編者按

一個案例勝過一打文件。案例是人民法院的重要法治產(chǎn)品。權威、規(guī)范的案例能夠統(tǒng)一法律適用標準、提高辦案質(zhì)效、增強人民群眾對公平正義的獲得感。為此，本刊特推出“中國審判|實踐案例”欄目，展現(xiàn)習近平法治思想在中國司法審判中的具體實踐，期待通過記錄與見證，助推、引領各級人民法院深入踐行習近平法治思想，促進公正高效司法，服務“抓前端、治未病”，引領社會矛盾糾紛源頭預防化解，努力讓人民群眾在每一個司法案件中感受到公平正義，服務法治中國建設。

中國審判 | 實踐案例

文 | 北京市第四中級人民法院

張勤緣 楊宗騰

文章摘要

本文以最高人民法院指導性案例265號——羅某訴某科技有限公司（以下簡稱“某科技公司”）隱私權、個人信息保護糾紛案（人民法院案例庫入庫編號：2025-18-2-008-001）為研究對象，聚焦個人信息處理者收集用戶畫像信息是否構(gòu)成侵權這一司法實踐中爭議較大的問題，通過厘清個人信息處理者處理個人信息的“訂立、履行合同所必需”的認定標準，細化個人信息處理中“告知—同意”規(guī)則的適用條件，進而完善個人信息處理者處理個人信息規(guī)則的司法審查路徑，為個人信息數(shù)據(jù)實現(xiàn)安全有序流動提供明確的指引。

基本案情

某科技公司運營某英語學習網(wǎng)站及兩款App。2021年1月15日，某科技公司在未征得羅某同意的情況下，通過線下合作體驗店收集羅某兩個移動電話號碼，為羅某創(chuàng)建某英語學習網(wǎng)站的賬號密碼，并向羅某手機發(fā)送多條相關信息。2021年1月20日，為了解賬號情況，羅某在某英語網(wǎng)站和案涉App賬號登錄頁面輸入手機號、密碼并點擊登錄，即出現(xiàn)若干問答界面，要求用戶填寫職業(yè)、學習目的、學齡階段、英語水平等內(nèi)容，不填寫相關信息則無法繼續(xù)登錄。羅某填寫完成后，頁面提示還需填寫個人基本信息，輸入中英文名等必填內(nèi)容才能完成注冊。上述操作過程中，頁面沒有“跳過”“拒絕”等選項，亦無授權同意收集個人信息的提示。

羅某以隱私權、個人信息保護糾紛為由提起訴訟，稱案涉網(wǎng)站和App未告知個人信息收集政策，強制收集羅某手機號、用戶畫像等信息并超范圍使用，侵害其個人信息權益；同時，案涉網(wǎng)站未經(jīng)允許向其發(fā)送營銷短信的行為侵擾其私人生活安寧，侵害其隱私權。為知曉某科技公司處理個人信息情況，以確定刪除范圍，羅某向某科技公司提出了查閱、復制個人信息的請求。某科技公司依羅某請求提供相關資料，但羅某認為某科技公司提供的系統(tǒng)截圖不夠及時、不夠清晰。據(jù)此，請求法院判令某科技公司向其提供清晰的個人信息副本，停止侵權，刪除個人信息，公開賠禮道歉并賠償損失2900元。

某科技公司辯稱，案涉?zhèn)€人信息為其合作的線下體驗店收集，其并無違法收集、處理個人信息與侵害羅某生活安寧的主觀故意。通過自動化決策方式向用戶進行信息推送是其網(wǎng)站和App的基本功能服務。同時，收集用戶畫像信息用于自動化決策是提供服務所必需，不需要取得用戶個人同意。因此，某科技公司收集羅某用戶畫像信息的行為不構(gòu)成侵權。

裁判結(jié)果

一審法院認為，某科技公司的行為構(gòu)成對羅某個人信息權益的侵害；發(fā)送營銷短信行為同時構(gòu)成對羅某隱私權（私人生活安寧）的侵害；判決某科技公司向羅某提供清晰的個人信息副本，停止關于羅某名下兩個手機號碼及用戶畫像信息、賬號密碼信息、訂單信息等個人信息的處理行為并刪除相關個人信息，以書面形式向羅某賠禮道歉并賠償其律師費、取證費2900元。

某科技公司不服一審判決，提起上訴。北京市第四中級人民法院審理后認為，《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)第十三條第一款第二項將“為訂立、履行個人作為一方當事人的合同所必需”規(guī)定為取得個人同意的法定例外情形。對于“合同所必需”情形的認定，可以結(jié)合有關法律法規(guī)及規(guī)章、規(guī)范性文件等對必要個人信息范圍的規(guī)定，并考量合同類型、內(nèi)容等進行認定：如果信息處理的缺位將使合同約定的基本功能服務或者用戶自主選擇的附加功能服務無法實現(xiàn)，可以認定為屬于“合同所必需”，反之則不予認定。具體從以下三個方面分析：

第一，國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家市場監(jiān)督管理總局發(fā)布的《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》（國信辦秘字〔2021〕14號，以下簡稱《必要個人信息范圍規(guī)定》）明確規(guī)定，學習教育類App基本功能服務為在線輔導、網(wǎng)絡課堂等，必要個人信息為注冊用戶移動電話號碼。案涉App作為學習教育類App，其基本功能服務不包括通過自動化決策方式向用戶推送信息。因此，某科技公司以通過自動化決策方式向用戶推送信息為由，主張收集用戶畫像信息是其提供服務的基礎，沒有依據(jù)。

第二，履行合同所必需應當限定在實現(xiàn)基本功能服務或用戶自主選擇的附加功能服務范圍內(nèi)。若收集的個人信息與基本功能服務或用戶自主選擇的附加功能服務有直接關聯(lián)，缺乏有關個人信息將導致相關服務功能無法實現(xiàn)，才屬于履行合同所必需。本案中，案涉App基本功能服務為提供在線課程視頻流等信息，收集用戶畫像信息并非其基本功能服務所必需，亦無證據(jù)表明羅某曾自主選擇使用附加功能服務，某科技公司以其實現(xiàn)自動化決策功能服務為由徑直收集用戶畫像信息行為的依據(jù)不足，不構(gòu)成無須取得個人同意即可處理用戶個人信息的法定情形，即某科技公司收集用戶畫像信息應當取得羅某同意。

第三，《個人信息保護法》第十六條規(guī)定：“個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務；處理個人信息屬于提供產(chǎn)品或者服務所必需的除外。”案涉軟件在用戶首次登錄界面要求用戶提交職業(yè)類型、學齡階段等用戶畫像信息時，既未提供“跳過”“拒絕”等選項，又未提供用戶不同意提交相關信息情形下的其他替代性登錄方式。這使得用戶提交相關信息成為登錄軟件的唯一途徑。這種情形下，用戶屬于非自愿作出同意授權，不符合《個人信息保護法》第十四條第一款“基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出”的規(guī)定，不產(chǎn)生取得個人同意的效力。

綜上所述，某科技公司在不具有取得個人同意的法定例外事由情況下，未經(jīng)羅某同意收集用戶畫像信息的行為，侵害了羅某個人信息權益。故判決駁回上訴，維持原判。

啟示意義

近年來，個人信息作為數(shù)據(jù)的重要來源，在數(shù)據(jù)作為生產(chǎn)要素的利用、流動等方面發(fā)揮了重要作用，進一步促進數(shù)字經(jīng)濟的快速發(fā)展。然而，個人信息處理者強制收集、超范圍收集個人信息的行為在一定程度上仍然存在，個人信息權益保護的風險也在不斷疊加。本案聚焦個人信息處理者收集用戶畫像信息的典型場景，其啟示意義有以下三個方面：

第一，用戶畫像信息的性質(zhì)認定。用戶畫像信息的形成一般經(jīng)歷兩個階段：第一階段是個人信息處理者收集用戶信息；第二階段是個人信息處理者對用戶信息進行處理并形成數(shù)據(jù)集合。在不同階段，個人信息處理者處理信息的種類和形式不同會導致用戶畫像信息的法律性質(zhì)有差異。在個人信息處理者收集用戶信息時，若信息包含法律明確列舉的個人信息種類，則其收集的用戶畫像信息必然屬于個人信息。本案中，某科技公司收集羅某的移動電話號碼，均屬于《中華人民共和國民法典》（以下簡稱《民法典》）第一千零三十四條第二款列舉的個人信息種類。若個人信息處理者收集的信息為單一、碎片化的，則其是否屬于個人信息主要取決于形成的數(shù)據(jù)集合情況。一旦被收集的信息彼此產(chǎn)生關聯(lián)，便可形成自然人的數(shù)據(jù)畫像。本案中，某科技公司收集的賬號密碼、職業(yè)、學習目的、學齡階段、英語水平等信息，雖然不具有直接識別性，但賬號密碼與特定用戶綁定后，形成識別用戶身份的網(wǎng)絡標識。網(wǎng)絡賬號與移動電話號碼、用戶標簽等信息相結(jié)合形成信息鏈，屬于個人信息處理形成的衍生數(shù)據(jù)。該衍生數(shù)據(jù)具有識別性，能夠被納入個人信息保護的范疇。

由此可見，用戶畫像信息是否屬于個人信息，在依照法律規(guī)定進行判斷的同時還需結(jié)合具體場景認定。在絕大多數(shù)情況下，用戶畫像信息會被認定為個人信息。除非根據(jù)《個人信息保護法》第七十三條，個人信息處理者對用戶畫像信息集合進行無法識別特定自然人且無法復原的匿名化處理。

第二，收集用戶畫像信息時“為訂立、履行個人作為一方當事人的合同所必需”的認定標準。“為訂立或履行合同所必需”是指個人信息處理者只有在處理用戶的某些個人信息時才能實現(xiàn)上述訂立或履行合同目的的行為。判斷個人信息處理者收集信息的行為是否符合法律規(guī)定，關鍵在于其是否屬于取得個人同意的法定例外情形。本案涉及《個人信息保護法》第十三條第一款第二項“為訂立、履行個人作為一方當事人的合同所必需”的情形，需要判斷信息收集行為與合同履行之間是否具有必要關系。在該場景下，可圍繞以下兩個方面因素來確定：一是確定履行合同主要目的時必要個人信息的范圍，其主要以相關法律法規(guī)和規(guī)章、規(guī)范性文件等的規(guī)定作為參考依據(jù)。在移動客戶端場景下，《必要個人信息范圍規(guī)定》是重要參考依據(jù)。根據(jù)《必要個人信息范圍規(guī)定》，案涉學習教育類App的必要個人信息為注冊用戶的移動電話號碼，用戶畫像信息并非案涉App提供功能服務的必要個人信息。二是要符合比例原則，即以實現(xiàn)合同基本功能服務為目的來收集最小必要范圍內(nèi)的個人信息，或者出于尊重當事人意愿，當用戶為實現(xiàn)特定需求而選擇了附加功能服務，個人信息處理者為履行該功能之目的可以處理相應個人信息。換言之，在處理個人信息時，用戶的選擇必須是在被充分告知后的真實意愿表達，是一種獨立的、可撤銷的授權，而非與基礎服務捆綁的強制性選項。本案中，個性化推送應當被界定為附加功能服務。案涉App首先賦予用戶是否開啟此項服務的自主決定權。只有在用戶明確選擇開啟服務后，個人信息處理者為履行該項個性化服務而收集其個人信息的行為，才具備合法性基礎。

第三，強制收集用戶畫像信息的侵權責任認定。當個人信息處理者收集個人信息不符合《個人信息保護法》第十三條第一款規(guī)定的“其他情況”下，個人信息處理者處理個人信息的合法性基礎是“取得個人的同意”。在個人信息權益民事糾紛案件中，“告知—同意”規(guī)則是人民法院認定個人信息處理者是否承擔侵權責任的重要標準。具體而言包括以下兩個方面：

其一，告知內(nèi)容和方式應當符合法律規(guī)定的形式要件。《個人信息保護法》通過“一般規(guī)定（第十七條）+特殊規(guī)定（第二十二條、第二十三條、第三十條、第三十九條等）”方式明確了個人信息處理者應當向個人告知的內(nèi)容及方式，即告知要以顯著的方式和清晰易懂的語言真實、準確、完整地向個人告知；要告知個人信息的處理目的、處理方式，以及處理個人信息的種類、保存期限等。本案確立了以“用戶合理預期”為核心的告知標準，即個人信息處理者對于信息處理活動要進行具體說明，告知內(nèi)容應當顯著、清晰、完整。

其二，用戶要對個人信息處理者的處理行為作出同意。根據(jù)《個人信息保護法》第十四條，同意需要個人在充分知情的前提下自愿作出。該法第十六條明確了不得因撤回同意而拒絕提供產(chǎn)品或服務。倘若個人信息處理者表面上取得信息主體同意，但實質(zhì)上侵犯了信息主體的信息自決權，則該種同意不構(gòu)成有效同意。在移動客戶端場景中，比較典型的強迫同意情形有三類：一是不同意就不提供產(chǎn)品或服務，即無論其提供產(chǎn)品或服務與被收集的個人信息是否有關聯(lián)，App運營者均將收集個人信息作為提供產(chǎn)品或服務的前提條件，不同意就無法繼續(xù)安裝或使用該App；二是“強制索權”，主要體現(xiàn)為將產(chǎn)品或服務基本功能服務和附加功能服務所需要的個人信息予以捆綁，通過一攬子告知同意等形式，要求用戶同意其處理個人信息，否則無法使用產(chǎn)品或服務；或者將產(chǎn)品或服務的附加功能與所需個人信息捆綁在一起，如果個人不同意則無法使用所有附加功能；三是如本案的情形，App要求用戶填寫用戶畫像信息，未設置“跳過”“拒絕”選項，不填寫則無法繼續(xù)登錄軟件。

根據(jù)《個人信息保護法》第十六條，以拒絕提供產(chǎn)品或服務的方式脅迫或變相脅迫個人同意系違法行為，“自愿”為同意的構(gòu)成要件，強迫同意或變相同意，違背了“自愿”要件，則該同意為無效同意。個人信息處理者在用戶無效同意時處理其個人信息，違反《個人信息保護法》相關規(guī)定，應當承擔相應侵權責任。

2022年《中共中央 國務院關于構(gòu)建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見》指出，“規(guī)范對個人信息的處理活動，不得采取‘一攬子授權’、強制同意等方式過度收集個人信息，促進個人信息合理利用。”本案裁判對App運營者強制收集、過度收集個人信息的行為依法追究侵權責任，有助于規(guī)范App運營者合法合規(guī)收集使用個人信息，保障用戶合法權益，對于提高網(wǎng)絡數(shù)據(jù)要素治理效能、促進數(shù)據(jù)合規(guī)高效流通使用具有重要意義。

本期封面及目錄

<< 滑動查看下一張圖片 >>

《中國審判》雜志2026年第11期

中國審判新聞半月刊·總第393期

編輯/孫敏