App用户个人信息及隐私权保护合规  ——评抖音App及微信读书App被判定侵害用户个人信息案

陈旭律师 华诚律师事务所

引言：

  市场上App数量已超过500万款，2021年初工信部依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，按照《关于开展纵深推进App侵害用户权益专项整治行动的通知》工作部署，工信部组织第三方检测机构对手机应用软件进行检查，尚有157款App未完成整改，主要都存在违规收集、违规使用、超范围收集个人信息的现象。

2020年7月30日，（2019）京0491民初16142号凌某某与北京微播视界科技有限公司网络侵权责任纠纷案、（2019）京0491民初6694号黄某与腾讯科技（北京）有限公司、腾讯科技（深圳）有限公司广州分公司隐私权、个人信息权益网络侵权责任纠纷案在北京互联网法院一审宣判，两个案件中，法院均认定抖音和微信读书侵害用户个人信息，但未认定侵犯隐私权。

一、“抖音”APP被认定侵害用户个人信息案

（一）案情提要

2019年2月9日，原告凌某某用手机号码注册登录抖音App，使用抖音的昵称为“wolf”,抖音号为2080810706。在“关注”列表中发现大量现实中的好友被推荐为“可能认识的人”，但原告手机通讯录为空。

2019年3月7日，北京互联网法院正式立案。

2019年8月15日及2019年8月30日，法院不公开开庭进行审理。

2020年7月30日，一审宣判，认定侵权成立。

本案抖音公司已上诉，现在二审审理阶段。

（二）诉辩主张

   1、原告凌某某主张可以总结为：

      原告的姓名、手机号码、社交关系、地理位置、手机通讯录均具有强烈的人身属性，是原告不愿意对外披露和被第三方未经同意获取的隐私信息。被告通过非法获取、知悉、保存和利用涉案信息，构成对原告隐私权的侵害。

涉案信息同时也是原告的个人信息，原告对此享有合法权益。首先，姓名、手机号码、通讯录、地理位置、好友关系均是被《中华人民共和国网络安全法》和国家标准明确规定的个人信息，符合识别特定自然人身份的要求；其次，涉案好友关系和地理位置都是原告在其活动中产生的信息，基于其特定身份跟微信、QQ及生活好友建立联系从而产生的好友关系，属于关联性个人信息。被告未经原告同意收集、使用涉案信息，与其关联公司在收集原告信息的过程中，存在数据共用、混同和泄露，构成对原告个人信息的侵害。

2、被告抖音的抗辩可总结为：

   （1）抖音推荐“可能认识的人”，并非基于原告的微信好友关系等，而是通过通讯录、抖音站内关系（粉丝、好友、关注）及通讯录和站内关系综合进行推荐。抖音向原告推荐“可能认识的人”是基于其他抖音用户授权访问通讯录、原告授权抖音向其推荐，从而向原告进行了推荐，被告并未掌握和使用原告主张的社交关系。被告并不知晓这些用户是否确实为原告好友，原告可自行判断并决定是否添加，也可选择关闭推荐。头像、昵称相同并不能证明被告收集、使用了原告的微信好友关系。部分被推荐人授权使用微信、QQ、微博、头条账号登录时，明确授权抖音App更改头像和昵称，不能以头像、昵称标准来判断。

（2）被告未侵害原告基于“好友关系”主张的隐私权和个人信息。首先，单独的好友关系不能识别到个人。其次，被告未实施侵害原告好友关系的行为。原告所称的微信、QQ好友关系由案外公司掌握，被告不可能、实际上也没有获取此类信息，被告无从知晓原告“生活好友关系”。抖音App 在用户注册账号前，将《用户服务协议》及《隐私政策》进行了充分且明确的告知，已通过弹窗提示，用户点击“允许”进行授权抖音访问其通讯录。将“可能认识的人”推荐给原告一个人查看，没有公开和披露，目的是方便原告更好的使用抖音的社交功能，信息的使用方式、目的、范围都是正当的。通过授权获取好友关系并进行推荐是社交网站的基本功能和商业惯例，符合合理、适当且必要原则。另外 ，抖音的推荐行为并未超出用户预期、无侵权故意，无损害后果，与“生活安宁”无因果关系。

（3）被告未侵害原告基于姓名、电话号码、通讯录主张的隐私权和个人信息。 

首先，抖音事先通过《用户服务协议》《隐私政策》明确告知用户在提供其电话号码的情况下会使用其手机号码，用户对利用电话号码推荐可能认识的人有充分的预期。手机号码是为了方便联系，如果保密起来没有存在的必要。用户将手机号码告诉他人时，建立了进行联系的合理期待，构成了使用同意。用户有预期，对于这些获得其手机号码的人会通过其他社交App与其联系并建立起除手机通讯录以外的联系路径。将手机通讯录的社会关系便利地转移到社交App中，为用户提供便捷、便宜、形式和内容更丰富多样的联系方式，有利于用户利益，也有利于公共利益。

其次，对于原告主张的保存期限问题，并无相关法律规定，为保证服务质量，对用户的个人信息进行长期保存，符合用户自身利益和合理期待，不构成侵权。

再次，授权手机App访问用户通讯录信息，是安卓、苹果底层系统提供的权限，即只要符合苹果、安卓的隐私政策，就可以在用户知情授权的情况下访问手机通讯录，这是国际上普遍接受的做法。

（4）被告未侵害原告基于所谓的“位置信息”主张的隐私权和个人信息。首先，模糊地理位置不能识别到个人。且模糊位置信息收集和使用已在《隐私政策》中告知用户，获得了用户的明确授权，且明确告知“个性化推荐是抖音核心的功能之一”，抖音会依据“地理位置”向您“推荐相关的城市、地区的音视频信息”，目的是为了更好地为用户提供本地服务，且没有披露给第三方知晓。模糊地理位置信息，难以从信息中判断出特定个人，不会对个人造成任何损害。

  综上，被告不存在原告主张的侵权行为，被告收集、使用信息的来源合法，目的正当，未超出用户授权许可范围，符合用户合理预期、用户利益及公共利益。被告无侵害原告隐私权和个人信息的行为，请求驳回原告全部诉讼请求。

（三）裁判思路

法院将案件争议焦点归纳为：被告行为是否构成对原告个人信息权益及隐私权的侵害；如构成，被告应如何承担侵权责任。

争议焦点一，被告行为是否构成对原告个人信息权益及隐私权的侵害

（1）原告的姓名和手机号码属于个人信息。本案中，被告对于原告姓名和手机号码的处理分为三个阶段：

手机通讯录属于个人信息，但不属于私密信息，同时每条联系人信息又属于该联系人的个人信息。所以，这种处理行为一般要征得两类主体的同意，即征得手机用户同意，又应征得每条通讯录联系人的同意，既应征得双重同意。但考虑到互联网行业发展的不同利益需求的平衡，需要在具体应用场景中考察是否存在构成个人信息合理使用的情形，即在没有对信息主体造成不合理损害的前提下，认定某些个人信息的利用行为可以不必征得信息主体的同意。

本案中法院，首先，从信息的特点和属性的角度；其次，从信息使用的方式和目的的角度；再次，从信息使用及其方式对各方利益可能产生的影响的角度，    综合分析后认定：虽然读取手机通讯录时不可避免地会读取原告的手机号码，但读取和匹配行为并不会对原告产生打扰，通常亦不会不合理地损害原告利益，且有利于满足其他有社交需求用户的利益及行业和社会发展的需要，属于对该信息的合理使用。但要注意的是，该合理使用亦应符合处理个人信息的合法、正当、必要原则。

本案中，原告未注册时，其不存在在抖音中建立社交关系的可能，被告从其他用户通讯录中收集到原告的姓名和手机号码后，通过匹配可以知道软件内没有使用该手机号码作为账户的用户，应当及时删除该信息。但被告并未及时删除，直至原告起诉时，该信息仍然存储在被告后台系统中，超出必要限度，不属于合理使用，构成对原告该项个人信息权益的侵害。

综上，原告的姓名、手机号码、社交关系、地理位置属于原告的个人信息，被告未征得同意处理上述个人信息的行为构成对原告个人信息权益的侵害；原告的上述信息不属于隐私，被告的使用行为不构成对原告隐私权的侵害。

争议焦点二，被告应就其侵害原告个人信息权益承担何种侵权责任。

根据判决结果，抖音应删除2019年2月9日前通过抖音软件收集并存储的原告姓名和涉案手机号码的个人信息，删除其地理位置信息，抖音公司向原告书面（注意：非公开）赔礼道歉，并赔偿经济损失1000元，合理维权费用4231元。

二、微信读书App被认定侵害用户个人信息案

（一）案情提要

2015年8月27日微信读书软件上线运营。

原告在使用微信读书（版本号：v3.3.0）时发现，由于微信将微信好友关系的数据交予微信读书，在原告未进行自愿授权的情况下，在微信读书的“关注”栏目下出现了使用该软件的原告微信好友名单。此外，微信读书未经原告自愿授权，默认向“关注我的”好友公开原告的读书想法等阅读信息。另外，即使微信好友在微信读书中没有相互关注关系，仍然能够互相查看对方的书架、正在阅读的读物、读书想法等。

2019年5月17日，北京互联网法院正式立案。

2019年10月15日、2020年4月16日，法院公开开庭审理。

2020年7月30日，本案一审判决认定侵权，现判决已生效。

（二）诉辩主张

1、原告主张可以总结为：

“微信”和“微信读书”系两款独立的软件，微信好友关系数据和微信读书的阅读信息应属于公民的隐私和个人信息范畴，在原告并未自愿授权的情况下，侵害了原告的个人信息权益和隐私权，三被告作为微信及微信读书的开发、运营方，应承担侵权责任。具体侵权行为如下：

2、被告腾讯公司的抗辩可总结为：

腾讯公司：

第一，已事先通过弹窗方式获得用户同意；腾讯公司在微信读书中使用微信好友关系的行为属于“使用”行为，而非收集行为；

第二，原告所提供的证据无法证明涉案微信读书存在自动关注好友的情况；

第三，关于向微信好友展示原告使用微信读书软件生成的使用信息，微信读书已通过用户协议获得用户同意，且在具体应用场景中予以充分提示，并不属于侵权行为。

（三）裁判思路

法院将案件争议焦点归纳为：微信好友关系、读书信息是否属于个人信息和隐私；原告主张的微信读书获取原告微信好友关系、向原告共同使用该应用的微信好友公开原告读书信息、为原告自动关注微信好友并使得关注好友可以查看原告读书信息的行为，是否构成对原告个人信息权益或隐私权的侵害；如构成，腾讯公司应当承担的法律责任。

争议焦点一，微信好友关系、读书信息是否属于个人信息和隐私。

本案中，第一，在均由腾讯计算机公司运营的应用软件中，获取OPEN_ID即可以识别用户身份；第二，昵称、头像、OPEN_ID等信息的组合未达到匿名化和去标识化的程度，尤其OPEN_ID在特定场景下结合其他数据仍可还原到具体主体身份。故而，符合“信息到个人”和“个人到信息”，属于个人信息。

争议焦点二，原告主张的微信读书获取原告微信好友关系、向原告共同使用该应用的微信好友公开原告读书信息、为原告自动关注微信好友并使得关注好友可以查看原告读书信息的行为，是否构成对原告个人信息权益或隐私权的侵害。

 法院认为：《民法总则》第一百一十一条、《网络安全法》第四十一条，上述规定明确了网络运营者收集、使用个人信息应当遵循合法、正当、必要的原则，其处理个人信息需要同时满足让用户知情、获得用户同意的条件，该知情及同意不仅包括对信息内容的知情及同意，还包括对收集、使用的目的、方式和范围的知情及同意。

从必要性看，法院认为：腾讯公司对成功开发及运营微信所积累的用户关系数据，可以在其关联产品中予以合理利用。所以，仅就微信读书收集原告微信好友这一单一行为来看，并未构成对原告隐私权的侵害。

从合法性、正当性看，当事人的主要争议焦点在于是否获得原告的有效同意。知情同意的质量，可以从信息处理者告知信息主体的“透明度”来衡量，即一般理性用户在具体场景下，对信息处理主体处理特定信息的目的、方式和范围知晓的清晰程度，以及作出意愿表示的自主、具体、明确程度。

（1）微信读书并未获得有效的用户同意。理由如下：

第一，从微信读书和微信的关系看，两个软件共用好友关系不符合一般用户的合理预期。

第二，从微信读书中的读书信息内容看，用户使用微信读书的主要痕迹均予以公开，能够刻画个人侧面，是产生大量社会评价的基础。

第三，从微信读书处理微信好友列表信息和读书信息的方式来看，网络服务提供者未向主动关注的好友默认公示读书信息不符合一般用户的合理预期。

（2）微信读书中的告知和获取同意的方式不充分。

综上，微信读书收集原告微信好友列表，向原告并未主动添加关注的微信好友自动公开读书信息，并未以合理的“透明度”告知原告并获得原告的同意。因此，腾讯公司违反了法律关于处理个人信息的规定，具有过错，侵害了原告的个人信息权益。

从隐私角度来看，因原告主张的信息本身不构成私密信息，不满足侵害隐私权的责任构成要件，故法院认定该行为不构成对原告隐私权的侵害。

争议焦点三，如构成，腾讯公司应当承担的法律责任。

    根据判决结果，腾讯应停止微信读书收集、使用原告微信好友列表的行为，并删除这些列表信息，解除原告与微信好友的互相关注，停止向微信好友展示原告读书信息，并赔偿公证费6600元。以及，腾讯公司向原告书面（注意：非公开）赔礼道歉。

三、案件所涉理论归纳及总结

 1、如何判定某项信息是否属于个人信息？

案例一及《网络安全法》对于“个人信息”均明确应满足两个要件，一是具有可识别性，二是要有一定的载体。如已经收集了能识别特定自然人的信息，该信息和其他信息组合可以识别特定自然人，这种信息组合同样属于个人信息。      

个人信息的处理包括收集、存储、使用、加工、传输、提供、公开等行为，依照《网络安全法》，网络运营者处理个人信息既要遵循合法、正当、必要的原则，处理行为通常需要征得被收集者同意，否则可能构成对个人信息权益的侵害。

案例二中北京互联网法院则提出，构成“个人信息”，应考虑以下两种路径：一是识别，即从信息到个人，由信息本身的特殊性识别出自然人，可以是单独的信息，也可以是信息组合；二是关联，即从个人到信息，如已知特定自然人，则在该特定自然人活动中产生的信息即为个人信息。符合上述两种情形之一的信息，即应判定为个人信息。

案例二在判断某类个人信息的性质上必须把握以下几点：

第一，应对个人信息进行相对合理的层级划分，划入隐私的个人信息，应强调其“私密性”，进而与其他层级的个人信息在收集、存储、使用、加工、传输、提供、公开等方面形成相区别的授权同意规范、技术安全规范、信息处理规范等；

第二，关于“不愿为他人知晓”的“私密性”，强调主观意愿，应符合社会一般合理认知。

第三，不同用户就个人信息的期待也可能存在消极防御和积极利用的差异，应以“场景化模式”探讨该场景中是否存在侵犯隐私的行为。

案例二从合理隐私期待维度上，个人信息基本化为以下层次：

（1）符合社会一般合理认知下共识的私密信息，强化防御性保护，非特定情形不得处理；

（2）不具备私密性的一般信息，在征得信息主体一般同意后，即可正当处理；

（3）兼具防御性期待及积极利用期待的个人信息，需要结合信息内容、处理场景、处理方式等，进行符合社会一般合理认知的判断。

启示：

对于企业而言，企业律师办案过程中，第一步首先需要认定是否属于个人信息，第二步对个人信息进行相对合理的层级划分，第三步从合理隐私期待维度上，对个人信息种类分为三种，逐步分析涉案的个人信息是属于采防御性保护、还是可正当处理，又或者兼具防御性期待及积极利用期待，尤其对第三种需要结合具体场景来判断。所以未来办案时，被诉企业可尽量从认定为第三种的个人信息角度出发来争取案件抗辩空间。

2、如何判定某项信息是否属于隐私？

案例一和案例二都提到：《民法总则》第一百一十条、《民法典》第一千零三十四条第三款规定，隐私包含两方面内容：一方面是自然人的私人生活安宁；另一方面是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。就私人安宁来说，在判断是否构成侵害隐私权时，应考量其个人生活状态是否有因被诉行为介入而产生变化，以及该变化是否对个人生活安宁造成一定程度的侵扰；就不愿为他人知晓的私密空间、私密活动、私密信息来说，可以综合考量社会一般合理认知以及有无采取相应保密措施等因素进行判断。因不同类型人群的隐私偏好不同，且互联网具有开放、互联和共享的特点，在网络环境中对隐私的界定及判断是否构成侵权需要结合具体场景具体分析。

启示：

对于企业而言，判断是否侵犯用户隐权，首先必须厘清何为隐私。《民法典》首次将隐私权作为人格权编的重要权利来规范，明确了隐私的定义及类型，即：私人生活安宁；私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。其次，结合上述规定来判断是否侵犯用户隐私。

3、“知情及同意”的衡量

案例二依据《民法总则》第一百一十一条、《网络安全法》第四十一条，上述规定明确了网络运营者收集、使用个人信息应当遵循合法、正当、必要的原则，其处理个人信息需要同时满足让用户知情、获得用户同意的条件，该知情及同意不仅包括对信息内容的知情及同意，还包括对收集、使用的目的、方式和范围的知情及同意。

从必要性看，法院认为：腾讯公司对成功开发及运营微信所积累的用户关系数据，可以在其关联产品中予以合理利用。所以，仅就微信读书收集原告微信好友这一单一行为来看，并未构成对原告隐私权的侵害。

从合法性、正当性看，当事人的主要争议焦点在于是否获得原告的有效同意。知情同意的质量，可以从信息处理者告知信息主体的“透明度”来衡量，即一般理性用户在具体场景下，对信息处理主体处理特定信息的目的、方式和范围知晓的清晰程度，以及作出意愿表示的自主、具体、明确程度。

启示：

首先对于企业而言，关联企业之间在关联产品中合理利用数据的行为。

企业律师办案过程中，对于判定侵犯个人信息权，分两部分：有无符合处理个人信息的合法、正当、必要原则；其处理个人信息有无同时满足让用户知情及同意。该知情及同意包括对信息内容；对收集、使用的目的、方式和范围的知情及同意。如其中之一不符合，则构成侵权。

4、个人信息的合理使用的必要限度

案例一中手机通讯录属于个人信息，但不属于私密信息，同时每条联系人信息又属于该联系人的个人信息。所以，这种处理行为一般要征得两类主体的同意，即征得手机用户同意，又应征得每条通讯录联系人的同意，既应征得双重同意。但考虑到互联网行业发展的不同利益需求的平衡，需要在具体应用场景中考察是否存在构成个人信息合理使用的情形，即在没有对信息主体造成不合理损害的前提下，认定某些个人信息的利用行为可以不必征得信息主体的同意。

首先，从信息的特点和属性的角度；其次，从信息使用的方式和目的的角度；再次，从信息使用及其方式对各方利益可能产生的影响的角度，综合分析后认定：虽然读取手机通讯录时不可避免地会读取原告的手机号码，但读取和匹配行为并不会对原告产生打扰，通常亦不会不合理地损害原告利益，且有利于满足其他有社交需求用户的利益及行业和社会发展的需要，属于对该信息的合理使用。但要注意的是，该合理使用亦应符合处理个人信息的合法、正当、必要原则。

案例一中，原告未注册时，其不存在在抖音中建立社交关系的可能，被告从其他用户通讯录中收集到原告的姓名和手机号码后，通过匹配可以知道软件内没有使用该手机号码作为账户的用户，应当及时删除该信息。但被告并未及时删除，直至原告起诉时，该信息仍然存储在被告后台系统中，超出必要限度，不属于合理使用，构成对原告该项个人信息权益的侵害。

启示：

 从有利于满足其他有社交需求用户的利益及行业和社会发展的需要，现阶段法院支持企业对于某些个人信息的合理使用。但要注意的是，该合理使用亦应符合处理个人信息的合法、正当、必要原则。超出必要限度，不属于合理使用，构成对该项个人信息权益的侵害。企业律师在办案过程中，可以从合理使用角度出发出具抗辩意见。

 四、结语

我们建议：在《民法典》已正式实施，《个人信息保护法》还未出台，法院现已“司法先行”，将个人信息权益从隐私权中分离出来。要求App企业在开发软件、运营提供网络服务的时候，为防止将来因此而涉诉，损害企业商誉及商业模式，App企业可以聘请律师事务所专业服务团队提前介入，提供合规诊断及建议，及时进行软件开发版本升级，给用户充分选择权，做到合法合规长远经营。一旦发生类似诉讼案件，律师服务团队亦可及时办理保全及理论研究支持，积极协助应诉调解谈判应诉等事务提供可行性建议与方案。