李畅畅

(华东政法大学经济法学院 上海 200042)

移动应用作为信息时代的重要载体,不仅便利了人们的工作生活,也带来了个人信息泄露的风险.移动应用是指通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件,简称APP.在个人和APP的交互过程中移动应用企业获取了大量用户数据.用户数据作为生产要素,不仅具有十分重要的经济价值,还蕴含着用户的人格性利益.实践中,企业侵犯用户个人信息权益的事件屡见不鲜.移动应用作为企业处理用户数据的重要渠道,国家高度重视用户个人信息保护问题,并在立法和执法层面采取了多种措施.《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第17条第3款明确要求:个人信息处理者须公开其个人信息处理规则.因此移动应用企业往往通过制定个人信息保护政策来履行自己的告知义务.

移动应用企业通常会利用自身的优势,单方面制定不公平的条款,过分强调自身的权利,而忽视自身应承担的义务.与此同时,企业倾向于制定冗长、繁琐的个人信息保护政策,不仅文字量巨大,而且专业术语繁多,十分晦涩难懂.企业履行其告知义务的目的多在于降低法律风险,满足合规的要求[1].在这种情况下企业获得用户“同意授权”的正当性不足.实践中,APP个人信息保护政策问题频出,目前我国法学界对APP个人信息保护政策缺乏关注,亟待学界对实践中产生的问题进行研究[2].

1 个人信息保护政策概念与性质

1.1 内涵界定

个人信息保护政策这一概念滥觞于美国的1973年《公平信息实践准则》[3].美国的个人信息保护机关认为自己没有足够的能力制定统一的实体性隐私保护规则,因此鼓励企业自行创制隐私政策,并对其进行审查[4].通说认为个人信息保护政策是指互联网企业以在线文件的方式自愿披露其处理用户个人信息的目的、范围和方式等内容,并公示其保护用户个人信息的原则和具体措施,以此让用户决定是否继续使用该产品或服务.虽然实践中对个人信息保护政策的叫法不一,但本文倾向于使用该称谓而不是“隐私政策”.“隐私政策”来源于“privacy policy”的中文翻译.“个人信息”与“隐私”存在内容上的重合,但两者并不相同.隐私针对的是保密层面的内容,个人信息关注的则是信息处理层面的范畴[5].

1.2 个人信息保护政策与用户协议的关系

从广义角度来看,用户协议是指一系列有关用户和互联网平台运营者权利义务的协议.基于商业效率的考虑,企业不会与每个用户单独拟定用户协议,而是事先制定好并直接提供给用户,因此属于典型的格式合同.在早期的商业实践中,企业会在用户协议中通过隐私条款规定相关个人信息保护内容.但是,若把隐私条款视为用户协议的一部分并不利于个人信息保护.《个人信息保护法》兼具公法属性与私法属性[6],个人信息涉及人格尊严和人格利益,为保护用户个人信息,个人信息保护政策的内容不应由双方自主决定,而应由具有强制力的规范来安排.个人信息保护政策所规范的权利义务不同于用户协议,独立设置个人信息保护政策可以体现出个人信息保护政策的重要性,也便于用户查询和阅读.当然,两者并非毫无关系.个人信息保护政策是用户协议的前置性文件,一旦用户停止使用网络服务提供者所提供的网络服务,应当认定用户既解除了网络服务协议,也同时解除了与处理个人信息有关的协议,网络服务提供者无权再依据个人信息保护政策的规定收集、利用用户个人信息[7].

1.3 个人信息保护政策的法律性质

个人信息保护政策的定性争议主要集中在“合同说”和“企业自律说”2个方面.前者认为个人信息保护政策是互联网服务提供者与用户签订的协议.如“隐私政策是建立在双方合意基础上的协议”[8]“互联网上用户与企业之间的种种交易当属合同法规制范畴”[9]等.企业自律说认为个人信息保护政策是互联网提供者的企业自律规则,GB/T35273—2020《信息安全技术 个人信息安全规范》(以下简称“2020国标”)在5.6节中便采此观点.高秦伟[4]认为2种学说并无实际的冲突,前者围绕企业和用户的关系展开,后者则从行政机关和企业的关系层面进行描述.李延舜[10]同时承认个人信息保护政策具有合同属性和企业自律属性,并指出隐私条款还具有社会承诺属性,以此来消除互联网服务提供者和用户之间的不平等.考虑到互联网服务提供者和用户在事实上地位并不相等,从维护用户权利的角度出发,个人信息保护政策应是企业结合自身服务产品定位,在满足法律法规的最低个人信息保护要求上制定的企业自律规则,其目的在于告知用户企业将如何收集、使用个人信息.本文认为,在符合法律法规规定的情况下,用户的同意应当认为是企业和用户依据隐私政策达成协议,其有权据此向互联网服务提供者主张权利.

2 个人信息保护政策中的相关问题

关于APP个人信息保护政策合规性评价,一些学者采用不同的方法对各类应用程序的个人信息保护政策进行合规检测,具体检测方法包括文本分析法、内容分析法、问题卷调查法和机器学习等[11].虽然APP检测方法得到一定程度的普及,但APP个人信息保护政策依然存在规范化程度较低、侵权风险高、一致性和可读性较差等问题.在这些问题中,以下3点尤为值得重视:

1) “知情同意”规则存在缺陷.

“知情同意”抑或“告知同意”是规则还是原则,原则是抽象的,规则是具体的,两者具有本质性差别,考虑到《中华人民共和国民法典》(以下简称《民法典》)第1035条第1款和《个人信息保护法》第17条已经将“知情同意”具体化,因此本文认为“知情同意”是具体规则.通说认为,知情同意规则是指个人信息处理者在处理个人信息前,应将具体处理规则告知个人信息主体并取得同意.不仅如此,APP运营者从事前述活动时还应当满足最小必要原则,即处理个人信息应当具有明确、合理的目的,并应限于实现处理目的的最小范围,不得进行与此无关的个人信息处理.为了满足上述要求,“2020国标”要求APP运营者不仅要在个人信息保护政策中区分一般信息和敏感信息,还要区分基本业务功能和扩展业务功能,这一要求比欧盟的《通用数据保护条例》和美国的《2018加州消费者隐私法》都更为严格.

然而,知情同意规则却存在一定的问题.首先,大多数用户并没有太多的时间、精力和能力去阅读冗长繁杂的个人信息保护政策.企业单方面制定的个人信息保护政策在权利义务分配方面明显倾向于其自身.在信息不对称的情况下,个人信息主体作出的决定并不能达到“帕累托最优”.面对选择较少、市场化程度和规范程度都较低的应用软件时,个人只能作出“同意”的选择.其次,知情同意规则存在内在悖论,个人信息保护政策无法兼顾“充分告知”和“简单易懂”的要求[12].虽然很多APP提供了简易版个人信息保护政策来提高易读性,但用户仍需阅读原版个人信息保护政策才能了解完整的信息.最后,个人信息处理者履行告知的目的多在于降低法律风险,而法律规定和个人期待的目的在于通过设定告知义务来促进个人信息保护,两者存在部分背离.

2) 第三方SDK存在安全隐患.

嵌入第三方SDK虽然可以提升APP的便利性和兼容性,极大缩短APP的开发周期,但也会带来许多安全问题和个人信息泄露的风险.全国信息安全标准化技术委员会秘书处将SDK定义为:对实现APP特定功能的代码进行封装,向外提供简捷的调用接口的二进制文件.而第三方SDK是由第三方软件开发提供商提供的,用以实现软件特定功能的工具包.被封装的第三方SDK上设有简单的调用接口,APP运营者可以在APP中直接嵌入第三方SDK来实现特定的功能.APP运营商通过SDK的接口,将SDK嵌入到APP中.由于SDK具有较强的隐蔽性,用户在使用APP过程中一般无法感知到SDK的存在,除非APP以页面跳转等方式访问SDK提供者的独立交互页面,这就涉及SDK的无感知收集问题.此外,APP运营商与第三方SDK签订的合作协议通常缺少针对数据安全的约束条款.目前,关于第三方SDK的监管仍缺少系统性的安全标准.第三方SDK提供者和APP提供者的职责划分仍存在盲区,法律责任承担也较为模糊.

3) 匿名化不是“万能灵药”.

数字经济的发展不仅需要保护个人信息,还需要确保数据的流通和使用.具有可识别性的个人信息连接着作为主体的人与作为客体的信息,个人信息的处理过程同时也是不断识别特定个人的过程[13].实践中,去标识化和匿名化作为数字技术手段常用来平衡数据利用和信息主体基本权利的保护.从原理上看去标识化与匿名化并不相同.根据《个人信息保护法》第4条,去标识化的信息仍属于个人信息,而经过匿名化处理的信息被认为不具有识别特定信息主体的效果,因此不受调整个人信息相关法律的保护.对于个人信息处理者而言,只要将个人信息进行匿名化处理,便能免除后续流通过程中的合规义务.事实上,匿名化并不能一劳永逸地解决个人信息保护,对个人信息进行匿名化也不能百分之百确保个人信息安全.匿名化不是一个二元概念,不存在百分之百的匿名化数据.匿名化旨在将重新识别的风险降低到某个阈值以下,试图在降低再识别风险和保持数据利用之间找到平衡,但并不能完全消除被重新识别的风险.被匿名化处理的信息在后续的流转过程中,随着可结合信息来源的不断增加以及信息再识别技术的持续进步,现有的匿名化措施可能会被破解[14].有研究表明,利用统计方法建立特定模型便可通过匿名化的数据集准确识别个体身份.该研究由此得出结论认为目前的匿名化技术不足以保护个人隐私[15].虽然有学者提出了匿名化的具体法律标准[16],但目前我国并没有相关规定对个人信息匿名化的具体标准进行规范.匿名化并不是单纯的自动化,对收集的个人信息进行匿名化需要个人信息处理企业投入大量的合规成本,个人信息匿名化标准的模糊性会引发企业进行匿名化标准的“逐底竞争”,不利于个人信息保护.

3 国外的经验和启示:欧美实践

欧盟制定的《统一数据保护条例》对全世界的个人信息保护产生了重要影响.欧盟对数据隐私保护的态度源自其将数据视为独立于公民隐私权的基本权利,随着基本权利发展而来的隐私保护侧重于预防事前的风险[17].欧盟建立了强有力的个人信息公法保护制度,其数据保护机构的执法已经对企业产生了威慑力[18].与欧盟不同,美国通过内涵广泛的隐私权概念对个人信息进行保护[19].美国缺乏联邦层面的统一隐私保护立法,个人信息保护法在州立法和行业立法中呈碎片化状态.如弗吉尼亚州立法层面的《消费者数据保护法》、行业立法层面的《视频隐私保护法》.这些法律都被冠以消费者保护法的名义.在没有专门个人信息立法保护的领域中,美国也是采用消费者保护的模式对个人信息进行一般保护,本质上更接近于合同法保护,即私法保护[6].

美国的消费者保护模式主要依赖于联邦贸易委员会(FTC)的执法.当企业违反自身制定的隐私政策时,FTC可依《联邦贸易委员会法》第5节的规定对其提起诉讼.由于第5节主要是为了防止不公平和欺诈交易行为,因此对个人信息保护的范围有限[3].美国的消费者保护模式决定了用户的个人信息保护依赖于企业自律.然而,面对巨大的用户数据利益,企业并不会遵守隐私政策的规定.随着隐私保护与数据共享利用效率之间的矛盾日益突出,以及欧盟GDPR在全球数字隐私保护领域内的影响愈加深远,美国国内越来越强烈地呼吁制定联邦统一立法.2022年6月3日,美国参议院和众议院发布了《美国数据隐私和保护法》(ADPPA)的草案,该立法草案是第1个获得两党两院支持的美国联邦全面隐私保护提案.从法律层面来看,这项隐私保护法案的通过意味着美国数据隐私保护进入联邦统一标准的时代.

欧盟的严格执法不影响受到损害的个体自行提起诉讼,美国也在积极探寻统一立法途径.结合欧美实践可以看出,在个人信息保护方面,公共执法和私人执法都在互相靠拢,对于个人信息保护同时采取公私法融合的路径更为合适.个人信息泄露造成损害的复杂性决定了其多元救济的公私法融合路径[20].

4 我国APP个人信息保护的规范路径

个人信息兼具人身属性与流通属性,数据流通能实现社会效益的最大化[21],但数据流通与个人信息保护之间存在一定的冲突.在与个人信息处理者交互的过程中,个人实际上处于劣势地位.因此,如何在优先保护个人权益的情况下健全数据流通机制便成为个人信息保护制度发展的核心和关键.目前来看,实践中APP个人信息保护问题频出,因此一方面鼓励企业完善内部合规体系,另一方面发挥公私法融合的路径,在确保个人隐私安全的前提下推动数据流通.

4.1 鼓励企业自律,优化内部合规体系

4.1.1 企业应拥抱监管,完善内部合规体系

企业应当在充分保障信息主体权益的前提下开展经营活动.随着监管执法的加强,企业主体不应当畏惧监管,而应当“拥抱”监管,将个人信息保护真正融入到日常的业务和产品中.目前相关法律法规明确了个人信息处理者的义务,为相关个人信息处理者依法履行义务提供了具体指引.换言之,监管的具体规则并不是为了抑制企业的发展,而是通过监管来引导帮助企业明晰自身的服务和产品的功能,并规范内部合规流程.当前监管要求企业区分其基本业务和扩展业务功能,这就要求企业的法务和合规部门与具体的业务部门进行沟通交流,深入了解企业的数据流动路径情况,这有利于完善企业内部合规体系,降低企业合规成本.企业应当建立个人信息安全事件处置机制,开展个人信息安全影响评估、制定应急预案、开展应急演练案、完善的信息安全管理制度和内部安全事件处置机制等.

4.1.2 企业应加强与用户的沟通交流,完善个人信息保护政策文本

对个人信息处理者而言,个人信息保护政策一方面是其作为告知用户个人信息处理情况的窗口和取得个人信息主体合法授权的重要渠道,另一方面体现着个人信息处理者对相关法律法规的合规程度.个人信息处理者应当在个人信息保护政策中以显著方式、清晰易懂的语言真实,准确、完整地向个人告知相关处理事项,不应隐瞒产品或服务中含有的收集个人信息的功能.个人信息处理者“告知”不充分可能会影响其处理个人信息的合法性.基于商业效率的考虑,个人信息保护政策是由个人信息处理者提前单方拟定的格式文本,难以全面考虑到用户的意愿,缺少实质的双方合意过程.因此,企业应当倾听用户的建议,拓宽与用户的交流渠道.个人信息主体享有解释说明权,企业应当在法定期限内及时对用户的疑问进行解答.相关研究表明,如果个人信息保护政策文本以默认自动显示的方式展示给受众,相较于提供点击链接的方式,其内容更容易被仔细阅读和充分理解[22].企业可以积极探索个人信息保护政策内容可视化,在个人信息保护政策文本中增加图示类内容或者扩大图示内容的占比也能够有效降低读者的认知负荷,提高阅读后的效果[23].

4.1.3 企业应强化对第三方SDK监管

企业应从事前、事中、事后3个方面对第三方SDK进行全流程监管.事前,企业的业务部和法务部应该共同与第三方SDK进行充分的协商和沟通,审核评估安全风险,签订带有专门的数据安全约束条款的合作协议,并明确第三方SDK数据处理范围,建立双方信息安全机制,明晰双方承担的法律义务和责任.事中,企业通过自身数据安全部门或第三方专业机构定期对第三方SDK进行技术检测和安全核查,评估安全机制落实情况,对第三方SDK的违规行为及时进行处理和惩处.事后,企业应当督促第三方SDK按照合作协议,删除或匿名化处理共享或收集的用户个人信息.此外,企业应当提供退出机制以供用户选择.当用户选择拒绝适用第三方SDK提供的服务时,个人信息处理者应当禁止第三方SDK处理相关个人信息.个人信息处理者应对其处理的个人信息做到全生命周期负责.在取得用户同意的情况下,个人信息处理者将信息通过去标识化处理后共享给第三方时,应当与第三方约定不得利用所接收的数据进行还原.

4.2 强化私力救济,完善事后救济

知情同意规则存在些许问题,但其仍是个人与信息处理者之间冲突的最小化成本解决方式[24].在当前法律已经明确知情同意规则的法律地位的情况下,考虑到个人和信息处理者之间存在实力地位不对等的现实,经过用户同意的个人信息保护政策应被视为个人和信息处理者通过电子数据交换形式达成的格式合同,从而可以适用《民法典》和《中华人民共和国消费者权益保护法》的相关规定对个人进行保护.此外,现有的侵权救济体系并不利于个人信息保护,信息主体往往难以证明其遭受了财产和精神损害.叶名怡[25]指出大数据技术的发展加剧了个人和信息处理者之间的强弱对比,亟需在个人信息侵权领域重构侵权法体系框架.从合同规范角度来看,个人信息处理者有义务按照个人信息保护政策的约定处理个人信息.如果个人信息处理者违反个人信息保护政策的规定处理个人信息,个人有权要求个人信息处理者承担违约责任.适用违约责任可以有效弥补现有救济方式的不足,重塑个人信息主体与企业的平等关系并促进企业自律[2].例如,若个人信息保护政策中存在不合理不公平的“霸王条款”,用户可以根据格式条款的规定予以救济.

4.3 健全公力执法,实现常态化监管

从比较法来看,我国的《个人信息保护法》是一部立足本土国情具有中国特色的个人信息保护法律[6].《个人信息保护法》在总结先前立法和实践经验基础上形成了一套具有可操作性的专门规范体系.然而,这也意味着切实保护信息主体的个人信息权益需要公权力发挥主导作用.《个人信息保护法》第6章明确提出履行个人信息保护职责的部门要主动介入个人信息处理活动并积极履行相应法定职责.主管部门应该通过调整部门规章和出台规范性文件进一步将《个人信息保护法》相关制度进行具体的细化与落实.与其他国家设置独立监管机构不同,我国采用统筹协同机制的个人信息保护监管体系.根据《个人信息保护法》,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,国务院有关部门在各自职责范围内负责个人信息保护和监管管理工作.在地方层面,县级以上地方人民政府有关部门履行个人信息保护和监督管理职责.相比单一监管机构,协同治理需要各部门对实践中遭遇到的问题进行积极沟通,在法律法规的授权范围内做好个人信息保护和监督管理工作.中央和地方应在执法尺度和标准方面保持一致,以形成包括行业监管和地方监管的双重监管体系,确保执法的稳定性和可预期性.

从目前的情况来看,我国缺乏常态化的行政监管机制.移动应用行业迅速发展,短期内还会产生诸多问题,国家的短期专项治理依然有必要.但从长期来看,国家应当建立常态化监督机制,制定相应执法或者监管的指南,完善行政执法部门和管理部门之间的协调互动机制,从突击整治转移到长效治理,从事前监督转移到事中、事后监督,注重数据流转的全生命周期监管.当前,第三方SDK问题突出,APP提供者自身没有能力对第三方SDK进行实时管理,相关部门应当界定两者的责任边界,并制定相应的技术管控措施.面对APP数量的井喷增长,国家应当运用人工智能、大数据等新技术手段进行APP自动化检测.监管机构应制定适当章程规范检测流程,及时与APP开发者交流,指导其对个人信息处理机制进行修改和重新测试.

5 结 语

个人信息蕴含着信息主体独立的人格利益,同时也含有重要的商业价值和公共价值,需要在保护个人信息的前提下寻求个人信息处理者和社会公共利益之间的平衡点.为解决APP个人信息保护政策中存在的问题,需要进一步坚持“以人为本”的个人信息保护观,需要相关企业切实遵守其与用户间就个人信息处理达成的协议,明确双方在合同项下的权利义务关系,并不断优化内部合规体系,落实法律法规要求.而在此过程中,国家不仅需要扮演监管者的角色,更要引导和帮助企业把好信息安全关,确保网络信息服务环境的良性循环.