論互聯(lián)網(wǎng)下的個人信息保護*
——以商業(yè)App收集和使用個人信息為例

首都經(jīng)濟貿(mào)易大學 李露瑩，鄭淼

為解決和預防商業(yè)App收集和使用個人信息過程中的安全問題，本文將重點探索個人信息等私權利保護的理論基礎、規(guī)制現(xiàn)狀和難點，最終提出完善建議。本文對商業(yè)App帶來的個人信息安全風險結(jié)合個人信息保護進行詳細研究，具有較強的理論和實踐意義。

一、商業(yè)App個人信息收集和使用概述

（一）商業(yè)App個人信息收集和使用的客體

1.個人信息法律內(nèi)涵的探究

我國法律中對于個人信息采取的定義模式有些許不同。例如，《網(wǎng)絡安全法》采取了識別自然人個人身份的標準?！睹穹ǖ洹窋U大了個人信息的范圍，采用了“識別自然人說”?！秱€人信息保護法》（下稱《個保法》）借鑒了歐盟《一般數(shù)據(jù)保護條例》的規(guī)定，采用了“識別說”和“關聯(lián)說”的定義模式。除在概念上擴張個人信息的內(nèi)涵外，《個保法》還擴張了敏感個人信息的范圍，增加了金融賬戶等個人信息類型。

本文研究的商業(yè)App個人信息收集和使用的客體，就是個人信息。個人信息最常見的“識別說”定義模式較為靈活，但沒有根本明確什么是“個人身份或自然人可識別信息”。而“關聯(lián)說”是指個人信息的范圍還包括與個人具有關聯(lián)性且對個人產(chǎn)生重要影響的信息，是“識別說”的重要補充?？梢?，《個保法》中對于個人信息的定義具有內(nèi)在的邏輯和價值。

2.個人信息保護的理論基礎

從個人信息保護法的起源和發(fā)展過程看，其主要立法宗旨就是平衡好技術進步與個人信息權利保護之間的關系,回應技術發(fā)展帶來的挑戰(zhàn)。

《個保法》所調(diào)整的核心是信息處理行為，信息能力不平等是信息處理法律關系的本質(zhì)屬性[1]，自然人之間在個人、家庭事務處理過程中涉及的處理個人信息的行為不屬于《個保法》的調(diào)整范圍。值得注意的是，目前我國還未明確規(guī)定“個人信息權”，在《個保法》第四章“個人在個人信息處理活動中的權利”中，全部使用了“個人有權……”的表達方式。對此有學者認為，為了促進信息的保護和利用，必須將個人信息依托現(xiàn)有的個人信息權益和規(guī)則進行權利化[2]。

（二）商業(yè)App個人信息收集和使用的方式

《個保法》的主要規(guī)制對象是個人信息處理行為，其采取強行性規(guī)范對個人信息處理進行全方位、動態(tài)性的調(diào)整[3]。個人信息處理的概念，在法律上抽象成為涵蓋一切影響主體權益的個人信息使用行為，在實例中是指技術意義上的具體處理行為[4]。

信息的收集是商業(yè)App運營商通過合法的方式獲得個人信息的行為，運營商在經(jīng)過信息主體授權后，將用戶的注冊、登錄、瀏覽信息等進行收集。信息的使用包括三個內(nèi)容，即信息的分享、分析和應用。分享是指信息控制者向特定人披露向不特定人公開信息。分析是最重要的信息處理行為，其對信息進行匹配組合，基于不同分析目的形成信息組，并通過算法預測出用戶的個人行為偏好、社會關系和身份特性等內(nèi)容。應用是指依據(jù)分析結(jié)果向目標人群發(fā)送商業(yè)信息或者信息內(nèi)容[5]。

二、《個保法》背景下商業(yè)App收集使用個人信息規(guī)制的現(xiàn)狀與難點

（一）商業(yè)App收集使用個人信息的立法現(xiàn)狀

2021年8月，全國人大常委會審議通過作為我國個人信息保護領域的專門立法《個人信息保護法》?！秱€保法》確立了“同意（一般個人信息）——單獨同意（敏感個人信息）——同意例外（國家機關處理個人信息）”[6]這一個人信息處理規(guī)則的基本架構。在個人信息主體和個人信息處理者的權利義務關系上，本法賦予了個人信息主體多項權利，強化了個人信息處理者義務，規(guī)定了更加嚴格的法律責任。此外，該法還規(guī)定了告知同意規(guī)則、自動化處理、攜帶權、個人信息保護影響評估制度等。

隨著商業(yè)App成為個人信息保護的關鍵領域，國家有關部門立足自身職責，制定發(fā)布了App個人信息保護的專門規(guī)定和治理文件。同時，為配合《個保法》的實施，加強數(shù)據(jù)安全保護，上海、天津、貴州等九個省市也出臺了大數(shù)據(jù)發(fā)展相關條例。

總的來說，《個保法》的出臺，為國家規(guī)范和整治商業(yè)App收集使用用戶個人信息的行為提供了制度保障和政策導向。以《個保法》為新的起點，大量配套的法律措施和制度也會相繼完善。

（二）商業(yè)App收集使用個人信息的執(zhí)法現(xiàn)狀

國家負有保障公民信息安全的義務，近幾年來，國家有關部門開展了一系列個人信息保護整治行動。相關執(zhí)法主體堅持依法行政原則，制定相應的規(guī)范性文件，在治理行動過程中能夠做到執(zhí)法有據(jù)。在執(zhí)法過程中采用多元化治理模式實現(xiàn)行政目的，調(diào)動行業(yè)協(xié)會和網(wǎng)絡用戶等多方主體的積極性。執(zhí)法的方式較為靈活，罰款、拘留等強制措施的應用門檻提高，執(zhí)法的柔性增加。

《個保法》中個人信息保護的執(zhí)法主體的設置模式為過渡或者統(tǒng)籌協(xié)調(diào)模式[7]，即未明確規(guī)定專責機關，但規(guī)定國家網(wǎng)信辦負責統(tǒng)籌協(xié)調(diào)?！秱€保法》61至64條規(guī)定了個人信息執(zhí)法活動主體、主體權力以及具體執(zhí)法方法。

（三）商業(yè)App收集使用個人信息法律規(guī)制的難點

1.商業(yè)App個人信息收集和使用存在的問題

在國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、市場監(jiān)管總局聯(lián)合制定的《App違法違規(guī)收集使用個人信息行為認定方法》中提到了App違法違規(guī)收集使用個人信息的六種情形。再結(jié)合對相關法律法規(guī)和實例的分析，商業(yè)App個人信息收集和使用過程中存在的問題主要有以下三個方面：

首先，商業(yè)App與用戶之間的信息不對稱問題。在申請獲取用戶信息時，商業(yè)App對需要獲得的用戶信息的描述過于簡單，沒有將權限背后的使用方式和使用價值告知用戶；或者是對于權限描述過于復雜，專業(yè)性強，導致用戶無法理解其中的意思。

其次，存在商業(yè)App過度收集和使用用戶個人信息的問題。商業(yè)App通過竊取、自動授權、默認同意等隱秘方式或者一攬子、服務功能捆綁、霸王條款等強制方式索取權限，收集使用的個人信息屬于超出了其能提供服務需求的非必要收集的個人信息。

最后，關于敏感個人信息的收集和使用問題。敏感個人信息是指對于信息主體而言具有唯一性的信息，其他任何人均不可能有該信息[8]，例如，身份證號碼、生物識別信息、個人財產(chǎn)信息等。現(xiàn)實情況是，商業(yè)App在向申請用戶授權時，會出現(xiàn)未明確告知個人信息的類型便一攬子收集敏感信息時未明確告知用戶用途以及對外使用敏感信息時未單獨取得用戶同意等情況。

此外，有調(diào)查顯示[9],位置信息、通訊錄信息、手機號碼等個人信息是過度收集或使用的主要內(nèi)容，此現(xiàn)象值得注意。

2.立法層面

對于民事立法來說，我國在制度設計層面上對個人信息權利的重視程度還不夠，對于一些具體的制度設計還不夠科學，如“告知——同意”制度過于僵化，缺乏對敏感個人信息的保護等。

對于行政立法來說，《個保法》中的公法規(guī)范數(shù)量較少，法條較為抽象概括，難以在實踐中直接適用。同時，對主管機構職責劃分不明確導致我國針對互聯(lián)網(wǎng)行業(yè)涉及個人信息保護的相關文件數(shù)量眾多，再加上監(jiān)管不到位，導致很多專門性的規(guī)范流于形式，對個人信息的保護效果有限。

3.執(zhí)法層面

我國的個人信息保護執(zhí)法雖然基本遵循了依法行政的原則，采用了多樣化和靈活的執(zhí)法手段和方式，但整體還存在著執(zhí)法粗放化的問題。

首先，《個保法》中未明確規(guī)定個人信息保護的專責機關，只規(guī)定國家網(wǎng)信辦負責統(tǒng)籌協(xié)調(diào)。其次，我國開展的App違法違規(guī)收集使用個人信息的專項治理行動層出不窮，但是大多為突擊式的執(zhí)法機制，對于非熱點、非顯性的問題關注不夠。最后，由于違法行為本身隱蔽、分散、難舉證的特點，再加上由于立法上的一些問題，所以執(zhí)法中沒有很好地落實比例原則。

三、互聯(lián)網(wǎng)視角下個人信息權利保護規(guī)制路徑的完善

（一）立法層面

1.告知同意的動態(tài)化構建

告知同意的動態(tài)化構建是指允許用戶在個人信息的收集與使用中其同意的意思表示發(fā)生變化，使“告知——同意”的過程是持續(xù)的、動態(tài)的。

商業(yè)App中的動態(tài)化告知同意可以分為兩個階段。在“首次使用——告知同意”階段，商業(yè)App使用者應當向用戶作出主動、細化的請求授權行為。當因用戶的“不同意”授權導致該商業(yè)App的基本功能無法實現(xiàn)時，應采取彈窗的方式向用戶示明原因及解決方法，不得采取直接退出軟件的“流氓”行為。在“告知同意——個性化告知同意”階段，若用戶在使用中請求享受更多服務但在首次告知同意中未授權的，此時應當賦予用戶再次的選擇權，即可以選擇授權或不授權。

由此，告知同意的動態(tài)化構建可以讓用戶等信息主體由被動變主動，強化用戶對其個人信息享有更多控制權與自主權[10]，通過具有高度靈活性的告知同意制度來平衡商業(yè)App的運營需求與用戶個人信息的保護。

2.進一步限定商業(yè)App對敏感個人信息的收集和使用

在收集的限制方面，可以采用“等同原則”進行判斷，即若商業(yè)App所收集敏感個人信息與收集一般個人信息在實現(xiàn)效果上無差別，則可認定為二者效果等同。需要說明的是，在判定效果是否等同的問題上，應針對收集和使用個人信息的效果，而不僅僅是數(shù)量。

在一般個人信息的處理和使用上，法律保護了其經(jīng)濟效用上的價值，但對于敏感個人信息，商業(yè)App應當秉持“非規(guī)定不使用”的謹慎態(tài)度。歐盟GDPR第9條便通過明確的列舉形式為可以使用敏感個人信息的情形進行了規(guī)定，并且采取了“場景化”規(guī)制理論。根據(jù)該理論，以GPS為主要功能的導航或美團外賣等商業(yè)App收集和使用用戶的家庭住址，就應認定其違反對敏感個人信息使用的規(guī)定。因為家庭住址可能只是用戶的出發(fā)地或者目的地、送餐的目的地，App在數(shù)據(jù)處理時完全可以僅把這一數(shù)據(jù)作為一個普通目的點，而非是對自然人具有強識別性的家庭住址。

（二）執(zhí)法層面

1.確立統(tǒng)一、體系化的行政監(jiān)管主體

確立統(tǒng)一、體系化的行政主體既有利于實現(xiàn)行政資源的優(yōu)化配置，也有利于減輕商業(yè)App運營商因重復行政行為導致的過重負擔。鑒于前期我國的實踐經(jīng)驗，我國國家互聯(lián)網(wǎng)信息辦公室可以承擔起個人信息行政監(jiān)管機關的牽頭重任，其他有關機構例如電信、商務主管等部門由原來的各司其職向全面協(xié)調(diào)轉(zhuǎn)變，從技術檢查、監(jiān)管、商務登記等多個角度形成有機聯(lián)系的整體，促進形成兼具全局視角和針對性的行政監(jiān)管體系。

2.加強對商業(yè)App信息收集的實質(zhì)性審查

首先，應加強對商業(yè)App收集個人信息的技術表現(xiàn)形式的審查。監(jiān)管部門作為行政主體，要求其對專業(yè)技術進行審查的操作性不強，但可以讓監(jiān)管部門通過對信息收集和使用技術所體現(xiàn)出的可見技術措施進行審查，即上文所述的多次彈窗、手動勾選、個性化設置等。審查階段應覆蓋到商業(yè)App上架前、在市場領域時以及退出市場后。

其次，就商業(yè)App信息收集、使用條款的合法性進行審查。結(jié)合我國《個保法》第17條，在用戶首次下載App的初始使用狀態(tài)下，用戶協(xié)議、隱私政策中則應具體體現(xiàn)出商業(yè)App處理者名稱及聯(lián)系方式、收集個人信息的種類及儲存期限、處理的目的和方式以及何時刪除、如何保護等內(nèi)容。

最后，應對商業(yè)App信息收集、使用的內(nèi)容進行監(jiān)督。商業(yè)App的部分功能運行依賴于對用戶端信息的收集與處理，所以商業(yè)App只需收集使用與服務功能相關的必要個人信息即可。此外，監(jiān)管機構還需對未經(jīng)用戶同意的“默示”操作進行嚴厲打擊。

（三）倡導同領域商業(yè)App中的行業(yè)內(nèi)自律

商業(yè)App作為收集個人信息的直接主體，應當在實踐中發(fā)揮自律規(guī)范作用[11]。但考慮到不同商業(yè)App功能不同，所需收集和使用的個人信息也不盡相同，由此倡導同領域商業(yè)App中的行業(yè)內(nèi)自律是較為現(xiàn)實的。

針對每類商業(yè)App提供的服務和功能，可以大致界定其運行過程中所需收集和使用個人信息的范圍。以此劃定邊界，新進入該領域的商業(yè)App應當自覺接受該邊界的約束，行業(yè)內(nèi)的所有商業(yè)App應當積極探索信息的“最少收集、最大效用”。同時也要針對用戶協(xié)議、隱私政策等文本統(tǒng)一標準、達成共識，方便用戶就同領域內(nèi)的不同App進行比較，以此督促運營商不斷重視用戶個人信息保護。各運營商之間也應積極開展經(jīng)驗分享，共同促進良性競爭，實現(xiàn)行業(yè)內(nèi)自律。