网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

人民法院经审理认为，上海某实业公司使用刘某甲手机号码时虽未与其姓名关联，但手机号码能够识别特定主体，属于个人信息。针对上海某实业公司是否有权使用刘某甲的手机号码的争议焦点，首先，使用个人信息应当限于本人同意的范围，刘某甲在第三人任职期间同意关联公司即上海某实业公司使用其个人信息，但刘某甲离职后，上海某实业公司继续使用刘某甲个人信息未取得其同意。其次，刘某甲不是上海某实业公司的员工，上海某实业公司使用刘某甲的个人信息既不属于用人单位必须处理员工个人信息的情形，也不属于刘某甲履行员工职责或义务所必需，更不符合《个人信息保护法》第十三条规定的无需取得同意的情形。再次，2022年3月上海某实业公司填报企业年度报告时，刘某甲已经从第三人处离职，上海某实业公司在填报2021年度企业年报信息时仍使用离职人员刘某甲的个人信息，不符合正当性和必要性原则。故上海某实业公司无权使用刘某甲的个人信息，据此支持刘某甲要求解除其实名手机号码与上海某实业公司2021年度企业年报公示信息的绑定及关联，并支持刘某甲要求上海某实业公司向其赔礼道歉的诉请。因刘某乙并非侵权人，且刘某甲没有证据证明其名誉损失及严重精神损害，故驳回其余诉讼请求。

向上滑动查看更多

典型意义

本案系员工个人信息合理使用认定的典型案例，涉及数字经济案件中个人信息的司法认定与企业对于员工个人信息处理行为边界等问题。本案为员工个人信息的合理使用判定提供了重要指引，明晰了员工个人信息使用的边界，从司法层面加强了对个人信息主体的保护力度。

一、个人信息的界定以“可识别性”为核心要件

《民法典》第一千零三十四条、《个人信息保护法》第四条都对个人信息进行了定义，从其规定可知，可识别性是判断是否属于个人信息的核心要件。随着时代的发展，大数据的运用和信息技术的提高使个人信息的外延泛化，个人信息的边界可能呈动态化，一些在特定的场景下信息是否具有“可识别性”是可以转化的，需要针对个案具体分析不同场景下与个人有关的信息是否具有可识别性。

本案中，首先，《民法典》列举了几类个人信息，其中就包括自然人的电话号码，刘某甲的手机号码属于其个人信息毋庸置疑。其次，上海某实业公司使用刘某甲手机号码时，虽然未与刘某甲直接关联，即从对外公示的信息来看，无法直接通过该手机号码识别到刘某甲，但该手机号码是刘某甲实名登记的号码，与刘某甲进行了关联和绑定。再次，在大数据时代，随处可见通过手机号码关联和绑定特定个人的场景，手机号码属于可以直接或与其他信息结合识别到特定主体的信息。最后，现有环境下，通过手机号码来识别特定自然人所需的识别技术和成本并不高，获取手机号码即具有识别特定自然人的可能。因此，上海某实业公司使用刘某甲手机号码时虽未与刘某甲的姓名关联，但并不影响该手机号码具有可识别性个人信息的性质，故应作为个人信息进行保护。

二、以合法、正当、必要原则判定个人信息处理的合理性

根据《民法典》和《个人信息保护法》规定，处理个人信息，应当遵循合法、正当、必要原则。实践中，认定处理个人信息是否具有合法性，一般从两个方面考虑，即处理个人信息取得信息主体的同意，或存在无需信息主体同意的其他法定情形。具备上述任一条件，可以认为处理个人信息具有了合法性基础。正当性原则要求处理个人信息符合目的正当、手段正当的要求，履行充分告知的义务，公开处理个人信息的规则等。而关于必要性原则，要求处理个人信息的手段与处理目的直接相关，采取对个人利益影响最小的方式处理，不得过度处理。