「××辞書へようこそ。サービス約款とプライバシーポリシーを読んで同意してください」。若者の生活に寄り添い、より多くのネット流行語を知るために、北京市民の劉雨（仮名）氏は「ネタ遊びの達人に必要なネット流行語辞典」アプリをダウンロードした。

劉雨氏は、同アプリが「プライバシーポリシー」でデフォルトで「同意」をチェックしているだけでなく、チェックを解除し、Appの個人情報の処理を拒否するとAppは自動的に脱退し、アカウントをログアウトする際にも同意した個人情報を撤回できないことに気づき、App運営者を裁判所に訴えた。

北京市第4中級人民法院（以下「北京四中院」と略称する）はこの事件を審理し、関連アプリが公民の個人情報権益を侵害する状況にあると認定し、法に基づいて権利侵害の責任を負わなければならない。

Appが個人情報を超範囲で収集し、ユーザーの権益を侵害することは、社会的に非難されてきた話題である。個人情報保護法、サイバーセキュリティ法、電気通信条例などの法律法規に基づき、今年3月、工業・情報化部は第三者検査機構を組織して、ユーザーが際立った違反を反映して個人情報を収集・使用するなどの問題に対して検査を行い、62種類のAppとSDKがユーザーの権益を侵害する行為を発見し、そのうち半数近くのAppが個人情報問題に関連している。

中青報・中青網の記者は、今年に入ってから、浙江省、安徽省、山東省などの多くの省・市の通信管理局が、複数のアプリがユーザーの権益と安全を侵害する危険性があると通報していることに気づいた。ユーザーはAppによる個人情報の収集、処理を拒否できますか？同意後に撤回することはできますか。Appが個人情報を範囲外で収集する法的責任は何ですか。記者は複数の裁判官と専門家学者を取材した。

　　ユーザーに同意を通知するには、「自発的」「明確」の2つの要件に合致しなければならない

「個人情報の処理は合法、正当、必要と誠実の原則に従い、誤った誘導、詐欺、脅迫などの方法で個人情報を処理してはならない」と同事件の裁判官、北京四中院の于穎裁判官は紹介し、個人の同意に基づいて個人情報を処理する場合、この同意は個人が十分に知っている前提の下で自ら志願し、明確にしなければならない。本件では、裁判所は劉雨の主張と結びつけて、同社がユーザーに「自発的」「明確」の2つの要求に合致するかどうかを重点的に審査した。

プライバシーポリシーは個人情報処理者が個人情報を処理する範囲及び方式に関連し、アプリケーション開発者はバッチユーザへの告知を実現するためにフォーマットされた個人情報処理ポリシーをあらかじめ作成しているが、個人情報処理者としては、ユーザが事前に作成した個人情報ポリシーに対して十分に知っていることを保証しなければならず、その場合は自発的、自発的に「同意」するという肯定的な動作をします。

この案件では、同社はユーザーがプライバシーポリシーの内容を十分に知ることができるようにする措置を設けておらず、ユーザーが実際に読んでいない場合には、インタフェースに戻った後、「サービス約款とプライバシーポリシーを読んで同意した」がチェックされ、ユーザーが自発的に同意する選択をさせておらず、「自発的」「明確」な要求に合致していない。

同時に、ユーザーが拒否ボタンをクリックすると、この辞書は実行を終了します。北京四中院は、個人情報保護法が「個人情報処理者は、個人がその個人情報の処理に同意しなかったり、同意を撤回したりすることを理由に、製品またはサービスの提供を拒否することはできない。個人情報の処理は製品またはサービスの提供に必要なものである場合を除く」と規定していると主張している。本件では、この辞書は劉雨が「拒否」ボタンをクリックした後、自動的に終了し、ユーザーにサービスを提供しません。登録された証拠によると、この辞書は「単語を調べる」と「社交」の2つの属性を兼ね備えており、基本的な業務機能に基づいて、辞書の配布、いいね、コメントなどの社交機能などの他の拡張機能を発展させるが、名称、公式説明、アプリケーションストアでの記述などの基本的な業務が語彙検索の場合、検索サービスを提供しない、基本業務の拒否に属すべきであり、劉雨の個人情報権益を侵害している。

　　個人情報を過度に収集してはならない

北京四中院の胡懐松裁判官は、個人情報の収集は、処理目的を実現するための最小限の範囲に限らなければならず、個人情報を過度に収集してはならないと考えている。これらの辞書の名前、公式記述、アプリケーションストアでの記述などはすべてこの辞書の「辞書機能」を指しており、基本的な業務機能が語彙検索である場合、この辞書は劉雨の携帯電話番号が最小範囲を超えて収集されている。

ユーザーの許可後の撤回について、胡懐松氏は、個人の同意に基づいて個人情報を処理する場合、個人はその同意を撤回する権利があると考えている。個人情報処理者は簡単に同意を撤回する方法を提供しなければならないが、劉雨が証拠を取ったとき、この辞書のバージョンは同意を撤回するオプションを提供していなかった。

北京四中院は、撤回同意系個人情報主体は個人情報処理者に対する個人情報の処理権限を撤回し、個人情報主体は同意を撤回した後も、個人情報処理者は基本的な業務機能を提供しなければならないが、抹消アカウントは本質的にネットワークサービス契約の終了であり、ユーザーにアカウントを抹消する方法で同意を撤回するよう要求すれば、個人情報の収集に同意しなければ関連製品を使用し続けることができない状況が生じることになり、これは個人情報保護法の関連規定に違反するため、北京四中院はアカウントの抹消による撤回同意の行使が可能であることに関する同社の抗弁に対して信用を得ない。

最終的に、北京四中院の判決は控訴を棄却し、原判決を維持した。同社はすぐに収集した劉雨のニックネーム、携帯電話番号、パスワード、顔、設備情報、収集した劉雨のユーザー行動情報を削除し、同時に書面で劉雨に謝罪し、合理的な支出3080元を賠償した。

中青報・中青網の記者によると、同辞書は2022年3月31日の新版アプリに、承認撤回機能を追加した。

「現在、一部のAppアプリには個人情報の面で多くの明らかな違法違反が存在している」。中国インターネット協会法工委副秘書長、北京市潮陽弁護士事務所弁護士の胡鋼氏は、1つは強制的に請求すること、つまりユーザーが個人情報を提供する権限を与えなければ、App経営者はサービスの提供を拒否すること、2つ目は、アプリ経営者がユーザーの十数件、さらには数十件の個人情報を「一括」で一括請求する権限であること、3つ目は権限を延長することであり、「これは実際には権限を束ねる方法でもある」。つまり、App経営者はユーザーとフォーマット契約を締結する際に、契約書に「関連企業」という文字を明記することが多い。つまり、ユーザーは個人情報の授権を完了する際に、他の関連企業もその個人情報を取得することができる。

胡鋼氏は、「この関連の範囲は大きく、一般的には関連する株式関係のある会社だけでなく、業務関係のある会社も含まれており、ユーザーが一度権限を付与すると、一部の企業と権限関係を構築し、個人情報の『共有』を完了することになる」と注意した。このような状況は民法典、消費者権益保護法、個人情報保護法などの法律明文に規定された「合法、正当、必要と誠実、公開、透明などの原則に従うべき」と「最小必要原則」に重大な違反をしている。

　　肝心なのは法律に「歯」が生えること

胡鋼氏によると、現在一部の主流Appは基本的にユーザーに十数種類から数十種類のライセンスを提供するよう要求しており、これによりユーザーのモバイルスマート端末に含まれるすべての情報、個人情報や個人の機密情報をほぼ完全に把握することができるという。

胡鋼氏によると、我が国は現在、法律、行政法規、司法解釈、部門規則、規範的文書及び国家基準などから構成され、体系が比較的完備し、内容が比較的具体的な個人情報保護規範体系を構築しているが、肝心なのは法律に「歯」を生えさせることであり、これも関連部門が厳格な法執行と動態監督管理を堅持し、「かみ合う」ことを重視することを要求している明らかな違法・違反状況に対してシステム化された特定項目の管理を行わなければならない。

于穎穎氏は、ユーザーがAppを登録する際には、ユーザープロトコル、プライバシー保護プロトコルを閲覧する習慣を身につけ、プロトコルの中で黒を太くした内容に重点を置いて、Appが個人情報を収集する範囲を理解しなければならないと注意した。Appが公民の個人情報の権益及びプライバシー権を侵害していることが発見された場合、苦情、通報又は訴訟を通じて自分の合法的権益を維持することができる。

また、ネットワークサービス提供者は処理情報を収集する際、合法、正当、必要な原則に従い、ユーザーに許可を強要したり、デフォルトの許可、バンドルサービス、強制使用停止などの不正な手段で個人情報の提供を誘導したり、ユーザーに強制したりしてはならない。また、個人情報を収集するタイプは、現実の製品やサービスのビジネス機能に直接関連している必要があります。同時に、情報処理者は個人情報収集、処理活動において、法に基づいてユーザーの授権を取得し、ユーザーの権益を最大限に尊重し、保障しなければ、相応の法的責任を負うことになる。

中青報・中青網記者の韓飏氏の出所：中国青年報