编者按
一个案例胜过一打文件。案例是人民法院的重要法治产品。权威、规范的案例能够统一法律适用标准、提高办案质效、增强人民群众对公平正义的获得感。为此,本刊特推出“中国审判|实践案例”栏目,展现习近平法治思想在中国司法审判中的具体实践,期待通过记录与见证,助推、引领各级人民法院深入践行习近平法治思想,促进公正高效司法,服务“抓前端、治未病”,引领社会矛盾纠纷源头预防化解,努力让人民群众在每一个司法案件中感受到公平正义,服务法治中国建设。
中国审判 | 实践案例
文 | 北京市第四中级人民法院
张勤缘 杨宗腾
文章摘要
本文以最高人民法院指导性案例265号——罗某诉某科技有限公司(以下简称“某科技公司”)隐私权、个人信息保护纠纷案(人民法院案例库入库编号:2025-18-2-008-001)为研究对象,聚焦个人信息处理者收集用户画像信息是否构成侵权这一司法实践中争议较大的问题,通过厘清个人信息处理者处理个人信息的“订立、履行合同所必需”的认定标准,细化个人信息处理中“告知—同意”规则的适用条件,进而完善个人信息处理者处理个人信息规则的司法审查路径,为个人信息数据实现安全有序流动提供明确的指引。
基本案情
某科技公司运营某英语学习网站及两款App。2021年1月15日,某科技公司在未征得罗某同意的情况下,通过线下合作体验店收集罗某两个移动电话号码,为罗某创建某英语学习网站的账号密码,并向罗某手机发送多条相关信息。2021年1月20日,为了解账号情况,罗某在某英语网站和案涉App账号登录页面输入手机号、密码并点击登录,即出现若干问答界面,要求用户填写职业、学习目的、学龄阶段、英语水平等内容,不填写相关信息则无法继续登录。罗某填写完成后,页面提示还需填写个人基本信息,输入中英文名等必填内容才能完成注册。上述操作过程中,页面没有“跳过”“拒绝”等选项,亦无授权同意收集个人信息的提示。
罗某以隐私权、个人信息保护纠纷为由提起诉讼,称案涉网站和App未告知个人信息收集政策,强制收集罗某手机号、用户画像等信息并超范围使用,侵害其个人信息权益;同时,案涉网站未经允许向其发送营销短信的行为侵扰其私人生活安宁,侵害其隐私权。为知晓某科技公司处理个人信息情况,以确定删除范围,罗某向某科技公司提出了查阅、复制个人信息的请求。某科技公司依罗某请求提供相关资料,但罗某认为某科技公司提供的系统截图不够及时、不够清晰。据此,请求法院判令某科技公司向其提供清晰的个人信息副本,停止侵权,删除个人信息,公开赔礼道歉并赔偿损失2900元。
某科技公司辩称,案涉个人信息为其合作的线下体验店收集,其并无违法收集、处理个人信息与侵害罗某生活安宁的主观故意。通过自动化决策方式向用户进行信息推送是其网站和App的基本功能服务。同时,收集用户画像信息用于自动化决策是提供服务所必需,不需要取得用户个人同意。因此,某科技公司收集罗某用户画像信息的行为不构成侵权。
裁判结果
一审法院认为,某科技公司的行为构成对罗某个人信息权益的侵害;发送营销短信行为同时构成对罗某隐私权(私人生活安宁)的侵害;判决某科技公司向罗某提供清晰的个人信息副本,停止关于罗某名下两个手机号码及用户画像信息、账号密码信息、订单信息等个人信息的处理行为并删除相关个人信息,以书面形式向罗某赔礼道歉并赔偿其律师费、取证费2900元。
某科技公司不服一审判决,提起上诉。北京市第四中级人民法院审理后认为,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第十三条第一款第二项将“为订立、履行个人作为一方当事人的合同所必需”规定为取得个人同意的法定例外情形。对于“合同所必需”情形的认定,可以结合有关法律法规及规章、规范性文件等对必要个人信息范围的规定,并考量合同类型、内容等进行认定:如果信息处理的缺位将使合同约定的基本功能服务或者用户自主选择的附加功能服务无法实现,可以认定为属于“合同所必需”,反之则不予认定。具体从以下三个方面分析:
第一,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局发布的《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号,以下简称《必要个人信息范围规定》)明确规定,学习教育类App基本功能服务为在线辅导、网络课堂等,必要个人信息为注册用户移动电话号码。案涉App作为学习教育类App,其基本功能服务不包括通过自动化决策方式向用户推送信息。因此,某科技公司以通过自动化决策方式向用户推送信息为由,主张收集用户画像信息是其提供服务的基础,没有依据。
第二,履行合同所必需应当限定在实现基本功能服务或用户自主选择的附加功能服务范围内。若收集的个人信息与基本功能服务或用户自主选择的附加功能服务有直接关联,缺乏有关个人信息将导致相关服务功能无法实现,才属于履行合同所必需。本案中,案涉App基本功能服务为提供在线课程视频流等信息,收集用户画像信息并非其基本功能服务所必需,亦无证据表明罗某曾自主选择使用附加功能服务,某科技公司以其实现自动化决策功能服务为由径直收集用户画像信息行为的依据不足,不构成无须取得个人同意即可处理用户个人信息的法定情形,即某科技公司收集用户画像信息应当取得罗某同意。
第三,《个人信息保护法》第十六条规定:“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。”案涉软件在用户首次登录界面要求用户提交职业类型、学龄阶段等用户画像信息时,既未提供“跳过”“拒绝”等选项,又未提供用户不同意提交相关信息情形下的其他替代性登录方式。这使得用户提交相关信息成为登录软件的唯一途径。这种情形下,用户属于非自愿作出同意授权,不符合《个人信息保护法》第十四条第一款“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出”的规定,不产生取得个人同意的效力。
综上所述,某科技公司在不具有取得个人同意的法定例外事由情况下,未经罗某同意收集用户画像信息的行为,侵害了罗某个人信息权益。故判决驳回上诉,维持原判。
启示意义
近年来,个人信息作为数据的重要来源,在数据作为生产要素的利用、流动等方面发挥了重要作用,进一步促进数字经济的快速发展。然而,个人信息处理者强制收集、超范围收集个人信息的行为在一定程度上仍然存在,个人信息权益保护的风险也在不断叠加。本案聚焦个人信息处理者收集用户画像信息的典型场景,其启示意义有以下三个方面:
第一,用户画像信息的性质认定。用户画像信息的形成一般经历两个阶段:第一阶段是个人信息处理者收集用户信息;第二阶段是个人信息处理者对用户信息进行处理并形成数据集合。在不同阶段,个人信息处理者处理信息的种类和形式不同会导致用户画像信息的法律性质有差异。在个人信息处理者收集用户信息时,若信息包含法律明确列举的个人信息种类,则其收集的用户画像信息必然属于个人信息。本案中,某科技公司收集罗某的移动电话号码,均属于《中华人民共和国民法典》(以下简称《民法典》)第一千零三十四条第二款列举的个人信息种类。若个人信息处理者收集的信息为单一、碎片化的,则其是否属于个人信息主要取决于形成的数据集合情况。一旦被收集的信息彼此产生关联,便可形成自然人的数据画像。本案中,某科技公司收集的账号密码、职业、学习目的、学龄阶段、英语水平等信息,虽然不具有直接识别性,但账号密码与特定用户绑定后,形成识别用户身份的网络标识。网络账号与移动电话号码、用户标签等信息相结合形成信息链,属于个人信息处理形成的衍生数据。该衍生数据具有识别性,能够被纳入个人信息保护的范畴。
由此可见,用户画像信息是否属于个人信息,在依照法律规定进行判断的同时还需结合具体场景认定。在绝大多数情况下,用户画像信息会被认定为个人信息。除非根据《个人信息保护法》第七十三条,个人信息处理者对用户画像信息集合进行无法识别特定自然人且无法复原的匿名化处理。
第二,收集用户画像信息时“为订立、履行个人作为一方当事人的合同所必需”的认定标准。“为订立或履行合同所必需”是指个人信息处理者只有在处理用户的某些个人信息时才能实现上述订立或履行合同目的的行为。判断个人信息处理者收集信息的行为是否符合法律规定,关键在于其是否属于取得个人同意的法定例外情形。本案涉及《个人信息保护法》第十三条第一款第二项“为订立、履行个人作为一方当事人的合同所必需”的情形,需要判断信息收集行为与合同履行之间是否具有必要关系。在该场景下,可围绕以下两个方面因素来确定:一是确定履行合同主要目的时必要个人信息的范围,其主要以相关法律法规和规章、规范性文件等的规定作为参考依据。在移动客户端场景下,《必要个人信息范围规定》是重要参考依据。根据《必要个人信息范围规定》,案涉学习教育类App的必要个人信息为注册用户的移动电话号码,用户画像信息并非案涉App提供功能服务的必要个人信息。二是要符合比例原则,即以实现合同基本功能服务为目的来收集最小必要范围内的个人信息,或者出于尊重当事人意愿,当用户为实现特定需求而选择了附加功能服务,个人信息处理者为履行该功能之目的可以处理相应个人信息。换言之,在处理个人信息时,用户的选择必须是在被充分告知后的真实意愿表达,是一种独立的、可撤销的授权,而非与基础服务捆绑的强制性选项。本案中,个性化推送应当被界定为附加功能服务。案涉App首先赋予用户是否开启此项服务的自主决定权。只有在用户明确选择开启服务后,个人信息处理者为履行该项个性化服务而收集其个人信息的行为,才具备合法性基础。
第三,强制收集用户画像信息的侵权责任认定。当个人信息处理者收集个人信息不符合《个人信息保护法》第十三条第一款规定的“其他情况”下,个人信息处理者处理个人信息的合法性基础是“取得个人的同意”。在个人信息权益民事纠纷案件中,“告知—同意”规则是人民法院认定个人信息处理者是否承担侵权责任的重要标准。具体而言包括以下两个方面:
其一,告知内容和方式应当符合法律规定的形式要件。《个人信息保护法》通过“一般规定(第十七条)+特殊规定(第二十二条、第二十三条、第三十条、第三十九条等)”方式明确了个人信息处理者应当向个人告知的内容及方式,即告知要以显著的方式和清晰易懂的语言真实、准确、完整地向个人告知;要告知个人信息的处理目的、处理方式,以及处理个人信息的种类、保存期限等。本案确立了以“用户合理预期”为核心的告知标准,即个人信息处理者对于信息处理活动要进行具体说明,告知内容应当显著、清晰、完整。
其二,用户要对个人信息处理者的处理行为作出同意。根据《个人信息保护法》第十四条,同意需要个人在充分知情的前提下自愿作出。该法第十六条明确了不得因撤回同意而拒绝提供产品或服务。倘若个人信息处理者表面上取得信息主体同意,但实质上侵犯了信息主体的信息自决权,则该种同意不构成有效同意。在移动客户端场景中,比较典型的强迫同意情形有三类:一是不同意就不提供产品或服务,即无论其提供产品或服务与被收集的个人信息是否有关联,App运营者均将收集个人信息作为提供产品或服务的前提条件,不同意就无法继续安装或使用该App;二是“强制索权”,主要体现为将产品或服务基本功能服务和附加功能服务所需要的个人信息予以捆绑,通过一揽子告知同意等形式,要求用户同意其处理个人信息,否则无法使用产品或服务;或者将产品或服务的附加功能与所需个人信息捆绑在一起,如果个人不同意则无法使用所有附加功能;三是如本案的情形,App要求用户填写用户画像信息,未设置“跳过”“拒绝”选项,不填写则无法继续登录软件。
根据《个人信息保护法》第十六条,以拒绝提供产品或服务的方式胁迫或变相胁迫个人同意系违法行为,“自愿”为同意的构成要件,强迫同意或变相同意,违背了“自愿”要件,则该同意为无效同意。个人信息处理者在用户无效同意时处理其个人信息,违反《个人信息保护法》相关规定,应当承担相应侵权责任。
2022年《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》指出,“规范对个人信息的处理活动,不得采取‘一揽子授权’、强制同意等方式过度收集个人信息,促进个人信息合理利用。”本案裁判对App运营者强制收集、过度收集个人信息的行为依法追究侵权责任,有助于规范App运营者合法合规收集使用个人信息,保障用户合法权益,对于提高网络数据要素治理效能、促进数据合规高效流通使用具有重要意义。
本期封面及目录
<< 滑动查看下一张图片 >>
《中国审判》杂志2026年第11期
中国审判新闻半月刊·总第393期
编辑/孙敏
热门跟贴