近日,北京互联网法院审结了一起APP强制收集用户画像信息侵权案。在该案中,原告罗某认为被告运营的软件在用户首次登录时强制收集用户画像信息用于个性化推送,侵犯其个人信息权益。法院经审理认为,涉案软件在首次登录界面收集用户画像信息,未设置“跳过”“拒绝”等路径,属于强制收集,构成侵权,依法判决被告涉案软件运营者承担相应侵权责任。宣判后,被告上诉,二审维持原判,目前该案判决已生效。
原告罗某诉称,被告运营的软件在未告知隐私政策的情况下,要求用户必须填写“姓名”“职业”“学习目的”“英语水平”等内容才能完成登录,属于强制收集用户画像信息。同时,原告还主张被告存在未经同意向其发送营销短信、向关联软件共享信息等行为,侵犯其个人信息权益。原告诉至法院,要求法院判令被告涉案软件运营者向原告提供个人信息副本、停止侵权、删除个人信息、赔礼道歉并赔偿损失。
被告涉案软件运营者辩称,由于被告服务的性质,需根据不同用户需求,为用户推荐合适的服务内容,因此,收集相关标签是提供服务所必需,并未违反个人信息收集的必要性原则,且该信息是原告主动填写,原告通过自己主动作出的行为同意了被告的信息收集行为。
法院查明,原告在登录涉案软件时,进入账号登录界面输入用户名和密码,点击登录,即出现若干问答界面,需要对用户“职业”“学习目的”“英语水平”等内容进行填写,填写完成后,还需填写个人基本信息界面,输入中英文名等必填内容才能完成注册并进入首页。上述过程中并无“跳过”选项,亦无关于同意收集个人信息的提示。原告另行取证,在新用户注册登录时,在上述过程中出现若干问答界面前,会出现个人信息收集授权同意界面,用户在勾选同意后方可进入下一界面。
法院经审理认为,从相关行业规范上看,《个人信息安全规范》明确规定,个性化决策推送信息不应作为必要或唯一的信息推送模式,需同时提供不针对个人特征的选项或提供便捷的拒绝方式。据此,被告不得以仅提供个性化决策推送信息这一种业务模式为由,主张收集用户画像信息为提供服务的前提。
从涉案软件功能设置本身上看,履行合同所必需的范围,应限定在软件运营者提供的基本服务功能,或用户在有选择的基础上自主选择增加的附加功能。被告抗辩其针对不同用户需求推送个性化信息,虽可视为增进用户体验之举,但不能据此认定此为基础功能或用户必选功能而作为履行合同所必需。
涉案软件在用户首次登录界面要求用户提交画像信息,未设置“跳过”“拒绝”等不同意提交相关信息外的登录方式,使得提交相关信息成为成功登录、进入首页使用软件的唯一方式。此种产品设计将导致不同意相关信息收集的用户为实现使用软件的目的,不得不勾选同意或提交相应的信息。此种同意或对个人信息的提供,是在信息主体不自由或不自愿的情况下,强迫或变相强迫地作出,不能被认定为有效同意。
综上,被告收集用户画像信息的行为并非“履行合同所必需”,亦未征得用户有效同意,构成侵权。同时,被告未经同意向原告发送营销短信、向关联软件共享信息亦构成侵权,法院判决支持原告行使查询权和复制权。
最终,法院判决被告涉案软件运营者向原告罗某提供个人信息副本、删除个人信息并停止个人信息处理行为,赔礼道歉并赔偿维权支出2900元。
中国社会科学院大学互联网法治研究中心执行主任刘晓春认为,数字经济时代,数据作为生产要素的利用、流动和保护问题,成为构建新时代网络空间治理秩序的重要组成部分。在移动互联网产业中,以个性化推荐模式作为基础的商业创新的现象层出不穷,用户画像作为个性化推荐过程中需要处理的典型个人信息,其保护和处理规则的确立和完善对于行业发展具有重要规范意义。
她表示,本案中,法院确认了用户画像作为个人信息的法律属性,并明确了其收集和处理中两个基本问题的重要规则。一是是否需要获取用户同意,法院认为,如果个性化推荐并非涉案软件的基础服务功能,则收集用户画像不属于履行合同所必需,从而需要获得用户同意;二是如何认定“有效同意”,被告未能提供用户自主选择情况下的强制收集,不能认定为有效同意,从而构成侵权。法院的判决为用户画像的产业应用确立明确的法律规则适用标准,能够为包括用户画像在内的个人信息处理行为提供清晰的指引,从具体事实和场景出发,强调个人信息权益保护与数据要素流通秩序的协调统一,为确立一般性的行业合规规则提供基础,有助于数字经济产业规范、有序、健康发展。