应用软件收集、转卖信息与用户隐私权之冲突

【摘要】目前移动电子设备上的应用软件（app）由于收集用户隐私问题引起了很多社会关注，那么这些app收集转卖信息与公众的隐私权保护之间究竟存在何种关系，是否侵权，在什么特定情况下侵权正是本文所讨论的问题。笔者希望通过本文让二者之间的关系更加明晰，并对理论和实践中产生的问题有所帮助。

【关键词】应用软件 收集 转卖 隐私

通过360诉小米的案件中可知小米在用户下载360相关软件的时候，会提示用户该软件可能非法收集用户数据、隐私信息等，由此，我们可联系到实践中类似问题，假设若类似360的app收集了用户的相关数据信息，并且加以分析利用后将一部分数据信息出卖给第三方，然后由第三方进行使用如对用户进行个性化推荐，此时app方面对用户数据的收集、出卖是否侵犯了用户的隐私呢？

一、收集行为

首先，我们要明确app对用户信息的收集是否合法？从两方面来讨论，若app未经用户授权即收集用户手机中的任何信息，那么显然这种未经许可的做法侵犯了用户的隐私，依据为《电信和互联网用户个人信息保护规定》（以下简称《规定》）第九条“未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。”2011年时，苹果以及谷歌都因为未经用户同意擅自搜集用户地理位置信息遭到起诉与调查并受到了相关处罚。需要讨论的是，大多数情况下，在用户安装该应用软件前，就会收到提示，例如“该软件将要搜集您的通讯录目录、通话内容、位置信息”等，而一旦用户选择了“许可”并继续安装使用了该软件，就会面临手机中的信息数据被该app获取并被转卖到第三方的风险。此时，经授权的情况下app收集用户信息的做法是否侵犯了用户的隐私权呢？（需要说明的是个人信息与隐私的关系，隐私是一个相对的概念，个人信息的范围大于隐私，隐私既包括信息隐私还包括生活安宁不被打扰，当收集到的个人信息涉及隐私的范围，则会产生隐私权侵权的问题。下文所讨论到的隐私侵权问题所涉及信息均限定为隐私范围内的信息）我进行了以下论证：

首先，《规定》第四条指出个人信息，是能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。可见是否属于个人信息关键在于信息能否与特定个人相联结。来看“朱烨vs百度”案，一审中法院认为网络活动踪迹反映了个人的兴趣、需求等私人信息，属于个人隐私的范围；但是，经上诉，南京中院认为“网络活动轨迹及上网偏好一旦与网络用户身份相分离，便无法确定具体的信息归属主体，不再属于个人信息范畴”，我认为二审观点较为准确。《规定》第九条表明“互联网信息服务提供者收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项。”我认为如果app方面能够将这些规定落到实处，详细告诉用户所收集信息内容的使用方式，则很容易判定是否能联结到用户个人，若不属于该范畴的则可自由收集，属于该范畴的信息则需要按照《规定》的方式详述明示并经用户同意。其次，我用小米手机下载360手机助手，发现在“360手机权限详情”中有一块“隐私相关”，较详尽的描述了它会收集的用户隐私信息情况比如“确定您手机的大体位置”、“读取您手机上存储的所有日历活动”等，但冗长到恐怕也没有几个人会在下载的时候将它读完，并且，《规定》第九条“互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的”，那么360收集的这些信息都是必要的吗？我们难以得知，且解释权几乎都掌握在app手上，它总有理由将其解释为必要。综上，一般情况下，当用户同意安装该类app，若app的提示完整，则app对用户信息的单纯收集行为很难认定有违法性，且单纯收集行为（如果没有泄露）一般也不会对用户造成损害后果，所以我认为一般来说是不能认定隐私侵权的。

这其中还涉及到格式条款的问题，一般来说，提示符合格式合同的特征。根据《合同法》第39条、第40条的规定，我认为app的提示亦可适用以上两条法条，而如何才算法条中的“合理的方式”？回归到朱烨案，一审法院认为百度的提醒字体小且位置偏，不足以起到说明提醒作用；而二审法院认为百度已尽说明义务，保障了知情权，我更支持二审说法，毕竟百度主页页面设计即是简洁风，将提示放在较小位置亦与整体风格相符。对应到app上，就需要考虑到手机或者pad自身的大小，界面布置，以及用户的浏览习惯来认定是否尽到合理提醒义务。至于责任义务的规定，我认为可参考欧盟，“欧盟对网上交易所涉及的格式条款都有严格要求，直接明确规定双方的责任与义务，不能绕过。”若提示中出现无效要件，则即使经过用户许可，也不能借此收集用户的信息，否则构成侵权。

二、转卖行为

如前所述，大多数情况下app单纯收集用户信息的行为并不能认定为侵权，但很多情况下，app会将收集到的信息转卖给第三方商户，第三方商户再将信息进行利用，这样的情况下app方将数据或者信息的转卖行为是否侵犯了公民的隐私权呢？仍从两种情况分析：

一是未做匿名化处理的信息，该情况较简单，若事前未明确告知用户并经用户同意，则直接依《规定》第九条“互联网信息服务提供者不得....将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息”以及第十条“互联网信息服务提供者....不得出售或者非法向他人提供。”可得该种并非提供服务之必要且超出提供服务之外目的的出卖行为，是违法且违反与用户事前约定的。而若事前告知用户收集到的信息可能转卖呢？我认为这种“告知”在实践中几乎没有，因为很多商家对此并没有可预期性，转卖范围、对象通常是在收集后的特定条件下才能确定的，即使在这之后要商家再去征求用户的许可，成本大也不实际。

其次是现在一个被广泛采用的做法，即将收集的个人信息“去姓名化” （也可叫匿名化）再进行交易，被匿名的信息还算个人信息吗？根据《规定》，若不能联结到特定个人，则不在保护范围之内，可见在信息被匿名后很难对应到个人的情况下，收集信息的app公司再将信息进行出卖则没有相关法律进行规制，那么此时公司对该信息几乎有了完全的控制权，是否可以随意交易了呢？通常认为，这种交易是需要限度的，因为虽然单个信息可能难以联结到个人，但是若这样的间接信息較多，可能综合起来就有可识别性了，比如2014年，美国联邦法官Paul Grewal认为谷歌在不同互联网产品中混合使用用户数据，以及在未经用户许可的情况下将数据披露给广告主，需要面临隐私诉讼。可见不同数据的混合使用极有可能造成特定用户被锁定。为了用户隐私安全考虑，公司应该将这种交易控制在一定限度内。endprint

以贵阳的大数据交易中心为例（个人信息虽然具有私人性，但其常常以集合的形式表现出来，形成了所谓的“大数据”。为适应这一提法，后文将采用“个人数据”而不是“个人信息”的说辞），“大数据交易的是数据分析结果而不是数据本身，在进入平台交易前，数据都要经过脱敏，抹去和隐私相关的信息，保障普通人的隐私。如果不想造成侵犯隐私，在交易之前，数据供需双方就必须要明确什么样的数据可以进行交易，什么样的不可以。”这些说法解释了关于数据交易的一些基本原則，即收集的用户个人数据可在正规平台上交易，但是是要经过分析过后的“二次数据”，还要采取各种技术手段和协商使数据内容有所限制以保障用户隐私。类似的还有中关村数海大数据交易平台，其负责人提到“如果涉及到敏感数据的调用，将进行实时的数据清洗，最终提供给需求方的数据也将在完成安全测试之后，再行提供。即使调用成功，也会在使用次数用尽或使用期限到期之后，对权限进行收回。”在他的说法中，除了也提到对一些隐私敏感数据的清洗，还有一个权限回收问题，这触及到了一个很热的名词，即“被遗忘权”，“被遗忘权”即信息主体对信息控制者收集、存储和利用的个人信息，在出现法定或约定的理由时，请求信息控制者删除个人信息并停止传播的权利。相关案例也已经显示这个意思，11年一西班牙男子起诉谷歌上能搜到自己1998年的一项物业信息，要求谷歌删除，法院认为，搜索引擎控制了公民个人的隐私数据，一定情况下负有删除相关公民个人隐私数据的责任。如上所述，如果用户的个人数据被无限次使用，那么就陷入了一种无法控制的状态，也会漏洞百出，而什么样的数据、如何使用、使用几次之后可要求销毁则需要实践中各方进行协商。另外，要进入交易场所进行交易还需要资质，这最好要政府对此进行许可授权，以保障入场公司的信誉，减少用户对隐私侵犯的担忧。此外，除了制度规定本身，交易的事后监察也非常重要，如《中关村数海大数据交易平台规则（征求意见版）》第44条规定，“如收到关于数据侵犯所有权、隐私、国家安全的诉讼，本交易平台查证属实的，将停止相关数据交易服务，并冻结数据交易款项，涉及不能正常履行的买卖合约，由数据卖方承担买方损失，退还所得交易款”。这也进一步印证了数据控制者对数据的交易受到很多限制。而且我认为，当用户发现自己的个人数据被泄露出去，应该赋予用户自由退出权，毕竟，该数据从源头上讲是属于用户个人的。

三、侵权认定

如果app方面确实违反了以上提到的相关法律或其他规定，具有违法性，要向法院诉请侵权，最好还需要证明自己的损失，例如，2010年，美国用户Jonathan Lalo 起诉苹果公司因为他们的产品追踪了用户在应用上的活动并且发送给Doubleclick 等互联网营销公司。但法院驳回了这一诉讼，原因是原告无法证明这些行为及推送的产品给他带来了何种损失。故只有证明了既有违法性，又造成了实际损失，二者相联系，才能最终认定隐私侵权。

参考文献：

[1]翟宏堃. 大数据时代征信业的变化与被遗忘权[J].金融法苑，2014.

[2]王利明.个人信息权与隐私权有何区别[N].北京日报，2014.

[3]邱玥.大数据时代的数据买卖[N].光明日报，2015.

[4]韩琮林.秦翯.大数据交易将有据可依[N].北京商报，2015.

[5]王玉林，高富平.大数据的财产属性研究[J].图书与情报，2016.

作者简介：卞焕（1994-），女，湖北人，上海大学法学院2015级民商法专业硕士研究生，研究方向：民商法。endprint