供稿 | 深圳知识产权法庭

编辑 | 季文梨

日常生活中,大家可能遇到过以下情景:天气预报App要求访问通讯录、外卖App要求访问手机相册、网购APP要求打开摄像头……

那么,互联网社交平台收集用户信息的行为怎样才合法呢?

来看下面的案例——

基本案情

原告王某诉称:其使用微信账号登录被告腾讯公司运营的微视APP,该APP会获取原告的全部微信好友信息,原告在登录和使用的过程中,微视APP从未告知原告会收集和使用上述信息,原告也从未明确授权微视APP收集和使用上述信息。

原告认为,被告未明示告知收集信息的使用规则、目的、方式和范围,且未经原告同意使用其微信个人信息,包括地区、性别和微信好友关系等,微视APP的强制授权行为侵害了原告的隐私及个人信息权益,故向法院起诉,要求被告赔礼道歉并删除所有信息。

被告答辩称:该司通过《微信软件许可及服务协议》《微信隐私保护指引》向用户告知了收集、使用用户所在地区、性别信息,以及用户在使用微信与其他软件互通时,其他软件可以获取用户公开或者传输的信息,即已告知用户包括微视在内的软件将获取用户微信信息;此外,该司通过用户使用微信登录的方式获取用户授权同意,不侵害原告隐私和个人信息权益。

法院认为

本案系互联网社交平台用户就收集和处理用户信息的纠纷,涉及互联网社交平台个人信息和隐私的法律认定标准以及平台处理个人信息行为的合法性、正当性和必要性原则。

1. 受法律保护的个人信息核心要件在于“可识别性”,即“能够单独或者与其他信息结合识别特定自然人”,关键在于是否在客观上可识别特定自然人的身份

判断与自然人相关的信息是否具有个人信息意义上的“识别性”,可以综合考量识别场景、识别主体、识别效果、识别作用四个要素。属于隐私的个人信息重在其“不愿为他人知晓”的“私密性”,强调主观意愿,该主观意愿不完全取决于隐私诉求者的个体意志,客观上应符合社会一般合理认知。

本案中,王某主张微视APP获取的微信好友关系、地区、性别信息与其在微信中已公开的好友关系、地区、性别完全相同,已在其微信朋友圈公布且从未在微信设置中要求取消,王某主观上对其不具有隐私期待。据此,法院认定前述真实的微信地区、性别信息及微信好友关系属于受法律保护的个人信息,不属于隐私。

2. 互联网社交平台对个人信息收集、使用符合合法、正当、必要原则的评判标准

《民法典》《网络安全法》和《个人信息保护法》均规定,收集、使用用户所提供的个人信息,应当遵循“合法、正当、必要和诚信”的基本原则。

被告通过相关协议、微视APP的功能界面告知了原告“地区、性别”信息的收集、使用情况,使原告已知晓其个人微信填写的上述信息已授权微视APP使用,一定程度上满足了平台向用户披露信息收集、处理的目的和范围的义务,没有违反用户个人对其信息被平台收集和处理的知情权。微视APP和微信平台已通过《微信软件许可及服务协议》《微信隐私保护指引》向用户披露信息收集、处理的目的和范围。就诉讼行为发生前,被告通过微视获取原告地区、性别信息不违反合法性、正当性原则。

被告运营的微视APP强制获取用户地区、性别信息未满足互联网平台收集处理用户个人信息的必要性原则。

关于正当性的原则。原告在卸载微视APP重新使用同一账号登录微视APP并未勾选同意授权的情况下,原告作为用户有合理理由相信其已经不再授权微视APP使用微信好友关系,微视APP后台仍然将“通知推送”界面中“好友加入微视”默认为开启状态,在后台对已储存的微信好友关系继续使用的行为不符合王某对其授权行为意思后果的“合理预判”,故微视APP在原告二次下载微视APP未予授权的情况下继续使用其微信好友关系的行为并未获得有效的用户知情同意,不符合正当性原则。

法官说法

主审法官 蒋筱熙

深圳知识产权法庭副庭长、三级高级法官

本案虽然原告主张被告的侵权行为给其带来困扰,王某微信“地区、性别和微信好友关系”信息属于原告在微信中已公开的信息,微视APP从微信处获取的前述原告个人信息公开和覆盖的影响范围与微信相同,尚无证据表明被告将获取的个人信息通过其他方式给与第三方知晓或使用。原告主张被告行为为其带来一定困扰,其程度显然没有达到《民法典》要求的“严重精神损害” 的程度,也没有提供证据证明《个人信息保护法》要求的“损害”存在,对原告主张被告行为造成其个人权益损害要求赔偿的诉讼请求,法院不予支持。王某参加诉讼实际产生的合理费用应予支持。故判决被告支付原告诉讼请求中主张的合理支出。

数据可以合法自由流通的前提是数据收集和使用的合法性和正当性。自然人作为数据的重要来源主体之一,其个人信息作为数据的基础来源已经成为经济社会发展的重要数据资源类型。在互联网时代,涉及个人数据的场景和个人信息收集技术手段不断更新迭代,相应的个人信息范畴扩展到更多行为。

判断互联网社交平台中产生的与自然人相关的信息事项是否属于个人信息是否满足“识别性”的要求,应通过识别场景、识别主体、识别效果、识别作用界定。

《民法典》和《个人信息保护法》规定处理个人信息应当遵循合法、正当、必要和诚信原则,不得过度处理。

首先,合法原则与场景高度相关,不同场景下用户数据的收集和使用的方式和程度取决于特定场景下的用户偏好或期望,即用户数据的收集和使用是否合理(表现为得到用户的信任)取决于相应场景下数据行为的可接受性或者说是否为用户的“合理预期”。

其次,正当原则要求不仅目的正当,还应遵循使用(包括共享和转让等)形式和程序的正当性,除应当在个人同意的范围内合理收集,同时也应保证用户对个人信息使用和收集的知情权以保证用户充分理解平台对个人信息的收集和使用方式和范围符合其“合理期待”。

再次,必要原则需“禁止过度损害和保障不足”,保障个人信息处理不得超出正当目的、损害最小以及信息处理的内在利益均衡。

在举证责任分配上,综合考虑互联网平台与个人用户就用户信息收集处理是否符合法律要求这一事实的举证能力、举证成本、当事人对证据的控制能力等因素,法院认为就个人信息收集和处理过程中是否符合合法、正当和必要性原则,应当主要由互联网平台举证证明其处理个人信息行为是否符合法律规定。

本案是广东省第一宗审理个人数据的案件,也是个保法生效后全国第一宗适用个保法案件。将民法典和个人信息保护规则的适用在实际案例中明确,将为人民群众维护其合法权益提供保障,为企业规范利用个人信息提供指引,也为数字经济在法治轨道上健康发展提供了法治保障。

(本文仅代表作者观点,不代表知产力立场)

图片来源 | 网络

声明:本文来自知产力,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。