APP强索隐私被判侵权,“我已阅读并同意”暗藏诸多猫腻
多数手机APP在首次下载使用时,点击“我已阅读并同意用户协议和隐私政策”是常规操作,但不少人为了图省事可能并不会真的阅读用户协议,进而忽视了这些问题:APP通过隐私政策会获取哪些个人信息?APP提供服务必须收集这些信息吗?APP是如何存储利用这些信息的?
来自北京的张女士在使用某词典APP时注意到,APP的隐私政策选项为默认勾选“同意”,取消勾选、拒绝APP处理其个人信息则APP自动退出。当张女士注册使用一段时间后想停用该APP时,又发现无法撤回允许该APP处理其个人信息,因此将APP运营者诉至法院。近日,北京市第四中级人民法院二审审结了该案,认定某词典APP存在侵犯公民个人信息权益的情形,依法应当承担侵权责任。
个人信息被APP悄悄读取
“每次让勾选同意我都万般无奈,但又不能不勾,所以如果必须使用这款APP时只能无奈同意,这种‘被迫自愿’显然已经违背了立法初衷。”来自北京的周女士对于各类APP反复要求获取用户同意和手机权限表达了相同的担忧,“我撒过最多的谎就是‘已阅读并同意用户协议’。”周女士提到的法律规定是我国个人信息保护法第十四条——基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。
审理张女士案件的法官、北京市第四中级人民法院法官助理刘津宁告诉记者,涉案APP正是因为隐私政策被默认勾选“同意”,并未让张女士自愿作出同意的选择,不符合“自愿”“明确”的要求,这是APP提供商显著违法行为之一。
2021年起施行的《常见类型移动互联网应用程序必要个人信息范围规定》中明确,APP不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。在记者体验的几款主流社交类、资讯类APP中,多数APP目前已经不存在不勾选同意就无法使用的情况,但会有APP基本功能使用受限的情况,如只能浏览部分信息,无法评论收藏相关内容等。
但当记者打算登录账号时,多数APP又会立即提示可使用本机号码快捷登陆,然而记者此前并未授权APP读取手机号码等相关信息,更未勾选相关“同意”选项。如此“快捷”固然方便,也意味着这些APP在未经同意之前,已经在悄悄读取用户个人信息。
APP协议“想看又看不懂”
与张女士和周女士不同,正在高校就读法学专业的大学生王佳乐对于APP的用户协议和隐私协议兴趣不小。“自从学完民法学的课程后,我和身边的同学对于个人信息保护都特别关注。”王佳乐告诉记者,在使用一些新下载的APP时,他会特意主动点开APP的用户协议和隐私协议,“就是想看看这类APP收集我的个人信息都用来干什么。”但点开的协议让王佳乐在阅读时又犯了难——什么是爬虫协议?第三方服务瑕疵是什么意思?如何界定商业适售性、特定用途适用性?
记者查阅了一些APP的用户协议和隐私协议发现,协议内容里中英文专业术语掺杂甚至还有图表;文本内容冗长堪比专业论文,一些字句还标注了带有注释和附录;协议条款动态更新,如需获取最新协议内容需要时常反复查看……
“想看又看不懂,更让人难受。”王佳乐不解,“如此折腾用户,会不会是本来就没想让用户看懂,甚至协议背后藏着其他猫腻?”某互联网企业的法务齐珊对王佳乐的困惑做出了解答,“涉及专业术语和特定用语的内容阅读起来确实需要门槛,协议内容也是专业领域的人士拟定的,一味用浅显易懂的大白话去解释专业问题很容易产生歧义,如果因此导致协议产生漏洞可能为公司带来麻烦。”
记者了解到,为回应用户呼声,一些主流社交APP已经推出了所谓的“省流版”用户协议,即把原协议中的重要内容、重点章节单独拎出来成文,并对重中之重的部分采取字体加黑、斜体等显著方式标示,但不少内容阅读起来仍晦涩难懂,甚至注释、跳转的链接更多。
一次同意,终身授权?
记者梳理网友对用户协议和隐私政策的吐槽发现,“过度索权”“一次同意终身授权”等是网友对APP协议问题关注度较高的问题。在上述张女士的案件中,根据法院庭审意见,该涉案APP的属性应为提供词汇查询的实用工具类APP。根据《常见类型移动互联网应用程序必要个人信息范围规定》的规定,实用工具类AAPP无须手机号等个人信息,即可使用基本功能服务,因此该词典APP要求先收集个人信息才提供服务的行为违法。
而“一次同意终身授权”的服务协议内容则更让网友愤慨。记者查阅某社交APP相关条款内看到,该APP承诺不会将用户个人信息转移或披露给任何第三方,除非几种特殊情况。但对特殊情况的具体场景并未提供显著的撤回同意或承诺的方式方法。
个人信息保护法第十五条第一款规定,基于个人同意处理个人信息的,个人有权撤回其同意。在张女士一案中,法院认为涉案APP未提供撤回同意方式,侵犯了用户的个人信息权益。最终,案件经过一审、二审,涉案APP的运营公司被判删除收集的张女士个人信息,并向张女士赔礼道歉、赔偿其合理开支。
北京市道可特律师事务所朱思睿律师认为,除了当用户首次使用APP时通过明确的协议告知其哪些信息将被收集外,APP服务商还应该做好对已收集信息的保管,如加密存储和传输的用户数据,定期检查和更新数据保护措施;做好用户控制权的落实,即允许用户查看、修改或删除被收集的个人信息,能够轻松地撤销对某些信息的许可。(记者 张子谕)
编辑:李坚 审核:李薇