摘要:仅注册一个APP账号,怎么会在其他APP上自动生成本人所属的“克隆”账号?关联APP为用户“克隆”多个账号并自动同步账号信息,是满足用户跨平台分享的需求,还是侵害了用户的合法权益?近日,北京互联网法院审结了一起关联APP共享用户数据引发的人格权侵权纠纷案件,最
仅注册一个APP账号,怎么会在其他APP上自动生成本人所属的“克隆”账号?关联APP为用户“克隆”多个账号并自动同步账号信息,是满足用户跨平台分享的需求,还是侵害了用户的合法权益?近日,北京互联网法院审结了一起关联APP共享用户数据引发的人格权侵权纠纷案件,最终认定APP运营方构成侵权需承担相应责任。
基本案情
被告某信息公司和某科技公司系关联企业,某信息公司运营应用软件(APP)A和B,某科技公司运营应用软件C。以上三款应用软件具有一定关联关系,即应用软件B和C系从应用软件A的固定内容板块独立而来。原告柴某某在注册并使用应用软件B过程中发现,应用软件A和C也为原告自动生成了原告所属的应用软件账号。原告对三款应用软件账号均进行了使用,形成了昵称、头像、简介、动态、粉丝和关注等用户数据(以下简称涉案用户数据)。原告还发现,通过使用任一应用软件账号形成的涉案用户数据,会自动同步至另外两款应用软件中的原告所属账号,且发布、修改、删除内容的操作也会同步,在原有应用软件公开展示的信息也会在其他应用软件中向其他平台的用户展示。
原告主张,其对涉案用户数据享有个人信息权益及隐私权,二被告在三款应用软件间共享涉案用户数据的行为属于《中华人民共和国个人信息保护法》第二十三条规定的个人信息处理者向其他个人信息处理者提供其处理的个人信息的行为,应取得原告单独同意而未取得,侵害了原告的个人信息权益及隐私权,要求二被告共同承担赔礼道歉、赔偿损失等侵权责任。
被告某信息公司和某科技公司(以下简称二被告)共同辩称,为了保证在不同产品中向用户提供一致化的服务,二者约定并共同决定基于“统一服务平台体系”下的三款应用软件向原告提供网络服务,以原告注册应用软件B时使用的手机号码为原告在另外两款应用软件中创建统一的数字标识,使原告无需重新注册即可登录和使用另外两款应用软件A和C中原告所属账号,并在三款应用软件间共享原告使用任一款应用软件所形成的涉案用户数据,属于《个人信息保护法》第二十条规定的两个以上个人信息处理者共同处理个人信息的行为,无需取得原告单独同意,且已经通过应用软件的服务协议、隐私政策等内容和节点取得原告知情同意,不构成对原告个人信息权益和隐私权的侵权。
法院经审理查明,二被告签署合同约定了通过“统一服务平台体系”下的三款应用软件共享用户数据的目的、方式、范围及责任分担、数据安全保障举措等。三款应用软件分别通过用户协议、隐私政策等内容和节点就三款应用软件共享用户数据行为的目的、主体、方式等进行了一定程度告知,且告知内容一致。整体上,上述合同约定、用户告知与实际查明的二被告分别运营三款应用软件共享涉案用户数据的行为具有一致性。二被告在数据存储、管理方面建立了统一的规范,依法对相应应用软件的信息系统安全等级保护进行了备案。另查明,三款应用软件告知内容未涵盖全部的个人信息处理者,对处理的个人信息种类、处理方式的告知也不够清楚;三款应用软件共享用户私信以及应用软件A与C共享实名认证信息的行为,未对原告进行有效告知,也未取得原告单独同意;应用软件A与B共享实名认证信息的过程中,虽设置了单独同意的弹窗提示,但未设置不同意的选项。为了维权,原告支出了取证费。
法院经审理认为
该案的争议焦点为:一、原告对使用账号过程中形成的涉案用户数据是否享有个人信息权益及隐私权;二、二被告运营关联应用软件共享涉案用户数据的行为属于何种性质;三、上述行为是否侵害了原告的个人信息权益及隐私权;四、若构成侵权,应如何承担责任。
首先,原告对使用三款应用软件账号中形成的昵称、头像、简介、动态、粉丝及关注列表、实名认证信息、私信等可识别到本人且与本人有关的各种信息享有个人信息权益。其中,原告对其主动公开的账号昵称、头像、简介、动态等信息,以及应用软件设置默认公开且原告未主动作隐私设置的粉丝和关注列表不享有隐私权;对实名认证、私信等包含有原告敏感个人信息且处于私密状态的信息享有隐私权。
其次,由于应用软件A和B之间共享涉案用户数据的行为主体同一,因此不涉及行为性质争议,仅应用软件C与另两款应用软件间共享涉案用户数据的行为涉及两个行为主体,有必要就行为性质进行判定。本案中,二被告通过合同约定在三款应用软件间共享涉案用户数据,且就处理目的、方式、数据范围及责任分担框架等内容进行约定,并通过用户协议、隐私政策等内容和节点向用户进行了告知,且合同约定、用户告知与实际处理行为具有一致性。此外,二被告系关联企业,分别运营的三款应用软件在内容方面也具有较强关联性,体现出二被告在三款应用软件间共享涉案用户数据的行为具有整体性。二被告通过协议对保障数据安全作出明确约定,在数据存储、管理方面采取了一定措施,客观上未显著增加用户个人信息被侵害的风险。综合以上因素,二被告作为个人信息处理者共同决定涉案用户数据的处理目的和处理方式,并约定了各自的权利和义务,应属于《个人信息保护法》第二十条规定的多主体共同处理个人信息的行为,而非第二十三条规定的向其他个人信息处理者提供其处理的个人信息的行为。
再次,二被告在三款应用软件上以原告所属账号名义共享涉案用户数据的行为,因相关账号及共享行为与原告具有直接对应性,并非一般意义上对已公开个人信息再行收集、使用的行为,不属于“合理处理自然人自行公开的信息”的情形,不能免除二被告取得原告有效同意的法定义务。本案中,涉案用户数据涉及不同的个人信息种类,决定了其个人信息处理行为的合法性基础有所区别,需要区分个人信息类型对二被告的个人信息处理行为进行侵权判断。对于账号昵称、头像、简介、动态、粉丝及关注列表等一般个人信息的处理,二被告的共同处理行为无需取得原告的单独同意,但仍应符合告知同意的一般要求,本案二被告的告知内容不够完整、全面,导致原告的同意亦非有效,因此侵害了原告的个人信息权益。对于实名认证、私信等私密信息的处理,依照《个人信息保护法》关于敏感个人信息处理的规则,即使是共同处理行为也仍需取得个人单独同意,但二被告未取得原告的单独同意,侵害了原告的隐私权。
综上,原告要求二被告共同承担赔礼道歉、赔偿损失的诉讼请求,于法有据,应予支持。
裁判结果
判决被告某信息公司、被告某科技公司向原告柴某某赔礼道歉并赔偿经济损失,驳回原告柴某某其他诉讼请求。原被告均提出上诉。二审判决驳回上诉,维持原判。
目前,该案判决已生效。
法官说法
北京互联网法院
综合审判三庭(少年法庭)
副庭长、法官
党的二十届四中全会提出,要引领发展新质生产力,深入推进数字中国建设。在数字经济高速发展的背景下,互联网企业联合多主体参与运营多款互联网产品(如网站、应用软件、小程序等),通过搭建类似本案的“统一服务平台体系”对用户数据进行跨平台收集和开发利用,现已成为一种普遍做法。这样的用户数据利用模式,在一定程度上提升了互联网企业的服务效率,优化了网络内容创作者等具有较强内容传播分享需求的用户体验,但也可能导致用户数据在本人不知情、无预期、没有明确同意的情况下在不同产品生态间流转,侵害了用户的合法权益。为规范这样的数据利用行为,本案从三个方面进行了探索:一是依法认定个人对用户数据享有隐私权、个人信息权益等合法权益;二是针对多主体参与处理个人信息的行为,提出从合同约定、告知内容、实际处理行为,以及对个人权益的影响等方面综合判断多主体参与的个人信息处理行为是否属于《个人信息保护法》第二十条规定的共同处理行为,从而为审查具体处理行为的合法性、厘清多主体责任承担形态奠定基础;三是区分不同敏感层级的个人信息,对具体处理个人信息的行为进行合法性判断。通过以上探索,以期平衡数据流通与个人信息权益保护间的冲突,为互联网企业跨平台利用和开发用户数据的行为提供合法性指引。在此提醒广大企业:在类似本案“统一服务平台体系”等数据利用创新模式下,个人信息处理者要严格避免知情同意规则的失灵,牢记充分告知与有效同意是个人信息处理的合法性基石,在处理不同敏感层级的个人信息时需构建概括同意、明确同意、单独同意等分级处理机制。同时,我们也更希望看到个人信息处理者能够考虑通过优化隐私政策告知和呈现方式,增强用户对敏感信息的控制权,提供“一键拒绝共享”功能等方法改进平台服务体系,实现数据价值最大化与个人信息及隐私风险最小化的双重目标。
专家点评
清华大学法学院
副院长、教授
程啸
本案判决的典型意义在于对共同处理个人信息的正确认定。《个人信息保护法》第二十条第一款规定,两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。由此可知,判断是否属于共同处理者的根本标准是共同决定个人信息的处理目的和处理方式。之所以如此是因为,在个人信息处理中有很多事情需要决定,如处理目的、处理方式、处理的个人信息的种类、个人信息的保存期限等,但是,其中最重要的事项是个人信息处理目的和处理方式,它们在个人信息处理中具有决定性意义。一方面,只有在个人信息处理活动中自主决定处理目的、处理方式的组织、个人,才是个人信息处理者,否则,虽然客观上在处理个人信息,但只是属于受委托处理个人信息的组织或个人。另一方面,个人信息的处理目的、处理方式属于处理者处理个人信息前必须告知个人的事项,无论该处理活动本身是否需要个人的同意。并且,基于个人同意处理个人信息的,如果个人信息的处理目的或处理方式发生变更的,个人信息处理者还应当重新取得个人的同意。故此,就共同处理者而言,只有共同决定处理目的和处理方式的组织或个人才是共同处理者。所谓共同决定个人信息的处理目的和处理方式,是指多个处理者之间对于个人信息的处理目的和处理方式都是自主决定的,并且它们之间是存在意思表示的一致或者存在意思联络。本案的两个被告某信息公司和某科技公司分别运营三款应用软件,前者运营应用软件A和B,后者运营应用软件C。同时,两个被告签订合同约定了,通过“统一服务平台体系”下的该三款应用软件共享用户数据的目的、方式、范围及责任分担、数据安全保障举措等。因此,本案两个被告构成共同处理个人信息的情形。
本案两个被告运营的应用软件处理敏感个人信息而未依据《个人信息保护法》第二十九条取得个人单独同意,并且不存在《个人信息保护法》第十三条第一款规定的不需要取得个人同意的情形时,因此,它们的处理行为侵害了个人信息权益,应当承担侵权责任。《个人信息保护法》第二十条第一款规定,个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。本案中,由于某信息公司和某科技公司是关联企业,且二者明确签订了合同对共同处理个人信息进行了约定,可以认为两个被告在侵害个人信息权益上具有主观的意思联络,它们的侵权行为构成共同加害行为。因此,法院判令二被告承担连带责任是正确的。
来源:北京互联网法院