為促進數字經濟健康持續發展，上海法院于2023年發布了第一批服務保障數字經濟發展典型案例，指導全市法院審判工作，取得了較好成效。近日，為更好司法服務保障數字經濟高質量發展，現從個人信息保護、互聯網不正當競爭、電商平臺爭議解決、計算機信息系統保護等方面，上海市高級人民法院遴選出10個典型案例作為服務保障數字經濟發展第二批典型案例，為全市法院審判工作提供更多的參考和指引。其中，上海市浦東新區人民法院2起案件入圍。

上海法院服務保障數字經濟發展

典型案例（第二批）

目錄

/案例2/

用戶個人信息“共同處理者”及其責任承擔認定規則

——歐某某訴某財產保險公司上海分公司、北京某信息技術公司等個人信息保護糾紛案

案情簡介

歐某某經某保險經紀公司介紹，通過北京某信息技術公司（以下簡稱某信息公司）運營的網站以在線方式購買某財產保險公司上海分公司（以下簡稱某保險公司）的保險產品。歐某某在上述網站上填寫、提交投保信息，某保險公司確認后將保險單回傳給某信息公司。后應監管要求，某信息公司停止互聯網保險服務，并由某保險經紀公司承接相關權利義務、提供服務。2022年11月，歐某某通過搜索引擎檢索其手機號時，從某信息公司運營的網站獲得了包含其敏感個人信息的電子保單。歐某某認為其個人信息被泄露系某保險公司將其個人信息提供給某信息公司。某信息公司不具備經營保險業務的資質卻處理歐某某的保險業務，且將其個人信息公布至互聯網。某保險經紀公司作為保險中介及收款人，未盡到保護投保人權利與信息安全的義務，故訴請三公司就歐某某遭受的損害共同承擔賠償責任，并將網上信息清理完畢。

裁判理由及結果

法院經審理認為：首先，某保險公司在投保過程中對歐某某個人信息的收集及提供具有合理目的，并與訂立保險合同的目的直接相關，且與合作方約定用戶個人信息保護相關要求，未發現有不當行為。其次，某信息公司系個人信息的直接收集者，泄露歐某某個人信息的鏈接直接指向該公司運營的網站，且事發后該公司可以通過變更保險單鏈接阻斷檢索結果，印證相關信息在其掌控之下，應認定某信息公司為個人信息處理者。現其所處理的歐某某個人信息被泄露，其無證據證明不具有過錯，應依法承擔賠償責任。最后，鑒于某保險經紀公司與某信息公司在客觀上存在業務合作關系，某保險經紀公司在開展業務過程中引導具有投保需求的用戶使用某信息公司運營網站填寫信息完成下單操作，兩公司對歐某某個人信息的收集及后續使用、傳輸等具有共同目的。對于用戶而言，兩公司也具有共同處理個人信息的外觀表象。兩公司對于“通過合作網站收集用戶個人信息”“通過合作網站向某保險公司傳輸及接收個人信息”有著顯現的合意，對其間所涉及的個人信息處理方式亦屬于共同決定。某信息公司停止服務時，系由某保險經紀公司承接相關權利義務，印證兩公司分工協作、共同決定相關用戶個人信息的處理方式。據此，某保險經紀公司系案涉個人信息的共同處理者，應就某信息公司泄露歐某某個人信息的行為依法承擔連帶責任。

典型意義

本案系個人信息“共同處理者”因個人信息泄露而承擔連帶責任的典型案例，明確互聯網投保業務下多個主體參與消費者個人信息處理活動中各方角色及責任形態，厘清在多個主體分工處理用戶個人信息而發生個人信息泄露的情況下，個人信息共同處理者的認定標準和連帶責任承擔規則。本案確立了具有可操作性的識別標準，對于同類案件的處理具有參考借鑒意義，有利于強化個人信息保護、有效規范個人信息處理行為。

一、個人信息“共同處理者”的辨析

個人信息“共同處理者”的界定應從合作模式、共同目的、對相關事項的合意等方面判斷，并應厘清“共同處理”與“共享”及“委托處理”相似概念的界限，對同類案件事實及責任的認定具有參考意義。其一，從主體來看，要構成個人信息“共同處理者”首先以存在兩個以上實施個人信息處理行為的主體為前提。其二，多個處理者之間對于個人信息的處理目的和處理方式均為自主決定，且存在意思表示一致或意思聯絡。其三，“共同處理者”應當對處理目的和處理方式均為共同決定。由于處理目的和處理方式不可分割，如果一個處理者決定處理目的，另一個處理者決定處理方式，那么他們之間就不是“共同處理者”。

“共享”及“委托處理”與“共同處理”的核心區別在于，在“共享”模式下，個人信息處理的參與者均可基于自身處理目的和方式處理個人信息。在“委托處理”情形下，受托處理者沒有自身的個人信息處理目的，完全按照委托處理者的指示行為，且在委托事項完成后，受托處理者應將處理的個人信息返還或刪除。

二、“共同處理者”的具體判斷標準

目前《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）對“共同處理”的規定較為原則，有必要確立具有可操作性的識別標準。識別“共同處理者”的關鍵環節在于結合具體案件中具有法律意義的事實去理解為什么處理個人信息及如何處理個人信息。根據不同個人信息處理場景的區別因素以及《個人信息保護法》中個人信息“共同處理者”的定義及特征，結合司法實踐中存在的業務模式及個人信息流轉流程，可以將個人信息“共同處理者”的具體判斷標準歸納為以下三點，即：1.不同主體間的合作模式是否基于共同原因而對用戶個人信息進行收集、使用及傳輸；2.不同主體對于用戶而言是否存在共同處理個人信息的外觀表象；3.不同主體間是否在個人信息流轉方面或權利義務承接方面具有共同決定處理方式的情況。

三、“共同處理者”認定規則的具體適用

在遵循立法本意的前提下，對案件所涉的業務合作模式進行分析有助于具象化地適用“共同處理者”認定規則。用戶個人信息“共同處理者”核心認定標準是不同主體共同決定個人信息的處理目的和處理方式，而不要求參與方均直接實施信息處理行為或知曉他者所有行為。存在合作關系的不同主體雖分別對接用戶或分工處理信息，但如若處于共同目的統領之下，對用戶形成共同處理其個人信息的外觀表象，則整體構成個人信息的“共同處理”，應就侵害用戶信息權益行為承擔連帶賠償責任。

具體到本案所涉整個業務流程，首先，某保險經紀公司與某信息公司存在業務合作關系，引導具有投保需求的歐某某使用某信息公司運營的網站填寫信息完成下單操作，可以認定兩家公司之間對于用戶個人信息的收集及后續使用、傳輸等系基于共同原因，形成了共同目的并實施了共同行為。其次，并無證據表明某保險經紀公司曾事先向歐某某披露填寫信息的系統由某信息公司運營，歐某某作為普通消費者，難以知曉涉案網站與某保險經紀公司的內部關系。再次，由兩公司的合作模式及對應的個人信息流轉過程可知，業務合作方主體系某保險經紀公司，系統運營及個人信息的傳輸方系某信息公司，某保險經紀公司和某信息公司對于“通過網站收集用戶個人信息”“通過網站向某保險公司傳輸及接收個人信息”有著顯現的合意，進而對其間所涉及的個人信息處理方式亦屬于共同決定。最后，在某信息公司應監管要求而停止服務時，由某保險經紀公司承接相關權利義務并對外向用戶提供服務，案涉個人信息亦一并由某保險經紀公司負責，也印證兩公司共同決定相關用戶個人信息的處理方式。

提供單位

上海市第一中級人民法院

案例索引

一審：上海市浦東新區人民法院

二審：上海市第一中級人民法院

/案例5/

互聯網不正當競爭中商業道德的司法認定

——某科技公司、某計算機公司訴某網絡公司不正當競爭糾紛案

案情簡介

經過原告某科技公司、某計算機公司推廣、運營，《某榮耀》游戲已擁有廣泛的玩家群體。《某榮耀》向用戶免費提供游戲下載，并通過營造公平的競技環境吸引更多用戶，提供“皮膚”等增值服務以從中獲利。《某榮耀》游戲通過用戶協議要求用戶實名制登記，不得將游戲賬號提供給他人做代練代打等商業性使用。為落實未成年人保護要求，游戲賬號嚴格采用實名制并配有完備的“防沉迷”措施，未成年人僅能在國家新聞出版署規定的時間段內登錄游戲。被告某網絡公司運營的“代練幫”APP以“發單返現金”、設立專區的形式引誘、鼓勵包括未成年人在內的用戶通過其平臺進行商業化、規模化的游戲代練交易并從中獲得收益。接單者可以非真實身份登錄涉案游戲賬號，未成年人亦可接單獲得他人的游戲賬號繞開“防沉迷”機制進入游戲并賺取費用。“代練幫”客戶端要求接單者均關閉手機定位以避免封號等處罰措施。被訴客戶端自2020年初開始運營，至訴訟時已上架多個應用商城，總下載量超過1.5萬次。兩原告認為，被訴行為構成不正當競爭，故訴請判令被告某網絡公司停止被訴行為、賠償經濟損失及合理開支共450萬元。

裁判理由及結果

法院經審理認為：被訴商業代練行為造成損害后果：一是破壞了公平競技的游戲機制，損害用戶體驗；二是干擾了游戲建立的實名機制及未成年人“防沉迷”機制，損害兩原告的商業利益；三是增加了未成年人沉迷網絡的風險，侵害社會公共利益。某網絡公司將兩原告具有競爭性權益的游戲作為獲利工具，違反了誠實信用和商業道德。被訴客戶端明確要求接單者關閉定位以避免封號等處罰措施，刻意規避原告的游戲監管機制，原告無從通過平臺自行予以規制。至此，市場自發的調節機制失靈，法律具有干預的必要。據此，判令被告某網絡公司停止涉案不正當競爭行為并賠償兩原告經濟損失80萬元及為制止侵權行為所支付的合理開支185000元。

典型意義

本案系全國首例網絡游戲商業代練行為不正當競爭案件。伴隨著游戲產業的發展，代練屬于長期存在的灰色產業，并從最初的有償幫助他人通關發展為更為復雜的商業模式，法律風險日益增多。本案裁判對網絡游戲這一特定領域的商業道德予以認定，對破壞游戲運營機制的商業代練行為予以規制，并明確《中華人民共和國反不正當競爭法》（以下簡稱《反不正當競爭法》）互聯網專條兜底條款和原則條款的適用邊界。本案對包括未成年人在內的消費者權益保護、互聯網產業的公平競爭秩序、游戲產業的健康發展有重要意義。

一、競爭法中的商業道德的特征和含義

《反不正當競爭法》作為調整市場主體競爭行為的法律，將商業道德規定為其原則條款，是誠實信用原則和公序良俗原則在商業社會中的具體體現。在《反不正當競爭法》的價值體現中，商業道德有著根基性的作用：一是作為所有競爭行為的指導原則。《反不正當競爭法》對所有類型化不正當競爭行為的規制都基于其違反商業道德。二是作為個案中行為的判斷標準。隨著市場環境的不斷變化，競爭行為不斷演化，《反不正當競爭法》難以對所有類型化不正當競爭行為進行窮盡規定。在法律對具體行為尚無明確規定的情況下，法院應依據商業道德評判行為的正當性。但與其根基性作用不完全匹配的是，商業道德的評判要件未有明確規定，具有較大的自由裁量空間，其適用考驗司法智慧。

二、互聯網競爭行為商業道德的司法認定和適用

互聯網技術的更新、產業的發展，不僅深刻影響社會生活的方方面面，而且導致競爭手段更加多樣化，競爭行為的隱蔽性加強，產業之間的競爭利益不斷流動和重新分配。互聯網商業道德的認定應把握以下標準：第一，堅持利益平衡，維護三元疊加利益。《反不正當競爭法》將損害對象明確為“擾亂市場競爭秩序、損害其他經營者或者消費者合法權益”，確立了競爭行為正當性判斷的基本思路為三元目標保護模式。對互聯網商業道德的認定和適用也應當與之一致。第二，立足產業特質，注重區分兩類邊界。在認定互聯網商業道德時，需要注意以下兩類邊界：一是商業道德不同于日常倫理。二是互聯網商業道德不同于傳統商業道德。第三，參考行業慣例，合理吸收審查要素。特定商業領域普遍遵循和認可的行為規范可以認定為商業道德，法院應當綜合考察特定行業規則、商業管理以及行業主管部門、行業協會或者自律組織制定的從業規范、技術規范、自律公約等。第四，強化證明責任，形成具化商業道德。在商業道德的舉證上，主張被訴行為違反商業道德的一方應就何為商業道德承擔證明責任。

本案中，就網絡游戲領域而言，其商業道德主要涉及以下三個維度：第一，通過禁止出借游戲賬號及禁止商業代練保障競技公平。禁止第三方為游戲玩家以作弊方式獲取競技優勢提供便利、維護網絡游戲規則公平性應是網絡游戲行業公認的商業道德。第二，通過游戲管理機制承擔社會責任。如涉案游戲采取用戶實名制和未成年人“防沉迷”機制。第三，通過設置數據使用行為邊界保障數據清潔性和安全性。隨著數據成為一類新的生產要素，數據財產利益和數據安全利益保護的制度需求隨之產生。數據的積累和清潔性維護需要投入極高的成本，而對數據清潔性和安全性的破壞成本卻很低。如果放任該類行為，會導致經營者無法收回投入成本，進而損害市場秩序。

三、關于互聯網專條兜底條款和原則條款的適用邊界

根據《反不正當競爭法》第十二條第二款第四項規定，“經營者不得利用技術手段，通過影響用戶選擇或者其他方式，實施其他妨礙、破壞其他經營者合法提供的網絡產品或者服務正常運行的行為”。該條中的“利用技術手段”應指以運用技術的方式實現不正當競爭，該技術手段的運用不正當地影響用戶選擇或者實質性地破壞、妨礙其他經營者正常提供網絡產品或服務的技術運行邏輯，技術手段和行為損害后果之間具有直接因果關系。本案中，涉案行為雖系被告通過運營“代練幫”客戶端在互聯網中實施，但該客戶端僅提供代練交易平臺，核心的代練行為系由用戶通過人工操作實施，并非利用技術手段實現，故不符合該條款的適用條件。

提供單位

上海市浦東新區人民法院

裁判理由及結果

一審：上海市浦東新區人民法院

稿件來源丨“上海高院”微信公眾號

責任編輯丨陳衛鋒

- END -