「已閱讀並同意」暗藏貓膩 App強索用戶隱私被判侵權

    「歡迎來到××詞典，請閱讀並同意服務條款及隱私政策」。為貼近年青人生活，瞭解更多網絡流行語，北京市民劉雨（化名）下載了一款「玩梗達人必備的網絡流行語詞典」App。

    劉雨注意到，該App不僅在「隱私政策」處為預設勾選「同意」，取消勾選、拒絕App處理其個人信息則App自動退出，註銷賬戶時也無法撤回已同意處理的個人信息，遂將App運營者訴至法院。

    近日，北京市第四中級人民法院（以下簡稱「北京四中院」）審結此案，認定涉案App存在侵犯公民個人信息權益的情形，依法應當承擔侵權責任。

    App超範圍收集個人信息、侵害用戶權益一直是社會公眾詬病的話題。依據個人信息保護法、網絡安全法、電信條例等法律法規，今年3月，工業和信息化部組織第三方檢測機構對用戶反映突出的違規收集使用個人信息等問題進行檢查，共發現62款App及SDK存在侵害用戶權益行為，其中近半數App涉及個人信息問題。

    中青報·中青網記者注意到，今年以來，浙江、安徽、山東等多省市通信管理局均通報多起App存在侵害用戶權益和安全隱患問題。用戶能否拒絕App收集、處理個人信息？同意後又是否可以撤回？App超範圍收集個人信息的法律責任有哪些？記者採訪了多位辦案法官和專家學者。

    對用戶告知同意應符合「自願」「明確」兩項要求

    「處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。」該案審判員、北京四中院法官於穎穎介紹，基於個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自願、明確作出。本案中，法院結合劉雨主張，重點審查該公司對用戶告知同意是否符合「自願」「明確」兩項要求。

    隱私政策涉及個人信息處理者處理個人信息的範圍及方式，應用軟件開發者為實現對批量用戶的告知而預先擬定了格式化的個人信息處理政策，但作為個人信息處理者，應保證用戶對其預先擬定個人信息政策充分知情，在此情況下自願、主動作出「同意」的肯定性的動作。

    在此案中，該公司未設置措施保證用戶能夠充分知情其隱私政策內容，且在用戶未實際閱讀的情況下，返回界面後，「已閱讀並同意服務條款和隱私政策」被勾選，並未讓用戶主動自願作出同意的選擇，不符合「自願」「明確」的要求。

    同時，用戶點擊拒絕按鈕後，該詞典退出運行。北京四中院認為，個人信息保護法規定：「個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務；處理個人信息屬於提供產品或者服務所必需的除外。」本案中，該詞典在劉雨點擊「拒絕」按鈕後，自動退出，不向用戶提供任何服務。根據在案證據，該詞典兼具「查詞」和「社交」兩種屬性，雖然在基本業務功能的基礎上，產品會發展產生其他拓展功能，如詞典的發佈、點讚、評論等社交功能，但在名稱、官方描述、應用商店中的描述等基本業務為詞彙查詢的情況下，不提供查詢服務，應屬於對基本業務的拒絕，仍侵犯了劉雨的個人信息權益。

    不得過度收集個人信息

    北京四中院法官胡懷鬆認為，收集個人信息，應當限於實現處理目的的最小範圍，不得過度收集個人信息。上述詞典的名稱、官方描述、應用商店中的描述等均指向該詞典的「詞典功能」，在基本業務功能為詞彙查詢的情況下，該詞典收集了劉雨的手機號碼超過最小範圍。

    關於用戶授權後撤回，胡懷鬆認為，基於個人同意處理個人信息的，個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式，但劉雨取證時該詞典版本未提供撤回同意的選項。

    北京四中院認為，撤回同意繫個人信息主體撤回對個人信息處理者處理個人信息的授權，個人信息主體撤回同意後，個人信息處理者仍應提供基本業務功能，而註銷帳號本質上是網絡服務合約的終止，如果要求用戶以註銷帳號的方式撤回同意，將產生如果不同意收集個人信息則無法繼續使用涉案產品的情形，這違背了個人信息保護法的有關規定，因此北京四中院對該公司關於可通過註銷帳號行使撤回同意的抗辯不予採信。

    最終，北京四中院判決駁回上訴，維持原判。該公司立即刪除收集的劉雨的昵稱、手機號碼、密碼、頭像、設備信息和收集的劉雨的用戶行為信息，同時書面向劉雨賠禮道歉，並賠償合理開支3080元。

    中青報·中青網記者瞭解到，該詞典在2022年3月31日的新版App中，增加了撤回同意授權功能。

    「當前，一些App應用軟件在個人信息方面存在多個較明顯的違法違規現象。」中國互聯網協會法工委副秘書長、北京市潮陽律師事務所律師胡鋼分析，一是強製索取，即如果用戶不授權提供其個人信息，App經營者就拒絕提供服務；二是捆綁授權，即App經營者往往是「一攬子」捆綁式索取用戶的十幾項，甚至幾十項個人信息的授權；三是延伸授權，「這實際上也是一種捆綁授權的方式」，即App經營者在與用戶簽訂格式合約時，往往會在合約中註明「相關企業」字樣，也就是說用戶在完成個人信息授權時，其他關聯的企業也可獲取其個人信息。

    胡鋼提醒，「這個關聯的範圍很大，一般不僅包括相關的有股權關係的公司，還包括有業務關係的公司，等於用戶進行一次授權，就會與一批企業建立授權關係，完成個人信息‘共享’」。此類情況嚴重違反了民法典、消費者權益保護法、個人信息保護法等法律明文規定的「應當遵循合法、正當、必要和誠信、公開、透明等原則」和「最小必要原則」。

    關鍵要讓法律長出「牙齒」

    胡鋼表示，當前一些主流App基本上都要求用戶提供十幾種甚至幾十種授權，這幾乎就完全掌握了用戶移動智能終端裡的全部信息，包括個人信息和個人敏感信息。

    胡鋼說，我國目前已經建立起一個由法律、行政法規、司法解釋、部門規章、規範性文件以及國家標準等組成的，體系比較完整、內容比較具體的個人信息保護規範體系，但關鍵是要讓法律長出「牙齒」，這也要求相關部門堅持嚴格執法和動態監管，重「咬合」，對於明顯違法違規情況應當進行系統化的專項治理。

    於穎穎提醒，用戶在註冊App時，應當養成瀏覽用戶協議、隱私保護協議的習慣，重點關注協議中加粗加黑的內容，瞭解App收集個人信息的範圍。當發現App存在侵犯公民個人信息權益及隱私權的情形時，可以通過投訴、舉報或者訴訟的方式維護自己的合法權益。

    此外，網絡服務提供者在收集處理信息時，應當遵循合法、正當、必要的原則，不應強迫用戶授權，或者以預設授權、捆綁服務、強製停止使用等不正當手段變相誘導、強迫用戶提供個人信息，且收集個人信息的類型應與現實產品或服務的業務功能有直接關聯。同時，信息處理者在個人信息收集、處理活動中，應依法獲取用戶授權，並最大限度尊重和保障用戶權益，否則將承擔相應法律責任。

中青報·中青網記者 韓颺 來源：中國青年報

2024年05月22日 08 版