解读最高院数据指导性案例：明个人信息处理边界，论企业合规之道

发布时间 2025.09.08 作者杨澜波律师团队

随着数字经济的深入发展，企业处理个人信息的场景日益复杂。2025年8月28日，最高人民法院首次发布数据权益司法保护专题指导性案例，其中第265号和第266号两个案例涉及个人信息保护领域。

两则案例看似裁判结论相反，实则从正反两方面共同勾勒出个人信息处理合规的清晰边界。265号案例划定“非必需信息不得强制收集”的红线，266号案例则明确“必需信息处理需兼顾告知与最小必要”的底线，为企业认定“履行合同所必需”及“自愿同意”的边界提供了权威指引。

本文结合两则案例的裁判逻辑，分析解读个人信息处理的核心合规要点，并针对企业常见的三类信息处理场景提出实操建议，助力企业规避法律风险，实现合规运营。

一、最高院指导性案例：清晰界定个人信息处理合法边界

《个人信息保护法》第十三条第一款第二项明确，个人信息处理者“为订立、履行个人作为一方当事人的合同所必需”处理个人信息，无需取得个人同意；第十四条则要求，基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下“自愿、明确作出”；第十六条进一步规定：个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务（处理个人信息属于提供产品或者服务所必需的除外）。

两则案例的核心争议点，均在于处理个人信息是否“为订立、履行合同所必需”，以及是否获得了个人信息主体的有效同意。

(一) 指导性案例265号：何谓“非必需”与“非自愿同意”

该案的核心价值在于明确合同所必需的判断标准，以及捆绑核心服务的同意不具备法律效力，为企业规避强制收集非必需信息风险提供了直接参照。

从基本案情来看，某科技公司运营英语学习类APP，用户罗某在登录时被强制要求填写“职业”“学习目的”等用户画像信息，界面无“跳过”选项，若不填写则无法进入APP使用任何服务（包括在线课程、单词查询等核心功能）。罗某认为该行为侵害其个人信息权益与隐私权，遂提起诉讼，要求科技公司提供信息副本、删除信息、赔礼道歉并赔偿损失。科技公司抗辩理由为：收集用户画像信息是为实现自动化决策推送内容这一基本功能服务，属于“履行合同所必需”，无需用户同意；且用户主动填写的行为即视为同意。

法院经一审、二审均判决科技公司败诉，法院认为，该APP的核心功能并不必需这些信息，自动化决策推送仅是增值功能而非核心服务。同时，其不填不能用的设计剥夺了用户选择权，导致同意无效。因此判决全面支持了罗某的诉讼请求，判令科技公司向罗某提供清晰的涉案个人信息副本，停止处理并删除案涉个人信息，以书面形式赔礼道歉，赔偿罗某因本案支出的律师费、诉讼费等合理开支。

在裁判要点及核心逻辑方面，法院的判断紧扣《个人信息保护法》第十三条、第十四条、第十六条，明确了两项关键规则。

其一，“为订立、履行个人作为一方当事人的合同所必需”判断标准。

法院指出，判断处理个人信息是否属于“为订立、履行个人作为一方当事人的合同所必需”，需结合有关法律法规及规章、规范性文件等对必要个人信息范围的规定，并考量合同的类型、内容等进行综合认定，核心判断标准为：缺乏该信息是否会导致合同基本功能或用户自主选择的附加功能无法实现。如果不处理有关信息将使合同约定的基本功能服务或者用户自主选择的附加功能服务无法实现的，可以认定为必需，反之则不是。若仅为实现增值服务（如个性化推荐、营销推广），则不属于必需。

本案中，法院援引《常见类型移动互联网应用程序必要个人信息范围规定》，指出学习教育类APP的基本功能为“在线辅导、网络课堂等”，对应的必要个人信息仅为注册用户手机号。“职业”“学习目的”等用户画像信息与该基本功能无直接关联，仅用于自动化决策推送课程，该功能属于增值服务，而非核心服务，且无证据证明罗某主动选择该附加功能。因此，科技公司主张“收集用户画像信息为服务必需”缺乏依据，不能适用“无需同意”的法定例外情形，收集行为需经罗某同意。

其二，有效的同意必须是“自愿、明确”的。

在收集用户画像等非必需信息时，网站或者软件登录注册界面必须提供同意和拒绝的平等选项（如“跳过”“暂不填写”），或提供不提交非必需信息也能登录使用的替代方式。若设计为不填信息则无法使用核心服务，则用户的同意本质是受胁迫作出，不符合《个人信息保护法》第十四条“自愿、明确”的要求，应认定为无效。

本案中，科技公司将填写非必需画像信息与登录使用核心服务强制捆绑，导致用户仅有提供信息或放弃使用两种选择，实质上违反了《个人信息保护法》第十六条的禁止性规定，其所谓“主动填写即同意”的抗辩不成立，收集信息的行为构成侵权。

(二) 指导案例266号：必需信息处理的合法性要件——“最小必要”+“充分告知”

该案从正面示范了“基于履行合同必需处理个人信息”的合规路径，明确即使无需同意，仍需满足“最小必要原则”与“充分告知义务”，为企业处理与合同履行直接相关的信息提供了参照和示范。

该案中，用户黄某欢在开通某地公共交通乘车码时，选择同步开通某信用公司提供的“先享后付”功能，授权信用公司收集其信用信息。开通时，相关协议以醒目方式（蓝色字体、加粗）明确告知信息收集的目的和范围，并提供了便捷的注销渠道。黄某欢认为信用公司在未明确告知的情况下收集其个人信息构成侵权，遂要求注销账户并删除信息。在诉求得到满足后，黄某欢仍以“误导、强迫、非必要开通”为由提起诉讼，要求信用公司承担侵权责任。

法院认为，信用公司收集信息属于履行“先享后付”服务合同所必需，且已遵循“最小必要原则”、履行“充分告知义务”，行为合法，最终判决驳回黄某欢的全部诉讼请求。

在裁判要点及核心逻辑上，法院的判断围绕《个人信息保护法》第十三条、第六条（最小必要原则）、第十七条（告知义务）展开，明确了两项核心规则。

其一，“先享后付”场景下，收集信用信息属于“履行合同必需”，无需单独获取个人信息主体同意。

“先享后付”的本质是信用公司与用户之间的服务合同：信用公司需先行垫付乘车费用，其核心合同义务是提供垫付服务，核心权利是确保用户后续还款，而评估用户信用风险是履行该合同的前提（若用户信用状况不佳，信用公司可能拒绝提供垫付服务）。因此，收集用户姓名、手机号、信用分等反映信用风险的信息，直接关联合同的订立（是否提供服务）与履行（是否按时还款），符合《个人信息保护法》第十三条第一款第二项“履行合同必需”的要件，依法无需另行取得用户同意（本案中信用公司额外获取同意，进一步强化了合规性）。

其二，即使基于“履行合同必需”无需同意，但处理行为必须遵循两个前提：一是“最小必要原则”，二是“充分告知义务”。

“最小必要原则”，是必须“采取对个人权益影响最小的方式”，收集范围限于“实现处理目的的最小范围”。本案中，信用公司未向公交公司提供黄某欢的全部原始信用数据，仅提供是否符合“先享后付”准入条件的结论性信息（如通过/不通过），避免了原始信息的过度暴露，完全符合最小必要要求。

“充分告知义务”，需以显著方式告知用户“处理目的、方式、范围、留存期限”。本案中，信用公司以蓝色加粗字体单独标注信息处理条款，内容清晰明确，无模糊表述，确保黄某欢在开通功能前充分知情，履行了告知义务。

二、合规建议：四大核心要点，结合三类特定场景讨论

结合两则案例的裁判逻辑分析，可提炼出企业个人信息处理的四大核心合规要点：“必需性判断”“同意有效性”“告知充分义务”及“最小必要原则”。针对员工个人信息处理、合作方联系人信息处理、医疗企业医生信息处理三类场景，现提供具体实操指引。

(一) 审慎认定“履行合同所必需”的信息范围

265号案例明确必需信息需与基本功能/服务直接关联，无该信息则核心服务无法实现；266号案例说明，在特定业务场景（如“先享后付”）中，为保障合同订立、履行而收集的信息，属于必需。增值服务（如个性化推荐）、附加功能所需信息，均不属于必需。判断时需结合行业规范、业务目的，秉持“无之必不然”的标准——即缺少该信息，合同基本功能是否完全无法实现。

企业处理员工个人信息时，为签订劳动合同、支付薪酬、缴纳社保而收集身份证、银行卡号属于必需。但为组织团建收集员工家属信息、为企业文化收集个人兴趣爱好等，则不属于必需，需单独获取同意。

处理合作方联系人信息时，为履行具体合作合同（如供货、服务），收集合作方对接人的姓名、职务、工作电话、工作邮箱、工作地址属于必需。但将其工作邮箱用于未经授权的营销推广，则超出了原合同目的，需重新获取同意。

医疗企业处理医生信息时，与医生签订咨询协议支付劳务费而收集其银行卡号属于必需。为开展临床试验、学术研究、会议邀请处理医生的姓名、医院、科室、专业领域等公开专业信息，可基于“履行合同所必需”。但为学术推广，追踪医生处方习惯、科研方向等信息，则可能被认定为非必需，必须严格按《个人信息保护法》规定遵循“告知-同意”规则。

(二) 保障“同意有效性”，提供真实选择权

265号案例明确非自愿同意无效，核心在于企业在收集非必需信息时，是否提供了同意和拒绝的平等选项，如提供清晰的“跳过”或“暂不填写”，确保用户有选择权，绝不能设置成不填完就无法提交或进入下一步。

企业应避免“同意即享服务、不同意即拒核心服务”的捆绑设计。选择“拒绝”的后果只能是无法享受对应的“增值服务”，而不能是“核心服务”。

例如，在员工场景中，发放员工满意度调查问卷（含非必需信息，如家庭月收入）时，需在问卷中注明“带*为必填项，其他为选填项”，且“不填写选填项不影响问卷提交”；在APP用户场景中，在收集用户偏好信息（如常用购物品类）时，界面需提供“跳过”按钮，或明确提示“不填写该信息仅影响个性化推荐，不影响账号登录与核心功能使用”；在客户场景中，收集客户偏好时，不得设计为不填写则无法提交订单，需允许客户直接提交订单，后续再补充偏好信息。

同时，企业还需避免“一揽子授权”“默认勾选”的行为。在隐私政策中，需将必需信息处理与非必需信息处理拆分为独立授权条款，用户可分别选择同意/拒绝；在APP隐私设置中，需提供“一键关闭个性化推荐”“一键撤回非必需信息同意”的功能，且操作路径需简洁（如“设置-隐私-个性化推荐-关闭”），不得隐藏在多级菜单中。

(三) 即便基于必需处理，也必须履行“充分告知义务”

266号案例明确，即使基于“履行合同必需”处理个人信息无需同意，仍需以“显著方式”履行告知义务，确保用户知情权。告知内容需包含“处理目的、方式、范围、留存期限”，避免模糊表述。

在告知方式上，需做到显著、易获取。以员工场景为例，在《员工手册》或劳动合同中增设个人信息处理附件，显著告知为履行劳动合同将如何处理其个人信息，明确列出信息范围、目的及存储期限。

与合作方互动时，应在合作合同中设置个人信息处理条款，明确告知为履行本合同将如何处理其员工个人信息的范围、目的和保密责任。

任何场景下，告知应采用清晰易懂的语言，避免使用晦涩难懂的法律术语，内容需具体明确，并确保用户在进行操作前易于查阅和事后回顾。

(四) 所有处理行为必须遵循“最小必要原则”

《个人信息保护法》第六条规定了“最小必要原则”，266号案例以提供结论性信息而非原始数据示范了“影响最小化”，企业需进一步落实范围最小化和期限最小化，形成全流程合规。

在范围最小化方面，企业需将收集的个人信息类型和数量严格限制在实现处理目的所必需的范围内。在员工场景中，办理入职时，需验证员工身份证原件，但仅需记录身份证号（用于身份确认），无需留存身份证复印件；若确需留存复印件，需存储在加密服务器中，且仅授权HR部门等特定人员访问。与合作方互动时，为寄送样品收集对方对接人的工作单位地址和手机号是必需的，但要求提供身份证号或个人住宅地址，则违反范围最小化原则。在医疗企业场景中，举办学术会议时，仅需收集医生姓名、医院、科室、工作邮箱，无需收集家庭住址、子女年龄等无关信息。

在期限最小化方面，个人信息保存期限应为“实现目的的最短时间”，到期后需主动删除/匿名化。在员工场景中，未录用的候选人的简历，应在招聘结束后的合理时间内删除，若需用于未来岗位推荐，需提前获取候选人“同意”留存一定期限的明确意见。与合作方互动场景中，相关合作合同终止后，此前收集的合作方员工个人信息若后续无其他合作可能，不应长期或永久保存。企业应建立数据留存政策，定义清晰的保存期限和到期处理流程。

在影响最小化方面，企业需采取“对个人权益影响最小的处理方式”。从技术层面来看，应优化数据处理方式，向第三方提供信息时，优先提供结论性信息而非原始数据（如266号案例中信用公司向公交公司提供“是否准入”的结论，而非用户信用分原始数据）；对敏感信息（如医生身份证号）采用“去标识化处理”（如隐藏中间6位）。从管理层面来讲，严格实施数据分类分级和“最小必要原则”，确保员工只能访问其职责必需的信息，防止个人信息被内部无故滥用。

三、结语

最高院265号、266号指导性案例的核心价值，在于为企业提供了可落地的个人信息处理合规框架——以“必需性判断”为前提，以“自愿同意”为核心，以“充分告知”为基础，以“最小必要”为边界。这四大合规要点并非孤立存在，而是相互关联、缺一不可的整体：缺乏“必需性判断”，可能导致过度收集；缺少“自愿同意”，则信息处理失去合法基础；未履行“充分告知”，会剥夺个人的知情权；违背“最小必要”，则会增加信息泄露与侵权风险。

在数字经济背景下，个人信息既是企业开展业务的重要资源，也是企业必须承担的合规责任载体。对于企业而言，个人信息合规绝非被动应对法律风险的权宜之计，而是主动平衡业务发展与用户权益的核心能力体现。企业应主动建立以“保护个人权益”为中心的内控机制，这包括但不限于：定期开展数据处理必要性审查，优化信息收集界面设计，制定清晰的数据留存与删除政策，以及对员工进行持续化的合规培训。

随着个人信息保护监管力度的不断加强与司法实践的持续深化，企业应将个人信息保护合规融入产品设计、运营管理和企业文化的全过程，从而在依法保护用户权益的同时，实现数据价值的合规利用。