手機應用軟件索取用戶信息的法律邊界

阿熱孜古麗·麥合木提

大數據時代、網絡信息化時代的迅速發展帶來便捷也暗藏隱患。個人隱私信息的泄露、販賣、盜用，騷擾電話、詐騙電話和郵件仍然大量存在，并成為全社會普遍擔憂的問題。尤其是全球新冠肺炎疫情發生以來，公民的生活更加依賴手機應用軟件，隨之而來的是人們更加注重手機應用軟件的安全性。用戶在使用手機應用程序過程中常常需要提供用戶的某個特定個人信息才能夠繼續使用其功能，用戶開放其權限后兩者之間的協議達成合意。但是，部分用戶并不知道手機應用程序開放權限的后果，因此部分應用軟件會利用索取的權限了解到用戶的個人信息再進行其他處理，這可能造成用戶個人信息的泄露以及其他危害。

一、手機應用用戶信息的范圍

針對手機應用軟件而言，應用軟件的開發企業是軟件所有者及獲利者，企業收集利用用戶信息較常見，但其他如行政部門、鐵路、醫院、學校等基于辦公所需的應用軟件同樣也存在著需要索取用戶個人信息的情形。

平臺企業一般通過三種途徑利用手機應用軟件最終達到盈利的目的：一是通過合法的途徑將索取的權限利用技術手段將信息收集匯總后進行大數據分析從而了解用戶的喜好，向用戶精準推薦相關產品來獲利。這就要求平臺企業精準地抓住用戶的喜好，因此越是具體詳細的用戶個人信息對于平臺企業而言越具有價值。二是通過大數據交易平臺進行交易，其中包含用戶個人信息的交易等，但在大數據交易平臺交易用戶個人信息需要符合相關規定。例如，隨著數據經濟的發展，不少地方已經成立數據交易平臺，我國第一家數據交易平臺為貴陽大數據交易。三是通過非法手段盈利。部分互聯網企業收集用戶數據用于違法買賣，索取用戶個人信息敏感權限開發惡意程序，這些惡意程序可能存在私自扣費、推送廣告風險，對用戶的個人信息造成極大的侵害，對用戶的手機使用造成了嚴重的威脅。未經用戶同意擅自索取用戶的信息，對用戶的個人信息權也會造成侵害。互聯網企業不僅是用戶數據的收集者，往往亦是數據的管理者和使用者，企業可以根據發展需要，變更或刪除相關數據[1]。除為盈利目的而索取用戶信息，手機應用軟件也會告知用戶在侵犯公共或他人利益時為避免財產、安全的損害會將用戶個人的信息提供給第三方。例如，銀行的手機應用軟件會配合司法機關提供用戶的個人賬戶信息。企業在運營過程中也可能出現其手機應用軟件因技術水平或惡意攻擊而造成泄露其用戶個人信息的情況。

在手機應用軟件中，被直接索取的是用戶的信息，因此應用軟件可以索取用戶的何種信息法律是有規定的，如果用戶不需授權、不想授權，那么用戶作為消費者不應成為企業之間相互競爭的波及者[2]。

通常正常使用手機應用軟件的功能需要索取用戶的個人信息，其中用戶的個人信息重要程度也有所差別。對于用戶個人而言希望能最大程度地利用手機應用軟件的功能，但又賦予最少的授權。針對手機應用軟件用戶個人信息的不同法律規定有所不同，對其保護也有所區別。

《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）①參見《網絡安全法》有關規定:“自然人的個人信息是指以電子或者其他方式記錄的，能夠單獨或者與其他信息結合，識別的自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證號碼、個人生物識別信息、住址、電話號碼等”“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則”“不得收集與其提供的服務無關的個人信息”。以及《中華人民共和國民法典》（以下簡稱《民法典》）主要將個人信息放在隱私權和個人信息保護條文中，其中《民法典》規定了自然人的個人信息受法律保護以及個人信息的“可識別”性，并且規定了個人信息的范圍以及處理個人信息的條件②《民法典》第一千零三十四條：個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。《民法典》第一千零三十五條：處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外；（二）公開處理信息的規則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規的規定和雙方的約定。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。。《民法典》再次將“合法、正當、必要”規定為個人信息保護的原則范圍。這就要求平臺企業、手機應用軟件不能過度索取用戶的個人信息。

工信部2013年發布的《電信和互聯網用戶個人信息保護規定》也使用了用戶個人信息的概念③本規定所稱用戶個人信息,是指電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息。。2021年11月1日，《中華人民共和國個人信息保護法》（下文稱《個人信息保護法》）正式實施，其中個人信息要具備“可識別加相關聯的信息”，匿名化的信息不受個人信息法的保護④《個人信息保護法》第四條：個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。。該法第七十三條第一款第四項對“匿名化”進行了定義，滿足“無法識別且無法復原”標準的信息才不屬于個人信息，同時也規定了對個人信息中的“敏感信息”的保護。

綜上，我國目前對于個人信息的范圍已經十分明確，個人信息根據法律法規的規定應當具有可識別性，無法識別的個人信息應當允許企業收集用作商用。同時，也在法律中明確了合法、正當、必要為利用個人信息的原則。

二、手機應用軟件索取用戶信息的現狀

（一）用戶信息保護立法現狀

2017年6月1日施行的《網絡安全法》規定，網絡運營者本著合法、正當、必要的原則，不得收集與其提供的服務無關的個人信息。2017年7月1日實施的《移動智能終端應用軟件預置和分發管理暫行規定》明確互聯網企業將需要收集的用戶個人信息通過隱私協議、用戶提示等方式告知用戶。2019年頒布施行的《中華人民共和國電子商務法》在《網絡安全法》的基礎上，細化了各方面的規定，適用對象以及用戶明示同意都有所擴大。2019年11月29日，國家互聯網信息辦公室秘書局、工信部辦公廳、公安部辦公廳、國家市場監管總局辦公廳聯合發布《App違法違規收集使用個人信息行為認定方法》，進一步落實了《網絡安全法》的規定。2020年11月26日工信部發布《App收集使用個人信息最小必要評估規范》，其中規定了最小必要原則，要求不得進行與處理目的無關的個人信息處理。2021年3月22日，國家互聯網信息辦公室秘書局、工信部辦公廳、公安部辦公廳、國家市場監管總局辦公廳聯合發布《常見類型移動互聯網應用程序必要個人信息范圍規定》，落實了《網絡安全法》關于個人信息收集合法、正當、必要的原則。2021年9月1日頒布施行的《中華人民共和國數據安全法》（下文稱《數據安全法》）以及《個人信息保護法》的正式施行，對于個人信息保護的相關的規定逐漸詳。

根據已經頒布的法律法規以及規范規定，可以看出我國對應用軟件的規范已經全面。根據《民法典》的規定，個人信息的處理涉及私密、隱私信息的可以用隱私權的規定。《個人信息保護法》規定了用戶個人在信息活動處理中的各項權利，以及敏感信息和其他相關個人信息的處理等問題。我國對于個人信息保護的重視程度逐漸增強，并且已經初步建立起個人信息保護基本體系。

（二）手機應用軟件索取個人權限的現狀及監管

1.手機應用軟件索取權限現狀

根據中國消費者協會問卷調查，讀取位置信息權限占86.8%，訪問聯系人權限占比62.3%，受訪者被要求讀取通話記錄權限占比47.5%、讀取短信記錄權限占比39.3%、打開攝像頭權限占比39.3%、話筒錄音權限占比24.6%，比例都較高①參見中國消費者協會:2018年App個人信息泄露情況調查報告全文。。

根據法律法規的規定，應用軟件開發企業需要明確告知用戶同意，在告知同意前提下，企業出于自身利益的考慮往往通過信息混雜、增加字數等方式隱藏重要信息使人不易發現。告知文件似乎并不是為了促進個人知情而擬定并提供的。換言之，企業履行告知的“目的僅在于規避法律風險”[3]，在用戶不同意其協議或告知的事項，或用戶在了解此軟件索取的權限后不同意提供或授權使用時，冗長的協議后也僅有不使用此應用軟件或無法使用其部分功能的選項。因此，應用軟件看似在遵循規定告知用戶索取信息，但其結果并不由用戶選擇。

隨著技術的發展，應用軟件也開發出不同的功能，其索取的方式類型也逐漸多樣。第一，這些應用軟件在用戶下載安裝應用軟件打開之時會彈出用戶協議以及需要索取的手機權限。如果用戶不同意用戶協議則無法使用軟件，或者不同意所需要的索取權限則部分功能無法使用。第二，在使用手機應用軟件時，應用軟件會要求用戶進行注冊登錄。注冊登錄的行為可以視為在此應用軟件上建立了一個虛擬身份，這個身份就為應用軟件提供者提供了收集用戶的信息、分析用戶數據的便利。各個應用軟件普遍需要用戶提供手機號碼、身份證號碼與驗證碼等進行注冊，登錄則是可用賬號密碼、手機號、掃碼登錄以及第三方平臺進行登錄，在注冊登錄時平臺便能獲得用戶相關的個人信息。

隨著企業開發技術的進步，小程序的使用日益增多。小程序是通過手機應用軟件提供的無需下載即可使用的軟件。用戶在使用此應用軟件時會被索取權限，在同意授權后要使用此手機應用軟件中的小程序時，小程序一般也要求提供身份證信息、手機號碼等，但小程序索取信息的問題目前除了作為中間平臺的應用軟件監管之外，沒有其他的監管方式，其安全隱患存在較大的問題。

2.對手機應用軟件索取個人權限的監管

在實踐中，行政部門通過專項治理對手機應用軟件索取個人權限的問題進行監管。自2019年以來，中央網信辦、工信部、公安部、國家市場監管總局四部門啟動的專項執法，截至2021年3月，共完成73萬款APP的技術檢測工作，連續發布12批次對外通報，責令整改3046款違規APP，下架179款拒不整改的APP，治理工作取得了積極成效[4]，四部門在各自官網以及微信公眾號中都設立了投訴舉報途徑。截至2020年底，工信部在國內共檢測到345萬款應用軟件，但面臨無法全面檢測、部門之間的執法監督較為分散等問題，在根據對違規的應用軟件的處罰時更多的是對平臺或企業的約談、警告、勒令整治、下架應用軟件等。對于廣泛的應用軟件市場而言力度不強，并且對于已經泄露的用戶信息的后續個人信息保護不足。另外，目前法律法規對國家行政機關、醫院、學校等單位的應用軟件的監管與處罰較少，對小程序等新開發的技術監管也明顯不足。

（三）手機應用軟件索取個人權限案例及困境

在司法實踐中，由于《民法典》和《個人信息保護法》實施時間較短，針對類似個人信息保護的案件普遍采取的是用隱私權的相關規定來進行規制，也未將“個人信息保護糾紛”案由獨立與個人信息的相關的民事糾紛主要分散在隱私權、不正當競爭等案件當中。由此給個人信息保護的相關實證研究構成一定阻礙[5]。直到2020年12月14日，最高人民法院發布的《關于修改〈民事案件案由規定的決定》（法〔2020〕346號）才正式在第一部分人格權糾紛中將原來的“隱私權糾紛”變更為“隱私權、個人信息保護糾紛”的案由，此決定于2021年1月1日起正式生效并指導司法審判實踐。

1.不正當競爭糾紛界定的案件

在2021年1月1日前的相關個人信息的案件中，有部分案件主要以不正當競爭的方式審結，對于其中侵犯個人信息權的問題探討較少。主要經典的實踐案例包括“大眾點評訴百度”案①參見：上海漢濤信息咨詢有限公司訴北京百度網訊科技有限公司等不正當競爭糾紛案——大眾點評訴百度不正當競爭索賠9000萬案，（2015）浦民三（知）初字第528號判決書。，在本案中“百度知道”將大眾的用戶點評直接放到了自己的平臺，對大眾點評造成了侵害。首先，企業通過自身的技術收集整合成自己的數據庫，大多數企業將其視為自己的商業秘密，但對于用戶而言其提供的個人信息在這個過程中得不到充分的保障。其次，對于企業收集的法律規定無識別性的信息，企業應當承擔舉證責任。第三方在未經平臺以及用戶的同意直接索取用戶個人信息，不僅侵害了企業的商業秘密，也侵害了用戶的個人信息權。

在“新浪微博訴脈脈軟件不正當競爭”案②參見：北京淘友天下技術有限公司、北京淘友天下科技發展有限公司與北京微夢創科網絡技術有限公司不正當競爭糾紛上訴案，（2016）京73民終588號判決書。中，微博授權脈脈作為第三方登錄，而脈脈公司在未經微博和其用戶的同意下擅自收集屬于微博的用戶信息。在本案中，通過第三方登錄的方式擅自收集用戶的信息，第三方登錄是基于雙方公司的合作，可能共享一方的用戶信息。但是首先，應當告知用戶其合作關系以及共享的范圍，共享的用戶個人信息應當是符合法律規定的不再具備可識別性的信息。其次，如果索取的是具有可識別性的用戶個人信息，雙方應當都告知用戶并取得用戶同意之后才能夠索取。

綜上，以往因無個人信息的案由，法院的審判也大多是基于平臺企業間的糾紛，往往認定針對企業而言用戶信息是商業秘密來，平臺所索取收集的用戶個人信息成為了企業平臺財產的性質，而對平臺索取的用戶的個人信息保護極少提及。

2.侵犯隱私權、個人信息糾紛界定的案件

隨著大數據的發展，個人信息的泄露案件逐漸增多，法院在審判案件時也開始注重個人信息保護方面的審理。

在2014年“羅某訴某保險公司隱私權糾紛”③參見：羅某訴某保險公司隱私權糾紛案——侵害公民個人信息的賠償責任案，（2014）郴北民二初字第947號判決書。案中，被告保險公司從原告羅某購買汽車的4S店中獲取到羅某的電話號碼并多次致電推銷。在本案中法院認定為隱私權糾紛，認定被告非法收集和利用了原告的個人信息侵犯了被告的隱私權。

在2017年“龐某鵬訴中國東方航空股份有限公司、北京趣拿信息技術有限公司隱私權糾紛”④參見：最高人民法院發布中國互聯網司法典型案例之八龐某鵬訴中國東方航空股份有限公司、北京趣拿信息技術有限公司隱私權糾紛案，（2017）京01民終509號判決書。案中，原告收到詐騙短信，認為是由被告兩公司泄露了個人信息。根據法院審判，法院認定原告的手機號碼、行程信息屬于即屬于隱私信息也屬于個人信息，最終以隱私權保護進行救濟。

在2019年“凌某某訴抖音”⑤參見：凌某某與北京微播視界科技有限公司隱私權、個人信息權益網絡侵權責任糾紛案，（2019）京0491民初6694號判決書。案中原告認定被告在運營應用軟件過程中違法收集、使用原告的隱私和個人信息，通過收集的信息給原告推薦了“可能認識的人”。本案中涉及原告的姓名、電話號碼、地理位置等，法院認定為這些信息在本案中的情況不屬于隱私，但對原告的個人信息的權益造成了侵害。

在2019年“黃某訴微信讀書”①參見：黃某訴微信讀書隱私權、個人信息權益網絡侵犯責任糾紛案，（2019）京0491民初16142號判決書。案中，原告認定在使用“微信讀書”軟件時，未經過原告授權同意在軟件中出現了第三方登錄的微信的好友名單，并且向好友公開了讀書想法、閱讀信息等。法院認定為本案中出現的原告的好友名單等數據屬于個人信息，不屬于隱私信息。

綜上，以上案件發生隨著時間在逐漸發生變化，對于個人隱私、敏感信息在個人信息的界定也在發生不同的改變。實踐中，在網絡中個人認為的隱私與法律所要保護的隱私在是不同的。

3.手機應用軟件索取用戶信息的困境

在以往僅能以《中華人民共和國民法總則》為依據審判時，隱私與個人信息邊界不夠明確。《民法典》出臺后，雖然有了對個人信息的部分規定，但是在實務中將個人信息與隱私相交織在一起，仍然對隱私與個人信息的保護不全面。隨著《個人信息保護法》的出臺，明確了個人敏感信息的范圍。

針對個人信息權與隱私權，學界也有不同的觀點。有學者認為兩者存在交叉、重合的地方[6]，也有學者認為，有些個人信息屬于隱私信息，有些個人信息則不屬于個人隱私,而二者交叉部分為私密信息、敏感信息,既要受到隱私權的保護也要受到個人信息的保護[7]。在實務中，法院主要也以已有的法律規定加學界觀點來判斷。

根據《民法典》《網絡安全法》以及《個人信息保護法》的規定，無識別性的信息是可以由平臺企業收集利用的，但在數據算法快速發展的時代，通過個人的部分信息得到用戶個人其他完整的信息或通過用戶個人匿名不可識別的信息再推算出可以識別的信息是可以達成的。在大數據技術的發展下，可識別的個人信息與不可識別的信息之間界限也不清晰[8]。實踐中，平臺企業希望能夠索取到用戶更加具體的信息，這樣才能對企業產生價值，也會采取各種辦法將自己的利益最大化，通過技術有重新識別的可能性，平臺企業就有可能從中獲得用戶的個人信息，因此，沒有絕對的無法識別的信息。在實務中企業也是常以已告知不具有可識別性為由進行抗辯。對此學界有提出可以以“禁止反向識別”來約束企業[9]，但其只能針對企業內部的行為，于是造成難以監管的問題。因此，要客觀認識無識別性的信息，實現數據的收集者、平臺、互聯網企業能夠在法律法規規定的范圍內合法索取、收集、使用，從而保障用戶的個人信息不被過度索取、濫用、泄露等。

根據《民法典》《個人信息保護法》及其他法律法規，可以得出平臺以明示的方式告知用戶并獲取同意后才能夠進行收集以及處理。在實務中，出現用戶不仔細閱讀相關協議便點擊同意或點擊不同意后無法繼續使用軟件的問題。在“某軟件有限公司訴安徽某信息科技有限公司不正當競爭糾紛”案②參見：杭州互聯網法院成立兩周年十大影響力案件之四某軟件有限公司訴安徽某信息科技有限公司不正當競爭糾紛案——數據產品的法律屬性及權利歸屬的認定，（2018）浙01民終7312號判決書。中，法院認為針對非個人信息可以采用“默認同意”，針對個人信息則要“明示同意”。在告知同意的情形下也存在用戶能否撤銷自己的同意，反悔后平臺企業能否銷毀或清除自己已取得的信息的問題。在新出臺的《個人信息保護法》中，雖然明確規定平臺、企業有義務要提供給用戶撤銷也就是反悔的權利，并且能以便捷的方式撤銷。但是，在實踐中的落實不盡如意。

三、手機應用軟件索取用戶信息的完善與發展

在大數據時代，數據的收集與利用無法避免，因此，在個人信息保護和利用之間構建一個動態的利益平衡空間獲得了學者的推崇[10]。而根據前文的闡述，我國已經初步建立健全全方位針對個人信息保護的法律制度，目前更多出現在日益發展的大數據、信息化技術與相應的個人、企業平臺以及政府部門的應對和監管之間的矛盾。因此，本人主要針對第三方、用戶個人、平臺企業以及監管部門提出相應的建議。

（一）完善手機應用軟件索取隱私權限協議

中國消費者協會的問卷調查顯示，認真閱讀手機應用權限和用戶協議或隱私政策的受訪者僅占26.7%。北京市消費者協會的調查報告則得出更低的比例，“只有6.15%的人在安裝或使用手機應用程序之前會經常看授權須知”[11]。平臺、手機應用軟件在履行“明示告知”義務時，最常用的手段是在用戶下載完成打開手機應用軟件時彈出協議，并且在頁面底端放置同意與不同意的按鈕。在“明示”完所要索取的權限范圍后，就會出現進行索取相應的個人信息。

首先，將已擬好的“格式合同”給予用戶，用戶只能單方面接受。索取的權限協議更多的是要表明軟件需要的信息，不能誘導用戶不看、忽略協議的具體內容。其次，如果用戶不同意協議的內容將無法繼續使用應用軟件的部分或全部功能，這有可能是變相強迫用戶授權給平臺，用戶最后作出的授權決定就不是用戶的真實意思表示。最后，實際上用戶隱私協議中雖然表明了相關索取的范圍，但是實際上索取的內容與協議不相符時，用戶欠缺足夠的能力和技術去認識。

因此，對于應用軟件的隱私協議，作為平臺企業不能僅以規避法律為目的去制定。應當明確告知用戶權利義務，不能僅以格式合同的方式強迫用戶接受，如果用戶不同意不接受相關協議，平臺不能用完全無法使用該應用軟件來限制，如果僅是部分功能無法使用，那么應用軟件也應當告知用戶原因。一般隱私協議具有相對專業性的問題，作為監管部門針對隱私協議的監管也應當相應加強。當然，如果僅針對企業不要求用戶個人也明顯顯失公平以及不合理。用戶個人也應當在正規的平臺下載應用軟件，仔細閱讀隱私協議，維護自己合法正當的利益。

（二）明確隱私信息、敏感信息與個人一般信息的不同索取方式

平臺企業收集的個人信息涉及個人的隱私信息、敏感信息與個人的一般信息，在實踐中會出現用戶個人認為是隱私信息但平臺不認為是隱私而索取的用戶個人信息。因此，法律法規中有相關規定的按規定執行，在個人一般信息、敏感信息與個人隱私信息界限不清時，在實務中按照更嚴格的權利去保護。對于用戶個人的一般信息也應當相應的進行保護。

對于平臺企業而言，在索取用戶的個人信息時，應當在隱私協議中著重表明，并且表明其索取的目的、用途等。如果需要索取、使用、處理個人的隱私、敏感信息時，要嚴格按照用戶的授權進行，并且發生變更情況時，應當及時告知用戶；在用戶卸載該應用軟件時也應當將相關的隱私、敏感信息進行清空銷毀。對于個人一般信息的索取，平臺企業也應當合法合規收集處理，禁止企業進行反向識別用戶的個人信息。可以建立索取個人信息的不同等級的程序，針對不同的信息索取適用不同的索取方式，既可以使用戶注意到，也可以使應用軟件高效地收集處理。對于用戶而言，在使用應用軟件時應當注重對自己信息的保護，特別是隱私、敏感的信息不隨意授權、分享。

（三）加強手機應用軟件平臺的責任

如果僅依靠監管部門來進行不停的監管處罰將無法全面進行監管，根據張新寶教授的觀點，下載的應用軟件一般是通過手機中應用市場、搜索軟件等平臺進行。它們作為“頭部平臺”應當承擔守門人的責任[12]。

如今，通過第三方使用的軟件也日益增多，微信小程序、百度小程序等越來越多的第三方平臺通過這些大平臺來運營自己的程序，用戶不僅要在大平臺當中被索取一遍信息，打開小程序時也要再次被索取。大平臺常將與小程序的責任分割開來，在免責條款中表明僅為小程序提供平臺。

平臺要嚴格按照規定索取用戶個人信息，不得索取超越范圍的用戶個人信息。無論是大平臺或小平臺,如果為第三方提供平臺，應當自己做到相應的監管，小程序也可以建立雙備案機制，即既要向國家部門備案，也要向平臺備案，不能讓第三方小程序通過其他平臺不合理索取用戶個人信息。因此，需要加強平臺作為管理者的責任，不能讓平臺作為跳板讓其他軟件隨意索取用戶的個人信息。企業也要加強內部監管，確保用戶個人信息和發展企業齊頭并進。用戶個人在盡到自己的注意義務外，如果遇到應用軟件非法索取個人的信息應當及時維護自己的權益，可以以投訴舉報、訴訟的方式維護自己的權益。