过度采集信息问题突出 手机App普遍存在越界索权(2)

　　对于如何保护个人信息，杨立新认为，现有法律法规已经足以保护个人信息。问题在于，侵害个人信息构成犯罪的能够追究其刑事责任，但对于侵权行为仍然制裁不力，应该采取更具体的立法措施，对侵害个人信息的行为认定为侵权行为，责令承担损害赔偿责任。

　　过度采集信息问题突出

　　中国人民大学法学院教授杨立新告诉《法制日报》记者，个人信息主要有三种形式：第一种是个人隐私信息，这是隐私权保护的范围；第二种是个人身份信息，如身份证号码、电话号码、个人账户信息等，用个人信息权予以保护；第三种是衍生数据，是对网络上留存的海量的个人数据进行加工处理形成的新数据，已经与个人的身份信息脱敏。

　　经常逛淘宝的人都知道，只要在淘宝网搜索某件商品，很快就会出现大量相关推送。

　　“综合以上现象可以看出，手机App收集的信息若与其提供的服务无关则构成越界索权。”郑宁说。

　　中国传媒大学文法学部法律系副主任郑宁告诉《法制日报》记者，一般来说，App的安装和使用只能对一些必要的权限征求使用人的同意。在使用安卓系统的手机中，有以下几个权限最常被调取，其一是“读取已安装应用列表”，借此可以了解和分析用户的使用习惯；其二是“读取本机识别码”，主要用来确定用户的身份；其三是“读取位置信息”，通过获取位置，搜集用户的活动范围，例如导航类软件就必须调取这一权限。

　　一些App强制要求授权

　　构建分级分类保护体系

　　加大力度制裁侵权行为

　　杨立新说，网络交易平台组织进行网络交易，有权获取参加交易的人的相关信息。不过，网络交易平台获取消费者个人信息有两个要求，一是要有权获取，二是获取的必须是相关信息。无权获取而获取他人个人信息，是侵权行为；有权获取他人个人信息，但是超出合法的范围而收集与交易不相关的个人信息，同样也是侵权行为，都要承担侵权责任。

　　这是因为，碎片化的信息一旦被整合，便具有商业价值——对于商家而言，数据越多，越有精准营销的优势，以便占领市场制高点。

　　根据调查结果，在占比26.2%从不阅读应用权限和用户协议或隐私政策的受访者中，选择从不阅读的原因主要是因为不授权就没法用，只能被迫接受，占61.2%。

　　App运营商一方面掌握了大量的个人信息，另一方面也应有相应的能力保护好消费者的个人信息免受泄露，这既是App运营商的社会责任，也是其应尽的法律义务。

　　比如，被侵害人的个人信息只卖了1元，可按照消费者权益保护法规定的最低赔偿额赔偿500元，或者按照食品安全法的规定赔偿1000元。这样能够调动个人信息权人保护自己权利的积极性，对侵害个人信息权的行为人予以有力制裁，保护好个人的信息权。

　　因此，需要厘清一个概念，即个人信息是否等同于隐私？

　　在郑宁看来，安宁是排除侵扰之后，精神上享有的安定、宁静状态。安宁权益属于现代人格权所应保护的对象，更属于隐私权的范畴。隐私权的内容主要包括维护个人的私生活安宁、个人私密不被公开、个人私生活自主决定等。隐私权特别注重“隐”。

　　2018年3月，北京市消协发布的手机应用软件(App)个人信息安全调查报告显示，近九成受访者认为手机App存在过度采集个人信息的问题，近八成受访者认为手机App上的个人信息不安全。

　　2018年8月29日，中消协发布《App个人信息泄露情况调查报告》称，手机App过度采集个人信息呈现普遍趋势。

　　法院认为，经权利人许可在网上公开披露的个人资料已表明权利人放弃其隐私，视为其明知个人信息将被不特定的主体收集、挖掘、分析，相关信息应作为公共资源看待，不具有隐私权属性。在案件中，庞理鹏被泄露的信息包括姓名、手机号、行程安排等，其行程安排无疑属于私人活动信息，应该属于隐私信息，可以通过隐私权纠纷主张救济。

　　中消协发布的《App个人信息泄露情况调查报告》亦显示，“不授权就没法用”是受访者“从不阅读”的最主要原因。

　　根据调查结果，手机App需要获取的权限种类繁多，最突出的是获取位置信息和访问联系人权限。而且，一些App还出现了在自身功能使用非必要的情况下获取用户隐私权限的问题，增加了个人信息泄露的风险。

　　App普遍存在越界索权

　　合法、正当、必要，是App运营商采集用户信息的法定原则。然而，App越界索权的现象已是不争的事实。

　　任何事物都具有两面性。移动互联网在给人们带来极大便利的同时，亦出现大量关于个人信息保护的问题。个人信息的不当扩散与不当利用，已逐渐发展成为危害公民民事权利的社会问题。

　　近日，在使用个人所得税App申报个税时，个别地方出现申报人“被就职”现象，即在“任职受雇信息”中，申报人供职于完全没有听过的企业或单位。不少人认为，自己的身份信息可能被盗用，从而导致“任职受雇信息”出现异常。

　　民法总则第一百一十一条规定：“任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”这是有关组织和个人获取他人个人信息的原则。

　　郑宁建议，区分可使用、可交易的商业数据信息和不可使用、不可交易的(商业秘密等)数据信息，划分个人一般信息和个人隐私或敏感信息的边界。根据相关数据信息的属性(包括商业属性和人身属性等)、所属领域和类别、可对数据信息权利人造成的影响等多方面对其分类，再根据具体的类别给予相应级别的保护。

　　杨立新说，个人隐私信息和个人身份信息都要依照法律的规定进行支配，只有衍生数据才可以在大数据时代中进行商业处理。