夜雨聆风
最高人民法院265号指导性案例,聚焦APP违规收集个人信息乱象,清晰界定了平台信息处理的合法边界,明确“最小必要收集”“用户自愿同意”两大核心裁判标准。这一案例不仅为APP运营者的个人信息合规工作划定红线,也给普通用户维权提供了权威司法参考。
一、核心案情速览
涉事科技公司运营一款英语学习APP及线下体验店,在未获得用户罗某许可的前提下,私自采集其手机号码,擅自注册平台账号并持续推送营销短信。后续罗某登录账号时,平台强制要求填报职业、学龄、学习目的等用户画像信息,全程无授权提示、无跳过选项,不填报非必要信息就无法正常登录使用。
为维护自身合法权益,罗某向法院提起诉讼,主张该公司侵害其隐私权和个人信息权益。经一审、二审审理,法院全程支持罗某诉求,判决该公司删除违规收集信息、停止侵权行为、提供个人信息副本,并向罗某书面赔礼道歉、赔偿2900元经济损失。
二、裁判核心规则:个人信息处理的“两大法定边界”
本案针对性解决了APP强制索权、超范围收集信息的行业痛点,结合《个人信息保护法》确立两项关键裁判规则,清晰划分出个人信息处理的合法与违法边界,对互联网平台合规运营具有极强的指导意义。
1. “履行合同必需”的严格认定标准
司法实践中,认定信息属于“订立、履行合同必需范围”有严格标准,必须同时满足两个核心条件:符合法定必要清单、支撑平台基础核心功能运转。根据行业专项规范,学习教育类APP的法定必要信息仅包含手机号,职业、学龄、学习目标等画像信息,均属于非必要信息;只有缺失后会导致课程观看、资料查询等基础服务彻底瘫痪的信息,才属于法定必需信息,用于算法优化、精准营销的附加功能信息,严禁强制收集。
2. “自愿同意”的有效要件:充分知情+明确选择
依据《个人信息保护法》,合法有效的用户授权,必须满足充分知情、自愿自主、明确确认三大要件。而本案平台的操作,完全不符合法定授权规范:即未履行告知义务,未公示信息收集的目的、范围和用途,用户无法知晓授权内容与风险;无拒绝、跳过入口,将信息填报作为登录使用的前置条件,变相胁迫用户授权;采用一揽子强制填报模式,无独立授权通道,即便用户完成填报,该授权行为也无法律效力。
三、本案认定侵权的3个关键理由
1. 用户画像信息≠服务必需,超出法定收集范围
平台辩称收集用户画像信息是为优化算法、提升使用体验,但该类信息与英语学习APP的课程观看、资料学习等核心基础功能毫无关联,不属于履约必需信息。即便能够优化附加体验,也不能成为强制收集用户信息的理由。
2. 强制收集设计,实质剥夺用户选择权
平台在登录环节刻意规避规则,不设置跳过、拒绝选项,将非必要信息填报作为使用服务的硬性前提,直接剥夺用户自主选择权,属于典型的变相强制授权,违反个人信息保护的禁止性规定。
3. 无授权提示+超范围收集,双重违反“告知并同意”核心规则
综合全案,平台存在双重违规行为:线下未经许可私自获取用户手机号,线上超范围强制收集用户画像信息,全程未告知、未取得有效授权,彻底突破“告知并同意”的核心原则,已然构成个人信息与隐私权侵权。
唯实法律提醒:
对于APP运营者来说:恪守最小必要原则:严格限定信息收集范围,仅采集法定必要信息,用户画像、使用偏好等非必要信息,必须由用户单独主动授权,杜绝捆绑、强制收集;优化授权交互机制:区分必要与非必要授权场景,保障用户拒绝权,不得因用户拒绝非必要信息收集,限制或中断基础服务使用;全面落实告知义务:通俗、清晰公示信息收集详情,保证用户充分知情,完整留存授权记录,筑牢合规基础。
对于广大用户来说:坚决抵制强制授权:遇到APP强制索要非必要信息、不授权无法使用服务的情况,第一时间截图、录屏固定证据;积极行使合法权利:可要求平台提供、更正或删除个人信息,平台拒不配合时,可通过司法途径维权;
如今个人信息保护的司法边界愈发清晰,“最小必要、自愿知情、自主授权”是所有互联网平台必须坚守的合规底线。无论是企业开展合规运营,还是普通用户守护个人信息安全,都可依托相关法律规定厘清权责,规避信息侵权风险,共建安全的网络信息环境。
最高人民法院265号指导性案例,聚焦APP违规收集个人信息乱象,清晰界定了平台信息处理的合法边界,明确“最小必要收集”“用户自愿同意”两大核心裁判标准。这一案例不仅为APP运营者的个人信息合规工作划定红线,也给普通用户维权提供了权威司法参考。
一、核心案情速览
涉事科技公司运营一款英语学习APP及线下体验店,在未获得用户罗某许可的前提下,私自采集其手机号码,擅自注册平台账号并持续推送营销短信。后续罗某登录账号时,平台强制要求填报职业、学龄、学习目的等用户画像信息,全程无授权提示、无跳过选项,不填报非必要信息就无法正常登录使用。
为维护自身合法权益,罗某向法院提起诉讼,主张该公司侵害其隐私权和个人信息权益。经一审、二审审理,法院全程支持罗某诉求,判决该公司删除违规收集信息、停止侵权行为、提供个人信息副本,并向罗某书面赔礼道歉、赔偿2900元经济损失。
二、裁判核心规则:个人信息处理的“两大法定边界”
本案针对性解决了APP强制索权、超范围收集信息的行业痛点,结合《个人信息保护法》确立两项关键裁判规则,清晰划分出个人信息处理的合法与违法边界,对互联网平台合规运营具有极强的指导意义。
1. “履行合同必需”的严格认定标准
司法实践中,认定信息属于“订立、履行合同必需范围”有严格标准,必须同时满足两个核心条件:符合法定必要清单、支撑平台基础核心功能运转。根据行业专项规范,学习教育类APP的法定必要信息仅包含手机号,职业、学龄、学习目标等画像信息,均属于非必要信息;只有缺失后会导致课程观看、资料查询等基础服务彻底瘫痪的信息,才属于法定必需信息,用于算法优化、精准营销的附加功能信息,严禁强制收集。
2. “自愿同意”的有效要件:充分知情+明确选择
依据《个人信息保护法》,合法有效的用户授权,必须满足充分知情、自愿自主、明确确认三大要件。而本案平台的操作,完全不符合法定授权规范:即未履行告知义务,未公示信息收集的目的、范围和用途,用户无法知晓授权内容与风险;无拒绝、跳过入口,将信息填报作为登录使用的前置条件,变相胁迫用户授权;采用一揽子强制填报模式,无独立授权通道,即便用户完成填报,该授权行为也无法律效力。
三、本案认定侵权的3个关键理由
1. 用户画像信息≠服务必需,超出法定收集范围
平台辩称收集用户画像信息是为优化算法、提升使用体验,但该类信息与英语学习APP的课程观看、资料学习等核心基础功能毫无关联,不属于履约必需信息。即便能够优化附加体验,也不能成为强制收集用户信息的理由。
2. 强制收集设计,实质剥夺用户选择权
平台在登录环节刻意规避规则,不设置跳过、拒绝选项,将非必要信息填报作为使用服务的硬性前提,直接剥夺用户自主选择权,属于典型的变相强制授权,违反个人信息保护的禁止性规定。
3. 无授权提示+超范围收集,双重违反“告知并同意”核心规则
综合全案,平台存在双重违规行为:线下未经许可私自获取用户手机号,线上超范围强制收集用户画像信息,全程未告知、未取得有效授权,彻底突破“告知并同意”的核心原则,已然构成个人信息与隐私权侵权。
唯实法律提醒:
对于APP运营者来说:恪守最小必要原则:严格限定信息收集范围,仅采集法定必要信息,用户画像、使用偏好等非必要信息,必须由用户单独主动授权,杜绝捆绑、强制收集;优化授权交互机制:区分必要与非必要授权场景,保障用户拒绝权,不得因用户拒绝非必要信息收集,限制或中断基础服务使用;全面落实告知义务:通俗、清晰公示信息收集详情,保证用户充分知情,完整留存授权记录,筑牢合规基础。
对于广大用户来说:坚决抵制强制授权:遇到APP强制索要非必要信息、不授权无法使用服务的情况,第一时间截图、录屏固定证据;积极行使合法权利:可要求平台提供、更正或删除个人信息,平台拒不配合时,可通过司法途径维权;
如今个人信息保护的司法边界愈发清晰,“最小必要、自愿知情、自主授权”是所有互联网平台必须坚守的合规底线。无论是企业开展合规运营,还是普通用户守护个人信息安全,都可依托相关法律规定厘清权责,规避信息侵权风险,共建安全的网络信息环境。
王伟律师(实习)联系电话:15690507777
