韓德民　汪子辰

摘要：保護(hù)公民個(gè)人信息已經(jīng)成為信息化時(shí)代的重要課題，為推動(dòng)《個(gè)人信息保護(hù)法》的出臺(tái)，完善我國(guó)個(gè)人信息保護(hù)體系，促使信息合理流通，通過整理App過度收集與使用個(gè)人信息的問題，分析我國(guó)現(xiàn)有保護(hù)個(gè)人信息體系的不足，在此基礎(chǔ)上有針對(duì)性地借鑒國(guó)外優(yōu)秀做法和實(shí)踐經(jīng)驗(yàn)，結(jié)合我國(guó)國(guó)情在推動(dòng)立法、引入行業(yè)自律模式、設(shè)立專門機(jī)構(gòu)方面提出建議。

關(guān)鍵詞：App 個(gè)人信息 立法借鑒 法律保護(hù)

中圖分類號(hào)：F832? 文獻(xiàn)標(biāo)識(shí)碼：A? 文章編號(hào)：1009-5349（2020）13-0084-02

隨著科技進(jìn)步和互聯(lián)網(wǎng)的發(fā)展，大數(shù)據(jù)技術(shù)在諸多領(lǐng)域得到應(yīng)用。而個(gè)人信息作為大數(shù)據(jù)技術(shù)的基礎(chǔ)和核心，在“數(shù)據(jù)是黃金”的利益驅(qū)動(dòng)下，有關(guān)公民個(gè)人信息泄露的侵權(quán)案件大量出現(xiàn)，其中App成為過度收集與使用個(gè)人信息的重災(zāi)區(qū)，具體表現(xiàn)為過度索取權(quán)限以收集用戶個(gè)人信息。國(guó)家高度重視這一問題，四部委聯(lián)合發(fā)布公告，決定開展為期一年的治理App過度收集使用個(gè)人信息的專項(xiàng)行動(dòng)。本文擬從治理App過度收集與使用個(gè)人信息亂象的視角，分析現(xiàn)有個(gè)人信息保護(hù)方面存在的問題，研究保護(hù)個(gè)人信息的對(duì)策。

一、App過度收集與使用個(gè)人信息的問題整理

（一）申請(qǐng)權(quán)限和與業(yè)務(wù)功能無(wú)關(guān)

部分App申請(qǐng)的權(quán)限與其對(duì)應(yīng)的產(chǎn)品功能不能明確掛鉤，甚至超出用戶合理預(yù)期。中消協(xié)發(fā)布的測(cè)評(píng)報(bào)告顯示，位置信息、訪問通訊錄、讀取電話等權(quán)限存在被廣泛申請(qǐng)并有過度使用的嫌疑。如短視頻App要索取日歷、通訊錄等權(quán)限和信息涉嫌過度收集。

（二）隱私政策不明確、不規(guī)范

隱私條款是數(shù)據(jù)運(yùn)營(yíng)商向用戶說明自己要如何收集、使用、存儲(chǔ)、共享、轉(zhuǎn)讓個(gè)人信息[1]。但是部分App存在隱私條款模糊不清的問題。在告知的方式上，缺乏對(duì)重點(diǎn)內(nèi)容的提示。在內(nèi)容方面，有的隱私政策內(nèi)容晦澀冗長(zhǎng)，文本專業(yè)性強(qiáng)可讀性差，普通用戶沒有耐心讀完或是讀不懂內(nèi)容。

（三）通過一攬子、強(qiáng)制等方式索取權(quán)限的問題突出

部分App會(huì)采取一攬子索取權(quán)限的方式，向用戶一次申請(qǐng)多項(xiàng)甚至所有權(quán)限的授權(quán)，以期獲得盡可能多的權(quán)限。或是將基本業(yè)務(wù)功能與其他業(yè)務(wù)功能綁定，如果用戶不同意提供非基本業(yè)務(wù)功能的權(quán)限，也將無(wú)法使用App的基本業(yè)務(wù)功能，變相強(qiáng)制性的索取權(quán)限。

二、法律規(guī)制App過度收集使用個(gè)人信息的問題與不足

（一）立法分散，不成體系

近年來，我國(guó)關(guān)于保護(hù)公民個(gè)人信息出臺(tái)了一些法律法規(guī)。由于缺乏規(guī)范、系統(tǒng)的立法思路，這些分散在各部法律和行政規(guī)章中的法條規(guī)定大體相似，呈現(xiàn)出內(nèi)容重合卻標(biāo)準(zhǔn)不一的情形。各部法律間不能有效協(xié)同，互相補(bǔ)充，沒有形成環(huán)環(huán)相扣、層序分明的法律體系，使得公民的個(gè)人信息無(wú)法真正有效地得到保護(hù)。

（二）法律規(guī)定過于抽象，難以適用

現(xiàn)有法律多為原則性規(guī)定，對(duì)于法條的概念、范圍和認(rèn)定情形并沒有具體的解釋界定。例如數(shù)據(jù)運(yùn)營(yíng)商應(yīng)遵循的正當(dāng)、必要原則缺少依據(jù)，收集目的的限定和過度收集的情形不明晰，也并未規(guī)定賠償數(shù)額。相關(guān)的具體問題缺乏法律上的規(guī)定，存在很多模糊地帶，難以適用。

（三）刑罰為主，重刑輕民

民法上關(guān)于個(gè)人信息方面的法條，存在著個(gè)人信息范圍界定模糊，侵權(quán)行為的認(rèn)定缺乏依據(jù)，以及民事賠償?shù)臉?biāo)準(zhǔn)不明等問題，加之取證和舉證的難度大等因素，被侵權(quán)人通過民事訴訟維權(quán)的效果十分有限，民事責(zé)任需要得到進(jìn)一步強(qiáng)化。[2]而刑法上“侵犯公民個(gè)人信息罪”對(duì)于侵犯?jìng)€(gè)人信息行為的認(rèn)定較為明確，使得實(shí)踐中出現(xiàn)了“刑主民輔”的現(xiàn)象，大量構(gòu)不成刑事犯罪的侵權(quán)行為只能不了了之。

三、域外法律制度與實(shí)踐經(jīng)驗(yàn)及啟示

（一）域外的法律制度與實(shí)踐經(jīng)驗(yàn)

1.歐盟

歐盟采取了“統(tǒng)一立法”模式，在國(guó)家層面制定統(tǒng)一的保護(hù)個(gè)人數(shù)據(jù)的法律規(guī)范，設(shè)立國(guó)家數(shù)據(jù)保護(hù)委員會(huì)。歐盟的《通用數(shù)據(jù)保護(hù)條例》偏重于將個(gè)人信息視為一項(xiàng)基本人權(quán)，著重考慮個(gè)人信息的人權(quán)屬性和社會(huì)價(jià)值，更強(qiáng)調(diào)對(duì)個(gè)人信息的保護(hù)和尊重，規(guī)定用戶享有查閱權(quán)、被遺忘權(quán)、限制處理權(quán)等諸多權(quán)利。DDPR（General Data Protection Regulation，簡(jiǎn)稱DDPR）的保護(hù)標(biāo)準(zhǔn)較高，特定企業(yè)必須配有數(shù)據(jù)保護(hù)官，并且處罰力度極大，最高可達(dá)企業(yè)年?duì)I業(yè)額的百分之四。

2.美國(guó)

美國(guó)有著發(fā)達(dá)的自由化市場(chǎng)，更為強(qiáng)調(diào)對(duì)個(gè)人信息的利用，因此美國(guó)在保護(hù)個(gè)人信息方面采取了“分散立法”結(jié)合“行業(yè)自律”這種軟硬法協(xié)調(diào)的模式。在政府層面的公領(lǐng)域以隱私權(quán)為基礎(chǔ)采取分散立法的模式，即分別制定各個(gè)領(lǐng)域關(guān)于個(gè)人信息保護(hù)的法律。而在非公領(lǐng)域則采取了行業(yè)自律的模式。自律機(jī)制是指在國(guó)家統(tǒng)一立法以外，非政府組織為了規(guī)范行業(yè)行為，主動(dòng)設(shè)立行為規(guī)范的一種機(jī)制[3]。由各個(gè)行業(yè)聯(lián)盟結(jié)合行業(yè)特點(diǎn)，主導(dǎo)制定行為規(guī)章和行業(yè)指引，成員需采納、遵守制定出的自律性規(guī)范，另外還有多個(gè)非政府主導(dǎo)的網(wǎng)絡(luò)隱私認(rèn)證組織。

（二）啟示

我國(guó)可以借鑒歐盟GDPR所體現(xiàn)的“風(fēng)險(xiǎn)路徑”思路，根據(jù)不同的風(fēng)險(xiǎn)等級(jí)設(shè)立不同的義務(wù)。舉例來說，開展征信業(yè)務(wù)的公司處理個(gè)人信息所面臨的風(fēng)險(xiǎn)與面包店面對(duì)的風(fēng)險(xiǎn)迥然不同，因此GDPR對(duì)兩者的要求也不相同[4]。這樣可以在最大限度上避免監(jiān)督管理僵化等問題。美國(guó)行業(yè)自律機(jī)制更為靈活且有針對(duì)性，能隨著技術(shù)進(jìn)步不斷改進(jìn)，更加符合行業(yè)利益。同時(shí)我們也要注意到，歐盟的GDPR對(duì)個(gè)人信息的管控過于嚴(yán)格，限制企業(yè)和個(gè)人的合理發(fā)展[5]。因此在借鑒時(shí)要平衡好保護(hù)和利用的關(guān)系。還應(yīng)看到美國(guó)的行業(yè)自律是建立在成熟的訴訟機(jī)制和完善的外部執(zhí)法模式上的，而且美國(guó)有著濃厚的自律文化，我們?cè)谝胄袠I(yè)自律模式時(shí)要結(jié)合我國(guó)國(guó)情。

四、規(guī)范App收集使用個(gè)人信息行為的建議

（一）出臺(tái)《個(gè)人信息保護(hù)法》

如前文所述，目前我國(guó)關(guān)于個(gè)人信息保護(hù)的法律沒有形成層次分明的體系，因此為打擊過度收集和使用個(gè)人信息的侵權(quán)行為，保護(hù)公民的基本權(quán)利和合法利益，維護(hù)國(guó)家信息安全，促使信息規(guī)范流通和利用，應(yīng)當(dāng)出臺(tái)《個(gè)人信息保護(hù)法》。筆者對(duì)于《個(gè)人信息保護(hù)法》提出以下幾點(diǎn)建議。

1.明確信息主體權(quán)利

《個(gè)人信息保護(hù)法》應(yīng)當(dāng)明確信息主體享有個(gè)人信息權(quán)，應(yīng)明確個(gè)人信息的內(nèi)容，列舉信息主體享有的權(quán)利，包括信息主體對(duì)個(gè)人信息的知情權(quán)、決定權(quán)、更正權(quán)等。另外，權(quán)利的設(shè)置還應(yīng)與時(shí)俱進(jìn)，緊跟大數(shù)據(jù)技術(shù)的發(fā)展并結(jié)合現(xiàn)狀，借鑒國(guó)際立法，設(shè)置諸如被遺忘權(quán)等新興的權(quán)利形式。

2.依法保護(hù)和合理利用相結(jié)合。

對(duì)個(gè)人信息的財(cái)產(chǎn)屬性人們已有共識(shí)[6]。如何處理保護(hù)和利用個(gè)人信息之間的關(guān)系成為時(shí)代課題。筆者認(rèn)為，應(yīng)在區(qū)分個(gè)人敏感信息和一般個(gè)人信息的基礎(chǔ)上，劃分保護(hù)和利用的程度。對(duì)于個(gè)人敏感信息，其處理和使用只能在信息主體同意的范圍內(nèi)進(jìn)行。而對(duì)于一般個(gè)人信息，應(yīng)允許國(guó)家機(jī)關(guān)和數(shù)據(jù)運(yùn)營(yíng)商能夠依法在合理的范圍內(nèi)處理和使用個(gè)人信息，加強(qiáng)對(duì)于個(gè)人敏感信息保護(hù)的同時(shí)重視一般個(gè)人信息的利用，協(xié)調(diào)個(gè)人信息利用和保護(hù)之間的沖突，實(shí)現(xiàn)利益平衡[7]。讓個(gè)人信息“黃金”變“石油”，流動(dòng)起來發(fā)揮數(shù)據(jù)的價(jià)值，推動(dòng)社會(huì)進(jìn)步。

3.明確法律責(zé)任。

《個(gè)人信息保護(hù)法》應(yīng)當(dāng)落實(shí)各機(jī)關(guān)的監(jiān)管職責(zé)，明確過度收集與使用個(gè)人信息的情形和界限，對(duì)于違法行為造成的后果承擔(dān)賠償責(zé)任，明確被侵權(quán)人的各種救濟(jì)途徑，包括司法救濟(jì)、行政救濟(jì)等。

（二）采取統(tǒng)一立法結(jié)合行業(yè)自律的模式。

根據(jù)我國(guó)治理現(xiàn)狀和基本國(guó)情，筆者認(rèn)為我國(guó)在個(gè)人信息保護(hù)方面應(yīng)在公共領(lǐng)域和非公領(lǐng)域主要采取統(tǒng)一立法的方式予以規(guī)定，將行業(yè)自律作為非公領(lǐng)域的重要補(bǔ)充。統(tǒng)一立法方面，應(yīng)區(qū)分國(guó)家機(jī)關(guān)因履行法定職責(zé)收集公民個(gè)人信息的行為和數(shù)據(jù)運(yùn)營(yíng)商為了商業(yè)目的收集個(gè)人信息的行為。國(guó)家機(jī)關(guān)應(yīng)注重規(guī)定國(guó)家機(jī)關(guān)合法收集信息的情形和目的、政策公開等方面的內(nèi)容。對(duì)于非公領(lǐng)域，應(yīng)著重規(guī)定能夠收集與使用個(gè)人信息的資格條件，收集使用個(gè)人信息的范圍等方面的內(nèi)容。還應(yīng)重視行業(yè)自律對(duì)于非公領(lǐng)域統(tǒng)一立法的補(bǔ)充作用，各行業(yè)可以依照《個(gè)人信息保護(hù)法》等相關(guān)法律，提出本行業(yè)的行為規(guī)范。然后，行業(yè)規(guī)范在經(jīng)過主管部門審查批準(zhǔn)后發(fā)行。由于我國(guó)行業(yè)自律機(jī)制還不完善，完全自主的模式可能達(dá)不到預(yù)期的效果，因此，適度的政府引導(dǎo)能夠加強(qiáng)自律性行為規(guī)范的執(zhí)行力，也能避免運(yùn)動(dòng)員和裁判員不分的現(xiàn)象。

（三）設(shè)立專門的機(jī)構(gòu)

目前我國(guó)還沒有專門保護(hù)公民個(gè)人信息的機(jī)構(gòu)，而是由幾個(gè)部門分散監(jiān)管，容易出現(xiàn)真空管理和重合管理的情況。建議成立專門保護(hù)個(gè)人信息的機(jī)構(gòu)。機(jī)構(gòu)的具體職責(zé)和權(quán)限包括：監(jiān)督國(guó)家機(jī)關(guān)和數(shù)據(jù)運(yùn)營(yíng)商收集和使用個(gè)人信息的行為，為公民提供個(gè)人信息方面的法律咨詢和維權(quán)服務(wù)，起草相關(guān)具體政策及負(fù)責(zé)落實(shí)有關(guān)的國(guó)家標(biāo)準(zhǔn)，審查各行業(yè)的企業(yè)自律性行為規(guī)范，接受并處理個(gè)人信息侵權(quán)的投訴、申訴等方面。以個(gè)人信息保護(hù)機(jī)構(gòu)為中心，其他部門配合工作，構(gòu)建起保護(hù)公民個(gè)人信息的行政體系。

參考文獻(xiàn)：

[1]洪延青.網(wǎng)絡(luò)運(yùn)營(yíng)者隱私條款的多角色平衡和創(chuàng)新[J].網(wǎng)絡(luò)空間戰(zhàn)略論壇，2017（9）.

[2]王利明.論個(gè)人信息權(quán)的法律保護(hù)：以個(gè)人信息權(quán)與隱私權(quán)的界分為中心[J].現(xiàn)代法學(xué)，2013（4）.

[3]齊愛民.個(gè)人信息保護(hù)法研究[J].河北法學(xué)，2008（4）.

[4]洪延青.解鎖GDPR的正確姿勢(shì)：風(fēng)險(xiǎn)路徑[J].中國(guó)信息安全，2018（7）.

[5]洪海林.個(gè)人信息保護(hù)立法理念探究：在信息保護(hù)和信息利用之間[J].河北法學(xué)，2007（1）.

[6]張平.大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的立法選擇[J].北京大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2017（5）.

[7]張新寶.從隱私到個(gè)人信息：利益再衡量的理論與制度安排[J].中國(guó)法學(xué)，2015（3）.

責(zé)任編輯：趙慧敏

[作者簡(jiǎn)介]韓德民，西南民族大學(xué)法學(xué)院在讀本科生，研究方向：經(jīng)濟(jì)法;汪子辰，西南民族大學(xué)法學(xué)院在讀本科生，研究方向：經(jīng)濟(jì)法。