司法裁判规则精解:网站或APP收集个人信息的行为是否构成侵权
大数据时代,很多人在登录新的APP时总会遇到这样的困境:不填写个人详细信息,就无法完成注册登录,即使有些信息看似和APP核心功能毫无关联。这种“不授权就不能用”的强制索权行为,到底算不算侵权?
最高人民法院发布的指导性案例265号“罗某诉某科技公司个人信息保护纠纷”,就此确立了清晰的裁判规则。本文将从一、二审法院的裁判逻辑出发,拆解法院对收集用户个人信息是否必须、适当的审判思路。
某科技公司系某英语学习网站及两款APP的运营者,2021年1月,某科技公司在未征得罗某同意的情况下,通过线下合作体验店,收集了其两个手机号码,为罗某创建了英语学习网站账号,并向罗某发送多条营销信息。后为了了解账号情况,罗某在登录页面输入手机号、密码,但被要求填写“职业”“学习目的”“学龄阶段”“英语水平”等内容,不填写相关信息则无法继续登录过程。填写完成后,还需填写个人基本信息界面,输入中英文名等必填内容才能完成注册。上述过程中并无“跳过”“拒绝”等选项,亦无授权同意收集个人信息的提示。
罗某遂向法院起诉,要求科技公司提供清晰的个人信息副本、停止侵权、删除个人信息、公开赔礼道歉并赔偿损失2900元。
该案经一审、二审审理,法院最终支持了罗某的全部诉讼请求。
经审理,法院将争议焦点精准归纳为以下递进式法律问题:
收集用户画像信息是否构成“履行合同所必需”的法定例外情形?
用户在“无选择权”的状态下填写信息,其填写信息的行为能否产生“自愿同意”的法律效力?
本案裁判的精髓在于,法院并未止步于科技公司抗辩称“为了提供服务,而必须收集相关信息”,而是通过“规范依据—功能关联—意思自愿”三层维度,对是否构成侵权要件进行了深入的实质性审查。
法院审判思路严格遵循《民法典》第一千零三十五条及《个人信息保护法》第十三条确立的“告知同意为原则,法定例外为例外”的适用顺位,并明确指出,法定例外情形不得作扩大解释。科技公司抗辩称“其经营的案涉网站和APP提供的服务,需要根据不同用户需求,为用户推荐合适内容,即通过自动化决策方式向用户进行信息推送是其网站和APP的基本功能服务,收集用户画像信息用于自动化决策是提供服务所必需”,即科技公司认为其收集信息属于“合同必需”,法院遂判定举证责任在于科技公司,要求科技公司证明:信息处理行为与合同履行之间存在不可分割的直接因果关系。
法院对此的审判思路引入客观化判断标准,切断“经营便利”与“合同必需”的混同:
1.参照行业规范:依据国家互联网信息办公室、工业和信息化部、公安部、市场监管总局四部门联合印发的《常见类型移动互联网应用程序必要个人信息范围规定》,明确“学习教育类APP”的必要个人信息仅限“注册用户移动电话号码”。该规定虽为部门规范性文件,但在民事审判中可作为认定“行业惯例及必要范围”的重要参考。
2.审查产品功能:科技公司APP的基本功能为提供在线课程视频流,自动化决策推送并非实现该功能的必备环节。法院认定,企业为提升用户黏性而增设的“附加功能”所产生的信息需求,不应纳入“履行合同所必需”的范畴。若允许企业通过自定义业务模式来反向定义“必需”,将架空个人信息保护的法律体系。
第三层:同意效力的实质审查——从
“表面行为”看“内心自愿”
针对科技公司“用户主动填写即视为同意”的抗辩,法院采取了穿透审查方式:
1.形式审查:本案中,APP登录界面未提供“跳过”“拒绝”选项,违反了《个人信息保护法》第十六条关于不得因拒绝同意而拒绝服务的禁止性规定。
2.实质审查:某科技公司将“提供信息”设置为“享受服务”,使用户陷入“要么授权,要么放弃”的两难境地。法院认定,此种情形下的“勾选”或“填写”行为,因缺乏真正的选择自由,不符合《个人信息保护法》第十四条关于“自愿、明确”作出的形式要件与实质要件,自始不产生同意的法律效力。
本指导案例的价值不仅在于个案纠偏,更在于为类案审理提供了可复制的裁判模型。对于律师代理此类案件形成代理策略的实务指引:
反向举证策略:原告应主动申请法院调取或自行收集行业必要个人信息范围规定,用以切割“企业商业需求”与“合同履行必要”。科技公司方若主张“必需”,须提供证据证明若不收集该信息,核心功能将陷入技术性瘫痪,而非仅影响营销效率。
法官思维预判:法院对“同意”的审查正由“形式审查”转向“实质审查”。凡是通过“妨碍退出”“降低选项透明度”等方式变相强迫用户同意的,法院倾向于认定为无效同意。代理律师,应着重论述用户在当时情境下是否具备“实质性的选择权”。
本案另一亮点在于支持了原告关于“提供清晰的个人信息副本”的诉请。代理律师应提示当事人,查阅、复制权是行使删除、更正权的前置性权利。若科技公司拒不提供或提供的信息副本模糊、不全,构成独立的侵权事实,可诉请强制履行。
指导性案例265号的发布,标志着司法层面确立了“最小必要+实质自愿”的双重审查标准。它警示所有网络运营者:技术逻辑不能替代法律逻辑,商业效率不能凌驾于个人信息权益之上。对于法律从业者而言,深入理解本案中法院对“合同必需”进行限缩解释、对“同意”进行实质审查的裁判方法,将是未来代理此类案件取得突破的关键所在。
(本文基于最高人民法院指导性案例265号裁判理由及一、二审文书观点综合撰写,供法律同仁交流研讨。)
第一千零三十三条 除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为:
(一)以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;
(二)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;
第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(四)不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
【免责声明】本文仅用于交流讨论目的,不代表云南凌云律师事务所或其律师出具的正式法律意见或建议,任何仅仅依照本文的全部或部分内容而做出的决定及因此造成的后果由行为人自行负责,如果您需要法律意见或其他专家意见,应当向具有相关资格的专业人士寻求专业的法律帮助。
转载请在文章显著位置标明作者及出处。
夜雨聆风
