“欢迎来到××词典,请阅读并同意服务条款及隐私政策”。为贴近年轻人生活,了解更多网络流行语,北京市民刘雨(化名)下载了一款“玩梗达人必备的网络流行语词典”App。
刘雨注意到,该App不仅在“隐私政策”处为默认勾选“同意”,取消勾选、拒绝App处理其个人信息则App自动退出,注销账户时也无法撤回已同意处理的个人信息,遂将App运营者诉至法院。
近日,北京市第四中级人民法院(以下简称“北京四中院”)审结此案,认定涉案App存在侵犯公民个人信息权益的情形,依法应当承担侵权责任。
App超范围收集个人信息、侵害用户权益一直是社会公众诟病的话题。依据个人信息保护法、网络安全法、电信条例等法律法规,今年3月,工业和信息化部组织第三方检测机构对用户反映突出的违规收集使用个人信息等问题进行检查,共发现62款App及SDK存在侵害用户权益行为,其中近半数App涉及个人信息问题。
中青报·中青网记者注意到,今年以来,浙江、安徽、山东等多省市通信管理局均通报多起App存在侵害用户权益和安全隐患问题。用户能否拒绝App收集、处理个人信息?同意后又是否可以撤回?App超范围收集个人信息的法律责任有哪些?记者采访了多位办案法官和专家学者。
对用户告知同意应符合“自愿”“明确”两项要求
“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。”该案审判员、北京四中院法官于颖颖介绍,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。本案中,法院结合刘雨主张,重点审查该公司对用户告知同意是否符合“自愿”“明确”两项要求。
隐私政策涉及个人信息处理者处理个人信息的范围及方式,应用软件开发者为实现对批量用户的告知而预先拟定了格式化的个人信息处理政策,但作为个人信息处理者,应保证用户对其预先拟定个人信息政策充分知情,在此情况下自愿、主动作出“同意”的肯定性的动作。
在此案中,该公司未设置措施保证用户能够充分知情其隐私政策内容,且在用户未实际阅读的情况下,返回界面后,“已阅读并同意服务条款和隐私政策”被勾选,并未让用户主动自愿作出同意的选择,不符合“自愿”“明确”的要求。
不得过度收集个人信息
北京四中院法官胡怀松认为,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。上述词典的名称、官方描述、应用商店中的描述等均指向该词典的“词典功能”,在基本业务功能为词汇查询的情况下,该词典收集了刘雨的手机号码超过最小范围。
最终,北京四中院判决驳回上诉,维持原判。该公司立即删除收集的刘雨的昵称、手机号码、密码、头像、设备信息和收集的刘雨的用户行为信息,同时书面向刘雨赔礼道歉,并赔偿合理开支3080元。