app應(yīng)用程序中的個人信息保護(hù)

劉彬

隨著信息技術(shù)與經(jīng)濟(jì)社會的交匯融合，各類移動應(yīng)用程序的運用，使人們可以足不出戶完成生活中衣食住行等各個方面的事項，極大方便了人們的日常生活。截至2019 年12 月，我國國內(nèi)市場上監(jiān)測到的App 數(shù)量為367 萬。移動網(wǎng)民人均安裝APP總量增加至60款，用戶每天花在各類App 的時間為5、1小時。從應(yīng)用類型看，App 已實現(xiàn)生活場景全覆蓋，形成圍繞個人需求的完整消費閉環(huán)。移動互聯(lián)網(wǎng)的發(fā)展，極大便利了人們的生活，而人們在享受移動應(yīng)用程序（APP）帶來的便利時，公民個人信息的泄漏問題也屢屢發(fā)生。根據(jù)CNNIC發(fā)布的第44次《中國互聯(lián)網(wǎng)發(fā)展?fàn)顩r統(tǒng)計報告》，個人信息泄漏的網(wǎng)民比例排名，從2018年12月的第二位上升到2019年6月的第一位。盡管國家加大了APP侵害用戶權(quán)益的專項整治工作，但是信息泄漏問題仍然屢見不鮮，僅2019年7月到2020年1月這4個月期間，至少進(jìn)行過7次公開點名要求APP進(jìn)行整改，且每次都有知名APP在列， 目前相關(guān)部門對于問題APP主要采取自查、曝光、下架、限期整治等之類措施，但由于此類措施威懾力不大，整改效果往往不如人意。如何在移動互聯(lián)網(wǎng)高速發(fā)展的過程中，加強(qiáng)APP個人信息保護(hù)。是目前亟待解決的問題之一。

一、APP應(yīng)用程序應(yīng)用環(huán)節(jié)中個人信息存在的問題

1、APP應(yīng)用程序中個人信息收集環(huán)節(jié)存在的問題。根據(jù)艾媒咨詢機(jī)構(gòu)發(fā)布的《2020年中國手機(jī)App隱私權(quán)限測評報告》，當(dāng)前多數(shù)手機(jī)App仍存在強(qiáng)制超范圍索要權(quán)限的情況。部分APP運營者為了盡可能的收集公民個人信息，通常會超范圍的索要用戶權(quán)限，企業(yè)在相關(guān)協(xié)議中都會盡可能將擴(kuò)大用戶授權(quán)收集數(shù)據(jù)的范圍，或者模糊授權(quán)條款收集用戶個人信息。

2、 APP應(yīng)用程序中個人信息共享環(huán)節(jié)存在的問題。數(shù)據(jù)共享已經(jīng)成為信息數(shù)據(jù)利用的一種重要方式。數(shù)據(jù)共享能實現(xiàn)數(shù)據(jù)資源的重復(fù)利用，降低數(shù)據(jù)收集成本，實現(xiàn)同類數(shù)據(jù)社會效益的最大化，與此同時，為了獲得用戶的授權(quán)，互聯(lián)網(wǎng)企業(yè)通常都會用其經(jīng)營、技術(shù)上的優(yōu)勢地位通過格式條款以概括性授權(quán)。鑒于個人信息與信息主體人格利益之間的緊密聯(lián)系，此種委托可能會造成信息主體失去其作為信息主體的控制權(quán)。 并且概括性授權(quán)主要依賴于格式條款的捆綁同意，在實踐中用戶在安裝使用一些軟件和程序時如果不同意互聯(lián)網(wǎng)企業(yè)的格式條款，則無法安裝使用。由于APP在數(shù)據(jù)收集時使用概括性授權(quán)，缺少合理的授權(quán)機(jī)制。對于該類行為，APP運營者對于個人信息共享行為往往會受到合法性的質(zhì)疑。

3、APP應(yīng)用程序中個人信息使用環(huán)節(jié)存在的問題。APP信息收集者在收集到關(guān)聯(lián)信息之后，需要對信息加以處理和分析，掌握數(shù)據(jù)背后的用戶喜好，進(jìn)而預(yù)測未來市場的走向，制定下一步的商業(yè)計劃，由此才使得信息數(shù)據(jù)發(fā)揮其巨大的價值.通過對于信息的分析，獲得相關(guān)結(jié)論、發(fā)展趨勢、主體喜好等，在這些結(jié)論的基礎(chǔ)上制定行動計劃，可以實現(xiàn)商業(yè)經(jīng)營者的商業(yè)目的和商業(yè)利益。在大數(shù)據(jù)時代，僅僅從外部屏蔽大數(shù)據(jù)主體挖掘個人信息是很難實現(xiàn)的，收據(jù)運作者一般都是通過多種數(shù)據(jù)掌握他人個人信息。目前，各社交網(wǎng)站一般會不同程度地開放其用戶所產(chǎn)生的實時數(shù)據(jù)，這些信息可能被一些數(shù)據(jù)提供商收集。另外，還存在一些監(jiān)測數(shù)據(jù)的市場分析機(jī)構(gòu)，通過對人們在社交網(wǎng)站中寫入的信息、智能手機(jī)顯示的位置信息等多種數(shù)據(jù)組合，己經(jīng)可以以非常高的精度鎖定某個人以及挖掘出其個人信息體系，用戶的信息安全問題堪憂。因此，在保護(hù)個人信息安全的過程中需要考慮如何規(guī)范過度分析的行為，從而做到針對性的規(guī)制。

二、APP應(yīng)用程序中個人信息保護(hù)的具體建議

1 完善APP應(yīng)用程序中信息收集的授權(quán)規(guī)則。

APP個人信息收集作為個人信息事前防范的關(guān)鍵步驟，可以通過區(qū)分信息授權(quán)等級，禁止個人信息回溯以及設(shè)立隱私信息的備案許可這三種規(guī)則來進(jìn)行完善。對信息管理控制者實施的信息收集行為而言，首先可以區(qū)分信息授權(quán)等級，把個人信息按照敏感程度來進(jìn)行劃分。例如按照一般性、敏感性、公開性來劃分信息的授權(quán)范圍，對于一般性信息，可以一次性授權(quán)，對于敏感類信息可以進(jìn)行二次授權(quán)。二次授權(quán)的信息應(yīng)當(dāng)經(jīng)過用戶的單項同意，并且根據(jù)信息等級區(qū)分，信息與第三方機(jī)構(gòu)共享根據(jù)等級的需要征求用戶同意等。例如無法別人具體個人以及不涉及隱私的信息、用戶的該類信息可以一次性授權(quán)，對能夠識別具體個人的以及涉及到用戶隱私的信息在與第三方機(jī)構(gòu)共享時需要征求同意等等。 二是禁止個人數(shù)據(jù)“回溯”。用戶注銷信息或一部分信息被共享給第三方時，都要求對個人信息進(jìn)行匿名化處理，但是這些匿名化、去標(biāo)識化的個人信息，只要有足夠的外部數(shù)據(jù)來源，數(shù)據(jù)控制著仍然可以通過技術(shù)反向追蹤用戶。因此對于個人信息的保護(hù)應(yīng)當(dāng)嚴(yán)格禁止數(shù)據(jù)回溯，匿名化與去標(biāo)識化以數(shù)據(jù)的不可追溯為標(biāo)準(zhǔn)。 三是隱私信息的備案與許可。 《信息安全技術(shù) 移動互聯(lián)網(wǎng)應(yīng)用（App）收集個人信息基本規(guī)范（草案）》規(guī)定了各類APP的最小化收集類型，對于超范圍的信息收集行為，可以根據(jù)個人信息保護(hù)的不同程度進(jìn)行備案和許可，對于超過最小化信息收集的一般信息，例如無法識別個人，以及無法追蹤的信息，可以向信息管理機(jī)構(gòu)進(jìn)行備案。對于超過最小范圍收集的涉及用戶個人隱私的信息或者可以追蹤到個人的信息，可以向信息管理機(jī)構(gòu)申請許可，獲得信息管理機(jī)構(gòu)同意后再進(jìn)行收集。

2、完善信息主體的各項權(quán)利

在大數(shù)據(jù)時代，信息處理者對個人信息的處理，其目標(biāo)應(yīng)當(dāng)是信息主體權(quán)利的最大化，其行為不應(yīng)與該宗旨相違背，因此增強(qiáng)信息主體對個人信息的控制至關(guān)重要。用戶對信息的控制主要體現(xiàn)在信息主體的知情權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)等權(quán)利實現(xiàn)的。第一，保障用戶的知情權(quán)。個人信息處理者在處理信息主體的個人信息時，應(yīng)當(dāng)履行告知義務(wù)，滿足信息主體的知情權(quán)，個人信息處理者在收集個人信息時，將處理個人信息的目的、種類、因共享其次合同需要轉(zhuǎn)讓的第三方信息等向信息主體明確告知，以保障信息主體的知情權(quán)。在個人信息處理過程中，如改變信息的使用目的，或有因企業(yè)內(nèi)部原因造成個人信息泄漏、損毀和滅失，也應(yīng)及時履行告知義務(wù);第二，信息主體對于信息處理者處理其信息的行為有查詢和更正的權(quán)利，信息主體可以查詢信息處理者對于其信息的使用范圍，以及對于個人信息處理的合法性與合理性;信息主體對于其個人信息同意具有更正權(quán)，對于不正確的個人信息，信息主體可以要求信息控制者對其信息進(jìn)行更正;第三，信息主體具有刪除權(quán)，當(dāng)個人信息的存儲已經(jīng)不被允許或不再需要，或其準(zhǔn)確性無法確保，或信息主體反對時，信息主體有要求APP對其個人信息采取阻滯或者刪除的權(quán)利。