App數據安全如何監管

文 《法人》記者 李立娟

用戶對于APP數據安全的擔憂由來已久，但是如何才能真正的解決數據安全的問題，怎樣令監管完善且有效？

在一些非法收集用戶信息的事件中，處置結果往往是相關部門約談企業或者像本次百度被江蘇消保委起訴。但多數的觀點仍認為，約談和公益訴訟，并不能從根本上遏制侵權行為。相對于數據收集可能帶來的利益，上述處理手段幾乎可以忽略。

對于如何做到事前保護體系的完善，北京盈科（杭州）律師事務所方超強律師在接受《法人》記者采訪時表示：“應該看到，國內近幾年對于個人信息保護的立法程序是在不斷加強和完善的，包括《電信和互聯網用戶個人信息保護規定》《網絡安全法》等專門性法律法規的規定，也包括《消費者權益保護法》《網絡交易管理暫行辦法》等特別法律法規中的規定。”

這些法律法規以及部門規章規定了服務商個人信息收集和使用的原則，以及服務商應當采取的信息保護措施、公民針對個人信息的權利和救濟途徑、服務商計算機系統要求、行政和法律責任等。實際上，從整體框架上已經構建起一套比較合理規范的事前保護體系。

方超強進一步說，在實踐中，手機個人信息侵權事件仍然頻發，關鍵在于以下幾點因素：首先，法規與政策的難以落地，比如就用戶注銷權而言，《電信和互聯網用戶個人信息保護規定》早在2013年就規定了服務商應當為用戶提供注銷賬戶服務，但像阿里巴巴這樣的大公司也才在2017年才修改服務協議，給予注銷和過期回收。騰訊提供的QQ產品時至今日也未給予主動注銷服務；其次，細化的標準不足，無法指導服務商落實和完善法律法規規定的義務；再次，執法力度還有待加強；最后，在司法層面上，法院對于判決用戶注冊協議中不當格式條款無效過于謹慎，使得很多對用戶權益有實質性損害的格式條款仍被認定為有效，導致服務商更熱衷于強化格式條款。

應用商店是否應擔責

億達律師事務所董毅智律師在接受《法人》記者采訪時表示，關于App收集用戶信息的行為，第一從立法層面來說，我國還沒有特別明確的法律規定，一般的處理措施是補償或者行政處罰，而不是更有威懾力的懲罰性賠償。但在美國，一般是懲罰性的賠償，而且有相應的判例，這源于兩個國家的法律體制還是有區別的。

第二是職務層面，實際上目前的公益訴訟進行的不是很到位。此前我國曾在多個領域出現過公益訴訟，比如環境公益訴訟，但是一些公益訴訟本身沒有堅持下去，而且沒有真正讓外界了解相關案件的進展或者征集相關的受害人進行信息收集。所以整個程序上和做法上，還是有一些不到位的地方，有待提高。

第三就是一些大的平臺在互聯網行業本身就有一個天然的壟斷性，一般都是數一數二的巨頭企業，每個行業、每個垂直領域都有那么幾家。這種垂直壟斷造成了用戶的可選擇性很小，這就需要監管部門、政府反壟斷部門做出適當的懲罰。

但從目前來看，國內并無可參考和推廣的司法環境，個人信息侵權者不可能承擔過高的懲罰性民事責任，違法成本較低

“像美國、歐洲，對谷歌、微軟進行處罰，都是很大額的處罰。那么我們國家在這方面，實際上是還沒有做。約談是一種進步，這首先是一種認可的，但還是希望在這方面有更為深遠的提高。”董毅智說。

對于App存在侵犯用戶個人隱私的情況，那么應用商店作為用戶下載App的途徑，把關責任如何界定？

方超強在接受《法人》記者采訪時表示，“應用商店”有雙重的身份：一方面，應用商店本身就是App應用程序提供者，其對于使用應用商店的用戶負有個人信息規范收集、利用與保密義務。

另一方面，作為應用服務提供者，對于應用商店內的App安全性、合規性和真實性負有管理與審查義務，同時負有敦促App應用程序提供者落實個人信息保護措施的義務。

“此外，網信辦出臺的《移動互聯網應用程序信息服務管理規定》，對于應用商店服務提供者雖規定有督促義務，但未規定不履行敦促的行政責任，處罰措施等，從行政執法監管而言實如廢紙一般。”方超強表示，《網絡安全法》（第六十八條）雖然對于“應用軟件下載服務提供者”的違規行為規定了行政處罰措施，但僅限于對法律禁止信息傳播的管理失當，并不適用于個人信息的保護。

因此，從行政處罰和責任的角度而言，目前并無行政法規、規章強制要求“應用軟件下載服務提供者”對平臺內App個人信息侵權和違規行為承擔責任，“應用軟件下載服務提供者”不履行敦促義務，不會招致行政處罰。

“雖然目前對于應用商店服務提供者的身份沒有明確的法律規定，但在個人看來，屬于《侵權責任法》第三十六條規定的網絡服務提供者，知道網絡用戶（App應用程序提供商）利用其網絡服務侵害他人民事權益，未采取必要措施的，與該網絡用戶承擔連帶責任。”方超強對《法人》記者強調，“簡而言之，應用商店在特定條件下，應當為App應用程序提供者的個人信息侵權行為承擔連帶責任，尤其是應用商店對相關App做了推薦、宣傳、承諾的情況下”。

董毅智同時對記者說，這種責任是肯定的，“比如華為應用商店里，都明確標明有審核員，這是他們的一個內控管理。所以，作為應用商店，本身其提供的是一種服務，那么就應該保證應用不能夠竊取消費者的隱私，這也是一個法定的義務”。

可嘗試第三方平臺介入

“隱私數據泄露與維權由來已久。”方超強對《法人》記者說，“發生于2010年的Facebook案例中的處理方式非常好，也非常提倡大公司更多地去承擔此類社會責任。”

他進一步說，Facebook的處置方式是協商出來的，而非法律或者法規規定的。Facebook愿意拿出600萬美元的巨額資金成立非營利基金來解決案件，無外乎以下幾個因素：第一，案件敗訴無異于丑聞，對于公司品牌形象和股價或有重大影響；第二，對于個人信息的侵權或面臨高額懲罰性賠償；第三，公司公關手段，扭轉和重塑個人信息捍衛者的形象。

方超強進一步說：“但從目前來看，國內并無可參考和推廣的司法環境，個人信息侵權者不可能承擔過高的懲罰性民事責任，違法成本較低。個人信息泄露的社會負面效益也并不如美國社會的反應那么大，中國公民在這方面的忍耐性也是不恰當地發揮了優良傳統。”

董毅智也認為，這種情況在國外是很常見的，比如說有些訴訟在和解或者調解之后，雙方成立相關的基金會，在我國現在做得還是非常不到位，可以借鑒國外的經驗。

“但是，我們整個制度以及程序上有很大區別。比如在成立基金會后，什么機構來組織基金會？基金會如何監管、如何運作、如何收集相關費用？基金會日常的工作是什么？這些問題我們都沒有相關的規定，也沒有相關的嘗試。”董毅智說。

“但是，我還是認為應該鼓勵相關機構進行一定的嘗試。而且應該允許在這個過程中犯錯，因為剛開始進行嘗試，基于每個國家的國情不一樣，它會有一些不盡如人意的地方，應該允許它犯錯、試錯，這樣的話才能把制度逐步完善起來。”董毅智強調。

“引入獨立第三方進行專門的個人信息保護監管是一個非常好的創意。”方超強對《法人》記者建議道，但是在個人看來，第三方可以是電信主管部門指導的特定社團法人（類似于消協），也可以是商業主體。相對來說，社團法人具有非營利性質，不涉及經濟利益，不存在測評與利益之間的尋租空間。而商業主體，容易將評測異化出“勒索”“付費不公布保護”等行為。

董毅智也認為這是可行的辦法，實際上像測評在IT行業一直就有。測評的核心問題就在于第三方機構盈利模式，如果是純公益性的體制，那么其正常的運營相關費用，該如何產生，這些問題都應該思考。

他進一步說，另一種方式是由政府的財政上劃撥一部分，或者成立行業協會組織第三方機構，又或者是第三方機構是獨立運營、自負盈虧。

“要強調的是，盈利模式是一個痛點，如果盈利模式不解決的話，第三方機構的整個公正性是很難保證的。既然無法保證公正性，那么在市場上的認可度也會受到質疑。”董毅智說。

立法亦待完善

在歐盟，存在通用的數據信息保護條款，相應的權利保護也更加嚴格。最廣為人知的是數據的遺忘權，即用戶在某平臺注銷了賬戶，其留在該平臺上的所有歷史數據記錄需要被同步消除，后期在沒有得到該用戶的授權的情況下，平臺不能繼續給該用戶提供相應的服務。

方超強對《法人》記者解釋道，個人認為，這兩者本質上還是有不同的，應該說“被遺忘權”包含了注銷賬戶刪除個人信息的內容，“被遺忘權”的外延范圍更大。從歐盟與谷歌的相關判例來看。根據“被遺忘權”，個人信息所有人有權要求搜索引擎屏蔽不當消息，而不當消息不單單包括侵權信息，也包括未侵權的信息。而在國內，公開報道過的相關信息，無任何法律依據可以讓搜索引擎商屏蔽或者刪除。

董毅智同時認為，因為遺忘權實際上針對的是不良的信息，或者對個人的隱私產生不好的影響，所以個人可以要求網站把它徹底刪除。而對于App的隱私數據協議實際上是用戶和平臺之間正常的一種服務協議、約定，那么在解除這種服務關系之后，用戶要求把相應賬戶銷掉，從性質上、法律關系上是完全不同的。

方超強進一步說，美國對于隱私權的理解與歐盟不同，更多地建立在自由的基礎上，以行業自律為主導。美國的規定首先無論立法還是司法，都具有一定的滯后性，尤其是在互聯網時代，這一滯后性的弊端就更加凸顯，所以需要行業自律的方式來做及時的調整和補充。

其次，服務與接受服務雙方自愿達成的個人信息利用約定，應當受法律保護，故而立法過嚴，會限定企業的個性與主觀創造性。

與此同時，行業自律不同于企業放任自我，對行業中的單個企業還是具有一定的約束作用，有較好的社會效益。

結合我國的實際情況，方超強對《法人》記者建議道：“可以出臺一部單獨的《個人信息保護法》，而《民法總則》中將個人信息獨立于隱私權，單設一條予以規則，也為《個人信息保護法》的起草和出臺提供了依據和空間。該法主要避免目前有關個人信息保護的法律、法規、規章‘九龍治水’的現象。同時豐富和細化推薦性標準的落地，引導服務商切實貫徹法律。”

董毅智亦認為：我們的問題，就是缺乏一個系統的體系化隱私權法律構架，從法律角度來說，首先應該是《民法總則》上有明確的規定，因為我們的民法典沒有修完，所以與隱私權相關的問題現在是零散的，散落于很多法律規定之中。目前就是單獨突出了一個行業化，因為隱私權屬于行業規范的范疇，就是屬于互聯網這個行業。那么在這個領域又單獨抽出了個隱私權，隱私權的立法根據還是不牢靠的。

“所以，應該首先在主法上，比如在民法上把這個權限確定，然后跟憲法、刑法都銜接起來，然后才涉及下面網絡通信的相關法律。所以說這是一個系統，這個系統的問題不解決，在實際操作中，肯定會出現很多亡羊補牢的事情。”董毅智最后對《法人》記者強調。