用戶不同意隱私條款后,涉案App顯示無法運行將退出。北京四中院供圖
“歡迎來到××詞典,請閱讀并同意服務條款及隱私政策”。為貼近年輕人生活,了解更多網(wǎng)絡流行語,北京市民劉雨(化名)下載了一款“玩梗達人必備的網(wǎng)絡流行語詞典”App。
劉雨注意到,該App不僅在“隱私政策”處為默認勾選“同意”,取消勾選、拒絕App處理其個人信息則App自動退出,注銷賬戶時也無法撤回已同意處理的個人信息,遂將App運營者訴至法院。
近日,北京市第四中級人民法院(以下簡稱“北京四中院”)審結(jié)此案,認定涉案App存在侵犯公民個人信息權(quán)益的情形,依法應當承擔侵權(quán)責任。
App超范圍收集個人信息、侵害用戶權(quán)益一直是社會公眾詬病的話題。依據(jù)個人信息保護法、網(wǎng)絡安全法、電信條例等法律法規(guī),今年3月,工業(yè)和信息化部組織第三方檢測機構(gòu)對用戶反映突出的違規(guī)收集使用個人信息等問題進行檢查,共發(fā)現(xiàn)62款App及SDK存在侵害用戶權(quán)益行為,其中近半數(shù)App涉及個人信息問題。
中青報·中青網(wǎng)記者注意到,今年以來,浙江、安徽、山東等多省市通信管理局均通報多起App存在侵害用戶權(quán)益和安全隱患問題。用戶能否拒絕App收集、處理個人信息?同意后又是否可以撤回?App超范圍收集個人信息的法律責任有哪些?記者采訪了多位辦案法官和專家學者。
對用戶告知同意應符合“自愿”“明確”兩項要求
“處理個人信息應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息?!痹摪笇徟袉T、北京四中院法官于穎穎介紹,基于個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自愿、明確作出。本案中,法院結(jié)合劉雨主張,重點審查該公司對用戶告知同意是否符合“自愿”“明確”兩項要求。
隱私政策涉及個人信息處理者處理個人信息的范圍及方式,應用軟件開發(fā)者為實現(xiàn)對批量用戶的告知而預先擬定了格式化的個人信息處理政策,但作為個人信息處理者,應保證用戶對其預先擬定個人信息政策充分知情,在此情況下自愿、主動作出“同意”的肯定性的動作。
在此案中,該公司未設置措施保證用戶能夠充分知情其隱私政策內(nèi)容,且在用戶未實際閱讀的情況下,返回界面后,“已閱讀并同意服務條款和隱私政策”被勾選,并未讓用戶主動自愿作出同意的選擇,不符合“自愿”“明確”的要求。
同時,用戶點擊拒絕按鈕后,該詞典退出運行。北京四中院認為,個人信息保護法規(guī)定:“個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產(chǎn)品或者服務;處理個人信息屬于提供產(chǎn)品或者服務所必需的除外。”本案中,該詞典在劉雨點擊“拒絕”按鈕后,自動退出,不向用戶提供任何服務。根據(jù)在案證據(jù),該詞典兼具“查詞”和“社交”兩種屬性,雖然在基本業(yè)務功能的基礎上,產(chǎn)品會發(fā)展產(chǎn)生其他拓展功能,如詞典的發(fā)布、點贊、評論等社交功能,但在名稱、官方描述、應用商店中的描述等基本業(yè)務為詞匯查詢的情況下,不提供查詢服務,應屬于對基本業(yè)務的拒絕,仍侵犯了劉雨的個人信息權(quán)益。
不得過度收集個人信息
北京四中院法官胡懷松認為,收集個人信息,應當限于實現(xiàn)處理目的的最小范圍,不得過度收集個人信息。上述詞典的名稱、官方描述、應用商店中的描述等均指向該詞典的“詞典功能”,在基本業(yè)務功能為詞匯查詢的情況下,該詞典收集了劉雨的手機號碼超過最小范圍。
關(guān)于用戶授權(quán)后撤回,胡懷松認為,基于個人同意處理個人信息的,個人有權(quán)撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式,但劉雨取證時該詞典版本未提供撤回同意的選項。
北京四中院認為,撤回同意系個人信息主體撤回對個人信息處理者處理個人信息的授權(quán),個人信息主體撤回同意后,個人信息處理者仍應提供基本業(yè)務功能,而注銷賬號本質(zhì)上是網(wǎng)絡服務合同的終止,如果要求用戶以注銷賬號的方式撤回同意,將產(chǎn)生如果不同意收集個人信息則無法繼續(xù)使用涉案產(chǎn)品的情形,這違背了個人信息保護法的有關(guān)規(guī)定,因此北京四中院對該公司關(guān)于可通過注銷賬號行使撤回同意的抗辯不予采信。
最終,北京四中院判決駁回上訴,維持原判。該公司立即刪除收集的劉雨的昵稱、手機號碼、密碼、頭像、設備信息和收集的劉雨的用戶行為信息,同時書面向劉雨賠禮道歉,并賠償合理開支3080元。
中青報·中青網(wǎng)記者了解到,該詞典在2022年3月31日的新版App中,增加了撤回同意授權(quán)功能。
“當前,一些App應用軟件在個人信息方面存在多個較明顯的違法違規(guī)現(xiàn)象?!敝袊ヂ?lián)網(wǎng)協(xié)會法工委副秘書長、北京市潮陽律師事務所律師胡鋼分析,一是強制索取,即如果用戶不授權(quán)提供其個人信息,App經(jīng)營者就拒絕提供服務;二是捆綁授權(quán),即App經(jīng)營者往往是“一攬子”捆綁式索取用戶的十幾項,甚至幾十項個人信息的授權(quán);三是延伸授權(quán),“這實際上也是一種捆綁授權(quán)的方式”,即App經(jīng)營者在與用戶簽訂格式合同時,往往會在合同中注明“相關(guān)企業(yè)”字樣,也就是說用戶在完成個人信息授權(quán)時,其他關(guān)聯(lián)的企業(yè)也可獲取其個人信息。
胡鋼提醒,“這個關(guān)聯(lián)的范圍很大,一般不僅包括相關(guān)的有股權(quán)關(guān)系的公司,還包括有業(yè)務關(guān)系的公司,等于用戶進行一次授權(quán),就會與一批企業(yè)建立授權(quán)關(guān)系,完成個人信息‘共享’”。此類情況嚴重違反了民法典、消費者權(quán)益保護法、個人信息保護法等法律明文規(guī)定的“應當遵循合法、正當、必要和誠信、公開、透明等原則”和“最小必要原則”。
關(guān)鍵要讓法律長出“牙齒”
胡鋼表示,當前一些主流App基本上都要求用戶提供十幾種甚至幾十種授權(quán),這幾乎就完全掌握了用戶移動智能終端里的全部信息,包括個人信息和個人敏感信息。
胡鋼說,我國目前已經(jīng)建立起一個由法律、行政法規(guī)、司法解釋、部門規(guī)章、規(guī)范性文件以及國家標準等組成的,體系比較完整、內(nèi)容比較具體的個人信息保護規(guī)范體系,但關(guān)鍵是要讓法律長出“牙齒”,這也要求相關(guān)部門堅持嚴格執(zhí)法和動態(tài)監(jiān)管,重“咬合”,對于明顯違法違規(guī)情況應當進行系統(tǒng)化的專項治理。
于穎穎提醒,用戶在注冊App時,應當養(yǎng)成瀏覽用戶協(xié)議、隱私保護協(xié)議的習慣,重點關(guān)注協(xié)議中加粗加黑的內(nèi)容,了解App收集個人信息的范圍。當發(fā)現(xiàn)App存在侵犯公民個人信息權(quán)益及隱私權(quán)的情形時,可以通過投訴、舉報或者訴訟的方式維護自己的合法權(quán)益。
此外,網(wǎng)絡服務提供者在收集處理信息時,應當遵循合法、正當、必要的原則,不應強迫用戶授權(quán),或者以默認授權(quán)、捆綁服務、強制停止使用等不正當手段變相誘導、強迫用戶提供個人信息,且收集個人信息的類型應與現(xiàn)實產(chǎn)品或服務的業(yè)務功能有直接關(guān)聯(lián)。同時,信息處理者在個人信息收集、處理活動中,應依法獲取用戶授權(quán),并最大限度尊重和保障用戶權(quán)益,否則將承擔相應法律責任。
(責任編輯:畢安吉)