秦彬峰
引言:
为了加强移动互联网应用程序(以下简称APP)个人信息保护,规范APP个人信息处理活动,在国家互联网信息办公室的统筹指导下,工业和信息化部会同公安部、市场监管总局起草了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》,于2021年4月27日开始向社会公开征求意见。在这个关于APP应用程序的个人保护管理暂行规定的征求意见稿中已经提到多数APP提供方侵犯用户权益的一些保护办法。这充分体现政府相关部门对整治APP乱象的决心和重视程度。也说明了APP提供方侵犯用户合法权益已经引起了社会的剧烈反响,且已经到了不得不治理的地步。虽然这个征求意见稿中还有些手机APP侵权情形还没涉及到,但我们相信在5月底征求意见截止时,会有人提出相关的建议,并纳入正式的保护规定中去。
在大数据、云计算、人工智能等技术操控的移动互联网时代,人们逐渐变得缺少隐私。关于手机APP是否监听用户隐私这一问题,移动互联网内容提供商一直在矢口否认,但对于大多数手机用户来说,它早已是为人所不齿的共识,人们对此恨之入骨,却又常常无能为力。随着人们对手机输入法、社交平台、短视频平台、搜索引擎、电商平台等移动互联网内容提供商的依赖越来越强,在手机是否被监听、隐私数据是否被窃取和利用这一问题上,人们的手机信息隐私权保护的意识慢慢觉醒。在法治层面,我们呼唤更有力、更详细、更全面的与手机APP用户个人信息隐私保护有关的法律法规出台。
一、手机APP提供商侵犯用户隐私权的主要表现
有的APP需要实名注册,并且需要绑定手机号,不然就无法注册使用APP;有的APP只需要手机号就能注册,但是注销很难;有的APP上的个人信息无法删改;有的用户在安装手机APP时,移动互联网APP提供商未告知其所获取的隐私权限及目的,在未取得用户同意(或者骗取用户的同意)的情况下,获取用户的位置、通讯录、摄像头、照片、麦克风、手机序列号等各种权限,收集用户的隐私数据,通过大数据、人工智能,分析用户的行为习惯,并用于获利;有的APP下载登陆时向用户征求意见“你要允许此应用对你的设备进行更改吗”,这个征求意见有点强制,如果客户不同意,则软件就不能下载或者是自动退出让我们没法登陆。当用户愉悦地享受免费APP的时候,用户渐渐变成了移动互联网内容提供商的商品,用户量和在线时长就是价码。移动互联网APP提供商对用户信息的过度采集呈现出普遍的趋势。
中国消费者协会在2018年发布《100款App个人信息收集与隐私政策测评报告》,超过90款手机App涉嫌过度收集用户的个人隐私信息。其中,用户位置、通讯录、手机号码等个人信息是被过度收集或使用的主要内容。此外,用户照片、财产信息、生物识别信息、工作信息、交易账号、交易记录、上网浏览记录、教育信息以及短信信息等均存在被过度收集或使用的现象。
人脸识别、仿生技术为人类隐私数据的捕获提供了无限可能。人工智能已经可以模仿合成任何人的声音,导航软件上的明星语音就是人工智能的杰作。也许在不久的将来,我们会发现没有人比人工智能更懂我们。但是手机APP提供商非法收集用户信息或更改用户设备却很容易侵犯用户的合法权益。
二、相关法律条款
在移动互联网时代,每天都会产生海量的数据,保护用户的数据隐私已成为世界性的难题。近期Facebook被爆泄露超过5.3亿用户的个人数据,欧洲隐私法的监管机构爱尔兰数据保护委员会正在对Facebook进行调查,法律依据是欧洲的《通用数据保护条例》。2017年雅虎用户数据泄漏事件涉及的用户数高达30亿;2018年“剑桥分析”丑闻爆出8700万Facebook用户数据遭泄漏;2020年,Twitter被美国联邦贸易委员会指控“滥用用户电话号码或电子邮件,用于向用户投放广告”。美国在2020年颁布《加利福尼亚消费者隐私法案》,这是美国迄今为止最严厉、最全面的个人隐私保护法案。
针对移动互联网时代信息保护的特征,我国在原有隐私权保护法规的基础上,于2016年出台《网络安全法》,规定了对个人信息收集、使用和保护的要求,2017年发布了《信息安全技术 个人信息安全规范》,并在经过修改完善后于2020年发布适合时代发展的新的《信息安全技术 个人信息安全规范》,旨在遏制个人信息非法收集、滥用、泄露等乱象,最大程度的保护个人的合法权益和社会公众利益。它与2017年的规范相比,新增了关于个人生物识别信息的的收集和使用要求”,规定在收集个人生物识别信息前,应单独向个人信息主体告知收集和使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意,并规定了用户的个人特征描述不能为“淫秽、色情、赌博、迷信、恐怖、暴力”,使用用户特征数据的时候不能侵害保护公民、法人和其他组织的合法权益,不能危害国家安全、荣誉和利益。这在目前人脸识别、人工智能的新形势下,为隐私权保护做了非常有针对性的标准规范。2019年工信部、网信办、公安部、市场监管总局四部委联合制定并公开发布了《App违法违规收集使用个人信息行为认定方法》,这是大数据、人工智能时代我国首部手机App个人隐私信息保护的规范,更加具体地细化了手机App收集个人隐私信息行为认定方法,可执行性强,为认定App违法违规收集使用用户个人信息的行为提供参考,为移动互联网内容提供商的自我约束和社会监督提供了依据。此外2020年开始实施的《密码法》,2021年开始实施的《民法典》,以及《关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》、《消费者权益保护法》等,对隐私权的保护有了较详细的规定。2021年央视315晚会曝光人脸识别系统滥用、违规获取用户身份信息的事件,使数据安全再次被推到风口浪尖。
三、实践中手机APP隐私数据保护的难度
3.1侵权主体难于界定,侵权行为难以取证
手机APP遭窃听,使得用户的隐私数据遭窃取利用,构成侵犯隐私权。对这种手机APP侵权行为的处理虽然有法可依,但侵权主体难以界定。例如,一个用户的购物APP首页收到了可疑的推荐内容,在侵权主体的界定上,很难判断是因为搜索引擎窃听了用户的搜索记录,还是社交平台窃听了用户的聊天内容?另外,用户如果要取证也较为困难,因为数据往往是通過第三方APP收集泄漏的。例如,用户的聊天内容与APP推送的广告内容是否有关联,用户在搜索引擎的搜索记录是否在影响购物APP首页推荐的内容?在侵权界定方面,缺乏相应的判断标准,因此我们很难对手机APP的提供商进行追责。
3.2违规算法难以通过审查发现,违法行为容易抹除痕迹
移动互联网技术具有专业性强、数据代码易于删改更新的特点,使得违法者的作案证据难以查找到。霸王条款之类的违法行为容易逃脱制裁,违法行为往往有法可依,但却无据可查。这对执法人员的综合业务素质提出了更高的要求。某国民社交APP的监听模式的关闭路径非常隐秘,其步骤也异常繁琐。关闭后其广告的相关性也只是降低了,但是并没有完全消失。而这个比例,我们不得而知。另外,监听模式的关闭不是永久性的,停一定的时间后便会再次自动打开。美颜、换脸APP是否在后台收集人脸数据,我们难以查证。“嫌疑人以为警察不懂技术就偷删代码,不料被一名硕士民警一眼识破”,人们对这样的真实案例啧啧称奇,人们也在期待和呼唤更多这样的人才加入司法队伍,以破解一个个互联网APP软件的侵权案件。
3.3用户对隐私权保护的意识不够强
且不论大数据推荐算法对用户的利弊关系,关键问题在于,推荐算法正是利用用户的隐私数据进行数据分析,而多数用户对此却并不知情。绝大多数人在安装手机APP的时候并不会详细查看用户协议(包括权利声明、免责声明等),移动互联网APP提供商正是利用这一点,使得用户在不知不觉中同意其隐私条款,获取用户隐私数据搜集和使用的许可。中国消费者协会于2018年发布的《APP个人信息泄漏情况调查报告》显示,85.2%的受访者遇到过APP个人信息泄漏的情况。但是由于APP上的用户权限、用户协议或隐私政策往往千篇一律,且字数太多,仅有26.7%的受訪者能够认真阅读完用户权限、用户协议或隐私政策的说明。有些营销人员几乎知道我们的所有信息,而我们却不知道自己的信息是怎么泄露出去的。
3.4用户维权难度大
首先,手机APP往往在用户不经意间、或者未明确提示用户的状况下,获得对用户隐私数据收集和使用的许可。对于这种情况,通常用户可能只有认栽。其次,用户隐私数据往往是通过第三方手机APP被泄漏的,侵权主体难以追溯和界定,可能有两个以上的APP同时在监听用户的信息。此外,用户有些难以启齿的隐私数据遭泄漏后,在心理上,往往失去了对维权的主动性和积极性。最后,我国关于手机APP用户个人信息隐私权保护的实践细则存在漏洞,还有待于继续完善。
四、对手机APP隐私权保护的对策及展望
鉴于移动互联网时代新技术和新应用层出不穷,我国的隐私权的保护面临前所未有的挑战,任重道远。
1.进一步严格立法,强化对消费者个人信息的法律制度保护,立法应当给予更加细化、全面的解释,以应对新技术带来的新场景与新问题。手机APP收集、使用和传播个人隐私信息的行为应当给予更加严格的管制,对各种手机APP的隐私条例进行规范化、合理化的修改,严谨诱导行为,杜绝霸王条款,提高手机APP用户信息隐私权的侵权成本。
2.相关部门应加大执法力度,加强对APP的检查力度,对侵犯用户隐私权的APP提供商,应该提高曝光频率,并加强社会监督,完善举报机制。对于严重侵犯用户隐私权的APP,依法严惩。
3.进一步提高人们的信息安全保护意识,应加强对社会各界在手机APP网络安全方面的宣传教育工作,提升人们对手机APP网络安全的知识水平,提高防范意识,调整手机APP使用习惯,让不良APP平台无机可乘。
在大数据、人工智能时代,新技术带来的变化日新月异,个人信息泄露的新问题层出不穷,但只要全社会齐心协力,手机APP网络世界一定会朝着更健康、更便利、更安全的方向发展。
参 考 文 献
[1]邢会强.人脸识别的法律规制[J].比较法研究,2020(05):51-63.
[2]张国微. 手机APP过度采集信息的隐忧与规制[N]. 人民法院报,2019-11-12(006).
[3]曾观音. 基于权限和功能的APP个性化推荐算法的研究[D].武汉大学,2017.
[4]中国消费者协会. App个人信息泄露情况调查报告[EB/OL].http://www.cca.org.cn/jmxf/detail/28180.html,2018-08-29
[5] 中国消费者协会. 100款App个人信息收集与隐私政策测评报告[EB/OL].http://www.cca.cn/jmxf/detail/28310.html, 2018-11-28
[6]App违法违规收集使用个人信息专项治理工作组. 对《App违法违规收集使用个人信息行为认定方法》的分析[N]. 中国市场监管报,2020-01-07(007).
[7] 公开征求对《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》的意见 中国政府网 2021-4-27