手机APP过度获取用户信息 个人信息还安全吗该如何保护

近年来,各类手机APP在为人们生活带来便捷的同时,其背后的个人隐私安全问题也日益突出。强制授权、过度索权、超范…

近年来,各类手机APP在为人们生活带来便捷的同时,其背后的个人隐私安全问题也日益突出。强制授权、过度索权、超范围收集个人信息等现象大量存在,用户的个人信息安全面临着严峻挑战。

近日,有网友发现自己手机上安装的很多APP存在频繁自启动,访问、读取手机信息的现象。其中一款移动教学软件“优学院”十几分钟访问手机照片和文件近两万五千次;另一款办公软件“TIM”一小时内尝试自启动近7000次。由此,将个人信息保护话题再次推上热门。

本文将依据法律及行业相关大数据,结合相应法律法规对此类问题进行分析,以期有所裨益。
个人信息安全案件大数据报告

案例年度趋势:从大数据显示来看,近年来涉及个人信息安全的案件数量总体呈上升趋势,这一数据的变化与人们对个人信息保护的关注度提升以及大数据时代日益频繁地采集、交流信息有很大关系。

案由分布:涉及个人信息安全纠纷的大部分为民事案件,也有部分刑事案件和少数行政案件。

民事案由分布:主要集中在合同、无因管理、不当得利纠纷上,其次为人格权纠纷,侵权责任纠纷,劳动争议、人事争议纠纷,物权纠纷等。

刑事案由分布:以侵犯财产犯罪为主,其次为侵犯公民人身权利、民主权利罪,妨害社会管理秩序罪,破坏社会主义市场经济秩序罪。

案件标的:标的在50万元以下的案件最多,其次是100万元至500万元,50万元至100万元。

APP个人信息安全乱象

在这些纠纷背后,手机APP具体存在哪些问题或者现象,来侵害个人的信息安全呢?经过对大数据案例以及行业典型事件的分析,主要有以下三种情况。
01

超范围授权,过度收集用户信息

超范围授权现象非常普遍,网购类APP要使用日历功能,外卖平台APP要读取通话记录,这些授权要求真的合理吗?
2019年,上海市消保委在对39款手机APP索取个人信息权限进行评测时发现,25款APP都存在向用户索取的敏感权限与实际功能不对应的问题。例如,不少网购类APP以方便用户了解促销信息为由,要求获取日历权限。但是,专家指出,相应的功能完全可以通过后台推送来实现,而且调查显示,过半数用户会使用日历功能记录工作和个人日常安排等很有可能涉及个人信息、商业机密的内容。日历权限给用户带来的可能性风险大于给用户带来的便利。
因此,建议广大用户谨慎授权APP获取个人的地理位置、手机通讯录、日历等权限
02

用户协议强硬且模糊,用户只能被动接受

自《中华人民共和国网络安全法》(以下简称“网络安全法”)的实施以来,大部分APP按照相关法律法规制定了隐私政策并公开发布。

但是仍有部分APP未以单独成文的形式发布隐私政策,而是作为用户协议、用户说明等文件中的一部分;甚至无隐私政策。即使是制定了隐私政策的APP,仍存在着隐私政策描述不清晰、不完整的问題,未能逐一说明APP涉及收集个人信息的各项业务功能及其收集的个人信息类型,也未能清晰完整地描述个人信息处理规则等情况。

一方面,用户与手机App服务提供商之间往往处于不对等的地位,只能同意或被迫同意格式条款和信息获取权限;另一方面,用户虽有自我保护的意识,但不知如何有效地维权。

03

APP私自将用户个人信息泄露给第三方

中国消费者协会于2018年开展的“APP个人信息泄露情况”调查显示,在所有被调查者,因经营者未经本人同意收集个人信息而被泄露个人信息的占比约62.2%,因经营者或不法分子故意泄露、出售或者非法向他人提供个人信息而被泄露的,约占60.6%,可见经营者未经授权收集个人信息和故意泄露信息是个人信息泄露的主要途径。

2020年5月,工业和信息化部依法组织第三方检测机构对手机应用软件进行检查,发现多家APP存在将用户个人信息分享给第三方的违规行为。

法律该如何整治乱象

手机APP“越权”获取用户个人信息几乎成为常态,对用户个人信息安全、生命财产安全存在极大隐患。那么从法律层面该如何规制呢?

01

行业整改

根据《网络安全法》第41条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

针对手机APP过度收集用户信息、用户隐私泄露隐患等问题,各部门和行业机构都采取了积极的整改策略。2018年11月,中消协披露100款APP个人信息收集与隐私政策测评情况。2019年3月,上海市消保委约谈39款APP。2020年5月,工信部通报了包括“当当”“知乎日报”在内的一批存在侵害用户行为的APP,并责令限期整改。

02

民事责任

 有关组织可提起公益诉讼

根据《民事诉讼法》第55条规定,对侵害众多消费者合法权益的,损害社会公共利益的行为,法律规定的机关和有关组织可以向人民法院提起诉讼。用户作为APP的消费者,APP网络服务提供者侵犯用户个人信息的,当地的消费者权益保护委员会可以对企业提起民事公益诉讼。例如2017年,江苏省消费者权益保护委员会就北京百度网讯科技有限公司涉嫌违法获取用户个人信息及相关问题提起了消费民事公益诉讼。

要求承担停止侵害等责任

根据《民法总则》第111条明确规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。当个人信息受到侵害时,可以根据《侵权责任法》第15条的规定,要求侵权人承担停止侵害等民事责任。

主张相应的民事赔偿

 

个人信息被侵害后,还可以主张金钱赔偿。根据《侵权责任法》第20条规定,侵害他人人身权益造成财产损失的,要赔偿被侵权人的损失,如果被侵权人的损失难以确定,侵权人获利的,按照侵权人取得的利益赔偿;损失或利益都不确定的,就由双方协商,协商不成起诉的话,就由人民法院确定赔偿数额。

《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第18条第2款也规定了,无法确定被侵权人因人身权益受侵害造成的财产损失或者侵权人因此获得的利益的,人民法院可根据案情在50万元以下的范围内确定赔偿数额。

03

刑事责任

侵犯公民个人信息罪

违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,构成侵犯公民个人信息罪。可以根据《刑法》第253条和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》定罪处罚。

诈骗罪

侵犯他人个人信息,通过电话、网络和短信等方式,编造虚假信息,设置骗局,对受害人实施远程、非接触式诈骗,以非法占有为目的,诱使受害人打款或转账,骗取数额较大公私财物的,可能构成诈骗罪。可以根据《刑法》第266条和《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》定罪处罚。

用户在享受移动互联网快速发展带来的各种便利时,个人隐私信息泄露、盗用、贩卖事件时有发生,骚扰、诈骗电话和邮件仍然肆虐,这成为了广大用户普遍担忧的问题。保护用户个人信息和隐私,尊重用户的价值和意愿,让用户个人信息和隐私数据不再“裸奔”,并受到合理的尊重和保护,离不开社会各界的广泛参与和共同治理。

关于作者: wenlaw

问律师-专业的法律免费快速咨询服务平台

为您推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注

免费律师咨询
免费律师咨询
热线电话