APP收集利用个人信息的立法现状与优化途径

　　摘    要：　随着网络信息技术的不断发展，用户信息成为大数据时代一项非常重要的资源。越来越多的商家开始借助APP所收集的数据整合、提炼出智能数据库，再经过系统和深入的分析，开启针对性的运营、投放和生产服务，虽然能够创造出一定的价值，却也相应的带来了风险、危机和隐患。因为APP信息采集范围及个人隐私安全边界的模糊、冲突，如何对其协调并且加强相关立法、生成规范就成为一个十分重要的话题。本文就围绕“APP个人信息收集利用的立法规制路径”这一话题，展开论述。

　　关键词：　个人信息收集; APP; 立法;

　　一、基本概述

　　移动互联网的飞速发展一度改变了人们的日常生活习惯和传统消费模式，很多过去必须长途跋涉、东奔西走才可以完成的事情，如今足不出户就可以实现。但是在人们获取便利的同时，很多APP违法收集用户信息的情况也在不断发生。这些信息一旦泄露，会对广大用户的日常生活产生颇为严重且消极的影响，因此如何规范个人信息的收集和利用，平衡个人以及相关企业之间的关系，确保公民个人信息安全并有效保护隐私，不仅影响APP关联企业的发展，也关系到整个互联网运营体系的健康发展及规范建构。
 

　　二、APP个人信息收集利用立法规制现状审视

　　当前，我国现行的法律制度中对于APP过度采集个人信息也有若干规定，如刑法修正法（七）当中增加了“非法获取公民个人信息罪”，《民法总则》第111条以及《网络安全法》当中出现的有关防止对公民信息泄露方面的规定等。但值得一提的是，现存的法律条文都是对已经发生信息泄露的处罚救济措施，APP采集用户信息的边界究竟在何处，APP采集之后的信息究竟应该如何进行保护、具体怎样进行处置，一旦泄漏公民的信息或者在未经公民允许的情况下将信息用于其它方面甚至从事违法犯罪行为究竟会被处以怎样的惩罚，则没有清晰的规定。换言之，我国目前APP个人信息收集利用的立法规制，尚且处在严重的空白期。

　　三、APP个人信息收集利用立法规制的优化路径

　　针对目前我国APP个人信息收集利用立法的现状，笔者认为需要从这样三个角度开启必要的优化和改进：

　　（一）加强立法建设，出台专门法规

　　总体而言，我国APP个人信息保护领域的立法不够完善，各部门立法情况较为分散，本质上并不利于法律有效性的发挥。因此建议出台专门的法规，加强立法建设，用以解决个人信息收集、利用方面所普遍存在的问题。

　　具体而言，立法的范围和重点内容包括明确APP个人信息收集和利用的边界、个人信息的责任范围以及救济措施。当然强调专门立法并不是刻意制造与现存法律规定之间的冲突，而是为了更加符合社会发展的需要，也为了明确信息主体的权责、APP运营商的责任和义务，有助于个人信息法律保护的进一步实现和完善[1]。相对于制定专门的APP个人信息保护法，我国现有的、存在于民法和刑法当中的法规内容较为分散、针对性弱，对个人信息保护的效力并不理想。

　　（二）明确授权规则，规范操作流程

　　1. 完善信息主体的权利规则

　　(1）信息主体的知情权。信息主体的知情权包括多种形式：第一，信息主体对于个人信息是否被收集、被使用需要知情，APP运营商在收集信息时，有责任详细告知信息主体具体收集的目的、方式以及具体的使用渠道；第二，信息主体就个人信息是否出现损失和外泄需要知情，意味着当APP运营商由于多方面因素导致公民信息泄漏、损坏时，其也有义务告知信息主体；第三，当信息主体的信息使用情况遇到变化时，其需要知情，比如APP运营商需要将信息共享给第三方渠道或关联的合作方时，也需要告知信息主体，当其需要改变信息的使用目的时，也需要如实告知。

　　(2）信息主体的查询权、更正权。作为信息主体其有权对APP所收集的个人信息、应用范围进行查询，并且在发现具体收集的信息存在错误时，有权利要求APP运营商对错误的信息进行变更，作为APP运营商也没有权利进行拒绝。

　　(3）信息主体的删除权。其主要包括两类情况，一是指当APP运营商所代表的企业注销不再需要进行数据存储；二是信息主体卸载或注销APP账号。前者需要运营商及时删除收集的信息、数据，确保公民信息的安全，后者需要予以信息主体删除被收集信息的权限，此时APP需要提供信息主体相对应的删除选项。

　　2. 规范操作

　　作为个人信息事先防范的关键步骤，APP个人信息收集的具体收集方式可以分为划分信息授权等级、个人信息回溯的禁止以及设立隐私信息备案证——三种方式来实现，这也是完善授权规则的重要渠道。

　　首先，就个人信息收集行为按照敏感度来进行统一的授权等级划分，具体可以划分为一般性信息收集、敏感性信息收集以及公开性信息收集。对于一般性信息收集，APP可以通过授权模式邀请用户进行授权；敏感信息则可以邀请用户进行二次授权（二次授权必须为信息采集内容的单向授权）；公开性信息原则上不需要信息主体进行授权，但是如果需要将公开的信息和其它信息进行关联，或者有其它用途时，仍然需要用户的授权。

　　其次，禁止个人信息出现“回溯”。其主要是指当用户注销账号、卸载APP时，所有之前收集的信息必须及时进行清理、注销、匿名化以及标识化（由运营商部分完成），因为互联网时代，任何点滴的信息和线索都有可能追溯到用户本人，稍有不慎就有可能对用户的权益造成严重的侵害，所以在此方面一定要予以关注。

　　最后，隐私信息的备案与许可。在国家信息安全标委会《信息安全技术移动互联网应用程序（APP）收集个人信息基本规范（草案）》当中对APP的最小收集类型进行了既定，凡是超出范围的信息收集（如无法追踪的信息、无法识别个人的信息等）行为，可以根据个人信息保护的不同程度进行相应的备案以及许可；针对已经超出最小收集范围，并且涉及用户隐私、能够追踪到用户的个人信息，可以向相关信息管理机构申请收集许可，必须要在获得机构的同意之后进行收集，对于严重涉及公民因私部分的信息（诸如指纹、声音、虹膜等）需要由于国家进行统一采集和管理，任何普通APP没有权利收集此类信息。

　　（三）完善救济制度，遏制侵权行为

　　移动互联时代，一旦用户因为APP信息采集而遭受损害，其个人很难通过仲裁或者申诉的渠道获得权利救济，因此需要完善APP个人信息收集侵权的举证责任制，构建结合侵权违约责任以及惩罚性赔偿机制的主体权利救济制度，严格遏制侵权行为。

　　1. 信息主体举证责任

　　当前，我国的法律大多按照一般侵权责任来对APP个人信息侵权案件进行责任认定，原则上由信息主体承担举证责任。但是因为信息主体与APP运营商之间存在着举证信息不对等的情况，所以作为信息主体，其很难能够证明自身损失和APP运营商之间存在的因果关系，进而导致举证存在极大的障碍和难度。但是从APP运营商的角度来说，其却可以通过服务器日志等一系列后台数据和信息手段来证明自己确实尽到了维护和管理用户信息的义务[2]。基于此，建议通过法律制定明确个人信息侵权属于特殊侵权，而非一般责任侵权，采取举证责任倒置的办法，由侵权者承担举证的责任。

　　2. 侵权与违约责任相结合

　　当公民的个人信息受到侵害时可以提起申诉或者民事诉讼，关于具体的救济方式则可以采用侵权和违约责任相结合的处理方式。关于侵权责任的认定，建议使用那个过错推定原则，因为相对于受害者举证信息收集方在信息处理过程中存在问题的困难程度，信息主体证明自己在使用过程中并不存在过错相对容易。至于违约责任，APP运营商在收集个人信息和利用个人信息时，必须和信息主体签订授权合同，确立双方的当事人关系[3]。运营商方面因为对信息收集目的以及具体的适用范围不符合法律规定或者超出合同约定的内容，给信息主体造成影响和损失，就必须承担相应的违约责任。

　　3. 惩罚性赔偿机制的建立

　　在移动互联的网络环境之下，现有的APP个人信息收集利用侵权惩罚措施很难真正意义上起到遏制侵权人违法收集和利用的效果，这也是间接导致司法救济渠道对信息主体保护力度有所不足、违约者一度甚嚣尘上的重要原因之一。所以为了改变以补偿性质为主的赔偿体系，建立生成更为严肃的惩罚性赔偿机制。

　　首先，对信息主体造成的侵害具有不可逆性，补偿式惩罚并不足以弥补信息主体真正得到的损失，也很难促使其恢复到信息被侵害前的自然状态。

　　其次，在个人信息侵权案件当中，如果缺少惩罚性赔偿机制，信息主体在受到侵害后即便能够主动寻求救济，其最终所能得到的赔偿也颇为有限，如此就会促使其在日常抱有一种无所谓是否去维权的态度。

　　最后，严格的惩罚赔偿机制增加了APP运营商的侵权成本，其如若不想支付巨额的赔款，就必须提高自身的安全责任意识[4]。从前期进行个人信息收集、适用范围的界定，到后期进行信息保护和严肃适用范围阶段，都要予以谨慎对待，避免对用户信息造成侵害，给双方造成损失。

　　四、结语

　　移动互联行业的飞速发展，促使各类移动终端成为广大网民和手机用户日常生活中绕不开的存在。但是诸多的APP在使用的过程中都需要上传个人信息、认证甚至需要上传个人的有效证件、进行人脸识别，此过程难免会对用户的信息安全造成巨大的冲击。从APP技术开发和持有者的角度来说，其需要规范收集个人信息的行为，加强对内部用户信息的管理；从政府的角度来说，需要提高自身的监督管理能力，不断加强行政机关对APP平台的有效监管，从行政约束角度规范非法收集用户信息情况的发生；从APP用户的角度来说，需要完善信息主体的救济方式，并且需要通过完善信息主体的权利规则来实现对信息主体权利的保护——这些建议和措施有助于进一步平衡个体和商家（主要是指APP开发方、持有者）之间的关系，对于保护公民的个人信息安全、促进互联网行业的健康发展具有一定的作用。

　　参考文献

　　[1] 魏书音．国外关于App收集使用个人信息的立法状况[J].中国信息安全，2019,112(04):58-61.
　　[2] 韩德民，汪子辰．App过度收集与使用个人信息的法律规制问题研究[J]．现代交际，2020(13):84-85.
　　[3] 张勇．APP个人信息的刑法保护：以知情同意为视角[J].法学，2020(08):113-126.
　　[4] 朱巍．App专项治理草案是有益的立法尝试[J]．公民与法：法学版，2019(05):25