摘 要：对于身处互联网时代的我们，手机总是里面少不了形形色色的一些软件。各类软件的爆发式增长给我们带来了生活学习工作的便捷，但其中也有越来越多被曝出越界索权违规收集用户个人信息甚至泄露出卖隐私信息，这不仅危害公民的民事权利，也让网络诈骗犯罪分子有机可乘。手机软件越界索权的灰色地带亟待更加到位的规范和监管，本文将从原因及法治解决措施着手进行论述。

关键词：应用软件;越界索权;个人信息保护;分类保护;公益诉讼

中图分类号：TP311.56文献标识码：A文章编号：2095-4379-（2019）11-0094-02

作者简介：刘秀漫（1997-），女，汉族，华南农业大学人文与法学学院，法学本科在读，法学专业。

2011年的《个人数据：新型资产的诞生》指出：“个人数据将成为新的石油——21世纪极具价值的资源，它将作为一类新型资产出现在社会生活的各个方面。”，故如今无论是社交平台、互联网电商还是娱乐影视服务提供商，无一不在持续地收集着我们的个人信息。曾经网络流行一句话“手机比你还懂你”，这正是网络服务商根据个人信息整合出推荐方案的结果。手机应用软件通常是通过获取内容权限来抓取用户相关数据和信息。在现实生活中，不少软件存在越界索权[1]的行为以获取更多的信息數据，比如某视频软件索求位置信息，导航软件索求通讯录信息等等。在2018年底，新京报[2]记者调查报告显示许多手机软件索取敏感权限，且其与自身核心业务交集不大。如学霸君、快对作业、作业帮等软件均在安装之时就开启了位置信息、相机、麦克风三项敏感权限。

这段时间来，随着社会对个人信息的关注度升高，手机越界索权的问题逐渐受到关注，那么常说的这个“越界索权”中的“界”是什么呢？笔者认为这个界是判断软件有没有违规的标准，可以由两方面构成。一是“最小化要求[3]”，即直接关联，2018年5月1日推荐性国家标准《信息安全技术个人信息安全规范》中规定的：“收集的个人信息的类型应与实现产品或服务的业务功能有直接关联，直接关联是指没有该信息的参与，产品或服务的功能无法实现”。二是根据《网络安全法》第四十一条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”

根据北京市消协发布手机应用软件个人信息安全调查报告来看，有八成的人认为手机软件存在过度采集个人信息现象，且个人信息被泄露或窃取便是去年舆论关注的手机软件个人信息安全热点问题之一。小小的手机App，却能够“绑架”许多用户的隐私权限。为何？究其根源，笔者认为有以下几个方面的原因。

（一）将各种散碎的个人信息进行整合，能够产生商业价值。

手机软件索取的权限种类众多，最常见的是位置信息和联系人列表。读取位置信息能够搜集用户的活动范围，联系人列表时常用来搭建人际关联，甚至有些软件索要“读取已安装应用列表”借此分析用户的使用习惯。在互联网的时代，个人信息被收集、整合、分析，就能够对应到某些特定的人，形成其整体的特点信息，识别用户需求，提供定向广告，软件发布者借此在营销上占据优势。

（二）当前关于这方面的相关法律法规缺乏配套执行措施。

上述北京消协报告显示，对于造成手机APP个人信息安全问题的原因，有六成左右的人认为是相关监管不到位。目前我国法律规范中《民法总则》第一百一十一条、《刑法》第二百五十三条之一、《中华人民共和国消费者权益保护法》第十四条、《网络安全法》第四十条至第四十五条、《移动互联网应用程序信息服务管理规定》及《移动智能终端应用软件预置和分发管理暂行规定》等均对软件越界索权和由此产生的个人信息安全问题进行了相关规定。但在实践中，却很少应用软件会因违规收集信息而被追责。目前软件违规收集信息方式中有一种比较突出的“流氓行为”——如果用户拒绝提供权限，软件就直接停止服务，用户没有选择的机会。软件索权可以是这样明目张胆的，也可以是比较隐蔽的，授权后的软件操作可能与当初的授权请求说明存在一定差异。例如‘允许使用录音权限意味着应用软件可以随时调用录音。而这种现象屡见不鲜，可见相关规定并没有落实到位。

（三）用户的维权意识不高。

根据前述报告显示，现阶段消费者的个人信息安全保护意识仍然比较薄弱，很多用户并不清楚应用权限对于个人信息保护的重要性，通常默认同意开启弹出的全部权限需求。而且，权益受到侵害后的维权意识不强，大多是自认倒霉而选择息事宁人。

对此手机应用越界索权乱象，笔者认为可以从下几个方面着手解决：

（一）针对应用软件，完善准入机制和权责一致的用户信息责任制度。

工信部门要在源头上对过度索权的行为进行约束和杜绝，完善应用软件类似于企业准入的审核备案制度。先按照使用类别规定各类软件的一般权限，即该类软件实现其功能所需要的权限，需要索取特别权限的软件需要向工信部提交索权清单及其合理性的文件，这样的文件可成为后期判断软件是否违规的直接依据，且也给软件发布者带来警示作用。用户信息责任制度是指在使用过程中，应用软件索要什么权限信息就需要对该信息的安全进行负责。有效实现方式可以为连带责任，手机用户某类个人信息受侵害，索要该信息权限的不同软件需要承担连带责任（同样的信息有时会提供给不同软件使用，比如常见的录音录像权限）。但软件能够证明自己索取使用的个人信息符合相关规定，是合理正当的便可以减轻或免除责任。这两个机制有利于敦促软件谨慎合理索权，积极履行对个人信息的保护责任。

（二）建立个人信息分级分类保护制度，完善网络隐私侵权行为认定。

对外经济贸易大学博士袁泉曾提出，传统个人信息保护更多仅考虑人格权或财产权层面，仅站在强化个人信息控制权与自决权角度予以配置，导致个人信息保护机制利益失衡。故需要区分可使用、可交易的商业数据信息和不可使用、不可交易的（商业秘密等）数据信息，划分个人一般信息和个人隐私或敏感信息的边界[4]，对其分类，保护制度通过对不同类别的信息予以不同程度的保护。软件安装运行中仅可就一般信息进行索权，个人隐私信息非直接与软件服务功能有关软件不得索取或抓取。现有法律框架内并没有对软件隐私信息侵权进行认定，因为隐私包含在众多的个人信息中，有的个人信息索权使用是合法法规的，因此也就无法更好保护公民隐私权。个人信息与个人隐私之间存在联系，想要认定隐私侵权，就需要对个人信息与隐私之间进行区分。王利民教授认为这两者内容虽然有所重合，但个人信息概念要大于隐私。传统隐私权仅涉及个人尊严，是消极防御性的权利，而个人信息权带有财产属性，是积极的处置权——决定信息是否授权使用[5]。总体而言，隐私侧重于保护不愿为他人知道的私人空间，而个人信息强调“识别性”[6]。用户在电商平台的交易记录、聊天记录或者银行账户有时会涉及隐私性信息，软件若是违规抓取、泄露或者出卖，信息主体的隐私权会受到威胁。故在互联网发展日益兴盛的当下，有必要重视建立个人隐私侵权认定的标准，在法律上明确监管机构落实，严惩过度采集用户信息的软件发布者。

（三）运用公益诉讼这一利器。

總体而言，当前我国个人提起的信息抓取类案件占比偏低且较难胜诉，个人信息安全司法救济有着受害规模大且胜诉率低的特点，故诉讼动力不足[7]。软件发布者往往是一个团队甚至是公司，个人无论是取证能力或是诉讼资金实力方面都存在劣势。去年12月，江苏省消保委对XX公司提起公益诉讼，因其旗下“手机X度”“X度浏览器”两款手机APP在消费者安装前，未告知其所获取的各种权限及目的，在未取得用户同意的情况下，获取诸如“监听电话、定位、读取短彩信、读取联系人、修改系统设置”等各种权限。作为搜索及浏览器类应用，上述权限并非提供正常服务所必须，已超出合理的范围。因涉嫌侵害消费者个人信息安全，法院已正式立案，这成为全国首例个人信息安全公益诉讼。可见在个人信息安全问题践行公益诉讼具有可行性，这不仅能够让该公司停止相关违法侵权行为，更是一定程度上能促进整个手机app行业高度重视和自觉保护消费者的信息安全。

（四）增强公民安全意识。

进行个人信息保护方面的相关普法工作，帮助广大公民树立风险防范意识，且完善投诉渠道和服务，增设软件违规索权投诉窗口及热线。

结束语：手机应用软件越界索权的问题逐渐得到社会及学界的关注及讨论，但是应对这种现象的法治层面整治路径没有得到充分关注。笔者立足于当前应用越界索权侵害个人信息安全现状，思考研究现有法律框架内个人信息救济的完善路径而提出、整理应对机制。此外笔者也希望学界更加重视手机应用与个人信息安全的问题，推动颁布原有法规相关执行细则与《个人信息保护法》，尽早实现科技发展、网络安全、个人信息保护之间的动态平衡。

[ 参 考 文 献 ]

[1]“越界索权”的提法，参见蒋齐光：“‘APP越界索权呼唤规范治理”[N].人民日报，2018-3-22.

[2]《新京报》2018年12月11日文章：“隐私调查：学霸君等索取敏感权限，漫画类APP存软色情”.

[3]艺淳.遏制APP越界索权需公益诉讼发力[J].上海企业，2018（04）：57.

[4]袁泉.个人信息分类保护制度的理论基础[J].上海政法学院学报（法治论丛），2018，33（03）：29-37.

[5]王利明.论个人信息权在人格权法中的地位[J].苏州大学学报，2012（6）：72-73.

[6]田海薇.个人信息侵权认定问题研究[D].内蒙古大学，2018.

[7]陈晨，李思頔.个人信息的司法救济——以1383份“App越界索权”裁判文书为分析样本[J].财经法学，2018（06）：102-113.