APP过度收集个人信息的行政法规制

2022-11-23金东升

普洱学院学报 2022年1期

金东升

河南金年华律师事务所，河南平顶山 467000

2021年11月1日起，《中华人民共和国个人信息保护法》正式施行。法律明确不得过度收集个人信息、大数据杀熟，对人脸信息等敏感个人信息的处理作出规制，完善个人信息保护投诉、举报工作机制等，充分回应了社会关切，为破解个人信息保护中的热点难点问题提供了强有力的法律保障。随着智能手机的普及，APP过度收集个人信息的违法违规问题十分突出，严重影响公民的合法权益，通过建立健全法律规制，可有效依法打击过度收集公民个人信息的违法行为。

一、个人信息的法律界定

个人信息包括个人的社会背景、自然情况、思想观念、生活经历和习惯等内容，但并非所有与个人有关的信息都称为个人信息。法律意义上的个人信息具有两个基本特征：一是个人信息为本人所有。当事人对自己的信息享有绝对支配权和控制权，个人信息仅指向自己；二是个人信息与特定的人相关联。如指向不特定个人不能称为个人信息，个人信息必须是关联个人身份、活动的信息，具有可识别性，可识别性是个人信息最重要的特征。以能否识别特定个人为标准，个人信息可分为两类：一类可单独识别特定个人；一类是不可单独识别特定个人。根据可识别强弱可分为直接个人信息和间接个人信息；依据敏感高低可分为敏感个人信息和一般个人信息；结合信息主体身份可分为普通人和特殊群体个人信息，特殊群体主要是指未成年人、公众人物、国家公务员、企业实际控制人和高管等。

二、APP自身优缺点解析

APP（Application，简称APP）主要指安装在智能手机上的第三方应用软件。它的作用是完善原始系统的不足与个性化，是社会发展到一定阶段的产物，具有高科技、信息化的时代特征。手机APP作为实用性操作软件，是手机智能化的重要体现，其中民营企业如微信、淘宝、京东、美团、支付宝、滴滴打车、抖音短视频、高德地图等APP的用户最多也最频繁。

（一）APP优点

实用高效、便捷灵活。APP下载比较方便，操作容易，简单易学，通过APP不但能解决用户经常往窗口办理业务的烦恼，而且还能节约大量时间。操作中不受时间和地域的限制，随时随地可以用电脑或手机查询、办理业务。如开发的银行APP、政府机关APP、商企APP，以及关系民生的水电气、通讯、网络、有线电视等单位APP的广泛使用，最大程度地满足了用户的生产和生活需求，提供了极大的便利条件。使用APP更有利于企业商家推广宣传产品和服务，节约广告成本费用。APP主要围绕用户开发软件，设计针对性强，行业的特色元素能明显识别，运营者对APP虽设置模块少但功能强大，能真正服务并满足不同类型用户的需求。

（二）APP缺点

APP形式多样、内容丰富，极具吸引力，其中有一部分涉及游戏领域，由于青少年和儿童自控能力差，长时间看手机会严重影响身体健康。有些APP运营者为一己私利故意倒卖个人信息，恶意泄露个人信息等，给用户带来了一定伤害，严重侵犯了用户的隐私权[1]。在互联网技术高速发展、自媒体快速传播的新时代，个人信息随时面临泄露的安全风险。还有一些不法分子或经销商甚至在待售的智能手机上做文章，恶意安装带有木马病毒的软件，窃取用户个人信息和隐私，恶意吸费扣费，给用户带来财产安全风险。

三、对APP过度收集个人信息的行政立法与规制对策

（一）对APP运营者加强监管

1.APP注册实行严格审批。当前APP数量庞大，2018年国内APP在架数量高达452万款，但近两年呈阶梯式下降趋势，健康的和不健康的良莠不齐。APP中游戏类占比最高25.7%，其次是日常工具类占比14.6%，电子商务和生活服务类分别位居第三、第四位，很显然游戏类如此高的占比已经给政府的介入监管提出了警示。为此，政府加强和规范对APP的全方位管理，要作统一规定，对APP上架要制定具体的实施方案，严格按行业分类比例、限制数量准入，实行实名制登记，审批后再单独做标识。对手机APP运营者收集用户信息必须设置一定的准入资格，一般分为准则和许可主义两种情况。根据我国的实际现状，可采用以准则主义为主，许可主义为辅的方式。申请准入时要表明收集个人信息的用途和范围，且须是业务开展而需要的，作为政府主管部门要严格把关，严格实质审查，对于恶意过度收集个人信息行为及时制止并给予行政处罚。

2.收集个人信息设最高限。针对各行业各领域的APP运营者收集个人信息设置最高限，明确其收集内容不得超过限度要求，收集的用户数量不得超过必要限度。若不予以管控，缺乏自律的APP运营者很可能会利用过度收集的个人信息作不法运作，非法出售用户信息给不法分子，由此扰乱经济秩序和社会稳定，对收集个人信息设最高限是规制APP运营者的必然选择[2]。

2021年5月1日，由国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局近日联合印发的《常见类型移动互联网应用程序必要个人信息范围规定》正式施行。《规定》明确了39种常见类型APP的必要个人信息范围，APP运营者不得以信息不全作为拒绝用户下载APP使用的借口，只要采集达到“必要”的限度，就要满足用户下载安装APP的需求。规定对各行各业APP收集个人信息明确界限和范围，防范和杜绝强制、过度、超范围收集个人信息。总之，运营者收集信息要以“最小最少”为“必要”，在采集、处理、利用信息时要合规合情合法，不能逼迫用户同意，要划定红线、制定规则，使法律的原则性规定逐步走向精细化，让APP收集不断迈向标准化[3]。

3.健全民刑法对APP规制。针对个人信息保护，在2021年1月1日施行的《民法典》中有重要体现，法典提出“四明确一完善”，即明确隐私定义和侵权行为，明确个人信息定义和范围，明确个人信息处理范围、原则要求与免责情形，明确个人信息主体权利，完善对患者的隐私和个人信息保密责任。在刑法上主要体现在第二百五十三条“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”方面，非法使用公民个人信息行为未被纳为侵犯公民个人信息罪及其他罪名，暂时无法为泄露个人信息的用户维权提供有力支持，将非法使用公民个人信息行为入罪更加有利于实现法律秩序的统一，也是完善和健全法律体系的现实需要，对规避和减少运营者泄露用户信息起到一定的关联和震慑作用，对封堵运营者非法泄露用户个人信息行为发挥重要前提作用[4]。

4.签订APP使用保密协议。用户在使用APP时须与运营者签订APP使用保密协议，通过界定双方的权利义务，对涉及有偿服务的条款运营者要明确告知，做到内容合法、程序合规，运营者必须要对用户的个人信息严格保密，列入违约责任条款，一旦运营者违规泄露用户信息加重惩罚，约定较高的违约金，加大运营者违规违法成本，以此促使运营者对APP保密协议的履行。

（二）健全完善相关行政立法

1.加快用户信息保护立法。行政立法是实现对用户权利保护的最直接路径和根本保障[5]。行政法属于事前和事中保护，能及时采取措施对APP运营者的违法违规行为进行规制，可以弥补民法和刑法的不足，对涉及泄露和非法交易个人信息行为起到积极的保护作用。近年来我国不断健全和完善有关个人信息保护方面的行政立法，如2021年11月1日正式实施的《中华人民共和国个人信息保护法》，对APP过度收集个人信息等作出了针对性规范，将不满14周岁未成年人的个人信息定为敏感个人信息，并要求信息处理者要制定专门的处理规则。

2.构建精细化的执法机制。一是建立并拓宽用户投诉的渠道，设置专门入口或窗口接受用户投诉和监督检举；二是强化事前监督，要求APP运营者收集用户信息时须向执法部门报备，告知收集目的、方式、范围、数量等情况，执法部门采取抽检及随机检查的形式加强监管，以此堵住违法违规的漏洞；三是加强信息保护的宣传教育，普及APP使用防范知识，提高用户的自我保护意识；四是执法机构对APP运营者收集用户信息的全部关键环节实施全过程、全方位监管，采取严格的许可审批制，加强事中监控，事后采取有效可行的追责、惩罚和补救措施，特别是对敏感信息采取严格保护，对动态信息转化做好筛选和跟踪执法。

3.加重APP违法处罚力度。现实经济社会中一些APP经营者为达到不可告人的目的，在收集信息时强制授权、过度索权，强制用户选择同意接受定位发送、通知接收、允许访问设备及拨打手机等违法违规行为已经严重损害了用户的切身利益。作为执法部门应加大执法力度，加重对APP经营者的行政处罚，可通过黄牌警告、红牌警戒、罚款、下架、吊销营业执照等手段施以处罚，对涉及刑事犯罪移交司法机关处理。

4.纳入社会诚信体系管理。对App经营者违法违规的行为实行事后监督管理，除实施行政处罚和刑罚外，还需要辅以其它管理手段和措施，纳入社会诚信体系就是比较直接有效的办法之一，它可以通过限制APP经营者，使之在信贷、上市、资质、荣誉申请等方面处处碰壁，让其自尝苦果，达到深刻反省的实际效果，通常会比行政处罚和刑罚更方便、更直接、更有效。让App经营者能深刻地认识到失信对自己的运营有多重要，带来的负面影响有多大，从而促使在收集利用用户个人信息方面做到守法合规。

（三）加强行业协同管理

1.提升APP运营企业管理能力和水平。针对APP运营国内企业应借鉴国外先进的管理经验，对特殊信息的控制和处理政府部门要形成专员专管制度，数据保护专员要具备一定的任职资格和经验，严格依法履行工作职责，对APP运营设定红线和底线，强制、索取和超范围过度收集用户个人信息该专员将受到严厉的处分和处罚。

2.形成政府、企业、用户一体化机制。过度收集用户个人信息绝大多数系企业所致，政府作为监管主体，企业系被监管对象，用户是第三方受害者，三者之间互有权利与义务，必须形成政府、企业、用户一体化机制，发挥各自所长。政府要有所作为，网信办牵头实施打击制裁APP违法违规运营者，工信、市场监督、公安、信用办等多部门要紧密协作；企业要严格自律，做到业务合法规范，强化责任追究；用户要提高自我保护意识，降低信息泄露安全风险。