下载使用App时，弹窗弹出的用户协议，你是不是随手勾选“同意”就翻篇了？事实上，《中华人民共和国个人信息保护法》中“知情同意”原则是个人信息收集和使用的基本规则，远非“一勾了事”。

事实上，不同类型的个人信息、不同方式的个人信息处理行为，合法前提并不相同——有的只要用户同意就行，有的必须单独征求同意，还有的要书面同意；就连个人信息处理者之间的合作模式，对应的法律要求也有区别。这种分类保护要求的本质是对公民个人信息权益的精准守护。

现实生活中，很多人会遇到这样的情况：仅注册一个App账号，一个“数字分身”就可能悄然在其他关联平台自动生成，头像、动态一键同步，甚至私密对话都可能被跟随。此时，“知情同意”的边界就变得模糊不清。这到底是科技带来的无缝便捷，还是暗藏风险的权益侵犯？

近日，北京市互联网法院审结了一起关联App共享用户数据引发的人格权侵权纠纷案件，最终认定App运营方构成侵权，需承担相应责任。

关联App自动生成账号，用户数据全网同步

被告某信息公司和某科技公司系关联企业（以下简称二被告），某信息公司运营应用软件A和B，某科技公司运营应用软件C。以上三款应用软件具有一定关联关系，即应用软件B和C系从应用软件A的固定内容板块独立而来。原告在注册并使用应用软件B的过程中发现，应用软件A和C也自动生成原告所属的应用软件账号，通过使用任一应用软件账号形成的昵称、头像、个人简介、动态内容、粉丝及关注列表、私信等用户数据，会自动同步至另外两款应用软件中的原告所属账号，且发布、修改、删除内容的操作也会同步，在某一应用软件公开展示的信息也会在其他应用软件中向其他平台的用户展示。

原告主张，其对使用应用软件账号中形成的用户数据享有个人信息权益及隐私权，二被告在三款应用软件间共享用户数据的行为属于《中华人民共和国个人信息保护法》第二十三条规定的“个人信息处理者向其他个人信息处理者提供其处理的个人信息的”行为，应取得原告单独同意而未取得，侵害了原告的个人信息权益及隐私权，要求二被告共同承担赔礼道歉、赔偿损失、停止统一服务平台模式并分别在涉案三款App增加有关征求用户同意选项等侵权责任。

二被告辩称，“统一服务平台体系”下共享数据行为属于《中华人民共和国个人信息保护法》第二十条规定的“两个以上个人信息处理者共同决定个人信息的处理目的和处理方式”的行为，无需取得原告单独同意。二被告已经通过应用软件的服务协议、隐私政策等内容和节点取得原告知情同意，不构成侵权。

三大争议焦点厘清权益保护边界

北京市互联网法院经审理后认为，案件争议焦点集中在以下三点，每一项都与公民的个人信息安全紧密相连。

焦点一是用户在App账号中形成的各类信息的“权益边界”在哪？

法院明确，原告对三款涉案App账号内形成的昵称、头像、个人简介、动态内容、粉丝及关注列表、实名认证信息、私信等所有可识别到本人且与本人相关的信息，都享有个人信息权益。

但是，隐私权的保护范围却与个人信息权益有明显界限。原告主动公开的账号昵称、头像、个人简介、动态内容等信息，以及App默认公开且未手动修改隐私设置的粉丝和关注列表，不享有隐私权；而实名认证、私信等包含敏感个人信息且处于私密状态的信息，受隐私权严格保护，任何人不得擅自侵犯。

焦点二是跨App共享数据行为的性质如何界定？

法院审理发现，应用软件A和B由同一主体运营，二者间的数据共享不存在不同主体纠纷，争议核心集中在应用软件C与A、B之间的数据共享行为。

法院查明，二被告通过合同约定在三款App间共享用户数据，明确约定了数据处理目的、方式、范围及责任分担规则，也通过用户协议、隐私政策等渠道和在关键节点向用户履行了告知义务，合同约定、用户告知和实际处理行为一致。同时，二被告属于关联企业，三款App内容关联性较强，数据共享行为呈现出明显的整体性。此外，二被告通过协议明确了数据安全保障责任，在数据存储、日常管理中采取了相应防护措施，客观上没有显著增加用户个人信息被侵害的风险。

法院最终认定，本案跨App数据共享行为，属于《个人信息保护法》第二十条规定的“共同处理个人信息”，双方需依法承担连带责任。

焦点三是跨App共享数据行为是否构成个人信息权益和隐私权侵权？

用户数据涉及不同的个人信息种类，决定了其个人信息处理行为的合法性基础有所区别。对于账号昵称、头像、个人简介、动态内容、粉丝及关注列表等一般个人信息的处理，共同处理行为虽无需取得单独同意，但仍应符合告知同意的一般要求，应履行完整、明确的告知义务。法院认为，本案二被告的告知内容不够完整、全面，例如，用户协议提及的“你在本软件/网站的账号及相应账号所发布的全部内容”，其中“所发布的”是否包括自动收集的信息以及未公开信息均不明确，导致原告的同意并非有效同意，侵害了其个人信息权益。对于实名认证、私信等私密信息的处理，即使是共同处理行为，依据个人信息保护法，仍需取得个人单独同意，但二被告未取得单独同意，侵害了原告的隐私权。

综上，法院依法支持原告要求二被告赔礼道歉、赔偿损失的诉讼请求。

法官说法：厘清两种处理场景的法律边界，筑牢个人信息保护防线

本案审理法官、北京互联网法院综合审判三庭（少年法庭）副庭长王红霞表示，《个人信息保护法》第二十条和第二十三条，分别规定了“共同处理个人信息”和“向其他个人信息处理者提供个人信息”两种场景，二者的合法性基础与责任承担均不同。前者无需取得用户单独同意，但需承担连带责任，后者则必须取得单独同意。两种模式的核心区别在于个人信息处理者是否“共同决定”信息处理的目的和方式。

本案从“看约定、看告知、看行动”三个方面考量是否构成“共同决定”。具体而言，二被告有明确合同约定，约定内容包括处理目的、方式、数据范围及责任分担框架等；二被告履行了告知义务，通过用户协议、隐私政策等内容和节点向用户说明处理方式；二被告实际行为与约定、告知一致，做到“言行合一”。

法官表示，个人信息保护法之所以区分两种场景，设定不同的合法性义务及责任承担形态，其重要原因是“共同处理”对信息主体的风险相对较小，而“向他人提供”的风险会显著增加。本案中三款App数据共享在内容方面具有较强关联性，行为具有整体性，且在数据存储、管理方面已采取安全防护措施。将涉案数据共享行为认定为“共同处理”，既有效保护了用户合法权益，也不会过度增加企业的合规成本，有利于促进数据的有效利用。

“互联网企业在统一服务平台体系、生态互通模式下要筑牢合规底线。”王红霞表示，互联网企业要避免知情同意规则的“失灵”，牢记充分告知和有效同意是个人信息处理的合法性基石。应针对不同敏感层级的信息，构建概括同意、明确同意、单独同意等分级处理机制；优化隐私政策告知和呈现方式，增强用户对敏感信息的控制权，提供“一键拒绝共享”功能，实现数据价值*大化与个人信息及隐私风险*小化的双重目标。

“用户切勿盲目点击‘同意’，每一次授权都关乎个人信息安全。”王红霞提醒，在勾选用户协议、隐私政策前，一定要认真思考该类信息的提供可能会给自身造成何种风险，避免因“图省事”陷入权益受损困境。

她建议，用户应定期梳理名下网络账号，对私信、行踪、财务相关等不愿公开的信息，提前做好隐私设置，从源头减少信息泄露隐患。同时，要善用个人信息保护法赋予的查阅、复制权，通过合理方式向网络服务提供者查阅“个人信息收集清单”，及时了解哪些个人信息被收集，当发现侵权行为时，要*时间固定证据，依法维权。