开 栏 语
一个案例胜过一打文件。近年来,北京法院坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻习近平法治思想,坚持为大局服务、为人民司法,努力让人民群众在每一个司法案件中感受到公平正义,形成了一批社会广泛关注有裁判规则示范意义的典型案例。为更好发挥典型案例在保证法律统一正确适用、促进矛盾纠纷源头预防化解等方面的作用,“京法网事”开设“京典案例”栏目,积极宣介北京法院入选人民法院案例库的案例等典型案例,集中展示典型案例中蕴含的法律精神、价值判断和裁判规则,以期为相关案件办理、纠纷化解提供参考。
2025年国家网络安全宣传周以“网络安全为人民,网络安全靠人民”为主题。保护个人信息安全是维护网络安全的重要内容和应有之义,本期京典案例(第20期)推介一篇北京互联网法院和北京第四中级人民法院审理的指导性案例265号:罗某诉某科技有限公司隐私权、个人信息保护纠纷案。本案明确在收集用户画像信息并非提供网络服务所必需的情况下,未向用户提供不同意提交相关信息时的其他登录方式的,构成对用户个人信息权益的侵害。
案例编写人:
姜颖
北京互联网法院党组书记、院长,二级高级法官
(上图)孙铭溪 北京互联网法院党组成员、副院长,三级高级法官
(下图)颜君 北京互联网法院综合审判三庭庭长,四级高级法官
入库编号
2025-18-2-008-001
罗某诉某科技有限公司隐私权、个人信息保护纠纷案
关键词
民事 隐私权、个人信息保护 收集用户画像信息 履行合同所必需 自动化决策
【裁判要点】
1.判断处理个人信息是否属于“为订立、履行个人作为一方当事人的合同所必需”,可以结合有关法律法规及规章、规范性文件等对必要个人信息范围的规定,并考量合同的类型、内容等作出认定。如果不处理有关信息将使合同约定的基本功能服务或者用户自主选择的附加功能服务无法实现的,可以认定该个人信息处理行为属于订立、履行合同所必需,反之则不予认定。
2.在收集用户画像信息并非提供网络服务所必需的情况下,网站或者软件登录注册界面收集该信息时,未向用户提供不同意提交相关信息情况下的其他登录方式的,属于用户非自愿同意提供个人信息;用户主张侵害其个人信息权益的,人民法院依法予以支持。
【基本案情】
某科技有限公司(以下简称某科技公司)运营某英语学习网站及两款APP。
2021年1月15日,某科技公司在未征得罗某同意的情况下,通过线下合作体验店收集罗某两个手机号码,为罗某创建案涉某英语学习网站的账号密码,并向罗某手机发送多条相关信息。
2021年1月20日,为了解账号情况,罗某在案涉某英语网站和案涉APP账号登录页面输入手机号、密码并点击登录,即出现若干问答界面,要求用户填写“职业”、“学习目的”、“学龄阶段”、“英语水平”等内容,不填写相关信息则无法继续登录过程。填写完成后,还需填写个人基本信息界面,输入中英文名等必填内容才能完成注册。上述过程中并无“跳过”、“拒绝”等选项,亦无授权同意收集个人信息的提示。
罗某以隐私权、个人信息保护纠纷为由提起诉讼,诉称:案涉网站和APP未告知个人信息收集政策,强制收集罗某手机号、用户画像等信息,并超范围使用,侵害其个人信息权益;同时,案涉网站未经允许向其发送营销短信的行为侵扰其私人生活安宁,侵害其隐私权。为知晓某科技公司处理个人信息情况,以确定删除范围,罗某向某科技公司提出了查阅、复制个人信息的请求,某科技公司依罗某请求提供相关资料,但罗某认为某科技公司提供的系统截图不够及时、不够清晰。据此,请求法院判令某科技公司向其提供清晰的个人信息副本、停止侵权、删除个人信息、公开赔礼道歉并赔偿损失人民币2900元。
某科技公司辩称:案涉个人信息为其合作的线下体验店所收集,其并无违法收集、处理个人信息,侵害罗某生活安宁的主观故意。其经营的案涉网站和APP提供的服务,需要根据不同用户需求,为用户推荐合适内容,即通过自动化决策方式向用户进行信息推送是其网站和APP的基本功能服务,收集用户画像信息用于自动化决策是提供服务所必需,故不需要取得用户个人同意。而且,罗某主动填写信息,实际系通过自己的主动行为同意某科技公司的收集行为。因此,某科技公司收集罗某用户画像信息的行为不构成侵权。
【裁判结果】
北京互联网法院于2022年8月1日作出(2021)京0491民初5094号民事判决,判令某科技公司向罗某提供清晰的个人信息副本,停止关于罗某名下两部手机号码及其用户画像信息、账号密码信息、订单信息等个人信息的处理行为和删除相关个人信息,以书面形式向罗某赔礼道歉并赔偿律师费、取证费合计人民币2900元。宣判后,某科技公司提起上诉。北京市第四中级人民法院于2022年11月28日作出(2022)京04民终494号民事判决:驳回上诉,维持原判。
【裁判理由】
本案的争议焦点为:某科技公司以自动化决策推送信息为由收集用户画像信息的行为,是否属于应当取得个人同意的法定例外情形。
《中华人民共和国民法典》第一千零三十五条确立了个人信息处理的“告知—同意”规则,同时也规定了取得个人同意的法定例外情形。鉴于民法典的相关规定较为原则,在本案审理中,《中华人民共和国个人信息保护法》已公布施行,且某科技公司以个人信息保护法的相关规定进行抗辩,故本案审理中参照了个人信息保护法的相关精神。具体而言,个人信息保护法第十三条第一款第二项将“为订立、履行个人作为一方当事人的合同所必需”规定为取得个人同意的法定例外情形。对于“合同所必需”的认定,可以结合有关法律法规及规章、规范性文件等对必要个人信息范围的规定,并考量合同的类型、内容等作出认定:如果信息处理的缺位将使合同约定的基本功能服务或者用户自主选择的附加功能服务无法实现的,可以认定为订立、履行合同所必需,反之则不予认定。
其一,从相关行业规范来看,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局发布的《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号)明确规定,学习教育类APP基本功能服务为“在线辅导、网络课堂等”,必要个人信息为注册用户移动电话号码。以此为参考,案涉APP作为学习教育类APP,其基本功能服务并不包括通过自动化决策方式向用户进行信息推送。由此,某科技公司以其业务模式系通过自动化决策方式向用户进行信息推送为由,主张收集用户画像信息是其提供服务的基础,没有依据。换言之,用户画像信息并非案涉APP提供服务的必要个人信息。
其二,从产品功能设置来看,“履行合同所必需”应限定在基本功能服务或者用户在有选择的情况下自主增加的附加功能服务。若收集的个人信息与基本功能服务或者用户自主选择的附加功能服务有直接关联,缺乏有关个人信息将导致服务功能无法实现,才属于“履行合同所必需”。本案中,案涉APP基本功能服务为提供在线课程视频流和相关图文、视频等信息,收集用户画像信息并非其基本功能服务所必需,亦无证据表明罗某曾自主选择使用附加功能服务,故某科技公司以其实现自动化决策功能服务为由径直收集用户画像信息行为的依据不足,不构成无需取得个人同意即可处理用户个人信息的法定情形,即某科技公司收集用户画像信息应当取得罗某同意。
其三,个人信息保护法第十六条规定:“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。”案涉软件在用户首次登录界面要求用户提交职业类型、学龄阶段、英语水平等用户画像相关信息时,未提供“跳过”或者“拒绝”等选项,也未提供不同意提交相关信息情况下的其他替代性登录方式,使得用户提交相关信息成为登录的唯一途径。此种产品设计将导致不同意收集相关信息的用户,出于使用软件的目的,不得不勾选“同意”提供相关信息,否则只能放弃对案涉软件的使用。此种情形下“同意”提供个人信息,实际是在用户非自愿的情况下作出,不符合个人信息保护法第十四条第一款“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出”的规定,不产生取得个人同意的效力。
综上,某科技公司在不具有取得个人同意的法定例外事由情况下,未经同意收集罗某用户画像信息的行为,侵害罗某个人信息权益。
【相关法条】
《中华人民共和国民法典》第1035条
《中华人民共和国个人信息保护法》第13条、第14条、第16条
【法官释法】
在互联网产业中,以个性化推荐模式作为基础的商业创新层出不穷,用户画像作为个性化推荐过程中需要处理的典型个人信息,其保护和处理规则的确立和完善对于行业发展具有重要规范意义。判断软件运营者收集个人信息行为是否构成侵权,着重需考量所涉情形是否属于取得个人同意的法定例外和是否获得有效同意的授权。
民法典第一千零三十五条确立了个人信息处理的“告知-同意”原则,同时也规定了取得个人同意的法定例外情形。鉴于民法典的相关规定较为原则,而本案案涉行为发生时,个人信息保护法虽未施行但已公布(本案审理中个人信息保护法已经施行),且某科技有限公司以个人信息保护法的相关规定进行抗辩,故本案审理中参照了个人信息保护法的相关精神。具体而言:
第一,收集用户画像信息用于提供个性化推送服务不构成订立、履行合同所必需。个人信息保护法第十三条第一款第二项将“为订立、履行个人作为一方当事人的合同所必需”规定为取得个人同意的法定例外情形。本案所涉争议即为收集用户画像用于个性化推送的行为是否构成前述情形,是否须事先征求用户同意。对于“合同所必需”的认定,可以参考有关规章、规范性文件等对必要个人信息范围的规定,并结合合同的类型、内容等作出认定:如果信息处理的缺位将使合同约定的基本功能服务或者用户自主选择的附加功能服务无法实现的,可以认定为“履行合同所必需”,反之则不予认定。其一,从相关行业规范来看,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局发布的《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号)明确规定,学习教育类APP基本功能服务为“在线辅导、网络课堂等”,必要个人信息为注册用户移动电话号码。以此为参考,案涉APP作为学习教育类APP,其基本功能服务并不包括通过自动化决策方式向用户进行信息推送。由此,某科技有限公司以其业务模式系通过自动化决策方式向用户进行信息推送为由,主张收集用户画像信息是其提供服务的基础,没有依据。换言之,用户画像信息并非案涉APP提供服务的必要个人信息。其二,从产品功能设置来看,“履行合同所必需”应限定在基本功能服务或者用户在有选择的情况下自主增加的附加功能。若收集的个人信息与基本功能服务或者用户自主选择的附加功能服务有直接关联,缺乏有关个人信息将导致服务功能无法实现,才属于“履行合同所必需”。本案中,涉案APP基本功能为提供在线课程视频流和相关图文、视频等信息,收集用户画像信息并非其基本功能服务所必需,亦无证据表明原告曾自主选择使用附加功能服务,故被告以其实现自动化决策功能服务为由径直收集用户画像信息行为的依据不足,不构成无需取得个人同意即可处理用户个人信息的法定情形,即某科技有限公司收集用户画像信息应当取得罗某同意。
第二,在注册登录界面未设置“跳过”“拒绝”等选项收集用户画像信息构成强迫收集。个人信息保护法将“取得个人的同意”列为个人信息处理者处理个人信息的正当性依据之一。知情同意原则力图通过赋予自然人个人信息自决权来实现个人信息保护之目的。然而,实践中该原则的落实仍存在一定困难,特别是因用户对隐私协议条款的协商能力有限而导致知情同意机制流于形式的问题,亟待解决。对此,为解决“知情—同意”规则适用的实践难题,在必要时应当根据具体情境判断该种“同意”背后是否实质损害了用户的信息自决权。一方面,倘若信息处理者表面上取得用户的同意、但实质上侵犯了用户的信息自决权,则该种同意无法构成有效同意。另一方面,尽管在理论上用户可以采取“用脚投票”的方式抵制该种不合理的授权同意行为,但考虑到市场上可能难以选择同质服务主体,在确实缺乏充分市场选择的情况下,该种被迫的“同意”不构成有效同意。从本案的情况来看,实践中互联网平台通常采取用户协议、隐私政策、隐私声明的公示方式告知用户信息收集的目的、范围、方式等具体内容,并设置“同意”或“接受”按钮以供个人信息主体确认同意。但是在本案中,被告在软件登录注册界面收集用户画像信息时要求用户提交相关信息,且未设置“跳过”“拒绝”等不同意提交的登陆方式,使得用户提交相关信息成为登录的唯一途径。此种产品设计将导致不同意收集相关信息的用户,出于使用软件的目的,不得不勾选“同意”提供相关信息,否则只能放弃对案涉软件的使用。此种情形下“同意”提供个人信息,实际是在用户非自愿的情况下作出,属于在信息主体不自由或不自愿的情况下作出的强迫或变相强迫同意,不符合个人信息保护法第十四条第一款“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出”的规定,不产生取得个人同意的效力。
综上,被告某科技有限公司在不具有无需取得同意的法定例外事由情况下,未经同意收集原告罗某用户画像信息的行为,侵害罗某个人信息权益。某科技有限公司未经允许向罗某发送营销短信的行为同时构成对其私人生活安宁的侵扰,侵害罗某隐私权。本案判决为用户画像的产业应用确立明确的法律规则适用标准,能够为包括用户画像在内的个人信息处理行为提供清晰的指引,从具体事实和场景出发,强调个人信息权益保护与数据要素流通秩序的协调统一,有助于数字经济产业规范、有序、健康发展。
供稿部门:北京高院研究室
编辑:汪希
审核:王亚楠
