截至2018年6月30日,中国网民规模达8.02亿,普及率为57.7%,其中,手机网民规模已达7.88亿,网民通过手机接入互联网的比例高达98.3%[1]。从出行打车到外卖订餐,从电子支付到自动计步,手机中的App全面渗透到了个人生活的方方面面,同时这些App也在不断收集用户的个人信息,这些个人信息对应的数据涵盖了人类健康、心理、行为等个体信息,政治和经济等社会信息,以及自然环境、气候变化等自然信息。人类及其生活的自然与社会环境已然进入了数据化的模式。在数据即资源的时代,人们应该用数据服务社会、促进平等发展,让更多的人共享“数字红利”(digital dividend)[2]。在手机演变为万物互联的智能终端、社会关系技术化的今天,科技的发展进一步拓宽了个人信息收集使用的场景,但在方便生活、提升效率的同时又面临着较大的安全隐患。大数据是经济社会发展的重要资源和动力,但个人信息保护更是重要的前提,只有确立了这一前提,数据发展才能更有效,进而形成良性的保护开发而不是恶性竞争[3]。2019年1月23日,国家互联网信息办公室(以下简称“网信办”)、工业和信息化部、公安部、市场监管总局联合发布关于开展App违法违规收集使用个人信息专项治理的公告,自2019年1月起至12月,网信办、工业和信息化部、公安部、市场监管总局决定在全国范围组织开展App违法违规收集使用个人信息专项治理[4]。因此,App在收集用户的个人信息时,网络服务提供商的权限问题值得研究。
二、App收集个人信息的现状与问题分析App是英文Application的简称,指智能手机的第三方应用程序。2007年苹果公司推出了手指触控概念的智能手机操作系统和iPhone手机,并把移动电话、可触摸的网页浏览、手机游戏、手机地图等功能融为一体,开启了智能手机和移动互联网的繁荣。随后,移动互联网智能手机以不可阻挡的趋势发展并普及大众。苹果公司的应用程序商店(App Store)和谷歌公司的应用商店(Google Play)2008年最初上线时仅有几百个App,到2014年应用程序的数量均已突破百万。2015年7月,苹果App Store应用程序数量突破150万,该年App Store总收入超过200亿美元,苹果累计已经向iOS开发者支付总计300亿美元的收入。这些应用从我们日常生活的衣食住行到工作、学习、娱乐、社交、理财等方方面面都有所涉及,并改变着我们的生活习惯和社交方式,可以说,智能手机已经成为人们身上感知和连接世界的一个“器官”[5]。
(一) App收集个人信息的现状当用户使用App的相关服务和功能时,为了保障软件与服务的正常运行,App运营主体在用户授权后会收集用户的个人信息。用户授权通常是开启智能手机相应的权限,权限是操作系统内置的访问控制机制。安卓(Android)操作系统通过权限来控制App对系统资源和个人信息的访问使用。App只有在系统层面获取了某项权限,才能执行与该权限有关的操作。例如,App获取READ_CONTACTS(读通讯录)权限,就能读取手机的通讯录信息;获取ACCESS_FINE_LOCATION(访问精准位置)权限,就能得到手机的精确位置信息。目前常用的原生安卓操作系统有26个重点权限与个人信息收集使用密切相关[6]。
2014年至今,随着智能终端不断优化以及网络提速降费,公众网络安全意识不断提高,App在个人信息收集上存在以下三个方面的显著变化:
1.App收集个人信息的合法合规程度随着公众网络安全意识的提高不断改善
2014年11月24日至30日,中央网络安全和信息化领导小组办公室会同中央机构编制委员会办公室、科技部、工业和信息化部、公安部、新闻出版广电总局等部门,举办第一届国家网络安全宣传周,以帮助公众更好地了解、感知身边的网络安全风险,增强网络安全意识,提高网络安全防护技能,保障用户合法权益,共同维护国家网络安全。从一年一度的国家网络安全宣传周的主题变化可知,2014年至今,网络安全的重点从反黑客为主的网络基础系统安全逐渐转移到与个人信息相关的网络数据安全。
2.App逐渐配备个性化的隐私政策
App运营者根据不同的用户主体规划不同的个性化隐私政策规制个人信息收集,比如滴滴为区分乘客和车主提供了不同的个人信息收集范围的隐私条款。此项举措应与2017年消费者协会进行十大App的隐私政策调查评估以及网信办《个人信息安全规范》的出台密切相关。《个人信息安全规范》中明确规定:App收集个人信息应当以必要为限度,不应收集与App核心功能无关的个人信息。拥有诸多功能的单一App运营者为了合法合规收集使用个人信息,应采用隐私政策总则配套附加各种具体的个性化App隐私条款的模式与用户约定App收集个人信息的范围及用途等。当然,由于区分用户主体导致App的用户协议及隐私条款变得更为复杂,详细说明的各类定义及条款对用户的认知与理解在一定程度上也造成了负担。
3.对隐私政策知情同意机制的实现从默认勾选发展为用户主动同意
2018年1月,支付宝在年度账单的左下方默认勾选“我同意《芝麻信用协议》”,让很多用户在不知情的前提下将个人信息用户数据授权给支付宝收集使用。后续网信办指出支付宝和芝麻信用收集、使用个人信息的方式不符合《个人信息安全规范》国家标准,应严格按照《网络安全法》的要求,加强对支付宝平台的全面排查,进行专项整顿,切实采取有效措施,防止类似事件再次发生[7]。该案例在移动互联网行业中造成了较大影响,关于用户主动同意授权前提下的个人信息收集,大众常用的App会主动提示用户勾选,PC端互联网时代常用的“使用本产品视为阅读理解并同意用户协议及隐私条款”的做法基本被用户主动勾选授权同意所取代。
(二) App收集个人信息的问题分析随着用户使用App的频率及时长不断增加、大数据行业规模的发展及算法的不断优化,App对于个人信息收集的需求程度也相应增加,目前在App收集个人信息的过程中存在以下典型问题:
1.隐私条款笼统概括,对收集、使用个人信息的目的、方式、范围、保存期限及地点等没有明确说明,隐私条款并未有效展示
此类情况也引起了相应监管机构的重视,网信办官网显示《App违法违规收集使用个人信息行为认定方法(征求意见稿)》(以下简称《征求意见稿》)已于2019年5月5日起向社会公开征求意见。按照该《征求意见稿》,在App安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策或隐私政策链接无效、文本无法正常显示;进入App主功能界面后,多于4次点击、滑动才能访问到隐私政策等情形,都属于App违反公开收集使用规则要求的情形。此外《App违法违规收集个人信息自评估指南》(以下简称《自评估指南》)第6项也要求收集使用个人信息应经用户自主同意,不应存在强制捆绑授权的行为。App运营方应向用户明示收集、使用个人信息的目的、方式和范围,若存在第三方代码嵌入,应征得用户的同意。部分涉及到青少年学习培训的App在收集未成年人的个人信息时,没有征得其监护人的同意。
2.征求用户授权同意时,未提供足够选择权
App在收集个人信息时设置了获得用户授权同意的弹窗或者链接勾选,但是在用户同时授权App收集多项个人信息时,并未拆分个人信息的类别让用户充分选择,未向用户提供选择部分个人信息授权收集的选项。
3.涉嫌过度收集个人信息,App运营主体大量收集与所提供服务无直接关联的个人信息,未遵守相关标准中最小化收集个人信息的规定
根据2017年四部委测评发现,10类App均存在涉嫌过度收集或使用用户个人信息的问题。10类100款App中,多达91款App列出的权限涉嫌“越界”,即存在过度收集用户个人信息的问题。其中,出行导航、金融理财、拍摄美化、通讯社交和影音播放等5类App中,每一款都涉嫌存在过度收集或使用用户信息的情况;其次是住宿旅游、网上购物、新闻阅读和邮箱云盘等4类App中,32款App涉嫌存在过度收集或使用个人信息情形;而交易支付类App中有7款涉嫌存在过度收集或使用现象[8]。
三、App个人信息收集法律规范及其治理机制 (一) 关于个人信息的概念及界定“个人信息”是已进入实定法的法律概念。实定法上“个人信息”的概念目前是调整各部法律适用范围的基础概念,同时也是法学界讨论时使用的相对通用术语,“个人信息”的内涵及外延随技术的发展在立法及司法解释中不断被扩展其所包含的范围。2012年12月,全国人民代表大会常务委员会发布《关于加强网络信息保护的决定》,其中规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。2013年9月,工业和信息化部颁布《电信和互联网用户个人信息保护规定》,其中第四条对用户个人信息做出了明确规定,即“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”最高人民法院于2014年10月出台的《关于审理利用信息网络侵害人身权益民事纠纷司法解释》第十二条规定:“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。”2015年3月,国家工商行政管理总局出台《侵害消费者权益行为处罚办法》进一步对消费者个人信息作出规定,其中第十一条规定:“消费者个人信息是指经营者在提供商品或者服务活动中收集的消费者姓名、性别、职业、出生日期、身份证件号码、住址、联系方式、收入和财产状况、健康状况、消费情况等能够单独或者与其他信息结合识别消费者的信息。”随后,最高人民法院于同年5月发布的《全国民事审判工作会议纪要》第20条再次强调:“能够单独或者相互结合识别特定个人身份及行为隐私的信息构成网络公民个人信息(如网络用户的网络认证账户和密码、IP地址、上下线时间、网络浏览日志、网页地址、使用的搜索引擎关键词,公民个人的姓名、职业、家庭、婚姻、指纹、音频、视频等)。”2017年6月,最高人民法院、最高人民检察院联合颁布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,其中第1条明确指出:“‘公民个人信息’, 是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”与此同时,全国人民代表大会颁布的《网络安全法》于2017年6月1日正式生效,该法第76条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
《网络安全法》规定的个人信息概念包含两个部分,即能够单独识别自然人个人身份的信息以及透过与其他信息结合可以识别个人的信息。司法解释则在此基础上添加了“反映特定自然人活动情况的各种信息”,2018年颁行的国家标准《信息安全技术 个人信息安全规范》也给出了相同的界定,对照域外的相关规范,该标准的分类可以追溯至美国商务部下属的美国国家标准与技术研究院的相关规定[9]。个人信息主要可从识别(包括直接识别和间接识别)和关联(反应自然活动情况)两种路径予以界定。
(二) 关于App收集个人信息的原则及法律规定App运营者收集使用个人信息时应严格履行《网络安全法》规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护。遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息;收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则,并经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息[10]。同时,也需要进一步遵守以下规定:
1.间接收集个人信息需要获得用户同意
对于需要获得信息主体的明示授权才可能以直接收集个人信息已经在相关法律法规中明确规定。但在App运营的实际场景中,不可避免地会存在从间接收集个人信息的场景,从保护个人信息的角度出发, App运营方也应当核实间接收集和转让个人信息的合法性,对间接收集的个人信息的合法来源进行必要的尽职调查。
2.公开渠道收集的例外
《信息安全技术 个人信息安全规范》第一次明确从新闻发布和政府公示的合法公开渠道收集个人信息合法性,为企业拓展了信息收集的渠道,但其并未说明“公开合法渠道”的确切范围。
3.信息主体知情同意,将提供个人信息的选择权给用户
在寻求收集个人信息的同意时, 收集者应当向信息主体披露其个人信息保护政策, 包括收集的范围、目的和信息安全保护措施等。《信息安全技术 个人信息安全规范》详细列举了要求政策必须具备的内容、撰写规范和发布方式。尤其值得企业注意的是, 该政策一方面必须详尽地说明必须披露的内容, 另一方面必须以摘要提示等方式保证其明确、易读和足以引起信息主体注意[11]。
四、App个人信息收集治理改进及制度设计建议 (一) 创新与规制并举,在明示同意合法正当的前提下,适当放开收集个人信息范围的限制,将提供个人信息范围的选择权给用户收集个人信息的最小化对个人信息控制者的要求包括:1.收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联是指没有该信息的参与,产品或服务的功能无法实现;2.自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;3.间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量[12]。此为App个人信息收集的,即最小够用原则,最小够用对应的是App的核心功能或者基本功能。但是在大数据时代,被使用的App每时每刻都在产生通过个人信息收集而生成的数据,而这些数据正是包含人工智能、物联网等创新技术发展的基础,尤其在大健康、出行物流、安全、环境保护等新兴产业,通过这些数据的运用促进了技术的高速发展。事实上,App收集个人信息本身并不会直接导致个人信息泄露或者被滥用。个人信息收集的相关法律法规不宜将重点放在限制个人信息采集的数量或者范围上,而是建议重点关注在数据流动的生命周期内,个人信息产生的数据如何流转使用并保证其相应的安全,以及更加优先关注如何提高所有拥有个人信息数据的组织的数据安全水平,确保个人信息数据不会被泄漏、窃取或滥用。在创新与规制的平衡中,更重要的不是约束收集个人信息的范围使App的发展仅局限于核心功能或者基础功能,导致App运营者不得不在没有相应数据应用场景的基础下盲目创新,或者仅仅是为了满足收集个人(用户)信息数据的基本要求,不必要地增加不成熟的基本功能,影响产品的创新与发展,甚至影响整体科技行业的国际竞争力。在保护个人信息相应权利的同时,也应关注App开发者企业平台的相关权利保护与创新发展,按照数据阶段分别构建关于个人信息的权利和关于企业数据的权利,两者形成一种过程平衡关系,其中后者统称为企业新型数据财产权,具体包括数据资产权和数据经营权两种形态。按照这种配置,数据新型财产权可以成为企业数据的直接保护依据,数据企业通过法律对其数据产品的这种赋权,直接获得一种具有排他性的数据合法关系的支持,由此获得一种全新的独立法律保护[13]。
(二) 加强App运营者平台自律建设,提高个人信息收集的合规性以及数据安全能力2017年9月24日,为贯彻落实《网络安全法》,做好对用户个人信息的保护,保障用户合法权益,十家互联网产品和服务的企业共同发起个人信息保护倡议,签署了《个人信息保护倡议书》,对尊重用户知情权和控制权、遵守用户授权、保障用户的信息安全、保障产品和服务的安全可信、联合抵制黑色产业链、倡导行业自律、接受社会监督等内容做出承诺。App运营者在个人信息收集过程中应当明确指出收集的范围以及用途,在隐私条款中不能仅仅给出链接,而应该将重点条款提示用户,并且给予不同意授权以及随时撤销个人信息收集的权利。对于个人信息控制者,1.不得欺诈、诱骗、强迫个人信息主体提供其个人信息;2.不得隐瞒产品或服务所具有的收集个人信息的功能;3.不得从非法渠道获取个人信息;4.不得收集法律法规明令禁止收集的个人信息。企业数据保护利益关系的交织性,包含基于个人信息和隐私的利益、基于企业数据的社会经济利益、基于企业数据的公共利益和安全利益[14]。在个人信息收集与保护的过程中,应建立“个人信息保护行业共同体”,集体赋能,提高个人信息收集的合法合规程度及行业标准。
(三) 独立设置个人信息监管机构,提高执法的稳定性与可预期性目前中国对于App个人信息收集使用的监管主要集中在四个部门,分别是网信办、工业和信息化部、公安部和国家市场监管总局。这四个部门大致覆盖了App生产运营的大部分行政管理工作,2019年年初联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》。与此同时,国家发改委等十余个部门也具有关于App个人信息收集使用的行政监管权与执法权。事实上,在个人信息收集与持续保护过程中并没有独立的常设监管部门及执法机构,通常是各部委在某个时间段集中抽查,不可避免地存在执法尺度及标准的差异,多部委监管的情况一定程度上影响了执法的稳定和可预期性,无形中导致企业的合规与创新成本提升。在大数据产业高速发展的今天,建议设置独立的个人信息监管机构进行长期稳定有效的行政监管,如法国和西班牙分别设有隐私监管部门和数据保护监管部门作为个人信息监管机构。
(四) 设立个人信息权,构筑个人信息保护体系建议以信息自决权为理论基础和思考起点,来系统构筑中国的个人信息保护体系[15]。国内学界对于个人信息保护的宪法基础的通行见解是个人信息权,或称信息自决权。个人信息权在宪法和民法的角度都存在正当的权利基础。关于个人信息保护的一切立法的出发点,应该是对个人信息给予充分保护,特别是保障个人的信息自决权[16]。有观点认为“信息自决权作为一项基本权利,是我国个人信息保护的宪法基础[17]。”更有观点认为个人信息权应被直接定位为一项宪法权利,而非普通的民事权利[18]。“信息自决权是我国宪法未明确列举的基本权利。我国宪法第38条的人格尊严条款有足够空间解释信息自决权作为一项基本权利而存在。而作为一项未列举的基本权利,我国宪法第33条的人权条款有足够的空间容纳信息自决。从民法的角度分析有学者认为信息自决权的精髓在于信息主体对自身信息的控制与选择,即自我决定的权利,由公民基于其内心、自由地决定其自身信息何时、何地、以何种方式被收集、储存、处理以及利用的权利[19]。”“个人数据权,即自然人依法对其个人数据进行控制和支配并排除他人干涉的权利……个人数据权包括数据决定权、数据保密权、数据查询权、数据更正权、数据封锁权、数据删除权和数据报酬请求权等[20]。”也有学者认为目前中国宪法上的人格尊严保护条款包括了保护隐私权的意义,作为人格权之一种的隐私权包含有“自我信息的自律管理权[21]。”
中国个人信息保护立法存在一定的非自洽性,在权利保护及救济上又面临各种不确定因素,亟待确立科学的个人信息保护法律体系。设立明确的个人信息权有助于使用户对个人信息有明确权利的内涵及外延,明确权利行使的范围,App运营者在收集个人信息时也有更为明确的界限及获得授权的合法性。
综上所述,通过对App个人信息收集现状及其问题分析,明确个人信息的概念及内涵以及App收集个人信息遵守的原则,提出App个人信息收集治理改进及制度设计建议,充分考虑创新与规制的平衡,自律与共治的协调,独立设置个人信息监管机构,构建系统周延的个人信息保护法律体系,提高执法的稳定性与法律保护的可预期性。
[1] |
第42次中国互联网络发展状况统计报告[EB/OL].[2019-05-12]. http://www.cac.gov.cn/2018-08/20/c_1123296882.htm.
|
[2] |
邱泽奇. 技术化社会治理的异步困境[J]. 社会发展研究, 2018(4): 2-26. |
[3] |
龙卫球.如何约束网络经营者掠夺性利用个人信息[EB/OL].[2019-05-12]. http://opinion.caixin.com/2017-09-30/101152482.html.
|
[4] |
中央网信办、工业和信息化部、公安部、市场监管总局关于开展App违法违规收集使用个人信息专项治理的公告[EB/OL].[2019-05-12]. http://www.cac.gov.cn/2019-01/25/c_1124042599.htm?from=singlemessage.
|
[5] |
Carol炒炒, 刘焯琛. 一个App的诞生:从零开始设计你的手机应用[M]. 北京: 电子工业出版社, 2016: 23.
|
[6] |
100款常用App申请收集使用个人信息权限情况公布[EB/OL].[2019-05-27]. http://tech.ifeng.com/c/7n0zFVQHmFc.
|
[7] |
国家互联网信息办公室网络安全协调局约谈"支付宝年度账单事件"当事企业负责人[EB/OL].[2019-05-12]. http://www.cac.gov.cn/2018-01/10/c_1122234687.htm.
|
[8] |
App个人信息收集与隐私政策相关报告摘编[EB/OL].[2019-05-12]. https://www.secrss.com/articles/10605.
|
[9] |
洪延青.个人收据分类的比较研究(上)[EB/OL].[2019-05-12].网安寻路人.微信公众号, 2017年12月30日.
|
[10] |
中央网信办、工业和信息化部、公安部、市场监管总局关于开展App违法违规收集使用个人信息专项治理的公告[EB/OL].[2019-05-12]. http://www.cac.gov.cn/2019-01/25/c_1124042599.htm?from=singlemessage.
|
[11] |
杨迅.国家推荐标准个人信息安全规范的二十个要点[EB/OL].[2019-05-22]. http://www.llinkslaw.com/uploadfile/publication/12_1515749997.
|
[12] |
个人信息安全规范(GB/T35273-2017)[EB/OL].[2019-05-22]. https://baike.baidu.com/item/%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E6%8A%80%E6%9C%AF%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E8%A7%84%E8%8C%83/22552042?fr=aladdin.
|
[13] |
龙卫球. 数据新型财产权构建及其体系研究[J]. 政法论坛, 2017(4): 63-77. DOI:10.3969/j.issn.1000-0208.2017.04.006 |
[14] |
龙卫球. 再论企业数据保护的财产权化路径[J]. 东方法学, 2018(3): 50-63. DOI:10.3969/j.issn.1007-1466.2018.03.006 |
[15] |
赵宏. 信息自决权在我国的保护现状及其立法趋势前瞻[J]. 中国法律评论, 2017(1): 147-161. |
[16] |
石佳友. 网络环境下的个人信息保护立法[J]. 苏州大学学报(哲学社会料学版), 2012(6): 85-96. |
[17] |
姚岳绒.宪法视野下的个人信息保护[D].上海: 华东政法大学, 2011.
|
[18] |
周汉华.个人信息保护: 公民的一项基本权利[N].人民法院报, 2005-3-21.
|
[19] |
姚岳绒. 论信息自决权作为一项基本权利在我国的证成[J]. 政治与法律, 2012(4): 72. |
[20] |
齐爱民, 盘佳. 数据权、数据主权的确立与大数据保护的基本原则[J]. 苏州大学学报(哲学社会科学版), 2015(1): 67-70. |
[21] |
胡锦光, 韩大元. 中国宪法[M]. 北京: 法律出版社, 2016: 247.
|