近日，北京互联网法院审结了APP强制收集用户画像信息侵权案。 该案中，原告罗某认为被告运营的软件在用户首次登录时强制收集用户画像信息用于个性化推送，侵犯其个人信息权益。 法院经审理认为，涉案软件在首次登录界面收集用户画像信息，未设置“跳过”“拒绝”等路径，属于强制收集，构成侵权，依法判决被告涉案软件运营者承担相应侵权责任。

案件情况​

原告罗某诉称，被告运营的软件在未告知隐私政策的情况下，要求用户必须填写“姓名”“职业”“学习目的”“英语水平”等内容才能完成登录，属于强制收集用户画像信息。 同时，原告还主张被告存在未经同意向其发送营销短信、向关联软件共享信息等行为，侵犯其个人信息权益。 原告诉至法院，要求法院判令被告涉案软件运营者向原告提供个人信息副本、停止侵权、删除个人信息、赔礼道歉并赔偿损失。

被告涉案软件运营者辩称，由于被告服务的性质，需根据不同用户需求，为用户推荐合适的服务内容，因此，收集相关标签是提供服务所必需， 并未违反个人信息收集的必要性原则，且该信息是原告主动填写，原告通过自己主动作出的行为同意了被告的信息收集行为。

法院查明，原告在登录涉案软件时，进入账号登录界面输入用户名和密码，点击登录，即出现若干问答界面， 需要对用户“职业”“学习目的”“英语水平”等内容进行填写，填写完成后，还需填写个人基本信息界面，输入中英文名等必填内容才能完成注册并进入首页。 上述过程中并无“跳过”选项，亦无关于同意收集个人信息的提示。原告另行取证，在新用户注册登录时，在上述过程中出现若干问答界面前，会出现个人信息收集授权同意界面，用户在勾选同意后方可进入下一界面。

法院观点​

从相关行业规范上看，《个人信息安全规范》明确规定，个性化决策推送信息不应作为必要或唯一的信息推送模式，需同时提供不针对个人特征的选项或提供便捷的拒绝方式。 据此，被告不得以仅提供个性化决策推送信息这一种业务模式为由，主张收集用户画像信息为提供服务的前提。

从涉案软件功能设置本身上看，履行合同所必需的范围，应限定在软件运营者提供的基本服务功能，或用户在有选择的基础上自主选择增加的附加功能。 被告抗辩其针对不同用户需求推送个性化信息，虽可视为增进用户体验之举，但不能据此认定此为基础功能或用户必选功能而作为履行合同所必需。

涉案软件在用户首次登陆界面要求用户提交画像信息，未设置“跳过”“拒绝”等不同意提交相关信息外的登陆方式，使得提交相关信息成为成功登录、进入首页使用软件的唯一方式。 此种产品设计将导致不同意相关信息收集的用户为实现使用软件的目的，不得不勾选同意或提交相应的信息。 此种同意或对个人信息的提供，是在信息主体不自由或不自愿的情况下，强迫或变相强迫地作出，不能被认定为有效同意。

综上，被告收集用户画像信息的行为并非“履行合同所必需”，亦未征得用户有效同意，构成侵权。

同时，被告未经同意向原告发送营销短信、向关联软件共享信息亦构成侵权，法院判决支持原告行使查询权和复制权。

裁判结果​

最终，法院判决被告涉案软件运营者向原告罗某提供个人信息副本、删除个人信息并停止个人信息处理行为，赔礼道歉并赔偿维权支出2900元。

附录​

北京互联网法院 民 事 判 决 书 (2021)京0491民初5094号

隐私政策的由来​

App隐私政策（或称“隐私协议”、“隐私条款”等）是App运营商关于如何收集与使用用户个人信息的声明。

隐私政策的立法依据以及具体指导要求是由包括一般性法律，如《个人信息保护法》、《网络安全法》、《消费者权益保护法》，以及行政法规、部门规章和规范性文件构成的。

App隐私政策的由来的主要依据是“一法一规定”：一法指的是《中华人民共和国个人信息保护法》提出法律要求；一规定指的是《App违法违规收集使用个人信息行为认定方法》提出具体指导规则：

《中华人民共和国个人信息保护法》要求个人信息处理者，处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。

《App违法违规收集使用个人信息行为认定方法》要求App需要向用户通过弹窗等明显方式提示用户阅读隐私政策、个人信息收集以及使用规则。

隐私政策包含的内容​

App隐私政策一般包括如下内容：

• App如何收集和使用用户信息
• App如何使用诸如Cookie或同类技术的说明
• App如何共享、转让、公开披露用户信息
• App如何保护用户信息
• 用户的权利
• App如何处理未成年人的个人信息
• 用户信息如何储存及如何在全球范围转移
• 隐私政策的更新的修订
• 用户账户注销流程
• 如何让联系App

双清单的由来​

2021年11月12日，工业和信息化部印发《关于开展信息通信服务感知提升行动的通知》（以下简称《通知》），旨在推动信息通信行业进一步改善服务质量，提升服务水平。聚焦影响用户感知的信息通信服务环节，《通知》提出，推动实现服务举措“五优化”，建立个人信息保护 “双清单”，实现服务能力“四提升”。

在推动实现服务举措“五优化”中，《通知》提出，优化隐私政策和权限调用展示方式。互联网企业应以简洁、清晰、易懂的方式，向用户提供APP产品隐私政策摘要；涉及调用用户终端中相册、通讯录、位置等敏感权限的，还应当以适当方式告知用户调用该权限的目的，充分保障用户知情权。

围绕建立个人信息保护“双清单”。《通知》明确，各相关企业应建立已收集个人信息清单和与第三方共享个人信息清单，并在APP二级菜单中展示，方便用户查询。已收集个人信息清单应简洁、清晰列出APP（包括内嵌第三方软件工具开发包SDK）已经收集到的用户个人信息基本情况，包括信息种类、使用目的、使用场景等。与第三方共享个人信息清单应简洁、清晰列出APP与第三方共享的用户个人信息基本情况，包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。

在实现服务能力“四提升”中，《通知》指出，要提升APP关键责任链个人信息保护能力。鼓励应用商店为本平台APP提供检测服务，及时向APP开发者反馈相关问题并督促改正，防止违规APP上架。内嵌SDK在非服务所必须或无合理应用场景下，不得自启动或关联启动；APP开发者、内嵌SDK应提供相应功能，由用户自主选择是否开启关联启动。

双清单的作用和意义​

工信部督促主要互联网企业建立个人信息保护“双清单”，主要是加强对个人信息数据的保护。

数字技术已全面渗透人们日常生活。然而，相关企业对数据的收集、使用、共享等，不同程度地存在某些问题，产生了过度收集个人信息、数据过度共享、大数据“杀熟”等乱象。

我国一直高度重视数据安全保护。数据安全法、个人信息保护法、网络安全法、电子商务法和民法典，以及相关部委出台的有关政策规范，形成了一个较为完整的数据保护体系。“双清单”制度是保护用户的合法权益的基础制度。根据工信部最新消息，在督促主要互联网企业建立个人信息保护“双清单”方面已取得一定的成效，个人数据保护的篱笆进一步扎牢。

对数据收集实行最小必要原则，是各国数据保护中的基础共识，也是从源头进行数据保护的重要工作。“双清单”的第一个清单要求企业给出其已收集的个人数据清单，简洁、清晰列出APP（包括内嵌第三方软件工具开发包SDK）已经收集到的用户个人信息基本情况，包括信息种类、使用目的、使用场景等。这不但能更好地保障用户的知情权，也便于主管部门及时发现相关企业是否存在数据过度收集的问题，还有利于企业持续发现自身在数据收集方面所存在的问题。

个人数据保护的另一个问题是相关企业对数据的利用和共享规则不公开，将整个数据的利用和共享过程“黑箱化”。在实践中，用户经常遇到“在某一APP上浏览、购买产品，而其他APP会推送相关内容”等问题，其背后是一些拥有数据的企业为有关第三方提供了数据共享。但对用户而言，其根本不知道数据被共享到何处，容易造成不安和恐慌。对此，“双清单”的第二个清单，要求企业在二级菜单中列出APP与第三方共享的用户个人信息基本情况，包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等，使用户清晰掌握个人信息在APP、SDK及其他第三方间的共享情况。阳光是最好的防腐剂，实现个人信息收集、使用和共享的透明化，有利于推动建立个人信息和数据保护的长效机制。

建立一个个人数据资产目录是非常重要的，因为它可以帮助更好地管理和保护个人数据。通过创建数据资产目录，可以轻松记录和发现数据，包括数据的类型、来源和可用性。此外，数据资产目录还可以更好地组织和分类数据，使其易于使用和管理。最重要的是，通过建立数据资产目录，可以更好地保护数据安全，确保数据不会被不当使用或泄露。

个人数据大都分布在App运营商手中。由个人实际控制、事实控制的个人数据很少。为了保护个人信息安全以及隐私，法律法规要求App运营商披露其如何收集、使用个人信息，并赋予个人可以行使包括查阅、知情以及复制其个人数据的权利。

个人数据资产目录是通过App运营商公开披露的隐私政策，归集和整理出App实际控制的个人数据资产目录。