Zhenggui.com:关联 APP 偷偷共享你的隐私!“笼统告知” 不等于有效同意,数据共享需单独授权!

2024年至2025年期间，A公司与B公司系关联企业，双方存在共同股东及经营管理交叉情形，其中A公司运营两款生活服务类APP（下称“APP1”“APP2”），B公司运营一款内容推荐类APP（下称“APP3”），三款APP在功能上相互关联、用户群体高度重合，均以“便捷服务”“精准推送”为宣传亮点。

三款APP运营期间，A公司与B公司未经用户明确同意，通过后台技术对接，擅自共享三款APP收集的用户个人信息，包括用户注册手机号、使用习惯、浏览记录、兴趣偏好、地理位置等信息，形成统一的用户数据池。双方通过合同约定了数据共享的范围、方式及责任分担，共同决定用户数据的处理目的和处理方式，明确将共享的用户数据用于跨平台精准推送——即根据用户在其中一款APP的使用行为，向其在另外两款APP推送针对性的广告、服务推荐，以此提升用户活跃度和商业转化效率，本质上属于共同处理用户个人信息的行为。

用户李某在注册使用APP1时，仅同意该APP收集其必要个人信息用于登录及基础服务，未同意其将个人信息共享给其他关联APP。后续李某发现，自己在APP1浏览过生活服务相关内容后，APP2、APP3均向其推送了大量同类广告，且推送内容精准匹配其浏览偏好，经核实得知三款APP存在擅自共享用户数据的行为。李某认为，A公司与B公司的行为侵犯了其个人信息权益，遂与两公司沟通，要求停止数据共享、删除已共享的个人信息并赔偿损失，但两公司均予以拒绝，辩称数据共享系关联企业间的正常运营行为，已通过APP隐私政策履行告知义务，用户勾选隐私政策即视为同意。

北京互联网法院依法公开审理本案，经审理查明，本案事实清楚、证据确实充分，A公司与B公司作为关联企业，共同处理用户个人信息，未经用户有效同意擅自共享三款APP的用户数据用于跨平台精准推送，构成个人信息侵权，依照《中华人民共和国个人信息保护法》第五条、第六条、第二十条、第七十条，《中华人民共和国民法典》第一千一百六十五条、第一千一百六十八条相关规定，作出如下判决：

1. 判令被告A公司、B公司立即停止侵害用户个人信息权益的行为，立即停止三款APP间的用户数据共享行为，删除已共享的全部用户个人信息及相关数据池；

2. 判令被告A公司、B公司于判决生效之日起十五日内，在其运营的三款APP首页显著位置发布公开致歉声明，向李某及其他受侵害用户赔礼道歉，声明持续发布不少于7日，消除不良影响；

3. 判令被告A公司、B公司于判决生效之日起十日内，连带赔偿李某维权支出（律师费、取证费等）及精神损害抚慰金共计人民币8000元。

4. 判令被告A公司、B公司于判决生效之日起三十日内，整改三款APP的隐私政策及数据处理规则，明确告知用户数据共享的相关细节，增设数据共享单独同意及拒绝选项，保障用户的自主决定权；

构成共同处理用户个人信息侵权。A公司与B公司系关联企业，存在共同股东及经营管理交叉，双方通过合同约定数据共享的范围、方式及责任分担，共同决定用户数据的处理目的（跨平台精准推送）和处理方式（后台对接、形成数据池），完全符合《个人信息保护法》第二十条关于“共同处理个人信息”的认定标准]。其未经用户有效同意，擅自共享用户个人信息，违反合法、正当、必要原则，侵害了用户的个人信息决定权、知情权和隐私权。

“勾选隐私政策”不等于有效同意。根据《网络数据安全管理条例》第二十二条规定，数据共享属于对个人信息的特定处理，需取得用户单独同意，单独同意要求针对特定处理专门作出具体、明确的意思表示[superscript:1]。本案中，两公司仅通过隐私政策笼统告知数据共享，未明确告知共享的范围、对象（关联企业及具体APP）、用途，也未增设数据共享的单独同意及拒绝选项，用户勾选隐私政策仅能视为同意APP自身收集必要信息，不能视为同意数据共享，因此两公司的抗辩缺乏事实与法律依据，法院不予采信。

共同连带侵权责任。因A公司与B公司系共同处理用户个人信息，根据《个人信息保护法》第二十条、《民法典》第一千一百六十八条规定，二者应承担连带责任[superscript:2]。法院判令两公司停止数据共享、删除已共享数据，是为了从源头消除侵权危害；判令公开赔礼道歉，是为了消除不良影响；判令赔偿李某维权支出及精神损害抚慰金，既弥补了用户的实际损失，也体现了对侵权行为的惩戒（精神损害赔偿的适用符合相关司法实践中对个人信息权益的严格保护导向）。

明确数据共享的合规底线。法院判令两公司整改隐私政策及数据处理规则，要求明确告知用户数据共享的细节、增设单独同意及拒绝选项，本质是要求其遵守“单独同意”原则，保障用户的自主决定权，这也为关联企业数据共享划定了明确的合规红线。

当前关联企业间数据共享已成为行业常态，但多数企业因对“单独同意”原则、共同处理责任认知不足，易陷入侵权风险，zhenggui.com可提供关联企业数据共享合规审核、隐私政策优化、侵权纠纷应对等专业法律服务，协助企业搭建合规的数据共享体系，规避法律风险。

明确共同处理责任，规范数据共享约定。关联企业间开展数据共享，需签订明确的书面协议，约定各自的权利义务、数据共享的范围、方式及风险分担，但该约定不得对抗用户的合法权益，共同处理行为需共同承担对外侵权责任。

严格履行“单独同意”义务，优化告知方式。共享用户个人信息前，需明确告知用户共享的对象（具体关联企业及APP）、范围、用途，增设数据共享的单独同意及拒绝选项，不得将数据共享与APP基础服务捆绑，保障用户自主决定权。

整改隐私政策与数据处理规则。隐私政策需明确、具体，不得笼统表述数据共享相关内容，需详细列明数据共享的全部细节，确保用户能够清晰了解数据处理行为，同时建立数据处理规则，规范数据收集、共享、存储、删除等全流程。

建立数据共享合规自查机制。定期排查关联企业间数据共享的合规风险，重点核查是否取得用户单独同意、告知是否明确、数据使用是否超出约定范围，及时整改违规问题，防范侵权纠纷。

妥善应对侵权纠纷。若发生用户投诉或侵权诉讼，及时停止违规数据共享行为，删除已共享数据，主动与用户沟通协商，必要时委托专业机构提供法律支持，降低维权成本。随着个人信息保护监管日趋严格，关联企业的数据合规管理已成为生存发展的关键。zhenggui.com专业为企业提供法律咨询、合规方案（包括但不限于关联企业数据共享合规、隐私政策优化、侵权纠纷应对、劳务、财务、知产、股权结构等方面的合规）等法律中介服务，可量身定制关联企业数据合规体系，协助企业排查侵权风险、完成合规整改，应对相关纠纷，助力企业在合法合规的框架下稳健发展。

更多法律咨询