手机应用软件收集个人信息的法律问题研究
2021-12-06卞艳婷
摘要:在大数据时代,数据信息在公民不知情的情况下被收集和使用,极大地威胁了公民的私人生活安全。同时,大量公民个人数据被非法收集、分析和使用,将直接威胁国家战略安全。如今,许多手机会自动记录用户的移动轨迹,移动应用程序在未经授权的情况下过度收集用户信息,凸显了加强个人数据信息保护的紧迫性和严重性。加快个人数据信息保护的法律体系建设是当务之急。
关键词:手机软件 APP 个人信息 法律保护
引言
互联网的普及以及各种智能移动终端设备的应用,给人们的学习、工作和生活带来了极大的便利,如滴滴打车、快投等出行软件,美团、饿了等外卖软件。以及高德、腾讯地图等导航软件。但这些应用大多需要用户授权,最常见的是位置信息的授权,如天气预报、道路导航等,需要收集用户的位置数据信息,然后使用算法进行分析,从而为用户提供所需的服务。因为很多软件不能获取位置信息的授权,其功能将无法实现,或者因为用户个人隐私保护的原因太敏感,所以,许多人没能意识到位置数据信息本质上是一个非常重要的个人隐私数据和缺乏安全保护意识。公众的信息处于危险之中。
一、App 运营商收集个人信息现状
在现实中,手机已经成为最常见的交流工具。截至2020年3月15日,中国有8.97亿手机用户。然而,许多手机在未经用户允许的情况下自动记录位置信息,这侵犯了用户的隐私,并使公民的许多基本权利受到威胁。以央视2014年7月11日上午9点报道的iPhone手机为例,说明设置手机行踪记录对个人信息安全造成的威胁。公民使用苹果电话系统只要升级到版本,通过多步操作找到“常去网站”功能,手机将知道用户的操作,甚至可以根据记录的数量,时间常去的地方等元素进行了分析,标记为家庭地址,工作单位,然后推断出用户的更多个人信息。所谓的个人信息,也被称为个人信息和个人资料信息,是指所有信息附加到一个自然的人,被外界用来识别自然人,包括但不限于姓名、性别、年龄、身份证号码,电话号码,肖像,在线账户和个人物品。
苹果的系统描述没有指定“频繁地点”功能,该功能是默认打开的。即使关闭该功能,用户的位置信息仍然会被后台记录,并将其发送回后台。苹果的这一特性吸引了越来越多的社会成员的注意。苹果手机在中国拥有非常庞大的用户群体,导致大量收集和分析个人位置信息,隐藏着巨大的安全风险。数据信息一旦泄露,不仅意味着个人隐私受到侵犯,还进一步威胁到国家信息安全。
二、对 App 运营商收集个人信息在监管方面的不足
(一)法律条款缺乏可操作性
在2007年智能手机的出现和升级过程中,App运营商收集用户个人信息的现象时有发生。但是,直到2013年我国修订《消费者法》,《消费者法》才增加了第29条,规定“经营者收集和使用消费者个人信息,应遵循合法、正当、必要的原则”,随后于2016年发布的《网络安全法》第41条规定“网络经营者收集和使用个人信息,应当遵循合法、正当和必要的原则”,2018年发布的《电子商务行为》第23条规定电子商务经营者收集和使用其用户个人信息,遵守法律、行政法规关于保护个人信息的规定”。基本法的原则按照“消除”的规定,但规则尤其是必要性原则对于监管App运营商收集用户信息的模糊性存在,App的功能各异,如何判断App运营商是否超过必要限制收集用户个人信息,在实践中很难实施。2019年公布的《个人信息保护法(专家提案草案)》第12条至第22条共规定了11条收集、利用个人信息的原则,在“消除”的基础上增加了个人参与、目的、有限知识等原则、目的、使法律规定的条款更加具体,增加可操作性。这对于大多数的说明性规定来说是一大进步,但遗憾的是法律仍处于专家草案阶段。近年来,应用运营商收集用户个人信息的行为已进入监管阶段,因此,2019年1月,国家互联网信息办公室、工业和信息化部公安部和国家市场监督管理总局联合决定,在全国范围内开展为期一年的打击应用程序非法收集和使用个人信息行动,并于2019年发布了一系列规范性文件。这些文件针对每个问题给出相应的评估标准,同时在确认方法中对哪些行为可以认定为“违反必要原则并收集与所提供服务无关的个人信息”做出了更加明确的规定。
然而,一方面,这些规定等级较低,缺乏威慑力,不能全面有效地监管App运营商对用户个人信息的收集。另一方面,《身份识别方法》和《个人信息自我评估指南》都是具有指导性的文件。四部门发布的通知中明确指出,《识别办法》供监管部门在实际监督执法工作中参考和应用,而《个人信息自我评估指南》仅作为App运营商自我检查和自我纠正的参考,在实际监管和操作中作用有限。纵向贯穿我国很多法律、法规和规章的规定可以发现在运营商收集用户的个人信息监管涉及大量的法律文本的地位较高,但大部分法律的内容是相似的和缺乏可操作性,具体分析,个人信息收集的“排除”原则适用于其他领域可能没有问题,但具体到App领域,合法性原则和合法性原则几乎不适应。由于应用数量多、种类多,各应用运营商不断拓展其应用的业务功能,使得不同类型应用之间的功能界限日益模糊。许多App运营商在经营主营业务的同时,还扩展了许多附加业务,这使得很难判断哪种收集行为符合必要性原则。必要性原则一直被强调,但难以落实。从近年来,特别是2019年出台的一系列法律文件的规定可以看出,监管条款的可操作性得到了增强。然而,这些法律文件本身的地位较低,由于其性质和适用范围,仍不能发挥良好的监管作用。因此,综上所述,我国对App运营商收集用户个人信息的监管规定缺乏可操作性。
(二)多个监管主体之间的分工不明确
目前,我国对应用运营商收集和使用用户个人信息的监管主要集中在国家网信办、工业和信息化部、公安部和国家市场监督管理总局四个部门。这四个部门的监管覆盖了App行业大部分的行政监管工作。此外,包括国家发改委在内的10多个部门也对App运营商收集和使用用户个人信息的行为拥有行政监督和执法权力。事实上,尽管中国一个统一的领导机构的监督程序运营商的用户收集和使用个人信息自2016年以来,应用经营者的监督过程的收集和使用个人信息通常是由各部委集中抽查一段时间。这种做法必然导致执法标准和标准的差异,部委之间协调不足,容易形成自我封闭、分割监管。在我国现行立法中,对于收集个人信息的违法行为并没有设立专门的监管机构,而是采用多部门合作、相互合作的监管模式,这种监管模式要求在立法中明确各种监管责任,然而,在我國现行的法律、法规和规章中,对于App运营商非法收集和使用个人信息的监管主体划分不明确,容易出现交叉监管和不监管的情况。从设备App的时间顺序来看,监管机构的分工并不明确。App运营商收集个人信息的行为可能发生在预装App中,也可能发生在第三方App中。预装App是指购买手机时已经预装的App。而第三方应用则是消费者自己从应用商店和其他平台下载的应用。对于预装app中个人信息的监管,网信办目前尚无具体规定。根据工信部2016年发布的《暂行条例》第3条,工信部对全国范围内的App软件预安装和发行服务进行监督管理。在工信部领导下,地方通信部门对本行政区域内的应用软件预装发行服务进行监督管理,确定工信部对预装App收集的个人信息的监管地位。但总体而言,多个监管机构对App运营商收集用户个人信息的监管职责尚未明确。许多法律法规在立法时只规定了“相关部门”负责监管,但没有明确规定涉及哪些部门,具体包括哪些监管责任。App运营商非法收集用户个人信息的现象短期内不会得到解决。因此,对于App运营商收集用户个人信息的监管,不能总是通过各部门联合专项行动的形式来进行。要明确监管机构之间的分工,建立长效监督机制。
三、对 App 运营商收集个人信息法律监管措施的完善
(一)制定统一的个人信息保护法
App的广泛应用和技术的不断发展对法律监督提出了更高的要求。“碎片化”的监管规定已无法达到有效的监管目的,“系统化”的监管规定的呼声越来越高。“制定统一的个人信息保护法,不仅有利于指导App行业违规收集个人信息的监管,也有利于其他行业整体违规收集个人信息的监管,通过制定统一的个人信息保护法,既可用于App行业对个人信息的监管,也能协调其他领域对个人信息的监管,形成信息监管的闭环,从而整合监管力量,弥补现行法律法规在个人信息监管领域的不足,有助于从宏观层面指导个人信息监管。中国个人信息保护法日前发布了专家建议草案,即将正式出台。由张新宝教授牵头的《个人信息保护法(专家意见法)》共9章106条,对信息收集者收集个人信息应遵循的原则作了更具体的规定,告知信息收集者的义务和收集信息的依据。相对于《消费者法》和《网络安全法》对经营者收集个人信息应遵循的法律原则的规定,专家建议更具指导性和可执行性,统一的个人信息保护法排名更高。在个人信息保护法中明確规定了信息收集者使用个人信息的原则,信息收集者的义务和监管者的义务可以弥补现行法律对个人信息收集规定的零散抽象,也可以提高一些关于个人信息的使用收集率,降低监管立法只适用于某一领域的情况。对于我国未来统一的个人信息保护法的发展还需要注意以下几点:首先,对个人信息收集和使用的监督是统一的个人信息保护法的重要组成部分。未来制定的个人信息保护法应充分考虑到当前个人信息监管所涉及的技术问题,特别是在App等技术含量高的领域;其次,即使制定了统一的个人信息保护法,监管部门对个人信息的收集和使用的监管仍主要是参考其他相关法律、行政法规和部门规章。目前,我国关于个人信息监管的立法比较分散,主要缺点是缺乏整体指导。个人信息保护法主要是在法律方面为监管主体提供指导、引导作用。因此,我国个人信息保护的未来应在个人信息保护法律法规体系下进行,个人信息保护法包含了许多为一般内容,当其他规定不明确或冲突时,监管者可以起到指导作用。
(二)加强立法的处罚力度
GDPR和CCPA的一个相似之处是,两项立法都对非法收集个人信息的行为采取了严厉的惩罚措施,特别是增加了罚款数额。与这两部法律相比,我国立法规定的罚款数额不足以威慑违法者。虽然处罚条款的设置应兼顾App用户、运营商及其他各方的综合利益,但处罚力度过于轻,可能导致再次违法。如果过于沉重,就会扼杀社会上新兴的App运营商,减缓科技创新的发展。针对目前App运营商违法违规收集App用户个人信息的“井喷式”增长,中国迫切需要加大对违法违规App运营商的处罚力度,以更好地监管App行业。《CCPA》、《GDPR》、《个人信息保护法》(专家提案)等都是根据营业额来确定罚款金额的。不同的是,CCPA和GDPR是基于一个企业的全球营业额,而我的建议是基于一个企业在中国的营业额。与欧盟和美国相比,我的提案中的罚款金额总体上有所下降,但与我国现行法律规定的罚款金额相比,提案取得了很大的进步。我国个人信息监管法律法规规定,罚款数额以违法所得为依据确定。一方面,非法收益的概念本身具有不确定性,监管当局在监管过程中具有高度的自由裁量权,这可能导致处罚不平等。另一方面,如果没有违法所得,App运营商将被处以最高100万元的罚款。与其他国家的处罚力度相比,中国的处罚力度远远不足以阻止App运营商在大数据背景下违反法律法规收集App用户个人信息。一款名为Musical的美国视频应用。2019年2月,美国监管机构联邦贸易委员会因非法收集13岁以下儿童的个人信息,被处以570万美元罚款;根据英国信息监管局2019年7月发布的一份声明,英国航空公司因违反《通用条例》被罚款1.8339亿英镑。鉴于技术和全球繁荣的严重性应用用户的个人信息违反在中国,中国应该改变罚款的标准在未来立法,改变非法收入的标准企业营业额的标准,并增加非法收集的惩罚强度应用用户的个人信息。
四、结语
通过上文分析App收集个人信息的现状以及问题研究,得出了一些策略,以求加大对个人信息保护的力度。总之,移动电话用户,自动记录操作跟踪事件的现象有一定的普遍性在网络数据的时代,网络信息设备业务,软件提供商和服务提供商等的情况没有告诉用户设置这个功能,客观地构成侵犯用户隐私,而埋没了使用者的安全隐患的基本权利,长期以来公民的人身安全将无法得到保障,每一个公民的人格尊严也将遭到破坏,而加快立法是预防和遏制此类侵权行为的最有效措施。通过各种手段充分保护公民的合法权益。
参考文献:
[1]杨立新.《个人信息:法益抑或民事权利——对《民法总则》第 111 条规定的“个人信息”之解读》[J].《法学论坛》.2018 : 1
[2]姜大勇.《大数据时代下个人信息权的法律保护》[J].《长江论丛·理论研究》.2017: 3
[3]陈晨,李思頔.《个人信息的司法救济——以 1383 份“App 越界索权”裁判文书为分析样本》[J].《财经法学》2018 : 6
[4]郝森森,唐吉平,张安然.《企业移动 App 用户信息披露意愿提升策略研究》[J].《情报科学》2018 : 12
[5]周忆陶,方宁,蔄福军 .《小议 App 软件中个人信息安全问题》[J].《黑龙江省政法管理干部学院学报》2017: 4
作者简介:卞艳婷,1996年9月10日出生,女,汉族,籍贯山东省临沂市郯城县,现就读于山东财经大学法学院2019级法律(非法学)。硕士研究生。主要研究方向:经济法学