【论app收集个人信息的法律规制10000字（论文）】

论app收集个人信息的法律规制目录TOC\o"1-3"\h\u25263一、法律规制app收集个人信息的意义 一、法律规制app收集个人信息的意义在移动互联网时代个人用户信息极易被侵权的大背景下，个人用户信息遭遇非法收集使用情形下的司法保护及救济尤为重要。司法实践中，个人用户往往是基于个人信息权益与隐私权被侵权而主张其侵权责任。目前的《中华人民共和国民法典》（以下简称民法典）、《中华人民共和国网络安全法》（以下简称“网络安全法”），即将生效的《中华人民共和国数据安全法》（以下简称《数据安全法》）及尚在征求意见的《中华人民共和国个人信息保护法》（草案）（以下简称《个人信息保护法》（草案））的规定较为宽泛，法官在个案中的裁量对裁判App非法收集使用用户信息类案件及用户的救济具有重要的指导作用。二、我国APP收集用户个人信息现状与困局（一）APP收集用户个人信息的立法现状1.管辖法院的认定标准不一App服务商在用户首次登录App之时，往往会在登录前明示《用户协议》，按照前文列举的现行的《常见类型移动互联网应用程序（App）必要个人信息范围》等规范性文件要求，用户协议中需告知用户收集使用用户信息的方式、用途等信息。在签订《用户协议》的前提下，App服务商违反协议内容收集使用用户信息的行为既构成了非法网络服务合同的违约，又构成了对用户个人信息权益（若影响了用户的生活安宁，或涉案信息为私密信息，则同时构成侵犯用户隐私权）侵害。鉴于许多《用户协议》中，App服务商会通常会对发生争议时的管辖法院予以约定。这也导致了在发生侵权时，对所涉案件的管辖地如何确定成为争议问题。法院在审理该类案件中的前后判决较为矛盾。在冯福滨、运城市阳光文化传媒有限公司网络侵权责任纠纷一案中，法院认定《用户协议》中的管辖权条款有效，在网络侵权责任与违约责任竞合的情形下遵循协议约定。在王某某诉深圳市腾讯计算机系统有限公司网络侵权责任纠纷一案中，法院同样认可该案属于前述竞合情形，但不认可管辖权条款效力，其不认可的理由是微视方未能采取显著标识的方式标注其管辖权条款以让用户予以关注。但法院选择了迂回的思路，以合同履行地为提供App服务一方的住所地为由，将该案移转至腾讯所在的南山区人民法院。然而在侵权事实类似的案件中，大多数情况下法院均会认可用户诉侵犯个人信息权益的事由。2.侵权案件的管辖目前，随网络侵权管辖实践的发展，学者们在传统侵权责任管辖理论的基础上，创造了一些有关于网络侵权责任管辖的适用于私主体之间的新理论。其一是网络服务器管辖理论，依据该理论，应以App服务商提供网络服务的服务器所在地作为服务提供地，应以终端服务器所在地为标准确认为管辖法院所在地。但不难发现，鉴于移动互联网时代网络的便捷性与跨地域性，App的用户与App的服务提供者间的关联往往十分微弱，App服务商可以跨越地域限制无差别的为大量用户提供服务。若仅依据网络服务器管辖理论，则将造成大量用户主张其权利的司法成本增加，有悖于当事人为中心的审判原则，无法保障App用户行使其诉权。落在具体的案例之中，让一名身处于哈尔滨的App用户赴深圳起诉App服务商，这显然是十分困难的。其二是技术管辖理论，依据该理论的观点，技术能力强的国家或地区应享有更多的管辖权。国际之间应用享有先进的技术水平的国家进行管辖，域内应由网络技术发达地区的法院进行管辖。该理论的优势在于，技术能力强的地区法院针对相关案件往往具有更为丰富的审判经验，有助于厘清案件事实，保障司法的公平正义。如前文所述，诸多法官选择将辖区内的案件移送至北京及深圳法院审理亦可能存在上述考量。但该理论的劣势同样较为突出，一是增加了互联网企业较为发达地区的案件压力，依据前述案件的归纳整理，大量的App非法收集使用用户信息的案件集中于北京、深圳、上海等互联网较为发达的城市；二是同样将导致其他地区的App用户维护其权利不得以增加其司法成本；三是若App用户在技术能力强的地区法院发起诉讼，有遭受地域保护主义不公正对待的潜在风险。如被誉为“南山必胜客“的腾讯法务部，其大量诉讼案件集中与深圳市南山区法院，而其胜诉率也一直居于高位，App个人用户若在南山区法院起诉腾讯，其权利主张得到法院支持的概率自然较小。3.App违约案件的管辖诉讼管辖规则的实质是将包含时间、经济等诉讼成本在原被告双方当事人间予以分配。故而如何将诉讼成本及负担尽可能公平的分配至双方当事人，是构建追索违约责任管辖制度构筑的出发基点。目前，学界对于App服务商与App用户间订立的管辖理论主要有以下几种：一是地域管辖理论，确立此类管辖权主要依据双方当事人的当事人基于当事人违约行为提起的诉讼，管辖法院为被告人的住所地或合同履行地的人民法院，且当事人可以通过合同约定诉讼管辖地为合同签订地、标的物所在地或原告住所地的人民法院。但是，鉴于App服务商与App用户间的协议的订立往往是籍用户的终端与App服务商的服务器间以数据的形式完成的，相关数据可在任何地点生成和发出，合同订立及履行的地点难以以传统的合同法理论确定。传统理论认为，合同订立遵循“到达主义”，我国现行《民法典》第492条规定采用数据电文形式订立合同的，收件人的主营业地为合同成立的地点，没有主营业地的，其住所地为合同成立的地点。但是，放在App服务商与App用户间的具体情境下，究竟该认定何方为收件人有待商榷。笔者认为，应当认定App用户为收件人，其原因在于，App服务商是无差别的向每一位下载其App应用的用户提供软件服务，具体服务的内容即使可以进行个性化的定制，但是其服务的大方向是由App服务商确定的，当App用户下载了App时，App服务商所提供的《用户协议》即可认为是一个要约，而用户对于协议的接受可视为一个承诺。有的学者认为“接受者的营业住所”无法确定的，则为“下载信息”的地点。二是长臂管辖权理论，该理论为美国所创设。该理论认为，即使被告的住所地不在法院地洲，但只要与该洲存在最低联系，且原告的权利主张与该最低联系存在关联。就该权利该州对被告享有管辖权。依据该理论，即使App服务商在App用户所在地未设立办公室，而仅仅只是通过网络为媒介为App用户提供应用服务，因为其为用户提供服务获得利益的行为受法律保护，相应的，其权利为其带来相应义务。目前，我国在立法层面尚未确立长臂管辖的管辖原则，笔者对该原则在中国大陆地区的适用亦持保留态度（二）APP收集用户个人信息的司法现状1.样本分析：APP非法收集用户信息案件的现状审视截至2021年2月15日，笔者分别通过在威科先行案例库中以“App+用户信息+隐私”、“App+隐私+网络侵权责任”、“App+个人信息”、“APP+收集个人信息”、“北京市字节跳动科技有限公司+网络侵权责任+个人信息关联案例”、“北京互联网法院+个人信息”为关键字（搜索范围限定在“判决文书”中）进行相关检索，并结合网络媒体披露的有关案例信息，庭审记录对所检索到的案例中涉及法院对App是否存在非法收集使用用户信息做出判定的案例加以归纳总结，最终得到与本论文论题相关的法律文书共44份，对应的司法判决案例共40个，具体分析如下：第一，涉及非法收集使用用户信息案件的案由呈现多样化，其中，隐私权纠纷案件共20例，个人信息权益纠纷9例，肖像权纠纷1例，不正当竞争纠纷案例7例，合同纠纷6例，无法简单归于隐私权纠纷或个人信息权益纠纷的网络侵权责任纠纷17例，其他行政行为纠纷1例，财产损害责任1例。具体情况如下：（图1）笔者在检索的过程中，发现了检索结果主要集中于App平台间的著作权侵权及App用户间涉及诽谤、侵权公民隐私等与本文无关的其他案例，而公开的案例中真正涉及用户诉App服务商非法收集使用其信息的则较少。此外，检索过程中发现了一些人民法院认为不宜在互联网上公开披露的案例，如因被告方律师主张“通讯录不属于用户隐私”而备受争议的刘瑞博诉北京字节跳动科技有限公司网络侵权责任纠纷案。此外，笔者发现，大量的个体用户诉App服务商的案件均以撤诉或调解结案，这也极大的限制了对该问题进行研究的样本数量。第二，相关案件的审理地表现出相对较高的集中性，主要集中于移动互联网普及率较高的发达地区。涉及App非法收集使用用户信息纠纷最多的省份或直辖市为北京，共有裁判文书或可供查询的案件相关资料共21份，单北京一个城市的可查询的相关案例就占全部案例的近40%，主要审理法院包括北京互联网法院、北京四中院、朝阳区法院等。其次为江苏，相关裁判文书共有6份，而广东、上海相关的裁判文书则各有5份，具体统计情况如下：（图2）笔者认为，案件相对集中的主要原因在于，一是发达城市的移动互联网普及度较高，而城市居民的法治意识、维权意识也相对较强；二是因为于2018年成立的北京互联网法院对在互联网上侵害他人人身权、财产权等民事权益产生的纠纷及签订、履行均在互联网上完成的合同纠纷等均具有管辖权，而处理相关纠纷互联网法院也具备相应更为专业的裁判经验，故很多用户会选择于北京互联网法院提起诉讼。2.经验分析：案件类型及裁判思路凌某某与北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷一审判决。争议焦点：抖音公司收集、使用用户信息及向用户推送好友的相关行为是否侵犯了用户的个人信息权益及隐私权；若构成侵权，被告如何承担侵权责任。法院观点：判定涉案信息是否构成用户信息，取决于该信息是否能够识别到原告的个人身份及个人特征，本案中用户通讯录、位置、好友关系等信息具有可识别型，应当认定为个人信息；被告获得其通讯录信息并推送的行为，鉴于用户通讯信息会被用户及其有关联人所双向存储的特殊性，App服务商对通讯信息的使用应获得实际手机用户及通讯录联系人的双重同意，基于App的社交属性App服务商使用通讯信息进行匹配、推荐的行为是属于对个人信息的合理使用，但在App服务商收集相关信息，通过匹配发现该手机号码并未被注册为抖音帐号并授权的前提下，应对信息予以删除，未删除该信息行为构成侵权；判定是否侵害用户隐私权，取决于涉案信息是否属于私密信息，或侵犯了用户的生活安宁，上述情形均未发生，不构成侵害用户隐私权；本案中，被告对原告的侵权仅限于抖音App范围之内，未造成大范围损害，也未造成严重的精神损害，应参照《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》判决原告书面道歉，对用户的财产赔偿层面，酌定赔偿用户1000元个人信息权益损害赔偿及用户公证费4231元。黄燕与被告腾讯科技（深圳）有限公司广州分公司、腾讯科技（北京）有限公司隐私权、个人信息权益网络侵权责任纠纷一案。争议焦点：用户社交类App内的好友关系及使用阅读类App的个人阅读喜好是否属于个人信息及隐私；用户使用的阅读类App获取用户其它App的还有关系，向用户社交App的好友公开其个人阅读喜好及自动关注好友关系等行为是否构成对个人信息权益及隐私权的侵犯；若构成侵权，App服务商的侵权责任。法院观点：用户的个人好友关系、昵称、头像等信息，达到了识别性标准，属于用户信息；从合理隐私期待的维度上，可将个人信息划分为三个层次，一是符合社会一般合理认知的私密信息，二是不具备私密性的一般信息，三是兼具防御性期待及积极利用期待的一般信息；微信好友列表，个人读书信息等更符合第三类信息特征，是否构成隐私权侵犯需结合个案，微信读书收集用户社交关系的目的不在于获得用户的真实社交关系而在于拓展阅读社交功能，不构成侵犯隐私权，而微信读书向用户好友公开其阅读喜好的行为，鉴于本案中公开的阅读信息较少，未达私密性标准，原告也未主张其生活安宁因读书信息受公开而受侵害，不认为构成侵害用户隐私权，但侵害了用户的个人信息权益。腾讯需承担侵权责任，担责范围包括删除侵权信息，停止信息公开，支付黄某的为维权负担的公证费用，书面公开道歉。笔者通过对App非法收集用户信息的侵权类案件予以总结，得出法官的裁判思路如下：1、判定App服务商是否存在收集、使用用户数据的情形，该用户数据是否具有可识别性，即可通过该数据指向特定的用户；若是，则可认定该数据属于个人信息，属于个人信息权保护的范畴，接着，判断该信息是否具有私密性，若是，该信息则为私密信息，即属于个人信息权保护的范畴，也属于隐私权保护的范畴；2、判定App服务商是否已如实、明确的向用户披露隐私政策、向用户告知其收集信息的目的，履行其并获得用户授权；3、判定App服务商收集、使用个人信息的行为是否遵循合法、正当、必要原则，是否构成对用户个人信息权或隐私权的侵害；4、判定用户被侵权的损害与App服务商非法收集、使用用户信息的行为是否存在法律上的因果关系（常见于因数据泄漏而导致的侵权损害赔偿，如航空公司未能妥善存储用户信息导致用户信息泄露，用户被诈骗而蒙受财产损失类的案件）。5、判定App服务商的非法收集行为是否存在有效抗辩事由。（三）APP收集个人信息的困局1.App服务商的侵权行为不透明性当今时代，App服务商收集使用数据的方式是难以可视化的，当用户打开移动互联网设备，App服务商即可通过其所运营的App对数据进行收集，并可通过移动互联网将数据传输至其后台的服务器并加以存储，而数据收集和使用的过程，往往难以被用户知悉。即使该过程中存在着非法收集使用行为，用户一是难以察觉，二是在未采取专业技术手段予以鉴定的情况下也难以确认其被侵权的事实。通过笔者对司法案例中判决书的研究，若用户不对App服务商的数据收集行为加以刻意的关注研究，用户发现App非法收集使用用户信息的方式主要是用户认知到其信息已被泄露的既定事实。在庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷一案中，庞理鹏认知其个人身份、航班信息被泄露是基于其收到了与其身份，行程信息相关的诈骗短信；而在方月明与北京金色世纪商旅网络科技股份有限公司、中国东方航空集团有限公司合同纠纷一案中，原告方月明也是基于相同的方式发现其信息被泄露的事实；在罗毓华与北京金堤科技有限公司隐私权纠纷一案中，罗毓华是在网络上通过检索的方式发现其不想为他人所知晓的仲裁开庭公告；在王轩、上海万达小额贷款有限公司隐私权纠纷一案中，王轩是在亲属、朋友接到了催收的通告才对信息被泄露得以知晓。反言之，若用户未接到相关的诈骗短信，其生活安宁未被骚扰，或者未能通过公开的网络平台查询到其被泄露信息，用户则难以认知其被侵权的法律事实。2.App服务商的技术优势与用户的举证难度App服务商可依托其技术手段对其应用不断进行调整，而个体用户只能处于被动接受的地位，即使先前应用存在非法情形，App服务商可在用户未能采取公证、截图等方式进行有效取证的之前对App进行整改，增加用户的取证及举证难度。在黄燕诉腾讯侵犯个人信息、隐私权一案中，用户在登录微信读书应用时，是通过微信跳转至微信读书的，登录之前，微信弹出了将用户信息共享给微信读书的用户授权界面。黄燕主张腾讯公司在用户同意环节采用了对头像、昵称、性别等公开身份信息与好友列表的一次性授权、不授权则无法使用的方式。且而在腾讯方则主张相关信息的授权页面是两次授权、可勾选是否共享好友的模式。因为腾讯方已对授权页面做出过调整，其授权页面已经转换为两次授权模式，用户在首次登录时未对授权页面进行截图，也采取公证等方式留存证据，相对于腾讯方，自然处于举证不利的劣势地位。3.用户的举证责任过重依据《民事诉讼法》“谁主张，谁举证”的举证原则，用户需要举证App服务商实行了侵权、违约的相应行为，但鉴于App非法收集使用用户信息情形的复杂和多样，结合司法实例，不难发现，某些情形下的用户举证责任过重。不同法官在审理相关案件时，对用户举证责任也表现出的不同的要求。尽管近年来，法官的态度有所松动，但是用户在维权举证时依然困境重重。以用户信息泄露类案件为例，司法实践中，若用户主张App服务商泄露了其信息，即负有举证其信息是由App服务商泄露的举证义务，一般情况而言，需要证明App服务商存在安全隐患或管理措施不到位而导致的信息外泄。App服务商往往均为规模庞大、制度完整、内控严密的大型公司，要求用户获取相关的直接证据无疑时十分困难的。在航班行程信息泄露导致的诈骗中，如马春燕诉中国南航，李莹洁诉深圳市活力天汇科技及四川航空，吴贵超诉北京三快科技及东方航空等案件，法官均要求用户举证证明其信息是由App服务商或者航空公司所泄，这也导致了在上述案件均以用户败诉告终三、国外关于app收集个人信息的法律规定及借鉴（一）美国对个人信息问题的法律制定及借鉴美国现行的关于个人信息保护的法律主要集中在对消费者个人信息的保护上，如美国在2012年2月出台了《网络世界中消费者数据隐私：全球数字经济中的保护隐私及促进创新的框架》。通过扩大“隐私权”的内涵，将消费者的个人信息纳入隐私权中进行保护，同时以联合国确立的数据“公平信息实践法则”为基础，确定信息处理者对消费者个人信息的保密义务和侵权惩罚责任。此外，美国认为传统的“知情——同意”框架已经严重流于形式，不能适应大数据时代对个人信息保护的新要求。大数据时代给个人信息带来了深度挖掘和海量收集的新特点，而传统的“知情——同意”框架过于冗长和机械化，是一种静态层面的保护，无法解决持续对个人信息非法挖掘的处罚和救济问题。因此，提出用“场景和风险评估”机制代替“知情——同意”框架，即信息处理者在应用消费者个人信息时应当重点关注信息所在的场景和预估存在的风险，一旦发生超出预期的风险，应当明确告知消费者具体风险并采取相应的补救措施。（三）欧盟对个人信息问题的法律制定及借鉴重视基本人权是欧盟诸国家的传统。因此，在个人信息的处理中，欧盟重视对个人信息的匿名化处理，严格控制信息的处理者对信息的重新识别。2016年欧盟颁布了《欧盟数据保护通用条例》（简称GDPR），该条例于2018年5月25日生效。GDPR中规定了六项个人信息处理的原则，分别是：合法性、合理性以及透明性，正当目的，数据使用的最小化，准确性，限期储存，完整性与保密性。上述六项原则为欧盟各成员国进行个人数据的立法提供了原则性指引，这六项原则不仅提高了数据处理者对个人数据处理的要求，还最大限度的降低相关企业滥用个人信息的可能性。同时GDPR的出台更大范围的扩大了信息主体的权利内容，新的权利内容包括：访问权、更正权、被遗忘权、限制处理权、数据携带权和反对权。其中被遗忘权和数据携带权是亮点，也是学者讨论的热点。德国自来就崇尚自由，认为决定自由是人格自由发展和人格尊严的前提。所以提出“信息自决权”这一概念，企图通过“信息自决权”来构建个人信息保护的法律框架。如德国《联邦数据保护法（草案）说明》中对“信息自决权”的表述：“人们有权自由决定外在世界可多大程度上获知自己的思想及行动。”而大数据时代，正在消弱人们对自身个人信息的控制权，通过大数据技术影响人们的思想和行为。所以德国学界认为明确公民的“信息自决权”很有必要，但是至于如何实现公民的“信息自决权”，有待于德国学界的进一步研究和探讨。综上所述，美国对个人信息的保护，采取的是窄范围的保护，只对符合隐私权特性的个人信息进行保护，而对范围超出隐私权的个人信息，让渡给公共空间，由社会自由使用。欧盟对个人信息的保护，采取的是宽范围的保护，认为个人对自己的个人信息享有充分的权利，国家应当维护和保护个人信息的安全，而对个人信息的法律救济方面的具体研究较少四、APP个人信息收集措施建议（一）App服务商的完全陈述义务所谓完全陈述义务，指的是案件当事人应当完整、真实、无保留的陈述其所知的事实，无论对其有利或不利的事实。基于该规则，App服务商对于原不负责证明的事项同样应负担完全陈述义务，这也是基于用户与App服务商间高度不对等地位的举证责任衡平。在个人信息侵权类的相关案件中，用户若要证明App服务商的侵权行为，其痛点往往在于鉴于证据收集手段不足、及涉及技术专业知识事项的认知不足。而这也导致在举证不足的情况下，司法审判中常陷入“事实真伪不明”的状态，若法官严格遵循民事诉讼法针对案件真伪事实不明的相关规定，认定由承担证明责任的用户方承担不利后果，用户自然难以通过司法途径维护其权益。基于App非法收集用户信息类案件中，当事人双方在技术、资源、资本、取证能力等诸层面的不对等，笔者认为，应尽量避免“事实真伪不明”情况下证明责任的适用。而解决该问题的有效方式，是法官可结合具体案情，有选择性的依据《证据规则》第7条，转换用户与App服务商之间的举证责任，引入民事诉讼法中“不负证明责任的当事人所负有完全陈述义务”这一规则。（二）允许App用户进行摸索证明摸索证明的基本含义是在指在当事人就其主张或抗辩成立的必要事实或证据尚未能被充分掌握和了解的情况下，进行尝试性的主张或举证，通过法院的调查程序进一步的收集事证。在App非法收集使用用户信息的侵权类案件中，用户承担App服务商的侵权证明责任，在论证过程中，需要对App服务商的侵权行为，及因果关系进行具体陈述。在非法收集、使用用户信息的案件中，App服务供商的实施侵害的对象是用户已被数据化的个人信息，而收集、使用行为通常是通过对于数据处理的方式予以实现。用户对于App服务商的侵权行为，往往只能通过其承担了被侵权的结果予以知悉，如收到了诈骗短信，在网络上发现了自己的私密信息，未授权提供给App某一信息但App仍然提供了与该信息相关的服务等，对于其信息具体在何时、何地、何种方式被收集、使用的具体过程，则是难以知悉和描述的。笔者认为，为解决这一困境，法官可允许用户进行摸索证明，许可用户基于其被侵权的结果在确有陈述困难的情形下进行一般性陈述，后续通过法院的调查进一步厘清事实，平衡用户与App服务商的诉讼地位（三）灵活应用高度盖然性原则高度盖然性原则为民法中的证明标准，其内涵是当某一案件中关键性案件事实处于基于客观原因无法查明，允许法官依据其理论及实务经验判断案件实施发生的可能性。若法官在认定可能性为高的情况下可要求由主张该事实不属实的当事人一方承担举证责任。灵活应用高度盖然性原则，对处理App信息泄露类案件将具有重要指引作用，能够有效完善App非法收集使用用户信息类案件的举证责任分配机制。庞理鹏诉东方航空、趣拿公司的一、二审案件中，法官采纳高度盖然性原则的判断原则与否，将直接影响两方当事人的举证责任，进而影响判决结果。一审中，法官主张由庞理鹏证明东方航空、趣拿公司存在信息泄露行为，庞理鹏无法完成举证而最终败诉。在二审中，基于庞理鹏泄露的信息包括其个人身份信息，电话，行程，而理论上能同时支配这些信息的主体包括庞理鹏及另一自然人、东方航空、趣拿公司。从收集证据的资金、技术层面，庞理鹏缺乏对东方航空、趣拿公司数据管理系统存在漏洞情况的举证能力。法官在考量到庞理鹏及另一自然人应属善意，不会自己泄露信息的情况，基于高度盖然性原则，将举证责任转