大數據時代APP個人信息共享中的困境檢視與完善路徑

摘 要：大數據時代，APP個人信息共享已然成為提高信息利用率、為用戶提供優質服務、促進數字經濟發展的有力手段。APP數據共享中個人信息兼具人格權與財產權屬性，同時具有豐富性、價值性、脆弱性等特征。但目前個人信息共享仍存在許多困境，突出表現在個人信息處理者的義務有待厘清、個人信息監管“多頭混治”、對個人信息的救濟不足等方面。對此，應當在恪守知情同意原則的前提下規范個人信息處理者的義務，包括個人信息處理者的詳盡告知義務、敏感個人信息的單獨告知義務以及“三重授權”原則下的披露義務。為了更好實現個人信息共享，還應優化我國個人信息監管機制，強化公益訴訟功能，著力提升個人信息保護意識和能力。

關鍵詞：信息共享；個人信息保護；知情同意；完善路徑

中圖分類號：D9 文獻標識碼：Ａ 文章編號：１００９ — ２２３４（２０23）01 — ０102 — ０5

一、APP個人信息共享概述

（一）APP個人信息共享的概念內涵

隨著大數據時代的發展進步，個人信息共享在數字經濟發展進程中作用日益凸顯。個人信息共享的范圍逐步擴大，已經拓展到網絡購物、求職招聘、廣告推送、相親交友、房屋租賃等經濟生活的各個領域。在《信息安全技術個人信息安全規范》中，對于個人信息共享有明確定義，即信息控制者向其他控制者提供個人信息，且雙方分別對個人信息擁有獨立控制權的過程。換言之，個人信息共享體現了不同信息控制者之間對于信息處理權的分享過程。［1］而APP個人信息共享則是將信息控制者的身份賦予APP，使個人信息的處理權在不同APP之間進行分享。

（二）APP數據共享中個人信息的顯著特征

在APP對個人信息等有關數據與第三方共享的過程中，個人信息呈現出不同于靜態個人信息的諸多特點，主要體現在以下四方面。

1.個人信息呈現豐富性。一般大多數個人信息為靜態信息或是可以修改的信息。但隨著平臺經濟下網絡與信息技術的迅猛發展，個人信息獲取方式呈現多樣化、獲取內容范圍也日漸擴大化，可利用的個人信息變得更加豐富。許多手機APP獲取個人信息的內容及范圍拓展為用戶訪問足跡、IP地址、生物信息、手機位置等。例如：消費者瀏覽某電商網站或搜索某些商品后，對應電商平臺或網站就會出現個性化的推薦營銷。在相關網站采取了一定技術手段后，消費者的網絡瀏覽記錄也成為了消費者個人信息之一。此外，通過大數據挖掘、融合分析等技術開發，更多有使用價值的新信息內容被不斷利用?？傮w上看，個人信息的種類越多，通過信息分析與對比就越可能識別具體個人；［２］長期來看，諸多以往看似與個人無關的信息，都可能和其他信息建立相關性，并指向一個特定的個體，成為個人信息。［３］

2.個人信息極具價值性。在前互聯網時代，通常認為個人信息沒有經濟價值，只是作為身份信息而獨立存在。然而，隨著網絡信息傳播速度日益加快，以及平臺經濟規模不斷擴大，個人信息的經濟價值愈發明顯。首先，信息本身具有非常強的連接能力，連接在一起的信息往往能夠形成一個巨大的“價值鏈”，這也意味著某些APP通過應用平臺，采取轉移、購買或其他方式，可以得到大量個人信息數據，可能獲得更多的優質客戶或大量潛在用戶。其次，APP通過采集用戶信息相關數據，進行大數據對比分析，既可以更好地推動個性化產品與服務的發展，也可以更加精準地服務用戶，有效滿足其個性化需求。最后，以個人信息的價值化連接為基礎，可以衍生、提煉出諸多的創新點，基于這些創新點也可以設計、打造出更多新產品。

3.個人信息具有脆弱性。當前個人信息的存儲方式不同以往，通常以電子形式存儲在網絡中，具有流通快、傳播廣的特點。故此，用戶個人信息傳播方向實際上很難受數據權利人的支配，大大增加了個人信息泄漏的風險隱患，甚至被非法利用，致使個人的合法利益受到嚴重侵害?，F實生活中，很多企業與個人之間尚未建立接收方能否再次共享個人信息的制約機制，且個人信息被不合理共享后，信息權利人尋找共享源頭、尋求救濟較為困難。

4.個人信息具有人格與財產雙重屬性。多數學者認為，個人信息應當是一個獨立的權利客體，權利人依法對個人信息享有權益。［4］當然，個人信息權作為一項新型的民事權利，如何確定其在民法上的性質與定位，目前還存在著較大爭議，如人格權說、財產權說、人格兼財產權說、新型權利說等。經綜合對比分析，筆者更傾向于人格兼財產權說。一是個人信息具有財產屬性。個人信息確有財產因素，許多信息資料中蘊藏著商業價值，并可作為財產加以利用。［5］特別是在大數據環境下個人信息在被不斷流轉中逐漸被信息處理者所控制，個人信息商品化現象突出，其財產價值體現尤為明顯。［6］二是個人信息具有人格屬性。一方面，個人信息具有可識別性和排他性，人格特征體現明顯。APP通過信息處理、數據分析，大大增加了個人信息轉化為隱私的可能性，這與人格利益密切相關。另一方面，法律規定自然人對本人信息具有自主支配權，應排除他人的非法干涉，這也表明數據共享下個人信息具有人格屬性。為此，信息主體的這種權利構造與姓名權、生命權等人格權相同，皆屬于民法中的絕對權。①

二、數據共享條件下個人信息保護的現實困境

（一）違規收集、共享個人信息問題依然突出

2022年上半年《全國移動互聯網應用安全報告》中的數據顯示②，隨著移動互聯網應用加速增長，收集個人信息的技術實現方式與途徑日趨多樣化，違規違法收集、共享個人信息問題逐漸加劇。主要體現三方面。一是未經用戶同意私自收集個人信息；二是采取格式條款或文字游戲等手段，在用戶不知情狀態下誘導用戶作出同意表示；三是未根據業務實際需要，隨意擴大范圍，收集個人相關信息，在某種程度上侵犯了個人隱私。鑒于以上情況，有關部門對7.8萬余款移動互聯網應用集中進行了個人信息合規性抽樣檢測，發現APP強制、過度索取權限、違規收集、使用存在個人信息等情形，占比高達59.2%。上述行為嚴重背離、違反了采集個人信息應當遵守“最小化原則”的相關法律規定。

1.個人信息處理者的告知義務有待厘清?，F實生活中，大部分APP設置隱私政策時，貌似履行了告知義務，實際上流于形式。一是隱私政策通常采用格式條款，內容極其龐雜，形式上多是一些專業術語，用戶難以快速理解。二是關于個人信息收集、共享規則等隱私政策，在用戶瀏覽頁面上標注不顯著、不突出，有時難以快速發現，甚至直接設置為默認選項。三是隱私條款內容普遍存在文字過小、過密問題，有的顏色過淺、不易識別，甚至沒有簡體中文版，導致用戶在閱讀時很難在短時間內做出合理、正確的判斷。

2.信息權利人連帶授權較為被動。平臺非法利用個人信息與消費者基于交易被迫知情同意有一定程度的聯系。［7］平臺運營者為了合法化收集消費者個人信息，使其在發生相關糾紛時能脫離法律責任，通常會在消費者使用平臺之前告知隱私政策或者在用戶協議中制定隱私告知條款，私自設置將用戶個人信息可以轉讓第三方共享的選項。但是在許多平臺中，若消費者對于該隱私政策或隱私條款產生異議選擇“不同意”，則無法繼續使用該平臺。所謂“同意”其實已經不是消費者意思自治的選擇，而是一種不得不做出的意思表示，這種被迫“知情同意”易使消費者陷入兩難境地，從而導致消費者個人信息被非法利用的幾率明顯增大?，F實生活中，一些個人用戶不得不承認這一“霸王條款”，間接損害了用戶對個人信息的所有權、選擇權和控制權。個人信息連帶授權通常會導致信息權利人既無法選擇共享與否，也無法選擇共享對象，從而無法做出有效的同意。

（二）個人信息救濟機制尚未充分發揮作用

《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第69條規定，自然人信息主體在個人信息權益受到損害后可以提起侵權之訴。但在司法實踐中，現有提起訴訟的個人信息主體中，僅有8.1%的人獲得了賠償。［8］由此可見，我國目前還未建立起高效、低成本的個人信息權利救濟機制，主要體現在三方面。第一，信息主體尋求司法救濟的成本過高且難度較大。個人信息以非法共享形式被侵害的過程具有隱蔽性，結果具有潛伏性和無形性，根據我國現有的舉證規則，信息主體的訴訟請求難以得到支持，［9］許多信息主體也因持“吃一塹，長一智”的心態放棄維護自身權益。另外，信息處理者掌握大量信息，往往處于優勢狀態，導致在訴訟過程中，信息主體與信息處理者之間的訴訟地位不平衡。第二，受前數字時代的法律傳統之影響，個人主要是通過侵權損害責任為主導的私法救濟來獲得司法救濟。［10］但是，在大多數非法共享及其他不法手段侵害信息主體的案例中，因對于信息主體的損害不明顯，從嚴與從寬界定損害程度的標準差異較大，極易出現“同案不同判”的現象。第三，在公法領域，個人信息保護主要是刑法和行政法保護，只有出現侵權具有較大規模、侵權損害后果的嚴重情形，刑法和行政法的保護才能起到重要作用，導致公力救濟作用發揮也頗為有限。

（三）個人信息共享行業監管亟待加強

2021年11月1日，我國關于個人信息保護的第一部成文法——《個人信息保護法》正式施行，但該法并未明確個人信息保護的專門機構，亦未形成清晰、明確的權責分工界限。其監管方式主要以國家網信部門統籌協調為主，輔以工信、公安、市場監管等行業部門分工負責。上述部門均可結合工作實際，分別對個人信息共享及保護工作進行監管，形成了“多頭混治”的局面。此外，個人信息共享與保護涉及經濟社會各個行業、領域，內容越來越寬泛，發展逐漸迅速，形勢日漸復雜，監管難度也越來越大。如不盡快出臺實施辦法或細則，極易造成部門之間監管越位、錯位、缺位等情況。

三、域外個人信息相關立法探析

（一）美國個人信息共享法律規制

目前，美國尚未出臺單行個人信息保護法，主要采取“分權立法”與“行業自律”相互結合的模式，用以構建個人信息保護的法律體系，并且常以“隱私”一詞代指個人信息的權利。［11］以2018年美國加利福利亞州通過的《加州消費者隱私法案》（CCPA）為例，該法劃清了消費者隱私權的界限，著重突出了個人信息的利用價值，并明確了保護個人隱私的具體措施。該法主要強調了個人信息的可共享性和可出售性，明確了個人信息的經濟價值；闡明了企業應履行個人信息共享中的披露義務，在收集個人信息時或之前，應告知消費者要收集的個人信息的類別和用途，以及在消費者要求的情況下披露共享方的類別，但未要求披露共享方的具體情況；對于收集和出售的個人信息的披露，企業必須允許消費者通過至少兩種方法提出請求，包括免費電話號碼和網站；明確了多樣的救濟渠道，對于違反CCPA的侵權行為，既可以采取公力救濟手段，也可以采取私力救濟手段，且允許進行集體訴訟。

（二）歐盟個人信息共享法律規制

歐盟針對個人信息保護采取統一立法的方式，主要有以下特點。一是立法淵源豐富。國家公權力在歐盟及其成員國立法過程中發揮主導作用，通過頒布一系列公約、指導文件、條例和指令來實現建立完整的個人信息保護體系。二是獨立的監管機構。每一個成員國都設有獨立統一的個人信息監管機構，主要監管本國事務，各監管機構之間可以相互溝通。三是堅持把個人信息權利視為基本人權，強調尊重個人信息是尊重人格尊嚴的重要組成部分，這種觀點貫穿于歐盟個人信息立法體系。［12］《歐盟通用數據保護條例》（CDPR）于2018年在歐盟全域正式實施，是歐洲隱私框架發展過程中的里程碑，該框架由數據保護的哲學方法推動，基于隱私是一項基本人權的概念，對其世界各國均產生了廣泛影響。CDPR強調數據處理只有在透明的情況下才是公平的，這意味著必須通過與個人的有效溝通來公開處理數據，包括收集、使用、共享信息。CDPR以用戶為中心，必須向個人提供廣泛的信息，如有關接收者、保留期及其個人權利范圍的詳細信息。對于個人信息共享，CDPR規定了個人信息控制者應向數據主體披露收集數據類別與用途等重要信息，并以可理解的語言提供［13］還賦予了信息主體糾正、查詢和移除個人信息等權利，進一步明確了個人信息控制者的法定義務，用以更好維護信息主體的權利。

（三）域外規定評析

無論是美國采取的“分權立法”與“行業自律”相結合模式，還是歐盟所采取的統一立法模式，其本質目的都在于更好地維護個人信息安全。二者都強調了信息處理者對于共享信息應建立在信息主體充分“知情同意”的前提下，并且在歐盟CDPR中也強調了信息處理者所提供的相關條款應符合信息主體的理解能力，進一步強化了個人信息主體對于個人信息的控制權。在監管層面，歐盟所建立起的統一個人信息監管部門機構，提升了對于個人信息保護的專門性與專業性。歐盟與美國的立法體系與監管機制對于完善我國個人信息法律保護體系，均具有一定的借鑒意義。

三、數據共享下個人信息法律保護的完善路徑

（一）規范信息處理者的義務

在大數據時代背景下，知情同意原則應是個人信息共享過程中必須堅守的準則。在知情同意原則基礎上對其作出合理解釋，可以強化信息處理者所應遵守并規范的多重義務。

1.恪守知情同意原則下規范詳盡告知義務。知情同意原則是指信息收集者在收集信息過程中，應當充分告知信息主體收集、利用和處理個人信息的用途及范圍，且應征得信息主體的同意。2012年12月，全國人大常委會頒布了《關于加強網絡信息保護的決定》，首次以規范條文形式明確了知情同意原則。此后，《征信業管理條例》和《中華人民共和國網絡安全法》等多部法律中相繼確立了知情同意原則，《個人信息保護法》也繼承并進一步明確了該原則。筆者認為，個人信息共享行為，本質上是信息收集者收集、處理個人信息的行為，應當受到上述知情同意規則的調整和規范。同時，應嚴格規范詳盡告知義務。為切實保護用戶的知情權，應用平臺應通過清晰明了、簡單易懂的方式，向用戶提供APP隱私政策摘要，便于用戶閱讀和理解，［14］并嚴格執行個人信息保護“雙清單”機制。①一是建立已收集個人信息清單。按照《個人信息保護法》相關規定，各應用平臺或企業單位建立用戶個人信息種類和用途等詳細清單，嚴禁違規收集、超范圍收集個人信息。二是建立個人信息共享清單。各應用平臺或企業單位應按照隱私政策相關約定，向第三方共享個人信息，并建立授權第三方共享種類、目的和使用場景等具體內容清單，及時向用戶履行告知義務，約定發生個人信息濫用或泄漏應承擔的民事責任。

2.明確敏感個人信息單獨告知義務。由于可共享的個人信息具有豐富性，許多以往不屬于個人信息的內容被涵蓋在內，其中包含了大量特殊的個人數據，這些數據如被泄露或被非法使用，極易導致信息主體的人格尊嚴受到侵害，甚至危害其人身財產安全。②我國《個人信息保護法》首次采用了“敏感信息”這一概念，并在第28條以“概括+列舉”的方式對敏感個人信息進行了界定，主要包括金融賬戶、生物識別、日常習慣、生活軌跡以及不滿十四周歲未成年人的個人信息等。敏感個人信息的處理與一般個人信息的不同之處在于，在符合特定目的的情形下，還應當取得個人的單獨同意授權，不允許通過默示授權的方式作出同意，即不能采取“一攬子”授權方式獲得信息主體的授權。③《個人信息保護法》第29條，對處理此類信息作出了明確規定，“取得個人的單獨同意”通常是處理敏感個人信息的必要條件。換言之，敏感個人信息不同于與一般個人信息，即使有前期授權，相關企業或平臺若想共享、使用，也應取得單獨授權?？傊?，APP應用平臺應當恪守單獨授權的原則，履行謹慎處理用戶權，即敏感個人以逐項授權方式進行，［15］以維護網絡平臺交易過程中廣大用戶的合法權益。

3.積極履行“三重授權”原則下的披露義務。在“新浪微博”訴“脈脈”一案中，審判機關首次提出了用戶授權+平臺方/公司授權+用戶授權的“三重授權”原則。其主要內容是，數據提供方如向第三方開放相關數據應當征得用戶的同意，且第三方使用用戶信息時，還應告知其應用的用途、形式和具體范圍，并再次征得用戶同意。目前，該原則已逐步成為數據提供方主張數據獲取方行為不當的“有力武器”，且不斷對后續相關案件的裁判產生了重要影響?？傮w上看，“三重授權”有利于建立穩定、和諧的數據開放與共享關系，對于用戶來說也增加了一道保護屏障。但由于大數據時代數據共享已經成為了提高數據資源利用、促進平臺經濟發展的重要方式和手段，如果要求平臺企業每次共享數據時，均須嚴格履行“三重授權”原則，不斷更新隱私政策以完成知情同意的相關要件，就會大大增加其共享的成本，降低其共享數據的主動性與創造性。筆者認為，在履行披露義務的基礎上，應當對于披露的標準進行一定修正，可借鑒歐美相關立法，嚴格按照程序披露共享第三方的類別、處理方式和用途。［16］

（二）優化個人信息保護監管模式

毋庸置疑，在個人信息共享保護的法律規制中，行政監管發揮著重要作用。從歐盟及有關國家個人信息保護監管來看，通過利用獨立的監管機構在相關監管領域的專業知識來降低決策成本，一直是監管者合法化的重要來源，對于個人信息保護的監管往往采取設立獨立統一的數據保護機構已經成為了重要的監管方式。筆者認為，可借鑒域外經驗做法，推動個人信息保護監管執法的高效開展，從而改變“多頭混治”的局面。應突出國家網信部門的統籌協調作用，在現有法律基礎上出臺相應的實施辦法或細則，進一步明確國家網信部門對“個人信息保護和監督管理工作”具有最終解釋權。與此同時，應發揮各行業主管部門的專業優勢，借鑒美國個人信息行業自律監管模式，相關部門既各司其職、各負其責，又密切配合，形成齊抓共管的工作合力。

（三）全面落實《個人信息保護法》強化公益訴訟功能

在個人信息的社會保護模式中，保護個人信息的責任主體以社會為主、個人為輔，［17］理應成為必然趨勢。這一做法可以有效解決自然人信息主體尋求司法救濟成本高、難度大、訴訟地位不平衡等問題。我國《個人信息保護法》明確了侵害個人信息公益訴訟機制，進一步拓展了個人信息救濟途徑。第70條明確規定了個人信息保護公益訴訟的適格主體為人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織。由于公益訴訟過程中，存在相關組織和職能部門的介入，對個人信息保護則更具專業性和權威性。［18］目前，我國對于個人信息公益訴訟仍處于探索、起步階段，未來具體適用時還應進一步厘清和劃分主體范圍，進一步強化公益訴訟在個人信息救濟過程中的重要作用。

（四）提升用戶個人信息安全意識

由于大多數用戶在使用APP時，通常急于進入運行界面享受相應APP服務或對于個人信息共享持非保守態度，往往在閱讀APP提供的“隱私政策”時僅快速瀏覽或幾乎跳過“隱私政策”內容就默認同意。且在日常生活中大部分用戶只要自身財產安全未受到影響或損害，就不會重視個人信息安全問題，更不會花費對應的時間和精力，用法律手段來維護自身的合法利益。因此，提高公民的信息安全意識與維權意識，可以使公民在成為“用戶”過程中一定程度減少被侵害的可能性。筆者以為，公民應當了解“隱私政策”對于個人信息安全的重要意義，知悉個人信息共享相關知識、共享條款中具體術語的含義，為自身的信息不被非法共享做好防護。同時，應當加強社會面宣傳，不斷拓展宣傳方式，著力營造濃厚氛圍，讓保護個人信息成為全民行動。

五、結語

APP個人信息共享已經成為大數據時代商業發展的常態，加強個人信息共享行業規范和法律規制，對于企業與個人均有益處。目前，APP個人信息共享中仍然存在信息處理者利用優勢地位違規收集、共享個人信息、監管體系混亂和司法救濟成本高、難度大等諸多問題。對此，首先應當從信息處理者自身行為角度出發，在合理解釋知情同意原則的情況下，進一步規范信息處理者的對應義務。其次，應從我國的個人信息監管層面出發，在現有監管體系上實現優化，將最終解釋權歸屬于統一、專業部門，有效解決“多頭混治”的監管問題。最后，在個人信息的司法救濟層面，應鞏固個人信息公益訴訟的地位，構建起完整的個人信息公益訴訟體系，以解決目前私法、公法救濟尚存不足的實際問題。

〔參 考 文 獻〕

［1］［5］袁真富，婁積圓.論個人信息共享問題的法律治理模式［J］.情報理論與實踐，2021，44（01）：89-95.

［2］丁曉東.用戶畫像、個性化推薦與個人信息保護［J］.環球法律評論，2019，41（05）：82-96.

［3］Purtova N.The law of everything. Broad concept of personal data and future of EU data protection law［J］.Taylor and Francis Ltd. 2018（０1）.

［4］王利明. 論個人信息權在人格權法中的地位［J］.蘇州大學學報（哲學社會科版），2012，33（06）：68-75+199-200.

［6］向秦，高富平.論個人信息權益的財產屬性［J］.南京社會科學，2022（02）：92-101.

［7］張濤.探尋個人信息保護的風險控制路徑之維［J］.法學，2022（06）：57-71.

［8］艱難維權：五起個人信息泄露案件分析［EB/OL］.（2015-01-19）［2022-11-25］.https：//tech.sina.com.cn/i/2015-01-19/doc-ichmifpx4644951.shtml.

［9］程嘯.侵害個人信息權益的侵權責任［J］.中國法律評論，2021（05）：59-69.

［10］丁曉東.從個體救濟到公共治理：論侵害個人信息的司法應對［J］.國家檢察官學院學報，2022，

30（05）：103-120.

［11］Reidenberg， Joel K. Setting Standards for Fair Information Practice in the L.S. Private Sector. Iowa Law Review， Vol.80，Issue 3 （May 1995）：498

［12］Hoofnagle CJ， Sloot B， Borgesius FZ. The European Union general data protection regulation： what it is and what it means［J］. Information & communications technology law， 2019， 28（1）：65-98.

［13］Goddard， Michelle. The EU General Data Protection Regulation （GDPR）： European regulation that has a global impact［J］. International journal of market research，2017，59（０6）：703-705.

［14］程嘯.論個人信息處理者的告知義務［J］.上海政法學院學報（法治論叢），2021，36（05）：67-80.

［15］王利明.敏感個人信息保護的基本問題——以《民法典》和《個人信息保護法》的解釋為背景［J］.當代法學，2022，36（01）：3-14.

［16］王煒炫.跨APP個人信息共享的法律規制［J］.南方金融，2022（06）：90-100.

［17］高富平.個人信息保護：從個人控制到社會控制［J］.法學研究，2018，40（03）：84-101.

［18］王利明，丁曉東.論《個人信息保護法》的亮點、特色與適用［J］.法學家，2021（06）：1-16+191.

〔責任編輯：孫玉婷〕

收稿日期：２０23 — 01 — 12

作者簡介：侯世坤（2001—），女，黑龍江齊齊哈爾人，學生，主要研究方向：法學研究。