韓德民　汪子辰

摘要：保護公民個人信息已經(jīng)成為信息化時代的重要課題，為推動《個人信息保護法》的出臺，完善我國個人信息保護體系，促使信息合理流通，通過整理App過度收集與使用個人信息的問題，分析我國現(xiàn)有保護個人信息體系的不足，在此基礎(chǔ)上有針對性地借鑒國外優(yōu)秀做法和實踐經(jīng)驗，結(jié)合我國國情在推動立法、引入行業(yè)自律模式、設(shè)立專門機構(gòu)方面提出建議。

關(guān)鍵詞：App 個人信息 立法借鑒 法律保護

中圖分類號：F832? 文獻標識碼：A? 文章編號：1009-5349（2020）13-0084-02

隨著科技進步和互聯(lián)網(wǎng)的發(fā)展，大數(shù)據(jù)技術(shù)在諸多領(lǐng)域得到應(yīng)用。而個人信息作為大數(shù)據(jù)技術(shù)的基礎(chǔ)和核心，在“數(shù)據(jù)是黃金”的利益驅(qū)動下，有關(guān)公民個人信息泄露的侵權(quán)案件大量出現(xiàn)，其中App成為過度收集與使用個人信息的重災(zāi)區(qū)，具體表現(xiàn)為過度索取權(quán)限以收集用戶個人信息。國家高度重視這一問題，四部委聯(lián)合發(fā)布公告，決定開展為期一年的治理App過度收集使用個人信息的專項行動。本文擬從治理App過度收集與使用個人信息亂象的視角，分析現(xiàn)有個人信息保護方面存在的問題，研究保護個人信息的對策。

一、App過度收集與使用個人信息的問題整理

（一）申請權(quán)限和與業(yè)務(wù)功能無關(guān)

部分App申請的權(quán)限與其對應(yīng)的產(chǎn)品功能不能明確掛鉤，甚至超出用戶合理預(yù)期。中消協(xié)發(fā)布的測評報告顯示，位置信息、訪問通訊錄、讀取電話等權(quán)限存在被廣泛申請并有過度使用的嫌疑。如短視頻App要索取日歷、通訊錄等權(quán)限和信息涉嫌過度收集。

（二）隱私政策不明確、不規(guī)范

隱私條款是數(shù)據(jù)運營商向用戶說明自己要如何收集、使用、存儲、共享、轉(zhuǎn)讓個人信息[1]。但是部分App存在隱私條款模糊不清的問題。在告知的方式上，缺乏對重點內(nèi)容的提示。在內(nèi)容方面，有的隱私政策內(nèi)容晦澀冗長，文本專業(yè)性強可讀性差，普通用戶沒有耐心讀完或是讀不懂內(nèi)容。

（三）通過一攬子、強制等方式索取權(quán)限的問題突出

部分App會采取一攬子索取權(quán)限的方式，向用戶一次申請多項甚至所有權(quán)限的授權(quán)，以期獲得盡可能多的權(quán)限。或是將基本業(yè)務(wù)功能與其他業(yè)務(wù)功能綁定，如果用戶不同意提供非基本業(yè)務(wù)功能的權(quán)限，也將無法使用App的基本業(yè)務(wù)功能，變相強制性的索取權(quán)限。

二、法律規(guī)制App過度收集使用個人信息的問題與不足

（一）立法分散，不成體系

近年來，我國關(guān)于保護公民個人信息出臺了一些法律法規(guī)。由于缺乏規(guī)范、系統(tǒng)的立法思路，這些分散在各部法律和行政規(guī)章中的法條規(guī)定大體相似，呈現(xiàn)出內(nèi)容重合卻標準不一的情形。各部法律間不能有效協(xié)同，互相補充，沒有形成環(huán)環(huán)相扣、層序分明的法律體系，使得公民的個人信息無法真正有效地得到保護。

（二）法律規(guī)定過于抽象，難以適用

現(xiàn)有法律多為原則性規(guī)定，對于法條的概念、范圍和認定情形并沒有具體的解釋界定。例如數(shù)據(jù)運營商應(yīng)遵循的正當(dāng)、必要原則缺少依據(jù)，收集目的的限定和過度收集的情形不明晰，也并未規(guī)定賠償數(shù)額。相關(guān)的具體問題缺乏法律上的規(guī)定，存在很多模糊地帶，難以適用。

（三）刑罰為主，重刑輕民

民法上關(guān)于個人信息方面的法條，存在著個人信息范圍界定模糊，侵權(quán)行為的認定缺乏依據(jù)，以及民事賠償?shù)臉藴什幻鞯葐栴}，加之取證和舉證的難度大等因素，被侵權(quán)人通過民事訴訟維權(quán)的效果十分有限，民事責(zé)任需要得到進一步強化。[2]而刑法上“侵犯公民個人信息罪”對于侵犯個人信息行為的認定較為明確，使得實踐中出現(xiàn)了“刑主民輔”的現(xiàn)象，大量構(gòu)不成刑事犯罪的侵權(quán)行為只能不了了之。

三、域外法律制度與實踐經(jīng)驗及啟示

（一）域外的法律制度與實踐經(jīng)驗

1.歐盟

歐盟采取了“統(tǒng)一立法”模式，在國家層面制定統(tǒng)一的保護個人數(shù)據(jù)的法律規(guī)范，設(shè)立國家數(shù)據(jù)保護委員會。歐盟的《通用數(shù)據(jù)保護條例》偏重于將個人信息視為一項基本人權(quán)，著重考慮個人信息的人權(quán)屬性和社會價值，更強調(diào)對個人信息的保護和尊重，規(guī)定用戶享有查閱權(quán)、被遺忘權(quán)、限制處理權(quán)等諸多權(quán)利。DDPR（General Data Protection Regulation，簡稱DDPR）的保護標準較高，特定企業(yè)必須配有數(shù)據(jù)保護官，并且處罰力度極大，最高可達企業(yè)年營業(yè)額的百分之四。

2.美國

美國有著發(fā)達的自由化市場，更為強調(diào)對個人信息的利用，因此美國在保護個人信息方面采取了“分散立法”結(jié)合“行業(yè)自律”這種軟硬法協(xié)調(diào)的模式。在政府層面的公領(lǐng)域以隱私權(quán)為基礎(chǔ)采取分散立法的模式，即分別制定各個領(lǐng)域關(guān)于個人信息保護的法律。而在非公領(lǐng)域則采取了行業(yè)自律的模式。自律機制是指在國家統(tǒng)一立法以外，非政府組織為了規(guī)范行業(yè)行為，主動設(shè)立行為規(guī)范的一種機制[3]。由各個行業(yè)聯(lián)盟結(jié)合行業(yè)特點，主導(dǎo)制定行為規(guī)章和行業(yè)指引，成員需采納、遵守制定出的自律性規(guī)范，另外還有多個非政府主導(dǎo)的網(wǎng)絡(luò)隱私認證組織。

（二）啟示

我國可以借鑒歐盟GDPR所體現(xiàn)的“風(fēng)險路徑”思路，根據(jù)不同的風(fēng)險等級設(shè)立不同的義務(wù)。舉例來說，開展征信業(yè)務(wù)的公司處理個人信息所面臨的風(fēng)險與面包店面對的風(fēng)險迥然不同，因此GDPR對兩者的要求也不相同[4]。這樣可以在最大限度上避免監(jiān)督管理僵化等問題。美國行業(yè)自律機制更為靈活且有針對性，能隨著技術(shù)進步不斷改進，更加符合行業(yè)利益。同時我們也要注意到，歐盟的GDPR對個人信息的管控過于嚴格，限制企業(yè)和個人的合理發(fā)展[5]。因此在借鑒時要平衡好保護和利用的關(guān)系。還應(yīng)看到美國的行業(yè)自律是建立在成熟的訴訟機制和完善的外部執(zhí)法模式上的，而且美國有著濃厚的自律文化，我們在引入行業(yè)自律模式時要結(jié)合我國國情。

四、規(guī)范App收集使用個人信息行為的建議

（一）出臺《個人信息保護法》

如前文所述，目前我國關(guān)于個人信息保護的法律沒有形成層次分明的體系，因此為打擊過度收集和使用個人信息的侵權(quán)行為，保護公民的基本權(quán)利和合法利益，維護國家信息安全，促使信息規(guī)范流通和利用，應(yīng)當(dāng)出臺《個人信息保護法》。筆者對于《個人信息保護法》提出以下幾點建議。

1.明確信息主體權(quán)利

《個人信息保護法》應(yīng)當(dāng)明確信息主體享有個人信息權(quán)，應(yīng)明確個人信息的內(nèi)容，列舉信息主體享有的權(quán)利，包括信息主體對個人信息的知情權(quán)、決定權(quán)、更正權(quán)等。另外，權(quán)利的設(shè)置還應(yīng)與時俱進，緊跟大數(shù)據(jù)技術(shù)的發(fā)展并結(jié)合現(xiàn)狀，借鑒國際立法，設(shè)置諸如被遺忘權(quán)等新興的權(quán)利形式。

2.依法保護和合理利用相結(jié)合。

對個人信息的財產(chǎn)屬性人們已有共識[6]。如何處理保護和利用個人信息之間的關(guān)系成為時代課題。筆者認為，應(yīng)在區(qū)分個人敏感信息和一般個人信息的基礎(chǔ)上，劃分保護和利用的程度。對于個人敏感信息，其處理和使用只能在信息主體同意的范圍內(nèi)進行。而對于一般個人信息，應(yīng)允許國家機關(guān)和數(shù)據(jù)運營商能夠依法在合理的范圍內(nèi)處理和使用個人信息，加強對于個人敏感信息保護的同時重視一般個人信息的利用，協(xié)調(diào)個人信息利用和保護之間的沖突，實現(xiàn)利益平衡[7]。讓個人信息“黃金”變“石油”，流動起來發(fā)揮數(shù)據(jù)的價值，推動社會進步。

3.明確法律責(zé)任。

《個人信息保護法》應(yīng)當(dāng)落實各機關(guān)的監(jiān)管職責(zé)，明確過度收集與使用個人信息的情形和界限，對于違法行為造成的后果承擔(dān)賠償責(zé)任，明確被侵權(quán)人的各種救濟途徑，包括司法救濟、行政救濟等。

（二）采取統(tǒng)一立法結(jié)合行業(yè)自律的模式。

根據(jù)我國治理現(xiàn)狀和基本國情，筆者認為我國在個人信息保護方面應(yīng)在公共領(lǐng)域和非公領(lǐng)域主要采取統(tǒng)一立法的方式予以規(guī)定，將行業(yè)自律作為非公領(lǐng)域的重要補充。統(tǒng)一立法方面，應(yīng)區(qū)分國家機關(guān)因履行法定職責(zé)收集公民個人信息的行為和數(shù)據(jù)運營商為了商業(yè)目的收集個人信息的行為。國家機關(guān)應(yīng)注重規(guī)定國家機關(guān)合法收集信息的情形和目的、政策公開等方面的內(nèi)容。對于非公領(lǐng)域，應(yīng)著重規(guī)定能夠收集與使用個人信息的資格條件，收集使用個人信息的范圍等方面的內(nèi)容。還應(yīng)重視行業(yè)自律對于非公領(lǐng)域統(tǒng)一立法的補充作用，各行業(yè)可以依照《個人信息保護法》等相關(guān)法律，提出本行業(yè)的行為規(guī)范。然后，行業(yè)規(guī)范在經(jīng)過主管部門審查批準后發(fā)行。由于我國行業(yè)自律機制還不完善，完全自主的模式可能達不到預(yù)期的效果，因此，適度的政府引導(dǎo)能夠加強自律性行為規(guī)范的執(zhí)行力，也能避免運動員和裁判員不分的現(xiàn)象。

（三）設(shè)立專門的機構(gòu)

目前我國還沒有專門保護公民個人信息的機構(gòu)，而是由幾個部門分散監(jiān)管，容易出現(xiàn)真空管理和重合管理的情況。建議成立專門保護個人信息的機構(gòu)。機構(gòu)的具體職責(zé)和權(quán)限包括：監(jiān)督國家機關(guān)和數(shù)據(jù)運營商收集和使用個人信息的行為，為公民提供個人信息方面的法律咨詢和維權(quán)服務(wù)，起草相關(guān)具體政策及負責(zé)落實有關(guān)的國家標準，審查各行業(yè)的企業(yè)自律性行為規(guī)范，接受并處理個人信息侵權(quán)的投訴、申訴等方面。以個人信息保護機構(gòu)為中心，其他部門配合工作，構(gòu)建起保護公民個人信息的行政體系。

參考文獻：

[1]洪延青.網(wǎng)絡(luò)運營者隱私條款的多角色平衡和創(chuàng)新[J].網(wǎng)絡(luò)空間戰(zhàn)略論壇，2017（9）.

[2]王利明.論個人信息權(quán)的法律保護：以個人信息權(quán)與隱私權(quán)的界分為中心[J].現(xiàn)代法學(xué)，2013（4）.

[3]齊愛民.個人信息保護法研究[J].河北法學(xué)，2008（4）.

[4]洪延青.解鎖GDPR的正確姿勢：風(fēng)險路徑[J].中國信息安全，2018（7）.

[5]洪海林.個人信息保護立法理念探究：在信息保護和信息利用之間[J].河北法學(xué)，2007（1）.

[6]張平.大數(shù)據(jù)時代個人信息保護的立法選擇[J].北京大學(xué)學(xué)報（哲學(xué)社會科學(xué)版），2017（5）.

[7]張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學(xué)，2015（3）.

責(zé)任編輯：趙慧敏

[作者簡介]韓德民，西南民族大學(xué)法學(xué)院在讀本科生，研究方向：經(jīng)濟法;汪子辰，西南民族大學(xué)法學(xué)院在讀本科生，研究方向：經(jīng)濟法。