武煜熹 安小米

摘   要：大数据时代用户个人信息安全所承担的风险是前所未有的。近年来，随着互联网+各种服务应用的普及，APP已经逐渐成为个人信息安全问题频发的重灾区。通过对APP用户个人信息安全保护现状进行分析，发现其正面临着诸多困境，其中包括APP隐私政策编写要素的规范问题、违规违法收集行为的有效监督问题以及APP运营者责任意识的淡薄问题。为了更好地保护用户个人信息安全，在规范问题上，建议构建一套完整的APP隐私政策合规审查操作指南;在监督问题上，建议采取政府监管、行业自治和用户检举三者相结合的制度健全机制;最后在APP运营者责任意识薄弱问题上，建议应强化“信息地位对等”“用户个人信息权”等观念。

关键词：大数据;个人信息保护;个人信息安全;解决对策;APP

中图分类号： TP309          文献标识码：A

1 引言

大数据时代下，随着网络高新技术的快速发展，信息的获取和传递等行为变得比以往都更加容易。与此同时，近年来，随着智能手机的普及，各类各样的手机APP层出不穷。根据2020年中国互联网络信息中心发布的《中国互联网络发展状况统计报告》数据显示，目前出现在中国市场上的APP总数已超过350余万种。不管是在生活、购物、教育、娱乐、交通、通讯、新闻等方面，这些APP的出现都极大地为人们的日常生活提供了便利。然而，人们在享受着这些APP所带给便利的同时，也在不断地承受着由它们所带来的个人信息泄露的风险[4，5]。

2018年中国消费者协会所发布的《APP泄露情况调查报告》显示，有超过85%的手机APP用户认为自身的个人信息遭受到了泄露威胁。除此之外，过度索取用户授权、非法收集储存用户个人信息、在隐私政策中设置“霸王条款”等手段仍然被作为某些APP侵害用户个人信息的主要行为正在不断上演[1]。而这也使得智能手机APP成为了违规违法泄露用户个人信息的重灾区。2019年为进一步监督管理APP收集使用用户个人信息的行为，国家相关部门特别制定了《APP违法违规收集使用个人信息行为认定办法》[13]，进一步规范了APP收集使用用户个人信息的行为，为实际监督管理工作提供了强有力的法律依据。然而，在2020年新型冠状肺炎疫情期间，又有一批APP借助“数字防疫”的由头，违规违法收集使用用户的个人信息造成了个人信息泄露、滥用等问题。

面对这种境况，反思研究如何改进监督管理APP收集使用用户的个人信息行为，如何避免出现用户个人信息“裸奔”现象十分必要。为此，本文首先探究了APP用户个人信息保护的困境，然后提出了破解困境的对策。

2 用户个人信息保护面临的困境

2.1 APP隐私政策编写要素有待规范

虽然早在2010年前后国家就出台了相关的法律法规以及国家标准，如《中华人民共和国网络安全法》[11]《互联网个人信息安全保护指南》[12]《GB/T 35273-2017， 信息安全技术 个人信息安全规范》[9]《GB/T 35274-2017， 信息安全技术 大数据服务安全能力要求》[10]和《GB/T 37964-2019 信息安全技术 个人信息去标识化指南》[14]等对个人信息以及个人信息保护提出了明确的规定，并对APP隐私政策的编写提出了要求，但是由于缺少专门针对APP隐私政策编写要素的规范以及一套适用于APP隐私政策合规审查的操作指南，实践中APP运营违规违法收集使用用户个人信息的情况不断发生[2]。同时，由于APP隐私政策的篇幅比较长、内容比较枯燥，会有不少用户并不会对其进行仔细阅读和研究，APP运营者一般会将涉及用户个人信息收集及其使用的条款隐藏在其中，并以此获得用户准许收集个人信息的授权。此外，部分APP甚至会使用“霸王条款”，即用户要想获得其服务必须无条件允许其对自身个人信息进行收集和使用[3]。这些也使得APP隐私政策从保护用户个人信息的“安全协议”逐渐沦为了APP运营者谋取自身利益、不断过度索取用户个人信息的“卖身契”。而现有的关于APP用户个人信息保护的政策建议，大多局限于用户本身或者政府，对APP隐私政策的政策建议尚属少数，尤其是对其合规性的研究关注较少。

2.2 违规违法收集行为监督有待加强

虽然《APP违法违规收集使用个人信息行为认定方法》中已经对APP收集使用用户个人信息行为进行了认定并精细划分为了六种违规违法行为，强化了监督执法过程中的可操作性，但是违规违法收集使用用户个人信息的行为并没有因此得到减少。究其原因来看，政府对APP收集使用用户个人信息行为的监督管理力度不够，还需要来自多方的监督。

2.3 个人信息保护责任意识仍有待加强

近年来，关于APP违规违法收集使用用户个人信息的报道此起彼伏，例如Facebook信息泄露、数据堂违规违法收集使用百亿条用户个人信息、新三板挂牌公司窃取30亿条用户个人信息、华住酒店5亿条用户个人信息被违规违法收集使用并在暗网中标价销售等，在2020年新冠肺炎疫情期间，又爆出个别APP利用疫情防控二维码违规违法收集使用6，000余用户的个人信息并进行泄露的问题。这些报道一方面说明APP违规违法收集使用用户个人信息行为是普遍性问题，另外一方面也说明APP运营者责任意识淡薄。

即使国家相继发布了一系列的国家标准用于进一步明确责任主体和强化个人信息保护意识，例如在国家标准《GB/T 35273-2017信息安全技术 个人信息安全规范》[9]和最新发布即将完全替代前者的《GB/T 35273-2020信息安全技术 个人信息安全规范》[6]中均对责任部门与人员进行了明确，而后者也在前者基础之上对多项业务功能的许可选择、用户画像的使用规则、第三方接入管理、个人信息安全工程和个人信息处理活动记录等进行了再规定并从多方面对企业应当承担的义务和責任进行了解读，但是仍然有许多企业尚未完成责任主体上的转换和思想意识上的认知。

其主要原因是，虽然法律中已经将概不履行信息网络安全管理义务列入了违法犯罪行为，因为不主动承担或者违背信息网络安全管理义务的行为难以认定，且定罪的条件是在被有关部门要求整改的前提下仍未进行整改而发生重大事故。假如在没有被有关部门要求整改时即使发生了用户个人信息安全问题也不会受到相应的惩罚。

因此，这也使得更多的APP运营者选择逃避应当承担的义务和责任，铤而走险违规违法收集使用用户的个人信息并利用这些个人信息获取非法利益。

3 用户个人信息保护相关问题的解决对策

3.1增强相关政策及法律法规的可操作性，加强精细化管理

当前，虽然有一系列相关的政策及法律法规，对个人信息保护和APP违规违法收集使用用户个人信息的行为进行了规定及认定，但在具体的监管和处罚的可操作性规范上仍然有待加强。例如，数据留存方面，缺少针对数据留存期限和数据留存地域的具体规定。因此，进一步精细化相关的条例条款，尤其是对APP隐私政策编写要素的规范和对其合规性的审查，对于增强实施监管和处罚的可操作性十分必要[7，8]。

构建一套APP隐私政策合规审查操作指南用于APP隐私政策的合规性审查显得尤为重要。而在APP隐私政策合规审查操作指南的构建过程中，可以依据与APP隐私政策相关的代表性法律法规及政策、国家标准，利用文献研究的方法通过对其进行编码、提取和聚类，提出APP隐私政策的合规指标。此外，也可以通过使用比较分析法和层次分析法将拟定好的APP隐私政策的合规指标在相关的代表性法律法规及政策、国家标准中进行统计分析，同时利用专家访谈等方式，并在两者的基础之上通过对合规指标进行重要性比较，完成合规审查指标的权重划分。最后，通过选择合适的APP隐私政策合规指标体系检验样本对其科学性、实用性和可行性进行检验，由此可得出一套用于协助APP隐私政策合规审查的指标体系并以此作为评判其行为是否合规的操作指南。

综上，建议不断完善相关法律法规及政策和标准，进一步细化个人信息保护相关的条例条款，自上而下形成主动负责、主动保护、主动维护用户的个人信息的良好环境。

3.2 多方面合作，政府监管、行业自治、用户检举多举并行

从当前APP用户个人信息保护所呈现出来的问题来看，仍然存在相当一部分企业并未充分认识到自身在收集使用用户个人信息过程中应该承担的责任和扮演的角色，更没有形成“责任主体”这一重要意识。

考虑到大数据时代，数以百万级的企业或运营者数量，以及海量的用户，针对APP收集使用用户个人信息行为的監管工作面临着巨大的挑战。这些挑战一方面对政府监管工作提出了新的要求，包括新的技术要求、新的操作要求等，另外一方面更是对监管工作模式转型提出了迫切需求。

为应对这些挑战，可以打破传统的监管工作模式，融合综合集成的思维和方法逐步建立起新的监管工作模式。具体思路是多方面合作，跨部门、跨领域、跨层级全方位开展监管工作，逐步推动“政府主监管、行业内自治、用户共检举”生态环境的形成。在监管工作当中除了不可或缺的政府日常监管之外，也同样需要企业或运营者自身的行为规范。例如，荷兰通过各个行业协会发布各个行业内的信息行为规范，在避免政府直接监管导致信息不对称问题的同时，也使得企业或运营者能够承担起相应的责任和义务。虽然在这种模式下行业内的行为规范是由政府批准后发布的，但是仍然无法避免出现“监守自盗”的现象。所以在这一过程当中需要用户群体的共同参与，并赋予用户群体一定的“检举权”来补充和完善整个监管工作。

3.3 强化运营者责任意义，倡导“信息地位对等”

目前，仅有少数APP隐私政策含有责任条款，这说明企业或运营者有关责任和义务的落实并不够到位，这同样也是企业或运营者在个人信息收集使用方面“地位不平等”的体现，在“应急安全事件”和“敏感信息提示”方面，用户弱势地位更为突出。由于绝大多数的企业或运营者以“买者自负”的原则与用户进行着所谓“公平的信息交易”。而这种不对等现象产生的主要原因在于两方面，一方面是用户本身对企业或运营者所提供服务的需求较大以至于不得不接受企业或运营者提供的“不平等条约”，另外一方面是企业或运营者们普遍具有的“霸权意识”。由此，需要树立并强化“运营者与用户信息地位对等”的观念，需要培养公民的个人信息保护意识，提高运营者的责任意识。

4 结束语

随着网络信息技术的快速发展和大数据技术的广泛应用，APP用户个人信息的安全保护越来越重要。本文提出了针对性的对策建议：首先，需要增强相关政策及法律法规的可操作性，加强精细化管理，尤其是对APP隐私政策编写要素的规范和对其合规性的审查，可以构建一套APP隐私政策合规审查指标体系用于APP隐私政策的合规性审查并以此作为评判其行为是否合规的操作指南;其次，可以多方面协作，推动政府监管、行业自治、用户检举监管工作新模式;最后，需要强化“运营者与用户信息地位对等”观念，倡导“信息地位对等”。

参考文献

[1] 林凌，李昭熠.个人信息保护双轨机制：欧盟《通用数据保护条例》的立法启示[J].新闻大学，2019（12）：1-15+118.

[2] 付少雄，赵安琪.健康APP用户隐私保护政策调查分析—以《信息安全技术  个人信息安全规范》为框架[J].图书馆论坛，2019，39（12）：109-118.

[3] 李宁，李卫东.移动阅读APP用户个人信息安全研究—基于10款移动阅读APP的调查分析[J].图书馆学研究， 2019（21）：48-56.

[4] 于世梁.APP收集使用个人信息乱象及其治理[J].湖北行政学院学报，2019（05）：33-37.

[5] 秦博阳，靳文京.APP个人信息安全现状及解决思路[J].保密科学技术，2019（10）：12-15.

[6] GB/T 35273-2020， 信息安全技术 个人信息安全规范[S].

[7] 江丽.关于APP收集个人信息实务及规范研究[J].北京航空航天大学学报（社会科学版），2019，32（04）：7-12.

[8] 孟霞，岳鹏宇.移动终端APP隐私政策内容分析[J].山西师大学报（社会科学版），2018，45（06）：47-54.

[9] GB/T 35273-2017.信息安全技术 个人信息安全规范[S].

[10] GB/T 35274-2017.信息安全技术 大数据服务安全能力要求[S].

[11] 全国人民代表大会常务委员会.中华人民共和国网络安全法[Z].2016-11-07.

[12] 公安部网络安全保卫局、北京网络行业协会、公安部第三研究所.互联网个人信息安全保护指南[Z].2019-04-10.

[13] 国家互联网信息办公室、工业和信息化部、公安部、市场监管总局.APP违法违规收集使用个人信息行为认定方法[Z].2019-11-28.

[14] GB/T 37964-2019.信息安全技术 个人信息去标识化指南[S].

作者简介：

武煜熹（2000-），男，汉族，河南周口人，中国人民大学信息资源管理学院，本科;主要研究方向和关注领域：信息资源管理、个人信息保护、隐私保护。

安小米（1965-），女，彝族，云南昭通人，英国利物浦大学，博士，中国人民大学，教授;主要研究方向和关注领域：信息资源管理、知识管理与数据治理。