祁雯　柳青利

關(guān)鍵詞 APP 強制搜集 個人信息 政府監(jiān)管 改進路徑

基金項目：本文系2019年度江蘇省高等學校大學生創(chuàng)新創(chuàng)業(yè)訓練計劃項目：大數(shù)據(jù)時代下APP強制搜集用戶信息的風險防范和法律規(guī)制（項目編號：201910329020Z）的階段性成果，受江蘇高校優(yōu)勢學科建設(shè)工程項目（PAPD）資助。

作者簡介：祁雯、柳青利，江蘇警官學院法律系學生，研究方向：行政法。

中圖分類號：D630 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A ? ? ? ? ? ?? ? ? ? ? ?DOI：10.19387/j.cnki.1009-0592.2020.03.292

第三次工業(yè)革命使人類從電氣時代進入信息時代，并且伴隨著中國經(jīng)濟的飛速發(fā)展和互聯(lián)網(wǎng)技術(shù)的巨大進步，信息搜集和數(shù)據(jù)共享已成為常態(tài)，尤其是網(wǎng)絡APP方面。然而，網(wǎng)絡APP對信息的過度搜集，使得公民的隱私都袒露在公眾視野下，直接影響公民的身心健康。因此，如何保護個人信息安全，成為目前亟需解決的問題之一。

一、政府監(jiān)管APP強制搜集個人信息行為的職責體現(xiàn)

伴隨著信息化和網(wǎng)絡化的快速發(fā)展，云計算、數(shù)據(jù)共享等高科技手段已經(jīng)滲透到了各行各業(yè)，雖然給我們的生產(chǎn)生活帶來了便利，但也給我們帶來了一些困惑。其中，網(wǎng)絡APP就是一個典型例子，在讓我們享受優(yōu)質(zhì)服務和便捷生活的同時，也讓我們的個人信息在無形之中被強制搜集并被泄露。政府存在目的是為了公共福祉性，就是要保障公民的生命、財產(chǎn)和自由。因此，政府有必要履行監(jiān)管APP運營商的職能，防止強制搜集和泄露個人信息的現(xiàn)象屢次發(fā)生。

（一）政府負有保障公民人身財產(chǎn)安全的職能

目前，網(wǎng)絡APP強制授權(quán)，超范圍的搜集個人信息，甚至還違法違規(guī)的進行使用和泄露。信息“裸奔”后，公民的日常生活勢必會受到不良影響，他們可能會接到騷擾短信或者騷擾電話。除了電話號碼，有些不法分子甚至對公民個人基本信息都了如指掌，如姓名、家庭住址、工作單位、月薪等，更有甚者對家庭成員也調(diào)查的十分清楚。這種調(diào)查信息來博取信任或強制消費的行為造成了APP使用者內(nèi)心的恐慌以及個人信息和財產(chǎn)的大量流失，并且在使用支付寶等金融理財類APP時，強制信用卡綁定等也側(cè)面顯示出個人財產(chǎn)的不安全性。這些都在一定程度上造成了社會秩序的混亂，公民的正常生活仿佛被“監(jiān)視”一般。而政府作為國家行政機關(guān)，負有維護社會秩序的職能，應當提前對相關(guān)APP運營商進行監(jiān)管，對私自泄露用戶個人信息的運營商進行嚴厲懲治，以保障公民的人身財產(chǎn)安全，維護社會秩序的穩(wěn)定。

（二）政府負有維護市場經(jīng)濟秩序穩(wěn)定的職能

部分網(wǎng)絡APP開發(fā)商、運營商在搜集用戶個人信息的過程中發(fā)現(xiàn)了一些“商機”，他們發(fā)現(xiàn)當個人信息被作為一種商品在市場上進行交易時，會給他們帶來可觀的經(jīng)濟利益，但是這會給用戶的日常生活帶來極大的不便。如今我們處于大數(shù)據(jù)時代，個人信息并不是說絕對禁止交易，但是個人信息的交易應當以不損害他人安定生活為前提。在信息化時代，信息可以產(chǎn)生價值， 但是價值必須是合法條件下運行下的價值，不能在沒有任何原因的情況下將用戶的個人信息出售給他人①。政府作為公權(quán)力機關(guān)，對于個人信息保護市場失靈現(xiàn)象，可以發(fā)揮市場監(jiān)管職能來對市場進行適度干預，對此類行為進行有效遏制，進而重新穩(wěn)定市場秩序，保證合理、公平交易。

（三）政府負有促進社會善良風氣養(yǎng)成的職能

每個行業(yè)都要有一個完整且有序的行業(yè)體系，互聯(lián)網(wǎng)行業(yè)也不例外，但現(xiàn)如今的互聯(lián)網(wǎng)行業(yè)，缺乏行業(yè)自律、缺少社會責任感，彼此間惡性競爭，形成了強制搜集個人信息等的行業(yè)風氣。政府的社會化服務和監(jiān)管職責不到位，使得各行業(yè)缺少有關(guān)部門的規(guī)制，助長了強制搜集個人信息的風氣蔓延，公民生活在這樣的社會中缺少了享受社會服務的同時，也缺少了個人信息的安全性。因此需要政府運用相關(guān)職能來制定相關(guān)法律法規(guī)來引導行業(yè)自律，并且制定相關(guān)法律法規(guī)扶持行業(yè)協(xié)會的發(fā)展，引導公民自發(fā)形成組織來保護個人信息安全。

二、政府監(jiān)管APP強制搜集個人信息行為面臨的困境

大數(shù)據(jù)時代，很多APP在為人們提供便捷的同時也要求獲取用戶的個人信息，例如像天氣預報、手電筒這類生活必需卻又功能單一的網(wǎng)絡APP，在安裝協(xié)議中也提出要讀取通訊錄。事實上，很多時候APP對個人信息的搜集都是不必要的，相反，APP過度搜集個人信息反而會導致個人信息的泄露。政府作為社會秩序的管理者，應當對此類行為加以規(guī)制，然而，相關(guān)監(jiān)管制度的不成熟，導致目前政府監(jiān)管APP強制搜集個人信息行為的效果不佳。

（一）政府監(jiān)管缺少健全的法律制度

現(xiàn)行法律法規(guī)中涉及個人信息保護的條文有200多條，但是卻分散在數(shù)十部法律、司法解釋、行政法規(guī)和部門規(guī)章中，尚未形成完整的法律體系②，因而對個人信息的保護達不到應有的效果。例如，憲法規(guī)定了“國家尊重和保障人權(quán)”“公民的人格尊嚴不受侵犯”“公民享有通信自由和通信秘密的權(quán)利”等內(nèi)容，但憲法的上述原則性規(guī)定目前在具體的法律法規(guī)中尚未得到落實，以至于現(xiàn)實生活中的個人信息安全的問題并沒有得到解決。

對此，我們認為，在我國，對個人信息保護的現(xiàn)有法律框架內(nèi)進行“修修補補”式的“優(yōu)化”已經(jīng)難以應對大數(shù)據(jù)時代給個人信息保護帶來的風險和挑戰(zhàn)③，我國迫切需要一部專門的《個人信息保護法》來對此類現(xiàn)象加以規(guī)范。就《個人信息保護法》的具體內(nèi)容而言，應當先解決以下兩個問題：

一是個人信息的范圍界定問題。簡單來說，就是《個人信息保護法》保護的是哪些信息，在大數(shù)據(jù)時代的背景下，和傳統(tǒng)的個人信息的界定又有何不同。個人信息的范圍界定是《個人信息保護法》制定的基礎(chǔ)。

二是個人信息的財產(chǎn)權(quán)和人格權(quán)的法律屬性劃分問題。毋庸置疑，個人信息具有識別特定個人的功能，因此它屬于人格權(quán)。但是在大數(shù)據(jù)時代，個人信息作為數(shù)據(jù)被處理，分析以及販賣，經(jīng)營者可以從中獲取利益，這又使得個人信息同時具有了財產(chǎn)權(quán)屬性。因此，當APP強制搜集用戶信息致使個人信息受到侵犯時，責任該如何歸屬，在《個人信息保護法》中應當有明確細致的規(guī)定。

（二）政府監(jiān)管缺乏專門機構(gòu)和標準

一是缺乏強制性的監(jiān)管標準。隨著網(wǎng)絡APP的廣泛應用，我國針對網(wǎng)絡APP強制搜集個人信息的問題制定了國家監(jiān)管標準，例如2013年實施的《信息安全技術(shù)公共及商用服務信息系統(tǒng)個人信息保護指南》。但是，這些監(jiān)管標準在個人信息使用監(jiān)管過程中僅僅發(fā)揮著指導性的作用，而不具有必要的強制性，使得該標準執(zhí)行效力低下，從而導致政府監(jiān)管也僅僅是流于形式④，無法從根本上解決問題，用戶個人信息安全也因此得不到相應的監(jiān)管與保護。

二是缺乏統(tǒng)一的監(jiān)管機構(gòu)。目前，我國個人信息保護工作由多方共同管理，缺乏統(tǒng)一部門的監(jiān)管。許多行政機關(guān)都負有監(jiān)管職責，如工業(yè)和信息化部、國家信用辦公室、公安部、國家工商行政管理總局、商務部、中國人民銀行、中國銀行業(yè)監(jiān)督管理委員會，中國保險監(jiān)督管理委員會和中國證券監(jiān)督管理委員會等。個人信息、個人隱私、個人數(shù)據(jù)等由不同部門進行管理，由于缺少統(tǒng)一的監(jiān)管部門，并且各個部門管轄范圍、政府職能各不相同，就會造成在出現(xiàn)個人信息泄露問題時，造成各部門權(quán)責不清、互相推諉，以至于產(chǎn)生監(jiān)管重疊、監(jiān)管漏洞乃至無人監(jiān)管的情況。因此亟需建立權(quán)責明確的專門監(jiān)管機構(gòu)來對個人信息保護的問題進行統(tǒng)一管理。

（三）政府監(jiān)管缺乏完備的審查過程

我國對于個人信息保護問題的管理方式比較被動，監(jiān)管審查存在重視事后審查，忽視事前、事中審查的問題。很多時候，監(jiān)管部門都是被動地處理個人信息泄露的問題，而不是主動進行審查。在發(fā)生個人信息泄露問題時，相關(guān)政府部門沒有嚴格執(zhí)法，懲罰措施相對單一，程度上也不夠嚴厲，主要是通過行政手段來進行監(jiān)管，例如罰款或者責令整改。但是傳統(tǒng)的行政手段不能很好地適應大數(shù)據(jù)時代，反而會導致個人信息被延遲保護。就事前監(jiān)管來說，我國尚未建立數(shù)據(jù)交易的準入制度，一些不法分子就會從中牟利。在事中審查方面，個人信息被APP強制搜集的過程中存在被泄露的風險，但是這種信息被侵犯往往十分隱蔽，現(xiàn)有技術(shù)不能很及時地發(fā)現(xiàn)。歸根結(jié)底，我國還沒有形成一套完整有效的事前、事中、事后審查體系。

即使是我國相對重視的事后審查也存在些許問題，例如公民個人信息被泄露后的救濟渠道不是十分暢通。對于最近興起的網(wǎng)絡APP，政府并沒有改變傳統(tǒng)的市場經(jīng)濟管理模式，仍采用傳統(tǒng)的管理模式，缺乏對網(wǎng)絡APP的監(jiān)督管理。當公民遇到信息泄露、網(wǎng)絡欺詐等問題，其合法權(quán)益受到損害時，不能通過正確的渠道或平臺來表達自身意愿、維護合法權(quán)益⑤。即使有相關(guān)懲罰措施，但懲罰力度不足只會使違法企業(yè)和不法分子不懼怕違法后果，進而愈發(fā)猖獗，肆意收集、泄露用戶的個人信息，違法行為更難禁止。

（四）政府監(jiān)管缺乏有效的自律引導

根據(jù)我國2013年實施的《信息安全技術(shù)公共及商用服務信息系統(tǒng)個人信息保護指南》的規(guī)定，在搜集和使用敏感個人信息之前，必須獲得其信息主體的明確授權(quán)。但是在實踐中，我們可以發(fā)現(xiàn)，除了一些大型互聯(lián)網(wǎng)公司制定了相對嚴格的信息安全準則和個人信息標準外，中小企業(yè)管理松懈，缺乏嚴格的行業(yè)規(guī)則。在企業(yè)的行業(yè)自律機制中，大多采用在網(wǎng)站或者客戶端發(fā)布隱私保護聲明的方式。但是由于政府制定標準缺乏強制性，相關(guān)聲明也有待規(guī)范。比如，一些網(wǎng)站提出的“無信息，無服務” 的做法，其實質(zhì)上屬于霸王條款，運營商不應強制要求用戶提供過多信息⑥。政府監(jiān)管力度不足，使得相關(guān)企業(yè)沒有將個人信息保護作為其重要指標加以規(guī)范，而行業(yè)自律制度也難以形成并發(fā)揮作用。

三、政府監(jiān)管網(wǎng)絡APP強制搜集用戶信息行為的改進路徑

（一）健全政府監(jiān)管的法律規(guī)范體系

目前，我國最迫切的就是制定一部專門的《個人信息保護法》對個人信息泄露日益嚴重的問題加以管制。在這部法律中應當明確個人信息的概念界定問題，個人信息受到侵犯的責任歸屬，個人信息被泄露后的救濟途徑等問題，提高對個人信息保護問題的針對性。在立法時，可以借鑒其他國家的相關(guān)先進理論來完善該法律，應當充分考慮我國國情和時代背景，制定符合我國國情的法律法規(guī)。同時，以《個人信息保護法》為核心，完善相關(guān)配套法律法規(guī)，形成完整的個人信息保護法律法規(guī)體系。既要保證《個人信息保護法》與刑法、民法、行政處罰法等有關(guān)個人信息保護的規(guī)定相輔相成，相互照應，不能相互抵觸，也要由國務院、地方政府制定《個人信息保護法》的實施條例、實施細則，以保障《個人信息保護法》的操作性和針對性，從而形成一個完整有效的個人信息保護的法律規(guī)范體系。

（二）構(gòu)建專門的政府監(jiān)管部門

構(gòu)建專門的政府監(jiān)管部門，明確他們的具體職責，并賦予他們行使相關(guān)職責的權(quán)力，可以有效防范多部門執(zhí)法帶來的監(jiān)督不力問題。例如，2015年日本《個人信息保護法》修正案設(shè)立了個人信息保護委員會，該委員會由日本內(nèi)閣總理大臣直接管轄，可以獨立行使職權(quán)。它主要負責妥善處理個人信息，保護公民相關(guān)利益，同時兼顧個人信息在推進經(jīng)濟和市場交易方面發(fā)揮作用。個人信息保護委員會成立后，對日本政府保護公民個人信息起到了很好的效果。面對網(wǎng)絡時代公民個人信息受到損害的嚴峻現(xiàn)實，我國有必要構(gòu)建專門的公民信息保護機構(gòu)，并賦予這個專門機構(gòu)監(jiān)督權(quán)，有權(quán)對已收集或正在收集個人信息的行政機關(guān)或社會組織進行情況了解和檢查。對于侵犯公民個人信息行為可能涉及構(gòu)成犯罪的，專門的公民信息保護機構(gòu)應當移送司法機關(guān)追究刑事責任。

（三）改善政府監(jiān)管的審查過程

健全監(jiān)管審查過程最主要的就是建立完善的“事前—事中—事后”審查過程。首先，事前應制定嚴格規(guī)范的數(shù)據(jù)交易的準入制度，提高市場準入門檻，防止不法分子進入相關(guān)市場;其次，事中重視對個人信息利用的調(diào)控與監(jiān)管，有效管制網(wǎng)絡APP強制搜集用戶信息過程中對用戶個人信息的泄露;最后，事后加強調(diào)查與處罰力度，從而多層次、全方位地保障用戶個人信息安全⑦。同時，政府應當加強相關(guān)方面的教育，告知公民可以向政府尋求幫助。政府還應加強內(nèi)部管理，政府信息主管部門收到投訴后，應當依法進行調(diào)查，要求經(jīng)營者告知搜集信息的目的，在經(jīng)營者違法的前提下，給予警告、罰款、吊銷營業(yè)執(zhí)照、責令停產(chǎn)停業(yè)等行政處罰，并且要求賠償公民的人身或財產(chǎn)損失，切實保障公民的個人信息安全。

（四）強化政府引導行業(yè)自律

從整個社會的發(fā)展趨勢來講，一味依靠政府的監(jiān)管會造成行政資源的浪費，因此需要行業(yè)內(nèi)部形成保護組織來分擔監(jiān)管的職責。首先，政府需要制定相關(guān)法律法規(guī)來引導行業(yè)自律。政府應當重視行業(yè)協(xié)會的建立與發(fā)展，制定相關(guān)法律法規(guī)來扶持行業(yè)協(xié)會的發(fā)展，例如給予一定的稅收優(yōu)惠政策，并且推動行業(yè)協(xié)會建立專門的個人信息保護機構(gòu)。行業(yè)協(xié)會需要制定自律公約來對自身進行約束，在公約推出前，行業(yè)協(xié)會應積極與政府進行探討，讓政府進行宏觀調(diào)控。其次，政府應該賦予行業(yè)協(xié)會一定的權(quán)力來提升他們的自律能力，但同時也不能忘記對行業(yè)協(xié)會行使職權(quán)的監(jiān)管。例如政府可以賦予行業(yè)協(xié)會一定的權(quán)限制定獎懲措施，對于侵犯個人信息的企業(yè)，可以實施批評教育、公開曝光等懲罰，以更好地保護個人信息。

注釋：

①魏園園.從行政法角度分析個人信息保護[J].現(xiàn)代農(nóng)業(yè)研究，2018（9）.

②楊曉輝.大數(shù)據(jù)時代個人信息保護的多中心治理路徑探析[J].中共烏魯木齊市委黨校學報，2019（1）.

③胡元聰，張馨予.政府干預視域下人工智能時代的個人信息保護[J].征信，2019（11）.

④姚芝.大數(shù)據(jù)時代個人隱私安全保護問題研究[J].創(chuàng)新科技，2018（5）.

⑤王海容，張冰斌.我國個人網(wǎng)絡信息保護法治化進程中的政府責任[J].法制與社會，2017（28）.

⑥周慶山.完善我國個人信息保護管理制度的思考[J].社會治理，2018（1）.

⑦丁西泠.大數(shù)據(jù)時代個人信息的法律保護路徑[J].征信，2019（11）.