2023年8月，最高人民法院终审判决宁波某汽车销售服务公司与深圳某数据科技公司的《技术服务协议》无效。2018年9月，双方签订协议，约定深圳数据公司为宁波汽车公司提供“客户信息采集、引流等服务”，用于推广其小额金融贷款业务。深圳数据公司通过比对、筛选等方式非法获取公民个人信息（包括手机号、贷款需求等），并用于电话推销，未征得个人同意。

履行过程中，深圳数据公司从第三方购买外呼设备并支出103万元成本，但宁波汽车公司认为其未履约而拒付剩余费用。深圳数据公司提起反诉索要尾款。最高人民法院认定，双方以委托为名非法获取、使用个人信息，违反《网络安全法》第四十四条“禁止非法获取个人信息”的强制性规定，合同自始无效。已支付的54万元技术服务费涉嫌违法所得，移交公安机关处理。

本案揭示了委托处理个人信息中因未约定核心条款、缺乏监督导致的重大法律风险：

1、违反法定强制性义务：根据《个人信息保护法》第21条，委托方必须与受托方明确约定处理目的、方式、个人信息种类及保护措施，并履行监督责任。本案双方仅泛泛约定“信息采集、引流”，未限定具体处理方式与保护要求，导致受托方滥用数据（如未经同意拨打推销电话），构成共同侵权。

2、合同无效的必然性：最高法认定合同无效的核心在于双方行为“以合法形式掩盖非法目的”。委托方未审核受托方操作合规性，受托方擅自通过第三方获取信息并用于经营，双重过错叠加，触发《民法典》第153条“违背公序良俗”的无效情形。违法所得移交公安机关，凸显民事违法与刑事风险的边界模糊。

3、行业警示意义：企业委托处理个人信息时，须通过合同明确“最小必要”范围（如信息种类、加密要求）、事中抽查机制及违约处置条款。若仅支付费用而放任操作（如本案未限制信息获取途径），将承担连带责任。监管部门对“名义委托、实质买卖”的打击日趋严厉，本案为同类行为划出法律红线。