本文来自微信公众号:财经E法(ID:CAIJINGELAW),作者:张剑,编辑:鲁伟,头图来自:unsplash
手机用户经常会遇到这样的场景:在A软件复制了一段文字,打开B软件,会收到提示:“B粘贴自A”。这是因为App读取了“剪贴板”的内容——手机号、住址、银行账号等内容都可能被复制粘贴。这种常见的场景,是否构成对用户隐私的侵犯,在过去一直存在争论,现在有法院对此作出了定论。
近日,广州互联网法院宣判了两起案件,均认定App未经用户同意即读取“剪贴板”内容侵犯了用户隐私权。
有专家向《财经》E法表示,这两起案件的判决起到合规指引作用,也符合《个人信息保护法》确立的个人信息处理的相关原则。
一、未经用户许可读取“剪贴板”构成侵权
萌推是由上海突进网络科技有限公司(下称“突进公司”)运营的一款电商App。用户李某发现,她与朋友聊天时经常会收到朋友分享的萌推App分享口令,口令里写着“复制这句话后打开萌推App。李某发现,打开萌推App后不用进行粘贴,就会自动弹出一个“帮他/她砍一刀”字样的页面。李某认为,口令分享与系统“剪贴板”有关,是萌推App自动收集用户复制在“剪贴板”的信息,跳过用户对“剪贴板”进行了操作。但是萌推App在她安装时从来没有提示过该程序要收集“剪贴板”信息。
李某认为,手机“剪贴板”并不只是用来存储口令,也可以存储包括但不限于个人账号、密码、银行账号、行程信息、位置信息、图片等多种信息。她认为,突进公司侵犯她的以下权益:一是,突进公司未提示,也未主动披露收集“剪贴板”信息的行为,侵犯了其知情权;二是,萌推App 没有设置禁用口令分享功能的选项,也没有提示“如果不希望萌推App 访问、收集剪贴板信息,请不要使用口令分享”,其选择权没有得到实现;三是,突进公司未经许可,擅自收集“剪贴板”上个人信息的行为,侵犯了其个人信息权益;四是,她的手机“剪贴板”存储了个人隐私信息,突进公司擅自收集,侵犯了其隐私权。
因此李某请求法院判令,确认突进公司侵害了她的知情权、选择权、个人信息以及隐私权;要求突进公司立即停止侵权行为,包括但不限于停止未经她许可收集其个人信息、隐私信息的行为,删除未经她许可已经收集的信息;要求突进公司对上述行为道歉,消除影响,赔偿其精神损失费1元。
对于李某的诉请,突进公司辩称,萌推App口令功能的流程明确、提示清楚。萌推App不存在李某所称的手机“剪贴板”的权限设置、隐私管理问题,萌推App口令功能不涉及收集、使用个人信息的情形,符合国家标准、监管规则,属行业惯常做法。
突进公司称,萌推App 在口令功能实现过程中,不存在任何对用户设备端、服务器端交互信息的存储,亦不涉及任何读取设备存储空间的情况。此外,萌推App 口令功能不存在侵犯李某个人信息的情形。无论是系统,还是萌推App,其均位于用户使用、控制的设备中,用户在该设备中的信息及具体操作并不能被该公司掌握。该公司仅在用户使用萌推App 并与萌推服务器通过网络进行数据传输时,才能获得传输过程所包含的信息。而在萌推App 口令功能实现过程中,用户设备端向萌推服务器传输的信息仅为口令ID,不涉及李某所称的个人信息,该口令ID 并不符合《个人信息安全规范》对个人信息的定义。
法院审理认为,突进公司存在未经李某许可监测、读取“剪贴板”信息的行为,并在进行格式分析后,将符合格式要求的有效信息上传至其网络服务器进行分析匹配。
法院认定,手机存储空间是手机用户私人支配、不愿为他人知晓的虚拟私密空间。手机“剪贴板”作为手机存储空间的一部分,亦属于私密空间。突进公司未经李某许可,监测、读取其手机剪贴板信息,属于以技术手段侵入李某虚拟私密空间的方式侵害其隐私权的行为。
法院判令,突进公司向李某公开致歉。
《财经》E法注意到,广州互联网法院近日还审结了一起APP未经许可监测读取手机“剪贴板”的网络侵权责任纠纷——林某在使用好购APP时发现,该APP存在未经用户同意,监测、收集手机剪贴板信息的情形,他认为该行为侵害了其个人信息权益及隐私权,故将好购App的运营企业诉至法院。最终,法院判决,好购App侵害了林某的隐私权,要求其向林某出具书面道歉声明。
二、App收集信息应以用户知情同意为前提
关于App读取“剪贴板”中的内容是否侵犯个人隐私的争论由来已久。
2020年6月23日,苹果新系统iOS14发布,该系统新增了一项隐私保护功能,当某一个应用读取剪贴板时,系统会弹出通知——显示“A粘贴自B”,以提醒用户是哪个应用访问了剪贴板。
苹果iOS14系统发布之后,有自媒体曾进行了一项测试,国内 40 款主流应用只有 5 款不会读取用户“剪贴板”。
也有海外用户发现,升级后的苹果iOS14系统不断提醒他们,一款知名的短视频App每隔几秒便会访问“剪贴板”。具体表现为,用户在某一款App中复制一段文本,紧接着打开这款App,随意打出几个字母,系统就会提示用户App正在读取“剪贴板”。此事引发用户质疑,甚至引发舆论风波。
对此,这款App方面回应称,不存在私自访问用户“剪贴板”的情况,启用这一功能是为了打击垃圾评论,治理恶意刷评论。此后这款App承诺,将进行版本更新,停止访问“剪贴板”。
一位不愿具名的技术开发人士告诉《财经》E法,曾经出现过通过读取“剪贴板”内容,窃取数字资产的案例。2018年4 月,360 互联网安全中心在PC 平台首次监控到一类加密数字货币木马。该木马不断监控用户的“剪贴板”内容,判断是否为比特币、以太坊等加密数字货币地址,然后在用户交易的时候篡改目标地址,从而实施盗窃。
上述技术人士对《财经》E法表示,“剪贴板”是数据交互的存储空间,可在不同应用之间进行文本、URL、图片、颜色的数据交换。“剪贴板”确实存在安全隐患,但是否构成侵害取决于使用者的目的。当前常见的较严重的侵权隐患包括:复制的内容是账号、密码、特殊文本等敏感信息。
中国电子技术标准化信息安全中心测评实验室副主任何延哲对《财经》E法表示,从实际运用场景来看,如果一款App仅仅是读取“剪贴板”的内容,而没有未经同意就把这些信息进行识别并上传到后台,严格来说并不算是在“收集个人信息”。将未经用户同意读取“剪贴板”内容认定为存在侵犯隐私,虽然符合个人信息处理应遵循的“合理-必要-最小化”原则,但也需要考虑具体应用场景。可以想见的是,越来越多的App开发者会根据合规要求,在读取“剪贴板”内容之前会以弹窗形式提醒用户,而频繁的提醒可能导致用户体验变差。
广州互联网法院法官认为,随着中国互联网经济和数字化建设的快速发展,互联网平台、手机App随意收集、违法获取、过度使用及非法买卖个人信息的问题日益突出。
法官提醒,互联网平台、手机App作为个人信息处理者,收集使用个人信息时应当按照隐私政策,以用户知情同意为前提,主动告知收集的个人信息种类,自觉履行《个人信息保护法》《网络安全法》《数据安全法》规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护。
在此前开展的App违法违规收集使用个人信息专项治理中,相关监管部门强调,App运营者收集使用个人信息时,不得收集与所提供服务无关的个人信息;收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则,并经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息。
本文来自微信公众号:财经E法(ID:CAIJINGELAW),作者:张剑