论互联网下的个人信息保护*
——以商业App收集和使用个人信息为例
2022-12-29首都经济贸易大学李露莹郑淼
首都经济贸易大学 李露莹,郑淼
为解决和预防商业App收集和使用个人信息过程中的安全问题,本文将重点探索个人信息等私权利保护的理论基础、规制现状和难点,最终提出完善建议。本文对商业App带来的个人信息安全风险结合个人信息保护进行详细研究,具有较强的理论和实践意义。
一、商业App个人信息收集和使用概述
(一)商业App个人信息收集和使用的客体
1.个人信息法律内涵的探究
我国法律中对于个人信息采取的定义模式有些许不同。例如,《网络安全法》采取了识别自然人个人身份的标准。《民法典》扩大了个人信息的范围,采用了“识别自然人说”。《个人信息保护法》(下称《个保法》)借鉴了欧盟《一般数据保护条例》的规定,采用了“识别说”和“关联说”的定义模式。除在概念上扩张个人信息的内涵外,《个保法》还扩张了敏感个人信息的范围,增加了金融账户等个人信息类型。
本文研究的商业App个人信息收集和使用的客体,就是个人信息。个人信息最常见的“识别说”定义模式较为灵活,但没有根本明确什么是“个人身份或自然人可识别信息”。而“关联说”是指个人信息的范围还包括与个人具有关联性且对个人产生重要影响的信息,是“识别说”的重要补充。可见,《个保法》中对于个人信息的定义具有内在的逻辑和价值。
2.个人信息保护的理论基础
从个人信息保护法的起源和发展过程看,其主要立法宗旨就是平衡好技术进步与个人信息权利保护之间的关系,回应技术发展带来的挑战。
《个保法》所调整的核心是信息处理行为,信息能力不平等是信息处理法律关系的本质属性[1],自然人之间在个人、家庭事务处理过程中涉及的处理个人信息的行为不属于《个保法》的调整范围。值得注意的是,目前我国还未明确规定“个人信息权”,在《个保法》第四章“个人在个人信息处理活动中的权利”中,全部使用了“个人有权……”的表达方式。对此有学者认为,为了促进信息的保护和利用,必须将个人信息依托现有的个人信息权益和规则进行权利化[2]。
(二)商业App个人信息收集和使用的方式
《个保法》的主要规制对象是个人信息处理行为,其采取强行性规范对个人信息处理进行全方位、动态性的调整[3]。个人信息处理的概念,在法律上抽象成为涵盖一切影响主体权益的个人信息使用行为,在实例中是指技术意义上的具体处理行为[4]。
信息的收集是商业App运营商通过合法的方式获得个人信息的行为,运营商在经过信息主体授权后,将用户的注册、登录、浏览信息等进行收集。信息的使用包括三个内容,即信息的分享、分析和应用。分享是指信息控制者向特定人披露向不特定人公开信息。分析是最重要的信息处理行为,其对信息进行匹配组合,基于不同分析目的形成信息组,并通过算法预测出用户的个人行为偏好、社会关系和身份特性等内容。应用是指依据分析结果向目标人群发送商业信息或者信息内容[5]。
二、《个保法》背景下商业App收集使用个人信息规制的现状与难点
(一)商业App收集使用个人信息的立法现状
2021年8月,全国人大常委会审议通过作为我国个人信息保护领域的专门立法《个人信息保护法》。《个保法》确立了“同意(一般个人信息)——单独同意(敏感个人信息)——同意例外(国家机关处理个人信息)”[6]这一个人信息处理规则的基本架构。在个人信息主体和个人信息处理者的权利义务关系上,本法赋予了个人信息主体多项权利,强化了个人信息处理者义务,规定了更加严格的法律责任。此外,该法还规定了告知同意规则、自动化处理、携带权、个人信息保护影响评估制度等。
随着商业App成为个人信息保护的关键领域,国家有关部门立足自身职责,制定发布了App个人信息保护的专门规定和治理文件。同时,为配合《个保法》的实施,加强数据安全保护,上海、天津、贵州等九个省市也出台了大数据发展相关条例。
总的来说,《个保法》的出台,为国家规范和整治商业App收集使用用户个人信息的行为提供了制度保障和政策导向。以《个保法》为新的起点,大量配套的法律措施和制度也会相继完善。
(二)商业App收集使用个人信息的执法现状
国家负有保障公民信息安全的义务,近几年来,国家有关部门开展了一系列个人信息保护整治行动。相关执法主体坚持依法行政原则,制定相应的规范性文件,在治理行动过程中能够做到执法有据。在执法过程中采用多元化治理模式实现行政目的,调动行业协会和网络用户等多方主体的积极性。执法的方式较为灵活,罚款、拘留等强制措施的应用门槛提高,执法的柔性增加。
《个保法》中个人信息保护的执法主体的设置模式为过渡或者统筹协调模式[7],即未明确规定专责机关,但规定国家网信办负责统筹协调。《个保法》61至64条规定了个人信息执法活动主体、主体权力以及具体执法方法。
(三)商业App收集使用个人信息法律规制的难点
1.商业App个人信息收集和使用存在的问题
在国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定的《App违法违规收集使用个人信息行为认定方法》中提到了App违法违规收集使用个人信息的六种情形。再结合对相关法律法规和实例的分析,商业App个人信息收集和使用过程中存在的问题主要有以下三个方面:
首先,商业App与用户之间的信息不对称问题。在申请获取用户信息时,商业App对需要获得的用户信息的描述过于简单,没有将权限背后的使用方式和使用价值告知用户;或者是对于权限描述过于复杂,专业性强,导致用户无法理解其中的意思。
其次,存在商业App过度收集和使用用户个人信息的问题。商业App通过窃取、自动授权、默认同意等隐秘方式或者一揽子、服务功能捆绑、霸王条款等强制方式索取权限,收集使用的个人信息属于超出了其能提供服务需求的非必要收集的个人信息。
最后,关于敏感个人信息的收集和使用问题。敏感个人信息是指对于信息主体而言具有唯一性的信息,其他任何人均不可能有该信息[8],例如,身份证号码、生物识别信息、个人财产信息等。现实情况是,商业App在向申请用户授权时,会出现未明确告知个人信息的类型便一揽子收集敏感信息时未明确告知用户用途以及对外使用敏感信息时未单独取得用户同意等情况。
此外,有调查显示[9],位置信息、通讯录信息、手机号码等个人信息是过度收集或使用的主要内容,此现象值得注意。
2.立法层面
对于民事立法来说,我国在制度设计层面上对个人信息权利的重视程度还不够,对于一些具体的制度设计还不够科学,如“告知——同意”制度过于僵化,缺乏对敏感个人信息的保护等。
对于行政立法来说,《个保法》中的公法规范数量较少,法条较为抽象概括,难以在实践中直接适用。同时,对主管机构职责划分不明确导致我国针对互联网行业涉及个人信息保护的相关文件数量众多,再加上监管不到位,导致很多专门性的规范流于形式,对个人信息的保护效果有限。
3.执法层面
我国的个人信息保护执法虽然基本遵循了依法行政的原则,采用了多样化和灵活的执法手段和方式,但整体还存在着执法粗放化的问题。
首先,《个保法》中未明确规定个人信息保护的专责机关,只规定国家网信办负责统筹协调。其次,我国开展的App违法违规收集使用个人信息的专项治理行动层出不穷,但是大多为突击式的执法机制,对于非热点、非显性的问题关注不够。最后,由于违法行为本身隐蔽、分散、难举证的特点,再加上由于立法上的一些问题,所以执法中没有很好地落实比例原则。
三、互联网视角下个人信息权利保护规制路径的完善
(一)立法层面
1.告知同意的动态化构建
告知同意的动态化构建是指允许用户在个人信息的收集与使用中其同意的意思表示发生变化,使“告知——同意”的过程是持续的、动态的。
商业App中的动态化告知同意可以分为两个阶段。在“首次使用——告知同意”阶段,商业App使用者应当向用户作出主动、细化的请求授权行为。当因用户的“不同意”授权导致该商业App的基本功能无法实现时,应采取弹窗的方式向用户示明原因及解决方法,不得采取直接退出软件的“流氓”行为。在“告知同意——个性化告知同意”阶段,若用户在使用中请求享受更多服务但在首次告知同意中未授权的,此时应当赋予用户再次的选择权,即可以选择授权或不授权。
由此,告知同意的动态化构建可以让用户等信息主体由被动变主动,强化用户对其个人信息享有更多控制权与自主权[10],通过具有高度灵活性的告知同意制度来平衡商业App的运营需求与用户个人信息的保护。
2.进一步限定商业App对敏感个人信息的收集和使用
在收集的限制方面,可以采用“等同原则”进行判断,即若商业App所收集敏感个人信息与收集一般个人信息在实现效果上无差别,则可认定为二者效果等同。需要说明的是,在判定效果是否等同的问题上,应针对收集和使用个人信息的效果,而不仅仅是数量。
在一般个人信息的处理和使用上,法律保护了其经济效用上的价值,但对于敏感个人信息,商业App应当秉持“非规定不使用”的谨慎态度。欧盟GDPR第9条便通过明确的列举形式为可以使用敏感个人信息的情形进行了规定,并且采取了“场景化”规制理论。根据该理论,以GPS为主要功能的导航或美团外卖等商业App收集和使用用户的家庭住址,就应认定其违反对敏感个人信息使用的规定。因为家庭住址可能只是用户的出发地或者目的地、送餐的目的地,App在数据处理时完全可以仅把这一数据作为一个普通目的点,而非是对自然人具有强识别性的家庭住址。
(二)执法层面
1.确立统一、体系化的行政监管主体
确立统一、体系化的行政主体既有利于实现行政资源的优化配置,也有利于减轻商业App运营商因重复行政行为导致的过重负担。鉴于前期我国的实践经验,我国国家互联网信息办公室可以承担起个人信息行政监管机关的牵头重任,其他有关机构例如电信、商务主管等部门由原来的各司其职向全面协调转变,从技术检查、监管、商务登记等多个角度形成有机联系的整体,促进形成兼具全局视角和针对性的行政监管体系。
2.加强对商业App信息收集的实质性审查
首先,应加强对商业App收集个人信息的技术表现形式的审查。监管部门作为行政主体,要求其对专业技术进行审查的操作性不强,但可以让监管部门通过对信息收集和使用技术所体现出的可见技术措施进行审查,即上文所述的多次弹窗、手动勾选、个性化设置等。审查阶段应覆盖到商业App上架前、在市场领域时以及退出市场后。
其次,就商业App信息收集、使用条款的合法性进行审查。结合我国《个保法》第17条,在用户首次下载App的初始使用状态下,用户协议、隐私政策中则应具体体现出商业App处理者名称及联系方式、收集个人信息的种类及储存期限、处理的目的和方式以及何时删除、如何保护等内容。
最后,应对商业App信息收集、使用的内容进行监督。商业App的部分功能运行依赖于对用户端信息的收集与处理,所以商业App只需收集使用与服务功能相关的必要个人信息即可。此外,监管机构还需对未经用户同意的“默示”操作进行严厉打击。
(三)倡导同领域商业App中的行业内自律
商业App作为收集个人信息的直接主体,应当在实践中发挥自律规范作用[11]。但考虑到不同商业App功能不同,所需收集和使用的个人信息也不尽相同,由此倡导同领域商业App中的行业内自律是较为现实的。
针对每类商业App提供的服务和功能,可以大致界定其运行过程中所需收集和使用个人信息的范围。以此划定边界,新进入该领域的商业App应当自觉接受该边界的约束,行业内的所有商业App应当积极探索信息的“最少收集、最大效用”。同时也要针对用户协议、隐私政策等文本统一标准、达成共识,方便用户就同领域内的不同App进行比较,以此督促运营商不断重视用户个人信息保护。各运营商之间也应积极开展经验分享,共同促进良性竞争,实现行业内自律。