手機用戶經常會遇到這樣的場景：在A軟體複製了一段文字，打開B軟體，會收到提示：”B粘貼自A”。 這是因為App讀取了「剪貼板」的內容——手機號、住址、銀行賬號等內容都可能被複製粘貼。 這種常見的場景，是否構成對用戶隱私的侵犯，在過去一直存在爭論，現在有法院對此作出了定論。

近日，廣州互聯網法院宣判了兩起案件，均認定App未經使用者同意即讀取「剪貼板」內容侵犯了用戶隱私權。

有專家向《財經》E法表示，這兩起案件的判決起到合規指引作用，也符合《個人信息保護法》確立的個人資訊處理的相關原則。

未經使用者許可讀取「剪貼板」構成侵權

萌推是由上海突進網路科技有限公司（下稱」突進公司”）運營的一款電商App。 使用者李某發現，她與朋友聊天時經常會收到朋友分享的萌推App分享口令，口令里寫著”複製這句話後打開萌推App。 李某發現，打開萌推App后不用進行粘貼，就會自動彈出一個”幫他/她砍一刀”字樣的頁面。 李某認為，口令分享與系統「剪貼板」有關，是萌推App 自動收集用戶複製在「剪貼板」的資訊，跳過使用者對「剪貼板」進行了操作。 但是萌推App在她安裝時從來沒有提示過該程式要收集「剪貼板」資訊。

李某認為，手機「剪貼板」並不只是用來存儲口令，也可以存儲包括但不限於個人帳號、密碼、銀行帳號、行程資訊、位置資訊、圖片等多種資訊。 她認為，突進公司侵犯她的以下權益：一是，突進公司未提示，也未主動披露收集「剪貼板」信息的行為，侵犯了其知情權;二是，萌推App 沒有設置禁用口令分享功能的選項，也沒有提示「如果不希望萌推App 訪問、收集剪貼板資訊，請不要使用口令分享」，其選擇權沒有得到實現;三是，突進公司未經許可，擅自收集「剪貼板」上個人信息的行為， 侵犯了其個人信息權益;四是，她的手機”剪貼板”存儲了個人隱私資訊，突進公司擅自收集，侵犯了其隱私權。

因此李某請求法院判令，確認突進公司侵害了她的知情權、選擇權、個人資訊以及隱私權;要求突進公司立即停止侵權行為，包括但不限於停止未經她許可收集其個人資訊、隱私資訊的行為，刪除未經她許可已經收集的資訊;要求突進公司對上述行為道歉，消除影響，賠償其精神損失費1元。

對於李某的訴請，突進公司辯稱，萌推App 口令功能的流程明確、提示清楚。 萌推App不存在李某所稱的手機「剪貼板」的許可權設置、隱私管理問題，萌推App口令功能不涉及收集、使用個人資訊的情形，符合國家標準、監管規則，屬行業慣常做法。

突進公司稱，萌推App 在口令功能實現過程中，不存在任何對用戶設備端、伺服器端交互資訊的存儲，亦不涉及任何讀取設備存儲空間的情況。 此外，萌推App 口令功能不存在侵犯李某個人資訊的情形。 無論是系統，還是萌推App，其均位於使用者使用、控制的設備中，使用者在該設備中的資訊及具體操作並不能被該公司掌握。 該公司僅在使用者使用萌推App 並與萌推伺服器通過網路進行數據傳輸時，才能獲得傳輸過程所包含的資訊。 而在萌推App 口令功能實現過程中，用戶設備端向萌推伺服器傳輸的資訊僅為口令ID，不涉及李某所稱的個人資訊，該口令ID並不符合《個人資訊安全規範》對個人資訊的定義。

法院審理認為，突進公司存在未經李某許可監測、讀取「剪貼板」信息的行為，並在進行格式分析后，將符合格式要求的有效資訊上傳至其網路伺服器進行分析匹配。

法院認定，手機存儲空間是手機使用者私人支配、不願為他人知曉的虛擬私密空間。 手機「剪貼板」作為手機存儲空間的一部分，亦屬於私密空間。 突進公司未經李某許可，監測、讀取其手機剪貼板資訊，屬於以技術手段侵入李某虛擬私密空間的方式侵害其隱私權的行為。

法院判令，突進公司向李某公開致歉。

《財經》E法注意到，廣州互聯網法院近日還審結了一起APP未經許可監測讀取手機”剪貼板”的網路侵權責任糾紛——林某在使用好購APP時發現，該APP存在未經使用者同意，監測、收集手機剪貼板資訊的情形，他認為該行為侵害了其個人資訊權益及隱私權，故將好購App的運營企業訴至法院。 最終，法院判決，好購App侵害了林某的隱私權，要求其向林某出具書面道歉聲明。

App收集資訊應以使用者知情同意為前提

關於App讀取「剪貼板」中的內容是否侵犯個人隱私的爭論由來已久。

2020年6月23日，蘋果新系統iOS14發佈，該系統新增了一項隱私保護功能，當某一個應用讀取剪貼板時，系統會彈出通知——顯示”A粘貼自B”，以提醒使用者是哪個應用訪問了剪貼板。

蘋果iOS14系統發佈之後，有自媒體曾進行了一項測試，國內 40 款主流應用只有 5 款不會讀取使用者「剪貼板」

也有海外用戶發現，升級后的蘋果iOS14系統不斷提醒他們，一款知名的短視頻App每隔幾秒便會訪問「剪貼板」具體表現為，使用者在某一款App中複製一段文本，緊接著打開這款App，隨意打出幾個字母，系統就會提示使用者App正在讀取「剪貼板」。。 此事引發用戶質疑，甚至引發輿論風波。

對此，這款App方面回應稱，不存在私自訪問使用者「剪貼板」的情況，啟用這一功能是為了打擊垃圾評論，治理惡意刷評論。 此後這款App承諾，將進行版本更新，停止訪問「剪貼板」。。

一位不願具名的技術開發人士告訴《財經》E法，曾經出現過通過讀取”剪貼板”內容，竊取數字資產的案例。 2018年4月，360互聯網安全中心在PC平臺首次監控到一類加密數字貨幣木馬。 該木馬不斷監控使用者的「剪貼板」內容，判斷是否為比特幣、乙太坊等加密數位貨幣位址，然後在使用者交易的時候篡改目標地址，從而實施盜竊。

上述技術人士對《財經》E法表示，「剪貼板」是數據交互的存儲空間，可在不同應用之間進行文本、URL、圖片、顏色的數據交換。 “剪貼板”確實存在安全隱患，但是否構成侵害取決於消費者的目的。 當前常見的較嚴重的侵權隱患包括：複製的內容是賬號、密碼、特殊文本等敏感資訊。

中國電子技術標準化資訊安全中心測評實驗室副主任何延哲對《財經》E法表示，從實際運用場景來看，如果一款App僅僅是讀取”剪貼板”的內容，而沒有未經同意就把這些資訊進行識別並上傳到後台，嚴格來說並不算是在”收集個人資訊”。 將未經使用者同意讀取「剪貼板」內容認定為存在侵犯隱私，雖然符合個人信息處理應遵循的「合理-必要-最小化」原則，但也需要考慮具體應用場景。 可以想見的是，越來越多的App開發者會根據合規要求，在讀取”剪貼板”內容之前會以彈窗形式提醒使用者，而頻繁的提醒可能導致用戶體驗變差。

廣州互聯網法院法官認為，隨著中國互聯網經濟和數位化建設的快速發展，互聯網平臺、手機App隨意收集、違法獲取、過度使用及非法買賣個人資訊的問題日益突出。

法官提醒，互聯網平臺、手機App作為個人信息處理者，收集使用個人資訊時應當按照隱私政策，以使用者知情同意為前提，主動告知收集的個人資訊種類，自覺履行《個人信息保護法》《網路安全法》《數據安全法》規定的責任義務，對獲取的個人資訊安全負責，採取有效措施加強個人信息保護。

在此前開展的App違法違規收集使用個人資訊專項治理中，相關監管部門強調，App運營者收集使用個人資訊時，不得收集與所提供服務無關的個人資訊;收集個人資訊時要以通俗易懂、簡單明瞭的方式展示個人資訊收集使用規則，並經個人資訊主體自主選擇同意;不以預設、捆綁、停止安裝使用等手段變相強迫用戶授權， 不得違反法律法規和與用戶的約定收集使用個人資訊。