來源：央視新聞客戶端

當我們下載注冊手機App的時候，往往會被要求勾選《隱私政策》，來征求用戶同意它收集、處理個人信息。這種個人信息的收集是否有限度和邊界？用戶是否有權拒絕呢？

過度收集個人信息

最高法發布典型案例

近日，最高人民法院發布了一起網絡消費民事典型案例。

馬女士下載了一款“流行語”詞典App，注冊時她發現，系統自動默認幫她勾選了“已閱讀并同意服務條款和隱私政策”選項，如果點擊拒絕，App就會直接退出，無法使用。此外，馬女士還注意到，這款App的《隱私政策》里說會收集她的個人信息，但她找不到在哪里取消授權。

北京互聯網法院副院長孫銘溪表示，首先是未經她的同意，強迫其同意了用戶協議和隱私政策，并且過度收集了她相關的個人信息，比如包括手機號、地理位置信息、身份證號；等等。另外馬女士想去撤回個人信息的同意，發現這個平臺也沒有相關的機制，她認為這個平臺是侵害了個人信息權益訴到法院，要求停止侵害、賠禮道歉，并賠償相應的損失。

馬女士認為，這款App的開發及運營公司侵害了自己的個人信息權益，但被告公司認為他們并沒有過錯。

庭審中，被告辯稱涉案App具有社交屬性，注冊時收集用戶的手機號等個人信息并無不妥。如果用戶想要撤回授權，完全可以通過注銷賬號的方式對同意進行撤回。

收集行為是否合法合規

應依據哪些原則

庭審上原被告雙方各執一詞。那么，涉案App是否在“同意隱私政策”這個環節“剝奪”了用戶的自主權？它有沒有超限度收集用戶個人信息呢？

“自愿、明確”原則 成為判斷核心要素

根據《中華人民共和國個人信息保護法》第十四條，基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出。辦案法官解釋，在司法實踐中，如何去把握“自愿、明確”，往往是判斷個人信息收集行為是否合法合規的核心之一。

北京互聯網法院副院長 孫銘溪：其實現在從功能上來講，很多App是通過諸如必須要求用戶主動地進行點選處理同一個人信息的相關功能，或者是主動點選隱私政策這樣一種方式來保障，至少形式上用戶是明確地知曉個人信息處理的目的范圍，并且做出了一個明確的選擇。但是在這個案件中，發現雖然它有一個彈窗提示，但是用戶隨意再一點，它就自動替用戶去進行了同意選擇。

根據規定 實用工具類軟件無須個人信息

也就是說，本案中被告沒有設置措施保證用戶能夠充分知情其隱私政策內容，也沒有讓用戶主動自愿做出同意的選擇，因此不符合法律規定的“自愿、明確”的要求。此外，法院審理認為，涉案App的屬性為實用工具類App，根據國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局聯合制定的《常見類型移動互聯網應用程序必要個人信息范圍規定》，實用工具類App，“無須個人信息，即可使用基本功能服務”。

法院認定，涉案App在基本業務功能為詞匯查詢的情況下，收集原告的手機號碼超過了最小范圍，侵犯了用戶的個人信息權益。而對于原告主張被告收集其真實姓名、身份證號、偏好設置等信息，法院在庭審過程中查明，被告并未收集上述信息。

未提供便捷的撤回同意方式 構成侵權

此外，對于張女士關于涉案App未向用戶提供便捷的撤回同意方式的主張，法院審理認為，根據《中華人民共和國個人信息保護法》第十五條規定，基于個人同意處理個人信息的，個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。而該App并未提供，因此構成了對原告個人信息權益的侵犯。

北京互聯網法院副院長 孫銘溪：本案中被告主張的撤回同意的方式是注銷賬號，我們知道其實注銷賬號和撤回同意還是有很大的區別的。在這個案件中還是認定不能以賬號的注銷來代替撤回個人信息同意。

判令運營公司刪除個人信息 并賠禮道歉

北京互聯網法院判決，被告公司刪除收集的馬女士個人信息，并馬女士賠禮道歉、賠償其合理開支，也就是公正費用3080元。

被告公司不服提起上訴，二審法院維持原判。

法官指出，在互聯網產品創新的過程中，個人信息處理領域存在諸多模糊地帶。就像本案中，對于涉案App的屬性界定、個人信息收集方式以及用戶選擇權的保障等問題，都需要在司法實踐中進行有益探索，這樣才能讓企業創新發展與用戶權益保護在法治軌道上實現平衡共進。