App，悠着点——浅析App乱象下个人信息保护

曾几时，突然发现我们被App包围了。

智能手机的普及催生了手机软件的发展，我们也越来越离不开App。

为我们带来便捷的同时，不良App也蠢蠢欲动，就在深更半夜大伙呼呼入睡之际，有人通过手机App启动记录功能，发现自己手机上有些App在后台“频繁自启动”——十几分钟访问手机照片和文件近25000次访问、读取手机信息，“一小时内尝试自启动近7000次”，并不停读取通讯录。手机App后台“频繁自启动”，神不知鬼不觉间，个人信息就被一览无余，貌似“裸奔”，让不少网友喊“怕”——个人信息被泄露，银行账户还能独善其身？

公安部的“净网2019”行动打击的“暗网”就多与不良App有关……

2020年7月24日，工业和信息化部公布2020年第三批侵害用户权益的58款App的名单，其中不乏B612咔叽、迅雷直播等知名App……

您家的App规矩吗？

一、热点新闻呈现

App为Application的缩写，从广义上讲它属于应用程序的一种，从狭义上理解主要指安装在智能手机上的软件，完善原始系统的不足与个性化，是为用户提供更丰富的使用体验的主要手段。

其最大特点是用户黏性大，因为能下载这一App的用户必然是对其有一定的兴趣，而由于手机具有便携性的特点，所以用户可在许多环境下使用。

如今一打开应用市场，就会发现绝大多数的App都是免费下载，有些App甚至会标注“下载有礼”来诱惑用户下载。人们总会好奇——难道这些App应用服务商费劲心力只是为了“用爱发电”吗？

但这天下怎么会有免费的午餐？马克思曾说过：“资本的天性就是最大限度的追逐利润。”App应用服务商制作一款App在前期需要大量的资金投入，起步几十万元，上不封顶，这还只是研发，并未包括营销等费用。而为了赚回这些前期投入，免费App往往是通过内置广告、内置垃圾软件全家桶，或将原本一体化的软件功能分级、阉割版为免费，如需要使用好的功能就必须付费购买VIP等手法来营利。其中，前两种方法是最普及的。因为通过出卖流量获得收入是大部分手机App的收入来源。互联网时代，流量为王，一般来说，流量越大，广告客户越多。百度、新浪、知乎等主流App无一不利用广告来变现。

58款被通报的APP（前10款）

（一）所涉问题统计

2020.7.24被通报的App所涉问题频次统计

★ 私自或超范围收集用户个人信息

“私自收集用户个人信息”很好理解，即App未经用户允许便对用户的个人信息进行收集活动。

而“超范围收集”是指什么呢？经过整理，可以认为“超范围收集”可分为强制收集非必要信息和过度收集无关信息。在生活中，强制收集非必要信息表现为用户通常所反映的“不给就不能用”；而过度收集无关信息表现为即使该App不收集这部分个人信息，也不影响其正常功能，例如一个视频播放App申请通讯录权限、读取用户短信通话记录，或是如下图：一个音乐App竟然要求用户提供位置授权、通讯录授权，这明显与App所需功能不匹配。难不成听歌还要看看我是在哪儿听，这是什么道理？

某音乐类App安装后默认用户同意打开所有权限[1]

★ 私自共享给第三方

“私自共享给第三方”也可以分为两种行为：

1. 一个集团体系下的不同App可能会共享用户信息。例如，同一个集团下有多个行业的App，用户只下载了餐饮外卖App，但这一餐饮外卖App却将用户个人信息共享给了所属集团内部的其他App，比如说健身App、交通App、购物App。

2. 直接提供给外部第三方，例如客户使用了A软件公司的App，用来日常购物，但A软件公司在获取用户的个人信息后转卖给B，B的范畴可不仅仅局限在软件公司，它可能是实体产业，甚至可能是诈骗团队。

这两种情况显然都和App功能本身无关，第二种行为尤为恶劣。

★ 强制用户使用定向推送功能

即App未向用户告知，或未以显著方式标示，将收集到的用户搜索、浏览记录、使用习惯等个人信息，用于定向推送或精准营销，且未提供关闭该功能的选项。

假设用户使用这样一款浏览器App，平日里经常搜索自己感兴趣的内容，例如茶艺，那么这个App就会通过“用户喜欢茶艺”这一信息，向该用户精准投放一些关于茶叶、茶具之类的广告。且这一功能还无法关闭，真是让人有一种被时刻监控、没有隐私的不适感。

★ 过度索取权限

“过度索取权限”是什么意思呢？比如，你下载一款餐饮类App，它却要求获取你的地理位置、手机型号、手机通讯录等权限，不打开权限就无法下载。通过对用户的“威逼利诱”，迫使用户开放了很多不必要的权限。

★ 账号注销难

某金融类App注册个人信息后无法注销[2]

注册网络账号往往很简单，但注销却不那么便利。有些App账号注销需要通过人工客服，有些需要提供身份证等个人证件信息，甚至个别App还需要注册时间满6个月才能注销。当然，还有一些App没有注销功能。“请神容易送神难”，为何连下载使用一个App都要如此麻烦？

（二）历史通报记录

2018年，公安部3月7日在京召开新闻发布会，通报全国公安机关开展“净网2018”专项行动相关情况。公安部网络安全保卫局党委书记王瑛玮通报，“净网2018”专项行动期间，针对App违法违规乱象，全国各级公安机关依法清理下架具有恶意程序、恶意行为的App 3.5万余款。[3]

2019年1月，公安部部署组织全国公安机关开展“净网2019”专项行动，依法严厉打击侵犯公民个人信息、黑客攻击破坏等网络违法犯罪活动，截止10月31日约谈整改相关网站及APP 3.7万余家次，行政查处9.1万家次[4]；2019年3月，App专项治理工作组发布《App违法违规收集使用个人信息专项治理报告（2019）》，评估发现违法违规收集使用个人信息问题共计6976个，向256款App的运营者通报问题，督促其完成1267个重点问题的整改工作，建议有关监管部门下架未落实整改要求App共11款。[5]

可见，App乱象丛生已非新鲜事，而我国对于App的管理一直在路上。

二、法律责任分析

（一）民事责任

★ 违约责任

某App用户协议

几乎所有App都会与用户签订服务协议，虽然协议的内容或许不同，但出于同样的厂家赚取更多的利益的目的，在一些不良应用服务商的运营下，往往会产生合同有利于App应用服务商、应用服务商违反合同约定的两种不良后果。

1.我们可以确定的是这种服务协议的本质是一种格式合同[6]。而在这种合同中，许多应用服务商在列举条款时就会详细写明用户的义务，同时对那些于自己不利的条款闭口不谈。

然而，格式条款在审判实践中会有被认定为无效[7]的可能。因此App应用服务商为了让自己在审判中立于不败之地，便会选择“两步走”的升级方案。首先，应用服务商按照法律的要求在协议中标明App将会提取的用户个人信息、需要开通的权限等，以此尽到“采取合理的方式提请对方注意”的义务，好让这类“免除或者限制其责任的条款”避免归于无效。第二步，想方设法避免用户阅读服务协议。

许多用户原本就会忽略了App的服务协议也是一种合同，自己使用App就相当于同意受合同约束。有许多人为了App的使用便利，轻视了App可能会给自己带来的风险。例如百度创始人李彦宏说的“中国人愿意用隐私交换便捷和效率”，虽然笔者并不同意这种观点，但也不可否认有一大批人如此，毕竟不是所有人都有耐心去阅读动辄数十页且密密麻麻的服务协议。

关于用户使用协议的漫画

一方面是用户自己不想看协议，一方面App应用服务商也在不断诱导。例如，许多App存在默认勾选同意、诱导用户略过隐私政策的情况——App在注册/登录界面下方“我已阅读并同意服务许可协议及隐私政策”前的勾选框中提前替用户打钩，或以缩小字号、减淡颜色等方式诱导用户略过隐私政策链接。从而使用户忽视了合同内容的偏向性，一旦在使用中发生纠纷，非常不利于用户后期维权。

2018年2020年中国手机网民手机App隐私条款阅读情况调查[8]

由上图可以看出，虽然我国手机网民的隐私保护意识有所提升，但2020年“浏览但没有仔细阅读”和“从来不阅读”的用户比例共占到63.6%，更何况在“认真阅读”的用户中，还有一部分用户会在不同意该协议的情况下迫于无奈而授权。在App使用中，应用服务商总是居于主导地位。但“从来如此，便对么？”希望应用服务商能好好思考这个问题，毕竟一个良性的生态才是市场真正需要的。

3.即便签订了公平的服务协议，应用服务商也有违约的可能。例如，隐私政策所声明收集的个人信息、系统权限以及提供的业务功能等，与实际情况不一致，存在隐瞒、冗余、偏差、错误或内容不属实等问题。包括：实际收集个人信息超出隐私政策所述范围，即未完整告知所收集个人信息类型以及用于实现的功能或目的；隐私政策所述与实际情况存在明显偏差、错误等情况。

4.用户在应用服务商违约的情况下，应仔细阅览自己与应用服务商签订的服务协议，并将自己遇到的麻烦详细告知律师，从而议定是否能够以违约为由追究App应用服务商的民事责任。违约责任的承担方式主要为实际履行、赔偿损失、支付违约金（如有约定），在一定程度上能够弥补用户所受的损失。

（二）侵权责任

从侵权角度来看，则离不开近日大火的《中华人民共和国民法典》（下称：《民法典》）人格权编。《民法典》将个人信息放置于人格权编，即是将个人信息也视作一种人格权益（未明确提出“个人信息权”概念，暂将其理解为一种“权益”）。那么我们可以理解为侵犯个人信息即是一种侵犯人格权的行为，侵权者应当承担侵权责任。

《民法典》第一千零三十四条[9]明确了自然人的个人信息受法律保护，同时还提出：个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

《民法典》第一千零三十五条[10]明确了个人信息处理的概念和条件。

因此，在违反了上述法律规定，且情况并不符合《民法典》第一千零三十六条[11]的免责情形时，App应用服务商应当承担相应的侵权责任——根据所涉用户个人信息是否涉及个人隐私来判定侵权责任的具体内涵。侵犯隐私权承担侵权责任的方式主要有：停止侵害、赔偿损失、赔礼道歉、消除影响。

然而，违反合同约定往往是侵犯用户个人信息权益的一种手段，此时就会产生违约责任和侵权责任的竞合。用户可以根据自身已有的证据材料，咨询律师，选择适用其中一种请求权起诉App应用服务商要求赔偿。

（三）行政责任

今年一季度，公安部加大公民个人信息保护力度，依法查处违法违规收集公民个人信息App服务单位386个，涉及信息咨询、辅助学习、文学小说、新闻资讯、娱乐播报等多个类型。其中，97个App被予以行政处罚，192个App被依法责令改正违法行为，51个App被下架、停运[12]。

其中，有名的如“猎豹清理大师”App（版本号：6.13.5.1066）因隐私协议中对于索取用户通讯录、通话记录等权限的行为没有进行详细说明，目前北京市公安局朝阳分局已依法责令该公司改正违法行为；“印象笔记”App（版本号：10.5.5）该款App隐私协议中未以显著位置、显著字体申明收集用户信息数据项，未明示各数据项收集用途。目前北京市公安局朝阳分局已依法[13]责令该公司改正违法行为，并予以警告处罚。

可见，在App应用服务商侵犯公民个人信息，但尚未造成严重后果，未构成犯罪的情况下将受到行政处罚。行政处罚的主要方式又以责令改正和警告为主。

（四）刑事责任

《中华人民共和国刑法》（下称：《刑法》）第二百五十三条之一[14]规定了侵犯公民个人信息罪的刑事责任。此外，针对一些网络服务提供者不履行网络安全管理义务，造成严重后果的情况，《刑法》第二百八十六条之一[15]也明确了网络服务提供者将承担的刑事责任。需要注意的是，《刑法》中侵犯公民个人信息罪和拒不履行信息网络安全管理义务罪的犯罪主体并未局限在自然人，而是明确了单位也可作为犯罪主体。

App应用服务商作为本罪犯罪嫌疑人的例子较少，但App应用服务商与网站经营者具有一定的类似之处，可参照湖南九象信息集团有限公司、王治东等侵犯公民个人信息罪一审刑事判决书【（2018）苏0803刑初643号】。在该案中，被告单位九象公司法定代表人王治东开发了具有付费查询“同信缘”等数家小额贷款平台公民个人借贷信息以及公民身份证照片功能的“黑爬虫”网站，并对外贩卖公民个人信息而营利。

这是非常典型的通过侵犯公民个人信息而获利的犯罪行为。最终，淮安市淮安区人民法院判决被告单位湖南九象信息集团有限公司犯侵犯公民个人信息罪，判处罚金100万元。被告人王治东犯侵犯公民个人信息罪，判处有期徒刑四年六个月，并处罚金80万元。被告人周焱犯侵犯公民个人信息罪，判处有期徒刑一年六个月，缓刑二年，并处罚金人民币6万元。对被告单位湖南九象信息集团有限公司违法所得50万元予以追缴，上缴国库；扣押在案的作案工具台式电脑主机1台予以没收，由公安机关依法处置。可见刑事处罚还是很到位的，不论是公司还是自然人都受到了处罚，甚至连作案工具都没放过。

与之同理，应用服务商如果开发App侵犯公民个人信息，不过是换汤不换药，也可以该罪论处。大概是出于对刑法的畏惧，目前我国还没有哪个App敢冒如此之大不韪，做被刑事处罚的第一人。