李暢暢

(華東政法大學(xué)經(jīng)濟(jì)法學(xué)院 上海 200042)

移動應(yīng)用作為信息時代的重要載體,不僅便利了人們的工作生活,也帶來了個人信息泄露的風(fēng)險.移動應(yīng)用是指通過預(yù)裝、下載等方式獲取并運(yùn)行在移動智能終端上、向用戶提供信息服務(wù)的應(yīng)用軟件,簡稱APP.在個人和APP的交互過程中移動應(yīng)用企業(yè)獲取了大量用戶數(shù)據(jù).用戶數(shù)據(jù)作為生產(chǎn)要素,不僅具有十分重要的經(jīng)濟(jì)價值,還蘊(yùn)含著用戶的人格性利益.實(shí)踐中,企業(yè)侵犯用戶個人信息權(quán)益的事件屢見不鮮.移動應(yīng)用作為企業(yè)處理用戶數(shù)據(jù)的重要渠道,國家高度重視用戶個人信息保護(hù)問題,并在立法和執(zhí)法層面采取了多種措施.《中華人民共和國個人信息保護(hù)法》(以下簡稱《個人信息保護(hù)法》)第17條第3款明確要求:個人信息處理者須公開其個人信息處理規(guī)則.因此移動應(yīng)用企業(yè)往往通過制定個人信息保護(hù)政策來履行自己的告知義務(wù).

移動應(yīng)用企業(yè)通常會利用自身的優(yōu)勢,單方面制定不公平的條款,過分強(qiáng)調(diào)自身的權(quán)利,而忽視自身應(yīng)承擔(dān)的義務(wù).與此同時,企業(yè)傾向于制定冗長、繁瑣的個人信息保護(hù)政策,不僅文字量巨大,而且專業(yè)術(shù)語繁多,十分晦澀難懂.企業(yè)履行其告知義務(wù)的目的多在于降低法律風(fēng)險,滿足合規(guī)的要求[1].在這種情況下企業(yè)獲得用戶“同意授權(quán)”的正當(dāng)性不足.實(shí)踐中,APP個人信息保護(hù)政策問題頻出,目前我國法學(xué)界對APP個人信息保護(hù)政策缺乏關(guān)注,亟待學(xué)界對實(shí)踐中產(chǎn)生的問題進(jìn)行研究[2].

1 個人信息保護(hù)政策概念與性質(zhì)

1.1 內(nèi)涵界定

個人信息保護(hù)政策這一概念濫觴于美國的1973年《公平信息實(shí)踐準(zhǔn)則》[3].美國的個人信息保護(hù)機(jī)關(guān)認(rèn)為自己沒有足夠的能力制定統(tǒng)一的實(shí)體性隱私保護(hù)規(guī)則,因此鼓勵企業(yè)自行創(chuàng)制隱私政策,并對其進(jìn)行審查[4].通說認(rèn)為個人信息保護(hù)政策是指互聯(lián)網(wǎng)企業(yè)以在線文件的方式自愿披露其處理用戶個人信息的目的、范圍和方式等內(nèi)容,并公示其保護(hù)用戶個人信息的原則和具體措施,以此讓用戶決定是否繼續(xù)使用該產(chǎn)品或服務(wù).雖然實(shí)踐中對個人信息保護(hù)政策的叫法不一,但本文傾向于使用該稱謂而不是“隱私政策”.“隱私政策”來源于“privacy policy”的中文翻譯.“個人信息”與“隱私”存在內(nèi)容上的重合,但兩者并不相同.隱私針對的是保密層面的內(nèi)容,個人信息關(guān)注的則是信息處理層面的范疇[5].

1.2 個人信息保護(hù)政策與用戶協(xié)議的關(guān)系

從廣義角度來看,用戶協(xié)議是指一系列有關(guān)用戶和互聯(lián)網(wǎng)平臺運(yùn)營者權(quán)利義務(wù)的協(xié)議.基于商業(yè)效率的考慮,企業(yè)不會與每個用戶單獨(dú)擬定用戶協(xié)議,而是事先制定好并直接提供給用戶,因此屬于典型的格式合同.在早期的商業(yè)實(shí)踐中,企業(yè)會在用戶協(xié)議中通過隱私條款規(guī)定相關(guān)個人信息保護(hù)內(nèi)容.但是,若把隱私條款視為用戶協(xié)議的一部分并不利于個人信息保護(hù).《個人信息保護(hù)法》兼具公法屬性與私法屬性[6],個人信息涉及人格尊嚴(yán)和人格利益,為保護(hù)用戶個人信息,個人信息保護(hù)政策的內(nèi)容不應(yīng)由雙方自主決定,而應(yīng)由具有強(qiáng)制力的規(guī)范來安排.個人信息保護(hù)政策所規(guī)范的權(quán)利義務(wù)不同于用戶協(xié)議,獨(dú)立設(shè)置個人信息保護(hù)政策可以體現(xiàn)出個人信息保護(hù)政策的重要性,也便于用戶查詢和閱讀.當(dāng)然,兩者并非毫無關(guān)系.個人信息保護(hù)政策是用戶協(xié)議的前置性文件,一旦用戶停止使用網(wǎng)絡(luò)服務(wù)提供者所提供的網(wǎng)絡(luò)服務(wù),應(yīng)當(dāng)認(rèn)定用戶既解除了網(wǎng)絡(luò)服務(wù)協(xié)議,也同時解除了與處理個人信息有關(guān)的協(xié)議,網(wǎng)絡(luò)服務(wù)提供者無權(quán)再依據(jù)個人信息保護(hù)政策的規(guī)定收集、利用用戶個人信息[7].

1.3 個人信息保護(hù)政策的法律性質(zhì)

個人信息保護(hù)政策的定性爭議主要集中在“合同說”和“企業(yè)自律說”2個方面.前者認(rèn)為個人信息保護(hù)政策是互聯(lián)網(wǎng)服務(wù)提供者與用戶簽訂的協(xié)議.如“隱私政策是建立在雙方合意基礎(chǔ)上的協(xié)議”[8]“互聯(lián)網(wǎng)上用戶與企業(yè)之間的種種交易當(dāng)屬合同法規(guī)制范疇”[9]等.企業(yè)自律說認(rèn)為個人信息保護(hù)政策是互聯(lián)網(wǎng)提供者的企業(yè)自律規(guī)則,GB/T35273—2020《信息安全技術(shù) 個人信息安全規(guī)范》(以下簡稱“2020國標(biāo)”)在5.6節(jié)中便采此觀點(diǎn).高秦偉[4]認(rèn)為2種學(xué)說并無實(shí)際的沖突,前者圍繞企業(yè)和用戶的關(guān)系展開,后者則從行政機(jī)關(guān)和企業(yè)的關(guān)系層面進(jìn)行描述.李延舜[10]同時承認(rèn)個人信息保護(hù)政策具有合同屬性和企業(yè)自律屬性,并指出隱私條款還具有社會承諾屬性,以此來消除互聯(lián)網(wǎng)服務(wù)提供者和用戶之間的不平等.考慮到互聯(lián)網(wǎng)服務(wù)提供者和用戶在事實(shí)上地位并不相等,從維護(hù)用戶權(quán)利的角度出發(fā),個人信息保護(hù)政策應(yīng)是企業(yè)結(jié)合自身服務(wù)產(chǎn)品定位,在滿足法律法規(guī)的最低個人信息保護(hù)要求上制定的企業(yè)自律規(guī)則,其目的在于告知用戶企業(yè)將如何收集、使用個人信息.本文認(rèn)為,在符合法律法規(guī)規(guī)定的情況下,用戶的同意應(yīng)當(dāng)認(rèn)為是企業(yè)和用戶依據(jù)隱私政策達(dá)成協(xié)議,其有權(quán)據(jù)此向互聯(lián)網(wǎng)服務(wù)提供者主張權(quán)利.

2 個人信息保護(hù)政策中的相關(guān)問題

關(guān)于APP個人信息保護(hù)政策合規(guī)性評價,一些學(xué)者采用不同的方法對各類應(yīng)用程序的個人信息保護(hù)政策進(jìn)行合規(guī)檢測,具體檢測方法包括文本分析法、內(nèi)容分析法、問題卷調(diào)查法和機(jī)器學(xué)習(xí)等[11].雖然APP檢測方法得到一定程度的普及,但APP個人信息保護(hù)政策依然存在規(guī)范化程度較低、侵權(quán)風(fēng)險高、一致性和可讀性較差等問題.在這些問題中,以下3點(diǎn)尤為值得重視:

1) “知情同意”規(guī)則存在缺陷.

“知情同意”抑或“告知同意”是規(guī)則還是原則,原則是抽象的,規(guī)則是具體的,兩者具有本質(zhì)性差別,考慮到《中華人民共和國民法典》(以下簡稱《民法典》)第1035條第1款和《個人信息保護(hù)法》第17條已經(jīng)將“知情同意”具體化,因此本文認(rèn)為“知情同意”是具體規(guī)則.通說認(rèn)為,知情同意規(guī)則是指個人信息處理者在處理個人信息前,應(yīng)將具體處理規(guī)則告知個人信息主體并取得同意.不僅如此,APP運(yùn)營者從事前述活動時還應(yīng)當(dāng)滿足最小必要原則,即處理個人信息應(yīng)當(dāng)具有明確、合理的目的,并應(yīng)限于實(shí)現(xiàn)處理目的的最小范圍,不得進(jìn)行與此無關(guān)的個人信息處理.為了滿足上述要求,“2020國標(biāo)”要求APP運(yùn)營者不僅要在個人信息保護(hù)政策中區(qū)分一般信息和敏感信息,還要區(qū)分基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能,這一要求比歐盟的《通用數(shù)據(jù)保護(hù)條例》和美國的《2018加州消費(fèi)者隱私法》都更為嚴(yán)格.

然而,知情同意規(guī)則卻存在一定的問題.首先,大多數(shù)用戶并沒有太多的時間、精力和能力去閱讀冗長繁雜的個人信息保護(hù)政策.企業(yè)單方面制定的個人信息保護(hù)政策在權(quán)利義務(wù)分配方面明顯傾向于其自身.在信息不對稱的情況下,個人信息主體作出的決定并不能達(dá)到“帕累托最優(yōu)”.面對選擇較少、市場化程度和規(guī)范程度都較低的應(yīng)用軟件時,個人只能作出“同意”的選擇.其次,知情同意規(guī)則存在內(nèi)在悖論,個人信息保護(hù)政策無法兼顧“充分告知”和“簡單易懂”的要求[12].雖然很多APP提供了簡易版?zhèn)€人信息保護(hù)政策來提高易讀性,但用戶仍需閱讀原版?zhèn)€人信息保護(hù)政策才能了解完整的信息.最后,個人信息處理者履行告知的目的多在于降低法律風(fēng)險,而法律規(guī)定和個人期待的目的在于通過設(shè)定告知義務(wù)來促進(jìn)個人信息保護(hù),兩者存在部分背離.

2) 第三方SDK存在安全隱患.

嵌入第三方SDK雖然可以提升APP的便利性和兼容性,極大縮短APP的開發(fā)周期,但也會帶來許多安全問題和個人信息泄露的風(fēng)險.全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處將SDK定義為:對實(shí)現(xiàn)APP特定功能的代碼進(jìn)行封裝,向外提供簡捷的調(diào)用接口的二進(jìn)制文件.而第三方SDK是由第三方軟件開發(fā)提供商提供的,用以實(shí)現(xiàn)軟件特定功能的工具包.被封裝的第三方SDK上設(shè)有簡單的調(diào)用接口,APP運(yùn)營者可以在APP中直接嵌入第三方SDK來實(shí)現(xiàn)特定的功能.APP運(yùn)營商通過SDK的接口,將SDK嵌入到APP中.由于SDK具有較強(qiáng)的隱蔽性,用戶在使用APP過程中一般無法感知到SDK的存在,除非APP以頁面跳轉(zhuǎn)等方式訪問SDK提供者的獨(dú)立交互頁面,這就涉及SDK的無感知收集問題.此外,APP運(yùn)營商與第三方SDK簽訂的合作協(xié)議通常缺少針對數(shù)據(jù)安全的約束條款.目前,關(guān)于第三方SDK的監(jiān)管仍缺少系統(tǒng)性的安全標(biāo)準(zhǔn).第三方SDK提供者和APP提供者的職責(zé)劃分仍存在盲區(qū),法律責(zé)任承擔(dān)也較為模糊.

3) 匿名化不是“萬能靈藥”.

數(shù)字經(jīng)濟(jì)的發(fā)展不僅需要保護(hù)個人信息,還需要確保數(shù)據(jù)的流通和使用.具有可識別性的個人信息連接著作為主體的人與作為客體的信息,個人信息的處理過程同時也是不斷識別特定個人的過程[13].實(shí)踐中,去標(biāo)識化和匿名化作為數(shù)字技術(shù)手段常用來平衡數(shù)據(jù)利用和信息主體基本權(quán)利的保護(hù).從原理上看去標(biāo)識化與匿名化并不相同.根據(jù)《個人信息保護(hù)法》第4條,去標(biāo)識化的信息仍屬于個人信息,而經(jīng)過匿名化處理的信息被認(rèn)為不具有識別特定信息主體的效果,因此不受調(diào)整個人信息相關(guān)法律的保護(hù).對于個人信息處理者而言,只要將個人信息進(jìn)行匿名化處理,便能免除后續(xù)流通過程中的合規(guī)義務(wù).事實(shí)上,匿名化并不能一勞永逸地解決個人信息保護(hù),對個人信息進(jìn)行匿名化也不能百分之百確保個人信息安全.匿名化不是一個二元概念,不存在百分之百的匿名化數(shù)據(jù).匿名化旨在將重新識別的風(fēng)險降低到某個閾值以下,試圖在降低再識別風(fēng)險和保持?jǐn)?shù)據(jù)利用之間找到平衡,但并不能完全消除被重新識別的風(fēng)險.被匿名化處理的信息在后續(xù)的流轉(zhuǎn)過程中,隨著可結(jié)合信息來源的不斷增加以及信息再識別技術(shù)的持續(xù)進(jìn)步,現(xiàn)有的匿名化措施可能會被破解[14].有研究表明,利用統(tǒng)計方法建立特定模型便可通過匿名化的數(shù)據(jù)集準(zhǔn)確識別個體身份.該研究由此得出結(jié)論認(rèn)為目前的匿名化技術(shù)不足以保護(hù)個人隱私[15].雖然有學(xué)者提出了匿名化的具體法律標(biāo)準(zhǔn)[16],但目前我國并沒有相關(guān)規(guī)定對個人信息匿名化的具體標(biāo)準(zhǔn)進(jìn)行規(guī)范.匿名化并不是單純的自動化,對收集的個人信息進(jìn)行匿名化需要個人信息處理企業(yè)投入大量的合規(guī)成本,個人信息匿名化標(biāo)準(zhǔn)的模糊性會引發(fā)企業(yè)進(jìn)行匿名化標(biāo)準(zhǔn)的“逐底競爭”,不利于個人信息保護(hù).

3 國外的經(jīng)驗(yàn)和啟示:歐美實(shí)踐

歐盟制定的《統(tǒng)一數(shù)據(jù)保護(hù)條例》對全世界的個人信息保護(hù)產(chǎn)生了重要影響.歐盟對數(shù)據(jù)隱私保護(hù)的態(tài)度源自其將數(shù)據(jù)視為獨(dú)立于公民隱私權(quán)的基本權(quán)利,隨著基本權(quán)利發(fā)展而來的隱私保護(hù)側(cè)重于預(yù)防事前的風(fēng)險[17].歐盟建立了強(qiáng)有力的個人信息公法保護(hù)制度,其數(shù)據(jù)保護(hù)機(jī)構(gòu)的執(zhí)法已經(jīng)對企業(yè)產(chǎn)生了威懾力[18].與歐盟不同,美國通過內(nèi)涵廣泛的隱私權(quán)概念對個人信息進(jìn)行保護(hù)[19].美國缺乏聯(lián)邦層面的統(tǒng)一隱私保護(hù)立法,個人信息保護(hù)法在州立法和行業(yè)立法中呈碎片化狀態(tài).如弗吉尼亞州立法層面的《消費(fèi)者數(shù)據(jù)保護(hù)法》、行業(yè)立法層面的《視頻隱私保護(hù)法》.這些法律都被冠以消費(fèi)者保護(hù)法的名義.在沒有專門個人信息立法保護(hù)的領(lǐng)域中,美國也是采用消費(fèi)者保護(hù)的模式對個人信息進(jìn)行一般保護(hù),本質(zhì)上更接近于合同法保護(hù),即私法保護(hù)[6].

美國的消費(fèi)者保護(hù)模式主要依賴于聯(lián)邦貿(mào)易委員會(FTC)的執(zhí)法.當(dāng)企業(yè)違反自身制定的隱私政策時,FTC可依《聯(lián)邦貿(mào)易委員會法》第5節(jié)的規(guī)定對其提起訴訟.由于第5節(jié)主要是為了防止不公平和欺詐交易行為,因此對個人信息保護(hù)的范圍有限[3].美國的消費(fèi)者保護(hù)模式?jīng)Q定了用戶的個人信息保護(hù)依賴于企業(yè)自律.然而,面對巨大的用戶數(shù)據(jù)利益,企業(yè)并不會遵守隱私政策的規(guī)定.隨著隱私保護(hù)與數(shù)據(jù)共享利用效率之間的矛盾日益突出,以及歐盟GDPR在全球數(shù)字隱私保護(hù)領(lǐng)域內(nèi)的影響愈加深遠(yuǎn),美國國內(nèi)越來越強(qiáng)烈地呼吁制定聯(lián)邦統(tǒng)一立法.2022年6月3日,美國參議院和眾議院發(fā)布了《美國數(shù)據(jù)隱私和保護(hù)法》(ADPPA)的草案,該立法草案是第1個獲得兩黨兩院支持的美國聯(lián)邦全面隱私保護(hù)提案.從法律層面來看,這項(xiàng)隱私保護(hù)法案的通過意味著美國數(shù)據(jù)隱私保護(hù)進(jìn)入聯(lián)邦統(tǒng)一標(biāo)準(zhǔn)的時代.

歐盟的嚴(yán)格執(zhí)法不影響受到損害的個體自行提起訴訟,美國也在積極探尋統(tǒng)一立法途徑.結(jié)合歐美實(shí)踐可以看出,在個人信息保護(hù)方面,公共執(zhí)法和私人執(zhí)法都在互相靠攏,對于個人信息保護(hù)同時采取公私法融合的路徑更為合適.個人信息泄露造成損害的復(fù)雜性決定了其多元救濟(jì)的公私法融合路徑[20].

4 我國APP個人信息保護(hù)的規(guī)范路徑

個人信息兼具人身屬性與流通屬性,數(shù)據(jù)流通能實(shí)現(xiàn)社會效益的最大化[21],但數(shù)據(jù)流通與個人信息保護(hù)之間存在一定的沖突.在與個人信息處理者交互的過程中,個人實(shí)際上處于劣勢地位.因此,如何在優(yōu)先保護(hù)個人權(quán)益的情況下健全數(shù)據(jù)流通機(jī)制便成為個人信息保護(hù)制度發(fā)展的核心和關(guān)鍵.目前來看,實(shí)踐中APP個人信息保護(hù)問題頻出,因此一方面鼓勵企業(yè)完善內(nèi)部合規(guī)體系,另一方面發(fā)揮公私法融合的路徑,在確保個人隱私安全的前提下推動數(shù)據(jù)流通.

4.1 鼓勵企業(yè)自律,優(yōu)化內(nèi)部合規(guī)體系

4.1.1 企業(yè)應(yīng)擁抱監(jiān)管,完善內(nèi)部合規(guī)體系

企業(yè)應(yīng)當(dāng)在充分保障信息主體權(quán)益的前提下開展經(jīng)營活動.隨著監(jiān)管執(zhí)法的加強(qiáng),企業(yè)主體不應(yīng)當(dāng)畏懼監(jiān)管,而應(yīng)當(dāng)“擁抱”監(jiān)管,將個人信息保護(hù)真正融入到日常的業(yè)務(wù)和產(chǎn)品中.目前相關(guān)法律法規(guī)明確了個人信息處理者的義務(wù),為相關(guān)個人信息處理者依法履行義務(wù)提供了具體指引.換言之,監(jiān)管的具體規(guī)則并不是為了抑制企業(yè)的發(fā)展,而是通過監(jiān)管來引導(dǎo)幫助企業(yè)明晰自身的服務(wù)和產(chǎn)品的功能,并規(guī)范內(nèi)部合規(guī)流程.當(dāng)前監(jiān)管要求企業(yè)區(qū)分其基本業(yè)務(wù)和擴(kuò)展業(yè)務(wù)功能,這就要求企業(yè)的法務(wù)和合規(guī)部門與具體的業(yè)務(wù)部門進(jìn)行溝通交流,深入了解企業(yè)的數(shù)據(jù)流動路徑情況,這有利于完善企業(yè)內(nèi)部合規(guī)體系,降低企業(yè)合規(guī)成本.企業(yè)應(yīng)當(dāng)建立個人信息安全事件處置機(jī)制,開展個人信息安全影響評估、制定應(yīng)急預(yù)案、開展應(yīng)急演練案、完善的信息安全管理制度和內(nèi)部安全事件處置機(jī)制等.

4.1.2 企業(yè)應(yīng)加強(qiáng)與用戶的溝通交流,完善個人信息保護(hù)政策文本

對個人信息處理者而言,個人信息保護(hù)政策一方面是其作為告知用戶個人信息處理情況的窗口和取得個人信息主體合法授權(quán)的重要渠道,另一方面體現(xiàn)著個人信息處理者對相關(guān)法律法規(guī)的合規(guī)程度.個人信息處理者應(yīng)當(dāng)在個人信息保護(hù)政策中以顯著方式、清晰易懂的語言真實(shí),準(zhǔn)確、完整地向個人告知相關(guān)處理事項(xiàng),不應(yīng)隱瞞產(chǎn)品或服務(wù)中含有的收集個人信息的功能.個人信息處理者“告知”不充分可能會影響其處理個人信息的合法性.基于商業(yè)效率的考慮,個人信息保護(hù)政策是由個人信息處理者提前單方擬定的格式文本,難以全面考慮到用戶的意愿,缺少實(shí)質(zhì)的雙方合意過程.因此,企業(yè)應(yīng)當(dāng)傾聽用戶的建議,拓寬與用戶的交流渠道.個人信息主體享有解釋說明權(quán),企業(yè)應(yīng)當(dāng)在法定期限內(nèi)及時對用戶的疑問進(jìn)行解答.相關(guān)研究表明,如果個人信息保護(hù)政策文本以默認(rèn)自動顯示的方式展示給受眾,相較于提供點(diǎn)擊鏈接的方式,其內(nèi)容更容易被仔細(xì)閱讀和充分理解[22].企業(yè)可以積極探索個人信息保護(hù)政策內(nèi)容可視化,在個人信息保護(hù)政策文本中增加圖示類內(nèi)容或者擴(kuò)大圖示內(nèi)容的占比也能夠有效降低讀者的認(rèn)知負(fù)荷,提高閱讀后的效果[23].

4.1.3 企業(yè)應(yīng)強(qiáng)化對第三方SDK監(jiān)管

企業(yè)應(yīng)從事前、事中、事后3個方面對第三方SDK進(jìn)行全流程監(jiān)管.事前,企業(yè)的業(yè)務(wù)部和法務(wù)部應(yīng)該共同與第三方SDK進(jìn)行充分的協(xié)商和溝通,審核評估安全風(fēng)險,簽訂帶有專門的數(shù)據(jù)安全約束條款的合作協(xié)議,并明確第三方SDK數(shù)據(jù)處理范圍,建立雙方信息安全機(jī)制,明晰雙方承擔(dān)的法律義務(wù)和責(zé)任.事中,企業(yè)通過自身數(shù)據(jù)安全部門或第三方專業(yè)機(jī)構(gòu)定期對第三方SDK進(jìn)行技術(shù)檢測和安全核查,評估安全機(jī)制落實(shí)情況,對第三方SDK的違規(guī)行為及時進(jìn)行處理和懲處.事后,企業(yè)應(yīng)當(dāng)督促第三方SDK按照合作協(xié)議,刪除或匿名化處理共享或收集的用戶個人信息.此外,企業(yè)應(yīng)當(dāng)提供退出機(jī)制以供用戶選擇.當(dāng)用戶選擇拒絕適用第三方SDK提供的服務(wù)時,個人信息處理者應(yīng)當(dāng)禁止第三方SDK處理相關(guān)個人信息.個人信息處理者應(yīng)對其處理的個人信息做到全生命周期負(fù)責(zé).在取得用戶同意的情況下,個人信息處理者將信息通過去標(biāo)識化處理后共享給第三方時,應(yīng)當(dāng)與第三方約定不得利用所接收的數(shù)據(jù)進(jìn)行還原.

4.2 強(qiáng)化私力救濟(jì),完善事后救濟(jì)

知情同意規(guī)則存在些許問題,但其仍是個人與信息處理者之間沖突的最小化成本解決方式[24].在當(dāng)前法律已經(jīng)明確知情同意規(guī)則的法律地位的情況下,考慮到個人和信息處理者之間存在實(shí)力地位不對等的現(xiàn)實(shí),經(jīng)過用戶同意的個人信息保護(hù)政策應(yīng)被視為個人和信息處理者通過電子數(shù)據(jù)交換形式達(dá)成的格式合同,從而可以適用《民法典》和《中華人民共和國消費(fèi)者權(quán)益保護(hù)法》的相關(guān)規(guī)定對個人進(jìn)行保護(hù).此外,現(xiàn)有的侵權(quán)救濟(jì)體系并不利于個人信息保護(hù),信息主體往往難以證明其遭受了財產(chǎn)和精神損害.葉名怡[25]指出大數(shù)據(jù)技術(shù)的發(fā)展加劇了個人和信息處理者之間的強(qiáng)弱對比,亟需在個人信息侵權(quán)領(lǐng)域重構(gòu)侵權(quán)法體系框架.從合同規(guī)范角度來看,個人信息處理者有義務(wù)按照個人信息保護(hù)政策的約定處理個人信息.如果個人信息處理者違反個人信息保護(hù)政策的規(guī)定處理個人信息,個人有權(quán)要求個人信息處理者承擔(dān)違約責(zé)任.適用違約責(zé)任可以有效彌補(bǔ)現(xiàn)有救濟(jì)方式的不足,重塑個人信息主體與企業(yè)的平等關(guān)系并促進(jìn)企業(yè)自律[2].例如,若個人信息保護(hù)政策中存在不合理不公平的“霸王條款”,用戶可以根據(jù)格式條款的規(guī)定予以救濟(jì).

4.3 健全公力執(zhí)法,實(shí)現(xiàn)常態(tài)化監(jiān)管

從比較法來看,我國的《個人信息保護(hù)法》是一部立足本土國情具有中國特色的個人信息保護(hù)法律[6].《個人信息保護(hù)法》在總結(jié)先前立法和實(shí)踐經(jīng)驗(yàn)基礎(chǔ)上形成了一套具有可操作性的專門規(guī)范體系.然而,這也意味著切實(shí)保護(hù)信息主體的個人信息權(quán)益需要公權(quán)力發(fā)揮主導(dǎo)作用.《個人信息保護(hù)法》第6章明確提出履行個人信息保護(hù)職責(zé)的部門要主動介入個人信息處理活動并積極履行相應(yīng)法定職責(zé).主管部門應(yīng)該通過調(diào)整部門規(guī)章和出臺規(guī)范性文件進(jìn)一步將《個人信息保護(hù)法》相關(guān)制度進(jìn)行具體的細(xì)化與落實(shí).與其他國家設(shè)置獨(dú)立監(jiān)管機(jī)構(gòu)不同,我國采用統(tǒng)籌協(xié)同機(jī)制的個人信息保護(hù)監(jiān)管體系.根據(jù)《個人信息保護(hù)法》,國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個人信息保護(hù)工作和相關(guān)監(jiān)督管理工作,國務(wù)院有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)個人信息保護(hù)和監(jiān)管管理工作.在地方層面,縣級以上地方人民政府有關(guān)部門履行個人信息保護(hù)和監(jiān)督管理職責(zé).相比單一監(jiān)管機(jī)構(gòu),協(xié)同治理需要各部門對實(shí)踐中遭遇到的問題進(jìn)行積極溝通,在法律法規(guī)的授權(quán)范圍內(nèi)做好個人信息保護(hù)和監(jiān)督管理工作.中央和地方應(yīng)在執(zhí)法尺度和標(biāo)準(zhǔn)方面保持一致,以形成包括行業(yè)監(jiān)管和地方監(jiān)管的雙重監(jiān)管體系,確保執(zhí)法的穩(wěn)定性和可預(yù)期性.

從目前的情況來看,我國缺乏常態(tài)化的行政監(jiān)管機(jī)制.移動應(yīng)用行業(yè)迅速發(fā)展,短期內(nèi)還會產(chǎn)生諸多問題,國家的短期專項(xiàng)治理依然有必要.但從長期來看,國家應(yīng)當(dāng)建立常態(tài)化監(jiān)督機(jī)制,制定相應(yīng)執(zhí)法或者監(jiān)管的指南,完善行政執(zhí)法部門和管理部門之間的協(xié)調(diào)互動機(jī)制,從突擊整治轉(zhuǎn)移到長效治理,從事前監(jiān)督轉(zhuǎn)移到事中、事后監(jiān)督,注重數(shù)據(jù)流轉(zhuǎn)的全生命周期監(jiān)管.當(dāng)前,第三方SDK問題突出,APP提供者自身沒有能力對第三方SDK進(jìn)行實(shí)時管理,相關(guān)部門應(yīng)當(dāng)界定兩者的責(zé)任邊界,并制定相應(yīng)的技術(shù)管控措施.面對APP數(shù)量的井噴增長,國家應(yīng)當(dāng)運(yùn)用人工智能、大數(shù)據(jù)等新技術(shù)手段進(jìn)行APP自動化檢測.監(jiān)管機(jī)構(gòu)應(yīng)制定適當(dāng)章程規(guī)范檢測流程,及時與APP開發(fā)者交流,指導(dǎo)其對個人信息處理機(jī)制進(jìn)行修改和重新測試.

5 結(jié) 語

個人信息蘊(yùn)含著信息主體獨(dú)立的人格利益,同時也含有重要的商業(yè)價值和公共價值,需要在保護(hù)個人信息的前提下尋求個人信息處理者和社會公共利益之間的平衡點(diǎn).為解決APP個人信息保護(hù)政策中存在的問題,需要進(jìn)一步堅持“以人為本”的個人信息保護(hù)觀,需要相關(guān)企業(yè)切實(shí)遵守其與用戶間就個人信息處理達(dá)成的協(xié)議,明確雙方在合同項(xiàng)下的權(quán)利義務(wù)關(guān)系,并不斷優(yōu)化內(nèi)部合規(guī)體系,落實(shí)法律法規(guī)要求.而在此過程中,國家不僅需要扮演監(jiān)管者的角色,更要引導(dǎo)和幫助企業(yè)把好信息安全關(guān),確保網(wǎng)絡(luò)信息服務(wù)環(huán)境的良性循環(huán).