网络服务者过度收集个人信息违法

　　原标题：网络服务者过度收集个人信息违法

　　受邀嘉宾：甘肃策横律师事务所律师阮　磊

　　主持人：新甘肃·甘肃法治报记者李晓云

　　本期主题：在数字化浪潮席卷生活的今天，手机应用已成为我们获取信息的重要工具。然而，当使用各种App时被强制索取手机号，是否侵犯了我们的合法权益？本期“举案说法”结合典型案例和民法典有关规定解读这一法律问题。

　　典型案例：某公司系某词典App的开发者和运营者。马某下载后使用该App时，系统提示用户需阅读隐私政策。隐私政策中载明需要收集电话号码等个人信息。若用户在未实际阅读的情况下点击手机屏幕其他位置，该提示内容即消失并自动勾选“已阅读并同意隐私政策”选项，且勾选后没有撤回同意的途径。若用户点击拒绝，则App自动退出，不向用户提供任何服务。马某认为，该App强迫或者变相强迫自己接受隐私政策，收集手机号等属于过度收集个人信息，构成对自己个人信息权益的侵害，故诉至法院，请求判令某公司停止侵害、赔礼道歉并赔偿维权合理开支等。

　　裁判结果：法院审理认为，网络服务提供者应基于个人同意处理个人信息，其预先拟定的有关个人信息收集和使用的协议应使个人充分知情，并自愿、明确作出同意。该App的基本功能为词汇查询，用户的手机号码并非使用词汇查询功能所必需的信息，故某公司存在过度收集用户信息的行为，违反《中华人民共和国个人信息保护法》第十五条、第十六条规定，构成对马某个人信息权益的侵害。本案诉讼过程中，某公司已对该App的隐私政策进行了修改并新增撤回同意等功能。法院判决：某公司删除其收集的马某手机号等个人信息，向马某赔礼道歉并赔偿其维权合理支出。

　　主持人：法院为何认定收集手机号属于“过度收集个人信息”？

　　阮　磊：“过度收集个人信息”在法律意义上即超过了“采取对个人权益影响最小的方式”并“限于实现处理目的的最小范围”。本案中，某公司作为词典App运营方，其强制要求用户提供手机号码，明显超出了“实现处理目的的最小范围”。即便企业辩解手机号用于“提升服务”或“安全验证”，也需证明目的是为了实现核心功能所必需且不可替代。但是，该公司既未在隐私政策中明示手机号的具体用途，亦无法证明其与查词功能存在实质关联，属于典型的“宽口径收集”。而且，企业完全可以在技术上通过设备标识符（如匿名ID）或邮箱等对隐私侵入性更低的方式实现基础服务，但其选择强制收集敏感度更高的手机号，实质上是对用户选择权的剥夺。因此，某公司的行为属于“过度收集个人信息”。

　　主持人：App设置“不勾选同意就强制退出”是否合法？

　　阮　磊：《中华人民共和国个人信息保护法》第十六条规定，个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；但是，处理个人信息属于提供产品或者服务所必需的除外。本案中词典App的“捆绑式同意”设计，违反了“自愿同意”的核心原则。App通过界面设计（自动勾选同意、点击空白处即默认同意）剥夺了用户阅读和决策的机会，属于典型的“变相强迫”，导致用户同意完全丧失法律效力。法律仅允许企业在服务核心功能所不可或缺时（如网约车App必须收集位置信息才能派单），方可拒绝向不同意收集的用户提供服务。本案中，手机号与查词功能并无必然联系，App将“同意隐私政策”作为使用前提，同时也侵害了消费者的公平交易权。故App设置“不勾选同意就强制退出”属于不法行为。

　　主持人：若App未提供“便捷地撤回同意”的途径会面临什么法律后果？

　　阮　磊：《中华人民共和国个人信息保护法》所规定的撤回权是个人信息控制权的核心体现，确保用户在信息处理失控时能及时止损。用户撤回同意后，企业继续处理个人信息即构成“无合法依据处理”。本案中由于撤回通道缺失，App对手机号的持续存储和使用均转化为持续性侵权，这正是法院判决“删除信息”的直接依据。因此，《中华人民共和国个人信息保护法》第六十六条规定，拒不改正违法处理行为的企业将面临高额罚款（最高五千万元或年营业额5%），甚至停业整顿的法律后果。