举办于7月份的315晚会集中曝光,多家金融APP存在超限违规收集用户个人信息的情况。根据央视报道,不少金融APP内置第三方SDK,除收集用户手机号码、设备信息之外,还会收集用户手机通讯录、短信信息、传感器信息等用户隐私信息。一时间,金融APP成为众矢之的。
就此,获取用户数据的金融APP企业主说:“我们获取用户数据是经过用户授权的,隐私协议写得明明白白,何以就违规违法了呢?我们只是为向客户提供贷款额度审批以及催债使用,没有将获得的用户数据对外提供,侵犯公民个人信息罪的罪名有些大……”
其实,以上内容均可概括为一句话:金融APP过度收集读取并使用收集用户信息是否构成侵犯公民个人信息犯罪?
分歧是有的
我们想与大家分享的是,其实该行为是否构成犯罪,目前确实是存在分歧的。
一种观点认为,该行为构成不侵犯公民个人信息罪。因为APP读取该类信息系经过用户同意的,信息使用在用户承诺范围内,且企业并没有将信息转手给他人,仅是用于金融公司贷款审批、催债使用,
另一种观点认为,该用户同意并非真实用户意思表示,用户若不同意则无法使用金融APP,虽然信息没有外流,但是通过读取的手机通讯录并给亲友打电话催债的行为,给用户造成了较大困扰,已然突破合理合法边界。
上海市静安区人民检察院陈洁婷曾发文提到实践中的倾向性意见如下:
依据《网络安全法》及《移动互联网应用程序信息服务管理规定》,移动互联网应用程序提供者应当建立健全用户信息安全保护机制,收集、使用用户个人信息应当遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意。
以上关键点就在于是否明示了信息的使用用途。企业在获取用户信息时,是否明示收集的手机通讯录信息将被用于贷款审批及债务催收,如果没有明示,却在收集后用于该用途,则涉嫌违反上述以上规定,可以被认定为非法获取。
已有同案怎么说
2017年12月,被告人李某注册成立广州某叶科技网络有限公司,虚构贷款产品“无限贷”,通过网络在各类贷款超市推广,吸引被害人注册登记,以此获得包括被害人姓名、地址、手机号码、紧急联系人、芝麻积分、通讯录等个人信息,储存至金融数据平台的后台数据库中,再将上述信息出售给陈某等人用于实施“套路贷”犯罪活动。后李某被公安机关抓获,并被公诉机关以侵犯公民个人信息罪诉至法院。
在庭审过程中,辩护人打印并提交了某叶科技网络有限公司收集用户信息时的“服务与隐私协议”1份,以此证明被告人李小伟等人获取公民个人信息数据并对外提供的行为获得了权利人的授权与许可。
法院认为:
①格式合同责任免除中的明确告知义务未履行:从辩护材料的权利、义务约定上看,该材料为“格式条款”,通篇内容为对权利人权利的限制以及对涉案公司责任的免除,从材料中不能确认涉案公司已依法履行了“格式合同”责任免除的明确告知义务;
②授权不具有法律效力:从涉案公司收集的公民个人信息数据范围来看,“无线贷”平台收集、输出的公民个人信息不仅局限于借款人本人的姓名、身份号码、联系方式等基础信息,还包括借款人的通讯录信息、通话记录信息等,该类信息收集、使用的违法性直接指向了对借款人亲友个人信息权益的侵犯,明显超出了正常借贷行为所需的信息范围,超范围、超必要限度收集、使用公民个人信息数据的行为不具有正当性,侵犯第三人合法权益的授权也不具有法律效力;
③涉案的借款人均基于财务状况紧张而向涉案公司提交材料申请借款,涉案公司乘人之危强行获取授权的行为不具有正当性,恶意规避法律适用以达到侵犯他人合法权益之目的的行为不具有法律效力。
概言之,被告人李小伟及其辩护人以“获得授权”为基础提出的意见事实及法律依据不足。
我们想说的话
我国刑法第二百五十三条之一规定了侵犯公民个人信息罪。违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。……窃取或者以其他方法非法获取公民个人信息的,依照以上规定处罚。
这里,对“非法获取”行为手段的认定要准确把握“违反国家有关规定”这一基本前提。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第二条规定,违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第253条之一规定的“违反国家有关规定”。
现有的《网络安全法》系全国人大常委会发布的法律,其第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。
就收集者同意而言,隐私协议本是为了获得用户信息授权,但金融APP中多是内置协议,提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的,根据我国《合同法》第四十条,该条款无效。何为免除其责任、加重对方责任、排除对方主要权利呢?这在实际案例中,将由法官结合协议内容、业务逻辑实质等予以判断。一旦法院如上文案例所述,认定授权无效的,手机APP获取用户信息的行为将彻底丧失合法性依据。
在隐私协议授权条款有效的基础上,信息收集还需遵循必要性原则,也即,金融APP只能处理满足个人信息主体授权同意目的所需的最少个人信息类型和数量。如此,借贷审批是否需要全部获知用户通讯录等,这里便存在疑问。如此,金融APP的信息收集行为的合法性就遭到质疑。