查看: 2187|回复: 12
收起左侧

[IT业界] 购物App未经许可读取手机剪贴板,法院:侵害用户隐私权

[复制链接]
春风万水千山
头像被屏蔽
发表于 2021-11-29 21:33:40 | 显示全部楼层 |阅读模式

IT之家 11 月 29 日消息,据广州互联网法院公众号消息,正值《个人信息保护法》正式施行一个月之际,广州互联网法院审结了一起手机 App 未经许可监测读取手机剪贴板的网络侵权责任纠纷。

林某在使用“好购”公司运营的“好购”App 时发现,该 App 存在未经用户同意监测、收集手机剪贴板信息的情形,并提供了自行编写的《“好购”App 读取剪贴板信息技术分析报告》和某司法鉴定所出具的鉴定意见,上述报告结果和鉴定意见均为“好购”App 具有监控手机剪贴板功能,当该 App 监测到剪贴板有数据时,就会自动获取剪贴板上的所有数据。

林某认为:剪贴板可以存储个人身份证号、手机号、照片等涉及隐私的个人信息,但“好购”App 的《隐私政策》并无收集手机用户剪贴板信息的相关说明,也未履行告知提醒义务征得用户同意,“好购”公司的行为侵害其个人信息权益及隐私权。故其将“好购”公司诉至广州互联网法院,要求该公司停止侵害并删除未经许可收集的信息、赔礼道歉、消除影响,并赔偿精神损失 1 元。

“好购”公司辩称:为了提升用户体验“好购”App 需获取剪贴板数据,但仅将符合格式要求的数据上传网络服务器分析并匹配对应的商品,如有对应的商品则进行跳转,如无对应的商品则丢弃不存储。

经法院审理查明:“好购”App 的《隐私政策》关于“用户信息的收集和使用”中对 App 拟收集的用户信息进行了列举,用户剪贴板信息并未包括在列举上述范围内,成功安装 App 后,手机页面显示的 App 权限内容也未包含剪贴板信息。

结合鉴定意见和“好购”公司的答辩,法院确认“好购”公司存在未经林某许可监测、读取剪贴板信息的行为。

广州互联网法院判决:一、“好购”公司于判决发生法律效力之日起十日内向林某出具书面道歉声明;二、驳回林某的其他诉讼请求。上述判决已发生法律效力。
裁 判 理 由

2020 年 1 月立案后,林某自行委托某司法鉴定所对“好购”App 进行鉴定,“好购”公司又于 2020 年 10 月向本院申请司法鉴定,后因该公司未按照要求在规定时间内提交软件源代码,导致司法鉴定无法进行。因涉案法律事实发生于《中华人民共和国民法典》施行前,根据《最高人民法院关于适用〈中华人民共和国民法典〉时间效力的若干规定》第一条第二款关于“民法典施行前的法律事实引起的民事纠纷案件,适用当时的法律、司法解释”的规定,本案适用民法典施行前的法律、司法解释的规定进行处理。

法院认定“好购”App 存在监测、读取剪贴板信息的行为,“好购”公司作为“好购”App 的实际运营者、网络服务提供者,未向林某主动告知上述情况且未经林某许可,存在过错,依法应向林某承担侵权责任。理由如下:

一、该行为系以技术手段侵入林某虚拟私密空间的行为。

根据《中华人民共和国民法总则》第一百一十条第一款的规定,自然人享有隐私权。私密空间是自然人隐私的重要组成部分,任何组织或者个人不得进入、窥视他人的私密空间。私密空间不限于传统的物理空间,随着互联网的发展,人们的活动范围和信息存储范围已经拓展至网络虚拟空间,私人支配的网络虚拟空间也应纳入私密空间的范畴。

手机存储空间是手机用户私人支配、不愿为他人知晓的虚拟私密空间,属于个人隐私;手机剪贴板作为手机存储空间的一部分,亦属于个人隐私。

“好购”公司未经林某许可监测、读取其手机剪贴板信息,属于以技术手段侵入林某虚拟私密空间的方式侵害其隐私权的行为。

二、该行为造成林某私密信息处于不安全状态,私人生活安宁受到侵扰。

该行为会导致林某手机中的私密信息可能被“好购”公司收集、上传、使用,该可能性实现的情形是两个“
正义羊
发表于 2021-12-1 18:56:46 | 显示全部楼层

法院明确App未经许可读取手机剪贴板系侵权行为

手机用户经常会遇到这样的场景:在A软件复制了一段文字,打开B软件,会收到提示:“B粘贴自A”。这是因为App读取了“剪贴板”的内容——手机号、住址、银行账号等内容都可能被复制粘贴。这种常见的场景,是否构成对用户隐私的侵犯,在过去一直存在争论,现在有法院对此作出了定论。

9182afb8ce8c701.jpeg

近日,广州互联网法院宣判了两起案件,均认定App未经用户同意即读取“剪贴板”内容侵犯了用户隐私权。

有专家向《财经》E法表示,这两起案件的判决起到合规指引作用,也符合《个人信息保护法》确立的个人信息处理的相关原则。

未经用户许可读取“剪贴板”构成侵权

萌推是由上海突进网络科技有限公司(下称“突进公司”)运营的一款电商App。用户李某发现,她与朋友聊天时经常会收到朋友分享的萌推App分享口令,口令里写着“复制这句话后打开萌推App。李某发现,打开萌推App后不用进行粘贴,就会自动弹出一个“帮他/她砍一刀”字样的页面。李某认为,口令分享与系统“剪贴板”有关,是萌推App 自动收集用户复制在“剪贴板”的信息,跳过用户对“剪贴板”进行了操作。但是萌推App在她安装时从来没有提示过该程序要收集“剪贴板”信息。

李某认为,手机“剪贴板”并不只是用来存储口令,也可以存储包括但不限于个人账号、密码、银行账号、行程信息、位置信息、图片等多种信息。她认为,突进公司侵犯她的以下权益:一是,突进公司未提示,也未主动披露收集“剪贴板”信息的行为,侵犯了其知情权;二是,萌推App 没有设置禁用口令分享功能的选项,也没有提示“如果不希望萌推App 访问、收集剪贴板信息,请不要使用口令分享”,其选择权没有得到实现;三是,突进公司未经许可,擅自收集“剪贴板”上个人信息的行为,侵犯了其个人信息权益;四是,她的手机“剪贴板”存储了个人隐私信息,突进公司擅自收集,侵犯了其隐私权。

因此李某请求法院判令,确认突进公司侵害了她的知情权、选择权、个人信息以及隐私权;要求突进公司立即停止侵权行为,包括但不限于停止未经她许可收集其个人信息、隐私信息的行为,删除未经她许可已经收集的信息;要求突进公司对上述行为道歉,消除影响,赔偿其精神损失费1元。

对于李某的诉请,突进公司辩称,萌推App 口令功能的流程明确、提示清楚。萌推App不存在李某所称的手机“剪贴板”的权限设置、隐私管理问题,萌推App 口令功能不涉及收集、使用个人信息的情形,符合国家标准、监管规则,属行业惯常做法。

突进公司称,萌推App 在口令功能实现过程中,不存在任何对用户设备端、服务器端交互信息的存储,亦不涉及任何读取设备存储空间的情况。此外,萌推App 口令功能不存在侵犯李某个人信息的情形。无论是系统,还是萌推App,其均位于用户使用、控制的设备中,用户在该设备中的信息及具体操作并不能被该公司掌握。该公司仅在用户使用萌推App 并与萌推服务器通过网络进行数据传输时,才能获得传输过程所包含的信息。而在萌推App 口令功能实现过程中,用户设备端向萌推服务器传输的信息仅为口令ID,不涉及李某所称的个人信息,该口令ID 并不符合《个人信息安全规范》对个人信息的定义。

法院审理认为,突进公司存在未经李某许可监测、读取“剪贴板”信息的行为,并在进行格式分析后,将符合格式要求的有效信息上传至其网络服务器进行分析匹配。

法院认定,手机存储空间是手机用户私人支配、不愿为他人知晓的虚拟私密空间。手机“剪贴板”作为手机存储空间的一部分,亦属于私密空间。突进公司未经李某许可,监测、读取其手机剪贴板信息,属于以技术手段侵入李某虚拟私密空间的方式侵害其隐私权的行为。

法院判令,突进公司向李某公开致歉。

《财经》E法注意到,广州互联网法院近日还审结了一起APP未经许可监测读取手机“剪贴板”的网络侵权责任纠纷——林某在使用好购APP时发现,该APP存在未经用户同意,监测、收集手机剪贴板信息的情形,他认为该行为侵害了其个人信息权益及隐私权,故将好购App的运营企业诉至法院。最终,法院判决,好购App侵害了林某的隐私权,要求其向林某出具书面道歉声明。

App收集信息应以用户知情同意为前提

关于App读取“剪贴板”中的内容是否侵犯个人隐私的争论由来已久。

2020年6月23日,苹果新系统iOS14发布,该系统新增了一项隐私保护功能,当某一个应用读取剪贴板时,系统会弹出通知——显示“A粘贴自B”,以提醒用户是哪个应用访问了剪贴板。

苹果iOS14系统发布之后,有自媒体曾进行了一项测试,国内 40 款主流应用只有 5 款不会读取用户“剪贴板”。

也有海外用户发现,升级后的苹果iOS14系统不断提醒他们,一款知名的短视频App每隔几秒便会访问“剪贴板”。具体表现为,用户在某一款App中复制一段文本,紧接着打开这款App,随意打出几个字母,系统就会提示用户App正在读取“剪贴板”。此事引发用户质疑,甚至引发舆论风波。

对此,这款App方面回应称,不存在私自访问用户“剪贴板”的情况,启用这一功能是为了打击垃圾评论,治理恶意刷评论。此后这款App承诺,将进行版本更新,停止访问“剪贴板”。

一位不愿具名的技术开发人士告诉《财经》E法,曾经出现过通过读取“剪贴板”内容,窃取数字资产的案例。2018年4 月,360 互联网安全中心在PC 平台首次监控到一类加密数字货币木马。该木马不断监控用户的“剪贴板”内容,判断是否为比特币、以太坊等加密数字货币地址,然后在用户交易的时候篡改目标地址,从而实施盗窃。

上述技术人士对《财经》E法表示,“剪贴板”是数据交互的存储空间,可在不同应用之间进行文本、URL、图片、颜色的数据交换。“剪贴板”确实存在安全隐患,但是否构成侵害取决于使用者的目的。当前常见的较严重的侵权隐患包括:复制的内容是账号、密码、特殊文本等敏感信息。

中国电子技术标准化信息安全中心测评实验室副主任何延哲对《财经》E法表示,从实际运用场景来看,如果一款App仅仅是读取“剪贴板”的内容,而没有未经同意就把这些信息进行识别并上传到后台,严格来说并不算是在“收集个人信息”。将未经用户同意读取“剪贴板”内容认定为存在侵犯隐私,虽然符合个人信息处理应遵循的“合理-必要-最小化”原则,但也需要考虑具体应用场景。可以想见的是,越来越多的App开发者会根据合规要求,在读取“剪贴板”内容之前会以弹窗形式提醒用户,而频繁的提醒可能导致用户体验变差。

广州互联网法院法官认为,随着中国互联网经济和数字化建设的快速发展,互联网平台、手机App随意收集、违法获取、过度使用及非法买卖个人信息的问题日益突出。

法官提醒,互联网平台、手机App作为个人信息处理者,收集使用个人信息时应当按照隐私政策,以用户知情同意为前提,主动告知收集的个人信息种类,自觉履行《个人信息保护法》《网络安全法》《数据安全法》规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护。

在此前开展的App违法违规收集使用个人信息专项治理中,相关监管部门强调,App运营者收集使用个人信息时,不得收集与所提供服务无关的个人信息;收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则,并经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息。

风之暇想
发表于 2021-11-29 21:55:45 | 显示全部楼层
QQ:雨我无瓜
ruancm
发表于 2021-11-29 23:09:15 | 显示全部楼层
本帖最后由 ruancm 于 2021-11-29 23:10 编辑

就没几个APP不读取剪切板
3到15个字
发表于 2021-11-30 07:45:30 来自手机 | 显示全部楼层
哪个购物app不读剪贴板?还催生了网页修改剪贴板。
xndd
发表于 2021-11-30 08:26:20 | 显示全部楼层
能罚到破产吗
cnseatech
发表于 2021-11-30 10:28:30 | 显示全部楼层
偷信息的还少吗
jksfan
发表于 2021-11-30 10:33:01 | 显示全部楼层
所有的App基本都这么操作的吧
lookupsme
发表于 2021-11-30 10:33:55 | 显示全部楼层
淘宝口令,要读剪贴板,不给还真不好找到对应的商品,咋办
法院说要经用户同意,以后真的跳出提示,又有多少人知道该不该不给
skylinext
发表于 2021-11-30 17:17:51 | 显示全部楼层
我就问国内几个大厂有几个APP是不窃取用户隐私的?
2457774381
发表于 2021-12-1 09:15:35 | 显示全部楼层
网页读取粘贴板和修改粘贴板是不是罪归浏览器?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 12:26 , Processed in 0.141276 second(s), 22 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表