“已阅读并同意”暗藏猫腻 App强索用户隐私被判侵权

发布时间:2024-12-21 12:23:14 来源: sp20241221

  “欢迎来到××词典,请阅读并同意服务条款及隐私政策”。为贴近年轻人生活,了解更多网络流行语,北京市民刘雨(化名)下载了一款“玩梗达人必备的网络流行语词典”App。

  刘雨注意到,该App不仅在“隐私政策”处为默认勾选“同意”,取消勾选、拒绝App处理其个人信息则App自动退出,注销账户时也无法撤回已同意处理的个人信息,遂将App运营者诉至法院。

  近日,北京市第四中级人民法院(以下简称“北京四中院”)审结此案,认定涉案App存在侵犯公民个人信息权益的情形,依法应当承担侵权责任。

  App超范围收集个人信息、侵害用户权益一直是社会公众诟病的话题。依据个人信息保护法、网络安全法、电信条例等法律法规,今年3月,工业和信息化部组织第三方检测机构对用户反映突出的违规收集使用个人信息等问题进行检查,共发现62款App及SDK存在侵害用户权益行为,其中近半数App涉及个人信息问题。

  中青报·中青网记者注意到,今年以来,浙江、安徽、山东等多省市通信管理局均通报多起App存在侵害用户权益和安全隐患问题。用户能否拒绝App收集、处理个人信息?同意后又是否可以撤回?App超范围收集个人信息的法律责任有哪些?记者采访了多位办案法官和专家学者。

  对用户告知同意应符合“自愿”“明确”两项要求

  “处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。”该案审判员、北京四中院法官于颖颖介绍,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。本案中,法院结合刘雨主张,重点审查该公司对用户告知同意是否符合“自愿”“明确”两项要求。

  隐私政策涉及个人信息处理者处理个人信息的范围及方式,应用软件开发者为实现对批量用户的告知而预先拟定了格式化的个人信息处理政策,但作为个人信息处理者,应保证用户对其预先拟定个人信息政策充分知情,在此情况下自愿、主动作出“同意”的肯定性的动作。

  在此案中,该公司未设置措施保证用户能够充分知情其隐私政策内容,且在用户未实际阅读的情况下,返回界面后,“已阅读并同意服务条款和隐私政策”被勾选,并未让用户主动自愿作出同意的选择,不符合“自愿”“明确”的要求。

  同时,用户点击拒绝按钮后,该词典退出运行。北京四中院认为,个人信息保护法规定:“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。”本案中,该词典在刘雨点击“拒绝”按钮后,自动退出,不向用户提供任何服务。根据在案证据,该词典兼具“查词”和“社交”两种属性,虽然在基本业务功能的基础上,产品会发展产生其他拓展功能,如词典的发布、点赞、评论等社交功能,但在名称、官方描述、应用商店中的描述等基本业务为词汇查询的情况下,不提供查询服务,应属于对基本业务的拒绝,仍侵犯了刘雨的个人信息权益。

  不得过度收集个人信息

  北京四中院法官胡怀松认为,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。上述词典的名称、官方描述、应用商店中的描述等均指向该词典的“词典功能”,在基本业务功能为词汇查询的情况下,该词典收集了刘雨的手机号码超过最小范围。

  关于用户授权后撤回,胡怀松认为,基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式,但刘雨取证时该词典版本未提供撤回同意的选项。

  北京四中院认为,撤回同意系个人信息主体撤回对个人信息处理者处理个人信息的授权,个人信息主体撤回同意后,个人信息处理者仍应提供基本业务功能,而注销账号本质上是网络服务合同的终止,如果要求用户以注销账号的方式撤回同意,将产生如果不同意收集个人信息则无法继续使用涉案产品的情形,这违背了个人信息保护法的有关规定,因此北京四中院对该公司关于可通过注销账号行使撤回同意的抗辩不予采信。

  最终,北京四中院判决驳回上诉,维持原判。该公司立即删除收集的刘雨的昵称、手机号码、密码、头像、设备信息和收集的刘雨的用户行为信息,同时书面向刘雨赔礼道歉,并赔偿合理开支3080元。

  中青报·中青网记者了解到,该词典在2022年3月31日的新版App中,增加了撤回同意授权功能。

  “当前,一些App应用软件在个人信息方面存在多个较明显的违法违规现象。”中国互联网协会法工委副秘书长、北京市潮阳律师事务所律师胡钢分析,一是强制索取,即如果用户不授权提供其个人信息,App经营者就拒绝提供服务;二是捆绑授权,即App经营者往往是“一揽子”捆绑式索取用户的十几项,甚至几十项个人信息的授权;三是延伸授权,“这实际上也是一种捆绑授权的方式”,即App经营者在与用户签订格式合同时,往往会在合同中注明“相关企业”字样,也就是说用户在完成个人信息授权时,其他关联的企业也可获取其个人信息。

  胡钢提醒,“这个关联的范围很大,一般不仅包括相关的有股权关系的公司,还包括有业务关系的公司,等于用户进行一次授权,就会与一批企业建立授权关系,完成个人信息‘共享’”。此类情况严重违反了民法典、消费者权益保护法、个人信息保护法等法律明文规定的“应当遵循合法、正当、必要和诚信、公开、透明等原则”和“最小必要原则”。

  关键要让法律长出“牙齿”

  胡钢表示,当前一些主流App基本上都要求用户提供十几种甚至几十种授权,这几乎就完全掌握了用户移动智能终端里的全部信息,包括个人信息和个人敏感信息。

  胡钢说,我国目前已经建立起一个由法律、行政法规、司法解释、部门规章、规范性文件以及国家标准等组成的,体系比较完整、内容比较具体的个人信息保护规范体系,但关键是要让法律长出“牙齿”,这也要求相关部门坚持严格执法和动态监管,重“咬合”,对于明显违法违规情况应当进行系统化的专项治理。

  于颖颖提醒,用户在注册App时,应当养成浏览用户协议、隐私保护协议的习惯,重点关注协议中加粗加黑的内容,了解App收集个人信息的范围。当发现App存在侵犯公民个人信息权益及隐私权的情形时,可以通过投诉、举报或者诉讼的方式维护自己的合法权益。

  此外,网络服务提供者在收集处理信息时,应当遵循合法、正当、必要的原则,不应强迫用户授权,或者以默认授权、捆绑服务、强制停止使用等不正当手段变相诱导、强迫用户提供个人信息,且收集个人信息的类型应与现实产品或服务的业务功能有直接关联。同时,信息处理者在个人信息收集、处理活动中,应依法获取用户授权,并最大限度尊重和保障用户权益,否则将承担相应法律责任。

  中青报·中青网记者 韩飏 来源:中国青年报 【编辑:李岩】