手机应用软件索取用户信息的法律边界
2021-12-06阿热孜古丽麦合木提
阿热孜古丽·麦合木提
大数据时代、网络信息化时代的迅速发展带来便捷也暗藏隐患。个人隐私信息的泄露、贩卖、盗用,骚扰电话、诈骗电话和邮件仍然大量存在,并成为全社会普遍担忧的问题。尤其是全球新冠肺炎疫情发生以来,公民的生活更加依赖手机应用软件,随之而来的是人们更加注重手机应用软件的安全性。用户在使用手机应用程序过程中常常需要提供用户的某个特定个人信息才能够继续使用其功能,用户开放其权限后两者之间的协议达成合意。但是,部分用户并不知道手机应用程序开放权限的后果,因此部分应用软件会利用索取的权限了解到用户的个人信息再进行其他处理,这可能造成用户个人信息的泄露以及其他危害。
一、手机应用用户信息的范围
针对手机应用软件而言,应用软件的开发企业是软件所有者及获利者,企业收集利用用户信息较常见,但其他如行政部门、铁路、医院、学校等基于办公所需的应用软件同样也存在着需要索取用户个人信息的情形。
平台企业一般通过三种途径利用手机应用软件最终达到盈利的目的:一是通过合法的途径将索取的权限利用技术手段将信息收集汇总后进行大数据分析从而了解用户的喜好,向用户精准推荐相关产品来获利。这就要求平台企业精准地抓住用户的喜好,因此越是具体详细的用户个人信息对于平台企业而言越具有价值。二是通过大数据交易平台进行交易,其中包含用户个人信息的交易等,但在大数据交易平台交易用户个人信息需要符合相关规定。例如,随着数据经济的发展,不少地方已经成立数据交易平台,我国第一家数据交易平台为贵阳大数据交易。三是通过非法手段盈利。部分互联网企业收集用户数据用于违法买卖,索取用户个人信息敏感权限开发恶意程序,这些恶意程序可能存在私自扣费、推送广告风险,对用户的个人信息造成极大的侵害,对用户的手机使用造成了严重的威胁。未经用户同意擅自索取用户的信息,对用户的个人信息权也会造成侵害。互联网企业不仅是用户数据的收集者,往往亦是数据的管理者和使用者,企业可以根据发展需要,变更或删除相关数据[1]。除为盈利目的而索取用户信息,手机应用软件也会告知用户在侵犯公共或他人利益时为避免财产、安全的损害会将用户个人的信息提供给第三方。例如,银行的手机应用软件会配合司法机关提供用户的个人账户信息。企业在运营过程中也可能出现其手机应用软件因技术水平或恶意攻击而造成泄露其用户个人信息的情况。
在手机应用软件中,被直接索取的是用户的信息,因此应用软件可以索取用户的何种信息法律是有规定的,如果用户不需授权、不想授权,那么用户作为消费者不应成为企业之间相互竞争的波及者[2]。
通常正常使用手机应用软件的功能需要索取用户的个人信息,其中用户的个人信息重要程度也有所差别。对于用户个人而言希望能最大程度地利用手机应用软件的功能,但又赋予最少的授权。针对手机应用软件用户个人信息的不同法律规定有所不同,对其保护也有所区别。
《中华人民共和国网络安全法》(以下简称《网络安全法》)①参见《网络安全法》有关规定:“自然人的个人信息是指以电子或者其他方式记录的,能够单独或者与其他信息结合,识别的自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等”“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则”“不得收集与其提供的服务无关的个人信息”。以及《中华人民共和国民法典》(以下简称《民法典》)主要将个人信息放在隐私权和个人信息保护条文中,其中《民法典》规定了自然人的个人信息受法律保护以及个人信息的“可识别”性,并且规定了个人信息的范围以及处理个人信息的条件②《民法典》第一千零三十四条:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《民法典》第一千零三十五条:处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。。《民法典》再次将“合法、正当、必要”规定为个人信息保护的原则范围。这就要求平台企业、手机应用软件不能过度索取用户的个人信息。
工信部2013年发布的《电信和互联网用户个人信息保护规定》也使用了用户个人信息的概念③本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。。2021年11月1日,《中华人民共和国个人信息保护法》(下文称《个人信息保护法》)正式实施,其中个人信息要具备“可识别加相关联的信息”,匿名化的信息不受个人信息法的保护④《个人信息保护法》第四条:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。。该法第七十三条第一款第四项对“匿名化”进行了定义,满足“无法识别且无法复原”标准的信息才不属于个人信息,同时也规定了对个人信息中的“敏感信息”的保护。
综上,我国目前对于个人信息的范围已经十分明确,个人信息根据法律法规的规定应当具有可识别性,无法识别的个人信息应当允许企业收集用作商用。同时,也在法律中明确了合法、正当、必要为利用个人信息的原则。
二、手机应用软件索取用户信息的现状
(一)用户信息保护立法现状
2017年6月1日施行的《网络安全法》规定,网络运营者本着合法、正当、必要的原则,不得收集与其提供的服务无关的个人信息。2017年7月1日实施的《移动智能终端应用软件预置和分发管理暂行规定》明确互联网企业将需要收集的用户个人信息通过隐私协议、用户提示等方式告知用户。2019年颁布施行的《中华人民共和国电子商务法》在《网络安全法》的基础上,细化了各方面的规定,适用对象以及用户明示同意都有所扩大。2019年11月29日,国家互联网信息办公室秘书局、工信部办公厅、公安部办公厅、国家市场监管总局办公厅联合发布《App违法违规收集使用个人信息行为认定方法》,进一步落实了《网络安全法》的规定。2020年11月26日工信部发布《App收集使用个人信息最小必要评估规范》,其中规定了最小必要原则,要求不得进行与处理目的无关的个人信息处理。2021年3月22日,国家互联网信息办公室秘书局、工信部办公厅、公安部办公厅、国家市场监管总局办公厅联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,落实了《网络安全法》关于个人信息收集合法、正当、必要的原则。2021年9月1日颁布施行的《中华人民共和国数据安全法》(下文称《数据安全法》)以及《个人信息保护法》的正式施行,对于个人信息保护的相关的规定逐渐详。
根据已经颁布的法律法规以及规范规定,可以看出我国对应用软件的规范已经全面。根据《民法典》的规定,个人信息的处理涉及私密、隐私信息的可以用隐私权的规定。《个人信息保护法》规定了用户个人在信息活动处理中的各项权利,以及敏感信息和其他相关个人信息的处理等问题。我国对于个人信息保护的重视程度逐渐增强,并且已经初步建立起个人信息保护基本体系。
(二)手机应用软件索取个人权限的现状及监管
1.手机应用软件索取权限现状
根据中国消费者协会问卷调查,读取位置信息权限占86.8%,访问联系人权限占比62.3%,受访者被要求读取通话记录权限占比47.5%、读取短信记录权限占比39.3%、打开摄像头权限占比39.3%、话筒录音权限占比24.6%,比例都较高①参见中国消费者协会:2018年App个人信息泄露情况调查报告全文。。
根据法律法规的规定,应用软件开发企业需要明确告知用户同意,在告知同意前提下,企业出于自身利益的考虑往往通过信息混杂、增加字数等方式隐藏重要信息使人不易发现。告知文件似乎并不是为了促进个人知情而拟定并提供的。换言之,企业履行告知的“目的仅在于规避法律风险”[3],在用户不同意其协议或告知的事项,或用户在了解此软件索取的权限后不同意提供或授权使用时,冗长的协议后也仅有不使用此应用软件或无法使用其部分功能的选项。因此,应用软件看似在遵循规定告知用户索取信息,但其结果并不由用户选择。
随着技术的发展,应用软件也开发出不同的功能,其索取的方式类型也逐渐多样。第一,这些应用软件在用户下载安装应用软件打开之时会弹出用户协议以及需要索取的手机权限。如果用户不同意用户协议则无法使用软件,或者不同意所需要的索取权限则部分功能无法使用。第二,在使用手机应用软件时,应用软件会要求用户进行注册登录。注册登录的行为可以视为在此应用软件上建立了一个虚拟身份,这个身份就为应用软件提供者提供了收集用户的信息、分析用户数据的便利。各个应用软件普遍需要用户提供手机号码、身份证号码与验证码等进行注册,登录则是可用账号密码、手机号、扫码登录以及第三方平台进行登录,在注册登录时平台便能获得用户相关的个人信息。
随着企业开发技术的进步,小程序的使用日益增多。小程序是通过手机应用软件提供的无需下载即可使用的软件。用户在使用此应用软件时会被索取权限,在同意授权后要使用此手机应用软件中的小程序时,小程序一般也要求提供身份证信息、手机号码等,但小程序索取信息的问题目前除了作为中间平台的应用软件监管之外,没有其他的监管方式,其安全隐患存在较大的问题。
2.对手机应用软件索取个人权限的监管
在实践中,行政部门通过专项治理对手机应用软件索取个人权限的问题进行监管。自2019年以来,中央网信办、工信部、公安部、国家市场监管总局四部门启动的专项执法,截至2021年3月,共完成73万款APP的技术检测工作,连续发布12批次对外通报,责令整改3046款违规APP,下架179款拒不整改的APP,治理工作取得了积极成效[4],四部门在各自官网以及微信公众号中都设立了投诉举报途径。截至2020年底,工信部在国内共检测到345万款应用软件,但面临无法全面检测、部门之间的执法监督较为分散等问题,在根据对违规的应用软件的处罚时更多的是对平台或企业的约谈、警告、勒令整治、下架应用软件等。对于广泛的应用软件市场而言力度不强,并且对于已经泄露的用户信息的后续个人信息保护不足。另外,目前法律法规对国家行政机关、医院、学校等单位的应用软件的监管与处罚较少,对小程序等新开发的技术监管也明显不足。
(三)手机应用软件索取个人权限案例及困境
在司法实践中,由于《民法典》和《个人信息保护法》实施时间较短,针对类似个人信息保护的案件普遍采取的是用隐私权的相关规定来进行规制,也未将“个人信息保护纠纷”案由独立与个人信息的相关的民事纠纷主要分散在隐私权、不正当竞争等案件当中。由此给个人信息保护的相关实证研究构成一定阻碍[5]。直到2020年12月14日,最高人民法院发布的《关于修改〈民事案件案由规定的决定》(法〔2020〕346号)才正式在第一部分人格权纠纷中将原来的“隐私权纠纷”变更为“隐私权、个人信息保护纠纷”的案由,此决定于2021年1月1日起正式生效并指导司法审判实践。
1.不正当竞争纠纷界定的案件
在2021年1月1日前的相关个人信息的案件中,有部分案件主要以不正当竞争的方式审结,对于其中侵犯个人信息权的问题探讨较少。主要经典的实践案例包括“大众点评诉百度”案①参见:上海汉涛信息咨询有限公司诉北京百度网讯科技有限公司等不正当竞争纠纷案——大众点评诉百度不正当竞争索赔9000万案,(2015)浦民三(知)初字第528号判决书。,在本案中“百度知道”将大众的用户点评直接放到了自己的平台,对大众点评造成了侵害。首先,企业通过自身的技术收集整合成自己的数据库,大多数企业将其视为自己的商业秘密,但对于用户而言其提供的个人信息在这个过程中得不到充分的保障。其次,对于企业收集的法律规定无识别性的信息,企业应当承担举证责任。第三方在未经平台以及用户的同意直接索取用户个人信息,不仅侵害了企业的商业秘密,也侵害了用户的个人信息权。
在“新浪微博诉脉脉软件不正当竞争”案②参见:北京淘友天下技术有限公司、北京淘友天下科技发展有限公司与北京微梦创科网络技术有限公司不正当竞争纠纷上诉案,(2016)京73民终588号判决书。中,微博授权脉脉作为第三方登录,而脉脉公司在未经微博和其用户的同意下擅自收集属于微博的用户信息。在本案中,通过第三方登录的方式擅自收集用户的信息,第三方登录是基于双方公司的合作,可能共享一方的用户信息。但是首先,应当告知用户其合作关系以及共享的范围,共享的用户个人信息应当是符合法律规定的不再具备可识别性的信息。其次,如果索取的是具有可识别性的用户个人信息,双方应当都告知用户并取得用户同意之后才能够索取。
综上,以往因无个人信息的案由,法院的审判也大多是基于平台企业间的纠纷,往往认定针对企业而言用户信息是商业秘密来,平台所索取收集的用户个人信息成为了企业平台财产的性质,而对平台索取的用户的个人信息保护极少提及。
2.侵犯隐私权、个人信息纠纷界定的案件
随着大数据的发展,个人信息的泄露案件逐渐增多,法院在审判案件时也开始注重个人信息保护方面的审理。
在2014年“罗某诉某保险公司隐私权纠纷”③参见:罗某诉某保险公司隐私权纠纷案——侵害公民个人信息的赔偿责任案,(2014)郴北民二初字第947号判决书。案中,被告保险公司从原告罗某购买汽车的4S店中获取到罗某的电话号码并多次致电推销。在本案中法院认定为隐私权纠纷,认定被告非法收集和利用了原告的个人信息侵犯了被告的隐私权。
在2017年“庞某鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷”④参见:最高人民法院发布中国互联网司法典型案例之八庞某鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案,(2017)京01民终509号判决书。案中,原告收到诈骗短信,认为是由被告两公司泄露了个人信息。根据法院审判,法院认定原告的手机号码、行程信息属于即属于隐私信息也属于个人信息,最终以隐私权保护进行救济。
在2019年“凌某某诉抖音”⑤参见:凌某某与北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案,(2019)京0491民初6694号判决书。案中原告认定被告在运营应用软件过程中违法收集、使用原告的隐私和个人信息,通过收集的信息给原告推荐了“可能认识的人”。本案中涉及原告的姓名、电话号码、地理位置等,法院认定为这些信息在本案中的情况不属于隐私,但对原告的个人信息的权益造成了侵害。
在2019年“黄某诉微信读书”①参见:黄某诉微信读书隐私权、个人信息权益网络侵犯责任纠纷案,(2019)京0491民初16142号判决书。案中,原告认定在使用“微信读书”软件时,未经过原告授权同意在软件中出现了第三方登录的微信的好友名单,并且向好友公开了读书想法、阅读信息等。法院认定为本案中出现的原告的好友名单等数据属于个人信息,不属于隐私信息。
综上,以上案件发生随着时间在逐渐发生变化,对于个人隐私、敏感信息在个人信息的界定也在发生不同的改变。实践中,在网络中个人认为的隐私与法律所要保护的隐私在是不同的。
3.手机应用软件索取用户信息的困境
在以往仅能以《中华人民共和国民法总则》为依据审判时,隐私与个人信息边界不够明确。《民法典》出台后,虽然有了对个人信息的部分规定,但是在实务中将个人信息与隐私相交织在一起,仍然对隐私与个人信息的保护不全面。随着《个人信息保护法》的出台,明确了个人敏感信息的范围。
针对个人信息权与隐私权,学界也有不同的观点。有学者认为两者存在交叉、重合的地方[6],也有学者认为,有些个人信息属于隐私信息,有些个人信息则不属于个人隐私,而二者交叉部分为私密信息、敏感信息,既要受到隐私权的保护也要受到个人信息的保护[7]。在实务中,法院主要也以已有的法律规定加学界观点来判断。
根据《民法典》《网络安全法》以及《个人信息保护法》的规定,无识别性的信息是可以由平台企业收集利用的,但在数据算法快速发展的时代,通过个人的部分信息得到用户个人其他完整的信息或通过用户个人匿名不可识别的信息再推算出可以识别的信息是可以达成的。在大数据技术的发展下,可识别的个人信息与不可识别的信息之间界限也不清晰[8]。实践中,平台企业希望能够索取到用户更加具体的信息,这样才能对企业产生价值,也会采取各种办法将自己的利益最大化,通过技术有重新识别的可能性,平台企业就有可能从中获得用户的个人信息,因此,没有绝对的无法识别的信息。在实务中企业也是常以已告知不具有可识别性为由进行抗辩。对此学界有提出可以以“禁止反向识别”来约束企业[9],但其只能针对企业内部的行为,于是造成难以监管的问题。因此,要客观认识无识别性的信息,实现数据的收集者、平台、互联网企业能够在法律法规规定的范围内合法索取、收集、使用,从而保障用户的个人信息不被过度索取、滥用、泄露等。
根据《民法典》《个人信息保护法》及其他法律法规,可以得出平台以明示的方式告知用户并获取同意后才能够进行收集以及处理。在实务中,出现用户不仔细阅读相关协议便点击同意或点击不同意后无法继续使用软件的问题。在“某软件有限公司诉安徽某信息科技有限公司不正当竞争纠纷”案②参见:杭州互联网法院成立两周年十大影响力案件之四某软件有限公司诉安徽某信息科技有限公司不正当竞争纠纷案——数据产品的法律属性及权利归属的认定,(2018)浙01民终7312号判决书。中,法院认为针对非个人信息可以采用“默认同意”,针对个人信息则要“明示同意”。在告知同意的情形下也存在用户能否撤销自己的同意,反悔后平台企业能否销毁或清除自己已取得的信息的问题。在新出台的《个人信息保护法》中,虽然明确规定平台、企业有义务要提供给用户撤销也就是反悔的权利,并且能以便捷的方式撤销。但是,在实践中的落实不尽如意。
三、手机应用软件索取用户信息的完善与发展
在大数据时代,数据的收集与利用无法避免,因此,在个人信息保护和利用之间构建一个动态的利益平衡空间获得了学者的推崇[10]。而根据前文的阐述,我国已经初步建立健全全方位针对个人信息保护的法律制度,目前更多出现在日益发展的大数据、信息化技术与相应的个人、企业平台以及政府部门的应对和监管之间的矛盾。因此,本人主要针对第三方、用户个人、平台企业以及监管部门提出相应的建议。
(一)完善手机应用软件索取隐私权限协议
中国消费者协会的问卷调查显示,认真阅读手机应用权限和用户协议或隐私政策的受访者仅占26.7%。北京市消费者协会的调查报告则得出更低的比例,“只有6.15%的人在安装或使用手机应用程序之前会经常看授权须知”[11]。平台、手机应用软件在履行“明示告知”义务时,最常用的手段是在用户下载完成打开手机应用软件时弹出协议,并且在页面底端放置同意与不同意的按钮。在“明示”完所要索取的权限范围后,就会出现进行索取相应的个人信息。
首先,将已拟好的“格式合同”给予用户,用户只能单方面接受。索取的权限协议更多的是要表明软件需要的信息,不能诱导用户不看、忽略协议的具体内容。其次,如果用户不同意协议的内容将无法继续使用应用软件的部分或全部功能,这有可能是变相强迫用户授权给平台,用户最后作出的授权决定就不是用户的真实意思表示。最后,实际上用户隐私协议中虽然表明了相关索取的范围,但是实际上索取的内容与协议不相符时,用户欠缺足够的能力和技术去认识。
因此,对于应用软件的隐私协议,作为平台企业不能仅以规避法律为目的去制定。应当明确告知用户权利义务,不能仅以格式合同的方式强迫用户接受,如果用户不同意不接受相关协议,平台不能用完全无法使用该应用软件来限制,如果仅是部分功能无法使用,那么应用软件也应当告知用户原因。一般隐私协议具有相对专业性的问题,作为监管部门针对隐私协议的监管也应当相应加强。当然,如果仅针对企业不要求用户个人也明显显失公平以及不合理。用户个人也应当在正规的平台下载应用软件,仔细阅读隐私协议,维护自己合法正当的利益。
(二)明确隐私信息、敏感信息与个人一般信息的不同索取方式
平台企业收集的个人信息涉及个人的隐私信息、敏感信息与个人的一般信息,在实践中会出现用户个人认为是隐私信息但平台不认为是隐私而索取的用户个人信息。因此,法律法规中有相关规定的按规定执行,在个人一般信息、敏感信息与个人隐私信息界限不清时,在实务中按照更严格的权利去保护。对于用户个人的一般信息也应当相应的进行保护。
对于平台企业而言,在索取用户的个人信息时,应当在隐私协议中着重表明,并且表明其索取的目的、用途等。如果需要索取、使用、处理个人的隐私、敏感信息时,要严格按照用户的授权进行,并且发生变更情况时,应当及时告知用户;在用户卸载该应用软件时也应当将相关的隐私、敏感信息进行清空销毁。对于个人一般信息的索取,平台企业也应当合法合规收集处理,禁止企业进行反向识别用户的个人信息。可以建立索取个人信息的不同等级的程序,针对不同的信息索取适用不同的索取方式,既可以使用户注意到,也可以使应用软件高效地收集处理。对于用户而言,在使用应用软件时应当注重对自己信息的保护,特别是隐私、敏感的信息不随意授权、分享。
(三)加强手机应用软件平台的责任
如果仅依靠监管部门来进行不停的监管处罚将无法全面进行监管,根据张新宝教授的观点,下载的应用软件一般是通过手机中应用市场、搜索软件等平台进行。它们作为“头部平台”应当承担守门人的责任[12]。
如今,通过第三方使用的软件也日益增多,微信小程序、百度小程序等越来越多的第三方平台通过这些大平台来运营自己的程序,用户不仅要在大平台当中被索取一遍信息,打开小程序时也要再次被索取。大平台常将与小程序的责任分割开来,在免责条款中表明仅为小程序提供平台。
平台要严格按照规定索取用户个人信息,不得索取超越范围的用户个人信息。无论是大平台或小平台,如果为第三方提供平台,应当自己做到相应的监管,小程序也可以建立双备案机制,即既要向国家部门备案,也要向平台备案,不能让第三方小程序通过其他平台不合理索取用户个人信息。因此,需要加强平台作为管理者的责任,不能让平台作为跳板让其他软件随意索取用户的个人信息。企业也要加强内部监管,确保用户个人信息和发展企业齐头并进。用户个人在尽到自己的注意义务外,如果遇到应用软件非法索取个人的信息应当及时维护自己的权益,可以以投诉举报、诉讼的方式维护自己的权益。