一、引言
随着信息网络技术的飞速发展,我们的生活越来越离不开手机这一移动互联网终端设备。不论是查询天气还是检索某位一时记不起名字的歌手,都只需打开手机浏览器输入一些关键词就能在数秒钟内获得想要的答案。这就是移动互联网的魅力,它为我们的生活带来了巨大的便利。但问题也随之而来,不知从何时起,笔者在手机浏览器中搜索一些关键词,网购app、打车app等各类app会很贴心地推送与关键词相关的广告。“大数据时代,我们都是透明人。”——每当笔者收到“贴心”的广告推送时,都不禁会发出这样的感慨。
当地时间2020年9月16日,美国加州,苹果公司举行的秋季新品发布会上,如约推出了ios14系统。苹果公司每次发布新系统自然会有很多新功能、新亮点,笔者并非“果粉”,因此对ios14系统的诸多新功能并不感冒。不过ios14中新增的隐私保护功能,却使笔者对苹果公司多了一分好感,颇有些“路转粉”的意味。ios14推出的隐私保护功能究竟是创新举措还是对现行规范的有效践行,这是本文所探讨的主要内容。
二、ios14系统隐私保护新功能——苹果“家规”
ios14系统在用户的隐私保护方面新增了以下功能:
app访问用户照片的权限限制功能,用户可以自由选择是否允许app访问用户的手机相册,或选定部分照片允许app访问。
app读取剪贴板内容时的提醒功能,app在读取用户手机剪贴板中相关内容时在手机上方会以横幅形式向用户作出提示,这样用户就能知道哪些app在暗中获取用户的剪贴板信息。
app store 明示隐私权限功能,当用户在app store下载一款app之前,可以明确了解到该app对用户隐私信息的使用详情。
除上述隐私保护功能外,ios14系统还有若干项隐私保护的亮点,这些功能主要集中在手机浏览器和app Store中。根据苹果官网展示,新版系统中,Safari浏览器会阻止跟踪器跨网站跟踪用户,并生成隐私报告,告知用户哪些网站跟踪和记录过用户的访问信息;应用商店则将在下载一款应用之前,显示该应用对隐私信息的使用详情,包括应用对财务、通讯、位置、浏览历史和购买记录等信息的收集。且应用程序需在征得用户同意后,才能使用 IDFA跟踪用户信息以进行广告定位,如果用户不同意,他们可以选择在应用中关掉这些设置。以上即为本文所讨论的苹果公司“家规”。
所谓苹果公司的“家规”其实是苹果公司针对用户隐私信息保护采取的一种技术手段,通过这种技术手段实现对隐私信息的保护需要分为若干个阶段,因此苹果公司早在2012年时就引入了广告标识符(IDFA)这种动态标识符。并在此次ios14中对IDFA的使用权限做了进一步优化,更有利于用户隐私信息的保护。
三、苹果“家规”的技术分析与法律解读
(一)
苹果“家规”的技术分析
从技术层面分析,每一台手机都有一串固定的标识符,可以理解为手机的网络身份证(UDID),用户的使用痕迹等信息都会被记录在网络身份证上,手机app的经营者只要能够调用用户的UDID就能够收集用户的所有信息(包括隐私信息),这种信息不仅是用户使用该app时产生信息,也包括用户使用其他app时产生的信息。换言之,用户使用设备的时间越久,UDID中积累的信息就会越多,当这些信息被手机app肆意调用、跟踪后,用户就成为了透明人。
苹果公司为了保护用户的隐私,阻止app肆意跟踪、调用用户的UDID,在2012年时推出了IDFA这一动态标识符,目的是为了让app既能够调取用户的IDFA,从而监测app的广告投放效果,又可以使得用户的身份标识符不被app长期跟踪监控,可谓用心良苦。
但隐私保护之路并没有想象的这么平坦,虽然ios系统后续版本在手机设置中有一个还原IDFA的选项,一旦用户打开这个选项,app就无法跟踪用户的使用痕迹等信息,但是很少有用户会专门找到相关的选项并打开这个功能,也就是说对大部分用户而言,app仍然可以肆意调用跟踪其个人信息。
此次ios14的更新,彻底改变了这一情况,因为苹果系统将在每个app获取用户IDFA前以明确提示的方式询问用户是否同意,而不是之前的被动等待用户自行打开IDFA还原功能。简单来说就是苹果手机中多了一道主动弹出的开关,在用户信息被跟踪之前主动让用户选择是否允许app执行跟踪操作。这一技术手段无疑会对用户隐私信息保护起到重要的促进作用。
(二)
苹果“家规”法律层面解读
对苹果“家规”法律解读,有必要先从梳理“个人信息”与“隐私”的法律概念及相互关系开始。隐私主要包括私生活安宁和私生活秘密两个方面。个人信息被普遍接受为能单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。关于个人信息与隐私的关系,有学者认为既有明显的界分也存在部分重合的现象,当个人信息与隐私之间存在交叉关系时,制度的重心在于防范个人秘密不被非法披露。也有的学者认为个人信息可以归入隐私的范畴,不需对个人信息再单独作出规定。如按照美国学者Daniel J. Solove和Paul M. Schwartz的看法,个人信息本质上是一种隐私,法律上将其作为一种隐私加以保护,可以界定其权利范围。学界主流观点认为,个人信息与隐私之间存在交叉关系,而非同一概念,我国目前法律规范中有关隐私与个人信息的条款也是持此态度。个人信息中信息主不希望为公众所知悉的特定信息可以归入隐私范畴,例如个人的身份信息、就医信息以及行踪轨迹信息等就属于个人隐私。
简要归纳“个人信息”与“隐私”之间的关系是为了对app调用IDFA的行为赋予法律定义,显然app调取的IDFA信息中必然包含了用户不希望被公开或共享的隐私信息。由此可见,苹果“家规”并不仅仅是其官方自称的“隐私保护”举措,法律意义上也构成了对用户隐私信息的保护。换言之,app跟踪用户手机IDFA的行为已涉嫌侵犯用户个人信息和隐私。
四、手机app侵犯用户隐私和个人信息的现状
截至2020年3月15日,我国网民规模达到9.04亿,其中手机用户达8.97亿,我国网民使用手机上网的比例达到99.3%,由此可见手机已经成为最为普及的通讯设备和移动互联网终端设备。
2018年11月28日中国消费者协会发布《100款App个人信息收集与隐私政策测评报告》,该报告指出:2018年1月6日,国家网信办网络安全协调局约谈支付宝(中国)网络技术有限公司、芝麻信用管理有限公司的有关负责人时指出,支付宝、芝麻信用收集使用个人信息的方式,不符合《信息安全技术个人信息安全规范》国家标准的精神。该报告还指出:测评的10类100款App中,多达91款App列出的权限存在涉嫌“越界”,即存在过度收集用户个人信息的问题。其中,出行导航、金融理财、拍摄美化、通讯社交和影音播放等5类App中,每一款都涉嫌存在过度收集或使用用户信息的情况;其次是住宿旅游、网上购物、新闻阅读和邮箱云盘等4类App中,32款App涉嫌存在过度收集或使用个人信息情形;而交易支付类App中有7款涉嫌存在过度收集或使用现象。
艾媒咨询(iiMeida)发布的《2020年中国手机app隐私权限测评报告》中也指出:中央网信办统计数据显示,截止2019年9月app违规收集使用个人信息专项治理工作组评估近600款用户量大、与民众生活密切相关的app,并向其中问题严重的200余款app运营者告知评估结果,建议其及时整改,整改问题多达800余个。在针对包括餐饮外卖、地图导航、网上购物等近20大类共计100个app进行用户信息收集情况统计中,很多app都存在强制超范围索要权限的情况,平均每个app申请收集个人信息相关权限数有10项,而用户不同意开启则无法安装或运行的权限数平均为3项。
通过以上几组数据可以看到,手机app侵犯用户个人信息及隐私已成为普遍现象,甚至是行业惯例。
五、我国现行法律规范对个人信息及隐私保护的相关规定
《宪法》第四十条规定,中华人民共和国公民的通信自由和通信秘密受法律的保护。以上是我国根本大法对于个人信息和隐私保护的具体规定,当然这一规定仅限于通信领域。而手机app擅自收集用户通讯录、短信内容、通话记录等信息的行为,毫无疑问已经侵犯《宪法》所保障的通信自由和通信秘密。
《刑法》第二百五十三条之一侵犯公民个人信息罪规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”侵犯公民个人信息罪出台于2015年11月1日,《刑法修正案(九)》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,扩大了犯罪主体和侵犯个人信息行为的范围,从刑事法律层面加强了对个人信息的保护。
《网络安全法》第四十一条至四十五条是有关个人信息保护在互联网领域内的规定,第六十四条则是关于违反个人信息保护条款的罚则。特别值得一提的是,《网络安全法》第二十二条第三款规定:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意”,而苹果ios14中的“家规”恰好符合《网络安全法》该款的规定。
《民法总则》第一百一十一条专门规定了自然人的个人信息受法律保护,这一条原则性的规定,是我国个人信息保护法律制度构建的重要基础。首先,它从民事基本法的高度赋予自然人个人信息权益,也为个人信息保护在民法典人格权编里进一步细化,以及与侵权责任编、未来的个人信息保护法相衔接奠定了基础。其次,它将个人信息保护与隐私权保护区别开来,使得个人信息保护获得独立的地位及救济基础。
《民法典》第四编人格权第六章隐私权和个人信息保护专章规定了隐私权保护与个人信息保护的内容。人格权编在民法总则的基础之上,对隐私权及个人信息的内涵、范围、保护方式等作出了细致的规定。一方面,为了加强对隐私权的保护,第一千零三十二条规定自然人的隐私权是一种排他性的权利,即“任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权”;还明确规定“隐私是自然人不愿为他人知晓的私密空间、私密活动和私密信息等”。另外,第一千零三十三条通过设置不完全列举加兜底条款的方式,为目前尚未考虑到的以及未来可能会出现的新型的侵害个人隐私的行为之规制作了制度空间的预留,保持了权益保护的开放性,如此基本上构建了我国隐私权保护的法律规则。
通过上述法律规定可以看出我国在隐私保护和个人信息保护方面的立法能够与信息网络技术的发展相适应,也没有与欧美等注重隐私保护的西方发达国家脱节。不仅如此,2020年5月14日全国人大法工委表示,个人信息保护法正在研究起草中,目前草案稿已经形成。这也说明我国个人信息保护方面的法律制度正在不断的完善。
除上述法律规范外,隐私和个人信息保护的规定还散落于行政法规、部门规则等规范性文件中,本文不逐一展开。此外,国家市场监督管理总局、国家标准化管理委员会于2020年3月6日发布于2020年10月1日起实施的《信息安全技术个人信息安全规范》(GB/T35273—2020)也是我国个人信息保护的重要规范,规范中的许多具体规定都借鉴了欧盟的《通用数据保护条例》,该规范作为国家标准,虽然不是法律、行政法规,但对我国个人信息保护的实践具有重要的指导作用。规范第5.4条收集个人信息时的授权同意条款,明确了:“收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并获得个人信息主体的授权同意”,该条规则与苹果ios14中的“家规”也是相互呼应的。当然该条规则并非2020版规范加入的新内容,早在2017版规范中就有与之类似的规定。
六、结语
苹果ios14系统新增的用户隐私和个人信息保护“家规”,无论从技术层面抑或是法律层面都符合苹果一贯宣称的用户隐私至上的态度。通过几组市场数据的对比可以发现,手机app越权、索权侵犯用户隐私和个人信息已成为常态也可以说是行业惯例,用户若拒绝app越权、索权则极有可能无法继续使用该app,从而给自己的生产、生活造成诸多不便,无奈之下只得妥协。我国法律现行法律制度中对隐私和个人信息保护方面的规定散落于法律、行政法规及国标规范中,虽无单独的个人信息保护法,却已经形成较为完善的制度体系。但徒法不足以自行,笔者认为,目前亟需解决的并不是如何将苹果“家规”上升为“国法”而是应当建立起一套具有可操作性的技术规范,从技术层面和制度层面双管齐下,重拳出击治理手机app侵犯用户隐私权和个人信息的乱象,还用户一个私密、安全的网络空间。
参考文献
1、财新网:《苹果iOS14操作系统调整隐私政策 冲击全球互联网广告》,记者钱童,2020年9月16日。
2、张新宝教授:《个人信息收集:告知同意原则适用的限制》,载《比较法研究》2019年第6期。
3、《第45次中国互联网络发展状况报告》
4、张新宝教授:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015年第3期。
5、王利明教授:《民法典人格权编草案的亮点及完善》,载《中国法律评论》2019年第1期。
6、全国人大官网:《全国人大常委会法工委:个人信息保护法正在研究起草中》。
作者简介
柳 金 鳌
上海市协力(苏州)
律师事务所
律师
email:liujinao@
co-effort.com
李 坤 堂
上海市协力(苏州)
律师事务所
实习律师
email:likuntang@
co-effort.com
