原标題:因為強索使用者隐私,一App被法院判定侵犯公民個人資訊權(引題)
“我已閱讀并同意”暗藏哪些存在某種問題或陰謀?(主題)
勞工日報-中工網記者 張子谕
閱讀提示
未經同意卻被讀走的個人資訊,想看又看不懂的協定内容,一次同意終身授權的預設條款……記者調查發現,一些App在收集、處理使用者個人資訊過程中仍然存在侵犯公民個人資訊權益的情形。
多數手機App在首次下載下傳使用時,點選“我已閱讀并同意使用者協定和隐私政策”是正常操作,但不少人為了圖省事可能并不會真的閱讀使用者協定,進而忽視了這些問題:App通過隐私政策會擷取哪些個人資訊?App提供服務必須收集這些資訊嗎?App是如何存儲利用這些資訊的?
來自北京的張女士在使用某詞典App時注意到,App的隐私政策選項為預設勾選“同意”,取消勾選、拒絕App處理其個人資訊則App自動退出。當張女士注冊使用一段時間後想停用該App時,又發現無法撤回允許該App處理其個人資訊,是以将App營運者訴至法院。近日,北京市第四中級人民法院二審審結了該案,認定某詞典App存在侵犯公民個人資訊權益的情形,依法應當承擔侵權責任。
個人資訊被App悄悄讀取
“每次讓勾選同意我都萬般無奈,但又不能不勾,是以如果必須使用這款App時隻能無奈同意,這種‘被迫自願’顯然已經違背了立法初衷。”來自北京的周女士對于各類App反複要求擷取使用者同意和手機權限表達了相同的擔憂,“我撒過最多的謊就是‘已閱讀并同意使用者協定’。”周女士提到的法律規定是大陸個人資訊保護法第十四條——基于個人同意處理個人資訊的,該同意應當由個人在充分知情的前提下自願、明确作出。
審理張女士案件的法官、北京市第四中級人民法院法官助理劉津甯告訴記者,涉案App正是因為隐私政策被預設勾選“同意”,并未讓張女士自願作出同意的選擇,不符合“自願”“明确”的要求,這是App提供商顯著違法行為之一。
2021年起施行的《常見類型移動網際網路應用程式必要個人資訊範圍規定》中明确,App不得因為使用者不同意提供非必要個人資訊,而拒絕使用者使用其基本功能服務。在記者體驗的幾款主流社交類、資訊類App中,多數App目前已經不存在不勾選同意就無法使用的情況,但會有App基本功能使用受限的情況,如隻能浏覽部分資訊,無法評論收藏相關内容等。
但當記者打算登入賬号時,多數App又會立即提示可使用本機号碼快捷登陸,然而記者此前并未授權App讀取手機号碼等相關資訊,更未勾選相關“同意”選項。如此“快捷”固然友善,也意味着這些App在未經同意之前,已經在悄悄讀取使用者個人資訊。
App協定“想看又看不懂”
與張女士和周女士不同,正在高校就讀法學專業的大學生王佳樂對于App的使用者協定和隐私協定興趣不小。“自從學完民法學的課程後,我和身邊的同學對于個人資訊保護都特别關注。”王佳樂告訴記者,在使用一些新下載下傳的App時,他會特意主動點開App的使用者協定和隐私協定,“就是想看看這類App收集我的個人資訊都用來幹什麼。”但點開的協定讓王佳樂在閱讀時又犯了難——什麼是爬蟲協定?第三方服務瑕疵是什麼意思?如何界定商業适售性、特定用途适用性?
記者查閱了一些App的使用者協定和隐私協定發現,協定内容裡中英文專業術語摻雜甚至還有圖表;文本内容冗長堪比專業論文,一些字句還标注了帶有注釋和附錄;協定條款動态更新,如需擷取最新協定内容需要時常反複檢視……
“想看又看不懂,更讓人難受。”王佳樂不解,“如此折騰使用者,會不會是本來就沒想讓使用者看懂,甚至協定背後藏着其他存在某種問題或陰謀?”某網際網路企業的法務齊珊對王佳樂的困惑做出了解答,“涉及專業術語和特定用語的内容閱讀起來确實需要門檻,協定内容也是專業領域的人士拟定的,一味用淺顯易懂的大白話去解釋專業問題很容易産生歧義,如果是以導緻協定産生漏洞可能為公司帶來麻煩。”
記者了解到,為回應使用者呼聲,一些主流社交App已經推出了所謂的“省流版”使用者協定,即把原協定中的重要内容、重點章節單獨拎出來成文,并對重中之重的部分采取字型加黑、斜體等顯著方式标示,但不少内容閱讀起來仍晦澀難懂,甚至注釋、跳轉的連結更多。
一次同意,終身授權?
記者梳理網友對使用者協定和隐私政策的吐槽發現,“過度索權”“一次同意終身授權”等是網友對App協定問題關注度較高的問題。在上述張女士的案件中,根據法院庭審意見,該涉案App的屬性應為提供詞彙查詢的實用工具類App。根據《常見類型移動網際網路應用程式必要個人資訊範圍規定》的規定,實用工具類App無須手機号等個人資訊,即可使用基本功能服務,是以該詞典App要求先收集個人資訊才提供服務的行為違法。
而“一次同意終身授權”的服務協定内容則更讓網友憤慨。記者查閱某社交App相關條款内看到,該App承諾不會将使用者個人資訊轉移或披露給任何第三方,除非幾種特殊情況。但對特殊情況的具體場景并未提供顯著的撤回同意或承諾的方式方法。
個人資訊保護法第十五條第一款規定,基于個人同意處理個人資訊的,個人有權撤回其同意。在張女士一案中,法院認為涉案App未提供撤回同意方式,侵犯了使用者的個人資訊權益。最終,案件經過一審、二審,涉案App的營運公司被判删除收集的張女士個人資訊,并向張女士賠禮道歉、賠償其合理開支。
北京市道可特律師事務所朱思睿律師認為,除了當使用者首次使用App時通過明确的協定告知其哪些資訊将被收集外,App服務商還應該做好對已收集資訊的保管,如加密存儲和傳輸的使用者資料,定期檢查和更新資料保護措施;做好使用者控制權的落實,即允許使用者檢視、修改或删除被收集的個人資訊,能夠輕松地撤銷對某些資訊的許可。
來源:中工網-勞工日報