打开手机,扫一扫二维码
即可通过手机访问网站
打开微信,扫一扫二维码
订阅我们的微信公众号
一、诱导安装的App的对手机进行的操作概述
2020年第四批公布的《关于侵害用户权益行为的App通报》明确将欺骗误导用户下载App列入侵害用户权益的行为,会说话的汤姆猫2也是一个作为第一个因欺骗误导用户下载被公示的软件。违法行为层出不穷,2021年3.15晚会爆出部分软件更是将魔爪伸向了老年人消费群体,利用老年人对智能手机鉴别力弱的情况,通过“垃圾清理”、“XX赚钱”等威胁或者是引诱等方式强迫用户下载软件,或者是页面无法关闭等情况,使得老年人在不了解情况的前提下下载了软件。
然而,软件下载后却并没有实现其宣传的功能,悄悄地完成了下列操作:1、“潜入”用户系统;2、隐瞒用户开展活动(正如3.15晚会爆出的情况,部分手机清理软件以清理垃圾为名,行窃取信息之实);3、在未经用户明确许可的情况下,更改、损害、禁用或替换安装在用户设备上的硬件或软件;4、被绑定为其它软件的隐藏组件(多个垃圾清理软件互相关联下载,无法排除绑定隐藏组件的可能);5、用户未操作便显示下载对话框等。
事实上,早在2019年5月24日,国务院就发布了《百款常用App申请收集使用个人信息权限列表》,对下载量大的100款App申请权限以及强制开启的权限进行了分析统计,其维度涉及日历、通话记录、相机、通讯录、位置、麦克风、电话、传感器、短信、存储等权限。自2019年12月19日开始,工业和信息化部针对侵害用户权益的App进行公示通报,截至目前共发布11批798个App的违法行为。具体如下:
此外,工业和信息化部信息通信管理局还分别于2020年8月19日、2020年12月16日、2021年1月19日、2021年2月3日、2021年3月3日发布了《关于下架侵害用户权益App名单的通报》,其中2021年3月3日下架的10款软件中明确披露下架原因为:违规调用麦克风、通讯录、相册等权限。
那么,我们真的感受到App的精准、个性化服务了吗?针对2021年3.15晚会爆出的App存在的问题,究竟违反了哪些规范,法律对App提供者的行为边界究竟如何?下面,我们将逐一进行分析。
二、App收集信息行为中应遵循保护隐私的义务
1、根据合法、正当、必要的原则,仅收集实现产品功能所必要的信息
(1)合法要求
我们在浏览网页时经常会出现根据我们的习惯为我们推送的内容,地图设置常用导航信息等服务确实给我们带来了一定的便利,因此,法律规定为了实现App个性化服务等功能,其可以对必要的信息进行收集。但是,App收集信息行为必须符合法律规定,依法收集,相关法律规定为:
《网络安全法》第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
第四十八条第一款 任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。
国家市场监督管理总局发布的,于2021年5月1日即将实施的《网络交易监督管理办法》第十三条 网络交易经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。网络交易经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
网络交易经营者不得采用一次概括授权、默认授权、与其他授权捆绑、停止安装使用等方式,强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息。收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的,应当逐项取得消费者同意。
从以上规定可知,合法性要求经被收集者同意,且不得一次概括授权、默认授权。
(2)目的正当
根据《App违法违规收集使用个人信息行为认定方法》第二条规定,“1.未逐一列出App收集使用个人信息的目的、方式、范围等;2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户……”可被认定为“未明示收集使用个人信息的目的、方式和范围”。因此,App收集使用个人信息的目的必须全部列明,目的发生变化也需要及时告知用户,一旦超过列明的目的使用所收集的信息的,即构成违规收集使用个人信息。关于目的正当,我们可以从《杭州互联网法院成立两周年十大影响力案件》第六件这一典型案例中学习认定方法。
原告陈鱼在被告阿里妈妈公司运营的网站申请注册了淘宝客账户并推广业务,即网络用户通过该导航平台网站的不同页面可进入相应的“淘宝”、“天猫”等购物平台进行浏览和购买,原告在此过程中可对于该些订单的金额提取一定比例的佣金。2017年6月,被告以原告运营的导航平台网站内流量异常、流量的关联具有作弊属性为由,冻结了原告的淘宝客账户。原告注册账户时点击确认了《阿里妈妈服务协议》,其中5.1条规定了个人信息保护条款:“……您同意阿里妈妈按照在阿里妈妈网站公布的隐私权政策收集、存储、使用、披露和保护您的个人信息,阿里妈妈希望通过隐私权政策向您清楚地介绍阿里妈妈对您个人信息的处理方式,……”
该案审判过程中法院进行了如下分析:1、原告在使用阿里妈妈提供的服务时,同意被告收集其cookie记录。2、关于被告收集信息的目的:阿里妈妈公司作为服务提供商,负有管理职责,需要根据cookie记录对原告等淘宝客进行流量监管、结算费用。3、原告可以根据自己的偏好管理或删除cookie,也可以清除计算机上保存的所有cookie,所以被告阿里妈妈公司在本案中使用cookie有合理性,原告诉称被告搜集用户cookie记录侵犯隐私权,不能成立。
经分析可知,原告作为信息的推广者,cookie记录作为原被告双方结算费用的依据,被告收集信息用于结算费用,即实现双方结算功能必须的过程,可以认定为目的正当。
(3)实现产品功能所必要
根据《App违法违规收集使用个人信息行为认定方法》第四条之规定,“1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;3.App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;4.收集个人信息的频度等超出业务功能实际需要;5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用”的行为,可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”。
较为规范的典型例子之一为百度网盘的隐私政策,开头便是对百度网盘收集信息原则进行了披露,同时对其功能根据核心业务、附加业务和第三方提供的服务三部分进行了介绍,以便于确认其收集信息是否满足“必要性”这一原则。
综合上述分析,3.15晚会爆出的手机清理软件,显然并不是基于其正常功能需要向消费者提供精准、个性化服务,并没有告知消费者其将收集用户手机里的个人信息,因为告知义务作为合法正当性的前提条件,因此从规则公开方面、取得用户同意方面来看,清理软件并没有履行告知义务因此不具有正当性。从行为必要性来看,清理软件窃取用户信息并不满足其业务功能的需要,且根据曝光的情况,部分软件并不具有垃圾清理的功能,仅仅为了窃取用户信息,因此清理软件获取信息并不具有必要性。另外,从行为方式而言,App运营者通过将“目标市场”定位为老年人消费群体,且推广方式为威胁、引诱、App下载页面过大很难关闭回归正常页面等行为进行恶意推广,违反了《网络安全法》第四十八条第一款关于应用软件不得设置恶意程序的法定义务,侵害了老年消费群体的合法权益。
2、App运营者收集个人信息时应当履行提示义务
App安装时的点击合同属于格式合同当属无异。根据《民法典》第四百九十六条之规定,提供格式条款的一方应当遵循公平原则确定当事人之间的权利和义务,并采取合理的方式提示对方注意免除或者减轻其责任等与对方有重大利害关系的条款,按照对方的要求,对该条款予以说明。因此App安装前必须要针对其收集个人信息的功能提示用户。
根据《App违法违规收集使用个人信息行为认定方法》第二条关于可被认定为“未明示收集使用个人信息的目的、方式和范围”的规定中,也涉及提示义务:
(1)隐私政策更新中提及了提示方式:适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;
(2)提示信息应当及时、明确、易于理解:收集个人信息未同步告知用户其目的,或者目的不明确、难以理解;规则的内容晦涩难懂、冗长繁琐,用户难以理解的……
因此App运营者应当依法履行其提示义务,充分保障用户的合法权利。例如,腾讯隐私政策即较好了完成了提示义务,在用户自由分享信息的同时,也为我们提供了朋友圈信息三天可见、一个月可见、半年可见等精准、个性化服务。3.15晚会爆出的App并没有履行以及时、准确、易于理解的方式进行提示的义务,违反了法律的相关规定。
3、对收集到的信息妥善保存、依法处理的义务
《个人信息保护法》草案征求意见稿第五章专门规定了个人信息处理者的义务:包括防止未经授权的访问以及个人信息泄漏或者被窃取、篡改、删除的义务;定期对个人信息活动、采取的保护措施等是否符合法律、行政法规的规定进行审计的义务;发现个人信息泄漏的,应当立即采取补救措施的义务等。
因目前《个人信息保护法》尚未正式出台,待其发布正式实施以后,上述义务即成为App运营者的法定义务,即,依法对个人信息采取保护措施、发现信息泄漏依法及时采取补救措施等义务。如App运营者未依法履行其义务,还应当承担相应的法律责任。
三、相关企业审核义务及可能承担的责任探析
1、应用商店等移动应用分发平台的责任
工业和信息化部2016年12月16日发布、2017年7月1日开始实施的《移动智能终端应用软件预置和分发管理暂行规定》第八条规定,“从事应用商店等移动应用分发平台服务的互联网信息服务提供者,以及在移动智能终端中预置了移动应用分发平台的生产企业对所提供的应用软件负有以下管理责任:……(二)应建立应用软件管理机制,对应用软件进行审核及安全、服务等相关检测,对审核和检测中发现的恶意应用软件等违法违规软件,不得向用户提供;对所提供应用软件进行跟踪监测,及时处理违法违规软件,建立完善用户举报投诉处置措施等。(三)应要求应用软件提供者在提交应用软件时声明其获取的用户终端权限及用途,并将上述信息向软件下载用户明示……”
根据上述规定可知,从事应用商店等移动应用分发平台服务的互联网信息服务提供者对所提供的应用软件负有管理责任,工业和信息化部发布的《关于侵害用户权益行为的App通报》中明确列出了OPPO软件商店、vivo应用商店、应用宝、PP助手、小米应用商店、豌豆荚、百度手机助手、华为应用市场、360手机助手等应用来源,在披露侵害用户权益行为的App的同时,事实上也是对应用商店等移动应用分发平台未尽管理职责的披露。
2、手机生产者的责任
根据《移动智能终端应用软件预置和分发管理暂行规定》第八条规定,在移动智能终端中预置了移动应用分发平台的生产企业对所提供的应用软件负有管理责任,即,手机生产者也应当对软件承担管理责任。国务院就发布的《百款常用App申请收集使用个人信息权限列表》中指出:权限是操作系统内置的访问控制机制。安卓(Android)操作系统通过权限来控制App对系统资源和个人信息的访问使用。App只有在系统层面获取了某项权限,才能执行与该权限有关的操作。例如,App获取READ_CONTACTS(读通讯录)权限,就能读取手机的通讯录信息;获取ACCESS_FINE_LOCATION(访问精准位置)权限,就能得到手机的精确位置信息。
综上论述我们可以得出结论:应用商店以及手机生产者对恶意软件既负有管理的责任,同时其操作系统也在技术上可以完成上述义务。同时,从实务角度而言,3.15晚会之后,多家手机官宣在其应用商店中删除被点名的App,其也是履行对恶意应用软件予以及时下架的法律义务。但对于应用商店以及手机生产者的责任,仅仅下架了事?从规范管理的角度来说,应用商店以及手机生产者作为有能力、有技术的平台,最容易控制风险,应当加大对其未履行管理责任的处罚力度。同时我们建议手机生产者除可以设定儿童模式意外,推出老年模式的系统,以便于真正做到精准、个性化服务,更好的保护用户的利益。
四、手机用户规避风险的措施
1、民事诉讼
我国立法机关高度重视对自然人个人信息的保护,不断完善保护个人信息的法律规定。《民法典》第一编总则部分第五章关于民事权利的规定首先对自然人的个人信息进行了原则性规定:“第一百一十一条 自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”其次,《民法典》第四编人格权编单独设立“隐私权和个人信息保护”(第1032条-第1039条)作为第六章,对隐私权作为一种重要的人格权作为独立章节进行单独规定。
另一方面,全国人大常委会正在积极组织对信息保护进行专门立法,2020年10月21日公布了《个人信息保护法》草案征求意见稿,确立了以“告知-同意”为核心的个人信息处理框架,其中第二条规定,自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的信息权益。
2020年以及之前,我国司法实践中多以侵害隐私权、侵害消费者知情权、网络服务合同纠纷为由保护公民的个人信息,2020年12月29日最高人民法院印发(2021.1.1开始实施)《关于修改〈民事案件案由规定〉的决定》的通知,变更“6.隐私权纠纷”为“8.隐私权、个人信息保护纠纷”,将个人信息保护纠纷作为一个独立的案由,为保护个人信息提供了更加便利的条件。因此,如发现App存在违法行为,可以通过提起个人信息保护纠纷之诉的方式维护自己的合法权利。
2、行政举报
《中央网信办、工业和信息化部、公安部、市场监管总局关于开展App违法违规收集使用个人信息专项治理的公告》第三条规定,有关主管部门加强对违法违规收集使用个人信息行为的监管和处罚,对强制、过度收集个人信息,未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息,发生或可能发生信息泄露、丢失而未采取补救措施,非法出售、非法向他人提供个人信息等行为,按照《网络安全法》《消费者权益保护法》等依法予以处罚,包括责令App运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。
自2019年1月23日中央网信办、工业和信息化部、公安部、市场监管总局开展App违法违规收集使用个人信息专项治理以来,除目前工业和信息化部已经公开曝光的存在违法行为的798个App,目前已经针对2021年的《关于侵害用户权益行为的App通报》进行了规范化管理,列出了2021年共发布12批的计划,可见,我国已经下定决心治理App违法行为,形成了按计划、分阶段、稳步推进App侵害用户权益专项治理工作,已经形成了长效机制。
因此,我们在使用App的过程中如果发现其存在违法行为的,可以通过向行政机关举报的方式维护自己的合法权益,同时也协助行政机关治理App违法行为。
工业和信息化部(https://www.miit.gov.cn/)官网提供了如下举报途径:
3、刑事报案
《刑法》第二百五十三条之一第一款规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。该条第三款规定,窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条关于“情节严重”的标准为:非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上;住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上;第三项、第四项规定以外其他公民个人信息五千条以上……
因此,我国法律已经针对侵害公民个人信息的行为已经有了较完备的刑事规范,如我们发现个人信息被违法获取或者违法使用,可以通过向公安机关报案的方式维护自己的合法权利。
