□ 文 劉 念 秦月巖

0 引言

我國移動互聯(lián)網(wǎng)應(yīng)用程序（簡稱App）的數(shù)量及用戶數(shù)不斷增加。截至2022年底，我國移動電話用戶總數(shù)16.83億戶，在架高質(zhì)量App超過258萬款，成為我國數(shù)字經(jīng)濟發(fā)展的主要促進力量。然而，移動互聯(lián)網(wǎng)應(yīng)用程序在方便人們生活的同時，也帶來了個人信息侵權(quán)的風(fēng)險，主要包括過度收集、違法使用、違法處理個人信息等情形。據(jù)此，本文結(jié)合司法實踐案例，以實證分析的方式對侵權(quán)類型進行劃分，發(fā)現(xiàn)問題，分析原因，尋求兼顧互聯(lián)網(wǎng)發(fā)展與保障個人信息安全的防范對策。

1 移動互聯(lián)網(wǎng)應(yīng)用程序個人信息侵權(quán)的類型

1.1 過度收集個人信息

結(jié)合《中華人民共和國個人信息保護法》第六條的規(guī)定，過度收集個人信息是指移動互聯(lián)網(wǎng)應(yīng)用程序未采取“對個人權(quán)益在影響最小的方式”進行收集或者收集的范圍超出了“實現(xiàn)處理目的的最小范圍”。

個人信息處理目的不明確是造成過度收集個人信息的主要原因。比如，有的App在安裝、使用的過程中存在“未顯示隱私政策條款”以及“申請打開可收集用戶行蹤軌跡等個人敏感信息時，未同步告知用戶其處理目的”的情況。未告知用戶個人信息處理目的屬于典型的不明確情形。除此之外，“通過捆綁產(chǎn)品或服務(wù)各項業(yè)務(wù)功能的方式，要求個人一次性接受并授權(quán)同意其未申請或者使用的業(yè)務(wù)功能收集個人信息的請求”屬于籠統(tǒng)的、寬泛的告知個人處理目的，也不符合目的明確的要求。

1.2 違法使用個人信息

《中華人民共和國個人信息保護法》第十三條規(guī)定了處理個人信息的7 項合法性基礎(chǔ)，其中“為訂立、履行個人作為一方當(dāng)事人的合同所必需”是指個人信息處理者作為合同當(dāng)事人，為訂立、履行合同義務(wù)的必需而合法的擁有處理個人信息的權(quán)利。同時，這里的“必需”強調(diào)以實現(xiàn)合同目的為限。

個人信息處理者作為合同義務(wù)履行方可合法使用個人信息，同時也要注意依法依規(guī)的履行合同，否則便有侵權(quán)的可能。比如，某電商網(wǎng)購App與“某錢包”達成合作，當(dāng)用戶進入App 輸入個人信息時，首先由App背后的電商公司收集與儲存，然后在用戶不知情的情況下打包發(fā)送給“某錢包”背后的某付費通公司，最后再由某付費通公司將個人信息提供給用戶選定綁卡的銀行，以實現(xiàn)銀行卡快捷支付的功能。該案中，電商公司與付費通公司存在意思聯(lián)絡(luò)，電商公司將個人信息打包給付費通公司實為履行合同義務(wù)，但并未依法如實告知用戶信息處理的目的、方式、范圍，其實現(xiàn)合同目的的方式是不合法的，也是在違法的使用個人信息。

1.3 違法處理未成年人個人信息

未滿十四周歲的未成年人個人信息作為敏感個人信息，其處理在遵循目的特定與充分必要性規(guī)則、特別同意規(guī)則等一般規(guī)定的同時，需要依照《中華人民共和國個人信息保護法》第三十一條的規(guī)定取得監(jiān)護人同意以及制定專門的個人信息處理規(guī)則。

大數(shù)據(jù)時代，手機、平板電腦等互聯(lián)網(wǎng)產(chǎn)品在未成年人手中愈發(fā)普及。不過，未成年人的身心尚未發(fā)育完全，尚不具備完善的自我保護意識，不重視個人信息保護使得侵權(quán)行為時有發(fā)生。在全國首例未成年人網(wǎng)絡(luò)保護民事公益訴訟案中，某短視頻App對于未成年人個人信息的侵權(quán)行為包括未取得未成年人監(jiān)護人有效明示同意的情況下，收集未成年人位置、聯(lián)系方式、面部、聲音識別特征等敏感個人信息；并且利用后臺算法將未成年人賬號推送給具有經(jīng)常瀏覽未成年人視頻喜好的用戶，點擊“關(guān)注”后便可獲得該未成年人位置以及面部識別特征等敏感個人信息。該案中，某短視頻App違法處理未成年人個人信息，也未履行對未成年用戶的隱私安全保護義務(wù)。

2 移動互聯(lián)網(wǎng)應(yīng)用程序個人信息侵權(quán)的問題展現(xiàn)

2.1 知情同意：個人信息保護政策的現(xiàn)實困境

移動互聯(lián)網(wǎng)應(yīng)用程序收集個人信息要遵循“范圍最小化”的原則，明確的處理目的可作為實現(xiàn)該原則的邏輯前提。移動互聯(lián)網(wǎng)應(yīng)用程序明確處理目的大多是通過安裝時的個人信息保護政策予以告知。不過，在實踐中，個人信息保護政策發(fā)揮作用存在多方面的困境，包括以下三方面。

第一，個人信息保護政策隱蔽難尋，這主要是部分移動互聯(lián)網(wǎng)應(yīng)用程序引入第三方服務(wù)以規(guī)避風(fēng)險造成的。有學(xué)者通過整理75 個中外App隱私政策文本發(fā)現(xiàn)，用戶隱私政策通常以二次鏈接或者多次跳轉(zhuǎn)鏈接的形式呈現(xiàn)。用戶疲于找尋的同時，App也不會對第三方個人信息保護政策的合法性負(fù)責(zé)。

第二，個人信息保護政策的篇幅過長，語言晦澀難懂。日常生活中，個人信息保護政策的使用場景多樣，用戶不可能在每次授權(quán)使用的過程中都充分通讀；況且一些專業(yè)術(shù)語，譬如授權(quán)委托、Cookie 等，并非通俗易懂的語言，大大降低用戶主動閱讀理解意愿。如此用戶不加思索的勾選的“隱私換取便利”現(xiàn)象也就成為常態(tài)。

第三，不同意個人信息保護政策與拒絕提供服務(wù)掛鉤。部分App 在注冊時會提醒用戶勾選個人信息保護政策，未勾選則不能注冊使用。如此用戶對其個人信息的意思自治程度便會降低，知情同意淪為信息處理者的免責(zé)機制。

2.2 信息自決：未重視個人信息主體的主觀意愿

“信息自決”是指個人信息的自我決定，即個人對于其個人信息公開前的內(nèi)容、方式、范圍等以及個人信息公開后進一步處理的自我決定。有學(xué)者認(rèn)為，個人信息自決權(quán)是《中華人民共和國個人信息保護法》第四十四條規(guī)定個人信息主體擁有決定權(quán)的法理基礎(chǔ)。重視信息主體的主觀意愿是信息自決權(quán)的內(nèi)在意涵，也是合法處理個人信息的應(yīng)有之義。

大數(shù)據(jù)時代，移動互聯(lián)網(wǎng)應(yīng)用程序作為信息處理者基于追逐利益等原因往往在與第三方訂立、履行合同的過程中忽略信息主體的主觀意愿。具體表現(xiàn)為：未告知或者未明確告知信息主體處理目的、方式、范圍；處理個人信息并非訂立、履行合同所必需；未遵守與第三方約定的相關(guān)規(guī)則等。如此信息處理者在侵犯個人信息決定權(quán)的同時，也不具備處理個人信息的合法性基礎(chǔ)。

2.3 個性化推薦：基于算法對未成年人產(chǎn)生歧視與傷害

個性化推薦以算法為基礎(chǔ)，通過大量收集用戶點擊量，瀏覽記錄等信息，對用戶進行畫像，從而精準(zhǔn)完成個性信息推薦。未成年人在移動互聯(lián)網(wǎng)應(yīng)用程序上的瀏覽歷史、點贊、評論都會被信息處理者收集與儲存，繼而采用算法進行數(shù)據(jù)分析，產(chǎn)生具有個人信息性質(zhì)的算法數(shù)據(jù)?；谒惴ǖ摹昂谙洹崩碚?，監(jiān)護人無法事前預(yù)知算法的生成內(nèi)容，更無法做到事前同意。甚至監(jiān)護人事前同意進行未成年人信息的處理，基于算法的不確定性，對未成年人產(chǎn)生的歧視與傷害也不可能完全避免。

人們往往會高估算法對人類情感的量化?；谒惴▽τ脩舻拇植诋嬒褚约皺C械化運行，未成年人往往被算法推送游戲、暴力、八卦等內(nèi)容，這實際是對未成年人形象的刻板化。同時，未成年人長期依賴算法推薦便會抑制其高階需求，陷入點贊—找尋類似推薦—再點贊的循環(huán)，逐漸形成“信息繭房”。未成年人需要樹立正確的價值觀，局限化的算法推薦壓縮未成年人的眼界范圍，同時使得對未成年人的算法歧視進一步加重。

3 移動互聯(lián)網(wǎng)應(yīng)用程序個人信息侵權(quán)的防范對策

3.1 三方共防：信息主體、信息處理者與公權(quán)力主體

個人信息保護政策是移動互聯(lián)網(wǎng)應(yīng)用程序在知情同意的基礎(chǔ)上合法處理用戶個人信息的必要途徑。為防范其淪為信息處理者的免責(zé)工具，需要信息主體、信息處理者以及公權(quán)力主體三方共同努力。

首先，為避免未告知用戶權(quán)利以及告知不充分的情形，個人信息保護政策只會越寫越長，這就為信息主體有重點的閱讀提出要求。從形式上看，可以重點閱讀加粗加重的部分，這往往是以顯著形式標(biāo)注的個人敏感信息部分。從內(nèi)容上看，可以重點閱讀個人信息收集以及儲存情況、是否向第三方提供、是否可關(guān)閉推送或用戶畫像功能以及投訴舉報渠道等內(nèi)容。

其次，信息處理者告知用戶個人信息處理的內(nèi)容不僅要真實、準(zhǔn)確、完整，也要以通俗易懂的方式告知。信息處理者可以在不曲解原意的基礎(chǔ)上，通過法律術(shù)語的白話解釋、圖表化或漫畫視頻等方式解決語言政策晦澀難懂的問題。

最后，健全制度、預(yù)防和懲治侵害個人信息的違法行為是《中華人民共和國個人信息保護法》第十一條賦予公權(quán)力機關(guān)的職責(zé)。完善法律法規(guī)。揆諸《中華人民共和國個人信息保護法》第十七條的內(nèi)容，尚需通過解釋“法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項”擴充用戶較為關(guān)注的內(nèi)容，譬如侵害個人信息會給用戶造成的可能危害等內(nèi)容。加強行政執(zhí)法。個人信息保護政策的隱蔽難尋以及不同意即拒絕服務(wù)等現(xiàn)象均是信息處理者相對信息主體權(quán)利優(yōu)勢的體現(xiàn)。行政主體可通過集中整治、加大行政處罰力度及失信約束等方式進行監(jiān)管，扼制權(quán)利優(yōu)勢肆意擴大導(dǎo)致的侵權(quán)現(xiàn)象。加強司法保護。信息主體并不具有在算法程序中尋找信息處理者加害行為過錯的能力，據(jù)此，《中華人民共和國個人信息保護法》第六十九條將未加害個人信息行為的舉證責(zé)任交給信息處理者。除此之外，有必要在損害事實與因果關(guān)系等侵權(quán)認(rèn)定要件中放寬對個人信息主體的要求，構(gòu)建以個人信息主體權(quán)利為中心的司法保護體系。

3.2 處理原則：合法、正當(dāng)、必要與誠信

以“信息自決”理論為基礎(chǔ)，尊重個人主觀意愿的同時，也需要在處理個人信息的過程中遵循合法、正當(dāng)、必要與誠信原則。

第一，合法原則。移動互聯(lián)網(wǎng)應(yīng)用程序合法處理個人信息除遵守《中華人民共和國個人信息保護法》外，也不能違反《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國消費者權(quán)益保護法》《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的規(guī)定》等法律規(guī)范中關(guān)于個人信息保護的規(guī)定。

第二，正當(dāng)原則。正當(dāng)原則包含“目的正當(dāng)”以及“手段正當(dāng)”兩項內(nèi)容?！吨腥A人民共和國個人信息保護法》第六條規(guī)定的“明確、合理”便是對于“目的正當(dāng)”的適用?！笆侄握?dāng)”要求即使在未有明確法律法規(guī)的狀態(tài)下，移動互聯(lián)網(wǎng)應(yīng)用程序也不得以不合理手段處理個人信息。

第三，必要原則。個人信息處理的目的、方式與范圍都要受到必要原則的約束。具體而言，移動互聯(lián)網(wǎng)應(yīng)用程序處理個人信息不管是基于何種合法性基礎(chǔ)，都需要遵循收集個人信息的“最小范圍”；不得超出法定或約定的處理目的；合理確定儲存期限等規(guī)定。

第四，誠信原則。移動互聯(lián)網(wǎng)應(yīng)用程序作為信息處理者應(yīng)善意的，遵守承諾的，不加誤導(dǎo)、欺詐的處理個人信息。同時，誠信原則要求信息處理者承擔(dān)一定的“附隨義務(wù)”。譬如《中華人民共和國個人信息保護法》第十八條規(guī)定緊急情況下的告知義務(wù)。

3.3 算法優(yōu)化：適度公開、個人素養(yǎng)與監(jiān)督審查

部分視頻類App的局限性推薦內(nèi)容使得未成年人遭受算法的歧視與傷害，根源化的解決需要構(gòu)建以人為本的算法規(guī)范。

第一，適度公開算法內(nèi)容。算法的不確定性使得監(jiān)護人保護未成年人個人信息的事先同意機制到達極限。從移動互聯(lián)網(wǎng)企業(yè)的社會責(zé)任角度出發(fā)，在不涉及商業(yè)秘密的前提下適度公開算法是優(yōu)化用戶與算法互動關(guān)系的重要途徑。比如可以公開算法使用哪些個人信息，如何使用以及主要依據(jù)哪些信息進行個性化推送。用戶據(jù)此控制與調(diào)整個人信息的輸入，也可適時拒絕信息處理者的自動化決策行為。

第二，提高用戶算法素養(yǎng)。程序化的算法運行給人們帶來便利的同時，也帶來“被囚禁”的風(fēng)險，提高“反囚禁”能力，是增加個人算法素養(yǎng)的基本面向。面對算法帶來的風(fēng)險，準(zhǔn)確識別是首要的，然后才是正確防范。比如遇到低俗、色情、暴力等內(nèi)容及時選擇不感興趣或者不予推薦等選項；同質(zhì)化推薦繁多時主動開辟新的偏好；關(guān)閉移動互聯(lián)網(wǎng)終端的位置、通訊錄等權(quán)限進行風(fēng)險防范。

第三，依法對算法展開監(jiān)督與審查?！痘ヂ?lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》第十八條第2 款規(guī)定禁止利用算法向未成年人推送違反社會公德行為、誘導(dǎo)未成年人不良嗜好等可能影響未成年人身心健康的信息。這可作為行業(yè)自律或者公權(quán)力監(jiān)管的依據(jù)，并與算法的技術(shù)改進形成合力，共同為算法優(yōu)化提供動力。

4 結(jié)束語

習(xí)近平總書記強調(diào)：個人信息安全的保障，“要堅持網(wǎng)絡(luò)安全教育、技術(shù)、產(chǎn)業(yè)融合發(fā)展；要堅持促進發(fā)展與依法管理相統(tǒng)一；要堅持安全可控與開放創(chuàng)新并重”。移動互聯(lián)網(wǎng)應(yīng)用程序帶來的數(shù)據(jù)資源共享將會成為未來人類生活不可缺少的部分。不過，數(shù)據(jù)資源共享與個人信息保障之間的平衡可能因商業(yè)原因、數(shù)據(jù)漏洞等原因而被打破，這需要以法治進行維持與約束。做到推動互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的同時，保障個人信息權(quán)益不受非法侵害。■