摘 要:大數(shù)據(jù)時代,APP個人信息共享已然成為提高信息利用率、為用戶提供優(yōu)質(zhì)服務(wù)、促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展的有力手段。APP數(shù)據(jù)共享中個人信息兼具人格權(quán)與財產(chǎn)權(quán)屬性,同時具有豐富性、價值性、脆弱性等特征。但目前個人信息共享仍存在許多困境,突出表現(xiàn)在個人信息處理者的義務(wù)有待厘清、個人信息監(jiān)管“多頭混治”、對個人信息的救濟(jì)不足等方面。對此,應(yīng)當(dāng)在恪守知情同意原則的前提下規(guī)范個人信息處理者的義務(wù),包括個人信息處理者的詳盡告知義務(wù)、敏感個人信息的單獨告知義務(wù)以及“三重授權(quán)”原則下的披露義務(wù)。為了更好實現(xiàn)個人信息共享,還應(yīng)優(yōu)化我國個人信息監(jiān)管機(jī)制,強(qiáng)化公益訴訟功能,著力提升個人信息保護(hù)意識和能力。
關(guān)鍵詞:信息共享;個人信息保護(hù);知情同意;完善路徑
中圖分類號:D9 文獻(xiàn)標(biāo)識碼:A 文章編號:1009 — 2234(2023)01 — 0102 — 05
一、APP個人信息共享概述
(一)APP個人信息共享的概念內(nèi)涵
隨著大數(shù)據(jù)時代的發(fā)展進(jìn)步,個人信息共享在數(shù)字經(jīng)濟(jì)發(fā)展進(jìn)程中作用日益凸顯。個人信息共享的范圍逐步擴(kuò)大,已經(jīng)拓展到網(wǎng)絡(luò)購物、求職招聘、廣告推送、相親交友、房屋租賃等經(jīng)濟(jì)生活的各個領(lǐng)域。在《信息安全技術(shù)個人信息安全規(guī)范》中,對于個人信息共享有明確定義,即信息控制者向其他控制者提供個人信息,且雙方分別對個人信息擁有獨立控制權(quán)的過程。換言之,個人信息共享體現(xiàn)了不同信息控制者之間對于信息處理權(quán)的分享過程。[1]而APP個人信息共享則是將信息控制者的身份賦予APP,使個人信息的處理權(quán)在不同APP之間進(jìn)行分享。
(二)APP數(shù)據(jù)共享中個人信息的顯著特征
在APP對個人信息等有關(guān)數(shù)據(jù)與第三方共享的過程中,個人信息呈現(xiàn)出不同于靜態(tài)個人信息的諸多特點,主要體現(xiàn)在以下四方面。
1.個人信息呈現(xiàn)豐富性。一般大多數(shù)個人信息為靜態(tài)信息或是可以修改的信息。但隨著平臺經(jīng)濟(jì)下網(wǎng)絡(luò)與信息技術(shù)的迅猛發(fā)展,個人信息獲取方式呈現(xiàn)多樣化、獲取內(nèi)容范圍也日漸擴(kuò)大化,可利用的個人信息變得更加豐富。許多手機(jī)APP獲取個人信息的內(nèi)容及范圍拓展為用戶訪問足跡、IP地址、生物信息、手機(jī)位置等。例如:消費者瀏覽某電商網(wǎng)站或搜索某些商品后,對應(yīng)電商平臺或網(wǎng)站就會出現(xiàn)個性化的推薦營銷。在相關(guān)網(wǎng)站采取了一定技術(shù)手段后,消費者的網(wǎng)絡(luò)瀏覽記錄也成為了消費者個人信息之一。此外,通過大數(shù)據(jù)挖掘、融合分析等技術(shù)開發(fā),更多有使用價值的新信息內(nèi)容被不斷利用??傮w上看,個人信息的種類越多,通過信息分析與對比就越可能識別具體個人;[2]長期來看,諸多以往看似與個人無關(guān)的信息,都可能和其他信息建立相關(guān)性,并指向一個特定的個體,成為個人信息。[3]
2.個人信息極具價值性。在前互聯(lián)網(wǎng)時代,通常認(rèn)為個人信息沒有經(jīng)濟(jì)價值,只是作為身份信息而獨立存在。然而,隨著網(wǎng)絡(luò)信息傳播速度日益加快,以及平臺經(jīng)濟(jì)規(guī)模不斷擴(kuò)大,個人信息的經(jīng)濟(jì)價值愈發(fā)明顯。首先,信息本身具有非常強(qiáng)的連接能力,連接在一起的信息往往能夠形成一個巨大的“價值鏈”,這也意味著某些APP通過應(yīng)用平臺,采取轉(zhuǎn)移、購買或其他方式,可以得到大量個人信息數(shù)據(jù),可能獲得更多的優(yōu)質(zhì)客戶或大量潛在用戶。其次,APP通過采集用戶信息相關(guān)數(shù)據(jù),進(jìn)行大數(shù)據(jù)對比分析,既可以更好地推動個性化產(chǎn)品與服務(wù)的發(fā)展,也可以更加精準(zhǔn)地服務(wù)用戶,有效滿足其個性化需求。最后,以個人信息的價值化連接為基礎(chǔ),可以衍生、提煉出諸多的創(chuàng)新點,基于這些創(chuàng)新點也可以設(shè)計、打造出更多新產(chǎn)品。
3.個人信息具有脆弱性。當(dāng)前個人信息的存儲方式不同以往,通常以電子形式存儲在網(wǎng)絡(luò)中,具有流通快、傳播廣的特點。故此,用戶個人信息傳播方向?qū)嶋H上很難受數(shù)據(jù)權(quán)利人的支配,大大增加了個人信息泄漏的風(fēng)險隱患,甚至被非法利用,致使個人的合法利益受到嚴(yán)重侵害?,F(xiàn)實生活中,很多企業(yè)與個人之間尚未建立接收方能否再次共享個人信息的制約機(jī)制,且個人信息被不合理共享后,信息權(quán)利人尋找共享源頭、尋求救濟(jì)較為困難。
4.個人信息具有人格與財產(chǎn)雙重屬性。多數(shù)學(xué)者認(rèn)為,個人信息應(yīng)當(dāng)是一個獨立的權(quán)利客體,權(quán)利人依法對個人信息享有權(quán)益。[4]當(dāng)然,個人信息權(quán)作為一項新型的民事權(quán)利,如何確定其在民法上的性質(zhì)與定位,目前還存在著較大爭議,如人格權(quán)說、財產(chǎn)權(quán)說、人格兼財產(chǎn)權(quán)說、新型權(quán)利說等。經(jīng)綜合對比分析,筆者更傾向于人格兼財產(chǎn)權(quán)說。一是個人信息具有財產(chǎn)屬性。個人信息確有財產(chǎn)因素,許多信息資料中蘊(yùn)藏著商業(yè)價值,并可作為財產(chǎn)加以利用。[5]特別是在大數(shù)據(jù)環(huán)境下個人信息在被不斷流轉(zhuǎn)中逐漸被信息處理者所控制,個人信息商品化現(xiàn)象突出,其財產(chǎn)價值體現(xiàn)尤為明顯。[6]二是個人信息具有人格屬性。一方面,個人信息具有可識別性和排他性,人格特征體現(xiàn)明顯。APP通過信息處理、數(shù)據(jù)分析,大大增加了個人信息轉(zhuǎn)化為隱私的可能性,這與人格利益密切相關(guān)。另一方面,法律規(guī)定自然人對本人信息具有自主支配權(quán),應(yīng)排除他人的非法干涉,這也表明數(shù)據(jù)共享下個人信息具有人格屬性。為此,信息主體的這種權(quán)利構(gòu)造與姓名權(quán)、生命權(quán)等人格權(quán)相同,皆屬于民法中的絕對權(quán)。①
二、數(shù)據(jù)共享條件下個人信息保護(hù)的現(xiàn)實困境
(一)違規(guī)收集、共享個人信息問題依然突出
2022年上半年《全國移動互聯(lián)網(wǎng)應(yīng)用安全報告》中的數(shù)據(jù)顯示②,隨著移動互聯(lián)網(wǎng)應(yīng)用加速增長,收集個人信息的技術(shù)實現(xiàn)方式與途徑日趨多樣化,違規(guī)違法收集、共享個人信息問題逐漸加劇。主要體現(xiàn)三方面。一是未經(jīng)用戶同意私自收集個人信息;二是采取格式條款或文字游戲等手段,在用戶不知情狀態(tài)下誘導(dǎo)用戶作出同意表示;三是未根據(jù)業(yè)務(wù)實際需要,隨意擴(kuò)大范圍,收集個人相關(guān)信息,在某種程度上侵犯了個人隱私。鑒于以上情況,有關(guān)部門對7.8萬余款移動互聯(lián)網(wǎng)應(yīng)用集中進(jìn)行了個人信息合規(guī)性抽樣檢測,發(fā)現(xiàn)APP強(qiáng)制、過度索取權(quán)限、違規(guī)收集、使用存在個人信息等情形,占比高達(dá)59.2%。上述行為嚴(yán)重背離、違反了采集個人信息應(yīng)當(dāng)遵守“最小化原則”的相關(guān)法律規(guī)定。
1.個人信息處理者的告知義務(wù)有待厘清?,F(xiàn)實生活中,大部分APP設(shè)置隱私政策時,貌似履行了告知義務(wù),實際上流于形式。一是隱私政策通常采用格式條款,內(nèi)容極其龐雜,形式上多是一些專業(yè)術(shù)語,用戶難以快速理解。二是關(guān)于個人信息收集、共享規(guī)則等隱私政策,在用戶瀏覽頁面上標(biāo)注不顯著、不突出,有時難以快速發(fā)現(xiàn),甚至直接設(shè)置為默認(rèn)選項。三是隱私條款內(nèi)容普遍存在文字過小、過密問題,有的顏色過淺、不易識別,甚至沒有簡體中文版,導(dǎo)致用戶在閱讀時很難在短時間內(nèi)做出合理、正確的判斷。
2.信息權(quán)利人連帶授權(quán)較為被動。平臺非法利用個人信息與消費者基于交易被迫知情同意有一定程度的聯(lián)系。[7]平臺運(yùn)營者為了合法化收集消費者個人信息,使其在發(fā)生相關(guān)糾紛時能脫離法律責(zé)任,通常會在消費者使用平臺之前告知隱私政策或者在用戶協(xié)議中制定隱私告知條款,私自設(shè)置將用戶個人信息可以轉(zhuǎn)讓第三方共享的選項。但是在許多平臺中,若消費者對于該隱私政策或隱私條款產(chǎn)生異議選擇“不同意”,則無法繼續(xù)使用該平臺。所謂“同意”其實已經(jīng)不是消費者意思自治的選擇,而是一種不得不做出的意思表示,這種被迫“知情同意”易使消費者陷入兩難境地,從而導(dǎo)致消費者個人信息被非法利用的幾率明顯增大?,F(xiàn)實生活中,一些個人用戶不得不承認(rèn)這一“霸王條款”,間接損害了用戶對個人信息的所有權(quán)、選擇權(quán)和控制權(quán)。個人信息連帶授權(quán)通常會導(dǎo)致信息權(quán)利人既無法選擇共享與否,也無法選擇共享對象,從而無法做出有效的同意。
(二)個人信息救濟(jì)機(jī)制尚未充分發(fā)揮作用
《中華人民共和國個人信息保護(hù)法》(以下簡稱《個人信息保護(hù)法》)第69條規(guī)定,自然人信息主體在個人信息權(quán)益受到損害后可以提起侵權(quán)之訴。但在司法實踐中,現(xiàn)有提起訴訟的個人信息主體中,僅有8.1%的人獲得了賠償。[8]由此可見,我國目前還未建立起高效、低成本的個人信息權(quán)利救濟(jì)機(jī)制,主要體現(xiàn)在三方面。第一,信息主體尋求司法救濟(jì)的成本過高且難度較大。個人信息以非法共享形式被侵害的過程具有隱蔽性,結(jié)果具有潛伏性和無形性,根據(jù)我國現(xiàn)有的舉證規(guī)則,信息主體的訴訟請求難以得到支持,[9]許多信息主體也因持“吃一塹,長一智”的心態(tài)放棄維護(hù)自身權(quán)益。另外,信息處理者掌握大量信息,往往處于優(yōu)勢狀態(tài),導(dǎo)致在訴訟過程中,信息主體與信息處理者之間的訴訟地位不平衡。第二,受前數(shù)字時代的法律傳統(tǒng)之影響,個人主要是通過侵權(quán)損害責(zé)任為主導(dǎo)的私法救濟(jì)來獲得司法救濟(jì)。[10]但是,在大多數(shù)非法共享及其他不法手段侵害信息主體的案例中,因?qū)τ谛畔⒅黧w的損害不明顯,從嚴(yán)與從寬界定損害程度的標(biāo)準(zhǔn)差異較大,極易出現(xiàn)“同案不同判”的現(xiàn)象。第三,在公法領(lǐng)域,個人信息保護(hù)主要是刑法和行政法保護(hù),只有出現(xiàn)侵權(quán)具有較大規(guī)模、侵權(quán)損害后果的嚴(yán)重情形,刑法和行政法的保護(hù)才能起到重要作用,導(dǎo)致公力救濟(jì)作用發(fā)揮也頗為有限。
(三)個人信息共享行業(yè)監(jiān)管亟待加強(qiáng)
2021年11月1日,我國關(guān)于個人信息保護(hù)的第一部成文法——《個人信息保護(hù)法》正式施行,但該法并未明確個人信息保護(hù)的專門機(jī)構(gòu),亦未形成清晰、明確的權(quán)責(zé)分工界限。其監(jiān)管方式主要以國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)為主,輔以工信、公安、市場監(jiān)管等行業(yè)部門分工負(fù)責(zé)。上述部門均可結(jié)合工作實際,分別對個人信息共享及保護(hù)工作進(jìn)行監(jiān)管,形成了“多頭混治”的局面。此外,個人信息共享與保護(hù)涉及經(jīng)濟(jì)社會各個行業(yè)、領(lǐng)域,內(nèi)容越來越寬泛,發(fā)展逐漸迅速,形勢日漸復(fù)雜,監(jiān)管難度也越來越大。如不盡快出臺實施辦法或細(xì)則,極易造成部門之間監(jiān)管越位、錯位、缺位等情況。
三、域外個人信息相關(guān)立法探析
(一)美國個人信息共享法律規(guī)制
目前,美國尚未出臺單行個人信息保護(hù)法,主要采取“分權(quán)立法”與“行業(yè)自律”相互結(jié)合的模式,用以構(gòu)建個人信息保護(hù)的法律體系,并且常以“隱私”一詞代指個人信息的權(quán)利。[11]以2018年美國加利福利亞州通過的《加州消費者隱私法案》(CCPA)為例,該法劃清了消費者隱私權(quán)的界限,著重突出了個人信息的利用價值,并明確了保護(hù)個人隱私的具體措施。該法主要強(qiáng)調(diào)了個人信息的可共享性和可出售性,明確了個人信息的經(jīng)濟(jì)價值;闡明了企業(yè)應(yīng)履行個人信息共享中的披露義務(wù),在收集個人信息時或之前,應(yīng)告知消費者要收集的個人信息的類別和用途,以及在消費者要求的情況下披露共享方的類別,但未要求披露共享方的具體情況;對于收集和出售的個人信息的披露,企業(yè)必須允許消費者通過至少兩種方法提出請求,包括免費電話號碼和網(wǎng)站;明確了多樣的救濟(jì)渠道,對于違反CCPA的侵權(quán)行為,既可以采取公力救濟(jì)手段,也可以采取私力救濟(jì)手段,且允許進(jìn)行集體訴訟。
(二)歐盟個人信息共享法律規(guī)制
歐盟針對個人信息保護(hù)采取統(tǒng)一立法的方式,主要有以下特點。一是立法淵源豐富。國家公權(quán)力在歐盟及其成員國立法過程中發(fā)揮主導(dǎo)作用,通過頒布一系列公約、指導(dǎo)文件、條例和指令來實現(xiàn)建立完整的個人信息保護(hù)體系。二是獨立的監(jiān)管機(jī)構(gòu)。每一個成員國都設(shè)有獨立統(tǒng)一的個人信息監(jiān)管機(jī)構(gòu),主要監(jiān)管本國事務(wù),各監(jiān)管機(jī)構(gòu)之間可以相互溝通。三是堅持把個人信息權(quán)利視為基本人權(quán),強(qiáng)調(diào)尊重個人信息是尊重人格尊嚴(yán)的重要組成部分,這種觀點貫穿于歐盟個人信息立法體系。[12]《歐盟通用數(shù)據(jù)保護(hù)條例》(CDPR)于2018年在歐盟全域正式實施,是歐洲隱私框架發(fā)展過程中的里程碑,該框架由數(shù)據(jù)保護(hù)的哲學(xué)方法推動,基于隱私是一項基本人權(quán)的概念,對其世界各國均產(chǎn)生了廣泛影響。CDPR強(qiáng)調(diào)數(shù)據(jù)處理只有在透明的情況下才是公平的,這意味著必須通過與個人的有效溝通來公開處理數(shù)據(jù),包括收集、使用、共享信息。CDPR以用戶為中心,必須向個人提供廣泛的信息,如有關(guān)接收者、保留期及其個人權(quán)利范圍的詳細(xì)信息。對于個人信息共享,CDPR規(guī)定了個人信息控制者應(yīng)向數(shù)據(jù)主體披露收集數(shù)據(jù)類別與用途等重要信息,并以可理解的語言提供[13]還賦予了信息主體糾正、查詢和移除個人信息等權(quán)利,進(jìn)一步明確了個人信息控制者的法定義務(wù),用以更好維護(hù)信息主體的權(quán)利。
(三)域外規(guī)定評析
無論是美國采取的“分權(quán)立法”與“行業(yè)自律”相結(jié)合模式,還是歐盟所采取的統(tǒng)一立法模式,其本質(zhì)目的都在于更好地維護(hù)個人信息安全。二者都強(qiáng)調(diào)了信息處理者對于共享信息應(yīng)建立在信息主體充分“知情同意”的前提下,并且在歐盟CDPR中也強(qiáng)調(diào)了信息處理者所提供的相關(guān)條款應(yīng)符合信息主體的理解能力,進(jìn)一步強(qiáng)化了個人信息主體對于個人信息的控制權(quán)。在監(jiān)管層面,歐盟所建立起的統(tǒng)一個人信息監(jiān)管部門機(jī)構(gòu),提升了對于個人信息保護(hù)的專門性與專業(yè)性。歐盟與美國的立法體系與監(jiān)管機(jī)制對于完善我國個人信息法律保護(hù)體系,均具有一定的借鑒意義。
三、數(shù)據(jù)共享下個人信息法律保護(hù)的完善路徑
(一)規(guī)范信息處理者的義務(wù)
在大數(shù)據(jù)時代背景下,知情同意原則應(yīng)是個人信息共享過程中必須堅守的準(zhǔn)則。在知情同意原則基礎(chǔ)上對其作出合理解釋,可以強(qiáng)化信息處理者所應(yīng)遵守并規(guī)范的多重義務(wù)。
1.恪守知情同意原則下規(guī)范詳盡告知義務(wù)。知情同意原則是指信息收集者在收集信息過程中,應(yīng)當(dāng)充分告知信息主體收集、利用和處理個人信息的用途及范圍,且應(yīng)征得信息主體的同意。2012年12月,全國人大常委會頒布了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》,首次以規(guī)范條文形式明確了知情同意原則。此后,《征信業(yè)管理條例》和《中華人民共和國網(wǎng)絡(luò)安全法》等多部法律中相繼確立了知情同意原則,《個人信息保護(hù)法》也繼承并進(jìn)一步明確了該原則。筆者認(rèn)為,個人信息共享行為,本質(zhì)上是信息收集者收集、處理個人信息的行為,應(yīng)當(dāng)受到上述知情同意規(guī)則的調(diào)整和規(guī)范。同時,應(yīng)嚴(yán)格規(guī)范詳盡告知義務(wù)。為切實保護(hù)用戶的知情權(quán),應(yīng)用平臺應(yīng)通過清晰明了、簡單易懂的方式,向用戶提供APP隱私政策摘要,便于用戶閱讀和理解,[14]并嚴(yán)格執(zhí)行個人信息保護(hù)“雙清單”機(jī)制。①一是建立已收集個人信息清單。按照《個人信息保護(hù)法》相關(guān)規(guī)定,各應(yīng)用平臺或企業(yè)單位建立用戶個人信息種類和用途等詳細(xì)清單,嚴(yán)禁違規(guī)收集、超范圍收集個人信息。二是建立個人信息共享清單。各應(yīng)用平臺或企業(yè)單位應(yīng)按照隱私政策相關(guān)約定,向第三方共享個人信息,并建立授權(quán)第三方共享種類、目的和使用場景等具體內(nèi)容清單,及時向用戶履行告知義務(wù),約定發(fā)生個人信息濫用或泄漏應(yīng)承擔(dān)的民事責(zé)任。
2.明確敏感個人信息單獨告知義務(wù)。由于可共享的個人信息具有豐富性,許多以往不屬于個人信息的內(nèi)容被涵蓋在內(nèi),其中包含了大量特殊的個人數(shù)據(jù),這些數(shù)據(jù)如被泄露或被非法使用,極易導(dǎo)致信息主體的人格尊嚴(yán)受到侵害,甚至危害其人身財產(chǎn)安全。②我國《個人信息保護(hù)法》首次采用了“敏感信息”這一概念,并在第28條以“概括+列舉”的方式對敏感個人信息進(jìn)行了界定,主要包括金融賬戶、生物識別、日常習(xí)慣、生活軌跡以及不滿十四周歲未成年人的個人信息等。敏感個人信息的處理與一般個人信息的不同之處在于,在符合特定目的的情形下,還應(yīng)當(dāng)取得個人的單獨同意授權(quán),不允許通過默示授權(quán)的方式作出同意,即不能采取“一攬子”授權(quán)方式獲得信息主體的授權(quán)。③《個人信息保護(hù)法》第29條,對處理此類信息作出了明確規(guī)定,“取得個人的單獨同意”通常是處理敏感個人信息的必要條件。換言之,敏感個人信息不同于與一般個人信息,即使有前期授權(quán),相關(guān)企業(yè)或平臺若想共享、使用,也應(yīng)取得單獨授權(quán)??傊?,APP應(yīng)用平臺應(yīng)當(dāng)恪守單獨授權(quán)的原則,履行謹(jǐn)慎處理用戶權(quán),即敏感個人以逐項授權(quán)方式進(jìn)行,[15]以維護(hù)網(wǎng)絡(luò)平臺交易過程中廣大用戶的合法權(quán)益。
3.積極履行“三重授權(quán)”原則下的披露義務(wù)。在“新浪微博”訴“脈脈”一案中,審判機(jī)關(guān)首次提出了用戶授權(quán)+平臺方/公司授權(quán)+用戶授權(quán)的“三重授權(quán)”原則。其主要內(nèi)容是,數(shù)據(jù)提供方如向第三方開放相關(guān)數(shù)據(jù)應(yīng)當(dāng)征得用戶的同意,且第三方使用用戶信息時,還應(yīng)告知其應(yīng)用的用途、形式和具體范圍,并再次征得用戶同意。目前,該原則已逐步成為數(shù)據(jù)提供方主張數(shù)據(jù)獲取方行為不當(dāng)?shù)摹坝辛ξ淦鳌保也粩鄬罄m(xù)相關(guān)案件的裁判產(chǎn)生了重要影響。總體上看,“三重授權(quán)”有利于建立穩(wěn)定、和諧的數(shù)據(jù)開放與共享關(guān)系,對于用戶來說也增加了一道保護(hù)屏障。但由于大數(shù)據(jù)時代數(shù)據(jù)共享已經(jīng)成為了提高數(shù)據(jù)資源利用、促進(jìn)平臺經(jīng)濟(jì)發(fā)展的重要方式和手段,如果要求平臺企業(yè)每次共享數(shù)據(jù)時,均須嚴(yán)格履行“三重授權(quán)”原則,不斷更新隱私政策以完成知情同意的相關(guān)要件,就會大大增加其共享的成本,降低其共享數(shù)據(jù)的主動性與創(chuàng)造性。筆者認(rèn)為,在履行披露義務(wù)的基礎(chǔ)上,應(yīng)當(dāng)對于披露的標(biāo)準(zhǔn)進(jìn)行一定修正,可借鑒歐美相關(guān)立法,嚴(yán)格按照程序披露共享第三方的類別、處理方式和用途。[16]
(二)優(yōu)化個人信息保護(hù)監(jiān)管模式
毋庸置疑,在個人信息共享保護(hù)的法律規(guī)制中,行政監(jiān)管發(fā)揮著重要作用。從歐盟及有關(guān)國家個人信息保護(hù)監(jiān)管來看,通過利用獨立的監(jiān)管機(jī)構(gòu)在相關(guān)監(jiān)管領(lǐng)域的專業(yè)知識來降低決策成本,一直是監(jiān)管者合法化的重要來源,對于個人信息保護(hù)的監(jiān)管往往采取設(shè)立獨立統(tǒng)一的數(shù)據(jù)保護(hù)機(jī)構(gòu)已經(jīng)成為了重要的監(jiān)管方式。筆者認(rèn)為,可借鑒域外經(jīng)驗做法,推動個人信息保護(hù)監(jiān)管執(zhí)法的高效開展,從而改變“多頭混治”的局面。應(yīng)突出國家網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)作用,在現(xiàn)有法律基礎(chǔ)上出臺相應(yīng)的實施辦法或細(xì)則,進(jìn)一步明確國家網(wǎng)信部門對“個人信息保護(hù)和監(jiān)督管理工作”具有最終解釋權(quán)。與此同時,應(yīng)發(fā)揮各行業(yè)主管部門的專業(yè)優(yōu)勢,借鑒美國個人信息行業(yè)自律監(jiān)管模式,相關(guān)部門既各司其職、各負(fù)其責(zé),又密切配合,形成齊抓共管的工作合力。
(三)全面落實《個人信息保護(hù)法》強(qiáng)化公益訴訟功能
在個人信息的社會保護(hù)模式中,保護(hù)個人信息的責(zé)任主體以社會為主、個人為輔,[17]理應(yīng)成為必然趨勢。這一做法可以有效解決自然人信息主體尋求司法救濟(jì)成本高、難度大、訴訟地位不平衡等問題。我國《個人信息保護(hù)法》明確了侵害個人信息公益訴訟機(jī)制,進(jìn)一步拓展了個人信息救濟(jì)途徑。第70條明確規(guī)定了個人信息保護(hù)公益訴訟的適格主體為人民檢察院、法律規(guī)定的消費者組織和由國家網(wǎng)信部門確定的組織。由于公益訴訟過程中,存在相關(guān)組織和職能部門的介入,對個人信息保護(hù)則更具專業(yè)性和權(quán)威性。[18]目前,我國對于個人信息公益訴訟仍處于探索、起步階段,未來具體適用時還應(yīng)進(jìn)一步厘清和劃分主體范圍,進(jìn)一步強(qiáng)化公益訴訟在個人信息救濟(jì)過程中的重要作用。
(四)提升用戶個人信息安全意識
由于大多數(shù)用戶在使用APP時,通常急于進(jìn)入運(yùn)行界面享受相應(yīng)APP服務(wù)或?qū)τ趥€人信息共享持非保守態(tài)度,往往在閱讀APP提供的“隱私政策”時僅快速瀏覽或幾乎跳過“隱私政策”內(nèi)容就默認(rèn)同意。且在日常生活中大部分用戶只要自身財產(chǎn)安全未受到影響或損害,就不會重視個人信息安全問題,更不會花費對應(yīng)的時間和精力,用法律手段來維護(hù)自身的合法利益。因此,提高公民的信息安全意識與維權(quán)意識,可以使公民在成為“用戶”過程中一定程度減少被侵害的可能性。筆者以為,公民應(yīng)當(dāng)了解“隱私政策”對于個人信息安全的重要意義,知悉個人信息共享相關(guān)知識、共享條款中具體術(shù)語的含義,為自身的信息不被非法共享做好防護(hù)。同時,應(yīng)當(dāng)加強(qiáng)社會面宣傳,不斷拓展宣傳方式,著力營造濃厚氛圍,讓保護(hù)個人信息成為全民行動。
五、結(jié)語
APP個人信息共享已經(jīng)成為大數(shù)據(jù)時代商業(yè)發(fā)展的常態(tài),加強(qiáng)個人信息共享行業(yè)規(guī)范和法律規(guī)制,對于企業(yè)與個人均有益處。目前,APP個人信息共享中仍然存在信息處理者利用優(yōu)勢地位違規(guī)收集、共享個人信息、監(jiān)管體系混亂和司法救濟(jì)成本高、難度大等諸多問題。對此,首先應(yīng)當(dāng)從信息處理者自身行為角度出發(fā),在合理解釋知情同意原則的情況下,進(jìn)一步規(guī)范信息處理者的對應(yīng)義務(wù)。其次,應(yīng)從我國的個人信息監(jiān)管層面出發(fā),在現(xiàn)有監(jiān)管體系上實現(xiàn)優(yōu)化,將最終解釋權(quán)歸屬于統(tǒng)一、專業(yè)部門,有效解決“多頭混治”的監(jiān)管問題。最后,在個人信息的司法救濟(jì)層面,應(yīng)鞏固個人信息公益訴訟的地位,構(gòu)建起完整的個人信息公益訴訟體系,以解決目前私法、公法救濟(jì)尚存不足的實際問題。
〔參 考 文 獻(xiàn)〕
[1][5]袁真富,婁積圓.論個人信息共享問題的法律治理模式[J].情報理論與實踐,2021,44(01):89-95.
[2]丁曉東.用戶畫像、個性化推薦與個人信息保護(hù)[J].環(huán)球法律評論,2019,41(05):82-96.
[3]Purtova N.The law of everything. Broad concept of personal data and future of EU data protection law[J].Taylor and Francis Ltd. 2018(01).
[4]王利明. 論個人信息權(quán)在人格權(quán)法中的地位[J].蘇州大學(xué)學(xué)報(哲學(xué)社會科版),2012,33(06):68-75+199-200.
[6]向秦,高富平.論個人信息權(quán)益的財產(chǎn)屬性[J].南京社會科學(xué),2022(02):92-101.
[7]張濤.探尋個人信息保護(hù)的風(fēng)險控制路徑之維[J].法學(xué),2022(06):57-71.
[8]艱難維權(quán):五起個人信息泄露案件分析[EB/OL].(2015-01-19)[2022-11-25].https://tech.sina.com.cn/i/2015-01-19/doc-ichmifpx4644951.shtml.
[9]程嘯.侵害個人信息權(quán)益的侵權(quán)責(zé)任[J].中國法律評論,2021(05):59-69.
[10]丁曉東.從個體救濟(jì)到公共治理:論侵害個人信息的司法應(yīng)對[J].國家檢察官學(xué)院學(xué)報,2022,
30(05):103-120.
[11]Reidenberg, Joel K. Setting Standards for Fair Information Practice in the L.S. Private Sector. Iowa Law Review, Vol.80,Issue 3 (May 1995):498
[12]Hoofnagle CJ, Sloot B, Borgesius FZ. The European Union general data protection regulation: what it is and what it means[J]. Information & communications technology law, 2019, 28(1):65-98.
[13]Goddard, Michelle. The EU General Data Protection Regulation (GDPR): European regulation that has a global impact[J]. International journal of market research,2017,59(06):703-705.
[14]程嘯.論個人信息處理者的告知義務(wù)[J].上海政法學(xué)院學(xué)報(法治論叢),2021,36(05):67-80.
[15]王利明.敏感個人信息保護(hù)的基本問題——以《民法典》和《個人信息保護(hù)法》的解釋為背景[J].當(dāng)代法學(xué),2022,36(01):3-14.
[16]王煒炫.跨APP個人信息共享的法律規(guī)制[J].南方金融,2022(06):90-100.
[17]高富平.個人信息保護(hù):從個人控制到社會控制[J].法學(xué)研究,2018,40(03):84-101.
[18]王利明,丁曉東.論《個人信息保護(hù)法》的亮點、特色與適用[J].法學(xué)家,2021(06):1-16+191.
〔責(zé)任編輯:孫玉婷〕
收稿日期:2023 — 01 — 12
作者簡介:侯世坤(2001—),女,黑龍江齊齊哈爾人,學(xué)生,主要研究方向:法學(xué)研究。