本報記者 廉穎婷
手機App越界索權的問題再次受到關注。
近日,,在使用個人所得稅App申報個稅時,,個別地方出現(xiàn)申報人“被就職”現(xiàn)象,即在“任職受雇信息”中,,申報人供職于完全沒有聽過的企業(yè)或單位,。不少人認為,自己的身份信息可能被盜用,,從而導致“任職受雇信息”出現(xiàn)異常,。
任何事物都具有兩面性。移動互聯(lián)網(wǎng)在給人們帶來極大便利的同時,,亦出現(xiàn)大量關于個人信息保護的問題,。個人信息的不當擴散與不當利用,已逐漸發(fā)展成為危害公民民事權利的社會問題,。
過度采集信息問題突出
App普遍存在越界索權
經(jīng)常逛淘寶的人都知道,,只要在淘寶網(wǎng)搜索某件商品,很快就會出現(xiàn)大量相關推送,。
“這讓我感到很不安,網(wǎng)絡上的一舉一動都好像有‘老大哥在看著你’,沒有隱私可言,。”在北京工作的張帆說,。
于是,張帆卸載了手機里的幾十個App,只保留了常用的幾個,。
張帆的擔憂并非杞人憂天,。
2018年3月,北京市消協(xié)發(fā)布的手機應用軟件(App)個人信息安全調查報告顯示,,近九成受訪者認為手機App存在過度采集個人信息的問題,,近八成受訪者認為手機App上的個人信息不安全。
合法,、正當,、必要,是App運營商采集用戶信息的法定原則,。然而,,App越界索權的現(xiàn)象已是不爭的事實。
2018年8月29日,,中消協(xié)發(fā)布《App個人信息泄露情況調查報告》稱,,手機App過度采集個人信息呈現(xiàn)普遍趨勢,。
根據(jù)調查結果,手機App需要獲取的權限種類繁多,,最突出的是獲取位置信息和訪問聯(lián)系人權限,。而且,一些App還出現(xiàn)了在自身功能使用非必要的情況下獲取用戶隱私權限的問題,,增加了個人信息泄露的風險,。
中國傳媒大學文法學部法律系副主任鄭寧告訴《法制日報》記者,一般來說,,App的安裝和使用只能對一些必要的權限征求使用人的同意,。在使用安卓系統(tǒng)的手機中,有以下幾個權限最常被調取,,其一是“讀取已安裝應用列表”,,借此可以了解和分析用戶的使用習慣;其二是“讀取本機識別碼”,,主要用來確定用戶的身份,;其三是“讀取位置信息”,通過獲取位置,,搜集用戶的活動范圍,,例如導航類軟件就必須調取這一權限。
在現(xiàn)實生活中,,許多App普遍存在越界索權現(xiàn)象,。比如,視頻軟件要求讀取運動數(shù)據(jù),、資訊類App卻開啟相機和麥克風錄音權限等,。
“綜合以上現(xiàn)象可以看出,手機App收集的信息若與其提供的服務無關則構成越界索權,。”鄭寧說,。
區(qū)分身份信息隱私信息
運營商應依法留存使用
近日,最高人民法院發(fā)布的第一批涉互聯(lián)網(wǎng)典型案例,,是由網(wǎng)絡購票引發(fā)的涉及航空公司,、網(wǎng)絡購票平臺侵犯公民隱私權的糾紛。
案件終審判決于2017年3月27日作出,,時值民法總則首次通過民事基本法確立個人信息的法律地位,。
2014年10月11日,龐理鵬通過北京趣拿信息技術有限公司下轄的去哪兒網(wǎng)平臺訂購了2014年10月14日MU5492瀘州至北京的東航機票1張,。同年10月13日,,龐理鵬收到一條以機械故障為由取消涉案航班的來源不明的短信,后經(jīng)中國東方航空股份有限公司客服確認,這條短信為詐騙短信,。龐理鵬認為,,趣拿公司和東航公司泄露其個人信息,其個人隱私權遭到嚴重侵犯,,遂訴至法院,。
值得注意的是,在這起典型的信息抓取類隱私權糾紛中,,涉訴信息是否具有隱私屬性是侵權行為認定的前提條件,。
法院認為,經(jīng)權利人許可在網(wǎng)上公開披露的個人資料已表明權利人放棄其隱私,,視為其明知個人信息將被不特定的主體收集,、挖掘、分析,,相關信息應作為公共資源看待,,不具有隱私權屬性。在案件中,,龐理鵬被泄露的信息包括姓名,、手機號、行程安排等,,其行程安排無疑屬于私人活動信息,,應該屬于隱私信息,可以通過隱私權糾紛主張救濟,。
因此,,需要厘清一個概念,即個人信息是否等同于隱私,?
中國人民大學法學院教授楊立新告訴《法制日報》記者,,個人信息主要有三種形式:第一種是個人隱私信息,這是隱私權保護的范圍,;第二種是個人身份信息,如身份證號碼,、電話號碼,、個人賬戶信息等,用個人信息權予以保護,;第三種是衍生數(shù)據(jù),,是對網(wǎng)絡上留存的海量的個人數(shù)據(jù)進行加工處理形成的新數(shù)據(jù),已經(jīng)與個人的身份信息脫敏,。
楊立新說,,個人隱私信息和個人身份信息都要依照法律的規(guī)定進行支配,只有衍生數(shù)據(jù)才可以在大數(shù)據(jù)時代中進行商業(yè)處理,。
不少用戶不看授權須知
一些App強制要求授權
那么,,何為越界索權,、過度抓取,?
民法總則第一百一十一條規(guī)定:“任何組織和個人需要獲取他人個人信息的,,應當依法取得并確保信息安全,不得非法收集,、使用,、加工、傳輸他人個人信息,,不得非法買賣,、提供或者公開他人個人信息。”這是有關組織和個人獲取他人個人信息的原則,。
楊立新說,,網(wǎng)絡交易平臺組織進行網(wǎng)絡交易,有權獲取參加交易的人的相關信息,。不過,,網(wǎng)絡交易平臺獲取消費者個人信息有兩個要求,一是要有權獲取,,二是獲取的必須是相關信息,。無權獲取而獲取他人個人信息,是侵權行為,;有權獲取他人個人信息,,但是超出合法的范圍而收集與交易不相關的個人信息,同樣也是侵權行為,,都要承擔侵權責任,。
App運營商一方面掌握了大量的個人信息,另一方面也應有相應的能力保護好消費者的個人信息免受泄露,,這既是App運營商的社會責任,,也是其應盡的法律義務。
然而,,用戶信息為何一再被泄露,?又為何一再出現(xiàn)信息抓取類隱私權糾紛?
這是因為,,碎片化的信息一旦被整合,,便具有商業(yè)價值——對于商家而言,數(shù)據(jù)越多,,越有精準營銷的優(yōu)勢,,以便占領市場制高點。
除此之外,上述北京市消協(xié)發(fā)布的報告稱,,手機App軟件過度采集個人信息已成為網(wǎng)絡詐騙的主要源頭之一,。
據(jù)介紹,個人信息一旦被收集,、提取和綜合分析,,就完全可以與特定的個人相匹配,從而形成某一特定個人詳細準確的整體信息,。這些整體信息一旦被泄露擴散,,任何人的私人空間都將被置于陽光下,個人的隱私將會遭受威脅,。
然而,,北京市消協(xié)的調查問卷顯示,有41.16%的人在安裝或使用手機App前從來不看授權須知,。
中消協(xié)發(fā)布的《App個人信息泄露情況調查報告》亦顯示,,“不授權就沒法用”是受訪者“從不閱讀”的最主要原因。
根據(jù)調查結果,,在占比26.2%從不閱讀應用權限和用戶協(xié)議或隱私政策的受訪者中,,選擇從不閱讀的原因主要是因為不授權就沒法用,只能被迫接受,,占61.2%,。
在北京大學信息科學技術學院副教授陳江看來,這一方面是因為部分用戶確實不了解應用權限對于個人隱私權利的重要性,;另一方面,,在很多情況下,如果用戶不提供權限,,App就直接退出或自動停止服務,。
構建分級分類保護體系
加大力度制裁侵權行為、
對于如何保護個人信息,,楊立新認為,,現(xiàn)有法律法規(guī)已經(jīng)足以保護個人信息。問題在于,,侵害個人信息構成犯罪的能夠追究其刑事責任,,但對于侵權行為仍然制裁不力,應該采取更具體的立法措施,,對侵害個人信息的行為認定為侵權行為,,責令承擔損害賠償責任,。
比如,,被侵害人的個人信息只賣了1元,可按照消費者權益保護法規(guī)定的最低賠償額賠償500元,或者按照食品安全法的規(guī)定賠償1000元,。這樣能夠調動個人信息權人保護自己權利的積極性,,對侵害個人信息權的行為人予以有力制裁,保護好個人的信息權,。
中國政法大學教授劉保玉曾提出,,將安寧生活權益納入個人信息的保護范疇。
在鄭寧看來,,安寧是排除侵擾之后,,精神上享有的安定、寧靜狀態(tài),。安寧權益屬于現(xiàn)代人格權所應保護的對象,,更屬于隱私權的范疇。隱私權的內容主要包括維護個人的私生活安寧,、個人私密不被公開,、個人私生活自主決定等。隱私權特別注重“隱”,。
“而個人信息權主要是指對個人信息的支配和自主決定,。個人信息權的內容包括個人對信息被收集、利用等的知情權,,以及自己利用或者授權他人利用的決定權等內容,。即便對于可以公開且必須公開的個人信息,個人應當也有一定的控制權,。”鄭寧說,,因此,將安寧生活權益納入隱私權更加恰當,。
對外經(jīng)濟貿易大學博士生袁泉在其《個人信息分類保護制度構建及其體系研究》一文中則分析稱,,傳統(tǒng)個人信息保護模式在利益界定上僅停留在考慮人格權或財產(chǎn)權的單項保護層面,僅站在強化個人信息控制權與自決權角度予以配置,,導致個人信息保護機制利益失衡,。應以信息的風險系數(shù)和個人與信息的關系為標準將個人信息分為三類,并分別配置不同的保護機制,。
騰訊守護者計劃安全專家馬瑞凱亦認為,,如何引導行業(yè)對于個人信息進行分類,構建分級分類保護體系,,這是當前個人信息防泄露問題要著重考慮的一項,。
鄭寧建議,區(qū)分可使用,、可交易的商業(yè)數(shù)據(jù)信息和不可使用,、不可交易的(商業(yè)秘密等)數(shù)據(jù)信息,,劃分個人一般信息和個人隱私或敏感信息的邊界。根據(jù)相關數(shù)據(jù)信息的屬性(包括商業(yè)屬性和人身屬性等),、所屬領域和類別,、可對數(shù)據(jù)信息權利人造成的影響等多方面對其分類,再根據(jù)具體的類別給予相應級別的保護,。
此外,,企業(yè)要推動數(shù)據(jù)防竊密、防篡改,、防泄露等安全技術的研發(fā)和部署,,有效降低不法分子竊密風險;監(jiān)管部門應進一步加大對電信詐騙,、網(wǎng)絡詐騙等違法犯罪活動的打擊力度,,保護消費者的合法權益。