编者按：

《薅羊毛聊判决》是由上海星瀚律师事务所合伙人陈欣皓律师、虞杨律师共同推出的一档解读判决书的法律科普谈话类节目，通过轻松活泼的聊天方式，将看似晦涩的法律日常化，希望和大家一起用最快乐的心态学习最严肃的知识。节目每月更新两期（B站单周周四，视频号双周周二），同时，我们也会定期将视频内容以文章形式发布，欢迎读者们持续关注！

“薅羊毛聊判决”第三案：平台自动化决策与个人信息权益保护。点击下方观看第五期节目。

相信每个人都曾经点开过一份《用户协议》或《隐私协议》——当你看到平台内的弹窗向你征询收集并使用某类个人信息时，你是否会迟疑甚至提出质疑？浏览某视频平台或购物平台的时候，你有没有发现自己喜欢看的视频、想买的商品铺满了平台首页？大数据时代下，平台往往比你自己更懂你，但其中也潜伏着危机。本期我们将跟大家聊聊2022年杭州互联网法院个人信息保护十大典型案例之一——某购物类APP自动化推荐应用纠纷案。在这个案件中，我们将一窥现行法律如何在个人信息自动化决策与个人信息权益保护之间寻求平衡。

基本案情介绍

原告在注册某购物类APP过程中发现，注册成功的前提是勾选“已阅读并同意《隐私权政策》及《用户协议》”。点开《隐私权政策》后，原告认为其中关于利用用户信息提供个性化推荐功能的条款，违反了《个人信息保护法》第16条和第24条的规定，侵犯了原告的个人信息权益，因此将该平台告上法庭。

法院审理后查明，案涉平台在《隐私权政策》中采取了首次运行时、用户注册时均提示用户是否同意隐私政策的事前概括同意机制，又通过在APP内部设置便捷的拒绝自动化推荐选项，使用户可以选择是否开启个性化广告和个性化推荐、是否删除浏览记录或搜索记录、选择搜索结果的筛选模式，对用户个人信息权益保障提供了事后选择机制。事前概括同意机制与事后选择机制的组合符合《个人信息保护法》第16条及第24条的规定，案涉购物APP利用个人信息进行自动化决策具有合法性基础。综上，被告公司未侵害原告个人信息权益，法院驳回了原告的诉讼请求。

本案中涉及了两项个人信息处理规则：告知同意规则与自动化决策规则。这两项规则是作为个人信息处理者的平台在对用户的个人信息进行收集、存储、利用等行为时需要尤其关注的规则。

告知同意规则

个人信息指的是以电子或者其他方式记录的、与已识别或者可识别的自然人有关的各种信息（不包括匿名化处理后的信息）。个人信息处理者，即是指对个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等单个行为或多个行为的主体。本文案例中，购物APP出于提供服务之目的，需要处理注册用户的个人信息，因此该购物APP的运营者（也称平台）即是法律上的信息处理者。

告知同意规则是个人信息保护的重要规则之一，它来源于美国1977年“惠伦案”（Whalen v. Roe, 429 U.S.589 (1977).）的信息隐私权以及德国1983年“人口普查案”（Volkszählungsurteil, BVerfG 65, 1）的个人信息自决权。随后这一规则逐渐在世界范围内个人信息保护立法中被采纳。我国《民法典》和《个人信息保护法》中也相应规定了处理个人信息的告知同意规则。

我国《个人信息保护法》第13条规定，除了基于履行合同义务、履行法定义务、应对突发公共事件等特定情形，信息处理者应当首先取得个人同意，才可处理个人信息。第14~17条进一步作具体规定，其中就包括个人拥有撤回与拒绝的权利（第16条），要求信息处理者不得以个人不同意或者撤回同意为由，拒绝提供产品或者服务，除非是信息处理者提供产品或服务所必须。

例如，购物APP为了提供给用户网购服务，需要收集并储存用户某些信息，包括联系方式、送货地址、付款信息等购物所必须的个人信息。但对于用户的教育信息、工作信息，这些并不是平台提供网购服务所必须的（除非是学生折扣或者特殊职业福利等促销活动），对于这些信息，平台在收集前必须要告知用户处理信息的目的以及方法，并另行取得用户的同意。

本文案例中，被告在注册界面提示用户阅读两份协议的行为，属于一种事前概括的告知同意，符合《个人信息保护法》的规定。但从实际效果来看，这种类型的告知同意是否可以免除平台的责任，仍有待商榷。

在真实的使用场景中，这类注册协议往往会陷入“无人读、不可读、读不懂”的尴尬境地，使得告知同意规则形同虚设。“一刀切”式的同意或不同意，是否是平衡个人信息利用与保护的最优解？目前采用的“注册前同意”实际上是一种隐性的择出机制（即默认接受，用户有选择拒绝的权利），若是采用针对不同个人信息类型的分项择入机制（即默认拒绝，用户有选择接受的权利），或许更有利于实现个人信息利用与保护的平衡。

自动化决策规则

所谓“自动化决策”，其实就是我们在各种APP中所享受到的个性化推荐服务，“大数据杀熟”这个叫法或许更为人所了解。显然，要实现个性化推荐，平台必须收集用户使用平台的各类信息，包括检索记录、浏览历史甚至可能希望获取其他与平台使用没有必然关系的用户个人信息。自动化决策确实能够优化用户使用体验的功能，但另一方面也给用户制造了“信息茧房”，并且某些平台还会利用个人信息给予用户不公平不合理的差别待遇（例如多次使用某项服务后，该服务会莫名开始涨价）。

为了规范信息处理者的自动化决策行为，《个人信息保护法》第24条规定：

第二十四条 个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

在本文案例中，法院认为平台在APP内部设置的事后选择按钮，在自动化决策信息处理中符合第24条的规定。但需要特别注意的是，事后选择按钮的设置既要维护用户拒绝的权利，也需要符合便捷性的要求；对于搜索结果的呈现，其筛选方式不仅只有“个性化”一种，应当允许用户可以根据自己的需要选择如“销量”、“价格”等标准。

判决书之外：技术应让每个人得到公平对待

《个人信息保护法》的出台显示出个人信息安全与保护越来越受到重视，但同时也给立法者抛出问题：如何在利用个人信息与保护个人信息权益之间取得平衡。本文案例正是司法在利用个人信息自动化决策与个人信息权益保护之间寻求平衡的一次尝试。囿于技术路径等各方面原因，该判决结果或许不是最理想的，但是已是目前所能实现的利用与保护个人信息之间的最佳平衡状态。

作为信息处理者，平台方应当熟悉《个人信息保护法》以及相关法律法规，严格按照法规制定平台规则、制定各类协议，合法合规合理处理好用户的个人信息。切忌耍小聪明，对于应当公示、告知用户的内容要及时公示告知，对其中关键语句通过加粗、下划线等形式进行显著标识；不能设置默认勾选“阅读并同意”选项，不能设置例如“输入手机号即同意”，上述行为均不被视为用户的真实意思表示，会给平台带来较大的合规风险。

作为平台服务接受方，用户可以通过多种途径，了解有关个人信息及其保护的法律规定，知道什么行为是平台应该做的，什么行为是平台不应该做的，什么权益是自己作为平台用户应当享有的。用户个人信息权益保护意识的提高也将在一定程度上促使平台更加规范地提供服务，由此形成一个行业生态的良性循环。

技术的创新与发展给现行法律带来了挑战。一条法律条文的制定与制定都并非易事；从静态的法律条文到动态的法律事件也困难重重，其中必然牵扯多方利益的权衡与平衡。但无论如何，技术没有对错，技术的进步最终应当实现社会上的每一个人、每一个群体都能得到公平公正的对待。

文：陈欣皓、虞杨、屈思敏

本文为星瀚原创，如需转载请先联系。