App未經(jīng)許可讀取手機(jī)剪貼板？侵權(quán)！

文/張劍

編輯/魯偉

手機(jī)用戶經(jīng)常會(huì)遇到這樣的場(chǎng)景：在A軟件復(fù)制了一段文字，打開(kāi)B軟件，會(huì)收到提示：“B粘貼自A”。這是因?yàn)锳pp讀取了“剪貼板”的內(nèi)容——手機(jī)號(hào)、住址、銀行賬號(hào)等內(nèi)容都可能被復(fù)制粘貼。這種常見(jiàn)的場(chǎng)景，是否構(gòu)成對(duì)用戶隱私的侵犯，在過(guò)去一直存在爭(zhēng)論，現(xiàn)在有法院對(duì)此作出了定論。

近日，廣州互聯(lián)網(wǎng)法院宣判了兩起案件，均認(rèn)定App未經(jīng)用戶同意即讀取“剪貼板”內(nèi)容侵犯了用戶隱私權(quán)。

有專(zhuān)家向《財(cái)經(jīng)》E法表示，這兩起案件的判決起到合規(guī)指引作用，也符合《個(gè)人信息保護(hù)法》確立的個(gè)人信息處理的相關(guān)原則。

未經(jīng)用戶許可讀取“剪貼板”構(gòu)成侵權(quán)

萌推是由上海突進(jìn)網(wǎng)絡(luò)科技有限公司（下稱(chēng)“突進(jìn)公司”）運(yùn)營(yíng)的一款電商App。用戶李某發(fā)現(xiàn)，她與朋友聊天時(shí)經(jīng)常會(huì)收到朋友分享的萌推App分享口令，口令里寫(xiě)著“復(fù)制這句話后打開(kāi)萌推App。李某發(fā)現(xiàn)，打開(kāi)萌推App后不用進(jìn)行粘貼，就會(huì)自動(dòng)彈出一個(gè)“幫他/她砍一刀”字樣的頁(yè)面。李某認(rèn)為，口令分享與系統(tǒng)“剪貼板”有關(guān)，是萌推App 自動(dòng)收集用戶復(fù)制在“剪貼板”的信息，跳過(guò)用戶對(duì)“剪貼板”進(jìn)行了操作。但是萌推App在她安裝時(shí)從來(lái)沒(méi)有提示過(guò)該程序要收集“剪貼板”信息。

李某認(rèn)為，手機(jī)“剪貼板”并不只是用來(lái)存儲(chǔ)口令，也可以存儲(chǔ)包括但不限于個(gè)人賬號(hào)、密碼、銀行賬號(hào)、行程信息、位置信息、圖片等多種信息。她認(rèn)為，突進(jìn)公司侵犯她的以下權(quán)益：一是，突進(jìn)公司未提示，也未主動(dòng)披露收集“剪貼板”信息的行為，侵犯了其知情權(quán)；二是，萌推App 沒(méi)有設(shè)置禁用口令分享功能的選項(xiàng)，也沒(méi)有提示“如果不希望萌推App 訪問(wèn)、收集剪貼板信息，請(qǐng)不要使用口令分享”，其選擇權(quán)沒(méi)有得到實(shí)現(xiàn)；三是，突進(jìn)公司未經(jīng)許可，擅自收集“剪貼板”上個(gè)人信息的行為，侵犯了其個(gè)人信息權(quán)益；四是，她的手機(jī)“剪貼板”存儲(chǔ)了個(gè)人隱私信息，突進(jìn)公司擅自收集，侵犯了其隱私權(quán)。

因此李某請(qǐng)求法院判令，確認(rèn)突進(jìn)公司侵害了她的知情權(quán)、選擇權(quán)、個(gè)人信息以及隱私權(quán)；要求突進(jìn)公司立即停止侵權(quán)行為，包括但不限于停止未經(jīng)她許可收集其個(gè)人信息、隱私信息的行為，刪除未經(jīng)她許可已經(jīng)收集的信息；要求突進(jìn)公司對(duì)上述行為道歉，消除影響，賠償其精神損失費(fèi)1元。

對(duì)于李某的訴請(qǐng)，突進(jìn)公司辯稱(chēng)，萌推App 口令功能的流程明確、提示清楚。萌推App不存在李某所稱(chēng)的手機(jī)“剪貼板”的權(quán)限設(shè)置、隱私管理問(wèn)題，萌推App 口令功能不涉及收集、使用個(gè)人信息的情形，符合國(guó)家標(biāo)準(zhǔn)、監(jiān)管規(guī)則，屬行業(yè)慣常做法。

突進(jìn)公司稱(chēng)，萌推App 在口令功能實(shí)現(xiàn)過(guò)程中，不存在任何對(duì)用戶設(shè)備端、服務(wù)器端交互信息的存儲(chǔ)，亦不涉及任何讀取設(shè)備存儲(chǔ)空間的情況。此外，萌推App 口令功能不存在侵犯李某個(gè)人信息的情形。無(wú)論是系統(tǒng)，還是萌推App，其均位于用戶使用、控制的設(shè)備中，用戶在該設(shè)備中的信息及具體操作并不能被該公司掌握。該公司僅在用戶使用萌推App 并與萌推服務(wù)器通過(guò)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸時(shí)，才能獲得傳輸過(guò)程所包含的信息。而在萌推App 口令功能實(shí)現(xiàn)過(guò)程中，用戶設(shè)備端向萌推服務(wù)器傳輸?shù)男畔�僅為口令I(lǐng)D，不涉及李某所稱(chēng)的個(gè)人信息，該口令I(lǐng)D 并不符合《個(gè)人信息安全規(guī)范》對(duì)個(gè)人信息的定義。

法院審理認(rèn)為，突進(jìn)公司存在未經(jīng)李某許可監(jiān)測(cè)、讀取“剪貼板”信息的行為，并在進(jìn)行格式分析后，將符合格式要求的有效信息上傳至其網(wǎng)絡(luò)服務(wù)器進(jìn)行分析匹配。

法院認(rèn)定，手機(jī)存儲(chǔ)空間是手機(jī)用戶私人支配、不愿為他人知曉的虛擬私密空間。手機(jī)“剪貼板”作為手機(jī)存儲(chǔ)空間的一部分，亦屬于私密空間。突進(jìn)公司未經(jīng)李某許可，監(jiān)測(cè)、讀取其手機(jī)剪貼板信息，屬于以技術(shù)手段侵入李某虛擬私密空間的方式侵害其隱私權(quán)的行為。

法院判令，突進(jìn)公司向李某公開(kāi)致歉。

《財(cái)經(jīng)》E法注意到，廣州互聯(lián)網(wǎng)法院近日還審結(jié)了一起APP未經(jīng)許可監(jiān)測(cè)讀取手機(jī)“剪貼板”的網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛——林某在使用好購(gòu)APP時(shí)發(fā)現(xiàn)，該APP存在未經(jīng)用戶同意，監(jiān)測(cè)、收集手機(jī)剪貼板信息的情形，他認(rèn)為該行為侵害了其個(gè)人信息權(quán)益及隱私權(quán)，故將好購(gòu)App的運(yùn)營(yíng)企業(yè)訴至法院。最終，法院判決，好購(gòu)App侵害了林某的隱私權(quán)，要求其向林某出具書(shū)面道歉聲明。

App收集信息應(yīng)以用戶知情同意為前提

關(guān)于App讀取“剪貼板”中的內(nèi)容是否侵犯?jìng)�(gè)人隱私的爭(zhēng)論由來(lái)已久。

2020年6月23日，蘋(píng)果新系統(tǒng)iOS14發(fā)布，該系統(tǒng)新增了一項(xiàng)隱私保護(hù)功能，當(dāng)某一個(gè)應(yīng)用讀取剪貼板時(shí)，系統(tǒng)會(huì)彈出通知——顯示“A粘貼自B”，以提醒用戶是哪個(gè)應(yīng)用訪問(wèn)了剪貼板。

蘋(píng)果iOS14系統(tǒng)發(fā)布之后，有自媒體曾進(jìn)行了一項(xiàng)測(cè)試，國(guó)內(nèi) 40 款主流應(yīng)用只有 5 款不會(huì)讀取用戶“剪貼板”。

也有海外用戶發(fā)現(xiàn)，升級(jí)后的蘋(píng)果iOS14系統(tǒng)不斷提醒他們，一款知名的短視頻App每隔幾秒便會(huì)訪問(wèn)“剪貼板”。具體表現(xiàn)為，用戶在某一款A(yù)pp中復(fù)制一段文本，緊接著打開(kāi)這款A(yù)pp，隨意打出幾個(gè)字母，系統(tǒng)就會(huì)提示用戶App正在讀取“剪貼板”。此事引發(fā)用戶質(zhì)疑，甚至引發(fā)輿論風(fēng)波。

對(duì)此，這款A(yù)pp方面回應(yīng)稱(chēng)，不存在私自訪問(wèn)用戶“剪貼板”的情況，啟用這一功能是為了打擊垃圾評(píng)論，治理惡意刷評(píng)論。此后這款A(yù)pp承諾，將進(jìn)行版本更新，停止訪問(wèn)“剪貼板”。

一位不愿具名的技術(shù)開(kāi)發(fā)人士告訴《財(cái)經(jīng)》E法，曾經(jīng)出現(xiàn)過(guò)通過(guò)讀取“剪貼板”內(nèi)容，竊取數(shù)字資產(chǎn)的案例。2018年4 月，360 互聯(lián)網(wǎng)安全中心在PC 平臺(tái)首次監(jiān)控到一類(lèi)加密數(shù)字貨幣木馬。該木馬不斷監(jiān)控用戶的“剪貼板”內(nèi)容，判斷是否為比特幣、以太坊等加密數(shù)字貨幣地址，然后在用戶交易的時(shí)候篡改目標(biāo)地址，從而實(shí)施盜竊。

上述技術(shù)人士對(duì)《財(cái)經(jīng)》E法表示，“剪貼板”是數(shù)據(jù)交互的存儲(chǔ)空間，可在不同應(yīng)用之間進(jìn)行文本、URL、圖片、顏色的數(shù)據(jù)交換。“剪貼板”確實(shí)存在安全隱患，但是否構(gòu)成侵害取決于使用者的目的。當(dāng)前常見(jiàn)的較嚴(yán)重的侵權(quán)隱患包括：復(fù)制的內(nèi)容是賬號(hào)、密碼、特殊文本等敏感信息。

中國(guó)電子技術(shù)標(biāo)準(zhǔn)化信息安全中心測(cè)評(píng)實(shí)驗(yàn)室副主任何延哲對(duì)《財(cái)經(jīng)》E法表示，從實(shí)際運(yùn)用場(chǎng)景來(lái)看，如果一款A(yù)pp僅僅是讀取“剪貼板”的內(nèi)容，而沒(méi)有未經(jīng)同意就把這些信息進(jìn)行識(shí)別并上傳到后臺(tái)，嚴(yán)格來(lái)說(shuō)并不算是在“收集個(gè)人信息”。將未經(jīng)用戶同意讀取“剪貼板”內(nèi)容認(rèn)定為存在侵犯隱私，雖然符合個(gè)人信息處理應(yīng)遵循的“合理-必要-最小化”原則，但也需要考慮具體應(yīng)用場(chǎng)景�？梢韵胍�(jiàn)的是，越來(lái)越多的App開(kāi)發(fā)者會(huì)根據(jù)合規(guī)要求，在讀取“剪貼板”內(nèi)容之前會(huì)以彈窗形式提醒用戶，而頻繁的提醒可能導(dǎo)致用戶體驗(yàn)變差。

廣州互聯(lián)網(wǎng)法院法官認(rèn)為，隨著中國(guó)互聯(lián)網(wǎng)經(jīng)濟(jì)和數(shù)字化建設(shè)的快速發(fā)展，互聯(lián)網(wǎng)平臺(tái)、手機(jī)App隨意收集、違法獲取、過(guò)度使用及非法買(mǎi)賣(mài)個(gè)人信息的問(wèn)題日益突出。

法官提醒，互聯(lián)網(wǎng)平臺(tái)、手機(jī)App作為個(gè)人信息處理者，收集使用個(gè)人信息時(shí)應(yīng)當(dāng)按照隱私政策，以用戶知情同意為前提，主動(dòng)告知收集的個(gè)人信息種類(lèi)，自覺(jué)履行《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》規(guī)定的責(zé)任義務(wù)，對(duì)獲取的個(gè)人信息安全負(fù)責(zé)，采取有效措施加強(qiáng)個(gè)人信息保護(hù)。

在此前開(kāi)展的App違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理中，相關(guān)監(jiān)管部門(mén)強(qiáng)調(diào)，App運(yùn)營(yíng)者收集使用個(gè)人信息時(shí)，不得收集與所提供服務(wù)無(wú)關(guān)的個(gè)人信息；收集個(gè)人信息時(shí)要以通俗易懂、簡(jiǎn)單明了的方式展示個(gè)人信息收集使用規(guī)則，并經(jīng)個(gè)人信息主體自主選擇同意；不以默認(rèn)、捆綁、停止安裝使用等手段變相強(qiáng)迫用戶授權(quán)，不得違反法律法規(guī)和與用戶的約定收集使用個(gè)人信息。