本文作者:王露

本文系浙江大学《互联网与法学》课程成果

事件简介

据新京报报道,一种以“WiFi探针”为主要技术手段的广告营销设备正在悄然兴起,该类设备可以获取附近用户的手机mac地址及已连接WiFi名等用户信息并发送强制手机弹窗,也可以冒充已连接WiFi在微信置顶界面投放三四个小时都无法消除的“狗皮膏药式”广告。

此外,一些生产“WiFi探针”设备的公司通过与电信运营商合作获取了手机用户mac地址和手机号的关系,使得广告主可以通过打电话、发短信及弹窗广告的方式进行营销;另一些公司则接入了互联网公司的大数据库,为广告主提供用户画像,其用户画像内容可以精确到用户的年龄段、学历、职业、收入、婚姻状况、运营商、最喜欢登陆哪个APP等等,以实现营销广告的精准投放。

“WiFi探针”设备的发明和使用已经影响到了用户的生活安宁。在新京报报道此种情况后,许多网民都质疑“WiFi探针”设备的存在是否合法。

“WiFi探针”设备从生产到使用的整个环节中,主要涉及到互联网企业、“WiFi探针”设备销售者(由于技术上的实现问题,“WiFi探针”设备的生产者通常就是销售者)和广告主三方的行为。本文拟从“WiFi探针”设备所涉及到的行为入手,对以上三个主体的行为合法性问题进行研究探讨,并在此基础上反思互联网时代我国公民的个人信息保护问题。

互联网企业行为的法律分析

互联网企业的行为实质上就是利用cookie及同类技术,收集一段时间内特定计算机、移动设备在互联网上的相关行为信息从而进行数据分析,并将数据分析结果和绘制的用户画像与“WiFi探针”设备销售者共享,以实现营销广告精准投放的目的。

互联网企业向WiFi设备销售者提供信息的行为是否构成侵犯公民个人信息罪?

要探讨互联网企业提供数据分析结果及用户画像给“WiFi探针”设备销售者的行为是否构成侵犯公民个人信息罪,首先需要界定互联网企业提供的信息的性质。

关于这个问题,学界目前存在许多争议。有学者认为,可识别性是判断个人信息的关键特征,匿名化与可识别性之间并非等号的关系。在现行技术下,将匿名化数据恢复成为身份数据并非难事,且互联网企业从一个用户身上收集的多元化数据结合起来实际上具有高度识别性,完全可以指向特定用户,鉴于这些信息间接识别身份的高度可能性,应当认定这些信息为公民个人信息。但是也有些学者认为由于这些信息无法确定具体的信息归属主体,没有定向识别用户身份,因此不属于公民个人信息。

在实践中对于这个问题的认识也存在分歧。在我国目前仅有的一例与定向广告中个人信息保护相关的诉讼案件是“朱烨诉百度公司侵犯隐私权案“,该案一审和二审对该问题的认识就存在巨大的分歧。一审法院认为个人隐私包含私人活动在内,原告利用网络进行检索的行为将在网络上形成私人活动轨迹,因此这些信息属于个人隐私的范围。但是二审法院认为,由于这些信息存在匿名化特征,不符合个人信息的可识别性要求,因此其性质上不属于个人信息。

笔者认为,如果互联网企业向WiFi设备销售者提供这些信息的时候真正做到其声明中承诺的“可能将经处理无法识别您的身份且接收方无法复原的信息,如匿名化处理的用户画像,与广告服务商或广告主共享”,那么这些信息就不属于公民个人信息。

相关法条

根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第1条的规定:“《刑法》第253条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”其中第3条第2款但书部分将“向他人提供经过处理无法识别特定个人且不能复原的信息”排除在《刑法》第253条之一规定的“提供公民个人信息”的范围之外。

根据法条可以看出,公民个人信息包括身份识别信息和特定自然人的活动情况信息,其中“可识别性”(或者说与特定自然人的关联性)是公民个人信息的核心属性。而互联网企业提供给WiFi设备销售者的信息虽然较为多元化,但是如果其进行了较为彻底的匿名化处理,即按照目前一般的技术手段无法再进行还原,那么即使这些多元化信息结合起来,实际上也是无法从茫茫人海中定位到某个特定用户的,因此这些信息不符合公民个人信息中的“可识别性”要求,不能属于公民个人信息。

由于《刑法》第253条之一规定的“侵犯公民个人信息罪”要求必须具备侵犯“公民个人信息”的实行行为,因此这些在提供信息时严格进行了匿名化处理的互联网企业并不构成侵犯公民个人信息罪。

但是如果互联网企业在向WiFi设备销售者提供信息时没有进行匿名化处理或者所进行的匿名化处理是轻易可以复原的,那么通过这些信息显然可以识别出特定自然人的身份,这些信息就应当属于公民个人信息。

根据《中华人民共和国网络安全法》第42条第1款的规定:“未经被收集者同意,网络运营者不得向他人提供个人信息。互联网企业提供个人信息的行为违反了国家有关规定,符合了侵犯公民个人信息罪要求的前置性要件,一旦符合《解释》规定的情节严重的情形之一,就构成侵犯公民个人信息罪,需要承担相应的刑事责任。”

互联网企业收集并提供用户信息的行为是否侵犯了用户的隐私权?

第一,我们需要甄别互联网企业收集的这些信息是否属于隐私信息。王利明教授将隐私定义为“主要是一种私密性的信息或私人活动,如个人身体状况、家庭状况、婚姻状况等,凡是个人不愿意公开披露且不涉及公共利益的部分都可以成为隐私,而且,单个的私密信息或者私人活动并不直接指向自然人的主体身份”。在此定义下,由于互联网企业收集的这些信息包括用户的上网痕迹、浏览偏好、职业、年龄、收入等等,即使这些信息不对应到特定个人,但这些信息仍然均具有明显的私密性,应当认为属于隐私信息。

第二,我们需要判断互联网企业的行为是否符合侵犯隐私权的构成要件。法律通过规定隐私权来实现的保障内容包括:隐私信息的收集要征得本人同意;隐私信息的传播要征得本人同意;本人有对隐私信息是否公开及公开范围的控制权。因此,如果互联网企业在收集用户隐私信息并将信息匿名化处理后提供给WiFi设备销售者之前严格遵守了“告知和许可”的原则,以明示的方式将自己的信息收集行为告知用户并给予用户拒绝收集的途径,保障了用户的知情权和选择权,则互联网企业的行为不能认为是侵权行为,无需承担相应侵权责任。

但是,如果有些互联网企业未经明示告知用户,也未给予用户拒绝信息收集的权利,悄悄进行信息收集并将信息提供给WiFi设备销售者,那么即使在提供信息时进行了匿名化处理,仍然侵犯了个人对自身隐私的控制权。

虽然在实践中有法院认为侵犯隐私权不仅要求存在侵权行为,还要求造成事实上的实质性损害后果,但是笔者认为隐私权中包含控制权的内容,即自然人有权决定是否对隐私进行公开以及公开的程度的权利,所以隐私信息在未经允许的情况下被披露给他人本身就是一种损害,而不需要其他事实上的实质性损害后果。且互联网企业偷偷收集并提供用户隐私信息的行为主观上存在过错,符合侵犯隐私权的构成要件。因此,此种情形下,互联网企业违反了《侵权责任法》的规定,构成对用户隐私权的侵犯,需要承担相应的侵权责任。

“WiFi探针”设备销售者行为的分析

“WiFi探针”设备销售者的行为是否构成侵犯公民个人信息罪?

“WiFi探针”设备销售者可能涉及此罪名的行为主要有两个:一个是获取信息的行为,另一个是提供信息的行为。

首先,关于“WiFi探针”设备销售者从电信运营商、互联网企业处获取信息的行为,如上文所述,如果互联网企业提供给“WiFi探针”设备销售者的是经过严格匿名化处理以致无法识别特定个人且无法复原的信息,则该行为不属于“提供公民个人信息”。

虽然“WiFi探针”设备销售者除了拥有从互联网企业处获得的匿名信息以外,还拥有通过电信运营商端口拨打电话、发送短信的权限,但是由于其只是拥有权限,并没有获得具体的手机号码,所以这些信息仍然无法结合起来识别特定个人用户,“WiFi探针”设备销售者获取的信息不属于公民个人信息,该行为不属于非法获取公民个人信息。

其次,由于“WiFi探针”设备销售者并不直接向广告主提供用户画像,而只是帮助广告主进行精准广告投放,也不向广告主直接提供手机号,而是由广告主通过设备后台进行拨打电话和发送短信,因此“WiFi探针”设备销售者的行为也不能认定为“向他人提供公民个人信息”。

综上,“WiFi探针”设备销售者不构成侵犯公民个人信息罪。

“WiFi探针”设备销售者的行为是否违反其他法律法规?

“WiFi探针”设备销售者通过“WiFi探针”设备探测到手机mac地址进而在该手机上进行精准广告投放,且此类广告位于微信置顶界面,长达三四个小时无法消除,此种行为已经严重打扰了用户的生活安宁。

2012年,全国人大常委会发布了《全国人大常委会关于加强网络信息保护的决定》(以下简称《决定》),其中明确规定“任何组织和个人未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息”,并明确规定了违反《决定》行为的民事责任、行政责任和刑事责任。虽然该规定较为笼统,但是已经明确禁止了通过骚扰性的广告投放行为。

《广告法》第43条规定:“任何单位或者个人未经当事人同意或者请求,不得向其住宅、交通工具等发送广告,也不得以电子信息方式向其发送广告。以电子信息方式发送广告的,应当明示发送者的真实身份和联系方式,并向接收者提供拒绝继续接收的方式。”同时,第44条规定:“利用互联网发布、发送广告,不得影响用户正常使用网络。在互联网页面以弹出等形式发布的广告,应当显著标明关闭标志,确保一键关闭。”《互联网广告管理暂行办法》中对此进行了进一步明确。

2018年7月,十三部门联合印发《综合整治骚扰电话专项行动方案》,对商业营销类、恶意骚扰类和违法犯罪类骚扰电话进行重点整治。

而“WiFi探针”设备销售者违反手机用户的主观意愿,在手机上强制投放弹窗广告,使用户不堪其扰,此种行为显然已经违反了《广告法》第43条、44条以及《决定》的规定,但遗憾的是《广告法》第63条中仅规定了工商行政部门责令改正此种行为以及广告主的责任承担方式,并没有对WiFi设备销售者这种广告需求方平台的法律责任进行规定。

购买、使用“WiFi探针”设备行为的分析

广告主购买“WiFi探针”设备以后,主要的使用方式是将设备放置在人流量较大的地方,设备就能自动收集人群信息,并在手机上投放三四个小时都无法消除的强制弹窗广告。如果广告主愿意加钱,就可以从设备后台给用户拨打电话、发送短信进行广告推销。

首先,即使广告主是基于正常的广告宣传目的投放广告,其行为也同上述WiFi设备销售者一样,违反了《广告法》第43条、第44条以及《决定》的规定。

其次,如医疗、药品、医疗器械等广告必须通过有关部门的审查以后才能发布,广告主如果未经审查擅自通过“WiFi探针”设备发布此类广告,则构成对《广告法》第46条的违反,根据《广告法》第58条的规定,可能受到工商行政管理部门相应的行政处罚。

最后,如果广告主通过“WiFi探针”设备发布的是虚假信息,那么涉及的可能就不仅仅是民事责任和行政责任,还有可能要承担刑事责任。

第一,广告主如果发布虚假广告,则违反了《广告法》对于广告真实合法的要求,依照《广告法》第55条规定,广告主需承担相应的行政责任;如果达到情节严重的程度,则可能构成《刑法》第222条规定的虚假广告罪;第二,如果用户因相信虚假广告而遭受人身或者财产上的损失,那么按照侵权行为“四要件”构成理论,广告主故意实施了发布虚假广告欺骗用户的违法行为,存在主观过错,而该违法行为造成了用户人身或者财产上损失的损害后果,即违法行为和损害后果之间存在因果关系,此时广告主就应当按照《侵权责任法》的规定承担相应的侵权责任;第三,如果广告主通过“WiFi探针”设备发布虚假信息实施诈骗等犯罪行为,那么就需要承担相应的刑事责任。

总结和反思

我国应当进一步完善有关个人信息保护的立法

从本事例的分析中可以看到,精准广告投放的技术具有复杂性,互联网企业、广告需求平台方及广告主与普通用户之间的信息是严重不对称的。用户信息非常容易被不当或者过度收集,但是在我国现有法律规定下,对精准广告投放过程中可能产生的侵权责任规定较为粗放,责任规定较为粗糙,且通常只有在发生一定的损害后果以后才能得到救济,对事前预防的关注和规制都较少,用户的权利无法得到充分保护。

虽然我国《刑法》在保护“公民个人信息”的规定上已经在不断完善,侵犯公民个人信息罪的打击半径有所扩张,但是仅仅靠《刑法》的单一保护并不能充分实现公民个人信息的有效保护,由于刑法的谦抑性特性,互联网企业、WiFi设备销售者等人的很多行为都无法也不应该用刑法进行规制,因此我国应当注重完善民法、行政法等部门法上关于个人信息保护的规定,在规定的完善过程中,不仅要有充分的事后救济措施,明确责任承担主体和责任承担方式,更要有完备的事前预防手段,从而构建起一个完整的公民个人信息保护体系。

互联网企业等相关主体应严格遵守相关法律法规

新型的“WiFi探针”设备实质上是精准广告投放的一种变相形式,进入互联网时代以后,这种个性化推荐模式其实已经十分常见。精准广告投放能够提高广告的投放效率,不论是对广告主还是对消费者来说,都并非是一件坏事。但是在精准广告投放过程中,不论是互联网企业、广告需求平台方还是广告主,都需要严格遵守法律法规的规定,否则极有可能造成对用户的侵权,具体来说:

互联网企业在收集和利用用户信息时应当要对用户进行明示告知,这种告知应该是清晰明确的,以使用户对信息收集和利用的范围和方式都能知情,并给予用户拒绝信息收集的权利。目前我国大部分互联网企业都通过《使用前必读》等方式对用户进行告知,但是此种告知通常只是位于使用页面的某个角落,即采取明示告知加上默示用户同意的方式进行。

笔者认为,如果仅采用这种模式无法对用户的个人信息进行较好保护,但是如果要求互联网企业收集和利用所有信息时都要求用户明示同意,在实践中操作难度也比较大。因此最合适的方式应该是,我国应当首先对个人信息进行分级保护,互联网企业在采集用户的一般个人信息时可以采取“明示告知加默示同意”的方式,但是在采集用户的个人敏感信息时应当要用户明示同意才可以进行。通过这种方式,使得用户个人信息在收集和利用环节就能够得到控制。

此外,互联网企业还应当对收集到的用户信息进行严格的匿名化处理,达到采用当前技术手段无法复原的程度,以使信息无法识别出特定用户,否则有承担民事责任和刑事责任的可能性。

对广告需求平台方和广告主来说,在进行广告投放时,应当严格遵守《广告法》等相关法律法规的规定,投放的广告必须符合《广告法》的要求,并给予用户选择关闭退出的按钮,减少对用户生活安宁的打扰,否则可能面临行政法上的处罚,如果利用此种技术侵犯了用户的权利,则需要承担民事上的侵权责任,实施相应犯罪的,按照《刑法》定罪处罚。

用户应当增强自我保护意识

互联网的迅速发展给个人信息的保护带来了更大的挑战,由于法律具有滞后性,许多问题暂时都未得到解决。在这种情况下,用户更应当增强自我保护意识,养成经常清理cookie的习惯,不随意在网站上填写涉及个人信息的表单,不随意在各种网站上进行注册,如非必要,拒绝手机软件提出的定位、读取通讯录及联系人等过度采集个人信息的要求,以防止和减少自身个人信息外泄。

(此文观点和内容与本公众号无关)

声明:本文来自互联网法学,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。