郭诒

[摘 要]技术力量不断推动人们创造新的世界，为了满足人们的多种需求，借助互联网时代的优势开发了各种各样的应用软件，同时也就催生了海量的数据信息，在应用程序中用户和开发者关于数据权利的确定以及维护问题也越发重要。文章通过对当今互联网环境、相关群体和案例的调查、分析和研究，提出保护及立法建议。

[关键词]数据权;数据权保护;网络安全

[DOI]10.13939/j.cnki.zgsc.2020.15.102

1 当前环境对数据权保护的法律制度不足

“后棱镜门”时代和“互联网+”时代的到来，网络数据的价值和其受到的安全威胁也有加无减，这就给数据安全的保障带来了严峻的挑战，各国对于数据使用的态度也从注重开放转向强调保护。基于大数据现如今的发展，它需要以法律制度来明确数据权利的所有、使用以及维护等方面。但是对于个人数据这样一个新兴法益，我国并没有专门性的个人数据保护法，只有相关性的法律给予保护。例如，《刑法》《侵权责任法》《互联网信息服务管理法》《网络安全法》和《关于加强网络信息保护的决定》，除此以外，《宪法》和《民法通则》中也有对个人数据的间接保护，但是对于数据主体问题仍没有明确提出，再加上个人数据权利化必要性的争议，对它的保护可谓是“道阻且长”。

2 数据的权属问题复杂

数据权属的问题本来就是横亘在立法和政策制定过程中的难题之一，具体到应用软件中就更为烦琐。

2.1 个人数据

文章中对于个人数据的概念界定参考日本，即为以数据库等经过一定程度整理、以体系化方式所呈现的，能够容易检索到个人相关信息的内容，包括个人基本信息、个人移动、行动、购物记录等相关信息，以及通过可穿戴设备收集的相关个人信息。个人是个人数据的生产者，所以该数据的运用应该以个人为核心，企业和国家在收集使用时，必须明确说明使用目的、方式及范围，合法合理地运用。

2.2 企业数据

企业数据指的是公司概况介绍、经营范围、联系方式等一切与企业生产经营相关的信息和资料。同样，企业作为产生数据的主体，对数据享有绝对的所有权，其他主体的收集使用须经过企业同意。但是企业在经营过程中收集到的数据信息不能随意使用，收集的信息如果仍具有可识别性特征，或者不是经过独创的选择、编排的数据库，那么数据主体仍属于被收集者。比如，在天猫、当当、小红书上的购物记录，相关企业只是数据管理者，数据仍属于用户个人，企业若要利用须经过用户同意。

2.3 国家数据

国家数据一般指政府在行政执法、行政管理和提供公共服务的过程中產生的各种信息， 如行政许可、行政管理活动中所产生的一些数据。大部分国家数据往往具有共有性质而构成了社会基础，因此，除了保密性数据以外的数据可以为企业或公众收集使用。

3 数据权利在软件中出现的不良问题

3.1 强制行为

在下载使用App时往往伴随着权限请求，大部分以同意访问通信录、相册等存储空间，获取地理位置和读取发送短信等为主，有些不授予权限就不能正常使用App的基本功能。以饿了么为例，提示中指出App可能会获取位置等信息，用户有权拒绝或取消授权，可不同意就会得到无法提供服务只能退出应用的回答。诸如此类的软件导致的结果就是，用户习惯性地同意权限，不论手机是否有该软件，都会不定期收到带有其真实姓名的短信，购物平台会一直推荐你看过的商品。用过度的隐私换来的便利不是真正的便利。

3.2 过度收集

《2019年上半年我国互联网网络安全态势》的报告中指出，每款App应用平均收集20项个人信息，大量App存在探测其他App或读写用户设备文件等异常行为。以最近的换脸App“ZAO”为例，其用户协议第六条第二款规定，如果您把用户内容中的人脸换成您或者其他人的脸，您同意或确保肖像权利人同意授权“ZAO”及其关联公司全球范围内完全免费、不可撤销、永久、可转换权和可再许可的权利。这就意味着，用户同意该软件任意使用自己的肖像，公众人物会存在被陷害造谣的风险，普通群体也存在着刷脸盗付等危险情况。

3.3 恶意泄露

3.3.1 应用程序恶意窃取信息

2019年5月，国家互联网应急中心天津分中心通过自主监测和样本交换的形式发现66个窃取个人信息的恶意程序。其中，包括盗号神器、刷赞大师、录像、违章查询、招标文件、年会邀请函、各种游戏变态辅助等。而被曝光的恶意程序的主要危害有：不经过用户允许，而将其手机里所有的短信和通信录上传到指定的邮箱;或者在用户不知情的情况下接收指定手机号码发来短信控制指令，执行控制指令内容;再者将用户接收到的新的短信转发至指定的手机号，同时在其收件箱中删除该短信。

3.3.2 相关人员违法售卖

个人信息买卖已形成一条产业链，规模大、链条长、利益大是它的三大特征。这条产业链已拥有完整的结构和细化的分工，个人信息更是被明码标价。其中，在流通变现的过程中，包括了上、中、下游三个环节。上游环节负责提供货源，非法获取或向他人提供个人信息，这些信息主要来源于黑客攻击的泄露和“内鬼”主动的外泄;中游环节负责对从上游获得的个人信息进行二次加工和处理，通过交换、买卖等形式形成了市场，并将其规模化;下游环节则负责应用信息从而变现，将所获个人信息通过电信诈骗、恶意营销等不法渠道应用，以此来牟取高额利润。而我国中华人民共和国消费者权益保护法中有规定，经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。

4 解决办法

4.1 用户须仔细阅读隐私权政策及用户协议，且在使用各类软件时注意相关行为

以趣头条为例，用户协议中规定了应用软件的定义、账号注册、使用规则、软件提供服务、个人信息保护、知识产权政策、违约处理、协议修订与更新等内容，而其中涉及免除或者限制责任的条款、权利许可和信息使用的条款、同意开通的条款、法律适用和争议解决条款等更是重要。通常用户协议中都会规定，若用户使用软件及相关服务，则视为已充分了解该协议，并承诺作为该协议的一方当事人接受该协议各项条款的约束。所以用户更要不轻易同意权限和协议，不轻易使用应用程序。除此之外，恶意收集信息的程序多潜藏在无缘无故出现的短信、链接或文件中，要注意不要随意点击;网页或软件在使用无痕模式时也会有相关信息留存，所以要及时清除带有个人信息的浏览记录;利用各类安全软件对诈骗短信、恶意程序进行拦截;打开手机中防病毒软件的实时监控功能，对手机操作进行主动防御和安全性的检测，这样可以第一时间监控未知病毒的入侵活动并提示你进行下一步操作。

4.2 软件开发者及企业规范自身行为，合法合理地收集、使用数据

在2019年《信息安全技术 移动互联网应用（App）收集个人信息基本规范（草案）》中就要求了，App的运营者负有个人信息保护义务，为保障用户个人信息的安全，应采取必要安全措施;且当用户同意应用软件收集某服务类型的最少信息时，它不得因用户拒绝提供最少信息之外的个人信息而拒绝提供该类型服务;对外共享、转让个人信息前，也应该事先征得用户明示同意等。另外，应用软件收集个人信息时可以采取以需应供的方式，当用户需要关联好友时，再向用户请求通信录权限，或者当用户需要提醒某活动时，可以再向用户请求发送短信权限等。

4.3 国家加强网络安全与个人信息安全政策宣传，宏观调控生产经营者的行为，并加强立法，以明确的法律法规规范数据权利保护的范围与途径

在立法上，为了进一步加强个人信息保护，除了已經颁布的《网络安全法》《儿童个人信息网络保护规定》，《个人信息保护法》也已经纳入了十三届全国人大常委会的立法规划，《数据安全管理办法》《个人信息出境安全评估办法》等也完成了公开征求意见。

为了加强数据管理和个人信息保护的安全，也为了进一步推进现有法律的实施和立法的进程，全国信息安全标准化委员会还发布了《个人信息安全规范》《大数据服务安全能力要求》等国家标准，组织制定移动互联网应用程序收集个人信息基本规范等标准草案。除此之外，《信息安全技术 移动互联网应用（App）收集个人信息基本规范（草案）》更是针对App的收集信息提出了规范要求。相信在国家和每个人的努力之下，我国的数据安全能够得到更加强有力的保障。

参考文献：

[1]李慧敏，王忠.日本对个人数据权属的处理方式及其启示[J].科技与法律，2019：66.

[2]石丹. 大数据时代数据权属及其保护路径研究[J]. 西安交通大学学报（社会科学版），2018，149（3）：84-91.

[3]人民日报.手机App过度采集个人信息 谁是信息泄露的幕后“黑手”[N/OL].[2018-10-10].https：//baijiahao.baidu.com/s？id=1613892185777835083&wfr=spider&for=pc.