在之前的快讯中,我们讨论过自《中华人民共和国网络安全法》和国家标准《信息安全技术-个人信息安全规范》(PIS国家标准)等行政指导方针发布以来,中国个人信息保护法律制度的重大转变。执法行动经常成为新闻头条。随着公众对个人信息和隐私权保护的敏感度提高,越来越多的民事诉讼被提起,法院有更多机会解释关键的个人信息保护原则和做法。

2020年7月30日,北京互联网法院对黄某诉腾讯科技(深圳)有限公司广州分公司、腾讯科技(北京)有限公司(“微信读书案”)作出一审判决,厘清了企业应注意的一些常见个人信息和隐私问题,尤其是在中国运营移动应用程序时应注意的事项。本文重点介绍微信读书案的一些关键要点。

背景

在订阅腾讯的微信读书移动应用程序服务后不久,原告注意到其微信(腾讯提供的另一个移动应用)好友的读书信息可以在微信读书应用程序的“我关注的”和“关注我的”下查看,即使他未关注或允许这样的关注。原告起诉腾讯侵犯其个人信息和隐私权。原告称,腾讯通过捆绑式授权同意侵犯了他的权利,要求在初次注册其微信读书账号时收集他的微信好友列表。此外,微信读书应用程序在未获得适当知情同意的情况下,自动启动了关注微信好友和与微信好友公开分享其阅读习惯的功能。法院支持原告的诉讼请求,判令腾讯删除并停止收集和使用原告在微信读书上的微信好友列表,并停止向原告在微信读书上的微信好友分享原告的读书信息。

(1) “微信好友列表”和“读书信息”是否属于个人信息和/或隐私?

法院认为,尽管微信好友列表和读书信息(包括读书时长、历史和习惯)不是《中华人民共和国网络安全法》中提及的典型个人信息类型,但仍可以将其视为“个人信息”。参考PIS国家标准,该标准扩大了“个人信息”的定义以涵盖“反映特定自然人活动的信息”。

但法院认为,微信好友列表和读书信息是否符合《中华人民共和国民法通则》规定的“隐私”,将取决于实际情况。在微信读书案中,法院裁定,微信好友列表和读书信息缺乏“私密性”,因此不能作为“隐私”予以保护。法院引用了将于2021年1月生效的《中华人民共和国民法典》中提出的概念。法院认为,原告阅读过的并被披露予其微信好友的书本标题《好妈妈胜过好老师》和《所谓情商高,就是会说话》本质上并不是私密和不可披露的。

(2) 收集和使用原告的个人信息是否构成侵权?

至于腾讯是否通过捆绑式授权收集和使用原告的个人信息及其微信好友列表侵犯了原告的个人信息权利,法院认为,以这种方式获得授权同意本身并不构成侵权,因为微信读书与像微信这类已成为大众必不可少的通信应用不同,不希望向微信读书披露自己的微信好友列表的用户大可选择使用其他阅读应用。

但法院认为,腾讯自动激活关注功能和与其微信好友公开分享阅读习惯的功能,侵犯了原告的个人信息权利。法院认为,一般用户不会合理地预期其微信好友列表会被默认使用在微信读书上。腾讯在其条款和条件中没有“合理透明”地说明将以这种方式使用其微信好友列表。腾讯应在自动激活此类功能之前,获得明示同意,并突出提请原告注意其微信好友列表和阅读习惯将被如何使用。

为什么这对您很重要?

随着《民法典》即将实施,我们预计会有更多个人以企业侵犯个人信息和隐私为由,向法院提起诉讼。实际上,在微信读书案作出判决的同一天,法院还就针对移动应用程序抖音的运营商提起的民事诉讼作出了另一项未公开的判决。据媒体报道,抖音因侵犯原告的个人信息而被追究责任,原因是在提供朋友的个性化推荐供关注时滥用用户姓名、手机号码和社交关系,以及未经知情同意收集用户的地理位置。

以下是微信读书案的一些关键要点:

(1) “行为信息”,如在微信读书案中的读书信息,通常在移动应用程序中被收集和使用。现在已经确定,行为信息通常被视为个人信息,因此,建议企业在收集、使用或处理此类信息时遵守适用的个人信息保护义务。

(2) 与2021年1月生效的《中华人民共和国民法典》中的做法相一致,法院在微信读书案中分别审查了个人信息和隐私权是否受到侵犯。尚不清楚这种区分的实际含义是什么(例如,在同时侵犯个人信息和隐私权的情况下,是否会给予更高数额的损害赔偿)。在任何情况下,企业都应该牢记,诸如未披露的犯罪记录之类的信息,不仅侵犯个人隐私,还可能被视为“敏感个人信息”,根据PIS国家标准,此类信息需要更高级别的处理和保护。例如,应突出显示隐私政策中提及的“敏感个人信息”的收集和使用规则,并且必须征得明示同意。

(3) 平衡客户体验和合规风险与其说是一门科学,不如说是一门艺术。可以理解的是,企业倾向于优先考虑客户在使用其移动应用程序时的体验,因此,他们有意尽量减少因获得有效知情同意等而可能对客户造成的“干扰”。然而,微信读书案清楚地表明,如果不适当地采取这些措施,将产生不利后果。此外,企业不应想当然地认为集团内部共享个人信息本身是合理的。关键是要在实践中做到“合理透明”。

从这些案例中可以看出,中国法院在判定个人信息侵权和责任时,将全面审查移动应用的实际运营,特别是如何收集和使用用户的个人信息。因此,这就引出了一个问题:收集和处理个人信息的“一刀切”模式是否仍然适合管理合规风险。我们建议企业与不同的利益相关者紧密合作,审查和完善其做法,以迎接因收集和使用个人信息所带来的挑战和机遇。