“欢迎来到××词典,请阅读并同意服务条款及隐私政策”。为贴近年轻人生活,了解更多网络流行语,北京市民刘雨(化名)下载了一款“玩梗达人必备的网络流行语词典”App。
刘雨注意到,该App不仅在“隐私政策”处为默认勾选“同意”,取消勾选、拒绝App处理其个人信息则App自动退出,注销账户时也无法撤回已同意处理的个人信息,遂将App运营者诉至法院。
近日,北京市第四中级人民法院(以下简称“北京四中院”)审结此案,认定涉案App存在侵犯公民个人信息权益的情形,依法应当承担侵权责任。
App超范围收集个人信息、侵害用户权益一直是社会公众诟病的话题。依据个人信息保护法、网络安全法、电信条例等法律法规,今年3月,工业和信息化部组织第三方检测机构对用户反映突出的违规收集使用个人信息等问题进行检查,共发现62款App及SDK存在侵害用户权益行为,其中近半数App涉及个人信息问题。
中青报·中青网记者注意到,今年以来,浙江、安徽、山东等多省市通信管理局均通报多起App存在侵害用户权益和安全隐患问题。用户能否拒绝App收集、处理个人信息?同意后又是否可以撤回?App超范围收集个人信息的法律责任有哪些?记者采访了多位办案法官和专家学者。
“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。”该案审判员、北京四中院法官于颖颖介绍,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。本案中,法院结合刘雨主张,重点审查该公司对用户告知同意是否符合“自愿”“明确”两项要求。
隐私政策涉及个人信息处理者处理个人信息的范围及方式,应用软件开发者为实现对批量用户的告知而预先拟定了格式化的个人信息处理政策,但作为个人信息处理者,应保证用户对其预先拟定个人信息政策充分知情,在此情况下自愿、主动作出“同意”的肯定性的动作。
在此案中,该公司未设置措施保证用户能够充分知情其隐私政策内容,且在用户未实际阅读的情况下,返回界面后,“已阅读并同意服务条款和隐私政策”被勾选,并未让用户主动自愿作出同意的选择,不符合“自愿”“明确”的要求。
同时,用户点击拒绝按钮后,该词典退出运行。北京四中院认为,个人信息保护法规定:“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。”本案中,该词典在刘雨点击“拒绝”按钮后,自动退出,不向用户提供任何服务。根据在案证据,该词典兼具“查词”和“社交”两种属性,虽然在基本业务功能的基础上,产品会发展产生其他拓展功能,如词典的发布、点赞、评论等社交功能,但在名称、官方描述、应用商店中的描述等基本业务为词汇查询的情况下,不提供查询服务,应属于对基本业务的拒绝,仍侵犯了刘雨的个人信息权益。
北京四中院法官胡怀松认为,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。上述词典的名称、官方描述、应用商店中的描述等均指向该词典的“词典功能”,在基本业务功能为词汇查询的情况下,该词典收集了刘雨的手机号码超过最小范围。
关于用户授权后撤回,胡怀松认为,基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式,但刘雨取证时该词典版本未提供撤回同意的选项。
北京四中院认为,撤回同意系个人信息主体撤回对个人信息处理者处理个人信息的授权,个人信息主体撤回同意后,个人信息处理者仍应提供基本业务功能,而注销账号本质上是网络服务合同的终止,如果要求用户以注销账号的方式撤回同意,将产生如果不同意收集个人信息则无法继续使用涉案产品的情形,这违背了个人信息保护法的有关规定,因此北京四中院对该公司关于可通过注销账号行使撤回同意的抗辩不予采信。
最终,北京四中院判决驳回上诉,维持原判。该公司立即删除收集的刘雨的昵称、手机号码、密码、头像、设备信息和收集的刘雨的用户行为信息,同时书面向刘雨赔礼道歉,并赔偿合理开支3080元。
中青报·中青网记者了解到,该词典在2022年3月31日的新版App中,增加了撤回同意授权功能。
“当前,一些App应用软件在个人信息方面存在多个较明显的违法违规现象。”中国互联网协会法工委副秘书长、北京市潮阳律师事务所律师胡钢分析,一是强制索取,即如果用户不授权提供其个人信息,App经营者就拒绝提供服务;二是捆绑授权,即App经营者往往是“一揽子”捆绑式索取用户的十几项,甚至几十项个人信息的授权;三是延伸授。