以“自动化决策”为由强制收集用户画像信息的侵权认定规则

本文以最高人民法院指导性案例第265号为样本,围绕网络服务提供者在非必要情形下强制收集用户画像信息的合法性问题,系统解析“合同所必需”的认定标准、自愿同意的判断规则以及自动化决策的适用边界,对个人信息保护合规与互联网产品设计具有直接实务指引意义。

指导性案例第265号“罗某诉某科技有限公司隐私权、个人信息保护纠纷案”,是个人信息保护法治进程中具有高度规则密度的代表性案例。该案并未停留在“是否收集了个人信息”这一表层问题,而是围绕用户画像信息是否属于履行合同所必需、用户是否作出了真实自愿同意、自动化决策是否可以当然正当化信息收集行为等关键问题,构建了清晰的裁判逻辑,对互联网平台的产品设计和合规边界具有重要警示意义。

一、案件事实与信息收集场景

某科技有限公司运营某英语学习网站及两款学习类APP。2021年1月,该公司在未事先征得罗某同意的情况下,通过线下合作体验店收集了罗某的两个手机号码,并为其自动创建学习平台账号,随后向罗某发送多条推广信息。

为核实账号情况,罗某登录案涉网站及APP。在登录过程中,系统连续弹出多个问答界面,要求其填写“职业”“学习目的”“学龄阶段”“英语水平”等信息,随后还需填写中英文名等个人基本信息。上述信息均被设置为必填项,页面中未提供“跳过”“拒绝”或替代登录方式,若不填写即无法完成登录或使用服务。

罗某认为,该公司在未充分告知、未取得其真实同意的情况下,强制收集其手机号、用户画像信息并用于营销和推荐,侵害其隐私权和个人信息权益,遂提起诉讼。

需要特别注意的是,本案并非用户在明确授权后的信息使用争议,而是发生在“不填就不能用”的强制性产品设计之下。

二、争议焦点的法律结构

本案的核心争议在于:
第一,学习类网站和APP在登录、注册环节收集用户画像信息,是否属于“为订立、履行合同所必需”;
第二,在未提供拒绝或替代方案的情况下,用户填写相关信息的行为,能否被认定为“自愿同意”;
第三,平台以“自动化决策推荐内容”为由,是否可以免除取得个人同意的义务。

上述问题,集中体现了个人信息保护法中“必要性原则”与“自愿同意规则”的交叉适用。

三、“合同所必需”的严格限定

人民法院明确指出,判断个人信息处理行为是否属于“为订立、履行合同所必需”,不能由平台单方根据其商业模式自行界定,而应结合合同类型、服务内容以及相关行业规范进行实质审查。

在学习教育类网络服务中,其基本功能服务在于提供在线课程、教学内容及学习服务。以行业规范为参考,完成该类服务所必需的个人信息,通常限于用户身份识别和账号注册所需的信息,并不当然包括职业、学龄阶段、学习目的、英语水平等用户画像信息。

如果不收集某类信息,并不影响合同约定的基本功能实现,该信息就不属于“合同所必需”。

四、自动化决策并非当然的正当化理由

某科技公司主张,其通过自动化决策方式向用户推荐课程和内容,收集用户画像信息是实现该功能的基础,因此无需取得用户同意。对此,法院予以明确否定。

裁判指出,“履行合同所必需”应当限定于基本功能服务,或者在用户有真实选择权的前提下自主选择的附加功能服务。自动化推荐并非学习类APP不可或缺的基本功能,平台亦未证明罗某曾主动选择使用相关附加功能。

平台不能先行设定功能逻辑,再反向以该功能为由扩大个人信息收集范围。

五、非自愿同意的识别标准

在同意效力判断方面,法院作出了具有示范意义的论证。个人信息保护法要求,基于同意处理个人信息的,该同意应当是在充分知情前提下作出的自愿、明确意思表示。

本案中,平台在登录界面将用户画像信息设置为必填项,未提供任何拒绝选项、跳过路径或替代性登录方式,使得用户若不同意提交相关信息,唯一选择就是放弃使用服务。在此情形下,用户的“填写行为”并非出于自由选择,而是被迫接受。

当“同意”成为使用服务的唯一通行证时,该同意不具有法律效力。

六、隐私权与个人信息权益的并行侵害

除个人信息保护问题外,法院还注意到平台在未取得授权的情况下,向罗某持续发送营销短信,对其私人生活安宁造成侵扰,构成对隐私权的侵害。

由此可见,在数字服务场景中,个人信息不当收集与不当使用,往往伴随着对隐私权的复合型侵害,平台需承担相应的综合民事责任。

七、裁判规则的体系化提炼

通过本案,可以清晰提炼出以下具有普遍指导意义的裁判规则:

第一,判断个人信息处理是否属于履行合同所必需,应以基本功能服务是否能够实现为标准,而非以平台商业模式或技术方案为依据。
第二,用户画像信息通常不属于学习教育类网络服务的必要个人信息,收集该类信息原则上应取得个人同意。
第三,在未提供拒绝或替代方案的情况下获取的“同意”,不构成个人信息保护法意义上的自愿同意。
第四,自动化决策不能当然成为扩大个人信息收集范围的正当理由。

八、对互联网合规与律师实务的启示

从平台合规角度看,本案对“登录即授权”“不同意即退出”等产品设计模式敲响了警钟。平台在设计信息收集流程时,应严格区分基本功能与附加功能,确保用户对非必要信息拥有真实选择权。

从律师实务角度看,在代理个人信息保护纠纷时,应重点审查信息是否属于合同所必需、是否存在替代路径以及用户是否被迫“同意”,而非仅围绕是否存在隐私政策文本展开形式性论证。

个人信息保护的关键,不在技术复杂度,而在选择自由是否真实存在。

结语

指导性案例第265号通过对用户画像信息强制收集行为的否定性评价,进一步细化了“合同所必需”与“自愿同意”的适用边界。该案为互联网平台在自动化决策、个性化推荐背景下的合规设计提供了清晰司法坐标,也为个人信息权益保护确立了可操作、可预期的裁判标准。

Share the Post:
Picture of 孙万松律师

孙万松律师

现执业于北京德和衡(上海)律师事务所,上海市律师协会物业管理研究委员会委员及上海市浦东新区人民调解中心调解员。自2017年加入德和衡以来,凭借其十余年的丰富法律实践经验,已成为商事诉讼、仲裁以及替代争议解决(ADR)领域的资深专家。在处理复杂的商事诉讼和仲裁案件方面表现卓越,尤其擅长于公司控制权争夺、股权争议、商业地产租赁、买卖合同、建设工程合同等纠纷的解决。曾主办并成功代理过多起疑难、复杂且标的额较大的民商事诉讼仲裁案件,其专业能力和经验在法律界内外均得到了高度认可。

最近文章