企业遭遇隐私诉讼后的合规启示

来源:TMT法律论坛

文章摘要
热点事件 NEWS 4月15日,北京互联网法院官方公众号报道,某豆瓣App用户发现在并未授权该App收集其个人位置信息的情形下,仍然能够收到豆瓣App根据其所处的地理位置向其推送的广告,该用户以豆瓣未
热点事件 NEWS
4月15日,北京互联网法院官方公众号报道,某豆瓣App用户发现在并未授权该App收集其个人位置信息的情形下,仍然能够收到豆瓣App根据其所处的地理位置向其推送的广告,该用户以豆瓣未经同意收集、使用其地理位置信息为由诉至北京互联网法院。
*声明:由于本案正在审理中,得知事实有限,基于北京互联网法院的官方微信公众号和于2021年4月18日对豆瓣网站、App的访问和使用,小编主要结合《个人信息安全规范》等法律文件从以下几个要点简要评述了这一事件,不构成任何法律意见,仅供参考。
1. 个人信息 vs. 隐私
原告主张和诉求
地理位置信息属于个人敏感信息,具有隐私属性,“豆瓣”APP未经许可获取前述信息,并依据获取的信息定向推送广告,侵犯其隐私权和个人信息。
判令“豆瓣”APP停止侵害、赔礼道歉、提供退出定向推送选项,并赔偿损失1元。
关于个人信息和隐私的区别
根据《民法典》以及司法实践,个⼈信息和隐私既有交叉⼜有不同:
从权利类型看,隐私权具有绝对权属性,个人信息是受法律保护的法律权益。
从权利属性上看,隐私权与个人信息权根本上都体现自然人的人格尊严和人格自由价值,但个人信息权同时涉及信息利用、流通价值。
从权利包含的利益内容上看,隐私权主要体现精神利益,而个人信息权同时包括精神利益及财产利益。
从损害后果来看,隐私权保护具有私密性的信息,一经泄露即易导致个人人格利益受到损害;而非私密信息的个人信息,仅在被过度处理的情形下才可能使得信息主体受到人格或财产损害。
从权利特点上看,隐私权更注重消极性、防御性,保护更为严格;而个人信息权的保护,在注重预防侵害的同时,还强调信息主体积极、自决的利用权益,如选择、访问、更正、删除等。
在判定个人信息是否同时构成隐私时,北京互联网法院在“微信读书案“[1]中曾强调以“场景化模式”探讨哪些信息是隐私信息以及是否存在侵权行为,不宜把过大范围的个人信息划入隐私范围中。
[1] (2019)京0491民初16142号
2. 扩展功能的告知同意
4月16日,豆瓣更新了《豆瓣个人信息保护政策》,政策内容作了较大篇幅的调整,值得注意的是,其中加入了“基于位置权限的附加功能”的部分,表示如果用户不同意开启设备位置权限,豆瓣的第三方合作伙伴也可能根据用户的IP地址等其他信息向用户提供地理位置相关的广告等内容。
其中,“基于位置权限的附加功能”部分描述如下:
当你需要使用豆瓣搜索热映电影、同城活动及相关票务服务,或接收基于位置权限的个性化推送信息、广告时,你可以选择开启设备位置权限,授权我们收集和使用你的精准定位信息,以便我们向你推送附近的内容和服务。若你不开启此权限,你将无法收到基于精准定位信息进行的推荐,但不影响你使用其他服务。如你不同意开启设备位置权限,我们的第三方合作伙伴也可能根据你的网络信息(IP地址、接入网络的方式、移动网络信息)、设备信息(设备标识符、操作系统的设置信息、设备硬件信息、设备网络信息)向你提供地理位置相关的商品、服务或广告等信息。

《豆瓣个人信息保护政策》


另外,据小编了解,用户登录网页版豆瓣会弹出《豆瓣个人信息保护政策》更新的弹窗提示(如下图)

而用户在登录豆瓣App时,却并未收到关于隐私政策更新的弹窗提示。
应向个人信息主体逐一告知扩展功能及所必要收集的个人信息,并允许个人信息主体对扩展功能逐项选择同意
根据《个人信息安全规范》,在扩展业务功能首次使用前,应通过交互界面或设计(如弹窗、文字说明、填写框、提示条、提示音等形式),向个人信息主体逐一告知所提供扩展业务功能及所必要收集的个人信息,并允许个人信息主体对扩展业务功能逐项选择同意。
《豆瓣个人信息保护政策》中明确表明,“基于位置权限的附加功能”为附加功能,因此,应允许个人信息主体对扩展功能逐项选择同意,但更新后的版本未向所有业态用户展示告知并获得授权同意。
即便网页版中展示了弹窗,但并未有“我同意“等字眼,而是采用了”我知道了“,且用户不点击”我知道了“仍然能够正常访问和点击网页的其他内容。因此,存在未向个人信息主体告知、未获得个人信息主体合法授权同意的风险。
3. 共享个人信息的告知同意
4月16日更新的《豆瓣个人信息保护政策》中,与“基于位置权限的附加功能 ”中的“第三方合作伙伴”相关的涉及如下条款:
广告相关的共享
A. 广告推送与投放:我们可能会与投放广告的合作伙伴共享你的网络信息(IP地址、接入网络的方式、移动网络信息)、设备信息(设备标识符、操作系统的设置信息、设备硬件信息、设备网络信息)、经你同意获取的精准定位信息,且会对部分信息进行去标识化或匿名化处理,以便不会识别你个人。我们也不会共享你的个人身份信息(指可以识别你身份的信息,例如真实姓名或手机号码,通过这些信息可以联系到你或识别你的身份)。这类合作伙伴可能将上述信息与他们合法获取的其他数据相结合,以执行广告服务或决策建议。
B. 广告监测与统计:我们可能与业务的服务商、供应商和其他合作伙伴共享你的前述网络信息、设备信息,且会对部分信息进行去标识化或匿名化处理,以便不会识别你个人。我们也不会共享你的个人身份信息。这些信息将用来分析、衡量广告和相关服务的有效性。

《豆瓣个人信息保护政策》


共享个人信息应满足告知同意,如属于个人敏感信息还应满足更高要求,包括告知接收方的身份和数据安全能力并获得明示同意
根据《GB/T35273-2020信息安全技术个人信息安全规范》9.2,个人信息共享、转让个人信息时,应满足多项要求,其中包括:
向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的除外;
共享、转让个人敏感信息前,除上述中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意
可见,如向合作伙伴共享个人信息,需要向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意,如涉及个人敏感信息还有更高的要求。
本案报道前,豆瓣未能通过前一版本的《豆瓣个人信息保护政策》向用户就向合作伙伴共享用户个人信息有效告知和征得同意;而更新后的版本未向所有业态用户展示并获得授权同意,存在未向个人信息主体告知、未获得个人信息主体合法授权同意的风险。
4. 历史版本隐私政策的展示
豆瓣提供了自初始版本到当前版本的各历史版本的链接和文本,宜作为良好实践参考(如下图)

启示
1. 个人信息和隐私的概念存在一定交叉,极易混淆,在判定某类个⼈信息是否同时构成隐私时,建议根据不同场景进行分析。
2. 发布个人信息保护政策或隐私政策是遵循公开透明原则的重要体现,个人信息保护政策应清晰、准确、完整地描述个人信息处理行为。
3. 在扩展业务功能首次使用前,应通过交互界面或设计(如弹窗、文字说明、填写框、提示条、提示音等形式),向个人信息主体逐一告知所提供扩展业务功能及所必要收集的个人信息,并允许个人信息主体对扩展业务功能逐项选择同意。
4. 共享个人信息前,向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意;共享、转让个人敏感信息前,除前述告知的内容外,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意。
5. 提供历史版本隐私政策的链接和文本,这既是当前的良好实践和某些行业法律法规的要求(例如即将生效的《网络交易监督管理办法》第二十八条,要求网络交易平台经营者留存近三年全部历史版本平台服务协议和交易规则),也是未来的合规趋势。
技术驱动法律,专业成就未来