夏某诉某北京某电子公司网络服务合同纠纷案——北京互联网法院2023年度典型案件之七.docx

夏某诉某北京某电子公司网络服务合同纠纷案一一北京互联网法院2023年度典型案件之七案号：(2022)京0491民初22720号作者：北京互联网法院个人信息访问记录查阅复制案一夏某诉某北京某电子公司网络服务合同纠纷案典型意义本案涉及对个人信息范围及查阅复制权限的认定。个人信息主体能否要求个人信息处理者披露特定时段的获取个人信息的访问记录，应当判断个人信息主体主张的访问记录是否构成个人信息，如构成则其可依据个人信息保护法和个人信息处理协议获取该访问记录，如不构成则反之。不论从识别还是关联角度，个人信息处理者对个人信息的访问记录都难以被定义为个人信息，仅为被告企业的内部管理信息。本案确立个人信息主体无权要求获取个人信息处理者对个人信息的访问记录的规则，对于保护企业数据权益和商业秘密具有积极作用。基本案情原告曾接到自称为被告公司客服的来电，对方准确报出了原告完整的身份证号。原告主张其为被告用户，来电系由于被告违法泄露公民个人隐私信息导致，为排查账号安全、寻找个人信息泄露原因，原告向被告客服电子邮箱发送邮件，提起个人信息查阅请求，要求查阅、复制账号近期的登录信息、个人身份证号码的查阅记录。被告辩称其采取了符合业界标准的安全防护措施保护个人信息，原告可以依法向信息处理者查阅或者复制其个人信息。被告向原告提供了其登录信息，辩称查阅复制权的客体应当是个人信息，本案原告所主张查阅的“查阅、下载本人身份证号码的完整访问记录”，并不属于个人信息，原告无权要求查询。裁判要点个人信息保护法第四条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。判断某项信息是否属于个人信息，应从识别和关联两个角度切入。识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。关联，即从个人到信息，如已知特定自然人，由该特定自然人在其活动中产生的信息，如个人位置信息、个人通话记录、个人浏览记录等，即为个人信息。不论从识别还是关联角度，对个人信息的访问记录都难以被定义为个人信息，一方面，被告对用户身份证号码等个人信息的展示采取了内容替换、SHA256等脱敏、加密技术，访问者难以识别该身份证号属于原告，另一方面，访问记录也不具备关联特征，不是本案原告在其活动中产生的信息。因此，该访问记录不属于原告的个人信息，仅为被告企业的内部管理信息，原告无权查询。裁判结果判决驳回原告的全部诉讼请求，双方均未提起上诉，目前该案判决已生效。