法治角度整治手機應用軟件越界索權

摘 要：對于身處互聯網時代的我們，手機總是里面少不了形形色色的一些軟件。各類軟件的爆發式增長給我們帶來了生活學習工作的便捷，但其中也有越來越多被曝出越界索權違規收集用戶個人信息甚至泄露出賣隱私信息，這不僅危害公民的民事權利，也讓網絡詐騙犯罪分子有機可乘。手機軟件越界索權的灰色地帶亟待更加到位的規范和監管，本文將從原因及法治解決措施著手進行論述。

關鍵詞：應用軟件;越界索權;個人信息保護;分類保護;公益訴訟

中圖分類號：TP311.56文獻標識碼：A文章編號：2095-4379-（2019）11-0094-02

作者簡介：劉秀漫（1997-），女，漢族，華南農業大學人文與法學學院，法學本科在讀，法學專業。

2011年的《個人數據：新型資產的誕生》指出：“個人數據將成為新的石油——21世紀極具價值的資源，它將作為一類新型資產出現在社會生活的各個方面。”，故如今無論是社交平臺、互聯網電商還是娛樂影視服務提供商，無一不在持續地收集著我們的個人信息。曾經網絡流行一句話“手機比你還懂你”，這正是網絡服務商根據個人信息整合出推薦方案的結果。手機應用軟件通常是通過獲取內容權限來抓取用戶相關數據和信息。在現實生活中，不少軟件存在越界索權[1]的行為以獲取更多的信息數據，比如某視頻軟件索求位置信息，導航軟件索求通訊錄信息等等。在2018年底，新京報[2]記者調查報告顯示許多手機軟件索取敏感權限，且其與自身核心業務交集不大。如學霸君、快對作業、作業幫等軟件均在安裝之時就開啟了位置信息、相機、麥克風三項敏感權限。

這段時間來，隨著社會對個人信息的關注度升高，手機越界索權的問題逐漸受到關注，那么常說的這個“越界索權”中的“界”是什么呢？筆者認為這個界是判斷軟件有沒有違規的標準，可以由兩方面構成。一是“最小化要求[3]”，即直接關聯，2018年5月1日推薦性國家標準《信息安全技術個人信息安全規范》中規定的：“收集的個人信息的類型應與實現產品或服務的業務功能有直接關聯，直接關聯是指沒有該信息的參與，產品或服務的功能無法實現”。二是根據《網絡安全法》第四十一條規定：“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。”

根據北京市消協發布手機應用軟件個人信息安全調查報告來看，有八成的人認為手機軟件存在過度采集個人信息現象，且個人信息被泄露或竊取便是去年輿論關注的手機軟件個人信息安全熱點問題之一。小小的手機App，卻能夠“綁架”許多用戶的隱私權限。為何？究其根源，筆者認為有以下幾個方面的原因。

（一）將各種散碎的個人信息進行整合，能夠產生商業價值。

手機軟件索取的權限種類眾多，最常見的是位置信息和聯系人列表。讀取位置信息能夠搜集用戶的活動范圍，聯系人列表時常用來搭建人際關聯，甚至有些軟件索要“讀取已安裝應用列表”借此分析用戶的使用習慣。在互聯網的時代，個人信息被收集、整合、分析，就能夠對應到某些特定的人，形成其整體的特點信息，識別用戶需求，提供定向廣告，軟件發布者借此在營銷上占據優勢。

（二）當前關于這方面的相關法律法規缺乏配套執行措施。

上述北京消協報告顯示，對于造成手機APP個人信息安全問題的原因，有六成左右的人認為是相關監管不到位。目前我國法律規范中《民法總則》第一百一十一條、《刑法》第二百五十三條之一、《中華人民共和國消費者權益保護法》第十四條、《網絡安全法》第四十條至第四十五條、《移動互聯網應用程序信息服務管理規定》及《移動智能終端應用軟件預置和分發管理暫行規定》等均對軟件越界索權和由此產生的個人信息安全問題進行了相關規定。但在實踐中，卻很少應用軟件會因違規收集信息而被追責。目前軟件違規收集信息方式中有一種比較突出的“流氓行為”——如果用戶拒絕提供權限，軟件就直接停止服務，用戶沒有選擇的機會。軟件索權可以是這樣明目張膽的，也可以是比較隱蔽的，授權后的軟件操作可能與當初的授權請求說明存在一定差異。例如‘允許使用錄音權限意味著應用軟件可以隨時調用錄音。而這種現象屢見不鮮，可見相關規定并沒有落實到位。

（三）用戶的維權意識不高。

根據前述報告顯示，現階段消費者的個人信息安全保護意識仍然比較薄弱，很多用戶并不清楚應用權限對于個人信息保護的重要性，通常默認同意開啟彈出的全部權限需求。而且，權益受到侵害后的維權意識不強，大多是自認倒霉而選擇息事寧人。

對此手機應用越界索權亂象，筆者認為可以從下幾個方面著手解決：

（一）針對應用軟件，完善準入機制和權責一致的用戶信息責任制度。

工信部門要在源頭上對過度索權的行為進行約束和杜絕，完善應用軟件類似于企業準入的審核備案制度。先按照使用類別規定各類軟件的一般權限，即該類軟件實現其功能所需要的權限，需要索取特別權限的軟件需要向工信部提交索權清單及其合理性的文件，這樣的文件可成為后期判斷軟件是否違規的直接依據，且也給軟件發布者帶來警示作用。用戶信息責任制度是指在使用過程中，應用軟件索要什么權限信息就需要對該信息的安全進行負責。有效實現方式可以為連帶責任，手機用戶某類個人信息受侵害，索要該信息權限的不同軟件需要承擔連帶責任（同樣的信息有時會提供給不同軟件使用，比如常見的錄音錄像權限）。但軟件能夠證明自己索取使用的個人信息符合相關規定，是合理正當的便可以減輕或免除責任。這兩個機制有利于敦促軟件謹慎合理索權，積極履行對個人信息的保護責任。

（二）建立個人信息分級分類保護制度，完善網絡隱私侵權行為認定。

對外經濟貿易大學博士袁泉曾提出，傳統個人信息保護更多僅考慮人格權或財產權層面，僅站在強化個人信息控制權與自決權角度予以配置，導致個人信息保護機制利益失衡。故需要區分可使用、可交易的商業數據信息和不可使用、不可交易的（商業秘密等）數據信息，劃分個人一般信息和個人隱私或敏感信息的邊界[4]，對其分類，保護制度通過對不同類別的信息予以不同程度的保護。軟件安裝運行中僅可就一般信息進行索權，個人隱私信息非直接與軟件服務功能有關軟件不得索取或抓取。現有法律框架內并沒有對軟件隱私信息侵權進行認定，因為隱私包含在眾多的個人信息中，有的個人信息索權使用是合法法規的，因此也就無法更好保護公民隱私權。個人信息與個人隱私之間存在聯系，想要認定隱私侵權，就需要對個人信息與隱私之間進行區分。王利民教授認為這兩者內容雖然有所重合，但個人信息概念要大于隱私。傳統隱私權僅涉及個人尊嚴，是消極防御性的權利，而個人信息權帶有財產屬性，是積極的處置權——決定信息是否授權使用[5]。總體而言，隱私側重于保護不愿為他人知道的私人空間，而個人信息強調“識別性”[6]。用戶在電商平臺的交易記錄、聊天記錄或者銀行賬戶有時會涉及隱私性信息，軟件若是違規抓取、泄露或者出賣，信息主體的隱私權會受到威脅。故在互聯網發展日益興盛的當下，有必要重視建立個人隱私侵權認定的標準，在法律上明確監管機構落實，嚴懲過度采集用戶信息的軟件發布者。

（三）運用公益訴訟這一利器。

總體而言，當前我國個人提起的信息抓取類案件占比偏低且較難勝訴，個人信息安全司法救濟有著受害規模大且勝訴率低的特點，故訴訟動力不足[7]。軟件發布者往往是一個團隊甚至是公司，個人無論是取證能力或是訴訟資金實力方面都存在劣勢。去年12月，江蘇省消保委對XX公司提起公益訴訟，因其旗下“手機X度”“X度瀏覽器”兩款手機APP在消費者安裝前，未告知其所獲取的各種權限及目的，在未取得用戶同意的情況下，獲取諸如“監聽電話、定位、讀取短彩信、讀取聯系人、修改系統設置”等各種權限。作為搜索及瀏覽器類應用，上述權限并非提供正常服務所必須，已超出合理的范圍。因涉嫌侵害消費者個人信息安全，法院已正式立案，這成為全國首例個人信息安全公益訴訟。可見在個人信息安全問題踐行公益訴訟具有可行性，這不僅能夠讓該公司停止相關違法侵權行為，更是一定程度上能促進整個手機app行業高度重視和自覺保護消費者的信息安全。

（四）增強公民安全意識。

進行個人信息保護方面的相關普法工作，幫助廣大公民樹立風險防范意識，且完善投訴渠道和服務，增設軟件違規索權投訴窗口及熱線。

結束語：手機應用軟件越界索權的問題逐漸得到社會及學界的關注及討論，但是應對這種現象的法治層面整治路徑沒有得到充分關注。筆者立足于當前應用越界索權侵害個人信息安全現狀，思考研究現有法律框架內個人信息救濟的完善路徑而提出、整理應對機制。此外筆者也希望學界更加重視手機應用與個人信息安全的問題，推動頒布原有法規相關執行細則與《個人信息保護法》，盡早實現科技發展、網絡安全、個人信息保護之間的動態平衡。

[ 參 考 文 獻 ]

[1]“越界索權”的提法，參見蔣齊光：“‘APP越界索權呼喚規范治理”[N].人民日報，2018-3-22.

[2]《新京報》2018年12月11日文章：“隱私調查：學霸君等索取敏感權限，漫畫類APP存軟色情”.

[3]藝淳.遏制APP越界索權需公益訴訟發力[J].上海企業，2018（04）：57.

[4]袁泉.個人信息分類保護制度的理論基礎[J].上海政法學院學報（法治論叢），2018，33（03）：29-37.

[5]王利明.論個人信息權在人格權法中的地位[J].蘇州大學學報，2012（6）：72-73.

[6]田海薇.個人信息侵權認定問題研究[D].內蒙古大學，2018.

[7]陳晨，李思頔.個人信息的司法救濟——以1383份“App越界索權”裁判文書為分析樣本[J].財經法學，2018（06）：102-113.