近年来，随着大数据时代快速发展，App用户数量迅速增长。越来越多的用户将App作为生活工作中重要的工具。然而，在使用App将其作为工具的同时也存在许多隐患。例如，央视“3·15”晚会曾揭露了一款名为“社保掌上通”的热门个人社保查询App泄露用户个人信息的问题。主持人在现场演示查询信息时，网络安全专家通过抓取分析数据包发现，用户的信息已被发送至一家大数据公司的服务器。在此过程中，用户会被默认同意一份授权协议，包括不可撤销地授权使用用户社保账户密码、采集用户个人信息等诸多条款。因而，关注App权限滥用侵犯个人信息权这一问题具有重要的现实意义。本项目以下列问题作为研究重点。

1. 在理论层面，探究App如何滥用权限收集个人信息以及侵犯个人信息权的法律问题，有利于明确信息处理者的法律责任。

2. 在实践层面，对于如何保护个人信息，以协同治理的方法保护个人信息的研究，能促进国家、社会以及个人从法律和社会道德层面保护个人信息权。从而达到规范App，保障用户权利的效果。

1.App权限滥用侵犯个人信息权的表现

(1)过度索权

  App申请的权限可以分为必要权限以及越级权限。过度索权是指App申请超出其业务功能或者服务外的权限，即为越级权限。本团队调查了六类App（26个App）的实际申请权限，其中以地图类App为例，索取地理位置权限外，还要索取通讯录权限，而通讯录权限对这类App的功能发挥并无必要；再如新闻类和购物类App在安装时索要通讯录权限（附件1）。这些越级权限都有一个共同点，即不开放这些权限，就无法登录账号或使用某项无关的功能。有的App运营商变相强制用户授权，为肆意收集个人信息打开便利之门。权限问题是当前用户感受最强烈、最为集中的问题。

(2)收集个人信息的规则效果不佳

  App中收集个人信息的规则多以隐私政策的形式呈现，是App向用户公开收集、使用规则，并明示收集、使用信息的主要途径。但隐私政策存在内容不清晰、用词含糊、语义不清、冗长难懂、用户难以理解等问题。而且，App强制用户同意隐私政策，否则无法使用App是目前的常态化。

(3)超范围收集问题突出

  用户信息逐渐成为重要的战略性资产，超范围收集是信息时代发展前期的常见现象。在收集个人信息时，App运营商缺乏告知或者不明确告知其收集目的、方式和范围。有些App不经用户同意，擅自收集用户个人信息，或者在非App运行期间，超范围收集个人信息；有些App在用户注册登录时，收集身份证号、手机号、人脸、指纹等个人信息并将其作为开启、使用App的前提条件。

(4)用户无法自由开启或关闭个性化服务

  据调查，84.42%的App未经用户同意，强制其接受个性化服务或精准营销的现象。App在用户不知情的情况下，擅自收集用户的网络浏览痕迹等信息，将其进行大数据分析，并用于定向推送服务或精准营销等。在这种情况下，用户通常无法选择是否使用个性化服务。

2.产生原因

（1）国家监管层面

  国家监管包括立法保障和实践监管。

  立法保障方面：我国对个人信息的司法救济不完善，国内在个人信息保护方面的立法比较滞后。近年来我国相继出台了《信息安全技术个人信息安全规范》、《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》、《常见类型移动互联网应用程序必要个人信息范围规定》等相关对个人信息保护的法律法规，对App超范围收集、强制授权、过度索权等问题进行了一系列的规定。但是在司法实践中的法律规定大多为原则性、规范性条款，可操作性弱，部分规范法律效力位阶较低，缺乏强制适用力，不能很好地适应和满足用户的相关需求。

  实践监管方面：相关政府部门对App滥用权限行为的监管和处罚力度不足。政府部门缺乏对App等互联网产品形成常态化、长效化的监管，对于侵犯用户个人信息的行为，监管部门未实行有效的纠正措施，仅止于对其通报批评和整改下架，不能很好地整治App行业乱象。

（2）企业层面

  App背后企业有利可图，缺乏自律和责任感，App滥用权限调用用户个人信息的现象时常发生。在信息时代，个人信息对于软件经营者而言具有巨大的商业价值。App获取和利用个人信息的方式具有特殊性，App大量频繁获取用户的个人信息，比如擅自扩大范围收集、使用个人信息，私自共享、转让个人信息等问题，并利用大数据的运用和延伸从中牟利。用户的这些信息可能被用于App软件的后续开发，甚至一些App商家将非法获取的用户个人信息明码标价，进行贩卖，严重威胁了用户的个人信息安全，轻则给用户带来垃圾短信、电话的骚扰，重则造成财产损失，甚至引发人身威胁。

（3）个人层面

  部分App用户对个人信息的保护意识薄弱。App的便捷性和广泛性使其拥有了庞大的用户群体，也满足了人们的各种使用需求，但许多用户在使用App时没有充分了解App授权要求，随意点击登录不知名的软件，不重视手机信息权限的管理，对App索要权限的行为没有防范意识，缺乏较高的警觉性，无法使个人信息处于安全状态。同时，由于App等应用软件受众的不断扩大，越来越多的未成年人和老年人开始使用各种应用软件，这部分群体受制于思想观念、知识背景等局限，个人信息保护意识较为薄弱，最终导致个人信息的泄露。

3.法律问题

3.1个人信息的法律问题

（1）个人信息保护的法律依据不足。从定义来看，无论是《网络安全法》还是《民法典》对个人信息的法律定义都较为模糊。从主体来看，法律虽然规定了信息主题的权利，但对信息处理者的规制不完善。《民法典》第1038条规定了信息处理者在收集和利用信息时的安全保障义务，但对信息处理者的范围并未作规定。

(2)个人信息保护与隐私权保护界限不清。当个人信息被过度收集、利用时，应当按照个人信息保护的规定还是隐私权的规定？由于个人信息的定义模糊，这一问题也始终未得到解决。只有将这两者分开保护，才能更有针对性地，才能更好的利用法律来保护个人信息和隐私权所赋予的法益。

(3)大数据时代下，现行法律对个人信息的司法救济机制不完善，通过司法途径来救济被侵害的个人信息代价高且难操作，且被侵害后难以补救。例如，信息主体举证的问题。我国《民事诉讼法》规定，“谁主张，谁举证”的举证责任分配规则。但在个人信息被侵害的案件中，由于关键性证据往往由被告掌握，原告获取证据十分困难。所以传统的举证责任分配规则，会加重原告的举证难度。

3.2过度的收集个人信息侵犯隐私权

  App超范围收集个人信息，易侵犯用户隐私。大数据时代，数据成为重要的资产，App滥用权限采集个人信息的现象屡见不鲜，如天气预报、相机等单一功能的App要求用户开启通讯录，读书类App要求开启相机和麦克风录音权限等。

  虽然目前中国有一定的个人信息保护法的法律规范，但也存在以下问题：首先，立法碎片化现象严重。保障隐私的法律法规尚未成为一个完整体系，大多数从属于其他规范，是其他规范的附属产物。其次，中国对隐私权的外延、内涵，权利行使和补救措施等没有清晰的规定。最后，行政部门的分工不明确。对隐私权侵犯的案件，各部门相互推诿，公民难以维护自己的权益。

3.3其它潜在法律问题：

（1）App过度获取权限，侵犯用户知情权。当App上大量信息被整合成数据，数据又被用于各种商业用途，作为数据获取源头的用户却并不知情，用户在使用App过程中的知情权无法得到保障。

（2）App过度获取权限，侵犯用户公平交易权。App未经用户同意或违反双方约定收集、使用个人信息，导致App和用户之间形成权利不对等关系，将用户置于弱势群体一方，侵犯了用户与App的公平交易权。

（3）App过度获取权限，将带来系统性风险。App超范围收集个人信息，数据保存不当将可能流入不法分子之手，被冒名从事不法活动，不仅使用户个人名誉受损，重者被列入失信名单，甚至牵涉刑事案件，造成不必要的损失，给用户造成更多未知的伤害。

4.整改路径

(1)健全法律制度，严格执法监督。

  目前，我国已出台《网络安全法》、《个人信息保护法》、《关于加强网络信息保护的决定》等法律法规，致力于从法律层面对信息处理者获取及利用他人信息的行为予以约束。但这些法律法规较为空泛，漏洞较多，不能有效、全面地制裁此类行为。因此，政府要加强立法规制，出台相关法律，明确各行业规范，特别加强对网络运营商和服务供应商的管理，规范其信息共享规则.

  建立完善的监督机制，严格执法监督。目前，我国没有负责治理网络个人信息的专职政府机构。我国可借鉴巴西等国的国家级网络信息保护机构，致力于处理和协调保护网络平台中个人信息的各项工作。例如成立专门的个人信息保护机构，在进行对个人信息执法调查的同时，负责监管保护法的实施，并向立法部门提出建议。

(2)明确主体责任，督促行业自律。

  App用户相对于网络运营商、服务供应商等主体处于弱势地位。因此可以按照过错推定原则明确网络运营商等主体侵权行为的责任，根据损害事实、侵权行为和损害事实的因果关系认定此类主体责任，以此提高违法成本。同时，可以让行业内成立协会，制订并执行行业规范、统一收集个人信息的标准，在政府、社会监管参与前督促各类App遵循行业规则，规范自身行为。

(3)制订App个人信息授权边界标准规则

  保护个人信息和公民隐私，不仅要立足于社会和公民的自觉行动，还要依赖于相关的标准和制度，尤其在法律具有局限性，缺乏灵活性的前提下。目前，我国工信部组织发布了18项App个人信息保护团体标准及《App个人信息保护管理暂行规定》等系列行业标准。但在实践生活中，由于没有关于App个人信息授权边界的具体标准，执法者面对监督授权边界时就无法可依。因此，通过制订App个人信息授权边界的标准规则，将保护个人信息和规范授权边界转化为执法者有法可依的监管依据。

（4）企业增强社会责任，杜绝滥用数据。

  在大数据时代，负有社会责任的企业如何对数据进行运用已经成为非常值得探讨的问题2013年，谷歌搜索开始出现“Cookie有助于我们提供服务。使用我们的服务即表示您同意我们使Cookie”的提示。谷歌让用户在知晓信息获取的前提下，自愿决定是否使用服务。法律无法制定出面面俱到的条规，更多的要靠企业的自觉性，从社会道德层面保护用户隐私权、知情权。

(5)增强个人信息意识，提高风险防范意识。

  在相关App填写信息时，非必须提供的信息，尽量不要填写;授权信息时，仔细阅读用户协议;不要给App过多权限以及不符合需求的权限;下载App时，尽量从正规的应用商店下载知名厂商的应用。此外，老年人是个人信息泄露的重灾区，要时常跟家中老人做安全方面的科普，尽量多保持沟通。

(6)协同治理

  政府加强发挥主导作用，社会多元主体发挥自身优势协同参与治理。

国内研究现状:

  随着个人信息泄露案件逐年增加，政府加大了对App行业运管机制的重点把控，将个人信息纳入法律的保护范围，为此多方学者对个人信息的概念区分、法律属性展开了全面的讨论。

  就个人信息概念而言，齐爱民教授在其著作中讨论了在我国立法背景下，如何定义个人信息，并对个人信息的法律属性、收集原则、保护方法作出论述。周汉华教授认为，在未来信息时代的发展下，个人信息的界定范围将不断扩大，逐渐可以取代个人隐私。在个人信息的法律属性界定上，学界曾就个人信息的人格属性与个人信息的财产属性展开讨论，产生了许多理论分类学说。最终 “个人信息保护”被写入《民法典》的人格权编，表明了在立法层面对“个人信息保护”所具有的人格属性进行承认。

  在各界学者的研究讨论推动下，我国个人信息保护立法经历了大致三个阶段：在起步阶段，即2012 年，全国人大常委会通过《关于加强网络信息保护的决定》，明确“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”，首次从法律层面确认个人信息保护的要求。在上升阶段，即2016 年，全国人大常委会审议通过了《网络安全法》，这是我国首次以法律的形式规定个人信息保护问题。在统一阶段，也就是《个人信息保护法》的立法阶段，通过《个人信息保护法》对个人信息保护的分散规定进行整合，并进行抽象总结，最终形成较为完整的个人信息法律保护体系。

国外研究现状：

  国外对于个人信息保护的发展则和我国有所不同，国外较为发达的欧洲、美国两种模式中，其关于隐私内容规定的比较现代隐私所包含的内容相比传统隐私而言是有所扩张。特别是进入网络信息时代后，有些学者提出广义的隐私其内容应包括个人信息，并将其视为网络信息时代的一项重要内容。尤其在美国，对隐私的保护包括对个人私生活，姓名、肖像、名誉以及个人信息的保护，其范围相当广泛。而主要欧洲国家对隐私的保护则一般限于私生活。

  目前，国外没有专门针对APP个人信息保护的法规，相关信息保护要求包含在对网络运营者的数据安全保护义务和责任中。美国关于个人信息的保护原则集中见于1973年“公平信息时间法则”（FIPPS）,并根据行业特点指定各行业隐私法律，如《金融隐私权法案》《健康保护隐私及责任法案》《有线通讯印斯法案》。关于联邦层面的立法，2012年提出《消费者隐私权利法案》，一直未予发布。2018年，加利福尼亚州颁布《加州消费者隐私保护法案》（CCPA）,体现了美国关于个人信息保护的最新理念，被认为是美国国内最严格的个人信息立法。欧盟2015年发布的《通用数据保护条例》（GDPR），围绕个人数据的收集、使用、保存、分享、转移等，对数据控制者和处理者、数据主体的权利义务进行了全面规定。随后，巴西、印度也发布个人信息保护法案。此外，APEC跨境隐私规则（CBPR）等国际组织的隐私框架对全球数据保护也产生了积极影响。

反思与借鉴

  综上所述,我国对个人信息的法律保护虽已形成较为完善的体系，但仍然存在问题。从行政法的角度而言，存在个人信息保护立法的行政属性不明、处罚裁量权过于宽泛、行政保护缺乏监督等问题；从刑法的角度而言，存在个人信息保护范围宽泛、入罪标准模糊等问题；从民法角度而言，存在个人信息、隐私的界限不清、个人信息侵权的构成要件缺乏统一标准等问题。我国可借鉴外国做法将个人信息作为隐私的一项具体内容来一起保护，并且不断完善个人信息保护法以适应网络化、信息化社会的需要，这个过程中可以更多参考存在较多大陆法系的欧洲方式来进行不断修正立法状况。   

创新点：

1.研究理论创新。本项目提出个人信息与个人隐私的界限不明，并提出相应解决措施；提出协同治理的观点，利用社会多元化主体的自身优势，实现对复杂公共事物的有效治理。

2.研究方法创新。采用归纳总结法、对比分析法等定性方法进行理论构建，将文献资料分析与政策设计相结合，进行线上调查问卷，整理构建素材大纲，完善研究报告。

3.研究内容创新。本项目立足于App获取用户信息的法律问题，在《民法典》的基础上，平衡政府、行业、个人三方主体关系，保障用户的个人权利，明确App获取用户信息的法律边界。

项目特色：

1.调研项目切合现实需要。本项目通过线上问卷调查，发现用户在使用App过程中对个人隐私的保护意识薄弱。通过分析国内外隐私保护方面的做法及优劣，结合我国对于保护隐私的现状，进行比较，找到自身不足并从中得到经验和启发。

2.本项目研究成员系法学院学生，研究内容与法学学科相结合，突出解决方案的法学专业性。

技术路线:

拟解决的问题:

1.有关App权限的数据调查问题。本项目通过调查各类App所获取的权限，分析App的必要权限和越级权限，以此论证App是否权限滥用问题。

2.个人信息与个人隐私界限不清的问题。在项目研究中我们发现，个人信息与隐私确实存在交叉重合关系，且二者的范围并非完全等同。

3.App权限滥用侵犯个人信息问题的责任承担问题。确定好责任主体对于保护个人信息及个人隐私具有重要意义。明确举证责任的归属能有效避免原告一方举证难，无法维护自身法益等问题。

4.调查问卷的投放问题。本项目的调查问卷主体为在校大学生，存在调查群体数量较小、调查结果欠缺普遍性。

预期成果：

（1）本项目的预期成果形式为论文

①App权限滥用的个案研究（1～2篇论文）

②App滥用权限侵犯用户隐私权的法律防治及救济研究（1～2篇论文）

（2）本项目成果的使用去向

  研究成果可为国内相关热点问题的学术研究提供参考；拟将研究成果投稿，争取公开发表 。