手机应用软件越界索权问题如何根治
专家建议将侵害个人信息认定为侵权行为加大制裁力度
本报记者 廉颖婷
手机App越界索权的问题再次受到关注。
近日,在使用个人所得税App申报个税时,个别地方出现申报人“被就职”现象,即在“任职受雇信息”中,申报人供职于完全没有听过的企业或单位。不少人认为,自己的身份信息可能被盗用,从而导致“任职受雇信息”出现异常。
任何事物都具有两面性。移动互联网在给人们带来极大便利的同时,亦出现大量关于个人信息保护的问题。个人信息的不当扩散与不当利用,已逐渐发展成为危害公民民事权利的社会问题。
过度采集信息问题突出
App普遍存在越界索权
经常逛淘宝的人都知道,只要在淘宝网搜索某件商品,很快就会出现大量相关推送。
“这让我感到很不安,网络上的一举一动都好像有‘老大哥在看着你’,没有隐私可言。”在北京工作的张帆说。
于是,张帆卸载了手机里的几十个App,只保留了常用的几个。
张帆的担忧并非杞人忧天。
2018年3月,北京市消协发布的手机应用软件(App)个人信息安全调查报告显示,近九成受访者认为手机App存在过度采集个人信息的问题,近八成受访者认为手机App上的个人信息不安全。
合法、正当、必要,是App运营商采集用户信息的法定原则。然而,App越界索权的现象已是不争的事实。
2018年8月29日,中消协发布《App个人信息泄露情况调查报告》称,手机App过度采集个人信息呈现普遍趋势。
根据调查结果,手机App需要获取的权限种类繁多,最突出的是获取位置信息和访问联系人权限。而且,一些App还出现了在自身功能使用非必要的情况下获取用户隐私权限的问题,增加了个人信息泄露的风险。
中国传媒大学文法学部法律系副主任郑宁告诉《法制日报》记者,一般来说,App的安装和使用只能对一些必要的权限征求使用人的同意。在使用安卓系统的手机中,有以下几个权限最常被调取,其一是“读取已安装应用列表”,借此可以了解和分析用户的使用习惯;其二是“读取本机识别码”,主要用来确定用户的身份;其三是“读取位置信息”,通过获取位置,搜集用户的活动范围,例如导航类软件就必须调取这一权限。
在现实生活中,许多App普遍存在越界索权现象。比如,视频软件要求读取运动数据、资讯类App却开启相机和麦克风录音权限等。
“综合以上现象可以看出,手机App收集的信息若与其提供的服务无关则构成越界索权。”郑宁说。
区分身份信息隐私信息
运营商应依法留存使用
近日,最高人民法院发布的第一批涉互联网典型案例,是由网络购票引发的涉及航空公司、网络购票平台侵犯公民隐私权的纠纷。
案件终审判决于2017年3月27日作出,时值民法总则首次通过民事基本法确立个人信息的法律地位。
2014年10月11日,庞理鹏通过北京趣拿信息技术有限公司下辖的去哪儿网平台订购了2014年10月14日MU5492泸州至北京的东航机票1张。同年10月13日,庞理鹏收到一条以机械故障为由取消涉案航班的来源不明的短信,后经中国东方航空股份有限公司客服确认,这条短信为诈骗短信。庞理鹏认为,趣拿公司和东航公司泄露其个人信息,其个人隐私权遭到严重侵犯,遂诉至法院。
值得注意的是,在这起典型的信息抓取类隐私权纠纷中,涉诉信息是否具有隐私属性是侵权行为认定的前提条件。
法院认为,经权利人许可在网上公开披露的个人资料已表明权利人放弃其隐私,视为其明知个人信息将被不特定的主体收集、挖掘、分析,相关信息应作为公共资源看待,不具有隐私权属性。在案件中,庞理鹏被泄露的信息包括姓名、手机号、行程安排等,其行程安排无疑属于私人活动信息,应该属于隐私信息,可以通过隐私权纠纷主张救济。
因此,需要厘清一个概念,即个人信息是否等同于隐私?
中国人民大学法学院教授杨立新告诉《法制日报》记者,个人信息主要有三种形式:第一种是个人隐私信息,这是隐私权保护的范围;第二种是个人身份信息,如身份证号码、电话号码、个人账户信息等,用个人信息权予以保护;第三种是衍生数据,是对网络上留存的海量的个人数据进行加工处理形成的新数据,已经与个人的身份信息脱敏。
杨立新说,个人隐私信息和个人身份信息都要依照法律的规定进行支配,只有衍生数据才可以在大数据时代中进行商业处理。
不少用户不看授权须知
一些App强制要求授权
那么,何为越界索权、过度抓取?
民法总则第一百一十一条规定:“任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”这是有关组织和个人获取他人个人信息的原则。
杨立新说,网络交易平台组织进行网络交易,有权获取参加交易的人的相关信息。不过,网络交易平台获取消费者个人信息有两个要求,一是要有权获取,二是获取的必须是相关信息。无权获取而获取他人个人信息,是侵权行为;有权获取他人个人信息,但是超出合法的范围而收集与交易不相关的个人信息,同样也是侵权行为,都要承担侵权责任。
App运营商一方面掌握了大量的个人信息,另一方面也应有相应的能力保护好消费者的个人信息免受泄露,这既是App运营商的社会责任,也是其应尽的法律义务。
然而,用户信息为何一再被泄露?又为何一再出现信息抓取类隐私权纠纷?
这是因为,碎片化的信息一旦被整合,便具有商业价值——对于商家而言,数据越多,越有精准营销的优势,以便占领市场制高点。
除此之外,上述北京市消协发布的报告称,手机App软件过度采集个人信息已成为网络诈骗的主要源头之一。
据介绍,个人信息一旦被收集、提取和综合分析,就完全可以与特定的个人相匹配,从而形成某一特定个人详细准确的整体信息。这些整体信息一旦被泄露扩散,任何人的私人空间都将被置于阳光下,个人的隐私将会遭受威胁。
然而,北京市消协的调查问卷显示,有41.16%的人在安装或使用手机App前从来不看授权须知。
中消协发布的《App个人信息泄露情况调查报告》亦显示,“不授权就没法用”是受访者“从不阅读”的最主要原因。
根据调查结果,在占比26.2%从不阅读应用权限和用户协议或隐私政策的受访者中,选择从不阅读的原因主要是因为不授权就没法用,只能被迫接受,占61.2%。
在北京大学信息科学技术学院副教授陈江看来,这一方面是因为部分用户确实不了解应用权限对于个人隐私权利的重要性;另一方面,在很多情况下,如果用户不提供权限,App就直接退出或自动停止服务。
构建分级分类保护体系
加大力度制裁侵权行为
对于如何保护个人信息,杨立新认为,现有法律法规已经足以保护个人信息。问题在于,侵害个人信息构成犯罪的能够追究其刑事责任,但对于侵权行为仍然制裁不力,应该采取更具体的立法措施,对侵害个人信息的行为认定为侵权行为,责令承担损害赔偿责任。
比如,被侵害人的个人信息只卖了1元,可按照消费者权益保护法规定的最低赔偿额赔偿500元,或者按照食品安全法的规定赔偿1000元。这样能够调动个人信息权人保护自己权利的积极性,对侵害个人信息权的行为人予以有力制裁,保护好个人的信息权。
中国政法大学教授刘保玉曾提出,将安宁生活权益纳入个人信息的保护范畴。
在郑宁看来,安宁是排除侵扰之后,精神上享有的安定、宁静状态。安宁权益属于现代人格权所应保护的对象,更属于隐私权的范畴。隐私权的内容主要包括维护个人的私生活安宁、个人私密不被公开、个人私生活自主决定等。隐私权特别注重“隐”。
“而个人信息权主要是指对个人信息的支配和自主决定。个人信息权的内容包括个人对信息被收集、利用等的知情权,以及自己利用或者授权他人利用的决定权等内容。即便对于可以公开且必须公开的个人信息,个人应当也有一定的控制权。”郑宁说,因此,将安宁生活权益纳入隐私权更加恰当。
对外经济贸易大学博士生袁泉在其《个人信息分类保护制度构建及其体系研究》一文中则分析称,传统个人信息保护模式在利益界定上仅停留在考虑人格权或财产权的单项保护层面,仅站在强化个人信息控制权与自决权角度予以配置,导致个人信息保护机制利益失衡。应以信息的风险系数和个人与信息的关系为标准将个人信息分为三类,并分别配置不同的保护机制。
腾讯守护者计划安全专家马瑞凯亦认为,如何引导行业对于个人信息进行分类,构建分级分类保护体系,这是当前个人信息防泄露问题要着重考虑的一项。
郑宁建议,区分可使用、可交易的商业数据信息和不可使用、不可交易的(商业秘密等)数据信息,划分个人一般信息和个人隐私或敏感信息的边界。根据相关数据信息的属性(包括商业属性和人身属性等)、所属领域和类别、可对数据信息权利人造成的影响等多方面对其分类,再根据具体的类别给予相应级别的保护。
此外,企业要推动数据防窃密、防篡改、防泄露等安全技术的研发和部署,有效降低不法分子窃密风险;监管部门应进一步加大对电信诈骗、网络诈骗等违法犯罪活动的打击力度,保护消费者的合法权益。