孫鐵文

摘 要：近年來，個人信息被手機APP過度收集和不當使用的現(xiàn)象逐漸引起了消費者的重視，而今年一款名為“ZAO”的AI換臉軟件，因為其 “霸道”的用戶協(xié)議和隱私政策更是引起了極大的爭議。通過對引發(fā)爭議的個人信息收集條款進行分析，結(jié)合我國個人敏感信息保護的現(xiàn)狀，認為我國有必要完善信息分類制度，給予個人敏感信息以特殊的保護。

關(guān)鍵詞：個人信息保護；個人敏感信息；規(guī)制

中圖分類號：D9 文獻標識碼：A doi：10.19311/j.cnki.16723198.2019.32.080

隨著大數(shù)據(jù)時代的到來，個人信息的分析和利用促進了互聯(lián)網(wǎng)行業(yè)的發(fā)展，極大方便了人們的生活，但是與此同時，頻發(fā)的信息泄露事件也使得部分手機APP用戶對收集用戶個人信息的企業(yè)產(chǎn)生了信任危機。據(jù)調(diào)查，54%的網(wǎng)民認為個人信息泄露嚴重，84%的網(wǎng)民曾親身感受到因個人信息泄露帶來的不良影響，如何保護消費者的個人信息權(quán)利，避免個人敏感信息的不當使用，成為了亟需解決的難題。強化個人敏感信息的保護，規(guī)范個人信息的收集和處理規(guī)則刻不容緩。

1 “ZAO” 隱私政策及用戶協(xié)議存在的問題

AI換臉軟件“ZAO”因其“換臉”操作簡單、素材豐富、視頻生成時間短等優(yōu)點，在2019年8月末上線后引發(fā)了廣泛的關(guān)注。對于許多年輕人來說，只需提供一張照片，便可以通過“ZAO”迅速生成以自己為主角的短視頻，置身于影視劇或者綜藝節(jié)目之中，這是一件有趣的事。也正因如此，該APP的下載量飆升，僅僅幾天就登上了APP Store免費APP排行榜的第一位。然而，在“ZAO”爆紅的第二天，有法律工作者指出，其用戶協(xié)議和隱私政策疑似存在過度收集用戶信息等問題，而且用戶的個人敏感信息很有可能在沒有被充分告知的情況下，被“ZAO”共享或者出售給第三方，主要問題體現(xiàn)在以下幾方面。

1.1 涉嫌過度收集用戶信息

“ZAO” 8月31日版本（即修改前的版本）的隱私協(xié)議提出，為確保用戶身份真實性，提供安全保障，用戶需提供身份證、駕駛證、社?？ā⒚娌刻卣骰蛘咧ヂ樾庞玫葌€人敏感信息。作為一款視頻制作類手機APP，“ZAO”要求用戶提交面部識別信息來完成換臉視頻的制作，這本無可厚非，但是要求用戶提供類似芝麻信用的個人敏感信息，這與其產(chǎn)品的“換臉制作短視頻”的主要功能并無實際聯(lián)系，甚至可以說超出了合理的范圍，有過度收集用戶信息的可能。

1.2 未明確告知信息收集、使用的目的和方式

8月31日版本的“ZAO”用戶協(xié)議第6條第2款要求用戶將肖像授予“ZAO”及其關(guān)聯(lián)公司全球范圍內(nèi)完全免費、不可撤銷、永久、可轉(zhuǎn)授權(quán)和可再許可的權(quán)利。但是 “完全免費、不可撤銷、永久可轉(zhuǎn)授權(quán)和再許可” 有“霸王條款”的嫌疑，這樣的措辭并不符合我國《網(wǎng)絡(luò)安全法》中關(guān)于信息收集正當性原則的要求，而且該條款也未能明確告知用戶其肖像使用的目的和方式，無法切實保障用戶的知情權(quán)。

1.3 沒有體現(xiàn)對用戶敏感信息的保護

根據(jù)8月31日版本的“ZAO”用戶協(xié)議第6條，用戶必須同意“ZAO”及其關(guān)聯(lián)公司對用戶的肖像和上傳的內(nèi)容進行部分或者全部的修改。但是用戶的肖像，也就是個人生物識別信息，屬于敏感信息的一種，因此如果需要對用戶肖像進行變動，應(yīng)有明確的限定和說明，讓用戶充分理解該條款的含義，否則可能會導致權(quán)利被濫用，從而導致侵權(quán)事件的發(fā)生。

1.4 違反公平原則

8月31日版本的“ZAO”用戶協(xié)議第6條，要求用戶同意授予“ZAO”及其關(guān)聯(lián)公司以及“ZAO”用戶全球范圍內(nèi)完全免費、不可撤銷、永久、可轉(zhuǎn)授權(quán)和可再許可的權(quán)利，包括但不限于對用戶內(nèi)容進行修改與編輯，以及對修改前后的用戶內(nèi)容進行信息網(wǎng)絡(luò)傳播和由著作權(quán)人享有的全部著作財產(chǎn)權(quán)及鄰接權(quán)利。這種格式化的用戶協(xié)議，在沒有進行標黑、加粗等明確標識的情況下，要求用戶永久且不可撤銷地將肖像授權(quán)給“ZAO”使用和傳播，并且享有全部著作財產(chǎn)權(quán)，這實際超出了正常使用的范圍，導致雙方權(quán)利義務(wù)不對等，違反公平原則。

2 我國個人敏感信息保護存在的不足

2.1 個人敏感信息不規(guī)范收集的現(xiàn)象嚴重

用戶同意企業(yè)對其個人敏感信息進行收集和處理應(yīng)是建立在充分理解條款含義的基礎(chǔ)上，按照個人的自由意志做出決定，但是現(xiàn)實中用戶通常沒有足夠的選擇權(quán)，手機APP不規(guī)范收集個人敏感信息的情況屢屢發(fā)生。2018年11月中國消費者協(xié)會曾對10類共100款常用APP的隱私政策進行測評，結(jié)果顯示：在參與測評的APP中，有91款存在過度收集或使用個人信息的情況；59款未明確告知收集個人信息的類型，且收集敏感信息時未明確告知用戶信息的用途；42款對外提供個人信息時不會單獨告知并征得用戶同意。2019年7月APP專項治理工作組通報了天天酷跑、探探等20款APP要求用戶一次性同意開啟多個收集個人信息權(quán)限的情況，如果用戶不同意那么就無法使用該APP的全部功能。

這些測評結(jié)果和數(shù)據(jù)都反映出，目前我國手機APP的隱私政策中，很多是采用默示同意的方法獲得用戶的知情同意，未能給予用戶足夠的選擇權(quán)，用戶只能接受APP的隱私政策，否則將無法使用該軟件。此外，過度收集用戶個人信息的情況也比較嚴重，存在“一攬子”授權(quán)的情況，不加區(qū)分地要求用戶將一般個人信息和個人敏感信息一概授權(quán)給信息收集方。

2.2 現(xiàn)行法律制度對個人敏感信息保護存在局限性

目前，在《民法總則》、《消費者權(quán)益保護法》、《網(wǎng)絡(luò)安全法》、《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱兩高解釋）等法律法規(guī)和司法解釋中都涉及了關(guān)于個人信息保護的內(nèi)容，但是法律條文比較分散，缺乏統(tǒng)一的標準，很多只是原則性的規(guī)定，比如《民法總則》第111條規(guī)定：“自然人的個人信息受法律保護……不得非法收集、使用、加工、傳輸他人個人信息?！眱筛呓忉寗t明確了未經(jīng)被收集者同意進行收集或者提供公民個人信息可能構(gòu)成侵犯公民個人信息罪。而《網(wǎng)絡(luò)安全法》雖然指出了個人信息收集的原則和應(yīng)當經(jīng)過被收集者的明示同意，但是對于明示同意的方式并未進一步說明，而且未明確區(qū)分個人敏感信息和一般個人信息，可操作性不強。

全國信息安全標準化技術(shù)委員會發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》（以下簡稱《個人信息安全規(guī)范》）在個人信息收集、使用、保存等方面進行了較為詳細的規(guī)定，但是由于《個人信息安全規(guī)范》只是推薦性國家標準，只是可以對企業(yè)制定隱私政策起到指引的作用，不屬于正式的法律淵源。一旦發(fā)生糾紛，行政機關(guān)和消費者并不能直接以《個人信息安全規(guī)范》作為依據(jù)，因此對于企業(yè)來講，約束力不強。

2019年網(wǎng)信辦等4部門開展的APP違法違規(guī)收集使用個人信息專項治理工作初見成效，APP專項治理工作組結(jié)合工作經(jīng)驗出臺了《APP違法違規(guī)收集使用個人信息行為認定方法（征求意見稿）》（以下簡稱《認定方法》），對不當收集用戶信息的現(xiàn)象進行了歸納和列舉，可以說全面細致地界定了違法違規(guī)收集使用個人信息的行為，但是和《個人信息安全規(guī)范》一樣，《認定方法》也是能對行政機關(guān)認定APP違法違規(guī)有一定參考價值，卻不能直接作為行政機關(guān)采取強制措施的依據(jù)。

2.3 個人敏感信息保護不足的結(jié)論

綜上所述，我國現(xiàn)行個人信息保護的法律制度在規(guī)范APP信息收集時無法起到預期的作用，對于消費者的保護有所欠缺，這一方面是由于現(xiàn)有的告知同意規(guī)則和信息分類制度無法保障用戶的知情權(quán)，個人敏感信息被“一攬子”授權(quán)給了信息收集者；另一方面是因為缺乏完備的信息保護法律體系和切實有效的懲戒機制，因此無法有效約束違規(guī)收集的企業(yè)。

3 強化個人敏感信息保護的必要性及措施

3.1 必要性

敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。與一般的個人信息相比，敏感信息往往具有獨特性，和特定個體之間的聯(lián)系非常緊密，其中蘊含的風險往往也更大，以面部識別信息為例，由于它是根據(jù)人的臉部特征信息進行身份識別，因此掌握該信息的一方往往可以通過面部識別信息，準確定位到與之相對應(yīng)的某一個具體的人，如果該信息發(fā)生泄露，結(jié)合AI換臉等技術(shù)，可能會誘發(fā)新形式的網(wǎng)絡(luò)詐騙犯罪，給其他公民造成嚴重的財產(chǎn)損失。因此，對于一般的個人信息和敏感個人信息應(yīng)有所區(qū)分，尤其對于個人敏感信息，需采取更嚴格的保護措施。

3.2 措施

（1）完善個人信息分類制度，對一般個人信息和個人敏感信息劃分不同的保護標準。

首先要建立個人信息分類制度。張新寶教授提出個人信息保護應(yīng)遵循“兩頭強化，三方平衡”的原則，兩頭強化是指：在個人敏感信息與個人一般信息區(qū)分的基礎(chǔ)上，強化個人敏感信息的保護和強化個人一般信息的利用，從而實現(xiàn)利益的平衡。我認為個人敏感信息應(yīng)以列舉式為基礎(chǔ)，將個人身份信息、生物識別信息、健康信息、基因信息、性信息及種族信息明確規(guī)定為個人敏感信息。同時考慮到科技的發(fā)展可能會對列舉的信息種類造成挑戰(zhàn)，使其無法靈活應(yīng)對社會的變化，應(yīng)設(shè)置兜底條款，方便結(jié)合未來的實際情況進行變通，給個人敏感信息立法工作留有一定的空間。

此外，對于個人敏感信息的收集和處理規(guī)則，可以參考實踐中其他國家的經(jīng)驗，如歐盟和美國對于個人敏感信息都有特殊的保護規(guī)則。歐盟《一般數(shù)據(jù)保護條例》第9條規(guī)定：“對揭示種族或民族出身，政治觀點、宗教或哲學信仰，工會成員的個人數(shù)據(jù)，以及以唯一識別自然人為目的的基因數(shù)據(jù)、生物特征數(shù)據(jù)，健康、自然人的性生活或性取向的數(shù)據(jù)的處理應(yīng)當被禁止?！奔床扇〗固幚碓瓌t，在通常的情況下禁止信息收集者對個人敏感信息進行任何形式的處理，除非符合法定例外的情況。而美國則采用三個層次的個人信息收集機制：一是對于可合理預期被收集、處理的個人信息，事先推定企業(yè)已獲得消費者的同意授權(quán)；二是對于無法合理預期會被收集的一般個人信息，采用擇出式同意（opt-out）的原則，即告知用戶選擇退出的機制；三是對于無法合理預期會被收集的敏感個人信息，采用擇入式同意（opt-in）的原則，即需要獲得用戶明示同意。

結(jié)合我國實際情況，我認為完全禁止企業(yè)進行個人敏感信息的處理有些過于嚴苛，因此可以根據(jù)各類手機APP的實際情況，制定該種類APP收集個人敏感信息的標準范圍，并根據(jù)實際情況進行更新。如果企業(yè)因為采用了某些新技術(shù)或者開發(fā)了新功能，確實需要在標準之外收集某些敏感信息，在相關(guān)部門進行備案登記之后方可進行收集和處理。

（2）明確應(yīng)用平臺的隱私政策基本審核義務(wù)。

除了從法律層面上規(guī)范手機APP的個人敏感信息收集規(guī)則之外，手機應(yīng)用平臺也應(yīng)該對APP的隱私政策負有最基本的審核義務(wù)，如要求進入其平臺的APP必須在商店下載界面展示其用戶隱私政策，并且收集的個人敏感信息不得超出該種類APP法定的范圍（經(jīng)備案審查合格的除外），這樣可以從源頭減少過度收集用戶個人信息的現(xiàn)象。同時，對于經(jīng)舉報核實存在問題的手機APP，平臺應(yīng)迅速將其下架或采取臨時性屏蔽等措施，通知和促使其盡快修改隱私政策，防止更多用戶的信息被不合理地收集。

4 結(jié)語

“ZAO”事件僅僅是我國手機APP對用戶個人信息過度收集和不當使用的一個縮影，事情發(fā)酵后“ZAO”迅速修改了其用戶協(xié)議和隱私政策，然而文本縱然可以輕松更改，用戶失去的信任和信心卻需要企業(yè)付出更大的努力才能喚回。所以對于企業(yè)來講，與其亡羊補牢，不如一開始就做到信息收集合法合規(guī)，既保護了用戶的利益，也可以促進企業(yè)的良性發(fā)展。當然，對于個人敏感信息的保護更離不開法律的保障，當前分散的個人信息保護規(guī)定已經(jīng)落后于社會的發(fā)展速度，因此必須引起重視，完善相關(guān)的法律制度以保護消費者的權(quán)益。

參考文獻

[1]中國網(wǎng)民權(quán)益保護調(diào)查報告2016：54%的網(wǎng)民認為個人信息泄露嚴重[EB/OL].[20190821].http：//www.isc.org.cn/zxzx/xhdt/listinfo-33759.html..

[2]中國消費者協(xié)會.100款App個人信息收集與隱私政策測評報告[EB/OL].[20190821].http：//www.cca.org.cn/jmxf/detail/28310.html.

[3]APP專項治理工作組.10款APP存在無隱私政策等問題[EB/OL].[20190822].http：//www.cqn.com.cn/pp/content/201907/11/content_7305807.htm.

[4]戴正，邵丹.互聯(lián)網(wǎng)企業(yè)隱私政策風險下個人信息保護對策研究[J].哈爾濱學院學報，2019，（2）：7983.

[5]國家標準GB/T 35273-2017信息安全技術(shù)個人信息安全規(guī)范[S].

[6]張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學，2015，（3）：3859.