APP系统权限申请的法律风险与应对

摘要：大数据时代，APP违法违规收集使用个人信息的现象频繁出现。APP系统权限申请侵犯用户个人信息的问题主要是：未明示收集使用个人信息的目的、方式和范围，未经用户同意收集使用个人信息，收集与其提供的服务无关的个人信息。个人信息具有人格权益和经济价值，因此，随着个人信息入法，APP超越系统权限处理个人信息会涉及合同条款无效、侵权责任和刑事三类法律风险。对此，应完善以个人信息权为核心的法律体系，提高用户保护个人信息的意识。APP运营商要在遵循知情同意原则和必要原则的基础上改进服务内容，以规避法律风险。

关键词：APP系统权限申请;个人信息;法律风险

中图分类号：TP309;D923.8 文献标识码：A 文章编号：2095-6916（2021）07-0066-04

APP（Application，手机软件）主要是指安装在智能手机上的软件，用于完善原始系统的不足与个性化，为用户提供更丰富的使用体验。随着智能手机的普及，人们在沟通、社交、娱乐等活动中越来越依赖于APP系统，但APP违法违规收集使用个人信息的问题愈演愈烈，受到社会公众的关注，本文现就APP系统权限申请的法律风险与应对作一探讨。

一、APP违法违规收集使用个人信息有关情况

2019年11月4日，工业和信息化部信息通信管理局组织召开APP侵害用户权益行为专项整治工作启动部署会，重点对违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账户注销设置障碍四个方面的8类问题开展规范整治工作。2020年7月，中央网信办、工业和信息化部、公安部、国家市场监管总局在京启动APP违法违规收集使用个人信息治理工作。在去年的基础上，本次治理将敏感权限滥用问题纳入重点工作。在11月发布的《关于35款APP存在个人信息收集使用问题的通告》中，有关APP系统权限申请的问题大量出现。

（一）基本数量与类型分析

在本次公布的35款APP中，包括政府办公、城市服务、通信社交、营销服务、交通出行、辅助工具、视频播放、拍摄美化、在线教育、动漫创作、校园服务、购物消费、金融理财共15类APP，其中共25款APP存在权限申请问题，占比高达71%。其中牵涉APP系统权限申请的数量与类型众多，违规重复次数最多的是在线教育、辅助工具、金融理财、动漫创作、校园服务、通信社交、城市服务、政务办公共八大类APP。

（二）三类行为的法律分析

一是未明示收集使用个人信息的目的、方式和范围。在通告中，有25款存在权限申请问题，18款辅助工具、金融理财和城市服务类APP在申请打开可收集个人信息的位置、存储、麦克风、相机、通信录等的权限时，未同步告知用户其目的。根据《APP违法违规收集使用个人信息行为认定方法》（下称《认定办法》）可知，“在申请打开可收集个人信息的权限时，未同步告知用户其目的，或者目的不明确、难以理解”可被认定为“未明示收集使用个人信息的目的、方式和范围”。

知情同意是指个人信息的收集或利用者应明确告知信息主体相关情况并征得其同意。向用户明示收集使用个人信息的相关情况是确保信息主体知情同意的前提，只有让信息主体充分知悉和了解处理个人信息的目的、方式和范围，了解个人信息被收集、处理的后果和影响，才能确保信息主体的意思判断是自主、真实和合理的。《网络安全法》第四十一条规定，网络运营者处理个人信息，应明示处理信息的目的、方式和范围。《消费者权益保护法》第二十九条规定，经营者处理消费者个人信息时，应明示收集、使用信息的目的、方式和范围。《民法典》第一千零三十五条规定，处理个人信息要明示处理信息的目的、方式和范围。《个人信息保护法（草案）》第十八条规定，个人信息处理者在处理个人信息前，应以显著方式、清晰易懂的语言向个人告知个人信息的处理目的、处理方式。因此，APP运营商要公开处理个人信息的规则，进行权限申请时要同步告知用户其目的、方式和范围。

二是未经用户同意收集使用个人信息。在存在权限申请问题的25款APP中，共有10款金融理财APP在用户明确表示不同意打开位置、存储、短信等权限后，仍频繁征求用户同意，干扰用户正常使用;共有3款APP在用户明确表示不同意收集该权限对应的个人信息后，仍通过其他途径收集该个人信息;有1款APP实际收集使用个人信息行为与隐私政策声明不一致，超出用户授权范围。根据《认定方法》，以上三种都被认定为“未经用户同意收集使用个人信息”。

知情同意是合法处理个人信息的合法性前提，以此充分体现信息主体在个人信息处理中的主导地位，可以有效保障用户对自身个人信息的控制。然而，在上述行为的操作下，用户无法有效行使个人信息控制权，使用户的知情同意权形同虚设。《网络安全法》第四十一条规定，网络运营者处理个人信息时，应经被收集者同意且不得违反相关法律法规或约定收集使用个人信息。《消费者权益保护法》第二十九条规定，经营者处理消费者个人信息时应经消费者本人同意，未经其同意或明确表示拒绝的，不能向其发送商业性信息。《民法典》第一千零三十五条规定，处理个人信息的，应征得该自然人同意。《个人信息保护法（草案）》第十四条规定，处理个人信息的同意，应当由个人在充分知情的前提下，自愿、明確作出意思表示。

“未明示收集使用个人信息的目的、方式和范围”强调知情，而“未经用户同意收集使用个人信息”则侧重于同意。根据相关法律法规可知，我国承认并保护个人信息主体的知情同意权，网络运营者经过个人信息主体同意之后才能收集、处理有关信息。这也充分体现了信息主体的“法益自决权”，即用户能够自主决定同意他人对本人信息进行收集、处理及利用的权利，其核心内容就是知情同意权。“同意”意味着将个人信息转交给了APP运营商，同时运营商要承担保护个人信息的义务。

上述10款APP在用户不同意打开系统权限后仍频繁征求用户同意，即强制捆绑授权，架空了个人信息主体的知情同意权;3款APP在用户明确拒绝收集该权限所对应的个人信息后仍通过其他途径收集，使撤销同意形同虚设，无法保障用户“同意”的有效性和真实性;1款APP超出用户对权限的授权范围收集个人信息，不尊重用户的真实意志。

三是违反必要原则。必要原则是指在可以使用也可以不使用个人信息时，应尽量不使用;在必须使用并征得权利人同意时，要尽量少使用;获取的信息量，以满足使用目的为必要;只需使用非私密个人信息就能达到目的的，就不应该扩大信息收集和使用的范围。《网络安全法》第四十一条规定，网络运营方不得收集与其提供的服务无关的个人信息。《消费者权益保护法》第二十九条规定，经营者处理用户个人信息，应遵循必要原则。《个人信息保护法（草案）》第六条原则性规定了处理个人信息要限于目标的最小范围，不得处理无关的信息，第十七条规定信息处理者不得因个人不同意处理其个人信息或撤回同意，拒绝提供服务。

目前，在25款存在权限申请问题的APP中，共有10款APP因用户不同意打开非必要的位置、存储、相机等权限，拒绝提供一项业务功能，如蓝牙连接电子秤业务功能或所有业务功能;有1款金融理财APP申请打开的位置、存储权限与现有业务功能无关。根据《认定方法》，可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”。

因此APP运营商在收集个人信息时，应当仅收集其提供服务所必须的信息，否则会构成过度索权。APP运营商不得因用户拒绝开启获取必要信息之外的其他信息权限后，拒绝提供该项或所有服務。收集信息只有符合必要原则，用户的知情同意才会变得有意义。

二、APP违法违规收集使用个人信息的法律风险

（一）合同条款无效的法律风险

APP的用户隐私政策实际是一种法律文件，根据《民法典》合同编的相关规定，隐私政策可视作APP运营商向用户发出的要约，而用户的同意可视为对该要约的承诺，在APP运营商与用户之间形成一种合同关系。由于隐私政策由APP运营商制定，用户没有协商或修改隐私政策条款的权利，只有在选择同意后才能享受APP提供的服务，因此隐私政策是一种格式合同。

根据《民法典》第四百九十六条的规定，若订立合同采用格式条款的，提供格式条款的一方应当遵循公平原则确定双方之间的权利义务，并提示对方注意免除或减轻其责任等与对方有重大利害关系的条款。因此，用户可以根据该条规定要求APP运营商遵循公平原则确定权利义务，以及对和用户个人信息安全等有着重大利害关系的问题进行提示，本质仍基于信息主体的知情同意权。如果APP运营商在隐私政策中未以合理方式告知用户收集权限所对应个人信息的目的、方式和范围等信息，或滥用权限、超出权限范围收集非必要的个人信息，用户可根据《民法典》第四百九十七条“提供格式条款一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利的，该格式条款无效”主张APP运营商隐私政策中的某些条款无效。

比如在某食品公司与侯某网络购物合同纠纷一案中，法院认为在实际生活中，消费者对于用户隐私政策大多不会认真阅读而是直接点击同意，该食品公司隐私政策页数众多，争议条款夹杂其中且处于末页，未置于突出位置，未采取合理方式予以提醒，因此法院认定该隐私政策中的争议条款无效。

（二）侵权法律风险

《民法典》第一千零三十四条第二款规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、身份证号、生物识别信息、电话号码等。个人信息具备两个核心要件，一是可识别性，二是有一定的载体。

当APP运营商在申请权限过程中侵害个人信息中的私密信息时，构成侵害隐私权，适用《民法典》关于隐私权的规定承担侵权责任。依据《民法典》第一千一百六十五条第一款，运营商因过错侵害了他人的隐私权并造成损害的，应承担侵权责任。隐私权中没有规定，则适用有关个人信息保护的规定。《民法典》第一千一百六十四条是调整因侵害民事权益产生的民事关系的。当APP系统权限申请侵害个人信息权益时，用户可根据该条寻求保护。我国《民法典》虽然没有直接规定APP运营商的侵权责任，但第一千一百九十四条规定了网络环境下对用户的侵权责任，若提供网络服务者利用网络侵害了他人民事权益，应承担侵权责任。因此，APP运营商作为网络服务提供者在申请用户开启系统权限的过程中，如果没有履行保障用户信息安全的义务，造成个人信息泄露、毁损等损害结果，且二者之间存在因果关系，则存在承担侵权责任的法律风险。

关于损害赔偿的确定，侵害个人信息多带来的是财产损失，比如把过度索权获得的个人信息用于电信诈骗，这种情况下受害用户证明自己的损害相对较易。而侵害个人信息给人身权益造成的损害，则较难证明。根据《审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题规定》，提供网络服务者侵害他人人身权益，造成财产损失或者严重精神损害，被侵权人依据《民法典》第一千一百八十二条和第一千一百八十三条的规定，请求其承担赔偿责任的，人民法院应予以支持。如果受害者无法证明自己遭受了严重精神损害，则无法请求精神损害赔偿。

例如，在凌某诉某科技公司隐私权、个人信息权益网络侵权责任纠纷一案中，原告在手机通信录只有本人的情况下使用手机号码注册登录某APP，发现大量好友被推荐为“可能认识的人”，认为被告在原告没有授权的情况下，非法窥探和使用原告的隐私和个人信息。法院认为自然人的姓名与其使用的手机号码具有可识别性，属于个人信息。但被告于原告注册前收集、存储原告姓名和手机号码并使用的行为并未征得原告同意，且在原告未注册时，其没有在该APP中建立社交关系的可能。被告从其他用户手机通讯录收集到原告的姓名和手机号码后，应当及时删除该信息。但直至凌某起诉时，该信息仍然存储于APP的后台系统中，超出了必要限度，最终法院认定该APP运营商构成对原告个人信息权益的侵害，由于姓名和手机号码在日常生活中通常会告知他人，因此并不属于私密信息，不存在侵害原告隐私权的行为。

对于该案损害赔偿的确定，根据《民法典》第一千一百八十二条的规定，侵害他人人身权益造成财产损失的，按照被侵权人受到的损失或者侵权人因此获得的利益赔偿;若难以确定，双方就赔偿数额协商不一致而向法院提起诉讼的，由法院根据实际情况确定赔偿数额。在大数据时代，采集个人信息对APP运营商来说有巨大的经济利益，被告在未征得原告同意的情况下采集原告的个人信息并加以利用，必然会获得经济利益，因此应当进行一定的经济赔偿，法院酌定赔偿数额为1000元。由于并未造成原告凌某某严重的精神损害，故不支持原告精神损害抚慰金的诉讼请求。

（三）刑事法律风险

如果之前非法处理个人信息仅需承担民事责任，那么在《刑法修正案（九）》出台之后就可能涉嫌侵犯公民个人信息罪，承担刑事责任。依据《刑法》第二百五十三条第一款，违反相关规定，向他人出售或者提供公民个人信息，情节严重的，处以刑罚;第三款规定，窃取或用其他方法非法获取公民个人信息的，依照第一款的规定处罚。

在认定该罪时，判断是否具有刑事违法性，要以行为主体违反前置性法律法规为前提。根据该罪适用法律若干问题的《解释》第二条、《刑法》第二百五十三条规定，“违反国家有关规定”是指违反法律、行政法规、部门规章有关公民个人信息保护的规定。目前我国主要是《网络安全法》和《电信和互联网用户个人信息保护规定》等，这些规定为认定APP运营商非法索取系统权限提供了依据。

此外，该《解释》第四条规定、《刑法》第二百五十三条第三款规定的其他方法是指通过购买、收受、交换等方式获取公民个人信息，或者在履职、服务过程中收集公民个人信息。因此，如果APP运营商在服务过程中，为申请权限却没有明示处理个人信息的目的方式和范围、未经用户同意就打开权限收集个人信息，或者申请打开的权限对应无关的个人信息，将会违反《网络安全法》第四十一条，具备刑事违法性的前提。若同時符合《刑法》侵犯公民个人信息罪的犯罪构成要件，则APP运营商就有构成该罪的刑事法律风险。构成要件有四条，其一，犯罪主体为一般主体，具备刑事责任能力并达到责任年龄的单位和自然人都可构成本罪;其二，本罪在主观方面是故意;其三，本罪侵犯的客体是公民的个人信息权益;其四，客观方面为违反国家有关规定，向情节严重的他人出售或者提供个人信息、将在履职或服务过程中获得的个人信息出售、提供给他人和窃取或其他非法获取公民个人信息的行为。

三、APP违法违规收集使用个人信息的法律风险应对

（一）完善以个人信息权为核心的法律体系

首先，加快出台《个人信息保护法》。随着大数据时代信息技术的飞速发展，APP侵犯个人信息的手段越来越隐蔽，个人信息被大量泄露、不当使用。其原因之一就是个人信息安全监管不到位，现有的法律体系无法实现保护个人信息权益的任务。因此，急需一部专门保护个人信息的法律，在明确规定处理个人信息的“合法”“正当”“最小化”等原则的同时，具体细化以“告知—同意”为核心的个人信息处理规则体系，严格个人信息保护等定义，与其他法律相衔接，实现个人信息保护工作的全覆盖。

其次，配套救济性法律规范。个人信息具有经济价值和人格权益，APP运营商若滥用权限收集使用个人信息，不仅会给用户带来经济损失，严重地还会造成精神损害，因此要在《民法典》侵权责任编的基础上对这类行为进行规制，在诉讼法范畴内引入公益诉讼和集体诉讼制度。因为一款APP在处理个人信息方面的不法行为侵害的可能是一个群体的个人信息权益，因此，依据《民事诉讼法》第五十五条，将APP侵害个人信息纳入公益诉讼和集体诉讼的范畴，有利于更大程度地保护消费者即用户的权益。由于用户在技术、地位等方面与APP运营商并不平衡，故举证责任可适当向用户倾斜，由APP运营商承担大于用户的举证责任。同时，刑法的惩治要与民法、行政法规的监管相协调。结合侵犯公民个人信息罪适用法律若干问题的《解释》，严格认定该罪“情节严重”的情形，不能随意入罪，要保留对互联网行业的宽容，保持刑法的谦抑性，给民法和行政法领域内的执法保留一定空间，实现三者的相互配合。

（二）APP运营商改进服务内容

其一，APP运营商可以参照《APP系统权限申请使用指南》完善处理用户个人信息的方式。针对“未明示处理个人信息的目的、方式和范围”问题，APP运营商要完整、清晰、区分说明各业务功能所收集的个人信息，目的告知应明确且易于理解，不包含任何误导用户授权的描述。针对“未经用户同意处理个人信息”问题，APP运营商要为用户提供主动选择同意的选项，在用户明确拒绝APP业务功能所需权限后，不得频繁申请系统权限干扰用户正常使用。针对“违反必要原则，收集与其提供的服务无关的个人信息”问题，APP运营商要结合实际的业务功能，使收集个人信息的类型与业务功能有直接关联，不申请与APP业务功能无关的权限。

其二，对于合同风险，APP运营商应将用户隐私政策显著呈现，有关系统权限申请的内容要基于公平原则明确告知用户其目的、方式和范围，尽到保护与用户有重大利害关系的个人信息的义务。对于侵权风险，APP运营商应严格按照我国法律法规和隐私政策处理个人信息，遵循知情同意原则，申请权限所对应的个人敏感信息时要同步告知用户目的，经用户同意。申请打开权限须与隐私政策等规则中的相关内容一致，不得超出隐私政策等规则所述范围。对于刑事法律风险，APP运营商要履行保护公民个人信息的义务，谨防他人盗走信息用于犯罪。在权衡个人信息的经济价值和人格权益时，不得非法出售、提供个人信息。

（三）提高用户保护个人信息意识

用户在使用某款APP时，每一个步骤都要谨慎对待。首先，从下载注册开始，要仔细阅读隐私政策合同，了解APP处理个人信息的目的、方式和范围。其次，在填写个人资料和选择是否同意权限申请时，要注意避免泄露自己的个人敏感信息。注册之后，发布与个人有关的照片视频时要谨防带有明显有个人标识的记号，辨别信息真伪，从源头避免个人信息的泄露。

注 释：

①全国信息安全标准化技术委员会秘书处《网络安全标准实践指南——移动互联网应用程序（APP）系统权限申请使用指南》。

参考文献：

[1]张勇.APP个人信息的刑法保护：以知情同意为视角[J].法学，2020（8）.

[2]张新宝.个人信息收集：告知同意原则适用的限制[J].比较法研究，2019（6）.

[3]冉植权.APP非法获取其用户数据的刑法适用研究[J].西部学刊，2020（24）.

[4]杨立新.私法保护个人信息存在的问题及对策[J].社会科学战线，2021（1）.

[5]刘德良.刑法侵犯个人信息犯罪及其司法解释的理解与检讨[J].网络法律评论，2016（1）.

[6]中华人民共和国民法典[N].人民日报，2020-06-02（1）.

作者简介：来佳洋（2000—），女，汉族，山西晋城人，单位为中国矿业大学（北京），研究方向为民商法。