1. 网信办丨《互联网信息服务管理办法》修订草案征求意见

2021 年 1 月 8 日，国家互联网信息办公室发布《互联网信息服务管理办法（修订草案征求意见稿）》（以下简称《管理办法》）公开征求意见的通知，意见反馈截止日期为 2021 年 2 月 7 日。

相较于现行版本的《互联网信息服务管理办法》，新的修订版本存在诸多变化，主要包括：

（1）适用范围：修订版明确将中国境内利用境内外网络资源向境内用户提供互联网信息服务纳入管辖范围；

（2）类别划分：将互联网信息服务按照是否经营电信业务进行划分（仍采取许可证和备案制），不同于现行的经营性和非经营性的类别区分；

（3）细分领域：修订版对于从事互联网新闻信息服务，文化、出版、视听节目，以及教育、医疗保健、药品和医疗器械等不同领域的互联网信息服务，在许可获取方面作出了更具体的规定；

（4）具体规定：修订版细化对互联网网络接入服务的管理要求，包括查验申请接入的互联网信息服务提供者是否具备相应许可证件或备案编号、核验服务对象真实信息及留存相关记录等；

（5）数据保护：要求互联网信息服务提供者、互联网网络接入服务提供者及其工作人员对所收集、使用的身份信息、日志信息采取技术措施和其他必要措施，确保其收集的个人信息安全，并具备符合国家规定的网络安全与信息安全管理制度和技术保障措施。

2.网信办丨修订《互联网用户公众账号信息服务管理规定》

国家互联网信息办公室于 2021 年 1 月 22 日发布新修订的《互联网用户公众账号信息服务管理规定》，自 2021 年 2 月 22 日起施行。这是对现《互联网用户公众账号信息服务管理规定》（2017 年 10 月 8 日生效） 的重大修订。

主要变化概述如下：（1）调整规制主体：进一步强调平台管理责任，明确“公众账号信息服务平台”及“公众账号生产运营者”为责任规制主体；

（2）新增平台管理责任：加强对网络安全及个人信息保护管理制度的健全及落实要求；明确备案及安全评估要求；建立公众账号分类分级管理及对应处理机制；（3）关注互联网用户管理要求：包括针对推荐订阅关注机制、虚假注册在内的其他违规注册行为的管理要求；（ 4）加强公众账号生产运营者监管：加强对与第三方机构合作开展公众账号运营、内容供给等合作的书面协议签订及责任明确要求。

3.央行丨《征信业务管理办法(征求意见稿)》

2021 年 1 月 11 日，中国人民银行公布《征信业务管理办法(征求意见稿)》（以下简称《办法》）。这是继 2013 年《征信业管理条例》（以下简称《条例》）、《征信机构管理办法》后，征信行业迎来的又一重磅新规。《办法》对信用信息范围、采集、整理、保存、加工、提供、使用、安全、跨境流动和业务监督管理进行了规定，清晰界定了信用信息，并强调要加强个人和企业信息主体权益保护，保障信息安全。重点包括以下四点：

（1）明确规定信用信息的含义。《办法》把为金融经济活动提供服务、用于判断个人和企业信用状况的各类信息，包括但不限于：个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息，以及基于前述信息对个人和企业信用状况形成的分析、评价类信息，都视为信用信息。凡是对信用信息进行采集、整理、保存、加工，并向信息使用者提供的活动，都是征信业务，都要纳入征信监管。

（2）从保护个人和企业合法权益角度对信用信息采集等过程进行规定。

《办法》要求征信机构采集信息遵循“最少、必要”原则，不得以非法方式采集信息；采集个人信息，应当告知采集的目的、信息来源和信息范围等，采集非公开的企业信用信息，应当取得企业同意；整理、保存、加工信用信息，应遵循客观性原则，不得篡改原始数据。

（3）规范信用信息的使用，保障用于合法目的。《办法》要求信息使用者使用个人信用信息应当用于合法、正当目的，不得滥用；征信机构提供信用信息查询、信用评价、信用评级、反欺诈服务等不同种类征信业务时，应当遵循相应的业务规则。

（4）规定信用信息安全和跨境流动规则。《办法》对信用信息的跨境流动进行了更为明确的规范，从内控制度、软硬件设备、人员管理等方面要求征信机构做好信息安全工作，建立应急和报告制度。向境外提供企业信用信息查询服务的，应当确保信用信息用于跨境贸易、融资等合理用途，并采取单笔查询的方式提供。

4.央行丨《非银行支付机构条例（征求意见稿）》

2021 年 1 月 20 日，中国人民银行就《非银行支付机构条例（征求意见稿）》（以下简称《条例》）公开征求意见，《条例》作为下阶段支付行业监管的顶层总纲文件，核心在于优化牌照类型、升级准入要求、完善监管要求，预计后续或仍将有准入细则、业务管理办法等多个配套文件落地。

《条例》对数据安全和客户隐私保护提出要求，不得过度采集客户信息和保存客户信息，防止用户信息被不当使用。不仅在第 34 条中明确和重申了信息收集、使用与处理相关基本要求，即合法、正当、必要，并取得用户明示同意外。同时《条例》中也十分罕见地对于非银支付机构与其关联公司共享用户信息的动作做了肯定性的法律评价，即在满足“依法合规、风险可控，并经用户明示同意”的前提下，可以开展此类共享。虽然从实际效果的角度来看，由于存在“依法合规”的大前提，并不意味着《条例》针对此类共享做了实质性的放开和豁免，但整体性地来看我国目前金融监管条线的相关立法，此类对于关联机构间共享用户信息作出“肯定性法律评价”的立法尚为少见，一定程度上也减轻了非银支付机构在业务开展中涉及此类操作时对合规性的顾虑。

5.银保监会丨《监管数据安全管理办法（试行）》

2021 年 1 月 15 日，银保监会官网披露《中国银保监会关于印发监管数据安全管理办法（试行）的通知》（以下简称《办法》）。

该《办法》分别在部门工作职责，监管数据的采集存储和处理，数据的委托和使用等方面进行了规定，同时规范了数据监督体系，切实加强了监管数据安全管理，防范监管数据安全风险。

6.最高法修改《民事案件案由规定》，增加个人信息保护案由

2020 年 12 月 29 日，最高人民法院印发《关于修改<民事案件案由规定>的决定》的通知，对 2011 年 2 月 18 日第一次修正的《民事案件案由规定》作相关修改。其中第三点第 17 项规定，在第二级案由“一、人格权纠纷”项下：变更“1.生命权、健康权、身体权纠纷”为“1.生命权、身体权、健康权纠纷”；增加“3.名称权纠纷”“5.声音保护纠纷”；变更“6.隐私权纠纷”为“8.隐私权、个人信息保护纠纷”。此次修改主要按照《民法典》规定的新制度，按照民法典规定的新制度，增加声音保护、个人信息保护、申请人格权侵害禁令、居住权、保理合同等案由。此次修改，意味着个人信息保护纠纷成为能够单独适用的民事案由，个人信息民事司法保护不再受制于无独立民事案由的禁锢。

7.最高法修改《利用信息网络侵害人身权益案件司法解释》

2020 年 12 月 30 日，最高人民法院通报已完成对新中国成立以来现行的司法解释及相关规范性文件的全面清理工作。其中，关于修改《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（以下简称“《规定》”）的决定已于 2020 年 12 月 23

日通过，自 2021 年 1 月 1 日起施行。

本次修改是最高法院全面清理司法解释及相关规范性文件工作的成果之一。一方面，在《民法典（侵权责任编）》起草过程中，已吸收了《规定》的部分内容，因此需要对该部分内容进行删除，以免重复；另一方面，本次修改亦是对《民法典》中新规定的积极回应，以顺应民法典立法精神。

8.工信部丨《物联网基础安全标准体系建设指南（征求意见稿）》

2021 年 1 月 15 日，工信部就《物联网基础安全标准体系建设指南》（征求意见稿）（以下简称《指南》）公开征求意见。《指南》提出，到 2022年初步建立物联网基础安全标准体系，研制重点行业标准 10 项以上，明确物联网终端、网关、平台等关键基础环节安全要求，满足物联网基础安全保障需要，促进物联网基础安全能力提升。到 2025 年推进形成完善的物联网基础安全标准体系，研制行业标准 30 项以上，提升标准对细分行业及领域的覆盖程度，提高跨行业物联网应用安全水平。

物联网基础安全标准体系包括总体安全要求、终端安全、网关安全、平台安全、安全管理五大类标准。

9.信安标委丨《人工智能伦理安全风险防范指引》

全国信息安全标准化技术委员会官网 1 月 5 日消息，由全国信息安全标 准化技术委员会秘书处编制的《网络安全标准实践指南—人工智能伦理 安全风险防范指引》（以下简称为“指引”）正式发布。针对人工智能可能 产生的伦理安全风险问题，该指引为组织或个人开展人工智能研究开发、设计制造、部署应用等相关活动提供了规范指引。依据规定，部署应用 者应以清楚明确且便于操作的方式向用户提供拒绝、干预及停止使用人 工智能的机制，并尽可能提供非人工智能的替代选择方案。

10.信安标委丨《区块链信息服务安全规范》

全国信息安全标准化技术委员会官网 1 月 22 日消息，由全国信息安全标准化技术委员会秘书处编制的《信息安全技术 区块链信息服务安全规范》征求意见稿（以下简称为《安全规范》）正式发布，现面向社会广泛征求意见。

1. 《关于全面推进上海城市数字化转型的意见》公布

人民网 1 月 4 日消息，《关于全面推进上海城市数字化转型的意见》近日正式对外发布。根据该文件，上海将整体性转变，推动“经济、生活、治理”全面数字化转型；全方位赋能，构建数据驱动的数字城市基本框架；革命性重塑，引导全社会共建共治共享数字城市。在经济层面，上海将加快推动数字产业化、产业数字化，放大数字经济的辐射带动作用，做优做强城市核心功能；在生活方面，上海将打造智能便捷的数字化公共服务体系，加强政府、企业、社会等各类信息系统的业务协同、数据联动，提高城市生活品质；在治理方面，上海将打造科学化、精细化、智能化的超大城市“数治”新范式，提高现代化治理效能。

2. 上海《去标识化数据识别分析方法指南》地标征求意见

2021 年 1 月 19 日，上海市市场监督管理局根据市场监管总局第 26 号令

《地方标准管理办法》《上海市地方标准管理办法》的规定，将《数据分享与间接收集的合规性评估—“去标识化数据识别分析方法指南”》（以下简称《指南》）地方标准征求意见稿及编制说明予以公示，面向社会广泛征求意见。

3. 深圳《关于加快智慧城市和数字政府建设的若干意见》出台

深圳市政府近日印发《深圳市人民政府关于加快智慧城市和数字政府建设的若干意见》（以下简称《意见》），《意见》提出了深圳加快智慧城市和数字政府建设的总体要求、重点任务和保障措施等。《意见》还将“数字孪生城市”建设提上日程，《意见》指出：依托地理信息系统（ GIS）、建筑信息模型（BIM）、城市信息模型（CIM）等数字化手段，开展全域高精度三维城市建模，加强国土空间等数据治理，构建可视化城市空间数字平台，链接智慧泛在的城市神经网络，提升城市可感知、可判断、快速反应的能力。

4. 央行副行长：将推出《个人金融信息保护暂行办法》

2020 年 12 月 25 日，国新办召开国务院政策例行吹风会，中国人民银行副行长陈雨露在会上表示，人民银行要求征信中心把数据安全放在工作的核心位置。

目前，人民银行对征信市场的信息安全和个人信息保护监管的强度不断加大。一方面，引导金融机构做好客户的个人金融信息保护工作，规范金融机构的展业行为，强化金融机构个人信息保护和法律合规意识。另外一方面，对发生了信息泄露，甚至违规倒卖客户数据的金融机构、征信机构以及相关责任人，将依法从严惩处，形成监管震慑。此外，人民银行还配合有关部门严厉打击以大数据公司、大数据征信名义非法买卖个人信息的行为，查处以信用信息服务、企业征信服务名义招摇撞骗的行为。

陈雨露透露，下一步中国人民银行会根据国家将要颁布的个人信息保护法、数据安全法等新的法律，及时推出《个人金融信息保护暂行办法》。

5. 工信部网安局公示 2020 年“双随机一公开”检查结果

为贯彻落实《中华人民共和国网络安全法》，以及《中华人民共和国电信条例》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》《电话用户真实身份信息登记规定》等电信和互联网行业网络安全相关法律法规，按照《国务院办公厅关于推广随机抽查规范事中事后监管的通知》《工业和信息化部“双随机一公开”监管实施办法》等相关要求，2020 年，工业和信息化部网络安全管理局组织对部分电信和互联网企业、域名机构的网络安全防护工作情况、网络与信息安全责任落实情况、网络数据安全保护责任及管理措施落实情况、电话用户真实身份信息登记情况等开展随机抽查。

2021 年 1 月 5 日，工业和信息化部网络安全管理局对本次抽查中发现的存在不同程度违规情况的 49 家电信和互联网企业、域名机构进行公示， 并已向各企业反馈检查问题， 明确检查整改要求及要求限期完成整改。

6. 工信部试点工业互联网企业网络安全分类分级管理

1 月 13 日，工信部网络安全管理局发布了关于开展《工业互联网企业网络安全分类分级管理试点工作》的通知。初定天津、吉林、上海、江苏、 浙江、安徽、福建、山东、河南、湖南、广东、广西、重庆、四川、新 疆等 15 个省（区、市）开展试点。据了解，通过试点，将进一步完善工业互联网企业网络安全分类分级规则标准、定级流程以及工业互联网安 全系列防护规范的科学性、有效性和可操作性，加快构建工业互联网企 业网络安全分类分级管理制度；进一步落实试点企业网络安全主体责任， 形成可复制可推广的工业互联网网络安全分类分级管理模式；总结一批 工业互联网网络安全典型解决方案，选拔一批优秀示范企业、培育一批专业服务机构。

7. 工信部通报下架 12 款侵害用户权益 APP

2020 年 12 月 21 日，工信部向社会通报了 63 家存在侵害用户权益行为APP 企业的名单。截至目前，经第三方检测机构核查复检，尚有 12 款APP 未按照工信部要求完成整改。依据《网络安全法》和《移动智能终端应用软件预置和分发管理暂行规定》（工信部信管〔2016〕407 号） 等法律和规范性文件要求，工信部组织对相关 12 款 APP 进行下架，于2021 年 1 月 19 日对相关 APP 名单进行曝光。相关应用商店应在本次通报发布后，立即组织对名单中应用软件进行下架处理。

8. 工信部通报 2021 年第 1 批侵害用户权益行为的 APP

依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，按照《关于开展纵深推进 APP 侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164 号）工作部署，工信部近期组织第三方检测机构对手机应用软件进行检查，督促存在问题的企业进行整改。截至目前，尚有 157 款 APP 未完成整改，工信部于 2021 年 1月 22 日对这批 APP 进行名单曝光（2021 年第 1 批，总第 10 批次）。上述 APP 应在 1 月 29 日前完成整改落实工作。

此次披露公告中，工信部特别提及腾讯应用宝、小米应用商店、豌豆荚、OPPO 软件商店、华为应用市场等平台存在平台管理主体责任落实不到位的问题。对此，工信部已督促相关平台企业严格落实《移动智能终端应用软件预置和分发管理暂行规定》（工信部信管〔2016〕407 号）要求，落实企业主体责任。

9. 浙江成立 APP 用户信息保护专业委员会

1 月 11 日，浙江省 App 个人信息保护监管会议在线上召开。会上，App用户信息保护专业委员会正式成立。阿里巴巴、网易等 20 余家企业做出合规经营承诺，面向全省企业发出共同做好 App 个人信息保护的公开倡议。100 余家互联网企业共同签署《浙江省 App 个人信息保护自律公约》，承诺自觉遵守部省两级监管要求，自觉维护用户合法权益。

会上，介绍了全年检测中发现的 APP 存在的问题包括：无隐私政策、未经用户同意收集使用个人信息、未明示收集使用个人信息的目的、方式和范围、未经同意向他人提供个人信息、未按法律规定提供删除或更正， 个人信息功能、未公布投诉举报方式等信息。同时，详细介绍了一些新的问题,如：（1）在 App 索取权限时，被用户诟病已久的“不同意就退出”转变成了“不同意就反复弹窗”，App 频繁申请权限也是“未经用户同意收集使用个人信息”的具体表现。（2）“欺骗诱导用户下载 App”，具体表现为，在 App 的开屏广告等功能页面，通过“偷梁换柱”、“移花接木”等方式，欺骗误导用户下载，如：“是否立即开始游戏、领取红包”；或者“虽然在 App 广告页面有下载按钮，但当用户点击了下载按钮以外的区域时，依然会发生自动下载的行为。” （3）欺骗误导用户提供个人信息，包括非服务所必须或无合理场景，通过积分、奖励、优惠等方式，欺骗误导用户提供身份证号码以及个人生物特征信息。

10. 2020 全年企业违反 GDPR 被罚款超 1.7 亿欧元

SecurityWeek 网站 1 月 5 日消息，根据跟踪主要 GDPR 罚款的云管理解决方案提供商 CoreView 的数据，自 2018 年以来 GDPR 相关总罚款金额为 2.88 亿欧元，其中 2019 年约为 1.03 亿欧元，2020 年约为 1.84 亿欧元。就 2020 年的罚单数量而言，西班牙以 128 次位居首位，其次是意大利（34）、罗马尼亚（26）、瑞典（15）、比利时（13）和挪威（11）。服装零售商 H＆M 去年的罚款最高（3500 万欧元），其次是意大利电信（2800 万欧元），英国航空公司（2200 万欧元），万豪酒店（2000 万欧元）和意大利电信运营商 Wind Tre（1700 万欧元）和沃达丰意大利（1200 万欧元）。

11. 为规避隐私标签不再更新 IOS 应用？谷歌：或将本周更新

据媒体报道，12 月 8 日之后，谷歌便不再更新其 IOS 应用。同时，其Android 应用正常更新。谷歌此举被质疑是为了规避苹果隐私新规—— IOS 应用需增加隐私标签，而该规定要求开发者公布其应用程序的隐私标签，即以简洁明了的方式告诉用户，应用程序是收集了哪些数据、以及如何使用这些数据。近日，谷歌回应称，首批带有隐私标签的 IOS 应用或将在本周或下周更新。

1. 个人信息泄露的民事救济途径：邓某与顺丰公司侵权责任纠纷

基本案情：

2019 年 5 月 6 日，社保中心通过北京顺丰速运有限公司（以下简称“顺丰速运”）向邓某邮寄 A 公司工作人员社保卡，但该快递单未妥投。2019 年 5 月 10 日，顺丰速运在未与收件人邓某联系确认的情况下，根据系统识别结果，直接将收件地址更改，而该地址为邓某当时工作单位 B 公司的办公地址。顺丰速运派送员将该快递送至公司前台，并在邓某未在场的情况下拆开快件，将快件交至其他工作人员手中。

邓某表示，顺丰速运私自将快件转址并私自拆开，导致其在外兼职的事情被公司其他员工以及领导知晓，并因此被公司辞退。邓某认为顺丰速运快递员侵犯其隐私权，导致其被公司辞退，遂诉至法院，请求法院判决顺丰速运赔偿其六个月的工资损失。

法院审理情况：

一审法院认为，侵权责任构成要件之一即违法行为与损害事实之间存在因果关系。本案中，邓某因违反 B 公司规章制度而离职，其在其他公司兼职的事实在涉诉快件派送之前就已客观存在，而顺丰公司派送员在派件过程中的不规范行为只是导致其兼职一事被 B 公司知晓而已，该不规范行为并非 B 公司与邓某解除劳动合同的原因， 即顺丰公司派送员的不规范行为与邓某的离职并无直接必然因果关系，故邓某要求顺丰公司赔偿经济损失及精神抚慰金的诉讼请求，于法无据，一审法院不予支持。

二审法院认为，顺丰公司未经允许擅自调取了其系统内存储的邓某其他地址，进而改变收件地址，行为明显不当；随后顺丰公司为完成核对要求，在未见到收件人本人的前提下打开了邮件并与工作单位人员进行核对，进而导致了邓某的个人隐私被泄露，行为亦明显不当。据此，法院认为顺丰公司在投递邮件的过程中泄露了邓某的个人隐私信息且对此存在明显过错,应承担与其过错相适应的侵权责任。同时综合顺丰公司的过错程度、侵权行为与损害结果的关联程度，确定顺丰公司赔偿邓某财产损失 10000 元。现没有证据证明邓某因此次隐私信息被泄露而遭受明显的精神痛苦，故对其精神损害赔偿的请求，法院不予支持。

案件结果：

北京市通州区人民法院一审判决：驳回原告邓某的诉讼请求。北京市第三中级人民法院判决：撤销北京市通州区人民法院（2019）京0112 民初 35809 号民事判决；北京顺丰速运有限公司于本判决生效后七日内赔偿邓某财产损失 10000 元；驳回邓某的其他诉讼请求。

2. 因非法抓取抖音 APP 短视频，刷宝被判赔 500 万元

基本案情：

因认为刷宝 APP 采用技术手段或人工方式获取抖音 APP 短视频及用户评论并向公众提供的行为构成不正当竞争，北京微播视界科技有限公司

（以下简称微播公司）将北京创锐文化传媒有限公司（以下简称创锐公司）诉至法院，要求消除影响并赔偿经济损失 4000 万元。

法院审理情况：

法院经审理后认为，本案证据显示，创锐公司为刷宝 App 开发运营主体， 刷宝 App 提供短视频服务，与微播公司构成直接竞争关系。刷宝 App 上有 5 万余个短视频与抖音 App 的短视频相同，有上百处评论内容相同。创锐公司虽表示涉案短视频系用户上传，但其提交的相关后台信息、用户信息等表格均系自行制作，并且存在大量用户的注册时间、最后登录时间早于刷宝 App 安卓版的上线时间，后台信息不完整，后台信息与用户信息无法对应等问题；亦无法提交涉案评论由用户发布的证据。故创锐公司未提交足够证据证明，涉案短视频及相关评论为用户上传或具有合法授权。

同时，结合涉案短视频中含有抖音专有的 VID 码，刷宝 App 上展示有微播公司专门设置的含有“搬运自抖音”VID 码的短视频，在涉案行为发生时，刷宝 App 并无上传短视频入口，刷宝 App 上的涉案评论内容、顺序、标点符号与抖音 App 完全相同，且出现表情图未能正常显示等情况。

法院审理认为，创锐公司直接采用技术手段或人工方式获取微播公司赖以经营和获利的视频资源、评论内容，该公司在未投入相应成本的情况下，直接获取上述资源，掠夺微播公司的经营成果，并以此与微播公司争夺流量和用户，削弱了微播公司的竞争优势，损害了微播公司的合法权益，此种行为违反诚实信用原则和公认的商业道德，构成不正当竞争。法院认为，鉴于本案中无充分证据证明微播公司因被诉行为所受实际损失或创锐公司非法获利情况，法院综合考虑创锐公司的主观恶意、涉案行为的持续时间、刷宝 App 的下载量，及其投放广告所付金额、创锐公司持有相关浏览量及收入等证据但拒不提交等因素，依法按照法定赔偿的最高额进行判赔。据此，法院作出上述判决。

案件结果：

北京市海淀区人民法院一审裁定：刷宝运营方北京创锐文化传媒有限公司赔偿抖音运营方北京微播视界科技有限公司经济损失 500 万。

北京知识产权法院终审裁定：驳回上诉，维持原裁定。

3. 微信读书强制获取用户好友关系，黄某诉腾讯侵害个人信息权益

基本案情：

原告黄女士在使用微信读书时发现该软件未经其有效同意自动获取其微信好友关系、为其自动关注微信好友，且好友将能够在微信读书软件中查看相应的阅读信息。黄女士认为微信读书上述操作构成对个人信息权益的侵犯，遂将腾讯公司诉至北京互联网法院。

法院审理情况：

法院判决认为，首先，微信读书、微信在应用软件中为两款独立的应用， 显示的开发者并不相同，两个软件共同好友的关系并不符合一般用户的合理预期。其次，读书信息可能构成对用户的“人格画像”，在互联网时代，用户应享有自主建立或拒绝建立信息化“人设”的自由，而这种自由行使的前提是用户清晰、明确地知晓此种自由。但是，微信读书在用户协议中并没有就应对好友列表、读书信息的处理方式等重要事项进行充分告知，容易让用户对微信和微信读书两个软件中的“好友”产生混淆， 因此，不能视为获得用户有效的知情同意，构成对原告个人信息权益的侵害。

案件结果：

北京互联网法院一审认定腾讯公司侵害原告黄某个人信息权益，但未侵 害其隐私权。判定被告各公司立即停止侵权行为并向原告书面赔礼道歉。

4. 手机号码、社交关系、地理位置被抓取，凌某诉抖音个人信息权益侵权

基本案情：

原告凌某在手机通讯录除本人外没有其他联系人的情况下，使用该手机号码注册登录抖音 APP 后，被推荐大量“可能认识的人”，凌某认为抖音APP 非法获取其个人信息，读取及匹配用户的通讯录，并在未征得用户同意的情况下，收集用户的地理位置等信息，侵害其个人信息权益和隐私权。

法院审理情况：

北京互联网法院认为，凌某的社交关系（即在其他用户手机通讯录中存储了凌某的姓名和手机号码）属于个人信息。在凌某未注册时，其没有在抖音 APP 中建立社交关系的可能，微播视界公司从其他用户手机通讯录收集到凌某的姓名和手机号码后，通过匹配可以知道软件内没有使用该手机号码作为账户的用户，应当及时删除该信息。但直至凌某起诉时， 该信息仍然存储于抖音 APP 的后台系统中，构成侵权。凌某的“地理位置”也属于个人信息。IP 地址并不必然等同于地理位置，通过 IP 地址分析用户所在地理位置，亦属于对信息的进一步处理和使用，需征得同意。

案件结果：

北京互联网法院一审认定抖音 APP 侵害了凌某个人信息权益，但未侵害其隐私权。判定被告删除违法收集并储存的凌某的个人信息，赔偿其经济损失 1000 元，维权费用支出 4231 元。

5. 全国首例适用民法典的个人信息保护民事公益诉讼案宣判

1 月 8 日，杭州互联网法院依法公开审理公益诉讼起诉人下城区人民检察院诉被告孙某个人信息保护民事公益诉讼一案，并当庭宣判。该案是民法典实施后，全国首例个人信息保护民事公益诉讼案件。

2019 年 2 月起，被告孙某以人民币 34000 元的价格，将自己从网络购买、互换得到的 4 万余条包含自然人姓名、电话号码、电子邮箱等的个人信息，通过微信、QQ 等方式贩卖给案外人刘某。案外人刘某在获取相关信息后用于虚假的外汇业务推广。

被告孙某未经他人许可，在互联网上公然非法买卖、提供个人信息，造成 4 万余条自然人个人信息被非法买卖、使用，导致众多不特定人员的信息长期面临受侵害的风险，严重侵害社会众多不特定主体的个人信息权益，致使社会公共利益受到侵害。公益诉讼起诉人据此提起民事公益诉讼，请求判令被告孙某依法承担赔偿损失、赔礼道歉等民事责任。

2021 年 1 月 8 日上午，杭州互联网法院公开开庭审理此案，并当庭作出一审宣判，判决由孙某支付侵害社会公共利益的损害赔偿款 34000 元， 专门用于信息安全保护或个人信息保护等公益事项，并在《浙江法制报》向社会公众刊发赔礼道歉声明。

6. 网上突现造假健康码，造假者已被采取刑事强制措施

近期，国内疫情防控形势复杂严峻，部分地区出现社区传播和多代传播。有网友在新浪微博上爆料称，某应用软件商店中存在一款名为“健康码演示”的软件，能够自定义显示多地健康码。该软件的图标是心形里面有一个绿色加号。这款软件的详细信息显示， 其能够模拟各地区的健康码、复工码、通行码的不同显示风格。功能上，该 APP 可展示绿码、黄码、橙码、红码状态，并可自定义显示地区、城市、姓名等数据，还支持两组数据切换显示。根据网上流传的截图，该 APP 最近一次更新于 2020 年 12 月 26 日，下载次数“超过 1000 次”。该 APP 开发者名为“Morrowind Xie”，开发者联系信息中显示其地址位于浙江省杭州市上城区岳王路的某公司。杭州市新冠肺炎疫情防控指挥部 13 日深夜发布通告称，“健康码演示”APP 研发者已被警方采取刑事强制措施。

7. 通过浏览器扩展程序抓取用户数据，FACEBOOK 提起诉讼

2021 年 1 月 14 日消息，Facebook 在葡萄牙对两名葡萄牙国民提起诉讼，指控他们开发浏览器扩展程序从 Facebook 网站抓取用户数据。

Facebook 执法与诉讼负责人 Jessica Romero 声称，“当人们在浏览器上安装这些扩展程序时，他们其实正在安装旨在从 Facebook 网站抓取其信息的隐藏代码，并且还会从用户的浏览器上收集与 Facebook 无关的信息，这一切都是在人们不知情的情况下所进行的”。她表示，“当用户访问 Facebook 时，这些扩展程序会根据预先设定的编程抓取用户的姓名、用户 ID、性别、感情状态、年龄段以及与其账户有关的其他信息。”

据悉，所有扩展程序皆由一家名为“Oink and Stuff”的软件公司开发，该公司专门为 Chrome，Firefox，Opera 和 Microsoft Edge 创建 Android 应用和浏览器扩展。尽管该公司开发了各种浏览器扩展程序， 但Facebook 表示， 其在名为 Instagram 的 Web 扩展以及 DM， Blue Messenger，Emoji 键盘和 Green Messenger 的四个扩展中发现了与数据收集相关的恶意行为，Facebook 称其“起到了间谍软件的作用”。截至目前，这四个扩展程序仍可在官方的 Chrome Web Store 上使用，并且总共安装了 54,000 多次。

对此，Facebook 要求葡萄牙法院对 Oink and Stuff 公司发布永久禁令，并要求该公司删除其通过这四个扩展程序获得的所有 Facebook 用户数据。

8. 德国下萨克森州对公司内部安装摄像头处以 1040 万欧元的罚款

2021 年 1 月 8 日，德国下萨克森州数据保护机构对 notebooksbilliger.de AG 处以 1040 万欧元的罚款。该公司在没有法律依据的情况下，对员工进行了至少两年的视频监控。这些未经授权的摄像头覆盖了工作场所、销售室、仓库和公共区域等。视频监控既不限于特定时间段，也不限于特定员工。此外，在许多情况下，录音被储存了 60 天，这远远超过了必要的时间。

据报道， 这 1040 万欧元是迄今为止下萨克森州联邦数据保护局根据GDPR 开出的最高罚款。GDPR 允许监管当局处以最高 2,000 万欧元的罚款， 或最高占公司全球年总营业额的 4% ， 以较高者为准。对notebooksbilliger.de 的罚款尚未最终确定。同时，该公司已将其视频监控合法化，并向下萨克森州 LfD 证明了这一点。