徐璐瑶 白书豪 赵楠楠 刘军 戴莉娜

摘 要：据悉，至2018年底，我国上架的移动手机应用APP数量近500万款，位居全球第一。然而，快速发展势必导致良莠不齐，2019年上半年，有数据显示：中信办停办下架、关停的手机APP记约3万款。从其法律规制路径来说，《侵权责任法》第三十六条及《刑法》第二百八十六条和第二百八十七条都有相关规定，可谓民刑俱全。但在行政法方面，我国行政法规范还未对个人信息的收集、處理和使用有相应具体的规定。因此，拟对手机APP服务提供者收集信息在行政法意义上的保护进行研究，通过确立信息收集的准入机制、加强手机APP信息监督、指派个人信息专员、建立被遗忘权的本土化机制，来实现手机APP服务者信息收集的行政法规制路径。

关键词：手机APP服务提供者；信息收集；行政法保护

基金项目：西北民族大学国家级大学生创新创业计划资助项目“手机APP服务提供者的法律责任类型化研究”（202010742005）

改革开放的四十多年，尤其是近几年，我国的大数据和“互联网+”产业蓬勃发展，催生了淘宝、美团、滴滴打车、微信、微博、QQ等满足人们吃穿住行游等多方面需求的与互联网信息相结合的个性化服务APP。这些手机APP服务提供者一方面根据个人信息来提供私人订制化服务，另一方面可能滥用公民个人信息来从事非法活动，为自己谋取非法利益。不久前，中国消费者协会发布的有关报告反映出在网络互联的时代，个人信息泄露的情况屡屡发生，形势严峻。这些APP在提供方便的同时，也因过度方便而容易泄露包括手机号、通话记录、身份信息、姓名、个人偏好等隐私数据，为网络犯罪活动留下可乘之机。

信息泄露究竟有多猖獗？2018年，Facebook为帮助特朗普竞选，非法贩卖近700万条信息用于政治导向分析、操控大选。“剑桥分析”事件并不是唯一一次，在此之前，Facebook也曾多次被曝光泄漏用户个人信息，但这次的“剑桥分析”事件成为Facebook成立以来最大的一次个人信息泄漏丑闻。

全世界的数据泄露问题之所以引起轩然大波，是因为人们正处于大数据时代，随时与网络信息接触，说不定就是下一个信息泄露的受害者。只有加强个人信息保护，防止手机APP服务提供者对信息数据的非法利用，才能应对大数据运用对个人信息带来的威胁，保护每个公民的利益，才符合我国建设法治国家的要求。其中，行政法对个人信息的保护格外重要。但是纵观我国行政法领域，对其的研究少之又少，而条文性规定仅在于概括，只起到纲领性作用，因此，需要对其进行更深一步的研究。

1 我国个人信息的行政法保护现状及问题

目前，我国的刑法与民法对信息保护都有规定。例如在刑法方面，《中华人民共和国刑法》第二百八十七条之一、二[1]以及《中华人民共和国民法总则》[2]、《侵权责任法》中都有相关规定。但这些规定大多属于事后保护和个案保护，一旦手机APP服务提供者擅自使用公民个人信息进行非法交易，在一定程度上，事后保护不足以起到相应的保护作用。运用行政法对个人信息进行保护，相对来说不仅能事后保护，还能起到事前、事中的保护效果。行政法可以利用其本身的公权力对非法收集个人信息的行为进行制裁。由此可见，个人信息的行政法保护至关重要。如今，关于行政法保护的依据分散于宪法、法律、行政法规、地方性法规、规章等，但真正意义上的行政法保护的专门立法还未出现。

1.1 现状

1.1.1 宪法的相关规定

宪法是我国的根本法，为公民个人信息的行政法保护提供了基本依据。《中华人民共和国宪法》第三十三条就是关于国家对人权的保护。个人隐私权利属于人权一类，理应受到保护；第四十条“中华人民共和国公民的通信自由和通信秘密受法律的保护”等也都为公民的个人信息保护提供了间接依据。

1.1.2 其他法律的相关规定

2012年12月全国人大常委会作出的《全国人民代表大会常务委员会关于加强网络信息保护的决定》中，对有关主管部门职责进行了规定。《中华人民共和国网络安全法》也对网络服务提供者违反规定、滥用公民个人信息的行政责任以及行政机关的相应职责作出了规定，如第六章法律责任中大部分都涉及了服务提供者的行政责任：责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等。

2019年12月20日，全国人大常委会法工委发言人岳仲明在北京说，中国将在2020年制定个人信息保护法、数据安全法等[3]。目前，只有相关学者撰写了《个人信息保护法（专家建议稿）》，如中国人民大学法学院张新宝教授在他的建议稿中，第六章至第八章明确在政府监管体制方面，试图构建以网信部门为主导的统筹协调机制，规定了网络服务提供者相应的行政责任。

1.1.3 行政法规、地方性法规、规章的相关规定

《中华人民共和国电信条例》作为行政法规，对电信用户的信息秘密保护作了相应的规定，如第六十五条规定任何人除因国家安全或者追查刑事犯罪的需要由公安机关、国家安全机关或者人民检察院依法办事外不得对电信内容进行检查。此外，《江西省电信条例》《江苏省信息化条例》等地方性法规和《电信和互联网用户个人信息保护规定》《互联网新闻信息服务管理规定》等部门规章都有所规定。

1.2 问题

1.2.1 缺乏一体化法律机制

从我国关于个人信息保护的立法现状来看，个人隐私信息以及网络服务提供者的法律责任还处于单行立法状态；就行政法意义上来看，还未出现《个人信息保护条例》或者更高层次的《个人信息保护法》，未有体系立法。虽然在十三届全国人大常委会上，发布了有关立法计划，个人信息保护法也在其中，有关立法部门正在起草这部法律，但从各方专家建议稿来看，还有一定的争议。此外，个人信息保护法的出台可能受2020年疫情的影响。

1.2.2 条例规范笼统化

无论是宪法、法律，还是法规、规章，都存在大量有关服务提供者收集公民信息的原则性条款，例如《电信和互联网用户个人信息保护规定》的第五条[4]。另外，行政机关对网络服务提供者收集属于公民个人信息的规定不够详细具体，如《电信和互联网用户个人信息保护规定》第十八条[5]，这项条款规定网络服务提供者及信息控制者负有对信息的保密义务，却未规定违反保密义务应承担的法律责任，使保密条款变成了一项“僵尸条款”。总之，由于行为准则的缺乏和安全管理制度的不完善，有些手机APP服务提供者选择了最便捷的信息采集方式，同时，对所收集的信息没有进行妥善保管，进而导致大量个人信息的泄露。

1.2.3 职责错位、监管不当

在很多法律中都提到了有关主管部门或机构对网络服务提供者非法收集信息的行为进行处罚，但其实，这个“有关部门或机构”所指很不明确，容易导致各机关在承担责任时相互推诿。目前，我国是由工业与信息化部门、工商部门、金融监管部门、公安部门等来对个人信息进行保护。首先，就会出现多机关重复处罚情况，影响网络服务提供者以及公民个人的利益；其次，不同的监管机关各自行使职权，导致监督标准不一致，监督成本大幅度上升；再者，对非法交易个人信息的行为需要多方联合执法，如果没有明确各方职责，就难以有效地进行联合执法；最后，权责界限不明可能会造成互相“踢皮球”的情形。此外，有关机关进行监管时也只是敷衍了事，处罚力度不够，总会出现“检查一次后又有信息泄露事件发生”的情形。

1.2.4 “通知-移除”制度不够健全

《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》中确立“通知-移除”归责，《侵权责任法》第三十六条仅规定，明确知道侵权行为发生或者接到权利人的通知后，及时采用有效移除制止措施的可以免除责任。但对于通知的要件、内容、形式、责任承担仍未明确，同时，未规定网络服务提供者能够采取必要措施的方法，对词语含义也无明确规定，“及时”“必要措施”的标准过于笼统，因此，无法确定网络服务提供者是否有效地履行了义务。

2 个人信息收集的行政法解决措施

2.1 确立信息收集的准入机制

手机APP服务提供者要收集信息，就必须有一定的准入资格。目前，存在准则主义和许可主义两种。准则主义是指网络服务提供者仅需申请，经过有关机关的形式审查批准即可；许可主义是指必须经过有关机关实质审查许可后才可从事信息收集行业。本研究认为应当以准则主义为主、许可主义为辅。以准则主义为主，符合近几年来我国各级政府推行简政放权的要求，能够减少审批费用，利于政府和公民双方。但涉及某些特殊行业如征信业，因牵涉社会重大利益，必须采取许可主义，涉及国家秘密更应如此。

另外，在申请准入资格时，要明确自己收集个人信息的目的以及范围。收集目的和范围必须是基于自身性质和业务需要而确定的。有关主管部门必须严格把控，并结合申请者的资质进行审查。如果发生了像采集个人信息进行诈骗活动这样超越被批准的收集目的和范围的行为，有关主管部门必须及时予以行政处罚。

2.2 对手机APP的隐私政策加强监督

隐私政策是个人信息保护链中的重要环节，主要是手机APP服务提供者等制定用户隐私保护条款，其中明确规定了服务提供者将如何收集、处理和使用用户的个人信息、用户个人对数据享有的权利及其行使方式、企业应承担的个人信息保护义务等一系列内容[6]。这些隐私政策会在用户初次使用时予以展示，但也存在隐私政策流于形式、难以找见以及因内容繁杂用户不能够仔细阅读等情形。2020年3月16日，天津市网信办通报在7款疫情防控APP（或小程序）中，无隐私政策、收集用户身份信息未告知使用目的且逾期未填报相关信息的行为竟普遍存在。在之前，中央有关部门已经对多款APP产品的隐私政策进行了抽查。例如在2018年，工信部等有关部门对一些手机APP服务提供者进行了调查。隐私政策方面出现的问题很多，就更需要有关主管部门进行监督，应定期开展评审活动，扩大评审的范围，覆盖更多的手机APP产品，并要求评审中不符合标准的手机APP服务提供者要完善自己的隐私政策，并且及时报告给有关主管部门。更重要的是，应制定有关隐私政策的统一标准和条款，将事前规范与事后监督有机结合，让隐私政策真正起到作用。

2.3 指派个人信息保护专员

我国对手机APP服务提供者收集信息行为的监督采取的还是指定某个机关或者其某个部门进行监督，但粗糙式的管理会造成监督效率不高、“漏网之鱼”出现，所以，指派专员对服务提供者进行精细化控制很有必要。从全球范围来看，欧盟的一些条例中已要求符合某些特定情形的信息控制者和信息处理者必须设立数据保护专员，数据保护专员必须具备一定的任职资格，在这种任职条件下按照相关法律法规规章的规定行使好自己的职责。如果有关手机APP服务提供者没有按照法律收集个人数据，该指定的个人信息保护专员也要受到相应的处分。我国暂时还未出现这种专员制度，但目前在别的领域，如河长制、湖长制等，出现了专员制度。在网络高速发展的时代，必须要安排专员对网络服务中出现的收集信息的行为进行监督。个人信息保护专员首先必须要具备一定资质，如懂得电子信息方面的知识、了解相关的法律法规并且还要有一定的实践经验。对于规模较大的手机APP服务提供商，就要安排一个专员来进行管控，规模较小的，可以共用一个信息保护专员；此外，专员必须要定期进行每日检查、每月检查、季度检查以及年度检查，如果信息保护专员包庇非法行为，要与手机APP服务提供者承担连带责任。

2.4 被遗忘权机制的本土化适用

被遗忘权是指信息控制者在个人信息主体要求信息控制者删除个人信息数据的情况下删除信息[7]。目前，歐盟的《数据保护通用条例》已经详细规定了这项权利。在欧盟法院的有关判例中，认定居民有权迫使网站和搜索引擎移除指向不切题的或者是过期信息的链接。最近，瑞典数据保护局对Google公司罚款，原因是其没有按照规定遵守被遗忘权规则。在国内，首例“被遗忘权”案是任甲玉诉百度案[（2015）一中民终字第09558号]，任甲玉主张“被遗忘权”，要求百度公司删除其在某机构信息的相关搜索。虽然以任甲玉败诉告终，但从侧面说明“被遗忘权”引入我国的必要性。我国引入“被遗忘权”机制需要包括删除和限制两个方面：如果手机APP服务提供者收集信息超出了其收集的目的与范围、信息主体撤回作出的同意和信息的不恰当、过时、无关，信息主体有权要求信息控制者（服务提供者）采取手段删除相关信息；但是如果涉及国家机密等情形，信息控制者可以不删除相关信息。被遗忘权的有效行使，还需要有关行政主管部门的支持与协助，对于侵犯公民被遗忘权的，有关机关应采取行政处罚等措施。

[参考文献]

[1] 张鸿霞，郑宁.网络环境下隐私权的法律保护研究[M].北京：中国政法大学出版社，2013.

[2] 李迎寒.侵犯公民个人信息罪中“公民个人信息”的界定—以手机APP收集并使用公民个人信息为切入点[J].湖南警察学院学报，2019，31（3）：71-78.

[3] 高盛文.谨防手机APP过度采集个人信息[N].解放军报，2019-05-18（6）.

[4] 卢晓庆.大数据时代个人信息的行政法保护[D].杭州：浙江工商大学，2018.

[5] 朱颖.我国移动APP隐私保护政策研究—基于96个移动应用APP的分析[J].暨南学报（哲学社会科学版），2017（12）：107-114.

[6] 代兰.从商标法的角度论手机App的保护[J].重庆广播电视大学学报，2017（3）：68-73.

[7] 杨立新，韩煦.被遗忘权的中国本土化及法律适用[J].法律适用，2015（2）：24-34.