過度採集資訊問題突出 手機App普遍存在越界索權
手機應用軟體越界索權問題如何根治
專家建議將侵害個人資訊認定為侵權行為加大制裁力度
( 2019-01-17 ) 稿件來源: 法制日報法治經緯
□ 本報記者 廉穎婷
手機App越界索權的問題再次受到關注。
近日,在使用個人所得稅App申報個稅時,個別地方出現申報人“被就職”現象,即在“任職受雇資訊”中,申報人供職于完全沒有聽過的企業或單位。不少人認為,自己的身份資訊可能被盜用,從而導致“任職受雇資訊”出現異常。
任何事物都具有兩面性。移動網際網路在給人們帶來極大便利的同時,亦出現大量關於個人資訊保護的問題。個人資訊的不當擴散與不當利用,已逐漸發展成為危害公民民事權利的社會問題。
過度採集資訊問題突出
App普遍存在越界索權
經常逛淘寶的人都知道,只要在淘寶網搜索某件商品,很快就會出現大量相關推送。
“這讓我感到很不安,網路上的一舉一動都好像有‘老大哥在看著你’,沒有隱私可言。”在北京工作的張帆説。
於是,張帆卸載了手機裏的幾十個App,只保留了常用的幾個。
張帆的擔憂並非杞人憂天。
2018年3月,北京市消協發佈的手機應用軟體(App)個人資訊安全調查報告顯示,近九成受訪者認為手機App存在過度採集個人資訊的問題,近八成受訪者認為手機App上的個人資訊不安全。
合法、正當、必要,是App運營商採集用戶資訊的法定原則。然而,App越界索權的現象已是不爭的事實。
2018年8月29日,中消協發佈《App個人資訊洩露情況調查報告》稱,手機App過度採集個人資訊呈現普遍趨勢。
根據調查結果,手機App需要獲取的許可權種類繁多,最突出的是獲取位置資訊和訪問聯繫人許可權。而且,一些App還出現了在自身功能使用非必要的情況下獲取用戶隱私許可權的問題,增加了個人資訊洩露的風險。
中國傳媒大學文法學部法律系副主任鄭寧告訴《法制日報》記者,一般來説,App的安裝和使用只能對一些必要的許可權徵求使用人的同意。在使用安卓系統的手機中,有以下幾個許可權最常被調取,其一是“讀取已安裝應用列表”,借此可以了解和分析用戶的使用習慣;其二是“讀取本機識別碼”,主要用來確定用戶的身份;其三是“讀取位置資訊”,通過獲取位置,蒐集用戶的活動範圍,例如導航類軟體就必須調取這一許可權。
在現實生活中,許多App普遍存在越界索權現象。比如,視頻軟體要求讀取運動數據、資訊類App卻開啟相機和麥克風錄音許可權等。
“綜合以上現象可以看出,手機App收集的資訊若與其提供的服務無關則構成越界索權。”鄭寧説。
區分身份資訊隱私資訊
運營商應依法留存使用
近日,最高人民法院發佈的第一批涉網際網路典型案例,是由網路購票引發的涉及航空公司、網路購票平臺侵犯公民隱私權的糾紛。
案件終審判決於2017年3月27日作出,時值民法總則首次通過民事基本法確立個人資訊的法律地位。
2014年10月11日,龐理鵬通過北京趣拿資訊技術有限公司下轄的去哪兒網平臺訂購了2014年10月14日MU5492瀘州至北京的東航機票1張。同年10月13日,龐理鵬收到一條以機械故障為由取消涉案航班的來源不明的短信,後經中國東方航空股份有限公司客服確認,這條短信為詐騙短信。龐理鵬認為,趣拿公司和東航公司洩露其個人資訊,其個人隱私權遭到嚴重侵犯,遂訴至法院。
值得注意的是,在這起典型的資訊抓取類隱私權糾紛中,涉訴資訊是否具有隱私屬性是侵權行為認定的前提條件。
法院認為,經權利人許可在網上公開披露的個人資料已表明權利人放棄其隱私,視為其明知個人資訊將被不特定的主體收集、挖掘、分析,相關資訊應作為公共資源看待,不具有隱私權屬性。在案件中,龐理鵬被洩露的資訊包括姓名、手機號、行程安排等,其行程安排無疑屬於私人活動資訊,應該屬於隱私資訊,可以通過隱私權糾紛主張救濟。
因此,需要厘清一個概念,即個人資訊是否等同於隱私?
中國人民大學法學院教授楊立新告訴《法制日報》記者,個人資訊主要有三種形式:第一種是個人隱私資訊,這是隱私權保護的範圍;第二種是個人身份資訊,如身份證號碼、電話號碼、個人賬戶資訊等,用個人資訊權予以保護;第三種是衍生數據,是對網路上留存的海量的個人數據進行加工處理形成的新數據,已經與個人的身份資訊脫敏。
楊立新説,個人隱私資訊和個人身份資訊都要依照法律的規定進行支配,只有衍生數據才可以在大數據時代中進行商業處理。
不少用戶不看授權須知
一些App強制要求授權
那麼,何為越界索權、過度抓取?
民法總則第一百一十一條規定:“任何組織和個人需要獲取他人個人資訊的,應當依法取得並確保資訊安全,不得非法收集、使用、加工、傳輸他人個人資訊,不得非法買賣、提供或者公開他人個人資訊。”這是有關組織和個人獲取他人個人資訊的原則。
楊立新説,網路交易平臺組織進行網路交易,有權獲取參加交易的人的相關資訊。不過,網路交易平臺獲取消費者個人資訊有兩個要求,一是要有權獲取,二是獲取的必須是相關資訊。無權獲取而獲取他人個人資訊,是侵權行為;有權獲取他人個人資訊,但是超出合法的範圍而收集與交易不相關的個人資訊,同樣也是侵權行為,都要承擔侵權責任。
App運營商一方面掌握了大量的個人資訊,另一方面也應有相應的能力保護好消費者的個人資訊免受洩露,這既是App運營商的社會責任,也是其應盡的法律義務。
然而,用戶資訊為何一再被洩露?又為何一再出現資訊抓取類隱私權糾紛?
這是因為,碎片化的資訊一旦被整合,便具有商業價值——對於商家而言,數據越多,越有精準行銷的優勢,以便佔領市場制高點。
除此之外,上述北京市消協發佈的報告稱,手機App軟體過度採集個人資訊已成為網路詐騙的主要源頭之一。
據介紹,個人資訊一旦被收集、提取和綜合分析,就完全可以與特定的個人相匹配,從而形成某一特定個人詳細準確的整體資訊。這些整體資訊一旦被洩露擴散,任何人的私人空間都將被置於陽光下,個人的隱私將會遭受威脅。
然而,北京市消協的調查問卷顯示,有41.16%的人在安裝或使用手機App前從來不看授權須知。
中消協發佈的《App個人資訊洩露情況調查報告》亦顯示,“不授權就沒法用”是受訪者“從不閱讀”的最主要原因。
根據調查結果,在佔比26.2%從不閱讀應用許可權和用戶協議或隱私政策的受訪者中,選擇從不閱讀的原因主要是因為不授權就沒法用,只能被迫接受,佔61.2%。
在北京大學資訊科學技術學院副教授陳江看來,這一方面是因為部分用戶確實不了解應用許可權對於個人隱私權利的重要性;另一方面,在很多情況下,如果用戶不提供許可權,App就直接退出或自動停止服務。
構建分級分類保護體系
加大力度制裁侵權行為
對於如何保護個人資訊,楊立新認為,現有法律法規已經足以保護個人資訊。問題在於,侵害個人資訊構成犯罪的能夠追究其刑事責任,但對於侵權行為仍然制裁不力,應該採取更具體的立法措施,對侵害個人資訊的行為認定為侵權行為,責令承擔損害賠償責任。
比如,被侵害人的個人資訊只賣了1元,可按照消費者權益保護法規定的最低賠償額賠償500元,或者按照食品安全法的規定賠償1000元。這樣能夠調動個人資訊權人保護自己權利的積極性,對侵害個人資訊權的行為人予以有力制裁,保護好個人的資訊權。
中國政法大學教授劉保玉曾提出,將安寧生活權益納入個人資訊的保護範疇。
在鄭寧看來,安寧是排除侵擾之後,精神上享有的安定、寧靜狀態。安寧權益屬於現代人格權所應保護的對象,更屬於隱私權的範疇。隱私權的內容主要包括維護個人的私生活安寧、個人私密不被公開、個人私生活自主決定等。隱私權特別注重“隱”。
“而個人資訊權主要是指對個人資訊的支配和自主決定。個人資訊權的內容包括個人對資訊被收集、利用等的知情權,以及自己利用或者授權他人利用的決定權等內容。即便對於可以公開且必須公開的個人資訊,個人應當也有一定的控制權。”鄭寧説,因此,將安寧生活權益納入隱私權更加恰當。
對外經濟貿易大學博士生袁泉在其《個人資訊分類保護制度構建及其體系研究》一文中則分析稱,傳統個人資訊保護模式在利益界定上僅停留在考慮人格權或財産權的單項保護層面,僅站在強化個人資訊控制權與自決權角度予以配置,導致個人資訊保護機制利益失衡。應以資訊的風險系數和個人與資訊的關係為標准將個人資訊分為三類,並分別配置不同的保護機制。
騰訊守護者計劃安全專家馬瑞凱亦認為,如何引導行業對於個人資訊進行分類,構建分級分類保護體系,這是當前個人資訊防洩露問題要著重考慮的一項。
鄭寧建議,區分可使用、可交易的商業數據資訊和不可使用、不可交易的(商業秘密等)數據資訊,劃分個人一般資訊和個人隱私或敏感資訊的邊界。根據相關數據資訊的屬性(包括商業屬性和人身屬性等)、所屬領域和類別、可對數據資訊權利人造成的影響等多方面對其分類,再根據具體的類別給予相應級別的保護。
此外,企業要推動數據防竊密、防篡改、防洩露等安全技術的研發和部署,有效降低不法分子竊密風險;監管部門應進一步加大對電信詐騙、網路詐騙等違法犯罪活動的打擊力度,保護消費者的合法權益。