何波 工业和信息化部电信研究院政策与经济研究所

  一、曝光问题
  (一)央视曝光苹果收集搜集位置信息
  2014年7月11日,央视新闻频道曝光称,苹果公司iPhone手机的定位功能可以收集用户的位置信息,精确到几点去哪、待了多长时间,甚至可以从这些数据中分析出哪里是用户的家以及工作单位等。央视报道同时称,苹果手机记录用户信息的方式主要有:通过APP程序,即程序开发软件未向苹果用户申请定位信息权限;但苹果自行定位后,再使用APP时,系统就可知道你在哪里使用了软件;Wi-Fi连接等也能记录用户的位置信息。不仅如此,所谓的用户信息加密文件,也能通过手机连接USB查询到,用户只需查询手机系统文件夹第6层文件夹下“.db”的文件就能看到自己的信息记录。
  针对央视关于苹果手机存在收集用户位置信息的“定位门”报道,苹果公司在其官网上做出了公开回应,称其一直坚持保护所有用户隐私,不会追踪用户的定位。苹果公司在声明中表示,iPhone通过Wi-Fi、基站等确定用户位置,是为了帮助用户快速并准确地进行定位。对于可以显示个人位置信息的“常去地点”功能,苹果公司表示,这些信息仅存储于每个用户个人的iOS设备上,并且进行了加密,它并不备份于iTunes或iCloud中,苹果称任何时候都不会通过用户的iPhone去获取其“常去地点”或其定位服务的缓存。
  (二)苹果因收集位置信息在国外多次遭到诉讼和调查
  此次苹果手机被爆出收集用户信息的行为已不是首次,早在2011年8月,就有近三万名韩国苹果手机用户起诉苹果公司,称苹果公司未经同意即通过iPhone、iPad以及iPod Touch的定位系统收集用户的位置数据,侵犯了他们的隐私权,要求苹果公司赔偿271亿韩元,约合1.6亿元人民币。数月后,一名用户胜诉,苹果公司向其支付约合6100元人民币的赔偿款。同时,苹果就手机定位事件,收到了来自韩国广播通信委员会开出的全球第一张罚单,被指控违反了韩国相关法律规定,并处以苹果300万韩元的行政罚金。
  同时,苹果公司也因为搜集用户隐私信息包括位置信息而遭到美国本土用户频频起诉和相关部门的调查。2011年,先后有数名加州居民向加州当地法院提起诉讼,原告诉称,即使是定位服务处于关闭状态,苹果手机仍会自动收集并交换用户的地理位置信息。原告认为苹果公司的行为违反了1986年《存储通信法》(Stored Communications Act)和《窃听法案》(Wiretap Act)的相关规定,并与苹果手机的用户许可协议(Software License Agreements)陈述不一致;原告诉称其因为苹果的行为而遭受到了损失,请求法院判以赔偿。同时,针对苹果手机等设备未经许可收集用户位置信息的行为,美国联邦通信委员会(FCC,Federal Communications Commission)展开了对基于位置数据服务的隐私权调查,并约谈了苹果、谷歌以及其他相关科技公司,了解地理位置数据如何被使用等情况;并考虑是否需要制定保护地理位置信息的专门法律。
  此外,法国也加入了针对苹果手机未经允许手机用户位置信息的调查。据法新社报道,法国国家信息自由委员会(CNIL , Commission Nationale de L’Informatique et des Libertés)早在2011年就开始了对苹果手机收集用户位置信息的行为进行调查。CNIL秘书长雅安·帕多瓦(Yann?Padova)表示:“英国研究人员公布了他们的发现后,我们也对该系统进行了研究。我们给苹果发出了两封信件,苹果分别进行了回复。苹果对此进行了解释,但并不全面。我们仍然正在对此进行调查。”
  (三)“位置信息收集”争议普遍存在
  事实上,苹果并不是唯一一个在位置信息收集方面存在争议的企业,微软、谷歌和Facebook等为代表的互联网企业都存在跟踪、收集位置信息的行为,特别是在移动互联网时代,移动位置追踪的应用APP更是层出不穷。微软Windows Phone 手机用户于2011年8月在美国西雅图联邦法院提出诉讼,原告诉称微软公司故意在其Windows Phone 7手机操作系统中设计摄像头软件,忽略用户不愿被跟踪的请求,涉嫌强行跟踪移动用户的位置,侵犯了用户的隐私。
  近日,著名社交网站Facebook在欧洲因为处理数据和隐私方式,也再次面临集体诉讼,奥地利法律系学生Max Schrems和其他6万名用户指控Facebook违背了欧洲数据保护法律侵犯用户隐私权,包括追踪用户位置,并与广告商分享他们的个人数据和个人隐私。案件目前正在审理之中。而至于谷歌,其提供的谷歌地图、谷歌纵横等具有定位功能的服务,都可以收集到用户实际所在位置的信息或者可用于大体定位的信息。
  二、对所曝光问题的法律分析
  (一)位置信息的概念和法律地位
  1.位置信息的概念
  位置信息也被称作“位置数据”或“地理位置信息”,韩国《位置信息保护与使用法》(Act On The Protection, Use, etc. of Location Information)对位置信息(Location information)下了明确定义:位置信息是指,通过电信通讯设备和电信线路设备收集的关于移动物体或个人在特定时间所在的地方的信息。同时,该法令也对个人位置信息(Personal location information)下了定义:个人位置信息是指涉及特定个人的位置信息,包括通过与其他信息结合即可获知特定个人位置的信息。美国参议员阿尔?弗兰肯(Al Frankel)提出的《位置隐私保护法》(Location Privacy Protection Act)目前正在参议院进行讨论,在该法案中也对位置信息下了定义:地理位置信息(geolocation information)是指(A)以下任何一种信息(i)不属于通信内容;(ii)全部或者部分源于电子通信设备的运营或使用;(iii)足以辨别街道的名称和城市的名称或者设备所在地;并且(B)不包括互联网协议地址或者个人家庭、商业或缴费地址及其组成部分的地址。
  结合国外相关法令定义和实践经验,可以把个人位置信息大致可以定义为:通过信息通讯设备收集的涉及特定个人在特定时间所在的位置信息,包括通过与其他信息结合即可获知特定个人位置的信息。
  2.位置信息的法律地位
  法律上的位置信息概念其实还是比较模糊的,我国目前对位置信息尚无任何定义,也没有法律对其予以明确的规范,要理解位置信息的法律地位,需要我们厘清一些关系,特别是“位置信息”与“个人信息”的关系。
  个人信息有时也称个人数据,是指能够切实可行地单独或通过与其他信息结合识别特定用户身份的信息或信息集合。我国《电信和互联网用户个人信息保护规定》将其定义为:“用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”可见,个人信息有以下特点:个人信息是可以识别特定用户身份的信息;这种识别既可以单独识别也可以与其他信息结合识别。具体到苹果收集个人位置信息案中,根据手机收集到的一些规律性的位置信息以及具有明显特征的位置信息(如特定用户每天上班时间、离开、以及下班时间到达的位置信息则),可以高度判断为该用户的工作地址和家庭住址,因此该信息具备了个人信息的属性和特征。
  如前文所论述,位置信息中有相当一部分可以用来识别出用户的身份,或者与其他信息结合能够识别出用户的身份,因此部分位置信息可以看作是个人信息。
  此外,由于位置信息中是指特定时间的位置信息,因此它反映了用户的生活轨迹、出行路径,不仅属于一般的个人信息,还具有隐私的性质,这也是为什么在很多位置信息的案件中原告会援引隐私权相关规定作为法律依据。而隐私权作为一种基本的人格权利,是指“公民享有的私人生活安宁与私人信息依法受到保护,不被他人非法干侵扰、知悉、搜集、利用各公开的一种人格权。”在网络环境下,个人隐私权主要涉及个人数据、私人信息和个人领域三个方面,可以看出,个人信息中的一部分是受到隐私权保护的。
  (二)国外对个人位置信息的保护
  个人位置信息在国外越来越受到重视,针对苹果未经许可追踪、收集用户位置信息的行为,各国也是纷纷展开调查,甚至采取措施予以监管和处罚,但各国监管机构采取的措施和依据是不一样的。
  1.韩国对位置信息的保护
  韩国是在位置信息保护方面做得最好的国家。韩国早在2005年就制定了专门的《位置信息保护与使用法》(Act On The Protection, Use, etc. of Location Information,2005年法律第7372号),旨在保护个人位置信息,以防位置信息泄露、被滥用与误用,提升位置信息使用的安全环境,并促进位置信息的使用。该法令第三章以整章的内容对位置信息保护予以了规定。其中第十五条明确提出禁止搜集位置信息:(1)非经个人或移动设备所有者的同意,任何人不得收集、使用或者提供个人的位置信息或移动设备信息;(2)任何人不得以复制他人通讯设备或者盗取信息等欺骗性的方式取得他人的个人位置信息;(3)任何租借者出租带有收集位置信息功能设备的必须告知租借者该设备具有位置信息收集装置。
  第十六条确立了保护位置信息的措施,包括采取管理措施建立位置信息管理和处理程序的指南以防止信息泄露;采取安装防火墙、加密等技术措施以保障位置信息安全等等。第十七条明确提出禁止位置信息提供者及其员工在履行职责过程中泄露、转换、损害和曝光他人位置信息。第十八、十九条提出收集使用个人位置信息的条件,主要是需要得到个人位置信息所有者的同意。
  针对苹果手机收集用户位置信息的行为,韩国通信委员会(Korea Communication Commission)经过4个月调查,发现即使iPhone 用户终止其手机定位系统,苹果仍在2010年6月22日至2011年5月4日这一期间搜集到用户的行踪。韩国通信委员会因而于8月3日对苹果公司开出了全球第一张罚单,理由是苹果在未经许可的情况下在韩国搜集iPhone用户的位置信息,违反了韩国《位置信息使用与保护法》的相关规定。
  同时,2011年4月底,iPhone用户金炯锡向昌原地方法院起诉苹果韩国分公司,告其收集iPhone用户位置信息,侵犯私生活,要求赔偿100万韩元精神损失费。结果法院判令被告苹果韩国分公司支付精神损失费。2011年6月末苹果韩国分公司给金炯锡汇了扣除银行手续费2000韩元的99.8万韩元。
  2.美国对位置信息的保护
  与韩国专门立法保护相比,作为苹果、谷歌、微软等互联网巨头公司的母国,美国还没有正式的位置信息保护特别法,面对越来越多的涉及位置信息的诉讼案件,一般只能通过现有法律中的关于隐私权保护相关的条款进行解释和利用。在诸多苹果用户起诉苹果公司收集位置信息等侵犯隐私的案件中,原告最常引用的两部法令是《存储通信法(Stored Communications Act)》和《联邦窃听法案(Federal Wiretap Act)》,这两部法案更多的是涉及对个人隐私权的保护,可见在美国,位置信息在很多时候还是被纳入到隐私权的保护范围之中。
  《存储通信法》是1986年的《电子通信隐私法》第二章的内容,其第2701条规定了非法使用存储信息的行为,授予公民隐私权利以禁止以下行为:(1)未经允许,有意通过电子通信服务而接近使用存储信息;(2)有意超越授权范围而接近通信设备,借此取得、改变或阻止他人接近有线或无线通信中存储的信息;但经相关权利人授权的行为不在此规定适应范围内。在In re iPhone Application Litig一案中,原告Gupta 和Rodimer就诉称苹果违反第2701条的规定,有意进入并收集用户临时储存在手机里的位置信息。
  《联邦窃听法案》第2511条规定了禁止对有线、口头和电子通讯的拦截窃听和披露:法案授予公民一项隐私权利禁止有意拦截或尽力拦截任何有线、口头和电子通讯的信息;禁止使用那些明知或有理由知道信息来源于违反窃听法案规定而获得的有线、口头和通讯信息。在In re iPhone Application Litig一案中,原告提出,苹果公司通过Wi-Fi基站、手机基站和用户设备上的GPS数据收集了用户的地理位置信息,并利用这些位置信息来为苹果公司获利,原告认为苹果公司的行为违反了《窃听法案》第2511条的规定。
  但案件的最终判决里,法官认为原告的证据和理由不够充分,原告告不能充分证明其因苹果收集位置信息而遭受到实际损失,所以法院并没有支持原告的诉求。总的来说还是因为美国对位置信息的保护不系统,也没有具体的法律规范,这也让法官在对收集位置信息的行为判断造成影响。为此,美国参议院阿尔?弗兰肯(Al Frankel)于2011年就提出了《位置隐私保护法》(Location Privacy Protection Act)的草案,这项法案要求公司在收集或共享移动位置信息前,必须得到用户的同意,法案也禁止移动应用秘密监控用户位置。《位置隐私保护法》要求像苹果和谷歌这样的公司以及应用程序开发商在与第三方共享信息之前要获得移动用户的同意,目前该法案还在国会听证、审议过程之中。
  其实早在2012年,美国总统奥巴马就签署并公布了旨在保护消费者权利的《消费者隐私权利法案》(Consumer Privacy Bills of Right),该“权利法案”重点强调了业界公司在使用数据计划方面必须保持公开透明,确保数据安全,用户可以主张数据是否能被收集,被收集的数据信息应该反馈给用户,厂商所提供的信息必须准确无误等。该法案主要包括七个方面,其中涉及到位置信息保护相关的有:
  A. 个人控制, 消费者有权控制企业对个人数据的收集和使用行为, 企业应当为消费者提供适当的控制个人数据收集、使用和公开的手段; 企业应为消费者提供清楚而简洁的选择,在适当的时间、通过适当的方式呈现给消费者,使消费者能够对个人数据的收集、使用和公开做出充分的考虑和选择。B.透明度,消费者有权无障碍理解和获取有关隐私及其安全保障的信息。在最有利于消费者理解隐私风险和个人控制的时间和地点,企业应当清楚地说明如下:收集个人数据的种类;收集个人数据的原因;所收集的个人数据的用途;在何种条件下删除数据或者删除数据中消费者的身份信息;是否与第三方分享这个数据以及分享的目的。F.收集控制,消费者有权合理限制企业对个人信息的收集和保存。企业收集个人数据应以他们足以实现“情境一致”原则所允许的特定目标为限。除非法律另有规定,企业不再需要个人数据后应以安全方式删除个人数据或清除个人数据中的身份信息。
  (三)我国现有法律制度下的位置信息保护
  央视爆出苹果跟踪、收集用户位置信息后,各大媒体对苹果公司的批评就不绝于耳,然而让人尴尬的是:几乎所有媒体都在评论苹果收集用户位置信息的行为是不对的,但却鲜有媒体文章分析苹果公司的行为为何不对?是否违反了我国相关法律的规定?违反了哪一项法律规定?
  如前文所述,我国并无针对位置信息保护的专门法律规范,根据“法无禁止即自由”的古老法律原则,如果想要限制甚至惩戒类似苹果公司收集用户位置信息的行为,必须寻求我国现有法律制度上的依据。在没有具体法律法规对“位置信息”加以明确规定的前提下,根据前文论述的位置信息与个人信息的关系,我们尝试来寻求在“个人信息”项下的保护。
  2012年年底,全国人大常委会通过了《全国人大常委会关于加强网络信息保护的决定》,首次以法律形式明确规定保护公民个人及法人信息安全。该决定将其保护的信息界定为“公民个人电子信息”,该信息包括了两类信息:一是能够识别公民个人身份的信息,二是涉及公民个人隐私的信息。《人大决定》提出了个人信息保护的基本原则和信息收集规则:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。”
  此外,2013年工业和信息化部第24号令公布了《电信和互联网用户个人信息保护规定》,进一步完善了电信和互联网行业个人信息保护制度。该《规定》明确了用户个人信息收集和使用原则:要求电信业务经营者、互联网信息服务提供者收集、使用用户个人信息应当遵循合法、正当、必要的原则,并对用户个人信息的安全负责。《规定》同时也规定了用户个人信息收集和使用规则:要求电信业务经营者、互联网信息服务提供者制定并公布其信息收集和使用的规则;未经用户同意不得收集、使用用户个人信息;明确告知用户其收集、使用信息的目的、方式和范围等事项;不得收集提供服务所必需以外的用户个人信息;在用户终止使用服务后应当停止对用户个人信息的收集和使用,并提供注销号码或账号的服务;不得泄露、篡改、毁损、出售或者非法向他人提供用户个人信息等。
  如前文所述,能够识别出特定身份的位置信息也属于个人信息,而位置信息中有相当一部分可以识别出用户的身份。并且位置信息因为涉及到特定用户的生活轨迹,敏感度较高,应当受到更为严格的保护。在央视曝光的苹果事件中,苹果手机定位服务的“常去地点”功能是默认开启的,只要定位服务打开,隐藏在其项下的常去地点就会开启,这种默示同意的机制与位置信息应受保护的程度是不相匹配的。我们认为对于个人信息中敏感度较高的位置信息,应当获得用户明示、明确和特定的同意。“常去地点功能”应当由用户方主动选择开启而开启,而不是默认开启。因此,我们认为,对于“常去地点功能”的设置,苹果存在着一定的设计瑕疵,应当对此做出改变和完善。
  三、立法建议
  如本文第二部分所论述,我国现有法律制度中并无对位置信息保护的具体规定,在移动互联网时代,建立健全位置信息保护的法律依据是十分必要的。从立法角度来说,有两种模式可以借鉴,即在现有法律制度下增加新的法律条款,或者是制定新的法律对位置信息加以保护。
  第一种模式,在“个人信息保护”相关法律中增加“位置信息”条款,明确对位置信息的法律保护。前文已经论述,将位置信息作为个人信息加以保护理论上是可行的,可以通过对相关法律法规的解释来将位置信息纳入到个人信息的保护范围。但是这种方式仍不够明确,所以在现有的规定中加入位置信息保护条款,以书面的形式明确位置信息的法律地位更为必要。
  第二种模式就是学习韩国的经验,在条件成熟的情况下制定位置信息保护专门法。在专门法中对位置信息的定义、位置信息的收集使用原则、收集使用规则以及基于位置信息服务业务等都以法律条文加以明确的规定。
  从目前我国国情来看,采取第一种模式比较实际,即在未来我国个人信息保护法中可以考虑增加位置信息保护条款,将位置信息明确纳入法律保护框架。