何培育，马雅鑫

(重庆理工大学 重庆知识产权学院，重庆 400054)

移动互联网时代，社交类App成为人际沟通的重要工具。海量的文字、语音、图片与视频资料通过社交类App实现全球范围的实时传递，大大便利了人际交流与合作。然而，由于用户信息具有重要的商业价值，加之当前的法律规范不够完善，社交类App数据传输的过程中出现了大量的非法收集、使用个人信息的行为，违法行为的普遍性让人触目惊心。中国消费者协会于2018年8—10月在对100款App测评中发现，多达91款App列出的权限存在涉嫌“越界”，其中测评的10款通讯社交类App均涉嫌存在过度收集或使用用户信息的情况[1]。2020年，工业和信息化部先后三次对App侵害用户权益的事件进行检查、通报，其中不乏知名的App程序，用户个人隐私保护问题依然形势严峻。社交类App违规收集、使用用户个人信息行为严重侵犯了用户隐私，并且一旦数据被非法使用或泄露，则可能造成用户重大财产损失及其他严重后果[2]。为切实保障用户隐私安全，本研究系统梳理社交类App在收集用户个人信息时存在的主要法律风险，并对我国5款常用社交类App的隐私政策进行评估，明确社交类App收集用户个人信息行为的合法性边界，进而提出相关对策。

一、社交类App收集用户个人信息：基于隐私政策的分析

隐私政策在第三方应用程序中通常表现为“隐私声明/条款”，是指软件服务提供商就保护用户隐私安全关于权利、义务及责任进行明示的相关规则[3]。通常情况下隐私政策被规定在“网络服务协议”“软件许可及服务协议”中，但随着网络用户对隐私问题越来越关注，独立发布隐私政策成为一种更为普遍的做法。App隐私政策可以反映出App运营者在收集、保存、使用、共享等各个环节的具体操作流程和规范，因此可以作为评判社交App收集用户个人信息是否合法合规的重要参考[4]。

本研究选取百度贴吧、陌陌、QQ、微信、新浪微博5款通讯社交类应用程序(1)选取中国消费者协会于2018年11月28日发布的《100款App个人信息收集与隐私政策测评报告》中测评的“消费者常用的”5款社交类App。，考察各App的隐私政策中有关收集用户个人信息的内容，对比其在收集用户个人信息方面的优缺点，并结合国家市场监督管理总局、国家标准化管理委员会于2020年3月发布的新修订的GB/T 35273—2020《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》)以及全国信息安全标准化技术委员会于2020年7月发布的《网络安全标准实践指南——移动互联网应用程序(App)收集使用个人信息自评估指南》，从而梳理出相关领域的突出问题。

(一)收集用户个人信息的“告知—同意”规则

个人信息的收集应当依照法律、行政法规的规定和双方约定，遵循《网络安全法》第41条规定的合法、正当、必要的原则，明示收集信息的类型、目的和方式。将同意原则视为个人信息收集的前提是国内外个人信息保护立法的通行做法[5]。在具体适用上，信息收集者有义务获得用户明确同意，且根据个人信息的重要程度，满足不同程度的同意条件[6]。其中知情条件和自由选择条件包括明确告知收集的内容、目的、方式以及可能后果等事项，并允许用户撤回同意(2)《个人信息安全规范》第5.3条收集个人信息时的授权同意；第5.5条收集个人信息时的明示同意；第7.7条个人信息主体撤回同意。。对于明示同意的方式，《个人信息安全规范》第3.6条指出个人信息主体可以通过书面声明或者主动做出肯定性动作，将其个人信息处理行为明确授权他人。其中肯定性动作包括用户主动勾选、主动点击“同意”“注册”“发送”“拨打”等。5款社交类App关于收集用户个人信息的“告知—同意”规则如表1所示。

表1 社交类App收集个人信息的“告知—同意”规则

百度贴吧、陌陌、QQ的注册页面首先提示用户主动阅读隐私政策后才出现注册账号，且3款App自动默认阅读并同意服务协议和隐私政策，注册微信时需要用户主动勾选；微博登陆注册即表示同意隐私条款。关于“如何更新”的内容，百度贴吧、QQ、陌陌、新浪微博均与《个人信息安全规范》附录D隐私政策模板提供的范本基本一致。微信“会在登陆及版本更新时以推送通知、弹窗的形式”展示变更后的指引。结合工信部对App侵害用户权益的事件进行检查、通报的情况，在收集用户个人信息的“告知—同意”规则设定方面，社交App常见问题主要包括：有关收集使用规则的内容晦涩难懂，使用大量专业术语，用户难以理解；以默认选择同意隐私政策等非明示方式征求用户同意；隐私政策访问路径设置复杂、隐蔽，用户难以获知等。

(二)收集用户个人信息的内容

《个人信息安全规范》附录A“个人信息示例”详细列举了13类近百项个人信息的内容，据此，本研究将5款社交类App收集的信息分为13类(见表2)，其中个人财产信息、健康生理信息、生物识别特征信息、网络身份识别信息、位置信息等属于个人敏感信息。

在收集个人信息的内容方面，陌陌、新浪微博对“个人信息”“个人敏感信息”做了详细列举，且表述基本与国家标准一致。在收集的13类个人信息中，收集信息类别最多的是陌陌，共计12项，最少的是百度贴吧，共计7项，平均每款App收集9项。App收集个人信息应当遵循“必要原则”，不得收集与其提供服务无关的信息。结合行业现状，社交类App以下问题较为常见：收集个人信息的频度超出业务功能实际需要；实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能等。

表2 社交类App收集个人信息的类型

(三)收集用户个人信息的目的

《个人信息安全规范》在第5条中明确规定个人信息控制者收集的个人信息的类型应与其实现服务的业务功能直接相关，且应明确告知所提供的不同业务功能分别收集的个人信息类型以及收集目的等规则。此外，其第7.3条“个人信息的使用限制”规定个人信息控制者在使用用户信息时不得超出与隐私政策中明确目的直接相关的范围，如确需超过其声称的目的范围使用个人信息的，应再一次征得用户明示同意。

经表3对比分析可知，5款社交类App隐私政策均表明基于注册账号、使用软件业务功能的目的收集用户个人信息，并详细列出所收集的个人信息的类型。此外，5款App均会基于提供人性化服务或推送商业广告的目的收集用户个人信息。除了百度贴吧之外，其他4款App均会收集用户信息用于优化体验。关于安全保障目的的规则，QQ表示为了增强帐号的安全性，会在获得明示同意后，向用户收集人脸影像信息，并将上述信息作为QQ帐号身份验证的重要依据，便于用户使用找回帐号等安全相关功能；百度贴吧表明其可能会收集用户信息用于身份验证、客户服务、安全防范、诈骗监测、信贷分析等；陌陌与微信的隐私政策中也有关于采集信息用于安全保障的内容。关于授权同意的例外，5款App均列出与《个人信息安全规范》内容一致的11种情形。关于明示收集使用个人信息的目的、方式和范围，社交App通常存在以下问题：未逐一列出App收集使用个人信息的目的，表述过于笼统；收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户等。

表3 社交类App收集个人信息的目的

(四)收集用户个人信息的方式

5款社交类App收集个人信息的方式大致可分为4种：用户主动提供的信息、用户使用过程中提供的信息、来自第三方合作伙伴或者其他来源的信息以及来自其他用户或企业的信息。

《个人信息安全规范》第5.3条b项指出，当个人信息控制者间接获取个人信息时，应确认其个人信息来源的合法性，并了解该个人信息的授权同意范围，若开展某业务超出授权同意范围，应征得个人信息主体的明示同意。间接获取方式指通过共享、转让、搜集公开信息的方式获取个人信息。来自第三方合作伙伴的信息，例如陌陌表示“可能使用或整合您的用户信息、交易信息、设备信息、有关网络日志以及我们关联公司、合作伙伴取得您授权或依据法律共享给我们的信息，来综合判断您账户及交易风险、进行身份验证、检测及防范安全事件，并依法采取必要的记录、审计、分析、处置措施”。微信在“明示用户个人信息来源、类型及适用范围并征得用户明示同意”后才会从腾讯集团外的第三方获取其个人信息。在信息的收集与共享方面，社交App的违规行为主要体现在未经用户同意，也未进行匿名化处理，App客户端直接向第三方提供个人信息，以及未经用户许可，通过客户端嵌入代码、插件等方式，非法从其他用户或企业获取信息。

二、社交类App收集用户个人信息的法律规制现状

尽管近年来个人信息保护受到社会各界高度关注，但社交类App违法收集个人信息的事件依然屡见不鲜，用户隐私安全往往难以得到有效保护，并引发大量的法律纠纷。关于社交类App收集用户个人信息的法律规制，我国已经从民事法律、行政法律及刑事法律三个层面建立了较为完善的法律规制体系。

(一)社交类App运营商的民事法律规制

社交类App运营商违规收集用户个人信息可能引发违约责任与侵权责任。App运营商与网络用户之间构成网络服务合同关系，用户服务协议是确定双方权利义务的依据，运营商往往提供隐私政策以明确数据收集的目的、方式与用途并征得用户同意。从性质上来看，隐私政策属于用户服务协议的组成部分，具有同等的法律效力。一旦App运营商超越用户服务协议或隐私政策规定的范围收集用户协议，则构成了违约责任与侵权责任的竞合，用户可以向App运营商主张违约责任或侵权责任。《民法典》的相关立法值得特别关注，其中第11条规定“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。第1034条第二款规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。本条第一款则要求处理(包括收集)个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；公开处理信息的规则；明示处理信息的目的、方式和范围；不违反法律、行政法规的规定和双方的约定。《民法典》还对免责事由等做了明确规定。

(二)社交类App运营商的行政法律规制

加强行政监管是确保App正当、合法地收集与使用用户个人信息的重要手段。社交类App违法违规收集用户个人信息将面临越来越严格的行政责任风险。特别是自2019年1月25日中央网信办、工业和信息化部、公安部、市场监管总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》以来，已经开展多轮专项整治活动，查处了大量的App违法违规行为。加强对违法违规收集使用个人信息行为的监管和处罚是专项整治活动的重点内容之一。其法律依据主要是《网络安全法》第64条，按照该条规定，强制、过度收集个人信息以及未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息，将由有关主管部门责令改正，并根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款、对直接负责的主管人员和其他直接责任人给予罚款，情节严重的责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等行政处罚[7]。

(三)社交类App运营商的刑事法律规制

依照2009年《刑法修正案(七)》、2015年《刑法修正案(九)》《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的相关规定，违反法律有关公民个人信息保护的规定向他人非法出售或提供公民个人信息，构成犯罪的，需承担相应的刑事责任。此外，被非法获取的用户个人信息为诈骗、盗窃、敲诈勒索等犯罪，特别是为诈骗分子实施精准诈骗提供了可乘之机，从而给信息主体带来更为严重的财产损失。依照法律规定，未经用户同意，将行踪轨迹信息、征信财产信息、健康生理信息、通信记录等个人敏感信息出售或者向他人提供，被其用于犯罪的属于情节严重的情形，可处三年以下有期徒刑或者拘役。

三、加强社交类App收集用户个人信息的法律规制

基于上述内容的比较，5款社交类App的隐私政策在关于收集用户个人信息的内容设计上总体较为规范，但从行业角度来看仍存在非法收集用户个人信息的现象，建议重点从明确基本原则、界定合法性范围以及加强法律责任三个方面加强其法律规制。

(一)明确社交类App收集用户个人信息的基本原则

个人信息保护的基本原则的重要意义在于，其为社交类App保护用户个人信息提供了基本指引，在此基础上才能够确定社交类App合法收集、使用用户个人信息的边界，进而实现用户信息保护与合理利用之间的平衡。《民法典》第1 035条规定了个人信息处理的合法、正当、必要原则，但是对个人信息收集的原则未予以进一步明确。《个人信息安全规范》第4条明确了个人信息安全基本原则的七项原则，分别是权责一致原则、目的明确原则、选择同意原则、最少够用原则、公开透明原则、确保安全原则、主体参与原则，其中有关个人信息收集最重要的三项内容是目的明确原则、选择同意原则与最少够用原则。鉴于《个人信息安全规范》仅为技术标准，建议在未来的《个人信息保护法》中将前述三项原则纳入立法。

目的明确原则指的是社交类App收集、使用用户个人信息的目的应具有合法、正当、必要、明确性。具体而言，“合法”指社交类App应遵守我国有关收集、使用公民个人信息相关法律法规的规定，包括《互联网上网服务营业场所管理条例》《关于加强网络信息保护的决定》《网络安全法》等。“正当、必要”原则指社交类App收集用户个人信息时应采用合法、公平的手段。正当包括业务正当、目的正当，即社交类App收集、使用的用户个人信息应是其实现某业务所必需的，不得超出约定范围收集、使用用户个人信息。“目的明确化”是适用各种个人信息保护规则的前提[8]。社交类App首先确定了目的后，才能判断其收集用户个人信息的类型和数量以及保存期限是否超越了双方约定。除此之外，结合常用社交App隐私政策的分析，个人信息收集的目的应当清晰明确，避免采用笼统的语言逃避法律义务，当随着App的功能变化导致个人信息收集的目的发生变化时，亦应当及时通知用户并获得用户明示同意。

选择同意原则旨在保障社交类App收集用户个人信息的合法性。该原则指的是，社交类App在收集用户个人信息前，明确告知个人信息处理的目的、方式、范围、规则等，并取得用户的明确授权同意；当通过间接方式获得用户个人信息时，应确认来源及合法性，了解用户授权同意的范围。选择同意原则存在一定的例外，例如在发生诸如与国家安全、国防安全等直接相关的情形时需要收集、使用用户个人信息，则无需征得用户授权同意，该例外的情形应当由法律明确规定，并受到严格限制。

最少够用原则旨在保障社交类App收集与利用用户个人信息的必要性。除另有约定外，在实现App经用户授权同意的提供特定服务的目的时，只处理最少个人信息类型和数量，同时应及时删除不再必要的用户个人信息。结合前述社交App在收集个人信息方面存在的常见问题，“最少”指社交类App收集用户信息的类型与其提供某种服务有直接相关性且不可或缺；采集用户使用App时的相关个人信息的频率应是提供某种服务必须的最低频率。关于不可或缺以及最低频率的确定应当结合App的具体功能与技术特征，逐步制定与完善行业指导标准。当前App中较为普遍存在以拒绝提供服务为由强制用户提供个人信息，其中则包含了非必要个人信息，该种做法违反了最少够用原则，不当侵犯了用户的非法权益。为了确保App运营商遵守最少够用原则，当用户对于App收集个人信息的范围与频率产生合理质疑时，应当允许用户就App收集个人信息的情况进行查询，并就用户的疑问进行解答，如无法提供合理理由的，应承担相应的法律责任。

(二)厘清社交类App收集用户个人信息行为的合法性边界

《民法总则》第111条新增了对于公民个人信息收集、使用的规定，社交类App提供者应当依法获取并确保他人信息安全，不得非法收集、加工、传输用户个人信息，不得非法提供或者公开他人个人信息。《民法典》在明确了个人信息定义的基础上，规定了信息处理者获取个人信息的原则和条件，还规定了个人信息主体的权利和信息处理者的法律义务，特别强调了个人信息处理者需要为个人信息主体行使权利提供便利，还应当采取必要的技术措施和手段保障个人信息安全。从我国立法和司法实践来看，用户同意是进行个人信息收集、使用的合法性基础[9]。在个人信息收集行为合法性的判断规则上，应当把握两个基本规则：第一，社交类App收集用户个人信息应取得用户有效同意；第二，允许对个人信息合理使用。

就有效同意规则而言，其一，用户应具有完全民事行为能力。根据《民法典》第1924条对于无民事行为能力人与限制民事行为能力人实施民事法律行为的效力的规定，无民事行为能力人与限制民事行为能力人同意他人收集、使用其个人信息的行为，应由其法定代理人代理实施。其二，同意须遵循用户自愿原则。社交类App不得强迫用户提供其个人信息，不得隐瞒其收集用户个人信息的行为，不得采用默示同意的方式获得用户许可。其三，同意的方式采用选择进入模式，即须经过用户明确、积极地同意处理其个人信息[10]。《个人信息安全规范》第5.5条指出，对于个人敏感信息，应取得用户本人明示同意；当收集未成年人的个人信息时，应征得其监护人的明示同意；并向用户提供撤回同意的途径。结合常用社交App隐私政策关于收集个人信息的常见问题，App运营商不得通过App更新自动更改用户权限为默认同意状态，不得误导用户同意收集其个人信息，并应当向用户提供明确的撤回同意的途径与方式，严格按照隐私政策中声明的收集规则收集用户个人信息。App运营商向第三方提供个人信息之前，应当获得用户的明示同意，严禁未经许可擅自传播，也不得通过客户端嵌入代码、插件等方式，非法从其他用户或企业获取用户信息。当然，允许个人信息的合理使用，即在某些情形下，无需取得同意，亦可收集用户的个人信息(3)《个人信息安全规范》第5.4条关于授权同意例外的情形主要有：与国家安全、国防安全直接相关的；与公共安全、公共卫生、重大公共利益直接相关的；出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的；所收集的个人信息是个人信息主体自行向社会公众公开的；用于维护所提供的产品或服务的安全稳定运行所必需的，例如发现、处置产品或服务的故障；个人信息控制者为学术研究机构，出于公共利益开展统计或学术研究所必要，且其对外提供学术研究或描述的结果时，对结果中所包含的个人信息进行去标识化处理的；法律法规规定的其他情形。。2018年开始生效的欧盟《一般数据保护条例》GDPR在强化数据保护的基础上，也规定了几种收集个人信息必须获得数据主体同意的例外，例如GDPR第6条第1款第c项规定“处理是控制者履行法律义务之必要”，以及e项“处理是为了执行公共利益领域的任务或形势控制者既定的公务职权之必要”，这就意味着在法定义务和公共利益两种情况下，未经许可收集数据在GDPR框架内是合法的。这是因为，一方面，过度限制数据共享可能会降低数据利用率，阻碍数据产业的发展；另一方面，公民行使权利时不得违反社会公共利益，当个人利益与社会利益、国家利益发生冲突时，有时需适当地限制个人利益以平衡公共社会利益与个人利益的关系。

(三)强化社交类App非法收集用户个人信息行为法律责任

规制社交类App非法收集用户个人信息行为，应该发挥法律的惩戒和预防功能，强化行为人的法律责任，包括民事责任、行政责任与刑事责任，以减少违法行为。

民事责任方面，一般而言，社交类App运营商违反隐私政策等服务协议依照合同法进行调整，承担采取补救措施或者赔偿损失等违约责任。因App不符合服务协议约定收集、使用个人信息，侵害用户人身、财产权益的，用户有权要求App运营商承担违约责任或者侵权责任。就侵权责任而言，用户的救济方法包括：停止侵害、恢复名誉、消除影响、赔礼道歉及赔偿损失。其中损害赔偿是主要的责任承担方式，包括财产利益损失和精神利益损失[11]。此外，由于大数据时代个人信息案件侵权呈现出群体化的方式，有学者建议隐私权的保护可以通过集体诉讼的方式进行维权[12]，同时为了缓解个人信息侵权案件中受害人举证能力不足的问题，应当引入举证责任倒置规则以实现诉讼攻防的整体均衡[13]。

行政责任方面，近两年中央网信办、工业和信息化部、公安部、市场监管总局联合实施的App违法违规收集使用个人专项治理活动对大量违法违规行为进行了通报与查处，取得了一定的成效。行政监管要对违法行为产生震慑效果，需要对监管机关配置完善的监管职权与处罚措施。监管职权主要包括安全评估权、定期检查权、临时检查权、行政建议权与行政处罚权。当前我国的立法对行政监管权的规定比较模糊，对执法标准和执法流程缺乏必要的规范，因此在实践中往往出现监管难、处罚难的问题，因此应当就监管职权的内容作进一步的明确。在安全评估权方面，监管机构应当对重要信息控制者的网络安全进行事先评估，明确在信息收集与信息过程中对个人信息安全可能造成的影响，进而对可能出现的风险隐患及时介入并排除。此外，定期检查与临时检查措施应当结合使用，在确保日常监管的基础上加强抽查，通过“现场检查”及“远程检查”等多种方式，对App运营商的数据收集、处理以及数据安全事件进行监督检查，特别是对关于App运营商是否进行备案登记、建立信息安全保障机制、信息泄露通知机制等内容进行重点检查。在行政处罚方面，监管机构除了加强监管之外，在被监管人整改之后，还应当对其进行定期检测，跟踪其整改情况，防止违法行为再次发生。

侵害用户个人信息的刑事责任方面，《刑法修正案(九)》第17条修订了《刑法》第253条之一的规定，提高了侵害他人个人信息行为的法定刑，加大了对非法利用他人信息的规制力度，有利于国家根据不同行业特点，有针对性地打击非法收集、使用用户个人信息行为[14]。在判断具体行为情节是否严重时，应考虑行为人的行为次数，如使用窃取、交换等方式获取他人信息受到刑事处罚又实施的；行为人的行为手段的社会危害性，如通过非法获取他人个人信息获利五万元以上的；信息数量的条数，信息数量应结合具体类型的个人信息综合评判，公民的行踪轨迹、通信内容、征信财产信息等应严格限制。在损害结果的认定方面，应将受害人经济损失的大小作为判定“情节严重”的标准之一。