读取剪切板行为的合规性分析与实操建议

来源:广东广悦律师事务所

文章摘要
编者 “复制+黏贴”是人们在使用电脑、手机等电子设备过程中最常用的操作之一,而为了更进一步优化移动用户的产品体验,不少应用程序,例如淘宝、支付宝、百度网盘更是利用相似的技术原理设计出了“淘口令”、“吱
编者
“复制+黏贴”是人们在使用电脑、手机等电子设备过程中最常用的操作之一,而为了更进一步优化移动用户的产品体验,不少应用程序,例如淘宝、支付宝、百度网盘更是利用相似的技术原理设计出了“淘口令”、“吱口令”和“复制盘口令”等营销推广工具,即应用程序通过自动识别和读取用户在上一应用程序内复制的链接、文本或图像等内容,实现快速跳转至特定商品、信息分享界面或加入特定群组的目的,使得用户能够极为便捷地进行购物、交友、知识共享等活动。
在这些常见的应用场景背后,实际上是“读取剪切板”(剪切板又称为“剪贴板”)功能在发挥作用。但尽管这一功能使用广泛且极为频繁,直至近两年iOS和安卓手机系统陆续推出了“剪切板读取提醒功能”——即系统会在应用程序读取用户剪切板内信息时以弹窗等形式提示用户,公众才逐步关注到剪切板的数据使用问题,时至今日公众关于应用程序“读取剪切板”行为合规性的认知仍较为有限。
基于此,本文试图结合相关司法裁判及法律法规的规定对应用程序“读取剪切板”行为展开合规分析并提供实操建议。
一、典型案例
我国目前司法实践中与应用程序读取剪切板内数据相关的争议纠纷案例十分有限,其中广州互联网法院于2021年11月宣判的一起“未经许可监测、读取手机剪切板信息被认定为侵害个人隐私权”的案例是其中较有代表性的典型案例。
1.案情简介
根据广州互联网法院消息,在该案件中,消费者林先生发现其使用的一款手机应用程序“好购”APP在未经其同意的情况下,存在监测、收集其手机剪切板内信息的情形。
林先生认为,由于剪切板可能存储有个人身份证号、手机号、照片等涉及隐私的个人信息,“好购”APP在未通过《隐私政策》等方式就其行为予以说明,也未履行事先告知义务以征得用户同意的情况下,擅自实施收集用户手机剪切板内信息的行为已构成对其个人信息权益及隐私权的侵害。因此,林先生将“好购”公司诉至法院,要求该公司立即停止侵害、删除未经许可收集的信息、赔礼道歉、消除影响,并赔偿精神损失1元。
对此,被告辩称,“好购”APP仅对剪切板内符合特定格式要求的信息进行读取并上传至网络服务器以分析和匹配对应的商品,如匹配成功,将自动跳转至相应商品,如匹配失败,将删除且不予存储相关信息。
2.裁判要点
由于“好购”APP未能提供其软件源代码,基于双方的主张,法院最终认定,手机剪贴板作为手机存储空间的一部分,属于手机用户私人支配、不愿为他人知晓的虚拟私密空间,属于个人隐私。“好购”APP存在监测、读取剪切板信息的行为,可能使用户手机中符合特殊字段内的私密信息被收集、上传、使用,“好购”公司作为“好购”APP的实际运营者、网络服务提供者,未主动告知上述情况且未经林先生许可,存在过错,其行为造成林先生的私密信息处于不安全的高风险状态,这一行为侵害了其隐私权,因而应当依法承担侵权责任。
对此,广东省高级人民法院亦点评,“互联网平台、手机App应当根据法律规定收集、使用个人信息,对未经许可监测、读取手机剪切板信息等侵犯隐私权的行为,依法应承担相应的侵权责任。”
二、“读取剪切板”的行为定性
由于上述案件事实发生时间较早,彼时《民法典》《数据安全法》和《个人信息保护法》(简称“个保法”)尚未生效,我国数据合规监管体系亦不完善,因此法院主要依据《民法总则》中关于“隐私权”的相关规定作出裁判。那么在现行法律法规背景下,关于类似的“读取剪切板”行为又该如何进行认定呢?
在此之前,我们首先需要简要了解下何为剪切板,以及“读取剪切板”功能的实现原理。
1.何为“读取剪切板”
剪切板,实际上是手机上由操作系统提供的用于共享的缓存数据模块,通过iOS或Android系统向应用程序开发者提供一组API接口,不同的应用程序便可以作为数据输入方或数据调用方,通过接口把数据上传到剪切板内,或者从剪切板中获取数据,以实现数据跨应用程序互通、共享的目的。
例如,淘口令的工作原理即为,商品分享者向商品接收者转发通过调用API生成的淘口令,由接收者复制完成淘口令并打开淘宝APP,在应用程序开启后,淘宝APP通过读取商品接收者剪切板内的信息,自动监控并截取到对应的口令,将口令上传到服务端,进而解析出相应的信息,并向接收者提供跳转至特定商品等业务选项。


*示例图*
2.“读取剪切板”是否构成个人信息处理行为
在《个保法》体系下,认定特定行为是否侵害个人信息权益的风险,需要首先判断这一行为是否涉及个人信息处理行为,例如收集、存储、使用个人信息等。
关于“读取剪切板”,根据目前淘宝APP《隐私权政策》“应用权限申请与使用情况说明”中的描述,淘宝会申请获取安卓操作系统有关剪切板的授权,以访问剪切板内容,但“仅限于本地读取淘口令,(且)不存储任何剪切板信息”。
类似的表述在中国工商银行掌上银行、搜狗输入法等多款APP的隐私政策中也有所体现,例如《工银融e行个人信息保护政策》明确,“当您启动融e行移动端时,我行会有条件地读取您手机剪切板内容 (仅在手机剪切板上出现连续数字并由系统判断为银行账号时读取数字部分),用于询问您是否需要向此银行账号转账,如您确认转账并登录融e行后,页面会跳转至转账汇款功能并自动将读取的数字部分填写至收款账号输入框中,简化您的操作。为切实保障您的个人信息安全,我行仅读取剪切板上出现的连续数字,不读取其他内容,且读取的内容均存储在客户端本地(仅存储最新的一条不留存历史记录),不上传至我行服务器。”

*淘宝《隐私权政策》*

* 工商银行掌上银行《个人信息保护政策》*
经梳理,上述主流应用程序使用剪切板的共同点在于:
(1)仅在本地读取剪切板内信息;
(2)不存储或仅在本地存储剪切板内信息;
(3)部分应用程序仅对符合特定格式的剪切板内容进行读取。
参考国标文件《信息安全技术个人信息安全规范》(简称“安全规范”)中的定义,“收集(个人信息)”是指“获得个人信息的控制权的行为”,其获取方式包括个人信息主体主动提供、与个人信息主体交互过程中进行自动采集,或通过共享、转让、搜集公开信息等间接获取。但需要特别注意的是,如果产品或服务的提供者提供工具供个人信息主体使用,而不对个人信息进行访问的,则不符合该文件关于“收集”的定义。
根据这一标准,由于淘宝、搜狗、掌上银行等应用程序在使用剪切板的过程中,所有信息均在本地读取和存储,不涉及向云端回传个人信息,不存在控制个人信息的行为,因而不构成处理个人信息。
但应当注意的是,如应用程序在调用剪切板权限的过程中,实际上实施了超出上述《隐私政策》规定的行为,例如不加限制地读取和识别剪切板内信息、将剪切板内数据上传并存储在云端,或利用剪切板内容干扰操作系统功能等,则其行为性质可能发生变化,被认定为个人信息处理行为。如此时剪切板内信息包含身份证号、手机号码、住址,或银行卡账号、密码等个人信息的,仍存在侵害个人信息权益的风险。
三、合规建议

基于上述分析,结合目前法律法规的规定及主流应用程序的通行做法,剪切板作为一项重要的系统权限,要求应用程序在实施读取剪切板行为时应遵循一定的原则与要求。对此,我们主要建议如下:
1.应事先告知用户并获取同意
应用程序应当在调取剪切板权限前,以《隐私政策》等书面方式事先明确告知用户申请调用该权限的场景、目的及用途,以及是否会对所读取的内容进行存储或上传云端等,以确保用户全面、充分地知悉权限的具体使用方式。同时,在实际调用剪切板权限及读取剪切板内信息的过程中,不得超出上述约定授权范围处理信息。
2.仅读取符合特定格式和逻辑的信息
在调用剪切板权限的过程中,为避免出现错误读取用户个人信息和滥用剪切板权限的情况,应用程序可以结合所需读取信息的类型、目的和用途等,设置仅读取符合特定格式和逻辑结构的信息,以使得实际读取到的数据内容尽可能地特定,并直接指向所提供的服务内容。
3.仅在本地读取和存储剪切板内信息
由于将剪切板信息上传至云端并存储的行为将大概率被认定为对相关信息建立了控制权,如所上传的信息涉及到用户个人信息,将构成个人信息处理行为,应用程序及其运营者需要面临更高的数据合规要求,因此如非必要,应用程序应尽量将剪切板信息的读取使用行为控制在本地,且不存储或仅在本地存储剪切板内信息,同时对于本地存储的信息数量亦应当控制其上限,例如通过滚动覆盖的方式进行替换删除等。
技术驱动法律,专业成就未来