近日,北京互联网法院审结了一起个人信息保护纠纷案。该案中,个人信息处理者自动为用户勾选同意隐私政策并收集用户个人信息,即便用户撤回同意后个人信息仍被保留。对此,用户起诉涉事软件公司请求停止侵害其个人信息权益获法院支持。
一、流行语检索软件强行收集用户信息
新京报记者了解到,被告运营一款流行语检索软件。原告马某在使用时发现,该软件向用户提供了《服务协议》和《隐私政策》两份协议,在注册过程中,用户若未勾选“已阅读并同意服务和隐私政策”,软件会弹出提示要求用户阅读服务与隐私政策文件。原告发现,用户并不需要实际阅读,只要点击手机屏幕的任何位置,该提示框会消失,但是系统会自动勾选“已阅读并同意服务和隐私政策”的选项。
此外该软件在《隐私政策》中说明需要收集电话号码、设备信息等与词典功能无关的个人信息,并且没有能撤回同意选项的途径。在被告新增撤回同意的设置后,原告发现撤回同意后,自己的账号信息虽然不再显示,但账号评论却依然被保留。原告认为,被告的以上行为侵害其个人信息权益,要求被告停止侵害、赔礼道歉、赔偿精神损害抚慰金。被告辩称,涉案软件是社交类应用,可以收集用户的手机号等个人信息,用户点击“拒绝”按钮表示了对《服务协议》和《隐私政策》的拒绝,被告有权拒绝向不接受协议的用户提供服务,用户也可以通过注销账号的方式对同意进行撤回。
二、个人手机号并非使用软件必需信息
法院经审理认为,被告作为个人信息处理者,应保证用户对其预先拟定的个人信息政策充分知情,在此情况下自愿、主动作出“同意”的肯定性动作。被告未设置措施保证用户能够充分知情其隐私政策内容,在用户未实际阅读的情况下,返回界面后自动勾选“已阅读并同意服务和隐私政策”,并未让用户主动自愿作出同意的选择,不符合“自愿”“明确”的要求。涉案软件的官方描述、应用商店中的描述等均指向其词典功能,软件收集用户的手机号码并非使用词典功能的必需信息,超出了实现目的最小范围,应在不提供手机号等信息的情况下,为用户提供基本的查词服务。
法院认为,如果要求用户以注销账号的方式撤回同意,将产生如果不同意收集个人信息则无法继续使用涉案产品的情形,这既不属于个人信息保护法第十五条规定的“便捷的撤回方式”,又违反了第十六条规定的“不得以撤回同意为由拒绝提供产品或服务”的规定,因此不宜认定为一种撤回同意的方式。
法院判决被告删除收集的原告昵称、手机号码、密码、头像、设备信息和用户行为信息,书面向原告赔礼道歉并赔偿合理开支。一审判决作出后,被告提起上诉,二审法院驳回上诉,维持原判。
