App過度收集與使用個人信息的法律規制問題研究

韓德民　汪子辰

摘要：保護公民個人信息已經成為信息化時代的重要課題，為推動《個人信息保護法》的出臺，完善我國個人信息保護體系，促使信息合理流通，通過整理App過度收集與使用個人信息的問題，分析我國現有保護個人信息體系的不足，在此基礎上有針對性地借鑒國外優秀做法和實踐經驗，結合我國國情在推動立法、引入行業自律模式、設立專門機構方面提出建議。

關鍵詞：App 個人信息 立法借鑒 法律保護

中圖分類號：F832? 文獻標識碼：A? 文章編號：1009-5349（2020）13-0084-02

隨著科技進步和互聯網的發展，大數據技術在諸多領域得到應用。而個人信息作為大數據技術的基礎和核心，在“數據是黃金”的利益驅動下，有關公民個人信息泄露的侵權案件大量出現，其中App成為過度收集與使用個人信息的重災區，具體表現為過度索取權限以收集用戶個人信息。國家高度重視這一問題，四部委聯合發布公告，決定開展為期一年的治理App過度收集使用個人信息的專項行動。本文擬從治理App過度收集與使用個人信息亂象的視角，分析現有個人信息保護方面存在的問題，研究保護個人信息的對策。

一、App過度收集與使用個人信息的問題整理

（一）申請權限和與業務功能無關

部分App申請的權限與其對應的產品功能不能明確掛鉤，甚至超出用戶合理預期。中消協發布的測評報告顯示，位置信息、訪問通訊錄、讀取電話等權限存在被廣泛申請并有過度使用的嫌疑。如短視頻App要索取日歷、通訊錄等權限和信息涉嫌過度收集。

（二）隱私政策不明確、不規范

隱私條款是數據運營商向用戶說明自己要如何收集、使用、存儲、共享、轉讓個人信息[1]。但是部分App存在隱私條款模糊不清的問題。在告知的方式上，缺乏對重點內容的提示。在內容方面，有的隱私政策內容晦澀冗長，文本專業性強可讀性差，普通用戶沒有耐心讀完或是讀不懂內容。

（三）通過一攬子、強制等方式索取權限的問題突出

部分App會采取一攬子索取權限的方式，向用戶一次申請多項甚至所有權限的授權，以期獲得盡可能多的權限?；蚴菍⒒緲I務功能與其他業務功能綁定，如果用戶不同意提供非基本業務功能的權限，也將無法使用App的基本業務功能，變相強制性的索取權限。

二、法律規制App過度收集使用個人信息的問題與不足

（一）立法分散，不成體系

近年來，我國關于保護公民個人信息出臺了一些法律法規。由于缺乏規范、系統的立法思路，這些分散在各部法律和行政規章中的法條規定大體相似，呈現出內容重合卻標準不一的情形。各部法律間不能有效協同，互相補充，沒有形成環環相扣、層序分明的法律體系，使得公民的個人信息無法真正有效地得到保護。

（二）法律規定過于抽象，難以適用

現有法律多為原則性規定，對于法條的概念、范圍和認定情形并沒有具體的解釋界定。例如數據運營商應遵循的正當、必要原則缺少依據，收集目的的限定和過度收集的情形不明晰，也并未規定賠償數額。相關的具體問題缺乏法律上的規定，存在很多模糊地帶，難以適用。

（三）刑罰為主，重刑輕民

民法上關于個人信息方面的法條，存在著個人信息范圍界定模糊，侵權行為的認定缺乏依據，以及民事賠償的標準不明等問題，加之取證和舉證的難度大等因素，被侵權人通過民事訴訟維權的效果十分有限，民事責任需要得到進一步強化。[2]而刑法上“侵犯公民個人信息罪”對于侵犯個人信息行為的認定較為明確，使得實踐中出現了“刑主民輔”的現象，大量構不成刑事犯罪的侵權行為只能不了了之。

三、域外法律制度與實踐經驗及啟示

（一）域外的法律制度與實踐經驗

1.歐盟

歐盟采取了“統一立法”模式，在國家層面制定統一的保護個人數據的法律規范，設立國家數據保護委員會。歐盟的《通用數據保護條例》偏重于將個人信息視為一項基本人權，著重考慮個人信息的人權屬性和社會價值，更強調對個人信息的保護和尊重，規定用戶享有查閱權、被遺忘權、限制處理權等諸多權利。DDPR（General Data Protection Regulation，簡稱DDPR）的保護標準較高，特定企業必須配有數據保護官，并且處罰力度極大，最高可達企業年營業額的百分之四。

2.美國

美國有著發達的自由化市場，更為強調對個人信息的利用，因此美國在保護個人信息方面采取了“分散立法”結合“行業自律”這種軟硬法協調的模式。在政府層面的公領域以隱私權為基礎采取分散立法的模式，即分別制定各個領域關于個人信息保護的法律。而在非公領域則采取了行業自律的模式。自律機制是指在國家統一立法以外，非政府組織為了規范行業行為，主動設立行為規范的一種機制[3]。由各個行業聯盟結合行業特點，主導制定行為規章和行業指引，成員需采納、遵守制定出的自律性規范，另外還有多個非政府主導的網絡隱私認證組織。

（二）啟示

我國可以借鑒歐盟GDPR所體現的“風險路徑”思路，根據不同的風險等級設立不同的義務。舉例來說，開展征信業務的公司處理個人信息所面臨的風險與面包店面對的風險迥然不同，因此GDPR對兩者的要求也不相同[4]。這樣可以在最大限度上避免監督管理僵化等問題。美國行業自律機制更為靈活且有針對性，能隨著技術進步不斷改進，更加符合行業利益。同時我們也要注意到，歐盟的GDPR對個人信息的管控過于嚴格，限制企業和個人的合理發展[5]。因此在借鑒時要平衡好保護和利用的關系。還應看到美國的行業自律是建立在成熟的訴訟機制和完善的外部執法模式上的，而且美國有著濃厚的自律文化，我們在引入行業自律模式時要結合我國國情。

四、規范App收集使用個人信息行為的建議

（一）出臺《個人信息保護法》

如前文所述，目前我國關于個人信息保護的法律沒有形成層次分明的體系，因此為打擊過度收集和使用個人信息的侵權行為，保護公民的基本權利和合法利益，維護國家信息安全，促使信息規范流通和利用，應當出臺《個人信息保護法》。筆者對于《個人信息保護法》提出以下幾點建議。

1.明確信息主體權利

《個人信息保護法》應當明確信息主體享有個人信息權，應明確個人信息的內容，列舉信息主體享有的權利，包括信息主體對個人信息的知情權、決定權、更正權等。另外，權利的設置還應與時俱進，緊跟大數據技術的發展并結合現狀，借鑒國際立法，設置諸如被遺忘權等新興的權利形式。

2.依法保護和合理利用相結合。

對個人信息的財產屬性人們已有共識[6]。如何處理保護和利用個人信息之間的關系成為時代課題。筆者認為，應在區分個人敏感信息和一般個人信息的基礎上，劃分保護和利用的程度。對于個人敏感信息，其處理和使用只能在信息主體同意的范圍內進行。而對于一般個人信息，應允許國家機關和數據運營商能夠依法在合理的范圍內處理和使用個人信息，加強對于個人敏感信息保護的同時重視一般個人信息的利用，協調個人信息利用和保護之間的沖突，實現利益平衡[7]。讓個人信息“黃金”變“石油”，流動起來發揮數據的價值，推動社會進步。

3.明確法律責任。

《個人信息保護法》應當落實各機關的監管職責，明確過度收集與使用個人信息的情形和界限，對于違法行為造成的后果承擔賠償責任，明確被侵權人的各種救濟途徑，包括司法救濟、行政救濟等。

（二）采取統一立法結合行業自律的模式。

根據我國治理現狀和基本國情，筆者認為我國在個人信息保護方面應在公共領域和非公領域主要采取統一立法的方式予以規定，將行業自律作為非公領域的重要補充。統一立法方面，應區分國家機關因履行法定職責收集公民個人信息的行為和數據運營商為了商業目的收集個人信息的行為。國家機關應注重規定國家機關合法收集信息的情形和目的、政策公開等方面的內容。對于非公領域，應著重規定能夠收集與使用個人信息的資格條件，收集使用個人信息的范圍等方面的內容。還應重視行業自律對于非公領域統一立法的補充作用，各行業可以依照《個人信息保護法》等相關法律，提出本行業的行為規范。然后，行業規范在經過主管部門審查批準后發行。由于我國行業自律機制還不完善，完全自主的模式可能達不到預期的效果，因此，適度的政府引導能夠加強自律性行為規范的執行力，也能避免運動員和裁判員不分的現象。

（三）設立專門的機構

目前我國還沒有專門保護公民個人信息的機構，而是由幾個部門分散監管，容易出現真空管理和重合管理的情況。建議成立專門保護個人信息的機構。機構的具體職責和權限包括：監督國家機關和數據運營商收集和使用個人信息的行為，為公民提供個人信息方面的法律咨詢和維權服務，起草相關具體政策及負責落實有關的國家標準，審查各行業的企業自律性行為規范，接受并處理個人信息侵權的投訴、申訴等方面。以個人信息保護機構為中心，其他部門配合工作，構建起保護公民個人信息的行政體系。

參考文獻：

[1]洪延青.網絡運營者隱私條款的多角色平衡和創新[J].網絡空間戰略論壇，2017（9）.

[2]王利明.論個人信息權的法律保護：以個人信息權與隱私權的界分為中心[J].現代法學，2013（4）.

[3]齊愛民.個人信息保護法研究[J].河北法學，2008（4）.

[4]洪延青.解鎖GDPR的正確姿勢：風險路徑[J].中國信息安全，2018（7）.

[5]洪海林.個人信息保護立法理念探究：在信息保護和信息利用之間[J].河北法學，2007（1）.

[6]張平.大數據時代個人信息保護的立法選擇[J].北京大學學報（哲學社會科學版），2017（5）.

[7]張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學，2015（3）.

責任編輯：趙慧敏

[作者簡介]韓德民，西南民族大學法學院在讀本科生，研究方向：經濟法;汪子辰，西南民族大學法學院在讀本科生，研究方向：經濟法。