大數(shù)據(jù)時代APP用戶個人信息保護的困境和解決對策

武煜熹 安小米

摘? ?要：大數(shù)據(jù)時代用戶個人信息安全所承擔(dān)的風(fēng)險是前所未有的。近年來，隨著互聯(lián)網(wǎng)+各種服務(wù)應(yīng)用的普及，APP已經(jīng)逐漸成為個人信息安全問題頻發(fā)的重災(zāi)區(qū)。通過對APP用戶個人信息安全保護現(xiàn)狀進行分析，發(fā)現(xiàn)其正面臨著諸多困境，其中包括APP隱私政策編寫要素的規(guī)范問題、違規(guī)違法收集行為的有效監(jiān)督問題以及APP運營者責(zé)任意識的淡薄問題。為了更好地保護用戶個人信息安全，在規(guī)范問題上，建議構(gòu)建一套完整的APP隱私政策合規(guī)審查操作指南;在監(jiān)督問題上，建議采取政府監(jiān)管、行業(yè)自治和用戶檢舉三者相結(jié)合的制度健全機制;最后在APP運營者責(zé)任意識薄弱問題上，建議應(yīng)強化“信息地位對等”“用戶個人信息權(quán)”等觀念。

關(guān)鍵詞：大數(shù)據(jù);個人信息保護;個人信息安全;解決對策;APP

中圖分類號： TP309? ? ? ? ? 文獻標(biāo)識碼：A

1 引言

大數(shù)據(jù)時代下，隨著網(wǎng)絡(luò)高新技術(shù)的快速發(fā)展，信息的獲取和傳遞等行為變得比以往都更加容易。與此同時，近年來，隨著智能手機的普及，各類各樣的手機APP層出不窮。根據(jù)2020年中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》數(shù)據(jù)顯示，目前出現(xiàn)在中國市場上的APP總數(shù)已超過350余萬種。不管是在生活、購物、教育、娛樂、交通、通訊、新聞等方面，這些APP的出現(xiàn)都極大地為人們的日常生活提供了便利。然而，人們在享受著這些APP所帶給便利的同時，也在不斷地承受著由它們所帶來的個人信息泄露的風(fēng)險[4，5]。

2018年中國消費者協(xié)會所發(fā)布的《APP泄露情況調(diào)查報告》顯示，有超過85%的手機APP用戶認為自身的個人信息遭受到了泄露威脅。除此之外，過度索取用戶授權(quán)、非法收集儲存用戶個人信息、在隱私政策中設(shè)置“霸王條款”等手段仍然被作為某些APP侵害用戶個人信息的主要行為正在不斷上演[1]。而這也使得智能手機APP成為了違規(guī)違法泄露用戶個人信息的重災(zāi)區(qū)。2019年為進一步監(jiān)督管理APP收集使用用戶個人信息的行為，國家相關(guān)部門特別制定了《APP違法違規(guī)收集使用個人信息行為認定辦法》[13]，進一步規(guī)范了APP收集使用用戶個人信息的行為，為實際監(jiān)督管理工作提供了強有力的法律依據(jù)。然而，在2020年新型冠狀肺炎疫情期間，又有一批APP借助“數(shù)字防疫”的由頭，違規(guī)違法收集使用用戶的個人信息造成了個人信息泄露、濫用等問題。

面對這種境況，反思研究如何改進監(jiān)督管理APP收集使用用戶的個人信息行為，如何避免出現(xiàn)用戶個人信息“裸奔”現(xiàn)象十分必要。為此，本文首先探究了APP用戶個人信息保護的困境，然后提出了破解困境的對策。

2 用戶個人信息保護面臨的困境

2.1 APP隱私政策編寫要素有待規(guī)范

雖然早在2010年前后國家就出臺了相關(guān)的法律法規(guī)以及國家標(biāo)準(zhǔn)，如《中華人民共和國網(wǎng)絡(luò)安全法》[11]《互聯(lián)網(wǎng)個人信息安全保護指南》[12]《GB/T 35273-2017， 信息安全技術(shù) 個人信息安全規(guī)范》[9]《GB/T 35274-2017， 信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》[10]和《GB/T 37964-2019 信息安全技術(shù) 個人信息去標(biāo)識化指南》[14]等對個人信息以及個人信息保護提出了明確的規(guī)定，并對APP隱私政策的編寫提出了要求，但是由于缺少專門針對APP隱私政策編寫要素的規(guī)范以及一套適用于APP隱私政策合規(guī)審查的操作指南，實踐中APP運營違規(guī)違法收集使用用戶個人信息的情況不斷發(fā)生[2]。同時，由于APP隱私政策的篇幅比較長、內(nèi)容比較枯燥，會有不少用戶并不會對其進行仔細閱讀和研究，APP運營者一般會將涉及用戶個人信息收集及其使用的條款隱藏在其中，并以此獲得用戶準(zhǔn)許收集個人信息的授權(quán)。此外，部分APP甚至?xí)褂谩鞍酝鯒l款”，即用戶要想獲得其服務(wù)必須無條件允許其對自身個人信息進行收集和使用[3]。這些也使得APP隱私政策從保護用戶個人信息的“安全協(xié)議”逐漸淪為了APP運營者謀取自身利益、不斷過度索取用戶個人信息的“賣身契”。而現(xiàn)有的關(guān)于APP用戶個人信息保護的政策建議，大多局限于用戶本身或者政府，對APP隱私政策的政策建議尚屬少數(shù)，尤其是對其合規(guī)性的研究關(guān)注較少。

2.2 違規(guī)違法收集行為監(jiān)督有待加強

雖然《APP違法違規(guī)收集使用個人信息行為認定方法》中已經(jīng)對APP收集使用用戶個人信息行為進行了認定并精細劃分為了六種違規(guī)違法行為，強化了監(jiān)督執(zhí)法過程中的可操作性，但是違規(guī)違法收集使用用戶個人信息的行為并沒有因此得到減少。究其原因來看，政府對APP收集使用用戶個人信息行為的監(jiān)督管理力度不夠，還需要來自多方的監(jiān)督。

2.3 個人信息保護責(zé)任意識仍有待加強

近年來，關(guān)于APP違規(guī)違法收集使用用戶個人信息的報道此起彼伏，例如Facebook信息泄露、數(shù)據(jù)堂違規(guī)違法收集使用百億條用戶個人信息、新三板掛牌公司竊取30億條用戶個人信息、華住酒店5億條用戶個人信息被違規(guī)違法收集使用并在暗網(wǎng)中標(biāo)價銷售等，在2020年新冠肺炎疫情期間，又爆出個別APP利用疫情防控二維碼違規(guī)違法收集使用6，000余用戶的個人信息并進行泄露的問題。這些報道一方面說明APP違規(guī)違法收集使用用戶個人信息行為是普遍性問題，另外一方面也說明APP運營者責(zé)任意識淡薄。

即使國家相繼發(fā)布了一系列的國家標(biāo)準(zhǔn)用于進一步明確責(zé)任主體和強化個人信息保護意識，例如在國家標(biāo)準(zhǔn)《GB/T 35273-2017信息安全技術(shù) 個人信息安全規(guī)范》[9]和最新發(fā)布即將完全替代前者的《GB/T 35273-2020信息安全技術(shù) 個人信息安全規(guī)范》[6]中均對責(zé)任部門與人員進行了明確，而后者也在前者基礎(chǔ)之上對多項業(yè)務(wù)功能的許可選擇、用戶畫像的使用規(guī)則、第三方接入管理、個人信息安全工程和個人信息處理活動記錄等進行了再規(guī)定并從多方面對企業(yè)應(yīng)當(dāng)承擔(dān)的義務(wù)和責(zé)任進行了解讀，但是仍然有許多企業(yè)尚未完成責(zé)任主體上的轉(zhuǎn)換和思想意識上的認知。

其主要原因是，雖然法律中已經(jīng)將概不履行信息網(wǎng)絡(luò)安全管理義務(wù)列入了違法犯罪行為，因為不主動承擔(dān)或者違背信息網(wǎng)絡(luò)安全管理義務(wù)的行為難以認定，且定罪的條件是在被有關(guān)部門要求整改的前提下仍未進行整改而發(fā)生重大事故。假如在沒有被有關(guān)部門要求整改時即使發(fā)生了用戶個人信息安全問題也不會受到相應(yīng)的懲罰。

因此，這也使得更多的APP運營者選擇逃避應(yīng)當(dāng)承擔(dān)的義務(wù)和責(zé)任，鋌而走險違規(guī)違法收集使用用戶的個人信息并利用這些個人信息獲取非法利益。

3 用戶個人信息保護相關(guān)問題的解決對策

3.1增強相關(guān)政策及法律法規(guī)的可操作性，加強精細化管理

當(dāng)前，雖然有一系列相關(guān)的政策及法律法規(guī)，對個人信息保護和APP違規(guī)違法收集使用用戶個人信息的行為進行了規(guī)定及認定，但在具體的監(jiān)管和處罰的可操作性規(guī)范上仍然有待加強。例如，數(shù)據(jù)留存方面，缺少針對數(shù)據(jù)留存期限和數(shù)據(jù)留存地域的具體規(guī)定。因此，進一步精細化相關(guān)的條例條款，尤其是對APP隱私政策編寫要素的規(guī)范和對其合規(guī)性的審查，對于增強實施監(jiān)管和處罰的可操作性十分必要[7，8]。

構(gòu)建一套APP隱私政策合規(guī)審查操作指南用于APP隱私政策的合規(guī)性審查顯得尤為重要。而在APP隱私政策合規(guī)審查操作指南的構(gòu)建過程中，可以依據(jù)與APP隱私政策相關(guān)的代表性法律法規(guī)及政策、國家標(biāo)準(zhǔn)，利用文獻研究的方法通過對其進行編碼、提取和聚類，提出APP隱私政策的合規(guī)指標(biāo)。此外，也可以通過使用比較分析法和層次分析法將擬定好的APP隱私政策的合規(guī)指標(biāo)在相關(guān)的代表性法律法規(guī)及政策、國家標(biāo)準(zhǔn)中進行統(tǒng)計分析，同時利用專家訪談等方式，并在兩者的基礎(chǔ)之上通過對合規(guī)指標(biāo)進行重要性比較，完成合規(guī)審查指標(biāo)的權(quán)重劃分。最后，通過選擇合適的APP隱私政策合規(guī)指標(biāo)體系檢驗樣本對其科學(xué)性、實用性和可行性進行檢驗，由此可得出一套用于協(xié)助APP隱私政策合規(guī)審查的指標(biāo)體系并以此作為評判其行為是否合規(guī)的操作指南。

綜上，建議不斷完善相關(guān)法律法規(guī)及政策和標(biāo)準(zhǔn)，進一步細化個人信息保護相關(guān)的條例條款，自上而下形成主動負責(zé)、主動保護、主動維護用戶的個人信息的良好環(huán)境。

3.2 多方面合作，政府監(jiān)管、行業(yè)自治、用戶檢舉多舉并行

從當(dāng)前APP用戶個人信息保護所呈現(xiàn)出來的問題來看，仍然存在相當(dāng)一部分企業(yè)并未充分認識到自身在收集使用用戶個人信息過程中應(yīng)該承擔(dān)的責(zé)任和扮演的角色，更沒有形成“責(zé)任主體”這一重要意識。

考慮到大數(shù)據(jù)時代，數(shù)以百萬級的企業(yè)或運營者數(shù)量，以及海量的用戶，針對APP收集使用用戶個人信息行為的監(jiān)管工作面臨著巨大的挑戰(zhàn)。這些挑戰(zhàn)一方面對政府監(jiān)管工作提出了新的要求，包括新的技術(shù)要求、新的操作要求等，另外一方面更是對監(jiān)管工作模式轉(zhuǎn)型提出了迫切需求。

為應(yīng)對這些挑戰(zhàn)，可以打破傳統(tǒng)的監(jiān)管工作模式，融合綜合集成的思維和方法逐步建立起新的監(jiān)管工作模式。具體思路是多方面合作，跨部門、跨領(lǐng)域、跨層級全方位開展監(jiān)管工作，逐步推動“政府主監(jiān)管、行業(yè)內(nèi)自治、用戶共檢舉”生態(tài)環(huán)境的形成。在監(jiān)管工作當(dāng)中除了不可或缺的政府日常監(jiān)管之外，也同樣需要企業(yè)或運營者自身的行為規(guī)范。例如，荷蘭通過各個行業(yè)協(xié)會發(fā)布各個行業(yè)內(nèi)的信息行為規(guī)范，在避免政府直接監(jiān)管導(dǎo)致信息不對稱問題的同時，也使得企業(yè)或運營者能夠承擔(dān)起相應(yīng)的責(zé)任和義務(wù)。雖然在這種模式下行業(yè)內(nèi)的行為規(guī)范是由政府批準(zhǔn)后發(fā)布的，但是仍然無法避免出現(xiàn)“監(jiān)守自盜”的現(xiàn)象。所以在這一過程當(dāng)中需要用戶群體的共同參與，并賦予用戶群體一定的“檢舉權(quán)”來補充和完善整個監(jiān)管工作。

3.3 強化運營者責(zé)任意義，倡導(dǎo)“信息地位對等”

目前，僅有少數(shù)APP隱私政策含有責(zé)任條款，這說明企業(yè)或運營者有關(guān)責(zé)任和義務(wù)的落實并不夠到位，這同樣也是企業(yè)或運營者在個人信息收集使用方面“地位不平等”的體現(xiàn)，在“應(yīng)急安全事件”和“敏感信息提示”方面，用戶弱勢地位更為突出。由于絕大多數(shù)的企業(yè)或運營者以“買者自負”的原則與用戶進行著所謂“公平的信息交易”。而這種不對等現(xiàn)象產(chǎn)生的主要原因在于兩方面，一方面是用戶本身對企業(yè)或運營者所提供服務(wù)的需求較大以至于不得不接受企業(yè)或運營者提供的“不平等條約”，另外一方面是企業(yè)或運營者們普遍具有的“霸權(quán)意識”。由此，需要樹立并強化“運營者與用戶信息地位對等”的觀念，需要培養(yǎng)公民的個人信息保護意識，提高運營者的責(zé)任意識。

4 結(jié)束語

隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展和大數(shù)據(jù)技術(shù)的廣泛應(yīng)用，APP用戶個人信息的安全保護越來越重要。本文提出了針對性的對策建議：首先，需要增強相關(guān)政策及法律法規(guī)的可操作性，加強精細化管理，尤其是對APP隱私政策編寫要素的規(guī)范和對其合規(guī)性的審查，可以構(gòu)建一套APP隱私政策合規(guī)審查指標(biāo)體系用于APP隱私政策的合規(guī)性審查并以此作為評判其行為是否合規(guī)的操作指南;其次，可以多方面協(xié)作，推動政府監(jiān)管、行業(yè)自治、用戶檢舉監(jiān)管工作新模式;最后，需要強化“運營者與用戶信息地位對等”觀念，倡導(dǎo)“信息地位對等”。

參考文獻

[1] 林凌，李昭熠.個人信息保護雙軌機制：歐盟《通用數(shù)據(jù)保護條例》的立法啟示[J].新聞大學(xué)，2019（12）：1-15+118.

[2] 付少雄，趙安琪.健康A(chǔ)PP用戶隱私保護政策調(diào)查分析—以《信息安全技術(shù)? 個人信息安全規(guī)范》為框架[J].圖書館論壇，2019，39（12）：109-118.

[3] 李寧，李衛(wèi)東.移動閱讀APP用戶個人信息安全研究—基于10款移動閱讀APP的調(diào)查分析[J].圖書館學(xué)研究， 2019（21）：48-56.

[4] 于世梁.APP收集使用個人信息亂象及其治理[J].湖北行政學(xué)院學(xué)報，2019（05）：33-37.

[5] 秦博陽，靳文京.APP個人信息安全現(xiàn)狀及解決思路[J].保密科學(xué)技術(shù)，2019（10）：12-15.

[6] GB/T 35273-2020， 信息安全技術(shù) 個人信息安全規(guī)范[S].

[7] 江麗.關(guān)于APP收集個人信息實務(wù)及規(guī)范研究[J].北京航空航天大學(xué)學(xué)報（社會科學(xué)版），2019，32（04）：7-12.

[8] 孟霞，岳鵬宇.移動終端APP隱私政策內(nèi)容分析[J].山西師大學(xué)報（社會科學(xué)版），2018，45（06）：47-54.

[9] GB/T 35273-2017.信息安全技術(shù) 個人信息安全規(guī)范[S].

[10] GB/T 35274-2017.信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求[S].

[11] 全國人民代表大會常務(wù)委員會.中華人民共和國網(wǎng)絡(luò)安全法[Z].2016-11-07.

[12] 公安部網(wǎng)絡(luò)安全保衛(wèi)局、北京網(wǎng)絡(luò)行業(yè)協(xié)會、公安部第三研究所.互聯(lián)網(wǎng)個人信息安全保護指南[Z].2019-04-10.

[13] 國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、市場監(jiān)管總局.APP違法違規(guī)收集使用個人信息行為認定方法[Z].2019-11-28.

[14] GB/T 37964-2019.信息安全技術(shù) 個人信息去標(biāo)識化指南[S].

作者簡介：

武煜熹（2000-），男，漢族，河南周口人，中國人民大學(xué)信息資源管理學(xué)院，本科;主要研究方向和關(guān)注領(lǐng)域：信息資源管理、個人信息保護、隱私保護。

安小米（1965-），女，彝族，云南昭通人，英國利物浦大學(xué)，博士，中國人民大學(xué)，教授;主要研究方向和關(guān)注領(lǐng)域：信息資源管理、知識管理與數(shù)據(jù)治理。