用戶不同意隱私條款后,涉案App顯示無法運(yùn)行將退出。北京四中院供圖
“歡迎來到××詞典,請(qǐng)閱讀并同意服務(wù)條款及隱私政策”。為貼近年輕人生活,了解更多網(wǎng)絡(luò)流行語,北京市民劉雨(化名)下載了一款“玩梗達(dá)人必備的網(wǎng)絡(luò)流行語詞典”App。
劉雨注意到,該App不僅在“隱私政策”處為默認(rèn)勾選“同意”,取消勾選、拒絕App處理其個(gè)人信息則App自動(dòng)退出,注銷賬戶時(shí)也無法撤回已同意處理的個(gè)人信息,遂將App運(yùn)營(yíng)者訴至法院。
近日,北京市第四中級(jí)人民法院(以下簡(jiǎn)稱“北京四中院”)審結(jié)此案,認(rèn)定涉案App存在侵犯公民個(gè)人信息權(quán)益的情形,依法應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。
App超范圍收集個(gè)人信息、侵害用戶權(quán)益一直是社會(huì)公眾詬病的話題。依據(jù)個(gè)人信息保護(hù)法、網(wǎng)絡(luò)安全法、電信條例等法律法規(guī),今年3月,工業(yè)和信息化部組織第三方檢測(cè)機(jī)構(gòu)對(duì)用戶反映突出的違規(guī)收集使用個(gè)人信息等問題進(jìn)行檢查,共發(fā)現(xiàn)62款A(yù)pp及SDK存在侵害用戶權(quán)益行為,其中近半數(shù)App涉及個(gè)人信息問題。
中青報(bào)·中青網(wǎng)記者注意到,今年以來,浙江、安徽、山東等多省市通信管理局均通報(bào)多起App存在侵害用戶權(quán)益和安全隱患問題。用戶能否拒絕App收集、處理個(gè)人信息?同意后又是否可以撤回?App超范圍收集個(gè)人信息的法律責(zé)任有哪些?記者采訪了多位辦案法官和專家學(xué)者。
對(duì)用戶告知同意應(yīng)符合“自愿”“明確”兩項(xiàng)要求
“處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠(chéng)信原則,不得通過誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息?!痹摪笇徟袉T、北京四中院法官于穎穎介紹,基于個(gè)人同意處理個(gè)人信息的,該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。本案中,法院結(jié)合劉雨主張,重點(diǎn)審查該公司對(duì)用戶告知同意是否符合“自愿”“明確”兩項(xiàng)要求。
隱私政策涉及個(gè)人信息處理者處理個(gè)人信息的范圍及方式,應(yīng)用軟件開發(fā)者為實(shí)現(xiàn)對(duì)批量用戶的告知而預(yù)先擬定了格式化的個(gè)人信息處理政策,但作為個(gè)人信息處理者,應(yīng)保證用戶對(duì)其預(yù)先擬定個(gè)人信息政策充分知情,在此情況下自愿、主動(dòng)作出“同意”的肯定性的動(dòng)作。
在此案中,該公司未設(shè)置措施保證用戶能夠充分知情其隱私政策內(nèi)容,且在用戶未實(shí)際閱讀的情況下,返回界面后,“已閱讀并同意服務(wù)條款和隱私政策”被勾選,并未讓用戶主動(dòng)自愿作出同意的選擇,不符合“自愿”“明確”的要求。
同時(shí),用戶點(diǎn)擊拒絕按鈕后,該詞典退出運(yùn)行。北京四中院認(rèn)為,個(gè)人信息保護(hù)法規(guī)定:“個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由,拒絕提供產(chǎn)品或者服務(wù);處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外?!北景钢校撛~典在劉雨點(diǎn)擊“拒絕”按鈕后,自動(dòng)退出,不向用戶提供任何服務(wù)。根據(jù)在案證據(jù),該詞典兼具“查詞”和“社交”兩種屬性,雖然在基本業(yè)務(wù)功能的基礎(chǔ)上,產(chǎn)品會(huì)發(fā)展產(chǎn)生其他拓展功能,如詞典的發(fā)布、點(diǎn)贊、評(píng)論等社交功能,但在名稱、官方描述、應(yīng)用商店中的描述等基本業(yè)務(wù)為詞匯查詢的情況下,不提供查詢服務(wù),應(yīng)屬于對(duì)基本業(yè)務(wù)的拒絕,仍侵犯了劉雨的個(gè)人信息權(quán)益。
不得過度收集個(gè)人信息
北京四中院法官胡懷松認(rèn)為,收集個(gè)人信息,應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍,不得過度收集個(gè)人信息。上述詞典的名稱、官方描述、應(yīng)用商店中的描述等均指向該詞典的“詞典功能”,在基本業(yè)務(wù)功能為詞匯查詢的情況下,該詞典收集了劉雨的手機(jī)號(hào)碼超過最小范圍。
關(guān)于用戶授權(quán)后撤回,胡懷松認(rèn)為,基于個(gè)人同意處理個(gè)人信息的,個(gè)人有權(quán)撤回其同意。個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式,但劉雨取證時(shí)該詞典版本未提供撤回同意的選項(xiàng)。
北京四中院認(rèn)為,撤回同意系個(gè)人信息主體撤回對(duì)個(gè)人信息處理者處理個(gè)人信息的授權(quán),個(gè)人信息主體撤回同意后,個(gè)人信息處理者仍應(yīng)提供基本業(yè)務(wù)功能,而注銷賬號(hào)本質(zhì)上是網(wǎng)絡(luò)服務(wù)合同的終止,如果要求用戶以注銷賬號(hào)的方式撤回同意,將產(chǎn)生如果不同意收集個(gè)人信息則無法繼續(xù)使用涉案產(chǎn)品的情形,這違背了個(gè)人信息保護(hù)法的有關(guān)規(guī)定,因此北京四中院對(duì)該公司關(guān)于可通過注銷賬號(hào)行使撤回同意的抗辯不予采信。
最終,北京四中院判決駁回上訴,維持原判。該公司立即刪除收集的劉雨的昵稱、手機(jī)號(hào)碼、密碼、頭像、設(shè)備信息和收集的劉雨的用戶行為信息,同時(shí)書面向劉雨賠禮道歉,并賠償合理開支3080元。
中青報(bào)·中青網(wǎng)記者了解到,該詞典在2022年3月31日的新版App中,增加了撤回同意授權(quán)功能。
“當(dāng)前,一些App應(yīng)用軟件在個(gè)人信息方面存在多個(gè)較明顯的違法違規(guī)現(xiàn)象?!敝袊?guó)互聯(lián)網(wǎng)協(xié)會(huì)法工委副秘書長(zhǎng)、北京市潮陽律師事務(wù)所律師胡鋼分析,一是強(qiáng)制索取,即如果用戶不授權(quán)提供其個(gè)人信息,App經(jīng)營(yíng)者就拒絕提供服務(wù);二是捆綁授權(quán),即App經(jīng)營(yíng)者往往是“一攬子”捆綁式索取用戶的十幾項(xiàng),甚至幾十項(xiàng)個(gè)人信息的授權(quán);三是延伸授權(quán),“這實(shí)際上也是一種捆綁授權(quán)的方式”,即App經(jīng)營(yíng)者在與用戶簽訂格式合同時(shí),往往會(huì)在合同中注明“相關(guān)企業(yè)”字樣,也就是說用戶在完成個(gè)人信息授權(quán)時(shí),其他關(guān)聯(lián)的企業(yè)也可獲取其個(gè)人信息。
胡鋼提醒,“這個(gè)關(guān)聯(lián)的范圍很大,一般不僅包括相關(guān)的有股權(quán)關(guān)系的公司,還包括有業(yè)務(wù)關(guān)系的公司,等于用戶進(jìn)行一次授權(quán),就會(huì)與一批企業(yè)建立授權(quán)關(guān)系,完成個(gè)人信息‘共享’”。此類情況嚴(yán)重違反了民法典、消費(fèi)者權(quán)益保護(hù)法、個(gè)人信息保護(hù)法等法律明文規(guī)定的“應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠(chéng)信、公開、透明等原則”和“最小必要原則”。
關(guān)鍵要讓法律長(zhǎng)出“牙齒”
胡鋼表示,當(dāng)前一些主流App基本上都要求用戶提供十幾種甚至幾十種授權(quán),這幾乎就完全掌握了用戶移動(dòng)智能終端里的全部信息,包括個(gè)人信息和個(gè)人敏感信息。
胡鋼說,我國(guó)目前已經(jīng)建立起一個(gè)由法律、行政法規(guī)、司法解釋、部門規(guī)章、規(guī)范性文件以及國(guó)家標(biāo)準(zhǔn)等組成的,體系比較完整、內(nèi)容比較具體的個(gè)人信息保護(hù)規(guī)范體系,但關(guān)鍵是要讓法律長(zhǎng)出“牙齒”,這也要求相關(guān)部門堅(jiān)持嚴(yán)格執(zhí)法和動(dòng)態(tài)監(jiān)管,重“咬合”,對(duì)于明顯違法違規(guī)情況應(yīng)當(dāng)進(jìn)行系統(tǒng)化的專項(xiàng)治理。
于穎穎提醒,用戶在注冊(cè)App時(shí),應(yīng)當(dāng)養(yǎng)成瀏覽用戶協(xié)議、隱私保護(hù)協(xié)議的習(xí)慣,重點(diǎn)關(guān)注協(xié)議中加粗加黑的內(nèi)容,了解App收集個(gè)人信息的范圍。當(dāng)發(fā)現(xiàn)App存在侵犯公民個(gè)人信息權(quán)益及隱私權(quán)的情形時(shí),可以通過投訴、舉報(bào)或者訴訟的方式維護(hù)自己的合法權(quán)益。
此外,網(wǎng)絡(luò)服務(wù)提供者在收集處理信息時(shí),應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,不應(yīng)強(qiáng)迫用戶授權(quán),或者以默認(rèn)授權(quán)、捆綁服務(wù)、強(qiáng)制停止使用等不正當(dāng)手段變相誘導(dǎo)、強(qiáng)迫用戶提供個(gè)人信息,且收集個(gè)人信息的類型應(yīng)與現(xiàn)實(shí)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)。同時(shí),信息處理者在個(gè)人信息收集、處理活動(dòng)中,應(yīng)依法獲取用戶授權(quán),并最大限度尊重和保障用戶權(quán)益,否則將承擔(dān)相應(yīng)法律責(zé)任。
(責(zé)任編輯:畢安吉)