3.15晚會爆出的App誘導安裝、盜取信息，是精準、個性化服務還是營銷套路？

一、誘導安裝的App的對手機進行的操作概述

2020年第四批公佈的《關於侵害用戶權益行爲的App通報》明確將欺騙誤導用戶下載App列入侵害用戶權益的行爲，會說話的湯姆貓2也是一個作爲第一個因欺騙誤導用戶下載被公示的軟件。違法行爲層出不窮，2021年3.15晚會爆出部分軟件更是將魔爪伸向了老年人消費羣體，利用老年人對智能手機鑑別力弱的情況，通過“垃圾清理”、“XX賺錢”等威脅或者是引誘等方式強迫用戶下載軟件，或者是頁面無法關閉等情況，使得老年人在不瞭解情況的前提下下載了軟件。

然而，軟件下載後卻並沒有實現其宣傳的功能，悄悄地完成了下列操作：1、“潛入”用戶系統；2、隱瞞用戶開展活動（正如3.15晚會爆出的情況，部分手機清理軟件以清理垃圾爲名，行竊取信息之實）；3、在未經用戶明確許可的情況下，更改、損害、禁用或替換安裝在用戶設備上的硬件或軟件；4、被綁定爲其它軟件的隱藏組件（多個垃圾清理軟件互相關聯下載，無法排除綁定隱藏組件的可能）；5、用戶未操作便顯示下載對話框等。

事實上，早在2019年5月24日，國務院就發佈了《百款常用App申請收集使用個人信息權限列表》，對下載量大的100款App申請權限以及強制開啓的權限進行了分析統計，其維度涉及日曆、通話記錄、相機、通訊錄、位置、麥克風、電話、傳感器、短信、存儲等權限。自2019年12月19日開始，工業和信息化部針對侵害用戶權益的App進行公示通報，截至目前共發佈11批798個App的違法行爲。具體如下：

此外，工業和信息化部信息通信管理局還分別於2020年8月19日、2020年12月16日、2021年1月19日、2021年2月3日、2021年3月3日發佈了《關於下架侵害用戶權益App名單的通報》，其中2021年3月3日下架的10款軟件中明確披露下架原因爲：違規調用麥克風、通訊錄、相冊等權限。

那麼，我們真的感受到App的精準、個性化服務了嗎？針對2021年3.15晚會爆出的App存在的問題，究竟違反了哪些規範，法律對App提供者的行爲邊界究竟如何？下面，我們將逐一進行分析。

二、App收集信息行爲中應遵循保護隱私的義務

1、根據合法、正當、必要的原則，僅收集實現產品功能所必要的信息

（1）合法要求

我們在瀏覽網頁時經常會出現根據我們的習慣爲我們推送的內容，地圖設置常用導航信息等服務確實給我們帶來了一定的便利，因此，法律規定爲了實現App個性化服務等功能，其可以對必要的信息進行收集。但是，App收集信息行爲必須符合法律規定，依法收集，相關法律規定爲：

《網絡安全法》第四十一條 網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和範圍，並經被收集者同意。 

網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，並應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。

第四十四條 任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

第四十八條第一款 任何個人和組織發送的電子信息、提供的應用軟件，不得設置惡意程序，不得含有法律、行政法規禁止發佈或者傳輸的信息。

國家市場監督管理總局發佈的，於2021年5月1日即將實施的《網絡交易監督管理辦法》第十三條 網絡交易經營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和範圍，並經消費者同意。網絡交易經營者收集、使用消費者個人信息，應當公開其收集、使用規則，不得違反法律、法規的規定和雙方的約定收集、使用信息。

網絡交易經營者不得採用一次概括授權、默認授權、與其他授權捆綁、停止安裝使用等方式，強迫或者變相強迫消費者同意收集、使用與經營活動無直接關係的信息。收集、使用個人生物特徵、醫療健康、金融賬戶、個人行蹤等敏感信息的，應當逐項取得消費者同意。

從以上規定可知，合法性要求經被收集者同意，且不得一次概括授權、默認授權。

（2）目的正當

根據《App違法違規收集使用個人信息行爲認定方法》第二條規定，“1.未逐一列出App收集使用個人信息的目的、方式、範圍等；2.收集使用個人信息的目的、方式、範圍發生變化時，未以適當方式通知用戶……”可被認定爲“未明示收集使用個人信息的目的、方式和範圍”。因此，App收集使用個人信息的目的必須全部列明，目的發生變化也需要及時告知用戶，一旦超過列明的目的使用所收集的信息的，即構成違規收集使用個人信息。關於目的正當，我們可以從《杭州互聯網法院成立兩週年十大影響力案件》第六件這一典型案例中學習認定方法。

原告陳魚在被告阿裏媽媽公司運營的網站申請註冊了淘寶客賬戶並推廣業務，即網絡用戶通過該導航平臺網站的不同頁面可進入相應的“淘寶”、“天貓”等購物平臺進行瀏覽和購買，原告在此過程中可對於該些訂單的金額提取一定比例的傭金。2017年6月，被告以原告運營的導航平臺網站內流量異常、流量的關聯具有作弊屬性爲由，凍結了原告的淘寶客賬戶。原告註冊賬戶時點擊確認了《阿裏媽媽服務協議》，其中5.1條規定了個人信息保護條款：“……您同意阿裏媽媽按照在阿裏媽媽網站公佈的隱私權政策收集、存儲、使用、披露和保護您的個人信息，阿裏媽媽希望通過隱私權政策向您清楚地介紹阿裏媽媽對您個人信息的處理方式，……”

該案審判過程中法院進行瞭如下分析：1、原告在使用阿裏媽媽提供的服務時，同意被告收集其cookie記錄。2、關於被告收集信息的目的：阿裏媽媽公司作爲服務提供商，負有管理職責，需要根據cookie記錄對原告等淘寶客進行流量監管、結算費用。3、原告可以根據自己的偏好管理或刪除cookie，也可以清除計算機上保存的所有cookie，所以被告阿裏媽媽公司在本案中使用cookie有合理性，原告訴稱被告蒐集用戶cookie記錄侵犯隱私權，不能成立。

經分析可知，原告作爲信息的推廣者，cookie記錄作爲原被告雙方結算費用的依據，被告收集信息用於結算費用，即實現雙方結算功能必須的過程，可以認定爲目的正當。

（3）實現產品功能所必要

根據《App違法違規收集使用個人信息行爲認定方法》第四條之規定，“1.收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關；2.因用戶不同意收集非必要個人信息或打開非必要權限，拒絕提供業務功能；3.App新增業務功能申請收集的個人信息超出用戶原有同意範圍，若用戶不同意，則拒絕提供原有業務功能，新增業務功能取代原有業務功能的除外；4.收集個人信息的頻度等超出業務功能實際需要；5.僅以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等爲由，強制要求用戶同意收集個人信息；6.要求用戶一次性同意打開多個可收集個人信息的權限，用戶不同意則無法使用”的行爲，可被認定爲“違反必要原則，收集與其提供的服務無關的個人信息”。

較爲規範的典型例子之一爲百度網盤的隱私政策，開頭便是對百度網盤收集信息原則進行了披露，同時對其功能根據核心業務、附加業務和第三方提供的服務三部分進行了介紹，以便於確認其收集信息是否滿足“必要性”這一原則。

綜合上述分析，3.15晚會爆出的手機清理軟件，顯然並不是基於其正常功能需要向消費者提供精準、個性化服務，並沒有告知消費者其將收集用戶手機裏的個人信息，因爲告知義務作爲合法正當性的前提條件，因此從規則公開方面、取得用戶同意方面來看，清理軟件並沒有履行告知義務因此不具有正當性。從行爲必要性來看，清理軟件竊取用戶信息並不滿足其業務功能的需要，且根據曝光的情況，部分軟件並不具有垃圾清理的功能，僅僅爲了竊取用戶信息，因此清理軟件獲取信息並不具有必要性。另外，從行爲方式而言，App運營者通過將“目標市場”定位爲老年人消費羣體，且推廣方式爲威脅、引誘、App下載頁面過大很難關閉迴歸正常頁面等行爲進行惡意推廣，違反了《網絡安全法》第四十八條第一款關於應用軟件不得設置惡意程序的法定義務，侵害了老年消費羣體的合法權益。

2、App運營者收集個人信息時應當履行提示義務

App安裝時的點擊合同屬於格式合同當屬無異。根據《民法典》第四百九十六條之規定，提供格式條款的一方應當遵循公平原則確定當事人之間的權利和義務，並採取合理的方式提示對方注意免除或者減輕其責任等與對方有重大利害關係的條款，按照對方的要求，對該條款予以說明。因此App安裝前必須要針對其收集個人信息的功能提示用戶。

根據《App違法違規收集使用個人信息行爲認定方法》第二條關於可被認定爲“未明示收集使用個人信息的目的、方式和範圍”的規定中，也涉及提示義務：

（1）隱私政策更新中提及了提示方式：適當方式包括更新隱私政策等收集使用規則並提醒用戶閱讀等；

（2）提示信息應當及時、明確、易於理解：收集個人信息未同步告知用戶其目的，或者目的不明確、難以理解；規則的內容晦澀難懂、冗長繁瑣，用戶難以理解的……

因此App運營者應當依法履行其提示義務，充分保障用戶的合法權利。例如，騰訊隱私政策即較好了完成了提示義務，在用戶自由分享信息的同時，也爲我們提供了朋友圈信息三天可見、一個月可見、半年可見等精準、個性化服務。3.15晚會爆出的App並沒有履行以及時、準確、易於理解的方式進行提示的義務，違反了法律的相關規定。

3、對收集到的信息妥善保存、依法處理的義務

《個人信息保護法》草案徵求意見稿第五章專門規定了個人信息處理者的義務：包括防止未經授權的訪問以及個人信息泄漏或者被竊取、篡改、刪除的義務；定期對個人信息活動、採取的保護措施等是否符合法律、行政法規的規定進行審計的義務；發現個人信息泄漏的，應當立即採取補救措施的義務等。

因目前《個人信息保護法》尚未正式出臺，待其發佈正式實施以後，上述義務即成爲App運營者的法定義務，即，依法對個人信息採取保護措施、發現信息泄漏依法及時採取補救措施等義務。如App運營者未依法履行其義務，還應當承擔相應的法律責任。

三、相關企業審覈義務及可能承擔的責任探析

1、應用商店等移動應用分發平臺的責任

工業和信息化部2016年12月16日發佈、2017年7月1日開始實施的《移動智能終端應用軟件預置和分發管理暫行規定》第八條規定，“從事應用商店等移動應用分發平臺服務的互聯網信息服務提供者，以及在移動智能終端中預置了移動應用分發平臺的生產企業對所提供的應用軟件負有以下管理責任：……（二）應建立應用軟件管理機制，對應用軟件進行審覈及安全、服務等相關檢測，對審覈和檢測中發現的惡意應用軟件等違法違規軟件，不得向用戶提供；對所提供應用軟件進行跟蹤監測，及時處理違法違規軟件，建立完善用戶舉報投訴處置措施等。（三）應要求應用軟件提供者在提交應用軟件時聲明其獲取的用戶終端權限及用途，並將上述信息向軟件下載用戶明示……”

根據上述規定可知，從事應用商店等移動應用分發平臺服務的互聯網信息服務提供者對所提供的應用軟件負有管理責任，工業和信息化部發佈的《關於侵害用戶權益行爲的App通報》中明確列出了OPPO軟件商店、vivo應用商店、應用寶、PP助手、小米應用商店、豌豆莢、百度手機助手、華爲應用市場、360手機助手等應用來源，在披露侵害用戶權益行爲的App的同時，事實上也是對應用商店等移動應用分發平臺未儘管理職責的披露。

2、手機生產者的責任

根據《移動智能終端應用軟件預置和分發管理暫行規定》第八條規定，在移動智能終端中預置了移動應用分發平臺的生產企業對所提供的應用軟件負有管理責任，即，手機生產者也應當對軟件承擔管理責任。國務院就發佈的《百款常用App申請收集使用個人信息權限列表》中指出：權限是操作系統內置的訪問控制機制。安卓（Android）操作系統通過權限來控制App對系統資源和個人信息的訪問使用。App只有在系統層面獲取了某項權限，才能執行與該權限有關的操作。例如，App獲取READ_CONTACTS（讀通訊錄）權限，就能讀取手機的通訊錄信息；獲取ACCESS_FINE_LOCATION（訪問精準位置）權限，就能得到手機的精確位置信息。

綜上論述我們可以得出結論：應用商店以及手機生產者對惡意軟件既負有管理的責任，同時其操作系統也在技術上可以完成上述義務。同時，從實務角度而言，3.15晚會之後，多家手機官宣在其應用商店中刪除被點名的App，其也是履行對惡意應用軟件予以及時下架的法律義務。但對於應用商店以及手機生產者的責任，僅僅下架了事？從規範管理的角度來說，應用商店以及手機生產者作爲有能力、有技術的平臺，最容易控制風險，應當加大對其未履行管理責任的處罰力度。同時我們建議手機生產者除可以設定兒童模式意外，推出老年模式的系統，以便於真正做到精準、個性化服務，更好的保護用戶的利益。

四、手機用戶規避風險的措施

1、民事訴訟

我國立法機關高度重視對自然人個人信息的保護，不斷完善保護個人信息的法律規定。《民法典》第一編總則部分第五章關於民事權利的規定首先對自然人的個人信息進行了原則性規定：“第一百一十一條 自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的，應當依法取得並確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”其次，《民法典》第四編人格權編單獨設立“隱私權和個人信息保護”(第1032條-第1039條)作爲第六章，對隱私權作爲一種重要的人格權作爲獨立章節進行單獨規定。

另一方面，全國人大常委會正在積極組織對信息保護進行專門立法，2020年10月21日公佈了《個人信息保護法》草案徵求意見稿，確立了以“告知-同意”爲核心的個人信息處理框架，其中第二條規定，自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的信息權益。

2020年以及之前，我國司法實踐中多以侵害隱私權、侵害消費者知情權、網絡服務合同糾紛爲由保護公民的個人信息，2020年12月29日最高人民法院印發（2021.1.1開始實施）《關於修改〈民事案件案由規定〉的決定》的通知，變更“6.隱私權糾紛”爲“8.隱私權、個人信息保護糾紛”，將個人信息保護糾紛作爲一個獨立的案由，爲保護個人信息提供了更加便利的條件。因此，如發現App存在違法行爲，可以通過提起個人信息保護糾紛之訴的方式維護自己的合法權利。

2、行政舉報

《中央網信辦、工業和信息化部、公安部、市場監管總局關於開展App違法違規收集使用個人信息專項治理的公告》第三條規定，有關主管部門加強對違法違規收集使用個人信息行爲的監管和處罰，對強制、過度收集個人信息，未經消費者同意、違反法律法規規定和雙方約定收集、使用個人信息，發生或可能發生信息泄露、丟失而未採取補救措施，非法出售、非法向他人提供個人信息等行爲，按照《網絡安全法》《消費者權益保護法》等依法予以處罰，包括責令App運營者限期整改；逾期不改的，公開曝光；情節嚴重的，依法暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照。

自2019年1月23日中央網信辦、工業和信息化部、公安部、市場監管總局開展App違法違規收集使用個人信息專項治理以來，除目前工業和信息化部已經公開曝光的存在違法行爲的798個App，目前已經針對2021年的《關於侵害用戶權益行爲的App通報》進行了規範化管理，列出了2021年共發佈12批的計劃，可見，我國已經下定決心治理App違法行爲，形成了按計劃、分階段、穩步推進App侵害用戶權益專項治理工作，已經形成了長效機制。

因此，我們在使用App的過程中如果發現其存在違法行爲的，可以通過向行政機關舉報的方式維護自己的合法權益，同時也協助行政機關治理App違法行爲。

工業和信息化部（https://www.miit.gov.cn/）官網提供瞭如下舉報途徑：

3、刑事報案

《刑法》第二百五十三條之一第一款規定，違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，並處罰金。該條第三款規定，竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰。《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若幹問題的解釋》第一條 刑法第二百五十三條之一規定的“公民個人信息”，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯繫方式、住址、賬號密碼、財產狀況、行蹤軌跡等。《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若幹問題的解釋》第五條關於“情節嚴重”的標準爲：非法獲取、出售或者提供行蹤軌跡信息、通信內容、徵信信息、財產信息五十條以上；住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上；第三項、第四項規定以外其他公民個人信息五千條以上……

因此，我國法律已經針對侵害公民個人信息的行爲已經有了較完備的刑事規範，如我們發現個人信息被違法獲取或者違法使用，可以通過向公安機關報案的方式維護自己的合法權利。