武煜熹 安小米

摘? ?要：大數(shù)據(jù)時(shí)代用戶個(gè)人信息安全所承擔(dān)的風(fēng)險(xiǎn)是前所未有的。近年來，隨著互聯(lián)網(wǎng)+各種服務(wù)應(yīng)用的普及，APP已經(jīng)逐漸成為個(gè)人信息安全問題頻發(fā)的重災(zāi)區(qū)。通過對(duì)APP用戶個(gè)人信息安全保護(hù)現(xiàn)狀進(jìn)行分析，發(fā)現(xiàn)其正面臨著諸多困境，其中包括APP隱私政策編寫要素的規(guī)范問題、違規(guī)違法收集行為的有效監(jiān)督問題以及APP運(yùn)營者責(zé)任意識(shí)的淡薄問題。為了更好地保護(hù)用戶個(gè)人信息安全，在規(guī)范問題上，建議構(gòu)建一套完整的APP隱私政策合規(guī)審查操作指南;在監(jiān)督問題上，建議采取政府監(jiān)管、行業(yè)自治和用戶檢舉三者相結(jié)合的制度健全機(jī)制;最后在APP運(yùn)營者責(zé)任意識(shí)薄弱問題上，建議應(yīng)強(qiáng)化“信息地位對(duì)等”“用戶個(gè)人信息權(quán)”等觀念。

關(guān)鍵詞：大數(shù)據(jù);個(gè)人信息保護(hù);個(gè)人信息安全;解決對(duì)策;APP

中圖分類號(hào)： TP309? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言

大數(shù)據(jù)時(shí)代下，隨著網(wǎng)絡(luò)高新技術(shù)的快速發(fā)展，信息的獲取和傳遞等行為變得比以往都更加容易。與此同時(shí)，近年來，隨著智能手機(jī)的普及，各類各樣的手機(jī)APP層出不窮。根據(jù)2020年中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》數(shù)據(jù)顯示，目前出現(xiàn)在中國市場上的APP總數(shù)已超過350余萬種。不管是在生活、購物、教育、娛樂、交通、通訊、新聞等方面，這些APP的出現(xiàn)都極大地為人們的日常生活提供了便利。然而，人們在享受著這些APP所帶給便利的同時(shí)，也在不斷地承受著由它們所帶來的個(gè)人信息泄露的風(fēng)險(xiǎn)[4，5]。

2018年中國消費(fèi)者協(xié)會(huì)所發(fā)布的《APP泄露情況調(diào)查報(bào)告》顯示，有超過85%的手機(jī)APP用戶認(rèn)為自身的個(gè)人信息遭受到了泄露威脅。除此之外，過度索取用戶授權(quán)、非法收集儲(chǔ)存用戶個(gè)人信息、在隱私政策中設(shè)置“霸王條款”等手段仍然被作為某些APP侵害用戶個(gè)人信息的主要行為正在不斷上演[1]。而這也使得智能手機(jī)APP成為了違規(guī)違法泄露用戶個(gè)人信息的重災(zāi)區(qū)。2019年為進(jìn)一步監(jiān)督管理APP收集使用用戶個(gè)人信息的行為，國家相關(guān)部門特別制定了《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定辦法》[13]，進(jìn)一步規(guī)范了APP收集使用用戶個(gè)人信息的行為，為實(shí)際監(jiān)督管理工作提供了強(qiáng)有力的法律依據(jù)。然而，在2020年新型冠狀肺炎疫情期間，又有一批APP借助“數(shù)字防疫”的由頭，違規(guī)違法收集使用用戶的個(gè)人信息造成了個(gè)人信息泄露、濫用等問題。

面對(duì)這種境況，反思研究如何改進(jìn)監(jiān)督管理APP收集使用用戶的個(gè)人信息行為，如何避免出現(xiàn)用戶個(gè)人信息“裸奔”現(xiàn)象十分必要。為此，本文首先探究了APP用戶個(gè)人信息保護(hù)的困境，然后提出了破解困境的對(duì)策。

2 用戶個(gè)人信息保護(hù)面臨的困境

2.1 APP隱私政策編寫要素有待規(guī)范

雖然早在2010年前后國家就出臺(tái)了相關(guān)的法律法規(guī)以及國家標(biāo)準(zhǔn)，如《中華人民共和國網(wǎng)絡(luò)安全法》[11]《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》[12]《GB/T 35273-2017， 信息安全技術(shù) 個(gè)人信息安全規(guī)范》[9]《GB/T 35274-2017， 信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》[10]和《GB/T 37964-2019 信息安全技術(shù) 個(gè)人信息去標(biāo)識(shí)化指南》[14]等對(duì)個(gè)人信息以及個(gè)人信息保護(hù)提出了明確的規(guī)定，并對(duì)APP隱私政策的編寫提出了要求，但是由于缺少專門針對(duì)APP隱私政策編寫要素的規(guī)范以及一套適用于APP隱私政策合規(guī)審查的操作指南，實(shí)踐中APP運(yùn)營違規(guī)違法收集使用用戶個(gè)人信息的情況不斷發(fā)生[2]。同時(shí)，由于APP隱私政策的篇幅比較長、內(nèi)容比較枯燥，會(huì)有不少用戶并不會(huì)對(duì)其進(jìn)行仔細(xì)閱讀和研究，APP運(yùn)營者一般會(huì)將涉及用戶個(gè)人信息收集及其使用的條款隱藏在其中，并以此獲得用戶準(zhǔn)許收集個(gè)人信息的授權(quán)。此外，部分APP甚至?xí)褂谩鞍酝鯒l款”，即用戶要想獲得其服務(wù)必須無條件允許其對(duì)自身個(gè)人信息進(jìn)行收集和使用[3]。這些也使得APP隱私政策從保護(hù)用戶個(gè)人信息的“安全協(xié)議”逐漸淪為了APP運(yùn)營者謀取自身利益、不斷過度索取用戶個(gè)人信息的“賣身契”。而現(xiàn)有的關(guān)于APP用戶個(gè)人信息保護(hù)的政策建議，大多局限于用戶本身或者政府，對(duì)APP隱私政策的政策建議尚屬少數(shù)，尤其是對(duì)其合規(guī)性的研究關(guān)注較少。

2.2 違規(guī)違法收集行為監(jiān)督有待加強(qiáng)

雖然《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》中已經(jīng)對(duì)APP收集使用用戶個(gè)人信息行為進(jìn)行了認(rèn)定并精細(xì)劃分為了六種違規(guī)違法行為，強(qiáng)化了監(jiān)督執(zhí)法過程中的可操作性，但是違規(guī)違法收集使用用戶個(gè)人信息的行為并沒有因此得到減少。究其原因來看，政府對(duì)APP收集使用用戶個(gè)人信息行為的監(jiān)督管理力度不夠，還需要來自多方的監(jiān)督。

2.3 個(gè)人信息保護(hù)責(zé)任意識(shí)仍有待加強(qiáng)

近年來，關(guān)于APP違規(guī)違法收集使用用戶個(gè)人信息的報(bào)道此起彼伏，例如Facebook信息泄露、數(shù)據(jù)堂違規(guī)違法收集使用百億條用戶個(gè)人信息、新三板掛牌公司竊取30億條用戶個(gè)人信息、華住酒店5億條用戶個(gè)人信息被違規(guī)違法收集使用并在暗網(wǎng)中標(biāo)價(jià)銷售等，在2020年新冠肺炎疫情期間，又爆出個(gè)別APP利用疫情防控二維碼違規(guī)違法收集使用6，000余用戶的個(gè)人信息并進(jìn)行泄露的問題。這些報(bào)道一方面說明APP違規(guī)違法收集使用用戶個(gè)人信息行為是普遍性問題，另外一方面也說明APP運(yùn)營者責(zé)任意識(shí)淡薄。

即使國家相繼發(fā)布了一系列的國家標(biāo)準(zhǔn)用于進(jìn)一步明確責(zé)任主體和強(qiáng)化個(gè)人信息保護(hù)意識(shí)，例如在國家標(biāo)準(zhǔn)《GB/T 35273-2017信息安全技術(shù) 個(gè)人信息安全規(guī)范》[9]和最新發(fā)布即將完全替代前者的《GB/T 35273-2020信息安全技術(shù) 個(gè)人信息安全規(guī)范》[6]中均對(duì)責(zé)任部門與人員進(jìn)行了明確，而后者也在前者基礎(chǔ)之上對(duì)多項(xiàng)業(yè)務(wù)功能的許可選擇、用戶畫像的使用規(guī)則、第三方接入管理、個(gè)人信息安全工程和個(gè)人信息處理活動(dòng)記錄等進(jìn)行了再規(guī)定并從多方面對(duì)企業(yè)應(yīng)當(dāng)承擔(dān)的義務(wù)和責(zé)任進(jìn)行了解讀，但是仍然有許多企業(yè)尚未完成責(zé)任主體上的轉(zhuǎn)換和思想意識(shí)上的認(rèn)知。

其主要原因是，雖然法律中已經(jīng)將概不履行信息網(wǎng)絡(luò)安全管理義務(wù)列入了違法犯罪行為，因?yàn)椴恢鲃?dòng)承擔(dān)或者違背信息網(wǎng)絡(luò)安全管理義務(wù)的行為難以認(rèn)定，且定罪的條件是在被有關(guān)部門要求整改的前提下仍未進(jìn)行整改而發(fā)生重大事故。假如在沒有被有關(guān)部門要求整改時(shí)即使發(fā)生了用戶個(gè)人信息安全問題也不會(huì)受到相應(yīng)的懲罰。

因此，這也使得更多的APP運(yùn)營者選擇逃避應(yīng)當(dāng)承擔(dān)的義務(wù)和責(zé)任，鋌而走險(xiǎn)違規(guī)違法收集使用用戶的個(gè)人信息并利用這些個(gè)人信息獲取非法利益。

3 用戶個(gè)人信息保護(hù)相關(guān)問題的解決對(duì)策

3.1增強(qiáng)相關(guān)政策及法律法規(guī)的可操作性，加強(qiáng)精細(xì)化管理

當(dāng)前，雖然有一系列相關(guān)的政策及法律法規(guī)，對(duì)個(gè)人信息保護(hù)和APP違規(guī)違法收集使用用戶個(gè)人信息的行為進(jìn)行了規(guī)定及認(rèn)定，但在具體的監(jiān)管和處罰的可操作性規(guī)范上仍然有待加強(qiáng)。例如，數(shù)據(jù)留存方面，缺少針對(duì)數(shù)據(jù)留存期限和數(shù)據(jù)留存地域的具體規(guī)定。因此，進(jìn)一步精細(xì)化相關(guān)的條例條款，尤其是對(duì)APP隱私政策編寫要素的規(guī)范和對(duì)其合規(guī)性的審查，對(duì)于增強(qiáng)實(shí)施監(jiān)管和處罰的可操作性十分必要[7，8]。

構(gòu)建一套APP隱私政策合規(guī)審查操作指南用于APP隱私政策的合規(guī)性審查顯得尤為重要。而在APP隱私政策合規(guī)審查操作指南的構(gòu)建過程中，可以依據(jù)與APP隱私政策相關(guān)的代表性法律法規(guī)及政策、國家標(biāo)準(zhǔn)，利用文獻(xiàn)研究的方法通過對(duì)其進(jìn)行編碼、提取和聚類，提出APP隱私政策的合規(guī)指標(biāo)。此外，也可以通過使用比較分析法和層次分析法將擬定好的APP隱私政策的合規(guī)指標(biāo)在相關(guān)的代表性法律法規(guī)及政策、國家標(biāo)準(zhǔn)中進(jìn)行統(tǒng)計(jì)分析，同時(shí)利用專家訪談等方式，并在兩者的基礎(chǔ)之上通過對(duì)合規(guī)指標(biāo)進(jìn)行重要性比較，完成合規(guī)審查指標(biāo)的權(quán)重劃分。最后，通過選擇合適的APP隱私政策合規(guī)指標(biāo)體系檢驗(yàn)樣本對(duì)其科學(xué)性、實(shí)用性和可行性進(jìn)行檢驗(yàn)，由此可得出一套用于協(xié)助APP隱私政策合規(guī)審查的指標(biāo)體系并以此作為評(píng)判其行為是否合規(guī)的操作指南。

綜上，建議不斷完善相關(guān)法律法規(guī)及政策和標(biāo)準(zhǔn)，進(jìn)一步細(xì)化個(gè)人信息保護(hù)相關(guān)的條例條款，自上而下形成主動(dòng)負(fù)責(zé)、主動(dòng)保護(hù)、主動(dòng)維護(hù)用戶的個(gè)人信息的良好環(huán)境。

3.2 多方面合作，政府監(jiān)管、行業(yè)自治、用戶檢舉多舉并行

從當(dāng)前APP用戶個(gè)人信息保護(hù)所呈現(xiàn)出來的問題來看，仍然存在相當(dāng)一部分企業(yè)并未充分認(rèn)識(shí)到自身在收集使用用戶個(gè)人信息過程中應(yīng)該承擔(dān)的責(zé)任和扮演的角色，更沒有形成“責(zé)任主體”這一重要意識(shí)。

考慮到大數(shù)據(jù)時(shí)代，數(shù)以百萬級(jí)的企業(yè)或運(yùn)營者數(shù)量，以及海量的用戶，針對(duì)APP收集使用用戶個(gè)人信息行為的監(jiān)管工作面臨著巨大的挑戰(zhàn)。這些挑戰(zhàn)一方面對(duì)政府監(jiān)管工作提出了新的要求，包括新的技術(shù)要求、新的操作要求等，另外一方面更是對(duì)監(jiān)管工作模式轉(zhuǎn)型提出了迫切需求。

為應(yīng)對(duì)這些挑戰(zhàn)，可以打破傳統(tǒng)的監(jiān)管工作模式，融合綜合集成的思維和方法逐步建立起新的監(jiān)管工作模式。具體思路是多方面合作，跨部門、跨領(lǐng)域、跨層級(jí)全方位開展監(jiān)管工作，逐步推動(dòng)“政府主監(jiān)管、行業(yè)內(nèi)自治、用戶共檢舉”生態(tài)環(huán)境的形成。在監(jiān)管工作當(dāng)中除了不可或缺的政府日常監(jiān)管之外，也同樣需要企業(yè)或運(yùn)營者自身的行為規(guī)范。例如，荷蘭通過各個(gè)行業(yè)協(xié)會(huì)發(fā)布各個(gè)行業(yè)內(nèi)的信息行為規(guī)范，在避免政府直接監(jiān)管導(dǎo)致信息不對(duì)稱問題的同時(shí)，也使得企業(yè)或運(yùn)營者能夠承擔(dān)起相應(yīng)的責(zé)任和義務(wù)。雖然在這種模式下行業(yè)內(nèi)的行為規(guī)范是由政府批準(zhǔn)后發(fā)布的，但是仍然無法避免出現(xiàn)“監(jiān)守自盜”的現(xiàn)象。所以在這一過程當(dāng)中需要用戶群體的共同參與，并賦予用戶群體一定的“檢舉權(quán)”來補(bǔ)充和完善整個(gè)監(jiān)管工作。

3.3 強(qiáng)化運(yùn)營者責(zé)任意義，倡導(dǎo)“信息地位對(duì)等”

目前，僅有少數(shù)APP隱私政策含有責(zé)任條款，這說明企業(yè)或運(yùn)營者有關(guān)責(zé)任和義務(wù)的落實(shí)并不夠到位，這同樣也是企業(yè)或運(yùn)營者在個(gè)人信息收集使用方面“地位不平等”的體現(xiàn)，在“應(yīng)急安全事件”和“敏感信息提示”方面，用戶弱勢地位更為突出。由于絕大多數(shù)的企業(yè)或運(yùn)營者以“買者自負(fù)”的原則與用戶進(jìn)行著所謂“公平的信息交易”。而這種不對(duì)等現(xiàn)象產(chǎn)生的主要原因在于兩方面，一方面是用戶本身對(duì)企業(yè)或運(yùn)營者所提供服務(wù)的需求較大以至于不得不接受企業(yè)或運(yùn)營者提供的“不平等條約”，另外一方面是企業(yè)或運(yùn)營者們普遍具有的“霸權(quán)意識(shí)”。由此，需要樹立并強(qiáng)化“運(yùn)營者與用戶信息地位對(duì)等”的觀念，需要培養(yǎng)公民的個(gè)人信息保護(hù)意識(shí)，提高運(yùn)營者的責(zé)任意識(shí)。

4 結(jié)束語

隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展和大數(shù)據(jù)技術(shù)的廣泛應(yīng)用，APP用戶個(gè)人信息的安全保護(hù)越來越重要。本文提出了針對(duì)性的對(duì)策建議：首先，需要增強(qiáng)相關(guān)政策及法律法規(guī)的可操作性，加強(qiáng)精細(xì)化管理，尤其是對(duì)APP隱私政策編寫要素的規(guī)范和對(duì)其合規(guī)性的審查，可以構(gòu)建一套APP隱私政策合規(guī)審查指標(biāo)體系用于APP隱私政策的合規(guī)性審查并以此作為評(píng)判其行為是否合規(guī)的操作指南;其次，可以多方面協(xié)作，推動(dòng)政府監(jiān)管、行業(yè)自治、用戶檢舉監(jiān)管工作新模式;最后，需要強(qiáng)化“運(yùn)營者與用戶信息地位對(duì)等”觀念，倡導(dǎo)“信息地位對(duì)等”。

參考文獻(xiàn)

[1] 林凌，李昭熠.個(gè)人信息保護(hù)雙軌機(jī)制：歐盟《通用數(shù)據(jù)保護(hù)條例》的立法啟示[J].新聞大學(xué)，2019（12）：1-15+118.

[2] 付少雄，趙安琪.健康A(chǔ)PP用戶隱私保護(hù)政策調(diào)查分析—以《信息安全技術(shù)? 個(gè)人信息安全規(guī)范》為框架[J].圖書館論壇，2019，39（12）：109-118.

[3] 李寧，李衛(wèi)東.移動(dòng)閱讀APP用戶個(gè)人信息安全研究—基于10款移動(dòng)閱讀APP的調(diào)查分析[J].圖書館學(xué)研究， 2019（21）：48-56.

[4] 于世梁.APP收集使用個(gè)人信息亂象及其治理[J].湖北行政學(xué)院學(xué)報(bào)，2019（05）：33-37.

[5] 秦博陽，靳文京.APP個(gè)人信息安全現(xiàn)狀及解決思路[J].保密科學(xué)技術(shù)，2019（10）：12-15.

[6] GB/T 35273-2020， 信息安全技術(shù) 個(gè)人信息安全規(guī)范[S].

[7] 江麗.關(guān)于APP收集個(gè)人信息實(shí)務(wù)及規(guī)范研究[J].北京航空航天大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2019，32（04）：7-12.

[8] 孟霞，岳鵬宇.移動(dòng)終端APP隱私政策內(nèi)容分析[J].山西師大學(xué)報(bào)（社會(huì)科學(xué)版），2018，45（06）：47-54.

[9] GB/T 35273-2017.信息安全技術(shù) 個(gè)人信息安全規(guī)范[S].

[10] GB/T 35274-2017.信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求[S].

[11] 全國人民代表大會(huì)常務(wù)委員會(huì).中華人民共和國網(wǎng)絡(luò)安全法[Z].2016-11-07.

[12] 公安部網(wǎng)絡(luò)安全保衛(wèi)局、北京網(wǎng)絡(luò)行業(yè)協(xié)會(huì)、公安部第三研究所.互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南[Z].2019-04-10.

[13] 國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、市場監(jiān)管總局.APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法[Z].2019-11-28.

[14] GB/T 37964-2019.信息安全技術(shù) 個(gè)人信息去標(biāo)識(shí)化指南[S].

作者簡介：

武煜熹（2000-），男，漢族，河南周口人，中國人民大學(xué)信息資源管理學(xué)院，本科;主要研究方向和關(guān)注領(lǐng)域：信息資源管理、個(gè)人信息保護(hù)、隱私保護(hù)。

安小米（1965-），女，彝族，云南昭通人，英國利物浦大學(xué)，博士，中國人民大學(xué)，教授;主要研究方向和關(guān)注領(lǐng)域：信息資源管理、知識(shí)管理與數(shù)據(jù)治理。