罗某诉北京某某科技有限公司隐私权、个人信息保护案
【案件基本信息】
1.裁判书字号
北京市第四中级人民法院(2022)京04民终494号民事判决书





256


中国法院2024年度案例 ·人格权纠纷


2. 案由：隐私权、个人信息保护纠纷 3.当事人
原告(被上诉人):罗某
被告(上诉人):北京某某科技有限公司(以下简称某科技公司)

【基本案情】
罗某收到某科技公司发送的软件注册短信，在登录某科技公司网站和软件 时，需要输入“姓名”“职业”“学习目的”“英语水平”等内容才能完成登 录。罗某认为，某科技公司在未告知隐私政策的情况下，要求用户必须填写上 述用户画像信息才能登录，上述信息属于个人信息，某科技公司上述收集行为 属于强制收集用户画像信息的行为，构成侵权，故诉至法院，要求法院判令某 科技公司向罗某提供个人信息副本、停止侵权、删除个人信息、赔礼道歉并赔 偿损失。某科技公司辩称，根据该公司服务的性质，需根据不同用户需求，为 用户推荐合适的服务内容，因此，收集相关标签是提供服务所必须，并未违反 个人信息收集的必要性原则，且该信息是罗某主动填写，罗某通过自己主动作 出的行为同意了某科技公司的收集行为。
根据罗某举证显示，罗某在登录涉案网站时，进入账号登录页面输入用户 名和密码，点击登录，即出现若干问答界面，需要对用户“职业”“学习目的” “英语水平”等内容进行填写，填写完成后，还需填写个人基本信息界面，输 入中英文名等必填内容才能完成注册，进入首页使用界面。上述过程中无“跳 过”“拒绝”等选项，亦无关于同意收集个人信息的提示。新用户注册登录时， 在上述过程中，出现若干问答界面前，会出现个人信息收集授权同意界面，用 户在勾选同意后方可进入下一界面。
【案件焦点】
1.涉案用户画像信息是否构成个人信息；2.被告在用户首次登录过程中收 集用户画像信息用于个性化推送是否侵害原告个人信息权益。





五、隐私权、个人信息保护纠纷 257

【法院裁判要旨】
北京互联网法院经审理认为：
一、涉案用户画像信息是否构成个人信息
应当从“识别”和“关联”两个不同角度，结合信息本身的特性、信息处 理主体情况以及具体使用场景和手段等因素对涉案信息进行考量。
从“识别”的角度看，一些信息虽单独呈现不足以识别特定自然人，但与 其他信息结合可起到识别特定自然人的效果。被告在涉案网站、涉案软件登录 阶段获取的原告信息包括职业类型、学龄阶段、英语水平、学习目的等，上述 信息通过原告特定账户收集、在被告CRM管理系统中被存储于与原告账户对应 的标签信息中，进而与被告业已持有的原告特定手机号和账户信息相关联，即 可对应识别出原告主体身份，故结合上述信息性质，信息收集、存储和使用的 场景，以及信息处理者持有信息组合的情况等可见，上述信息与原告账户、手 机号等结合的信息组合达到了可识别的标准，构成个人信息。
从“关联”的角度看，对于作为信息处理者的被告来说，上述信息是在其 控制之下的已识别特定自然人的特定账户中，通过用户提交的方式，进一步收 集的与已识别的特定自然人有关的信息，该信息体现了与个人人格形象相关的 各种自然或社会属性，故属于个人信息。
二、被告在用户首次登录过程中收集用户画像信息用于个性化推送是否侵 害原告个人信息权益
原告主张被告未征得其同意，在登录环节强制收集非必要信息，对原告进 行用户画像，构成侵权；被告则主张该收集过程为其提供个性化信息推送服务 的必须，不构成侵权。双方的争议焦点集中在被告行为是否存在合法性基础上。 民法典第一千零三十五条确立了个人信息处理规则的基本框架，即合法、正当、 必要原则和“知情—同意”原则。虽个人信息保护法实施于涉案行为发生之 后，不直接适用于此案，但其相关规范精神可有助于对民法典规定内涵的阐释。 个人信息保护法进一步对“知情—同意”的法定例外情形和同意的有效性判断 标准进行了明确，取得个人信息处理合法性基础的具体情形主要分为两类：一





258


中国法院2024年度案例 ·人格权纠纷


是基于同意的处理，即告知并取得信息主体的同意；二是基于法定许可的处理， 一般指在法律法规另有特别规定的情况下，无须取得同意即可实施个人信息处 理活动。在存在具体化判决依据的情况下，可优先以具体化条件作为判断依据， 而个人信息处理合法性基础的具体化条件主要分为“知情—同意”和法定许可 两个方面。
(一)被告收集行为是否构成订立、履行合同所必需
应当结合相关行业规范和产品功能设置等判定涉案收集行为是否属于订立、 履行合同所必需：
第一，从相关行业规范和标准上看，根据《常见类型移动互联网应用程序 必要个人信息范围规定》,学习教育类APP 基本功能服务为“在线辅导、网络 课堂等”,必要个人信息为注册用户移动电话号码。从该规定可见，被告作为 学习教育类软件提供者，不应将电话号码之外的个人信息作为必要收集范围。 个人信息保护法和个人信息安全规范等均明确规定，个性化决策推送信息不应 作为必要或唯一的信息推送模式，需同时提供不针对个人特征的选项或提供便 捷的拒绝方式。据此，被告不得以其仅提供个性化决策推送信息这一种业务模 式为由，主张收集用户画像信息为其提供服务的前提。
第二，从涉案软件或网站功能设置本身上看，履行合同所必需的范围，应 限定在软件或网络运营者提供的基本服务功能，或用户在有选择的基础上自主 选择增加的附加功能。本案中，被告抗辩其收集目的为针对不同用户需求、精 准推送适合用户的个性化课程，属于为增进用户体验优化设置的一种信息推送 模式，然而，被告软件或网站提供服务的基本功能为提供在线课程视频流和相 关图文、视频等信息，对用户画像信息进行收集的目的并非用于支撑其基础服 务功能，亦无证据表明本案原告曾自主选择使用该项优化设置功能，故，被告 以其软件或网站功能实现为由实施收集行为的依据不足。
(二)被告是否取得“知情—同意”
根据已查明的事实，由于被告在未经原告允许的情况下为原告配置了账户 和密码，导致原告登录涉案网站和涉案软件时与一般用户注册界面不同，未经




五、隐私权、个人信息保护纠纷 259

过勾选个人信息相关知情同意的步骤，直接进入登录页面，因此，被告在原告 登录过程中收集用户画像信息，未事先征得原告同意。
在此基础上，原告主张，即使勾选了同意界面，被告在登录环节强制收集 非必要信息，仍构成侵权。本案中，涉案软件在用户首次登录界面要求用户提 交职业类型、学龄阶段、英语水平等相关信息，未设置“跳过”“拒绝”等不 同意提交相关信息情况下的登录方式，使得提交相关信息成为成功登录、进入 功能使用首页的唯一方式。此种同意或对个人信息的提供，是在信息主体不自 由或不自愿的情况下，强迫或变相强迫地作出，不能被认定为有效同意。因此， 在首次登录页面设置相关个人信息收集界面，未提供跳过或拒绝等选项，属于 对原告个人信息的强制收集，不产生获取有效授权同意的效力。
综上，被告未事先征得原告有效同意，在涉案网站和涉案软件两款产品中 强制收集原告职业、学龄阶段、英语水平、学习目的等用户画像信息的行为构 成侵权。
北京互联网法院依照《中华人民共和国民法典》第一千零三十二条、一千 零三十三条、一千零三十四条、一千零三十五条、一千零三十七条之规定，作 出如下判决：
一、被告某科技公司于本判决生效之日起十日内向原告罗某提供清晰的个 人信息副本，具体内容需经本院审核；
二、被告某科技公司于本判决生效之日起停止关于原告名下涉案两部手机 号码及其用户画像信息、账户密码信息、订单信息等个人信息的处理行为；
三、被告某科技公司于本判决生效之日起删除原告名下涉案两部手机号码 及其用户画像信息、账户密码信息、订单信息等个人信息(已执行);
四 、被告某科技公司于本判决生效之日起十日内以书面形式向原告罗某赔 礼道歉，致歉内容须经本院审核，如逾期不履行该义务，本院将选择一家全国 公开发行的报纸刊登本判决主要内容，费用由被告某科技公司负担；
五、被告某科技公司于本判决生效之日起十日内赔偿原告罗某律师费1500 元、取证费1400元，共计2900元；





260


中国法院2024年度案例 ·人格权纠纷


六 、驳回原告罗某的其他诉讼请求。
某科技公司不服一审判决，提起上诉。北京市第四中级人民法院经审理认 为：职业、学龄阶段、英语水平等罗某在首次登录涉案网站和涉案软件填写的 信息属于个人信息，本院不持异议。一方面，依照民法典的规定，信息处理者 在处理个人信息时应当同时符合三原则和四规则的要求，罗某在首次登录涉案 网站和软件时未经勾选个人信息相关知情同意的步骤，因此某科技公司未在收 集上述信息前征得罗某同意且未向罗某公开信息处理规则；另一方面，罗某在 登录涉案网站时填写上述信息是其使用涉案网站和软件服务的必经路径，该网 站和软件并未设置跳过或者忽略环节，因此某科技公司存在强制收集个人信息 的行为，是未经自然人同意的表现形式之一。故，涉案网站收集用户画像信息 违反法律规定，侵害罗某的个人信息权益。
北京市第四中级人民法院依照《中华人民共和国民事诉讼法》第一百七十 七条第一款第一项之规定，作出如下判决：
驳回上诉，维持原判。

【法官后语】
数字经济时代，数据作为生产要素的利用、流动和保护问题，成为构建新 时代网络空间治理秩序的重要组成部分。在移动互联网产业中，以个性化推荐 模式作为基础的商业创新层出不穷，用户画像作为个性化推荐过程中需要处理 的典型个人信息，其保护和处理规则的确立和完善对于行业发展具有重要规范 意义。
一 、收集用户画像信息用于提供个性化推送服务不构成订立、履行合同所 必需
个人信息保护法第十三条对“知情—同意”的法定例外情形进行了明确， 规定了若干在法律法规另有特别规定的情况下，无须取得同意即可实施个人信 息处理活动。本案中，被告对应的抗辩理由为涉案收集行为为其提供服务所必 须。对此，《中华人民共和国个人信息保护法》第十三条第一款第二项规定， 为订立、履行作为一方当事人的合同所必需，可作为处理个人信息的合法事由




五、隐私权、个人信息保护纠纷 261

之一。
对于如何判断信息的收集、处理行为系订立、履行合同所必需，本案判决 提出了明确、可操作的衡量标准，即如果某项功能并非涉案软件的基础服务功 能，亦非用户在有选择的基础上自主选择增加的附加功能，则不能被认定为订 立、履行合同所必需。因此，在本案中，即使被告抗辩，其仅提供个性化决策 推送信息这一种业务模式，收集用户画像信息为其提供服务的前提，亦不能认 定被告实现该功能为其提供服务所必需。
特别是相关行业标准和部门规章已明确规定，学习教育类APP基本功能服 务为“在线辅导、网络课堂等”,并不包含个性化信息推送；且规定，个性化 决策推送信息不应作为必要或唯一的信息推送模式，需同时提供不针对个人特 征的选项或提供便捷的拒绝方式。因此，本案中，被告所提供的个性化信息推 送功能不能被认定为提供服务所必需，进而免除其取得“知情—同意”的 义务。
二 、在注册登录界面未设置“跳过”“拒绝”等选项收集用户画像信息构 成强制收集
“知情—同意”原则是个人信息处理合法性基础的核心原则。同意必须是 由个人在充分知情的前提下自愿、明确作出的，基于欺诈、胁迫等情况被强制 作出的同意并不产生相应效力。此项对用户“知情—同意”权益予以充分保障 的精神在《中华人民共和国个人信息保护法》第十四条、第十六条中予以明确 体现，具体规定包括，基于个人同意处理个人信息的，该同意应当由个人在充 分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得 个人单独同意或者书面同意的，从其规定。个人信息的处理目的、处理方式和 处理的个人信息种类发生变更的，应当重新取得个人同意。个人信息处理者不 得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务； 处理个人信息属于提供产品或者服务所必需的除外。
可见，知情同意得以贯彻的前提是用户同意系出于其真实意愿和自由意志。 本案中，涉案软件的设置方式，要求用户在首次登录界面提交职业类型、学龄





262


中国法院2024年度案例 ·人格权纠纷


阶段、英语水平等相关信息，未设置“跳过”“拒绝”等不同意提交相关信息 情况下的登录方式，使得提交相关信息成为成功登录、进入功能使用首页的唯 一方式。此种产品设计将导致不同意相关信息收集的用户为实现使用软件的目 的，不得不勾选同意或提交相应的信息。此种同意或对个人信息的提供，是在 信息主体不自由或不自愿的情况下，强迫或变相强迫地作出，不能被认定为有 效同意。
综上，被告收集、处理用户画像信息的行为不构成订立、履行合同所必需， 且未事先征得原告有效同意，构成侵权。本案判决为用户画像的产业应用确立 了明确的法律规则适用标准，能够为包括用户画像在内的个人信息处理行为提 供清晰的指引，从具体事实和场景出发，强调个人信息权益保护与数据要素流 通秩序的协调统一，为确立一般性的行业合规规则提供基础，有助于数字经济 产业规范、有序、健康发展。
编写人：北京互联网法院颜君