文｜张明阳

自数据3.0时代来临后，个人信息作为大数据收集和分析的重要支撑，在众多行业中发挥着巨大的作用。但与此同时，个人信息的泄露、电信诈骗的猖獗，也表明了个人信息的保护刻不容缓。本文力求从法律方面在个人信息保护、数字经济发展与事后监督管理追责三者之间追寻一个平衡，为政府管理提供一定的方法论支持。

数字时代已经悄然而至。自计算机出现后的1.0时代起，人类就已经通过计算机开启了经济增长的快速通道。电商等新兴平台迅速崛起，引领了一场新的社会变革。但伴随而来的，则是个人信息的严重泄露所导致和引发的一系列问题。根据中国消费者协会2018年发布的《App个人信息泄露情况调查报告》显示，高达86%左右的个人信息被泄露过，最常见的泄露方式是骚扰电话或短信、诈骗电话等。问题似乎进入了两难的境地。正是通过源源不断的个人数据，才能为大数据分析和识别提供信息支撑，起到降低成本和提高用户黏性的目的。但同时APP对个人信息的获取又在一定程度上加大了个人信息泄露的风险，不利于经济的长久稳定发展。

一、问题的提出

根据《民法典》第990条的规定，其依次提到了身体权、健康权、肖像权、隐私权等权能，却唯独没有 “个人信息权” 的表述。但事实上，个人信息和隐私权在许多方面具有相似性，例如本人不愿意公开的个人信息，如住址等，实际上也可以归属到隐私权的范畴。APP对个人信息的获取，实际上是个体将涉及隐私的部分权利让渡给了APP公司，所以APP公司应该对个人信息承担保护责任。2021年《中华人民共和国个人信息保护法》详细规定了个人信息获取的方法，即基于“同意”规则。

但是现实中APP隐私条款却存在以下问题：隐私条款晦涩难懂，充斥着“法言法语”，存在无人读、不可读、读不懂的窘境；部分APP过度索要权限问题严重，其中大量APP索要通讯录、存储、设备型号等无关权限，一旦不点击同意，那么其余可正常使用的功能也将停用；用户协议动辄上千上万字，据统计，“其中数款下载量过亿次的手机App，平均每款需要用户仔细阅读并同意的协议内容约有3万字左右……”

从司法角度出发，用户协议越详尽、规定越清楚越有利于双方明确各自所属的权利义务。但是从应用法学的角度出发，在APP使用上，字数越多用户反而越没有兴趣进行阅读，实际上恰恰起到了阻碍用户知情权实现的作用。

图1 个人信息泄露黑色产业链

随着数字经济的飞速发展，个人信息会在不同的互联网公司之间进行使用。例如在网络平台订票后，用户的位置信息会被获取，并推送当地的酒店供用户选择。这不仅促进了关联平台之间的合作与发展，也便利了个人的生活和工作。所以往往在用户协议中APP公司会标注出共享信息第三方，将相关共享条款一并展现给用户。但是实际上APP公司并未完全履行自身义务，而是通过“第三方”等字眼来模糊其合法化基础，用户对于其个人信息的走向并不真正清楚和了解，也大大增加了违法犯罪的可能性。

二、我国的路径选择

（一）促进跨APP共享机制的建立

在数字经济时代，必须要做到个人信息保护和经济发展相协调。换言之，即数据的经济价值和个人信息权益之间的价值取舍。基于关联平台之间的数据共享模式，应该采取“三重授权原则”来对信息共享模式进行规制。同时在用户协议和隐私政策中明确列出可能与之相关的关联服务方，而不能笼统或者模糊化的以“第三方”来概括。以时下热门的某款手游为例，在其隐私条款中就明确列出了7个信息关联方，其中也具体列出了每个信息关联方获取玩家个人信息的用途。

（二）将隐私协议/用户条款审核责任前置

根据最新数据显示，应用商店作为应用分发平台，在应用下载渠道按用户来源排序中排名第一，比例最高。对于开发者来说，应用商店具备用户天然信任度高（64.1%），用户下载需求精准、转化率高（55.3%）等优点，是重要的用户来源渠道。 “利益之所在，责任之所归。”因此对于垃圾软件、恶意捆绑、木马病毒等APP，应用商店平台应该起到审核、管理的作用。手机厂商可以设计一套自动审核筛选上架APP隐私协议和用户条款是否存在法律漏洞的AI系统。通过人工智能来最大程度的起到保护个人信息的作用，真正实现技术造福社会。

（三）设立不同的制度审核标准

对个人信息保护法来说，其目的是“在保护个人信息的前提下更好地利用个人信息促进经济的良好发展。”因此，如果对信息处理主体设立过于严苛的义务管理，会有一定的可能导致其僵化和不利于经济的发展。我们可以针对不同类型的个人信息设立不同的保管义务和处理标准。例如对于隐私性极强的、可以识别出个人的数据设定较高的管理和保管义务，一旦造成泄露就对其处以较为严重的惩罚；对于无法识别出具体个人的匿名化、脱敏化信息，可以在一定程度上减轻信息处理者的义务和责任。在个人信息保护的制度建设中，通过类似“欧盟”GDPR立法的“风险为路径”立法模式，我们可以反向督促和引导信息处理者主动将个人信息进行脱敏化、匿名化处理，增加制度包容性，在已有法律法规的强制规范作用下通过柔性的制度规定来更好实现个人信息保护的目标。

（四）完善行政法规，提高个人信息侵权打击力度

民法典中具体规定了侵犯公民隐私权等的赔偿和受害者的举证方式，但现实中往往因为举证困难和收益低导致受害者极少因此而提起诉讼。同时刑事处罚中规定了侵犯公民个人信息罪，同样因为处罚门槛高而并不适用。因此我们应该在个人信息保护领域大力运用行政手段来规制侵权行为。一方面通过政府的行政手段和技术手段提前防范个人信息泄露，减轻公民因此所遭受的损害，另一方面也能为民事举证和刑事处罚提供证据支撑。

三、结语

个人信息在当代已经成为了极其重要的战略资源和经济资源。利用好个人信息，不仅能够为我国的经济发展提供数据支撑，同时对于数据的脱敏化和匿名化处理也能大幅度降低电信诈骗和隐私泄露所导致的一系列恶性案件的数量，维护社会稳定。因此我们需要从源头规范APP隐私政策和用户协议，推进其合法合规发展。其次利用好“三重授权”原则，在不阻碍经济发展、降低效率的前提下最大程度地保护用户的知情权，同时企业应该做好脱敏、匿名标识和处理。最后由政府担任守门员，通过行政力量对违法行为进行打击，最大程度地降低个人维权成本。