南方财经全媒体 见习记者严灿 21世纪经济报道 见习记者郑雪 北京报道
(资料图片仅供参考)
APP在未征求用户有效同意的情况下,对用户画像信息强制收集并用于个性化推送。这一在移动互联网时代屡见不鲜的现象,日前被认定为侵权。
近期,北京互联网法院审结了一起APP强制收集用户画像信息侵权案。认定涉案软件在首次登录界面收集用户画像信息,未提供跳过或拒绝等选项,属于对个人信息的强制收集,构成侵权,依法判决被告涉案软件运营者承担相应侵权责任。随后,被告上诉,二审维持原判,目前该案已生效。
用户画像是精准营销和个性化内容推荐的基础,对于企业来说,了解和掌握的数据越多,用户画像会更完善,推送也会更加精准。《个人信息保护法》对此做出了回应:通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
中国社会科学院大学互联网法治研究中心执行主任刘晓春在接受21世纪经济报道记者采访时分析,《个人信息保护法》为个人信息保护和企业合规提供了基础且全面的框架和指引。在个人信息保护和数据开发上,她建议不断细化规则、关注匿名化技术发展和规则构建,以实现二者平衡。
案情:未经用户有效同意强制收集用户画像信息据悉,2021年1月,原告罗某在使用一款英语学习软件时,发现该软件未经告知个人信息收集政策,要求用户必须填写“职业”“学龄阶段”“学习目的”“英语水平”“真实姓名”等信息后才能完成登录,存在强制收集用户画像信息的行为。
同时,罗某还发现,名下的两个手机号码在未经明确授权同意的情况下,被该英语学习软件擅自收集信息,并配置了账号密码,下发多条营销短信。
此外,罗某表示,在未经同意和告知信息共享的情况下,被告将该英语学习软件中的账号信息和订单信息共享至其他两款关联产品中超范围展示和使用。
罗某认为,涉案软件运营公司的相关行为已经严重侵害了自身的个人信息权益和私人生活安宁权,故诉至法院,请求法院判令该公司向原告提供全部个人信息副本、停止使用并删除个人信息、停止超范围使用个人信息、公开赔礼道歉并赔偿损失。
被告涉案软件运营者辩称,用户画像信息并不具有识别性,不属于个人信息。作为英语学习服务提供者,需要针对不同用户需求,开设不同的课程,只有了解了年龄段、英语水平、学习需求等信息,才能精准地为用户推荐合适的课程服务。因此,被告设置相关标签是提供服务所必需的,并未违反信息收集的必要性原则,且相关信息是原告主动填写,原告通过自己主动做出的行为同意了被告的信息收集行为。
同时,被告还表示单纯的手机号,并无原告姓名,不构成个人信息,账号密码系被告为原告配置,也非原告个人信息。并且手机号由其合作的线下体验店收集,其并无收集原告个人信息的主观故意。
对于超范围使用的指控,被告表示,三款软件属于互补的关系,用户可根据需要同时使用,产品设计时,账户和密码实施互通是为了方便用户使用,是行业内普遍做法。
法院:用户画像属个人信息个性化推送不是强制收集理由本案的争议焦点主要为APP对用户画像的强制收集,用于个性化推送,是否侵犯原告隐私权和个人信息权益。
北京互联网法院认为,关于个人信息的定义,《民法典》从“识别”的角度看,明确了一些信息虽单独呈现不足以识别特定自然人,但与其他信息结合可起到识别特定自然人的效果;《个人信息保护法》则从“关联”的角度出发,界定了个人信息涵盖范围。
本案中,被告所收集的用户画像与原告账户、手机号等结合的信息组合达到了可识别的标准,构成个人信息;同时对作为信息处理者的被告来说,用户画像是在其控制之下的已识别特定自然人的特定账户中,通过用户提交的方式,进一步收集的有关信息,该信息体现了与个人人格形象相关的各种自然或社会属性,故属于个人信息。
针对为了进行个性化推送而在用户首次登录过程收集用户画像信息,这一行为是否必要和合法。法院认为,个人信息处理合法性基础的具体化条件主要分为“知情-同意”和法定许可两方面。
本案中,参考相关行业规范和标准,学习教育类APP基本功能服务为“在线辅导、网络课堂等”,必要个人信息为注册用户移动电话号码,涉案软件不应收集其他信息;同时《个人信息保护法》和《个人信息安全规范》等均明确规定,个性化推送信息不应作为必要或唯一的信息推送模式,需同时提供不针对个人特征的选项或提供便捷的拒绝方式。据此,被告不得以其仅提供个性化决策推送信息这一种业务模式为由,主张收集用户画像信息为其提供服务的前提。
另一方面,关于被告是否取得“知情-同意”。涉案软件未经原告允许的情况下配置了账号和密码,使其无需个人信息授权,即直接进入了登录页面,属未经同意收集用户画像信息。
同时,被告在用户首次登录界面要求用户提交相关信息,未设置“跳过”“拒绝”等不同意提交相关信息情况下的登录方式,使得提交相关信息成为成功登录、进入到功能使用首页的唯一方式。有悖于《个人信息保护法》第十六条规定,“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。”因此,不能被认定为有效同意。
综上,被告收集用户画像信息的行为并非“履行合同所必需”,亦未征得用户有效同意,构成侵权。此外,被告未经同意向原告发送营销短信、向关联软件共享信息亦构成侵权,法院判决支持原告行使查询权和复制权。
最终,北京互联网法院判决被告涉案软件运营者向原告罗某提供个人信息副本、删除个人信息并停止个人信息处理行为,赔礼道歉并赔偿维权支出2900元。
专家:个保法守护个人信息权益合理收集利用成新挑战当前,数据已成为企业市场竞争的重要组成部分。用户画像是精准营销和个性化内容推荐的基础,对于企业来说,了解和掌握的数据越多,用户画像会更完善,推送也会更加精准。
“用户画像是平台为了更好地了解用户,通过不同维度的标签赋予一个单独个体的属性。除了基本信息,也包括用户直接在平台上产生的行为,如在资讯和视频应用中点击的文章、刷到的视频,浏览时间,参与的活动,点赞,评论,举报等;以及根据这些直接行为,分析构建出的属性(非准确),如性别、年龄层、爱好、购买力等”,资深互联网运营专家代琳(化名)在接受南方财经全媒体记者采访时说道,“用户画像与文章、长短视频、商品、课程等内容画像可深度结合,通过分析用户画像,可以更了解平台特点,更易于自身定位;同时可实现更准确、打开率更高的个性化推送,增加用户粘性,提高用户活跃度;另外也可以针对性地进行广告投放,增加广告转化。”
但是,生活中经常出现个性化推送被滥用的情况,同时随着用户个人隐私保护意识的不断增强,愈发精准的定向推送也充满了争议,引起了不少人的不安和拒斥。
2021年11月1日,《个人信息保护法》正式施行,明确了对个人信息的处理、利用和保护,其中重点提到了自动化决策。第二十四条规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
“总的来说,《个人信息保护法》为合规提供了一个比较基础且全面的框架和指引。个保法的相关规定,实际上对于定向推送,即《个人信息保护法》所提及的自动化决策、个性化推荐,提出了较高标准的合规要求,已经超越了欧盟的GDPR。”刘晓春进一步解释,一方面《个人信息保护法》的相关条文给了用户退出或者说拒绝的自由。在此标准下,平台需要有一个单独的按钮或者是退出的选项。另一方面,如果企业的相关做法影响到用户利益,企业还具有说明义务。
刘晓春建议,如果用户主张强制收集或者未经同意收集个人信息,法院可以根据《个人信息保护法》的相关规定作出裁决,这是一个非常明确的标准。我们也可以看到,有时用户并不是很介意,或者说用户涉及利益较小个人不去起诉,比如检察院也可以通过公益诉讼的方式,不断建构和完善规则。
同时,如何在个人信息保护和数据开发利用方面找到平衡?也成了各界面临的新挑战。
代琳表示,“虽然只有在经过用户授权的情况下,才可以通过用户画像提供更精准的个性化推荐;但遇到用户不同意相关信息条款的情况时,也可以通过如下方式为用户提供服务,如推送整体用户的浏览和点赞热门、不同时间段热门、各类排行榜等,以及运营者精选的优质内容或商品数据。这也是在考验各大平台的基本功,需要长期的积累和整体把控。”
“首先相关监管部门要给出更加具体、细分的规则和标准体系,包括结合具体行业领域给出的标准和细则。通过合规指引的不断细化,企业不断明确个人信息保护的合规标准。做到合规之后,就可以考虑下一步利用的问题。”刘晓春对记者表示。
同时她也呼吁社会各界关注匿名化,匿名化技术的发展、匿名化标准的建立完善,也有助于在保护个人信息的前提下促进数据流通。