自然人的個人信息承載著個人利益、企業利益和公共利益。當前個人信息過度收集、不當收集、信息濫用等現象多發，個人信息保護已經成為公眾最關心、最直接、最現實的利益問題之一。如何明晰個人信息合理使用的邊界，平衡利益沖突，需要在司法實踐中不斷探索。

本期分享的案例是一起涉員工個人信息合理使用的個人信息保護糾紛案件。人民法院從個人信息的司法認定入手，結合企業使用員工個人信息的場景，從合法、正當、必要角度逐層分析企業處理個人信息是否合理。該案獲評2023年上海法院精品案例。

劉甲訴A公司等個人信息保護糾紛案

裁判要旨

企業不得過度使用其掌握的員工個人信息。認定企業使用員工個人信息是否構成合理使用，應當遵循合法、正當、必要原則，從企業使用員工個人信息的行為是否具備合法性基礎，目的和手段是否正當，是否采取對個人權益影響最小的方式處理企業事務等方面判斷。

在個人信息處理行為構成侵權的情況下，需根據具體的侵權樣態對損害后果進行綜合判斷，從人格權請求權、損害賠償請求權的角度確定具體的責任承擔方式。

基本案情

劉甲曾在A公司的關聯公司B公司任職。2022年初離職后，劉甲發現A公司在國家企業信用信息公示系統填報2021年企業年報信息時，在“企業聯系電話”一欄填寫了劉甲實名登記的手機號碼。劉甲認為上述行為使公眾誤認為劉甲系A公司法定代表人劉乙，給劉甲的生活和工作帶來極其惡劣的影響，故起訴要求A公司、劉乙停止侵權行為、賠禮道歉，并賠償精神損失、名譽損失共計50000元。

A公司、劉乙辯稱，劉甲在職期間允許A公司填報企業年報信息時使用其手機號碼，公示的手機號碼沒有與劉甲姓名關聯，與A公司無關的人員不可能通過手機號碼識別到劉甲并實施侵害，劉甲也沒有證據證明遭受損失。

第三人B公司同意A公司、劉乙的意見。

裁判結果

案例評析

一、以可識別性為核心要件認定個人信息

《中華人民共和國民法典》（以下簡稱民法典）第一千零三十四條第二款規定，“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”從上述規定可知，可識別性是認定個人信息的核心要件。

本案中，劉甲主張A公司不當使用其手機號碼，侵犯其個人信息權益，而A公司認為手機號碼沒有與劉甲的姓名關聯，其他人無法通過手機號碼識別到劉甲并進行侵害，即僅使用劉甲手機號碼不可能構成對個人信息的侵害。

筆者認為，民法典列舉了幾類個人信息，其中包括自然人的電話號碼，劉甲的手機號碼屬于其個人信息是毋庸置疑的。該手機號碼是劉甲實名登記的號碼，與劉甲進行了關聯和綁定。而在大數據時代，隨處可見通過手機號碼關聯和綁定特定個人的場景，手機號碼屬于可以輕易地直接或與其他信息結合識別到特定主體的信息。并且現有環境下，通過手機號碼來識別特定自然人所需的識別技術和成本并不高，獲取手機號碼即具有識別特定自然人的可能。因此，A公司使用劉甲手機號碼時雖未與劉甲姓名關聯，但并不影響將該手機號碼認定為具有可識別性的個人信息并進行保護。

二、根據合法、正當、必要原則判斷是否合理使用個人信息

根據民法典規定，處理個人信息，應當遵循合法、正當、必要原則。實踐中，認定處理個人信息是否具有合法性，一般從兩個方面考慮，即處理個人信息是否取得信息主體的同意，以及是否存在無需信息主體同意的其他法定情形。

具備上述兩個條件，可以認為處理個人信息具有了合法性的基礎。正當性原則要求處理個人信息符合目的正當、手段正當的要求，履行充分告知的義務，公開處理個人信息的規則等。必要性原則要求處理個人信息的手段與處理目的直接相關，采取對個人利益影響最小的方式處理，不得過度處理。

本案中，首先，從合法性角度分析：劉甲在B公司任職期間，因工作原因涉及到A公司。之所以其離職前A公司使用劉甲的手機號碼進行登記，系基于取得了劉甲的默示同意。劉甲離職后，未同意A公司繼續使用其個人信息。此外，將員工個人信息用于企業年報登記，并非法定的可以無需取得員工同意的情形。因此，A公司在劉某離職后使用劉甲的個人信息不具有合法性基礎。

其次，從正當性角度分析：A公司填報2021年企業年度報告時，未對使用劉甲的個人信息進行相應告知。

最后，從必要性角度分析：企業年度報告公示的目的是解決交易中的信息不對稱，實現以市場和社會監督為導向的報告公示和信用監管。A公司將其關聯公司離職人員的手機號碼作為企業聯系方式進行公示，無法達到企業信息公示的目的，其個人信息處理行為不符合必要性的原則。

綜上分析，A公司的行為侵害劉甲個人信息權益。

三、結合具體的侵權樣態，從人格權請求權與財產損害賠償請求權角度確定責任承擔方式

實踐中，侵害個人信息權益所造成的損害后果主要有以下三種樣態：

 一是個人信息中與財產安全緊密關聯的敏感個人信息被泄露，此時損害后果往往表現為權利人的財產受到損害，例如銀行賬號密碼被泄露，導致銀行存款被轉移等；

 二是與特定機會相關聯的個人信息被侵害，損害后果表現為交易機會喪失或可期待利益喪失，例如購房名額被冒名頂替致喪失購房資格、自然人被冒用信息登記為法定代表人致承擔相應法律責任等；

 三是不存在直接、明顯的經濟損失，例如私密信息被泄露等。

本案中，劉甲認為A公司侵犯其個人信息，主張的損害后果即社會公眾可以通過企業信息查詢獲取其電話號碼，進而撥打電話對其造成困擾。從人格權請求權角度而言，劉甲因A公司的侵權行為受到影響，綜合考慮侵權行為的方式、影響及A公司的過錯程度，人民法院支持劉甲要求A公司停止侵權行為、賠禮道歉的訴訟請求。同時，賠禮道歉的方式應當與侵權行為的具體方式和造成的損害范圍相當。

從財產損害賠償請求權角度，劉甲可以要求A公司承擔賠償損失的民事責任。劉甲在本案中未證明存在直接、明顯的經濟損失，其主張精神損害損失，但根據《中華人民共和國民法典》第一千一百八十三條第一款之規定，主張精神損害賠償需要提供證據證明其遭受嚴重精神損害，才可以獲得精神損害賠償。鑒于劉甲未進行舉證，人民法院未支持其此項主張。

此外，劉甲雖主張名譽損失，但A公司的侵權行為損害的是劉甲對于個人信息的自主決定權與支配權，并無證據證明有損劉甲的社會評價，劉甲要求賠償名譽損失無事實和法律依據。

（評析部分僅代表作者個人觀點）

法條鏈接

《中華人民共和國民法典》

第九百九十八條 認定行為人承擔侵害除生命權、身體權和健康權外的人格權的民事責任，應當考慮行為人和受害人的職業、影響范圍、過錯程度，以及行為的目的、方式、后果等因素。

第一千條 行為人因侵害人格權承擔消除影響、恢復名譽、賠禮道歉等民事責任的，應當與行為的具體方式和造成的影響范圍相當。

行為人拒不承擔前款規定的民事責任的，人民法院可以采取在報刊、網絡等媒體上發布公告或者公布生效裁判文書等方式執行，產生的費用由行為人負擔。

第一千零三十四條 自然人的個人信息受法律保護。

個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

個人信息中的私密信息，適用有關隱私權的規定；沒有規定的，適用有關個人信息保護的規定。

第一千零三十五條 處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：

（一）征得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外；

（二）公開處理信息的規則；

（三）明示處理信息的目的、方式和范圍；

（四）不違反法律、行政法規的規定和雙方的約定。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。

第一千一百八十三條 侵害自然人人身權益造成嚴重精神損害的，被侵權人有權請求精神損害賠償。

因故意或者重大過失侵害自然人具有人身意義的特定物造成嚴重精神損害的，被侵權人有權請求精神損害賠償。

來源：上海市高院

案例撰寫人：葉莎

責任編輯：邱悅、牛晨光

編輯：馬雯珺