个人信息收集的必要性，也称为最小必要原则，是指个人信息处理者只处理满足个人信息主体授权同意的目的所需的最少个人信息。或者说，如果某项业务活动离开了特定的个人信息将无法展开，那么该项个人信息即满足个人信息收集的必要性。

个人信息收集的必要性问题，一直是个人信息监管机构最为关注的问题，也是在实践中侵害个人信息权益最为常见的一种情况。在《最高人民法院关于发布第47批指导性案例的通知》（〔2025〕150号）中，指导性案例265、266号即属于此类案件。

（一）指导性案例265号简介

基本案情：

某科技公司运营某英语学习网站及两款APP。2021年1月，科技公司在未征得罗某同意的情况下，通过线下合作体验店收集罗某两个手机号码，为罗某创建案涉某英语学习网站的账号密码，并向罗某手机发送多条相关信息。为了解账号情况，罗某在案涉某英语网站和案涉APP账号登录页面输入手机号、密码并点击登录，即出现若干问答界面，要求用户填写“职业”、“学习目的”、“学龄阶段”、“英语水平”等内容，不填写相关信息则无法继续登录过程。填写完成后，还需填写个人基本信息界面，输入中英文名等必填内容才能完成注册。上述过程中并无“跳过”、“拒绝”等选项，亦无授权同意收集个人信息的提示。

罗某以隐私权、个人信息保护纠纷为由提起诉讼，诉称：案涉网站和APP未告知个人信息收集政策，强制收集罗某手机号、用户画像等信息，并超范围使用，侵害其个人信息权益。据此，请求法院判令某科技公司向其提供清晰的个人信息副本、停止侵权、删除个人信息、公开赔礼道歉并赔偿损失人民币2900元。

裁判结果：

北京互联网法院于2022年8月1日作出（2021）京0491民初5094号民事判决，判令某科技公司向罗某提供清晰的个人信息副本，停止关于罗某名下两部手机号码及其用户画像信息、账号密码信息、订单信息等个人信息的处理行为和删除相关个人信息，以书面形式向罗某赔礼道歉并赔偿律师费、取证费合计人民币2900元。北京市第四中级人民法院于2022年11月28日作出（2022）京04民终494号民事判决，二审维持原判。

裁判理由：

1、案涉个人信息的收集并不属于订立、履行合同所必需

对于“合同所必需”的认定，可以结合有关法律法规及规章、规范性文件等对必要个人信息范围的规定，并考量合同的类型、内容等作出认定：如果信息处理的缺位将使合同约定的基本功能服务或者用户自主选择的附加功能服务无法实现的，可以认定为订立、履行合同所必需，反之则不予认定。案涉APP作为学习教育类APP，其基本功能服务并不包括通过自动化决策方式向用户进行信息推送。由此，某科技公司以其业务模式系通过自动化决策方式向用户进行信息推送为由，主张收集用户画像信息是其提供服务的基础，没有依据。换言之，用户画像信息并非案涉APP提供服务的必要个人信息。

2、相关个人信息并不影响产品基本功能的实现

本案中，案涉APP基本功能服务为提供在线课程视频流和相关图文、视频等信息，收集用户画像信息并非其基本功能服务所必需，亦无证据表明罗某曾自主选择使用附加功能服务，故某科技公司以其实现自动化决策功能服务为由径直收集用户画像信息行为的依据不足，不构成无需取得个人同意即可处理用户个人信息的法定情形。

3、被告未提供拒绝提供个人信息的选项

案涉软件在用户首次登录界面要求用户提交职业类型、学龄阶段、英语水平等用户画像相关信息时，未提供“跳过”或者“拒绝”等选项，也未提供不同意提交相关信息情况下的其他替代性登录方式，使得用户提交相关信息成为登录的唯一途径。此种产品设计将导致不同意收集相关信息的用户，出于使用软件的目的，不得不勾选“同意”提供相关信息用。此种情形下“同意”提供个人信息，实际是在用户非自愿的情况下作出，不符合个人信息保护法的规定。

（二）指导性案例266号简介

基本案情：

2021年3月15日，黄某欢发现在未经其允许的情况下被开通某信用账户，遂询问某信用账户运营商某信用管理有限公司（以下简称某信用公司）客服，得知是黄某欢于2021年3月7日开通重庆公共交通乘车码时使用“先享后付”功能所致。其中，通过某应用开通重庆公共交通乘车码时需点击“同意协议并开通”，下方会有蓝色字体载明“查看《某应用重庆公共交通付款服务协议》与《某服务协议》《用户授权协议》，授权重庆公共交通乘车码获取你的姓名、手机号、身份证用于实名领卡”。《某应用重庆公共交通付款服务协议》载明，公交付款服务是由某（杭州）信息技术有限公司联合某（中国）网络技术有限公司（以下合称某技术公司）为用户提供；当用户满足一定条件，在用户无法及时支付乘车费时，某技术公司将为用户先行支付乘车费，并获得向用户主张和追索乘车费款项的债权；用户须同意授权某技术公司查询用户的信用分，作为公交付款服务开通、持续提供的风险评估参考。《某服务协议》载明，用户授权某信用公司从合法存有用户个人信息的信息提供者处收集信息并进行处理，收集信息的范围可能包括个人身份信息、交易信息、履约信息、设备信息及其他能够评估反映用户信用或风险状况的信息等。黄某欢随即要求某信用公司客服关闭其某信用账户并删除相关个人信息，后黄某欢的某信用账户被注销、相关个人信息被删除。

2021年10月13日，黄某欢以个人信息保护纠纷为由提起诉讼，诉称：某信用公司在其开通乘车码、“先享后付”服务时，存在误导、强迫、非必要开通某信用服务的行为，请求法院判令某信用公司停止侵权行为并赔偿损害。 

裁判结果：

杭州互联网法院于2022年4月6日作出（2021）浙0192民初8058号民事判决，驳回黄某欢的诉讼请求。宣判后，双方当事人均未提起上诉，判决已生效。

裁判理由：

1、收集案涉个人信息是“先享后付”合同所必需。

在电子公交乘车码等应用场景中，先乘车后付款即“先享后付”，是商业主体基于用户选择而提供的服务，是对承载个人信息的数据的合理运用，也是诚信机制商业化的应用创新。本案中，某信用公司提供“先享后付”功能，可以帮助第三方降低用户未支付车费可能带来的资金损失风险，即督促未支付车费的用户还款。由于“先享后付”功能涉及第三方平台先行垫资，第三方平台显然需要在服务前评估用户的信用状况，并据此作出是否提供服务的决定，以确保债权的实现。

收集相关信息显然属于为订立、履行合同所必需，实际本可不经个人同意，但公交公司、某技术公司及某信用公司却采取了事先征得用户同意的方式收集信息，最大限度维护了用户的权益。

2、收集案涉个人信息履行了法定告知义务。

本案中，案涉电子公交卡由公交公司、某技术公司、某信用公司联合推出，黄某欢在申领前须查阅协议。并且相关协议均已在显著位置，通过有别于页面其他黑色字体的方式，提醒用户注意查阅，且在合同文本中，对个人信息处理的条款，采用了足以引起用户注意的加粗字体、放大字号、标蓝颜色等明显标识方式。

3、收集案涉个人信息不存在误导、强迫等情形。

黄某欢作为消费者的确享有自主选择权，其可以以现金投币方式乘车，也可以选择实体公交卡方式乘车，当然还可以选用案涉电子公交卡方式乘车。本案中，公交公司并未强迫其必须选用电子公交卡方式乘车。同时，《电子公交卡服务协议》明确告知用户，如不愿继续使用该服务，可以在电子公交卡服务页面申请退卡或者停止使用服务。

4、收集案涉个人信息符合最小必要原则。

个人信息保护法第六条规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”本案中，某信用服务通过事先对用户进行信誉评估，向公交公司提供的仅是“准入与否”的结论性信息，属于实现“先享后付”功能所必需，符合最小必要原则。

（三）指导性案例265号、266号的延申解析：

上述指导性案例265号、266号均涉及个人用户在注册及使用相关应用程序过程中的个人信息收集的必要性问题。在指导性案例265号中，法院认为被告方收集个人信息违反了《个人信息保护法》规定的必要性原则，而在指导性案例266号中，法院则认为被告的个人信息收集行为不违反《个人信息保护法》规定的必要性原则。两个案件的判决结果并不相同，但是判断是否构成个人信息权益侵权的判断原则都是一致的，即：以个人信息的收集活动是否是订立、履行合同所必须作为判断的核心依据。

1、必要性的源起

《民法典》第一千零三十五条规定，处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理。

《个人信息保护法》第五条规定，处理个人信息应当遵循合法、正当、必要和诚信原则。其中，必要性原则是个人信息处理、执法及司法过程中判断难度最大的一项原则。必要性原则，又被称为“最小必要原则”，即收集个人信息应限于实现处理目的的最小范围，不得过度收集。

《民法典》及《个人信息保护法》对于必要性原则的规定较为原则。为了明确必要性原则的认定标准，在《民法典》及《个人信息保护法》施行前，2019年11月28日，国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、市场监管总局办公厅即发布了《App违法违规收集使用个人信息行为认定方法》，对于通过APP收集个人信息违反必要性原则的情形做出了规定。

此后，2021年3月12日，国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局发布了《常见类型移动互联网应用程序必要个人信息范围规定》（国信办秘字〔2021〕14号），对于常见的APP类型，根据其主要业务功能，以列举的方式对常见的39类移动应用程序必要个人信息范围进行了规定。

从国家标准层面，2018年施行并于2020年更新的《信息安全技术-个人信息安全规范》也对个人信息收集的必要性原则做了阐释。

2、必要性的判断

最小必要原则在内涵上，包括三个方面的要求，即明确合理、直接相关、影响最小。明确合理是指个人信息处理目的的明确合理，也是判断是否直接相关的前提。直接相关是指处理个人信息的行为应当与告知的处理目的直接相关，如果没有个人信息的参与，产品或服务的功能无法实现。影响最小是指对个人权益影响最小，如果不同类型的个人信息都可以实现产品或服务目的，那么应当选择影响小的类型进行收集。

《个人信息保护法》对于最小必要的规定较为原则，参照《信息安全技术-个人信息安全规范》的内容，可以将其归纳为三个方面的要求，即类型最少、频率最低、数量最少。

《App违法违规收集使用个人信息行为认定方法》的规定则更为细化，其中第四条规定：以下行为可被认定为“违反必要原则，收集与其提供的服务无关的个人信息。

（1）收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；

（2）因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能；

（3）App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；

（4）收集个人信息的频度等超出业务功能实际需要；

（5）仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；

（6）要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。

《常见类型移动互联网应用程序必要个人信息范围规定》则更为细化，以列举的方式明确常见类型App的必要个人信息。以指导性案例265号所涉及的学习教育类移动应用程序为例，其基本功能服务为“在线辅导、网络课堂等”，必要个人信息为：注册用户移动电话号码。

综上，我国通过法律、监管规则、国家标准等多层的规则体系，逐渐确立了个人信息处理“最小必要原则”的判断标准体系。从上述指导性案例的审理与发布可以看出，这些规则及其确立的原则，在人民法院司法实践中也得到了体现。