大数据时代网络APP强制搜集用户信息的民事规制

2020-02-25徐敏星

法制与经济 2020年4期

徐敏星钱宇

（江苏警官学院，江苏南京210023）

大数据时代下，网络APP丰富和便利了人们的生活，但是，也存在着一些不合理的现象：一些APP开发商在用户个人信息保护意识不强的情况下搜集其信息甚至利用其优势地位强制搜集用户信息，一篇由中国消费者协会发布的关于APP搜集个人信息的测评报告曾指出绝大部分网络APP存在过度搜集用户个人信息行为，其过度搜集的个人信息包括用户的位置信息、通讯录信息、身份信息等。①可见，APP收集个人信息给用户的民事权益带来了极大的风险，应当引起相关立法和执法部门以及网络行业的共同关注。

一、APP搜集用户信息的失范表现

（一）APP企业过度索权

在大数据时代下作为APP向用户索取的权限，应遵守着不超过服务需要范畴的规制，否则就会构成企业APP过度索权。所谓“企业APP过度索权”指的是当用户下载APP后，必须要输入一系列个人信息，其中包括许多不相关的个人信息。比如微信打开一个某外卖小程序，用户不仅要允许其访问位置、通讯录信息，还有允许其访问微信昵称、头像、相机权限，这些都与外卖没有任何关联。例如，地图类APP索取位置信息，合情合理，但是又要索取通讯录信息和访问相册就是“越权”。

一篇由中央网信办等四部门联合发布的关于APP与个人信息专项治理的报告，指出了APP强制搜集用户信息的乱象，并针对此种情况成立了APP违法违规收集使用个人信息专项治理工作组。工作组专家表示，APP普遍存在强制索要授权、越权索要授权的行为，平均每个APP申请搜集有关用户个人信息相关权限数达十余项，而有些权限用户不同意则导致无法安装此软件，这类权限平均为三项。②上述数据表明，网络APP过度索权的现象相当普遍。

（二）APP企业强制授权

企业APP强制授权，是指在用户使用APP的时候，往往会出现这样的情况：当拒绝某APP的某一授权请求的时候，可能会出现使用不了此APP或者使用不了此APP的某些权限的情况。比如知乎APP，几乎青年人都在使用它，但是当我们下载知乎时不同意其隐私条款，APP便会被强制关闭，无法使用。

这一现象在我们的问卷调查中同样得到了印证。课题组的问卷数据显示，对于“当我们下载APP遇到隐私条款的问题”时，有高达57.96%的人选择了不看APP隐私条款选择直接同意；对于后述的原因选项，其中74.65%选择了“不同意就没法用”，由此，可以明显看出的是，企业APP利用其优势地位在强制授权。

（三）APP企业非法使用用户信息

大数据时代的来临，已使网络APP搜集个人信息成为常态。但是，个人信息的绝大部分都被企业、不法分子等通过随意共享、随意交易、恶意捆绑、非法买卖等方式非法使用着。主要表现为：

第一，用户信息被随意共享。个人信息的共享须经法律授权或用户本人同意，但总有些机构在没有得到任何授权的情况下，将所掌握到的用户个人信息供其他机构使用。很多行业的机构之间就存在很多此类无权共享信息行为。

第二，个人信息被随意交易。有关APP在用户同意获取其信息或者隐私条款后打着本人授权的幌子随意交易用户信息。据之前网络曝光，网络“黑市”随意买卖和交易个人信息现象泛滥，2000元就可以购买10万条信息，③可见，个人信息被交易现象严重。

第三，个人信息被恶意捆绑。很多APP都存在恶意捆绑广告插件行为，该行为是指在用户使用某授权过的APP时，该APP擅自下载推广软件，并且后台没有任何提示，造成用户流量的损失。比如一些用户打开某些购物类APP浏览商品后关闭软件，但是该软件一直在后台访问用户位置信息，这造成了许多流量损失。

第四，个人信息被非法买卖。某些APP在未经法律授权或者本人同意的情况下，将所掌握的个人信息买卖给其他机构。电信、金融、教育、医疗、交通等行业由于其行业性质掌握着巨大的个人信息数据，这些单位的工作人员在工作或者提供服务的过程中，时常会有将用户信息出售给某些机构或组织以谋取个人利益的行为，例如“猎头搜”网站通过非法获取公司内部通讯录和员工简历，网站用户可以自行对其进行下载，除此之外，还倒卖信息，非法牟利。其网站上有大量的各个公司员工的简历和联系方式等信息，其内容涉及各行各业，许多知名企业牵涉其中。巨大的经济利益使非法买卖个人信息的企业和个人铤而走险，以身试法。

综上所述，在大数据时代，网络APP穷尽所能搜集用户信息来支持其业务发展创新的现象屡见不鲜，这必然会涉及有关用户隐私和数据安全问题。这个是整个行业的问题，不是某一家公司、某一款APP的问题。对于此类现象不能让过度索权、强制授权个人信息成为大数据时代的“潜规则”，要牢记互联网红线——用户隐私和数据安全。

二、APP强制搜集用户信息构成对用户民事权益的侵犯

（一）侵犯用户的人身权益

网络APP强制搜集用户信息的行为对用户的人格权造成侵犯。收集、处理或利用个人信息直接关系到信息拥有者本人的人格尊严，④因而网络APP强制搜集用户信息有侵犯用户人格权的嫌疑。个人信息本身是抽象的，通过特定的数据、图文表现出来，与特定的人有着联系。法律之所以需要对个人信息予以保护，是因为个人信息蕴含着人权保障和信息自由两大价值。网络APP随意获取、共享、买卖个人信息已经造成了对用户人格权的侵犯，在实践中可具体表现为侵犯了用户的姓名权、名誉权、肖像权等。例如，闻名全球的社交软件脸书就涉嫌侵犯用户的个人信息，脸书内部的开发者可以通过脸书内部群组的编程界面对其用户的资料进行随意访问，可以访问的数据包括用户的姓名和个人资料图片，这已经对用户的人格权造成了侵犯。

尤为值得关注的是，网络APP强制搜集用户信息的行为对用户的隐私权造成极大的损害。在民法层面，隐私权指的是一种基本的人格权利，是自然人独立享有的、不被他人干涉的、依法受到保护的一种人身权益。在大数据时代，用户的隐私权也必然带有一些时代要求：个人信息不被他人非法收集、占有、使用和处分。但是，非法侵犯个人信息的情况数不尽数，这严重侵犯了用户的人身利益。例如，被女性所熟知的APP小红书，其虽然给生活带来了便利与乐趣，却也在不断侵犯使用者的隐私权。用户首次下载并打开小红书APP时，软件页面往往会跳出一个对话框让用户确认是否给予APP访问用户通讯录的权限，一旦确认，其便会向你推荐手机通讯录里同样使用该APP的联系人。此行为导致用户关注的内容、兴趣标签等被他人了解，侵犯了用户的个人信息。作为网络平台的小红书APP，并未尽到作为网络平台的责任，保护用户的个人信息安全，监管不力，极易导致用户的隐私权被侵犯。上海市嘉定区市场监督管理局对其作出了罚款5万元的行政处罚。

（二）侵犯用户的财产权益

在大数据时代，个人信息的利用带来了无可比拟的财产价值和商业价值，并已经远远超过个人信息本身的固有价值。一般来说财产权是指具有一定物质内容或者直接体现为某种经济利益的权利。⑤笔者认为，大数据时代下的个人信息在一定程度上是信息所有者的经济权益的体现。个人信息财产权的内容包括以下三个方面：第一，信息所有者享有个人信息的收益权，确保了信息所有者对个人信息固有的权利。第二，信息所有者享有个人信息的处分权。第三，信息所有者享有个人信息的利益损害请求权，有利于防止个人信息造成损失的蔓延。

巨大的经济利益吸引着众多的网络行业相关者进行个人数据的收集和利用，甚至看到在美国有一些人出售自己的个人信息来获取收益。由此证实个人信息给企业带来便利的同时，用户的财产权益也正处于紧迫的危险中。近几年个人信息交易案件频发，很多人通过贩卖个人信息获取利益，使得信息享有者的权利遭受侵犯。比如，某平台因泄露用户的航班信息而致使用户被骗10余万元，该用户将该平台起诉至法院，法院最终判决认为该平台在信息安全管理方面存在漏洞，且未尽到对个人信息负有的信息保管及防止泄露义务，判决该网络平台赔偿经济损失5万元并向该用户赔礼道歉。

以上表明网络APP强制搜集用户信息的行为对用户的财产权益造成了极大的风险。

三、完善网络APP强制搜集用户信息的民法规制路径

（一）完善防范APP恶意搜集用户信息的民事立法

我国有许多法律都明确提出或者普遍涉及对个人信息的保护，比如《侵权责任法》第2条、《合同法》第39和第60条、《宪法》第3章、《民法总则》第111条以及其他行政法律法规。但是，我国对个人信息的法律保护还是存在很大的漏洞，立法缺失问题也比较突出。首先，《民法通则》中只有第111条中提到了有关个人信息的法条，但是并没有确定个人信息的概念也没有出台专门的个人信息保护法，只能零散地从法律规定中找依据，主要是从保护公民姓名、肖像、名誉等具体人格权的角度出发进行规制的。其次，法律保护形式单一，主要表现为侵权保护。第三，有关个人信息保护的条文散见于各个法律文本中，体系混乱。第四，个人信息保护范围较为狭窄，并不能涵盖所有或相对完整的个人信息类别，并且其对个人信息侵权行为的规定较为含糊，存在漏洞。

因此，要防范网络APP强制搜集用户信息行为的发生，需要制定《个人信息保护法》，明确个人信息权与姓名权、肖像权等并列为一项新型的具体人格权。《个人信息保护法》对网络APP强制搜集用户信息的行为进行规制的内容应当包括：第一，确定个人信息的内涵和保护范围；第二，规定侵犯个人信息的具体行为方式；第三，规定侵犯个人信息的具体民事承担方式。

（二）强化监督APP搜集用户信息的行业协会责任

目前，尽管全国已经有多省市成立了当地的互联网协会，但是网络APP强制搜集用户信息的现象并没有得到缓解。互联网协会并没有针对网络APP强制搜集用户信息的行为制定具体的管理条例与惩罚措施，互联网协会等组织对个人信息的普遍乱用现象也没有制定和规范具体的统一的行业规则。企业APP搜集手机用户信息应该本着“目的明确、最少够用、公开告知”原则，但是很多企业APP却是本着“不管有用没有用都要获取权限”的原则。因为在大数据时代，企业收集的有关用户的数据信息越多，越有利于其精准营销，这就营造了一种“得数据者得天下”的现象，这种滥用权限的行为似乎成为整个行业的“潜规则”。

对于以上现象，我们要鼓励行业自律，利用行业自律的方法达成充分保护个人信息的目标。所谓行业自律就是要充分调动行业协会等组织和企业的积极性，让其在法律的框架内制定具体的行业规则，使其既有利于自身发展，也符合国家保护用户个人信息的法律规定，进行自我监督和相互督促，减少和预防侵权公民个人信息行为的发生。对此，笔者认为，法律应当规定互联网行业协会承担相应的法律责任：第一，提供互联网服务商使用的用户协议的参考模板；第二，制定隐私化的具体方法与标准；第三，参与数据交易所的认证工作，提供技术性的建议。通过以上措施引领互联网行业的规范发展。⑥

（三）健全遭受APP搜集信息侵权用户的救济路径

调查中发现，有近八成用户虽意识到自己的权益被侵犯，但不知道怎么维权，这就是由事后救济途径的缺失问题导致的。例如，发生在2014年开房信息泄露案件，受害人王某发现自己的信息被泄露，于是向法院起诉了汉庭酒店和慧达驿站，向其索赔20万元，但由于王某处于弱势地位，难以搜集到有效的证据，被法院判决败诉。又如，发生在2016年的消费者诉苏宁易购一案，消费者认为是苏宁易购系统存在漏洞致其信息被泄露，尽管苏宁易购公开承认其存在系统漏洞，受害者还是以无法证明泄露主体败诉。⑦从上述案例中我们可以看出，受害者举证难度大且被侵权后维权无门，反映了用户个人信息方面被侵权后救济途径缺失。为此，立法中需要健全被APP搜集信息侵权用户获得救济的路径。

首先，确定能有效保护被侵权用户的归责原则。归责原则是确定责任的法律准则。民法中主要将归责原则分为两大类，第一，主观归责原则，包括过错责任原则和过错推定责任原则。过错责任原则是指由于企业强制收集用户信息行为的主观过错构成侵权行为，其主观上有故意或者过失的意思。过错原则适用于那些为谋取利益而不择手段非法获取用户个人信息的主体，也可以说这类主体在非法搜集用户个人信息上具有主观故意。而过错推定责任原则是指当用户的个人信息受到侵犯，就推定搜集用户信息的主体主观上有过错，除非其能证明自己无过错，否则就要承担侵权责任，这是过错原则的一种特殊方式，实质上是举证责任倒置的表现。当企业APP搜集用户信息被举报后，应当由企业提供证明自己没有过错的证据，否则就应当承担责任。第二，客观归责原则，即无过错原则。结合民法通则和侵权责任法中有关无过错原则的相关条文可知，只要网络APP开发商的相关行为损害了用户的合法权益，不论其主观是否具有过错，都应当承担相应的责任。由于企业APP搜集用户信息的行为造成用户民事权益损害的事实客观存在，以及企业搜集用户信息的行为与用户个人信息的泄露有着因果关系，所以法律需要加重对企业的责任，令其对损害后果承担法律责任。

综上所述，客观归责原则更有利于保护用户的民事权益。当用户的权益被侵犯后主观归责原则要求用户证明企业有主观故意或者过失的意思，这就造成了用户取证的困难，从而在利益受损后用户被法院拒之门外。而客观归责原则将主观过错的举证责任分配给具有优势地位的企业，避免因为用户的弱势地位造成法律适用上的不公正。因此，笔者认为保护被侵权用户的归责原则适用于客观归责原则。

其次，确立保护被侵权用户的举证责任分配制度。关于个人信息被侵权而起诉的案件都很难成功，其中证明泄露主体成为难题，以及即使知道存在漏洞搜集用户信息的行为也难以根据法律来裁判，这体现了实体和程序的脱节。