用戶不同意隱私條款後,涉案App顯示無法運作將退出。北京四中院供圖
“歡迎來到××詞典,請閱讀並同意服務條款及隱私政策”。為貼近年輕人生活,了解更多網路流行語,北京市民劉雨(化名)下載了一款“玩梗達人必備的網路流行語詞典”App。
劉雨注意到,該App不僅在“隱私政策”處為默認勾選“同意”,取消勾選、拒絕App處理其個人資訊則App自動退出,登出賬戶時也無法撤回已同意處理的個人資訊,遂將App運營者訴至法院。
近日,北京市第四中級人民法院(以下簡稱“北京四中院”)審結此案,認定涉案App存在侵犯公民個人資訊權益的情形,依法應當承擔侵權責任。
App超範圍收集個人資訊、侵害用戶權益一直是社會公眾詬病的話題。依據個人資訊保護法、網路安全法、電信條例等法律法規,今年3月,工業和資訊化部組織第三方檢測機構對用戶反映突出的違規收集使用個人資訊等問題進行檢查,共發現62款App及SDK存在侵害用戶權益行為,其中近半數App涉及個人資訊問題。
中青報·中青網記者注意到,今年以來,浙江、安徽、山東等多省市通信管理局均通報多起App存在侵害用戶權益和安全隱患問題。用戶能否拒絕App收集、處理個人資訊?同意後又是否可以撤回?App超範圍收集個人資訊的法律責任有哪些?記者採訪了多位辦案法官和專家學者。
對用戶告知同意應符合“自願”“明確”兩項要求
“處理個人資訊應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人資訊。”該案審判員、北京四中院法官于穎穎介紹,基於個人同意處理個人資訊的,該同意應當由個人在充分知情的前提下自願、明確作出。本案中,法院結合劉雨主張,重點審查該公司對用戶告知同意是否符合“自願”“明確”兩項要求。
隱私政策涉及個人資訊處理者處理個人資訊的範圍及方式,應用軟體開發者為實現對批量用戶的告知而預先擬定了格式化的個人資訊處理政策,但作為個人資訊處理者,應保證用戶對其預先擬定個人資訊政策充分知情,在此情況下自願、主動作出“同意”的肯定性的動作。
在此案中,該公司未設置措施保證用戶能夠充分知情其隱私政策內容,且在用戶未實際閱讀的情況下,返回界面後,“已閱讀並同意服務條款和隱私政策”被勾選,並未讓用戶主動自願作出同意的選擇,不符合“自願”“明確”的要求。
同時,用戶點擊拒絕按鈕後,該詞典退出運作。北京四中院認為,個人資訊保護法規定:“個人資訊處理者不得以個人不同意處理其個人資訊或者撤回同意為由,拒絕提供産品或者服務;處理個人資訊屬於提供産品或者服務所必需的除外。”本案中,該詞典在劉雨點擊“拒絕”按鈕後,自動退出,不向用戶提供任何服務。根據在案證據,該詞典兼具“查詞”和“社交”兩種屬性,雖然在基本業務功能的基礎上,産品會發展産生其他拓展功能,如詞典的發佈、點讚、評論等社交功能,但在名稱、官方描述、應用商店中的描述等基本業務為詞彙查詢的情況下,不提供查詢服務,應屬於對基本業務的拒絕,仍侵犯了劉雨的個人資訊權益。
不得過度收集個人資訊
北京四中院法官胡懷松認為,收集個人資訊,應當限于實現處理目的的最小範圍,不得過度收集個人資訊。上述詞典的名稱、官方描述、應用商店中的描述等均指向該詞典的“詞典功能”,在基本業務功能為詞彙查詢的情況下,該詞典收集了劉雨的手機號碼超過最小範圍。
關於用戶授權後撤回,胡懷松認為,基於個人同意處理個人資訊的,個人有權撤回其同意。個人資訊處理者應當提供便捷的撤回同意的方式,但劉雨取證時該詞典版本未提供撤回同意的選項。
北京四中院認為,撤回同意係個人資訊主體撤回對個人資訊處理者處理個人資訊的授權,個人資訊主體撤回同意後,個人資訊處理者仍應提供基本業務功能,而登出賬號本質上是網路服務合同的終止,如果要求用戶以登出賬號的方式撤回同意,將産生如果不同意收集個人資訊則無法繼續使用涉案産品的情形,這違背了個人資訊保護法的有關規定,因此北京四中院對該公司關於可通過登出賬號行使撤回同意的抗辯不予採信。
最終,北京四中院判決駁回上訴,維持原判。該公司立即刪除收集的劉雨的昵稱、手機號碼、密碼、頭像、設備資訊和收集的劉雨的用戶行為資訊,同時書面向劉雨賠禮道歉,並賠償合理開支3080元。
中青報·中青網記者了解到,該詞典在2022年3月31日的新版App中,增加了撤回同意授權功能。
“當前,一些App應用軟體在個人資訊方面存在多個較明顯的違法違規現象。”中國網際網路協會法工委副秘書長、北京市潮陽律師事務所律師胡鋼分析,一是強制索取,即如果用戶不授權提供其個人資訊,App經營者就拒絕提供服務;二是捆綁授權,即App經營者往往是“所有”捆綁式索取用戶的十幾項,甚至幾十項個人資訊的授權;三是延伸授權,“這實際上也是一種捆綁授權的方式”,即App經營者在與用戶簽訂格式合同時,往往會在合同中註明“相關企業”字樣,也就是説用戶在完成個人資訊授權時,其他關聯的企業也可獲取其個人資訊。
胡鋼提醒,“這個關聯的範圍很大,一般不僅包括相關的有股權關係的公司,還包括有業務關係的公司,等於用戶進行一次授權,就會與一批企業建立授權關係,完成個人資訊‘共用’”。此類情況嚴重違反了民法典、消費者權益保護法、個人資訊保護法等法律明文規定的“應當遵循合法、正當、必要和誠信、公開、透明等原則”和“最小必要原則”。
關鍵要讓法律長出“牙齒”
胡鋼表示,當前一些主流App基本上都要求用戶提供十幾種甚至幾十種授權,這幾乎就完全掌握了用戶移動智慧終端裏的全部資訊,包括個人資訊和個人敏感資訊。
胡鋼説,我國目前已經建立起一個由法律、行政法規、司法解釋、部門規章、規範性文件以及國家標準等組成的,體系比較完整、內容比較具體的個人資訊保護規範體系,但關鍵是要讓法律長出“牙齒”,這也要求相關部門堅持嚴格執法和動態監管,重“咬合”,對於明顯違法違規情況應當進行系統化的專項治理。
于穎穎提醒,用戶在註冊App時,應當養成瀏覽用戶協議、隱私保護協議的習慣,重點關注協議中加粗加黑的內容,了解App收集個人資訊的範圍。當發現App存在侵犯公民個人資訊權益及隱私權的情形時,可以通過投訴、舉報或者訴訟的方式維護自己的合法權益。
此外,網路服務提供者在收集處理資訊時,應當遵循合法、正當、必要的原則,不應強迫用戶授權,或者以默認授權、捆綁服務、強制停止使用等不正當手段變相誘導、強迫用戶提供個人資訊,且收集個人資訊的類型應與現實産品或服務的業務功能有直接關聯。同時,資訊處理者在個人資訊收集、處理活動中,應依法獲取用戶授權,並最大限度尊重和保障用戶權益,否則將承擔相應法律責任。
(責任編輯:畢安吉)