手機(jī)應(yīng)用軟件越界索權(quán)問題如何根治

　　專家建議將侵害個人信息認(rèn)定為侵權(quán)行為加大制裁力度

　　本報(bào)記者 廉穎婷

　　手機(jī)App越界索權(quán)的問題再次受到關(guān)注。

　　近日，在使用個人所得稅App申報(bào)個稅時(shí)，個別地方出現(xiàn)申報(bào)人“被就職”現(xiàn)象，即在“任職受雇信息”中，申報(bào)人供職于完全沒有聽過的企業(yè)或單位。不少人認(rèn)為，自己的身份信息可能被盜用，從而導(dǎo)致“任職受雇信息”出現(xiàn)異常。

　　任何事物都具有兩面性。移動互聯(lián)網(wǎng)在給人們帶來極大便利的同時(shí)，亦出現(xiàn)大量關(guān)于個人信息保護(hù)的問題。個人信息的不當(dāng)擴(kuò)散與不當(dāng)利用，已逐漸發(fā)展成為危害公民民事權(quán)利的社會問題。

　　過度采集信息問題突出

　　App普遍存在越界索權(quán)

　　經(jīng)常逛淘寶的人都知道，只要在淘寶網(wǎng)搜索某件商品，很快就會出現(xiàn)大量相關(guān)推送。

　　“這讓我感到很不安，網(wǎng)絡(luò)上的一舉一動都好像有‘老大哥在看著你’,沒有隱私可言。”在北京工作的張帆說。

　　于是，張帆卸載了手機(jī)里的幾十個App,只保留了常用的幾個。

　　張帆的擔(dān)憂并非杞人憂天。

　　2018年3月，北京市消協(xié)發(fā)布的手機(jī)應(yīng)用軟件(App)個人信息安全調(diào)查報(bào)告顯示，近九成受訪者認(rèn)為手機(jī)App存在過度采集個人信息的問題，近八成受訪者認(rèn)為手機(jī)App上的個人信息不安全。

　　合法、正當(dāng)、必要，是App運(yùn)營商采集用戶信息的法定原則。然而，App越界索權(quán)的現(xiàn)象已是不爭的事實(shí)。

　　2018年8月29日，中消協(xié)發(fā)布《App個人信息泄露情況調(diào)查報(bào)告》稱，手機(jī)App過度采集個人信息呈現(xiàn)普遍趨勢。

　　根據(jù)調(diào)查結(jié)果，手機(jī)App需要獲取的權(quán)限種類繁多，最突出的是獲取位置信息和訪問聯(lián)系人權(quán)限。而且，一些App還出現(xiàn)了在自身功能使用非必要的情況下獲取用戶隱私權(quán)限的問題，增加了個人信息泄露的風(fēng)險(xiǎn)。

　　中國傳媒大學(xué)文法學(xué)部法律系副主任鄭寧告訴《法制日報(bào)》記者，一般來說，App的安裝和使用只能對一些必要的權(quán)限征求使用人的同意。在使用安卓系統(tǒng)的手機(jī)中，有以下幾個權(quán)限最常被調(diào)取，其一是“讀取已安裝應(yīng)用列表”，借此可以了解和分析用戶的使用習(xí)慣；其二是“讀取本機(jī)識別碼”，主要用來確定用戶的身份；其三是“讀取位置信息”，通過獲取位置，搜集用戶的活動范圍，例如導(dǎo)航類軟件就必須調(diào)取這一權(quán)限。

　　在現(xiàn)實(shí)生活中，許多App普遍存在越界索權(quán)現(xiàn)象。比如，視頻軟件要求讀取運(yùn)動數(shù)據(jù)、資訊類App卻開啟相機(jī)和麥克風(fēng)錄音權(quán)限等。

　　“綜合以上現(xiàn)象可以看出，手機(jī)App收集的信息若與其提供的服務(wù)無關(guān)則構(gòu)成越界索權(quán)。”鄭寧說。

　　區(qū)分身份信息隱私信息

　　運(yùn)營商應(yīng)依法留存使用

　　近日，最高人民法院發(fā)布的第一批涉互聯(lián)網(wǎng)典型案例，是由網(wǎng)絡(luò)購票引發(fā)的涉及航空公司、網(wǎng)絡(luò)購票平臺侵犯公民隱私權(quán)的糾紛。

　　案件終審判決于2017年3月27日作出，時(shí)值民法總則首次通過民事基本法確立個人信息的法律地位。

　　2014年10月11日，龐理鵬通過北京趣拿信息技術(shù)有限公司下轄的去哪兒網(wǎng)平臺訂購了2014年10月14日MU5492瀘州至北京的東航機(jī)票1張。同年10月13日，龐理鵬收到一條以機(jī)械故障為由取消涉案航班的來源不明的短信，后經(jīng)中國東方航空股份有限公司客服確認(rèn)，這條短信為詐騙短信。龐理鵬認(rèn)為，趣拿公司和東航公司泄露其個人信息，其個人隱私權(quán)遭到嚴(yán)重侵犯，遂訴至法院。

　　值得注意的是，在這起典型的信息抓取類隱私權(quán)糾紛中，涉訴信息是否具有隱私屬性是侵權(quán)行為認(rèn)定的前提條件。

　　法院認(rèn)為，經(jīng)權(quán)利人許可在網(wǎng)上公開披露的個人資料已表明權(quán)利人放棄其隱私，視為其明知個人信息將被不特定的主體收集、挖掘、分析，相關(guān)信息應(yīng)作為公共資源看待，不具有隱私權(quán)屬性。在案件中，龐理鵬被泄露的信息包括姓名、手機(jī)號、行程安排等，其行程安排無疑屬于私人活動信息，應(yīng)該屬于隱私信息，可以通過隱私權(quán)糾紛主張救濟(jì)。

　　因此，需要厘清一個概念，即個人信息是否等同于隱私？

　　中國人民大學(xué)法學(xué)院教授楊立新告訴《法制日報(bào)》記者，個人信息主要有三種形式：第一種是個人隱私信息，這是隱私權(quán)保護(hù)的范圍；第二種是個人身份信息，如身份證號碼、電話號碼、個人賬戶信息等，用個人信息權(quán)予以保護(hù)；第三種是衍生數(shù)據(jù)，是對網(wǎng)絡(luò)上留存的海量的個人數(shù)據(jù)進(jìn)行加工處理形成的新數(shù)據(jù)，已經(jīng)與個人的身份信息脫敏。

　　楊立新說，個人隱私信息和個人身份信息都要依照法律的規(guī)定進(jìn)行支配，只有衍生數(shù)據(jù)才可以在大數(shù)據(jù)時(shí)代中進(jìn)行商業(yè)處理。

　　不少用戶不看授權(quán)須知

　　一些App強(qiáng)制要求授權(quán)

　　那么，何為越界索權(quán)、過度抓取？

　　民法總則第一百一十一條規(guī)定：“任何組織和個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”這是有關(guān)組織和個人獲取他人個人信息的原則。

　　楊立新說，網(wǎng)絡(luò)交易平臺組織進(jìn)行網(wǎng)絡(luò)交易，有權(quán)獲取參加交易的人的相關(guān)信息。不過，網(wǎng)絡(luò)交易平臺獲取消費(fèi)者個人信息有兩個要求，一是要有權(quán)獲取，二是獲取的必須是相關(guān)信息。無權(quán)獲取而獲取他人個人信息，是侵權(quán)行為；有權(quán)獲取他人個人信息，但是超出合法的范圍而收集與交易不相關(guān)的個人信息，同樣也是侵權(quán)行為，都要承擔(dān)侵權(quán)責(zé)任。

　　App運(yùn)營商一方面掌握了大量的個人信息，另一方面也應(yīng)有相應(yīng)的能力保護(hù)好消費(fèi)者的個人信息免受泄露，這既是App運(yùn)營商的社會責(zé)任，也是其應(yīng)盡的法律義務(wù)。

　　然而，用戶信息為何一再被泄露？又為何一再出現(xiàn)信息抓取類隱私權(quán)糾紛？

　　這是因?yàn)椋槠男畔⒁坏┍徽希憔哂猩虡I(yè)價(jià)值——對于商家而言，數(shù)據(jù)越多，越有精準(zhǔn)營銷的優(yōu)勢，以便占領(lǐng)市場制高點(diǎn)。

　　除此之外，上述北京市消協(xié)發(fā)布的報(bào)告稱，手機(jī)App軟件過度采集個人信息已成為網(wǎng)絡(luò)詐騙的主要源頭之一。

　　據(jù)介紹，個人信息一旦被收集、提取和綜合分析，就完全可以與特定的個人相匹配，從而形成某一特定個人詳細(xì)準(zhǔn)確的整體信息。這些整體信息一旦被泄露擴(kuò)散，任何人的私人空間都將被置于陽光下，個人的隱私將會遭受威脅。

　　然而，北京市消協(xié)的調(diào)查問卷顯示，有41.16%的人在安裝或使用手機(jī)App前從來不看授權(quán)須知。

　　中消協(xié)發(fā)布的《App個人信息泄露情況調(diào)查報(bào)告》亦顯示，“不授權(quán)就沒法用”是受訪者“從不閱讀”的最主要原因。

　　根據(jù)調(diào)查結(jié)果，在占比26.2%從不閱讀應(yīng)用權(quán)限和用戶協(xié)議或隱私政策的受訪者中，選擇從不閱讀的原因主要是因?yàn)椴皇跈?quán)就沒法用，只能被迫接受，占61.2%。

　　在北京大學(xué)信息科學(xué)技術(shù)學(xué)院副教授陳江看來，這一方面是因?yàn)椴糠钟脩舸_實(shí)不了解應(yīng)用權(quán)限對于個人隱私權(quán)利的重要性；另一方面，在很多情況下，如果用戶不提供權(quán)限，App就直接退出或自動停止服務(wù)。

　　構(gòu)建分級分類保護(hù)體系

　　加大力度制裁侵權(quán)行為

　　對于如何保護(hù)個人信息，楊立新認(rèn)為，現(xiàn)有法律法規(guī)已經(jīng)足以保護(hù)個人信息。問題在于，侵害個人信息構(gòu)成犯罪的能夠追究其刑事責(zé)任，但對于侵權(quán)行為仍然制裁不力，應(yīng)該采取更具體的立法措施，對侵害個人信息的行為認(rèn)定為侵權(quán)行為，責(zé)令承擔(dān)損害賠償責(zé)任。

　　比如，被侵害人的個人信息只賣了1元，可按照消費(fèi)者權(quán)益保護(hù)法規(guī)定的最低賠償額賠償500元，或者按照食品安全法的規(guī)定賠償1000元。這樣能夠調(diào)動個人信息權(quán)人保護(hù)自己權(quán)利的積極性，對侵害個人信息權(quán)的行為人予以有力制裁，保護(hù)好個人的信息權(quán)。

　　中國政法大學(xué)教授劉保玉曾提出，將安寧生活權(quán)益納入個人信息的保護(hù)范疇。

　　在鄭寧看來，安寧是排除侵?jǐn)_之后，精神上享有的安定、寧靜狀態(tài)。安寧權(quán)益屬于現(xiàn)代人格權(quán)所應(yīng)保護(hù)的對象，更屬于隱私權(quán)的范疇。隱私權(quán)的內(nèi)容主要包括維護(hù)個人的私生活安寧、個人私密不被公開、個人私生活自主決定等。隱私權(quán)特別注重“隱”。

　　“而個人信息權(quán)主要是指對個人信息的支配和自主決定。個人信息權(quán)的內(nèi)容包括個人對信息被收集、利用等的知情權(quán)，以及自己利用或者授權(quán)他人利用的決定權(quán)等內(nèi)容。即便對于可以公開且必須公開的個人信息，個人應(yīng)當(dāng)也有一定的控制權(quán)。”鄭寧說，因此，將安寧生活權(quán)益納入隱私權(quán)更加恰當(dāng)。

　　對外經(jīng)濟(jì)貿(mào)易大學(xué)博士生袁泉在其《個人信息分類保護(hù)制度構(gòu)建及其體系研究》一文中則分析稱，傳統(tǒng)個人信息保護(hù)模式在利益界定上僅停留在考慮人格權(quán)或財(cái)產(chǎn)權(quán)的單項(xiàng)保護(hù)層面，僅站在強(qiáng)化個人信息控制權(quán)與自決權(quán)角度予以配置，導(dǎo)致個人信息保護(hù)機(jī)制利益失衡。應(yīng)以信息的風(fēng)險(xiǎn)系數(shù)和個人與信息的關(guān)系為標(biāo)準(zhǔn)將個人信息分為三類，并分別配置不同的保護(hù)機(jī)制。

　　騰訊守護(hù)者計(jì)劃安全專家馬瑞凱亦認(rèn)為，如何引導(dǎo)行業(yè)對于個人信息進(jìn)行分類，構(gòu)建分級分類保護(hù)體系，這是當(dāng)前個人信息防泄露問題要著重考慮的一項(xiàng)。

　　鄭寧建議，區(qū)分可使用、可交易的商業(yè)數(shù)據(jù)信息和不可使用、不可交易的(商業(yè)秘密等)數(shù)據(jù)信息，劃分個人一般信息和個人隱私或敏感信息的邊界。根據(jù)相關(guān)數(shù)據(jù)信息的屬性(包括商業(yè)屬性和人身屬性等)、所屬領(lǐng)域和類別、可對數(shù)據(jù)信息權(quán)利人造成的影響等多方面對其分類，再根據(jù)具體的類別給予相應(yīng)級別的保護(hù)。

　　此外，企業(yè)要推動數(shù)據(jù)防竊密、防篡改、防泄露等安全技術(shù)的研發(fā)和部署，有效降低不法分子竊密風(fēng)險(xiǎn)；監(jiān)管部門應(yīng)進(jìn)一步加大對電信詐騙、網(wǎng)絡(luò)詐騙等違法犯罪活動的打擊力度，保護(hù)消費(fèi)者的合法權(quán)益。