近日,有网友发现自己手机上安装的很多APP存在频繁自启动,访问、读取手机信息的现象。其中一款移动教学软件“优学院”十几分钟访问手机照片和文件近两万五千次;另一款办公软件“TIM”一小时内尝试自启动近7000次。由此,将个人信息保护话题再次推上热门。
案由分布:涉及个人信息安全纠纷的大部分为民事案件,也有部分刑事案件和少数行政案件。
民事案由分布:主要集中在合同、无因管理、不当得利纠纷上,其次为人格权纠纷,侵权责任纠纷,劳动争议、人事争议纠纷,物权纠纷等。
刑事案由分布:以侵犯财产犯罪为主,其次为侵犯公民人身权利、民主权利罪,妨害社会管理秩序罪,破坏社会主义市场经济秩序罪。
案件标的:标的在50万元以下的案件最多,其次是100万元至500万元,50万元至100万元。
自《中华人民共和国网络安全法》(以下简称“网络安全法”)的实施以来,大部分APP按照相关法律法规制定了隐私政策并公开发布。
但是仍有部分APP未以单独成文的形式发布隐私政策,而是作为用户协议、用户说明等文件中的一部分;甚至无隐私政策。即使是制定了隐私政策的APP,仍存在着隐私政策描述不清晰、不完整的问題,未能逐一说明APP涉及收集个人信息的各项业务功能及其收集的个人信息类型,也未能清晰完整地描述个人信息处理规则等情况。
一方面,用户与手机App服务提供商之间往往处于不对等的地位,只能同意或被迫同意格式条款和信息获取权限;另一方面,用户虽有自我保护的意识,但不知如何有效地维权。
中国消费者协会于2018年开展的“APP个人信息泄露情况”调查显示,在所有被调查者,因经营者未经本人同意收集个人信息而被泄露个人信息的占比约62.2%,因经营者或不法分子故意泄露、出售或者非法向他人提供个人信息而被泄露的,约占60.6%,可见经营者未经授权收集个人信息和故意泄露信息是个人信息泄露的主要途径。
2020年5月,工业和信息化部依法组织第三方检测机构对手机应用软件进行检查,发现多家APP存在将用户个人信息分享给第三方的违规行为。
手机APP“越权”获取用户个人信息几乎成为常态,对用户个人信息安全、生命财产安全存在极大隐患。那么从法律层面该如何规制呢?
根据《网络安全法》第41条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
针对手机APP过度收集用户信息、用户隐私泄露隐患等问题,各部门和行业机构都采取了积极的整改策略。2018年11月,中消协披露100款APP个人信息收集与隐私政策测评情况。2019年3月,上海市消保委约谈39款APP。2020年5月,工信部通报了包括“当当”“知乎日报”在内的一批存在侵害用户行为的APP,并责令限期整改。
根据《民事诉讼法》第55条规定,对侵害众多消费者合法权益的,损害社会公共利益的行为,法律规定的机关和有关组织可以向人民法院提起诉讼。用户作为APP的消费者,APP网络服务提供者侵犯用户个人信息的,当地的消费者权益保护委员会可以对企业提起民事公益诉讼。例如2017年,江苏省消费者权益保护委员会就北京百度网讯科技有限公司涉嫌违法获取用户个人信息及相关问题提起了消费民事公益诉讼。
根据《民法总则》第111条明确规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。当个人信息受到侵害时,可以根据《侵权责任法》第15条的规定,要求侵权人承担停止侵害等民事责任。
个人信息被侵害后,还可以主张金钱赔偿。根据《侵权责任法》第20条规定,侵害他人人身权益造成财产损失的,要赔偿被侵权人的损失,如果被侵权人的损失难以确定,侵权人获利的,按照侵权人取得的利益赔偿;损失或利益都不确定的,就由双方协商,协商不成起诉的话,就由人民法院确定赔偿数额。
《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第18条第2款也规定了,无法确定被侵权人因人身权益受侵害造成的财产损失或者侵权人因此获得的利益的,人民法院可根据案情在50万元以下的范围内确定赔偿数额。
违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,构成侵犯公民个人信息罪。可以根据《刑法》第253条和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》定罪处罚。
侵犯他人个人信息,通过电话、网络和短信等方式,编造虚假信息,设置骗局,对受害人实施远程、非接触式诈骗,以非法占有为目的,诱使受害人打款或转账,骗取数额较大公私财物的,可能构成诈骗罪。可以根据《刑法》第266条和《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》定罪处罚。