括两个环节：一是用户画像；二是 利用用户画像结果对个人作出决策。某一信息处理行为是否为自动化决策的判 定，一般看该行为是否根据算法代码所确定的技术设计步骤，通过数据汇集、 行为画像、标签聚合等步骤，最终对个人作出决策。因此，这种判定方法可称 为“技术设计说”。司法实践中，“技术设计说”逐渐向“实质影响说”。本案 确立了技术处理、目标导向和结果评估的自动化决策“三角判定法”,为填补 国内有关自动化决策司法判定标准空白提供可行性方案。本案中，“法××”平 台通过爬取已公开信息，通过算法规则统计如既往判决胜诉率等指标，并为麦 某生成专属页面，展示其“收费标准”“执业年限”“胜诉率”“执业证照片” 等信息，应认定其对麦某进行了用户画像。该用户画像结果可为有律师服务需

一、网络侵权责任纠纷 27

求的平台使用者提供客观的数据支持，帮助挑选适合的律师。应当认定为自动 化决策：
第一，从技术处理来看，“法××”平台提供的数据服务，实际上是根据预 先设定的算法和标准，对大量律师数据的筛选、分类、汇总与分析。这些数据 的处理往往依赖于如数据挖掘等自动化算法和软件工具，此种公开用户画像结 果的行为，在实现技术上可以被视为《个人信息保护法》第七十三条第二项规 定的“通过计算机程序自动分析、评估”的活动，也属于《个人信息安全规 范》规定的“作出分析或预测，形成其个人特征模型的过程”。
第二，从目标导向来看，“法××”平台所代表的律师数据聚合分析业态， 实际上是通过公开用户画像结果，实现其律师中介服务的目标。这一目标应当 视作科技公司提供帮助决策过程中的关键驱动因素。具体到本案中，“法××” 平台根据用户画像自动选择合适的数据统计策略(如计算收费标准与胜诉率等 指标),展示用户画像结果，并在对应基本信息页面中将麦某列为其平台认证 律师，设置“法××编号”,并展示“解某某”“张某”作为麦某的业务接洽人， 促进中介的成功率，亦与上述自动化决策的行为目的相吻合。
第三，从结果评估来看，根据两被告对“法××”平台的商业模式与运维方 式的陈述，由于律师业务开展、裁判文书公开等上游数据来源的实时变动， “法××”平台公开展示的数据亦会产生相应的变化。与此同时，科技公司基于 自身业务改进和优化的目的，亦需要对公开用户画像结果所产生的中介撮合成 功率等效果进行评估。这个过程涉及对各种指标的跟踪和监测，如活跃用户量、 用户满意度、用户留存率等。这些评估任务往往也依赖于自动化算法和软件工 具。根据本案查明事实，“法××”平台的上线设置了测试阶段，说明“法××” 平台有结果评估之考量。此外，其对麦某已公开个人信息进行分析的结果与实 际存在较大出入，未客观反映麦某律师职业能力，亦反映出“法××”平台有结 果评估之需要。因此，应当将其视为以公开“用户画像”结果，帮助平台使用 者决策的自动化决策形式。
综上，科技公司对麦某用户画像并公开相关结果，帮助平台使用者决策的

28


中国法院2024年度案例 ·侵权赔偿纠纷


行为，构成自动化决策。依照《个人信息保护法》第二十四条第一款规定，个 人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公 平、公正。科技公司未保证自动化决策的透明和处理结果的公平公正，构成了 对麦某个人信息权益的侵害行为。
本案准确落实《个人信息保护法》,划定处理已公开个人信息的合法边界， 对个人信息处理者通过公共渠道收集和使用已公开信息，用于律师业务评价、 中介推荐服务等的行为亮明司法否定态度，严厉打击虚构数据等恶意引流行为。 本案对于加强个人信息保护，规范自动化决策技术发展，促进互联网平台经济 高质量发展具有积极意义。
在本案的审理过程中，审判团队摸索出以下四个方面以供同人批评：
一是理解数据处理的具体环境，不同行业对于个人信息的收集、使用和保 护可能存在差异，了解特定行业的数据处理实践和技术特点可以帮助法官更好 地理解案件中涉及的问题和争议。
二是考虑行业标准和最佳实践，许多行业有自己的数据处理标准和最佳实 践，这些标准可能会影响法院对案件的解释和判断。法官需要了解行业标准， 以便评估当事人的行为是否符合业界的期望和要求。
三是维护合理的商业运作模式，个人信息保护法旨在保护个人隐私权利的 同时，也要平衡商业和社会的利益。法官需要权衡个人信息保护的重要性与相 关行业的商业需求，确保裁判不会对行业的正常运作产生不合理的限制或负面 影响。
四是避免判决不一致和不合理，由于不同行业具有不同的特点和需求，对 于相似的个人信息保护案件，法院可能会在不同行业的案件中作出不同的判决。 通过考虑行业背景和实务实践，法官可以确保判决的一致性和合理性，避免因 为缺乏行业了解而作出不合理的裁决。
编写人：广州互联网法院林北征胡敏