案例引入
随着数字经济的发展,网络平台在提供服务过程中往往需要收集用户信息以实现个性化推荐等功能。然而,实践中部分平台存在过度收集、强制收集用户画像信息的问题,引发诸多法律争议。近期,一起涉及英语学习平台强制收集用户职业、学龄阶段、英语水平等画像信息的案件,为厘清个人信息处理中的“合同必需”原则与“自愿同意”标准提供了重要参考。本案中,平台在登录界面未提供替代方式,要求用户必须填写画像信息方能使用服务,最终被认定构成侵权。
焦点分析
一、“履行合同所必需”的认定标准
根据《个人信息保护法》第十三条,处理个人信息如属“为订立、履行个人作为一方当事人的合同所必需”,可不需取得个人同意。但本案裁判明确了该例外情形的严格适用条件:
1.基本功能导向:需结合《常见类型移动互联网应用程序必要个人信息范围规定》等规范性文件,判断信息是否为实现基本功能所必需。例如,学习教育类APP的基本功能为在线辅导、网络课堂,必要信息仅限手机号码,用户画像信息非必需。
2.功能关联性:若收集信息与基本功能或用户自主选择的附加功能无直接关联,缺乏该信息不影响服务实现,则不属于“合同所必需”。
3.举证责任:平台主张收集信息系“履行合同所必需”的,应承担举证责任,证明缺乏该信息将导致服务无法实现。
二、“自愿同意”的实质审查
《个人信息保护法》第十四条要求同意应“在充分知情的前提下自愿、明确作出”。本案对“非自愿同意”的认定具有指导意义:
1.界面设计合规:平台需确保信息收集界面设计符合“告知-同意”规则,避免通过技术手段变相强制用户授权。
2.替代选项缺失:登录界面未提供“跳过”或“拒绝”选项,亦无不同意收集信息情况下的替代登录方式,实质上剥夺了用户选择权。
3.变相强制:用户为使用服务被迫提交信息,该同意系在非自愿情况下作出,不产生法律效力。
实务指引
一、平台合规建议
1.必要性评估:在收集用户画像信息前,应评估是否为实现基本功能所必需,避免以“业务模式”或“自动化决策”为由扩大收集范围。
2.界面优化: 提供“跳过”或“拒绝”选项,并为不同意收集信息的用户提供替代登录方式; 明确区分基本功能与附加功能的信息收集要求,附加功能信息应可选择性提供。
3.同意管理:确保同意基于用户自愿,不得通过捆绑、默认勾选等方式变相获取授权。
二、用户维权路径
1.固定证据:保留平台强制收集信息的界面截图、操作流程记录等证据。
2.权利主张:可依据《个人信息保护法》要求平台说明信息处理目的、方式,行使查阅、复制、删除等权利。
3.诉讼策略:重点论证平台收集信息非“合同所必需”,且同意非自愿作出,主张平台承担侵权责任。
三、合规风险防范
1.员工培训:加强对业务人员的合规培训,避免因操作不当引发法律风险。
2.定期审查:企业应定期审查个人信息处理流程,确保符合“最小必要”原则。
3.制度建设:建立个人信息保护合规制度,规范信息收集、使用、存储等环节。
