韩德民　汪子辰

摘要：保护公民个人信息已经成为信息化时代的重要课题，为推动《个人信息保护法》的出台，完善我国个人信息保护体系，促使信息合理流通，通过整理App过度收集与使用个人信息的问题，分析我国现有保护个人信息体系的不足，在此基础上有针对性地借鉴国外优秀做法和实践经验，结合我国国情在推动立法、引入行业自律模式、设立专门机构方面提出建议。

关键词：App 个人信息 立法借鉴 法律保护

中图分类号：F832  文献标识码：A  文章编号：1009-5349（2020）13-0084-02

随着科技进步和互联网的发展，大数据技术在诸多领域得到应用。而个人信息作为大数据技术的基础和核心，在“数据是黄金”的利益驱动下，有关公民个人信息泄露的侵权案件大量出现，其中App成为过度收集与使用个人信息的重灾区，具体表现为过度索取权限以收集用户个人信息。国家高度重视这一问题，四部委联合发布公告，决定开展为期一年的治理App过度收集使用个人信息的专项行动。本文拟从治理App過度收集与使用个人信息乱象的视角，分析现有个人信息保护方面存在的问题，研究保护个人信息的对策。

一、App过度收集与使用个人信息的问题整理

（一）申请权限和与业务功能无关

部分App申请的权限与其对应的产品功能不能明确挂钩，甚至超出用户合理预期。中消协发布的测评报告显示，位置信息、访问通讯录、读取电话等权限存在被广泛申请并有过度使用的嫌疑。如短视频App要索取日历、通讯录等权限和信息涉嫌过度收集。

（二）隐私政策不明确、不规范

隐私条款是数据运营商向用户说明自己要如何收集、使用、存储、共享、转让个人信息[1]。但是部分App存在隐私条款模糊不清的问题。在告知的方式上，缺乏对重点内容的提示。在内容方面，有的隐私政策内容晦涩冗长，文本专业性强可读性差，普通用户没有耐心读完或是读不懂内容。

（三）通过一揽子、强制等方式索取权限的问题突出

部分App会采取一揽子索取权限的方式，向用户一次申请多项甚至所有权限的授权，以期获得尽可能多的权限。或是将基本业务功能与其他业务功能绑定，如果用户不同意提供非基本业务功能的权限，也将无法使用App的基本业务功能，变相强制性的索取权限。

二、法律规制App过度收集使用个人信息的问题与不足

（一）立法分散，不成体系

近年来，我国关于保护公民个人信息出台了一些法律法规。由于缺乏规范、系统的立法思路，这些分散在各部法律和行政规章中的法条规定大体相似，呈现出内容重合却标准不一的情形。各部法律间不能有效协同，互相补充，没有形成环环相扣、层序分明的法律体系，使得公民的个人信息无法真正有效地得到保护。

（二）法律规定过于抽象，难以适用

现有法律多为原则性规定，对于法条的概念、范围和认定情形并没有具体的解释界定。例如数据运营商应遵循的正当、必要原则缺少依据，收集目的的限定和过度收集的情形不明晰，也并未规定赔偿数额。相关的具体问题缺乏法律上的规定，存在很多模糊地带，难以适用。

（三）刑罚为主，重刑轻民

民法上关于个人信息方面的法条，存在着个人信息范围界定模糊，侵权行为的认定缺乏依据，以及民事赔偿的标准不明等问题，加之取证和举证的难度大等因素，被侵权人通过民事诉讼维权的效果十分有限，民事责任需要得到进一步强化。[2]而刑法上“侵犯公民个人信息罪”对于侵犯个人信息行为的认定较为明确，使得实践中出现了“刑主民辅”的现象，大量构不成刑事犯罪的侵权行为只能不了了之。

三、域外法律制度与实践经验及启示

（一）域外的法律制度与实践经验

1.欧盟

欧盟采取了“统一立法”模式，在国家层面制定统一的保护个人数据的法律规范，设立国家数据保护委员会。欧盟的《通用数据保护条例》偏重于将个人信息视为一项基本人权，着重考虑个人信息的人权属性和社会价值，更强调对个人信息的保护和尊重，规定用户享有查阅权、被遗忘权、限制处理权等诸多权利。DDPR（General Data Protection Regulation，简称DDPR）的保护标准较高，特定企业必须配有数据保护官，并且处罚力度极大，最高可达企业年营业额的百分之四。

2.美国

美国有着发达的自由化市场，更为强调对个人信息的利用，因此美国在保护个人信息方面采取了“分散立法”结合“行业自律”这种软硬法协调的模式。在政府层面的公领域以隐私权为基础采取分散立法的模式，即分别制定各个领域关于个人信息保护的法律。而在非公领域则采取了行业自律的模式。自律机制是指在国家统一立法以外，非政府组织为了规范行业行为，主动设立行为规范的一种机制[3]。由各个行业联盟结合行业特点，主导制定行为规章和行业指引，成员需采纳、遵守制定出的自律性规范，另外还有多个非政府主导的网络隐私认证组织。

（二）启示

我国可以借鉴欧盟GDPR所体现的“风险路径”思路，根据不同的风险等级设立不同的义务。举例来说，开展征信业务的公司处理个人信息所面临的风险与面包店面对的风险迥然不同，因此GDPR对两者的要求也不相同[4]。这样可以在最大限度上避免监督管理僵化等问题。美国行业自律机制更为灵活且有针对性，能随着技术进步不断改进，更加符合行业利益。同时我们也要注意到，欧盟的GDPR对个人信息的管控过于严格，限制企业和个人的合理发展[5]。因此在借鉴时要平衡好保护和利用的关系。还应看到美国的行业自律是建立在成熟的诉讼机制和完善的外部执法模式上的，而且美国有着浓厚的自律文化，我们在引入行业自律模式时要结合我国国情。

四、规范App收集使用个人信息行为的建议

（一）出台《个人信息保护法》

如前文所述，目前我国关于个人信息保护的法律没有形成层次分明的体系，因此为打击过度收集和使用个人信息的侵权行为，保护公民的基本权利和合法利益，维护国家信息安全，促使信息规范流通和利用，应当出台《个人信息保护法》。笔者对于《个人信息保护法》提出以下几点建议。

1.明确信息主体权利

《个人信息保护法》应当明确信息主体享有个人信息权，应明确个人信息的内容，列举信息主体享有的权利，包括信息主体对个人信息的知情权、决定权、更正权等。另外，权利的设置还应与时俱进，紧跟大数据技术的发展并结合现状，借鉴国际立法，设置诸如被遗忘权等新兴的权利形式。

2.依法保护和合理利用相结合。

对个人信息的财产属性人们已有共识[6]。如何处理保护和利用个人信息之间的关系成为时代课题。笔者认为，应在区分个人敏感信息和一般个人信息的基础上，划分保护和利用的程度。对于个人敏感信息，其处理和使用只能在信息主体同意的范围内进行。而对于一般个人信息，应允许国家机关和数据运营商能够依法在合理的范围内处理和使用个人信息，加强对于个人敏感信息保护的同时重视一般个人信息的利用，协调个人信息利用和保护之间的冲突，实现利益平衡[7]。让个人信息“黄金”变“石油”，流动起来发挥数据的价值，推动社会进步。

3.明确法律责任。

《个人信息保护法》应当落实各机关的监管职责，明确过度收集与使用个人信息的情形和界限，对于违法行为造成的后果承担赔偿责任，明确被侵权人的各种救济途径，包括司法救济、行政救济等。

（二）采取统一立法结合行业自律的模式。

根据我国治理现状和基本国情，笔者认为我国在个人信息保护方面应在公共领域和非公领域主要采取统一立法的方式予以规定，将行业自律作为非公领域的重要补充。统一立法方面，应区分国家机关因履行法定职责收集公民个人信息的行为和数据运营商为了商业目的收集个人信息的行为。国家机关应注重规定国家机关合法收集信息的情形和目的、政策公开等方面的内容。对于非公领域，应着重规定能够收集与使用个人信息的资格条件，收集使用个人信息的范围等方面的内容。还应重视行业自律对于非公领域统一立法的补充作用，各行业可以依照《个人信息保护法》等相关法律，提出本行业的行为规范。然后，行業规范在经过主管部门审查批准后发行。由于我国行业自律机制还不完善，完全自主的模式可能达不到预期的效果，因此，适度的政府引导能够加强自律性行为规范的执行力，也能避免运动员和裁判员不分的现象。

（三）设立专门的机构

目前我国还没有专门保护公民个人信息的机构，而是由几个部门分散监管，容易出现真空管理和重合管理的情况。建议成立专门保护个人信息的机构。机构的具体职责和权限包括：监督国家机关和数据运营商收集和使用个人信息的行为，为公民提供个人信息方面的法律咨询和维权服务，起草相关具体政策及负责落实有关的国家标准，审查各行业的企业自律性行为规范，接受并处理个人信息侵权的投诉、申诉等方面。以个人信息保护机构为中心，其他部门配合工作，构建起保护公民个人信息的行政体系。

参考文献：

[1]洪延青.网络运营者隐私条款的多角色平衡和创新[J].网络空间战略论坛，2017（9）.

[2]王利明.论个人信息权的法律保护：以个人信息权与隐私权的界分为中心[J].现代法学，2013（4）.

[3]齐爱民.个人信息保护法研究[J].河北法学，2008（4）.

[4]洪延青.解锁GDPR的正确姿势：风险路径[J].中国信息安全，2018（7）.

[5]洪海林.个人信息保护立法理念探究：在信息保护和信息利用之间[J].河北法学，2007（1）.

[6]张平.大数据时代个人信息保护的立法选择[J].北京大学学报（哲学社会科学版），2017（5）.

[7]张新宝.从隐私到个人信息：利益再衡量的理论与制度安排[J].中国法学，2015（3）.

责任编辑：赵慧敏

[作者简介]韩德民，西南民族大学法学院在读本科生，研究方向：经济法;汪子辰，西南民族大学法学院在读本科生，研究方向：经济法。