恶意手机程序引发的法律责任浅析

宋伟锋张晓建

（1克拉玛依市人民检察院 新疆克拉玛依834000；2江西省会昌县人民法院 江西会昌342600）

一、恶意手机软件概述

1.恶意手机软件的概念。恶意手机软件，一般是指在用户不完全知情和认可（它包括未经用户许可、强迫引导用户许可或隐瞒关键信息等）的情况下强行安装到用户手机中，或者一旦安装就无法正常卸载和删除，但又具备一定正常功能的软件程序，易造成恶意吸费、非法收集用户信息等侵权。

从恶意手机软件定义可知，恶意手机特点：强行捆绑、违法收集用户信息，恶意吸费。强行捆绑主要表现：未经用户同意，强行捆绑书签、快捷键等可恢复性内容；下载目标软件自带其他无用软件。违法收集用户信息主要表现：未经用户许可，获取短信、彩信、邮件以及通话记录等内容；未经用户许可，获取地理位置、手机号码等信息；未经用户授权，获取本机已安装软件、各位账号、各类密码等信息。恶意吸费的主要表现：自动订购手机增值业务；自动利用手机支付功能消费；直接扣除用户资费；自动订购各类收费业务。据金山手机安全中心数据，近期发现MDF.A.keji.a恶意程序通过植入“可爱的美女”等图片等低成本程序，通过更新提醒方式传播，诱骗用户安装后台程序，并通过后台发送付费短信。

2.恶意手机软件危害。据腾讯2015年上半年手机安全报告，手机病毒用户感染人次达到1.4亿，同比增长58%；手机支付病毒用户达到1 145.5万人次；腾讯手机管家举报垃圾短信3.08亿次，其中，诈骗短信3 692万次；腾讯手机管家举报骚扰电话6.79亿次。以上数据仅为腾讯公司提供，只是检测到使用腾讯软件的用户，对于没有使用的还有一定比例基数。可想而知，手机恶意软件危害用户数量之庞大，发展速度之快，严重扰乱用户正常使用手机，其危害不言而喻。恶意手机软件危害包括上述阐明恶意手机软件特征，所以在此对危害不作过多陈述。其实恶意手机软件的危害也是智能手机的危害，主要危害包括恶意吸费、诱骗欺诈、系统破坏和隐私获取四大类，占比高达96%。根据中国IT研究中心调查结果，恶意手机软件最大的危害主要是手机安全问题。从调查结果比例显示，在受访用户中，收到骚扰电话和短信，占比63.2%，占比最大；其次，是手机运行慢、死机问题，占比47.2%;再是，无故消耗流量的问题，占比45.9%。在智能手机普及的今天，恶意手机软件造成对用户的危害，影响到手机市场的良性发展，最终成为制约智能手机发展的瓶颈。

3.恶意手机软件屡禁不止的根源。恶意手机软件之所以泛滥，是利益驱使的结果。任何市场行为都离不开逐利性，但是超越法律规范，侵害他人合法权益，就演变成违法乃至犯罪。从恶意手机软件获利过程看，利益主体：手机增值业务服务商（SP服务商）、手机制造商、通信运营商；运作过程：SP服务商将预装软件提供给手机制造商，向手机制造商支付一定费用，制造商将预装软件内置于手机，由通信运营商配置通信服务或提供结算平台和支付系统，运营商收取使用费。SP服务商的利益从广告公司、游戏推广公司及软件吸费等获取。据华商报，一手机恶意代码年度吸费5 000万，其利润超过贩毒。可见，恶意手机软件利益链背后隐藏着巨大“黑金”。

二、从法律角度探析恶意手机软件责任

1.从合同角度谈恶意手机软件责任。恶意手机软件强行捆绑、吸费及非法获取用户信息的行为，根据合同成立要件，手机销售商转移手机所有权于手机购买者，用户履行支付购买手机的价款义务。根据《合同法》第153条规定，出卖人应当按照约定的质量要求交付标的物。出卖人提供有关标的物质量说明的，交付标的物应当符合该说明的质量要求。手机销售商对于出售的手机负有质量瑕疵担保责任，交付给用户的手机保证安全使用。根据合同相对性，手机经销商与手机购买者之间是合同缔约者，除了《合同法》规定手机经销商对手机质量有保证义务外，2010年4月21日，工信部制定的《移动电话机定制管理规定》对手机质量作出相应规定。在第八条规定中，“定制方应加强对定制话机内置业务的审查，严格落实信息安全管理责任，保护消费者合法权益。”从定制手机恶意软件造成危害情况看，通信运营商（中国移动、中国联通、中国电信）从手机制造商那定制手机，负责对手机制造商生产的手机预装、内置软件进行审查的责任，对于内置软件恶意吸费，造成用户信息泄露等情况负有安全管理责任，对消费者权益损害承担审查不作为或审查不严的责任。根据第十四条规定，“定制话机不得内置固化的SP代码、SP服务链接以及SP客户端软件。”在实践中，手机SP服务商通过给付一定费用给手机制造商，制造商于生产环节中，预装或内置恶意软件，通信运营商通过支付结算系统，为恶意手机软件提供服务渠道。这属于第25条整改通报规定的情形。

2014年9月23日，工业与信息化部公布《工业和信息化部关于废止和修改部分规章的决定》修正，该规定要求，电信生产商申请进网许可时需提交检测报告、质量认证书。而携带恶意手机软件的手机能蒙混过关，通过检测认证，检测的结果值得怀疑。另外规定要求获得入网许可的电信生产企业不得降低质量。对于修正规定涉及内容局限，不足以包含恶意手机软件运作过程。之所以恶意手机软件的相关利益主体有恃无恐，关键在于处罚力度小，本修正案最严厉的处罚10万元或者违法所得的5倍，这对于违法主体而言，违法成本过小，况且实践中违法所得认定困难，往往认定数额很小，这就导致责任与利润比例失调。到头来，恶意手机软件的利益群体把这款“黑金土壤”作为自己的责任田。

站在《合同法》的角度看，工信部对于移动通信相关主体的规定属于对《合同法》主体义务的细化。法律对于手机预装软件规定义务空白，使得恶意手机软件都能顺利预装或者捆绑。根据《合同法》第130条规定，当事人一方不履行合同义务或者履行合同义务不符合约定，给对方造成损失的，损失赔偿额应当相当于因违约所造成的损失，包括合同履行后可以获得的利益，但不得超过违反合同一方订立合同时预见到或者应当预见到的因违反合同可能造成的损失。该规定对于手机经销商违反合同义务行为，损失赔偿责任范围划定边界。恶意手机软件吞食用户额外话费，致使用户的话费、流量费、短信费等额外支出都属于赔偿范围。合同随附义务本身具有辅助或保护功能，是以债权人给付利益最大可能的满足为目的。标的物瑕疵致使损失或侵害债权人法益均为违反保护义务，倘若债务人不具有免责事由，则应当承担赔偿义务。

《合同法》第130条第二款规定，经营者对消费者提供商品或者服务有欺诈行为的，依照《中华人民共和国消费者权益保护法》的规定承担损害赔偿责任。为此，对欺诈解读认定是先导，结合《民通意见》第68条规定，一方当事人故意告知对方虚假情况，或者故意隐瞒真实情况，诱使对方当事人作出错误意思表示的，可以认定为欺诈行为。手机经销商在销售过程中，隐瞒手机预装软件携带恶意手机软件的情况，诱使用户不当使用手机，造成用户通信费用无故损失。对于部分经销商辩解自身故意安装预装软件的，更不知道恶意软件存在，否认预装软件携带恶意软件，对吸费、泄露用户信息不予承认。根据民事举证规则，“谁主张，谁举证”原则。作为合同主体一方手机用户，面对科技含量高的恶意软件举证能力有限，流量费、话费捆绑在正常话费之内，很难发现；恶意软件自动开启流量，偷流量认定情况困难；用户信息泄露举证更是困难重重。

2.从侵权法角度谈恶意手机软件法律责任。恶意手机软件违法泄露用户信息、恶意吸费的行为，严重侵害手机用户隐私权、财产权。恶意手机软件窃取用户通讯录、通话记录、短信信息、网银账户等个人信息，这种恶意软件读取用户信息的行为，按照《侵权法》第六条规定，行为人因过错侵害他人民事权益，应当承担侵权责任。根据法律规定推定行为人有过错，行为人不能证明自己没有过错的，应当承担侵权责任。《侵权法》对隐私权未划定明确范围，对于隐私权侵害，达到何种程度才能构成侵权，隐私权责任构成及责任承担方式都不明确，手机用户难以证明个人信息泄露是恶意软件造成的。现有产品侵权责任的承担方式对用户隐私权保护有限，隐私权一旦受到侵害，仅仅依据消除影响、赔偿损失、停止侵害等，对于隐私权的恢复效果不大。

根据《侵权法》第四十三条规定，因产品存在缺陷造成损害的，被侵权人可以向产品的生产者请求赔偿，也可以向产品的销售者请求赔偿。该规定阐明了责任构成和责任承担主体，但是对于大多数用户来说，生产商一般不在用户所在地，只能追究销售商责任。恶意手机软件不当吸费，造成用户话费流失，财产权受到侵害。手机内设的预装软件有的是制造商出厂时设置的，有的是生产商根据销售商要求定制的，都可以认定为产品缺陷。预装软件符合电信行业规定，对于预装软件捆绑的恶意软件识别难度大，用户很容易受到损失。对于通信运营商为手机制造商、销售商、软件服务商提供话费支付系统的行为如何定性，是连带责任还是按份责任？运营商对在恶意吸费、非法收集用户信息环节中提供服务行为，一旦被认定为共同侵权行为，运营商要承担侵权责任。根据利害关系，运营商选择协助手机制造商、销售商、SP服务商，手机用户成为垄断主体宰割的羔羊，权益维护难上加难。因此，要保护用户权益，就必须明确运营商等利益主体的侵权构成要件认定，侵权举证责任，否则用户权益难以保证。

3.从刑法角度谈恶意手机软件法律责任。恶意手机软件非法窃取用户个人信息的行为，可以根据《刑法》第253条规定的非法获取公民个人信息罪论处。非法获取公民个人信息罪是指个人或单位窃取或其他方法非法获取公民个人信息，情节严重的行为。目前我国非法获取公民个人信息罪的打击力度有限，司法实践中以此罪论处的少。该罪对公民个人信息范围未作明确规定，此外，情节严重的认定标准不一，自由裁量空间太大，为该罪适用留下潜在隐患。从刑法角度看，恶意手机软件侵害用户个人信息的情况，刑法保护捉襟见肘。

三、治理恶意手机软件的建议

1.规定恶意手机软件相关主体法律责任。伴随恶意手机软件泛滥，用户个人信息泄露、话费流失、手机安全受到的种种威胁情况，从法律途径规制恶意手机软件侵害用户的法益行为势在必行。在民事、行政法律方面，《合同法》对于买卖合同规定，卖方转移标的物所有权明确规定，但对于随附义务比较模糊。合同随附义务往往根据交易习惯，对于手机销售商所销售手机的瑕疵担保责任不明确。

《合同法》明确随附义务，对手机来说，就是保证手机安全通话、上网等功能使用。对恶意手机软件的捆绑、恶意吸费、非法获取公民个人信息、致使手机死机、损坏原有文件数据等行为，手机销售商对以上侵权行为负有概括性责任。对于制造商、销售商、SP服务商、运营商之间的责任划分暂不讨论，《合同法》理应平衡买卖双方义务，才能保证平等主体地位。

2.建立移动应用统一程序认证机制。工信部制定统一的手机禁止携带预装软件的规定，有利于从手机出厂时，杜绝恶意软件捆绑于预装软件的可能性。对于论坛及应用商店下载携带的恶意程序问题，应加强移动应用商店、移动应用程序的安全管理，督促应用商店建立健全移动应用程序开发者真实身份信息验证、应用程序安全检测、恶意程序下架、恶意程序黑名单、用户监督举报等制度。建立健全移动应用程序第三方安全检测机制，构建移动应用统一程序认证机制。未经过统一认证的手机销售行为，可以不予办理入网许可证手续。对于利用时间差，骗取入网许可证的，应追究销售商、制造商的产品安全不达标的责任。

3.手机监管部门执法检查。手机监管部门执法必须通力合作，工商部门与电信部门明确分工，形成联动机制。对于工商部门执法检查，查处的手机销售不合格的情况，电信部门要及时配合，对扣押的不合格产品进行鉴定，提供技术依据。对执法检查工作涉及的管理部门，要根据职责进行分工，防止重复工作，充分发挥检查的有效性。

[1]金山手机安全中心.中国手机恶意软件分析报告[EB/OL].http://www.cnetnews.com.cn/2011/0316/2022590.shtl.2015-08-22.

[2]手机恶意代码每年吸走话费5千万，利润超过贩毒[N].华商报.华商报，2012-04-09.

[3]韩世远.合同法总论[M].北京：法律出版社，2011.

[4]张明楷.刑法学[M].北京：法律出版社，2011.