手機APP服務提供者信息收集的行政保護機制擬態

徐璐瑤 白書豪 趙楠楠 劉軍 戴莉娜

摘 要：據悉，至2018年底，我國上架的移動手機應用APP數量近500萬款，位居全球第一。然而，快速發展勢必導致良莠不齊，2019年上半年，有數據顯示：中信辦停辦下架、關停的手機APP記約3萬款。從其法律規制路徑來說，《侵權責任法》第三十六條及《刑法》第二百八十六條和第二百八十七條都有相關規定，可謂民刑俱全。但在行政法方面，我國行政法規范還未對個人信息的收集、處理和使用有相應具體的規定。因此，擬對手機APP服務提供者收集信息在行政法意義上的保護進行研究，通過確立信息收集的準入機制、加強手機APP信息監督、指派個人信息專員、建立被遺忘權的本土化機制，來實現手機APP服務者信息收集的行政法規制路徑。

關鍵詞：手機APP服務提供者；信息收集；行政法保護

基金項目：西北民族大學國家級大學生創新創業計劃資助項目“手機APP服務提供者的法律責任類型化研究”（202010742005）

改革開放的四十多年，尤其是近幾年，我國的大數據和“互聯網+”產業蓬勃發展，催生了淘寶、美團、滴滴打車、微信、微博、QQ等滿足人們吃穿住行游等多方面需求的與互聯網信息相結合的個性化服務APP。這些手機APP服務提供者一方面根據個人信息來提供私人訂制化服務，另一方面可能濫用公民個人信息來從事非法活動，為自己謀取非法利益。不久前，中國消費者協會發布的有關報告反映出在網絡互聯的時代，個人信息泄露的情況屢屢發生，形勢嚴峻。這些APP在提供方便的同時，也因過度方便而容易泄露包括手機號、通話記錄、身份信息、姓名、個人偏好等隱私數據，為網絡犯罪活動留下可乘之機。

信息泄露究竟有多猖獗？2018年，Facebook為幫助特朗普競選，非法販賣近700萬條信息用于政治導向分析、操控大選。“劍橋分析”事件并不是唯一一次，在此之前，Facebook也曾多次被曝光泄漏用戶個人信息，但這次的“劍橋分析”事件成為Facebook成立以來最大的一次個人信息泄漏丑聞。

全世界的數據泄露問題之所以引起軒然大波，是因為人們正處于大數據時代，隨時與網絡信息接觸，說不定就是下一個信息泄露的受害者。只有加強個人信息保護，防止手機APP服務提供者對信息數據的非法利用，才能應對大數據運用對個人信息帶來的威脅，保護每個公民的利益，才符合我國建設法治國家的要求。其中，行政法對個人信息的保護格外重要。但是縱觀我國行政法領域，對其的研究少之又少，而條文性規定僅在于概括，只起到綱領性作用，因此，需要對其進行更深一步的研究。

1 我國個人信息的行政法保護現狀及問題

目前，我國的刑法與民法對信息保護都有規定。例如在刑法方面，《中華人民共和國刑法》第二百八十七條之一、二[1]以及《中華人民共和國民法總則》[2]、《侵權責任法》中都有相關規定。但這些規定大多屬于事后保護和個案保護，一旦手機APP服務提供者擅自使用公民個人信息進行非法交易，在一定程度上，事后保護不足以起到相應的保護作用。運用行政法對個人信息進行保護，相對來說不僅能事后保護，還能起到事前、事中的保護效果。行政法可以利用其本身的公權力對非法收集個人信息的行為進行制裁。由此可見，個人信息的行政法保護至關重要。如今，關于行政法保護的依據分散于憲法、法律、行政法規、地方性法規、規章等，但真正意義上的行政法保護的專門立法還未出現。

1.1 現狀

1.1.1 憲法的相關規定

憲法是我國的根本法，為公民個人信息的行政法保護提供了基本依據。《中華人民共和國憲法》第三十三條就是關于國家對人權的保護。個人隱私權利屬于人權一類，理應受到保護；第四十條“中華人民共和國公民的通信自由和通信秘密受法律的保護”等也都為公民的個人信息保護提供了間接依據。

1.1.2 其他法律的相關規定

2012年12月全國人大常委會作出的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》中，對有關主管部門職責進行了規定。《中華人民共和國網絡安全法》也對網絡服務提供者違反規定、濫用公民個人信息的行政責任以及行政機關的相應職責作出了規定，如第六章法律責任中大部分都涉及了服務提供者的行政責任：責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照等。

2019年12月20日，全國人大常委會法工委發言人岳仲明在北京說，中國將在2020年制定個人信息保護法、數據安全法等[3]。目前，只有相關學者撰寫了《個人信息保護法（專家建議稿）》，如中國人民大學法學院張新寶教授在他的建議稿中，第六章至第八章明確在政府監管體制方面，試圖構建以網信部門為主導的統籌協調機制，規定了網絡服務提供者相應的行政責任。

1.1.3 行政法規、地方性法規、規章的相關規定

《中華人民共和國電信條例》作為行政法規，對電信用戶的信息秘密保護作了相應的規定，如第六十五條規定任何人除因國家安全或者追查刑事犯罪的需要由公安機關、國家安全機關或者人民檢察院依法辦事外不得對電信內容進行檢查。此外，《江西省電信條例》《江蘇省信息化條例》等地方性法規和《電信和互聯網用戶個人信息保護規定》《互聯網新聞信息服務管理規定》等部門規章都有所規定。

1.2 問題

1.2.1 缺乏一體化法律機制

從我國關于個人信息保護的立法現狀來看，個人隱私信息以及網絡服務提供者的法律責任還處于單行立法狀態；就行政法意義上來看，還未出現《個人信息保護條例》或者更高層次的《個人信息保護法》，未有體系立法。雖然在十三屆全國人大常委會上，發布了有關立法計劃，個人信息保護法也在其中，有關立法部門正在起草這部法律，但從各方專家建議稿來看，還有一定的爭議。此外，個人信息保護法的出臺可能受2020年疫情的影響。

1.2.2 條例規范籠統化

無論是憲法、法律，還是法規、規章，都存在大量有關服務提供者收集公民信息的原則性條款，例如《電信和互聯網用戶個人信息保護規定》的第五條[4]。另外，行政機關對網絡服務提供者收集屬于公民個人信息的規定不夠詳細具體，如《電信和互聯網用戶個人信息保護規定》第十八條[5]，這項條款規定網絡服務提供者及信息控制者負有對信息的保密義務，卻未規定違反保密義務應承擔的法律責任，使保密條款變成了一項“僵尸條款”。總之，由于行為準則的缺乏和安全管理制度的不完善，有些手機APP服務提供者選擇了最便捷的信息采集方式，同時，對所收集的信息沒有進行妥善保管，進而導致大量個人信息的泄露。

1.2.3 職責錯位、監管不當

在很多法律中都提到了有關主管部門或機構對網絡服務提供者非法收集信息的行為進行處罰，但其實，這個“有關部門或機構”所指很不明確，容易導致各機關在承擔責任時相互推諉。目前，我國是由工業與信息化部門、工商部門、金融監管部門、公安部門等來對個人信息進行保護。首先，就會出現多機關重復處罰情況，影響網絡服務提供者以及公民個人的利益；其次，不同的監管機關各自行使職權，導致監督標準不一致，監督成本大幅度上升；再者，對非法交易個人信息的行為需要多方聯合執法，如果沒有明確各方職責，就難以有效地進行聯合執法；最后，權責界限不明可能會造成互相“踢皮球”的情形。此外，有關機關進行監管時也只是敷衍了事，處罰力度不夠，總會出現“檢查一次后又有信息泄露事件發生”的情形。

1.2.4 “通知-移除”制度不夠健全

《最高人民法院關于審理涉及計算機網絡著作權糾紛案件適用法律若干問題的解釋》中確立“通知-移除”歸責，《侵權責任法》第三十六條僅規定，明確知道侵權行為發生或者接到權利人的通知后，及時采用有效移除制止措施的可以免除責任。但對于通知的要件、內容、形式、責任承擔仍未明確，同時，未規定網絡服務提供者能夠采取必要措施的方法，對詞語含義也無明確規定，“及時”“必要措施”的標準過于籠統，因此，無法確定網絡服務提供者是否有效地履行了義務。

2 個人信息收集的行政法解決措施

2.1 確立信息收集的準入機制

手機APP服務提供者要收集信息，就必須有一定的準入資格。目前，存在準則主義和許可主義兩種。準則主義是指網絡服務提供者僅需申請，經過有關機關的形式審查批準即可；許可主義是指必須經過有關機關實質審查許可后才可從事信息收集行業。本研究認為應當以準則主義為主、許可主義為輔。以準則主義為主，符合近幾年來我國各級政府推行簡政放權的要求，能夠減少審批費用，利于政府和公民雙方。但涉及某些特殊行業如征信業，因牽涉社會重大利益，必須采取許可主義，涉及國家秘密更應如此。

另外，在申請準入資格時，要明確自己收集個人信息的目的以及范圍。收集目的和范圍必須是基于自身性質和業務需要而確定的。有關主管部門必須嚴格把控，并結合申請者的資質進行審查。如果發生了像采集個人信息進行詐騙活動這樣超越被批準的收集目的和范圍的行為，有關主管部門必須及時予以行政處罰。

2.2 對手機APP的隱私政策加強監督

隱私政策是個人信息保護鏈中的重要環節，主要是手機APP服務提供者等制定用戶隱私保護條款，其中明確規定了服務提供者將如何收集、處理和使用用戶的個人信息、用戶個人對數據享有的權利及其行使方式、企業應承擔的個人信息保護義務等一系列內容[6]。這些隱私政策會在用戶初次使用時予以展示，但也存在隱私政策流于形式、難以找見以及因內容繁雜用戶不能夠仔細閱讀等情形。2020年3月16日，天津市網信辦通報在7款疫情防控APP（或小程序）中，無隱私政策、收集用戶身份信息未告知使用目的且逾期未填報相關信息的行為竟普遍存在。在之前，中央有關部門已經對多款APP產品的隱私政策進行了抽查。例如在2018年，工信部等有關部門對一些手機APP服務提供者進行了調查。隱私政策方面出現的問題很多，就更需要有關主管部門進行監督，應定期開展評審活動，擴大評審的范圍，覆蓋更多的手機APP產品，并要求評審中不符合標準的手機APP服務提供者要完善自己的隱私政策，并且及時報告給有關主管部門。更重要的是，應制定有關隱私政策的統一標準和條款，將事前規范與事后監督有機結合，讓隱私政策真正起到作用。

2.3 指派個人信息保護專員

我國對手機APP服務提供者收集信息行為的監督采取的還是指定某個機關或者其某個部門進行監督，但粗糙式的管理會造成監督效率不高、“漏網之魚”出現，所以，指派專員對服務提供者進行精細化控制很有必要。從全球范圍來看，歐盟的一些條例中已要求符合某些特定情形的信息控制者和信息處理者必須設立數據保護專員，數據保護專員必須具備一定的任職資格，在這種任職條件下按照相關法律法規規章的規定行使好自己的職責。如果有關手機APP服務提供者沒有按照法律收集個人數據，該指定的個人信息保護專員也要受到相應的處分。我國暫時還未出現這種專員制度，但目前在別的領域，如河長制、湖長制等，出現了專員制度。在網絡高速發展的時代，必須要安排專員對網絡服務中出現的收集信息的行為進行監督。個人信息保護專員首先必須要具備一定資質，如懂得電子信息方面的知識、了解相關的法律法規并且還要有一定的實踐經驗。對于規模較大的手機APP服務提供商，就要安排一個專員來進行管控，規模較小的，可以共用一個信息保護專員；此外，專員必須要定期進行每日檢查、每月檢查、季度檢查以及年度檢查，如果信息保護專員包庇非法行為，要與手機APP服務提供者承擔連帶責任。

2.4 被遺忘權機制的本土化適用

被遺忘權是指信息控制者在個人信息主體要求信息控制者刪除個人信息數據的情況下刪除信息[7]。目前，歐盟的《數據保護通用條例》已經詳細規定了這項權利。在歐盟法院的有關判例中，認定居民有權迫使網站和搜索引擎移除指向不切題的或者是過期信息的鏈接。最近，瑞典數據保護局對Google公司罰款，原因是其沒有按照規定遵守被遺忘權規則。在國內，首例“被遺忘權”案是任甲玉訴百度案[（2015）一中民終字第09558號]，任甲玉主張“被遺忘權”，要求百度公司刪除其在某機構信息的相關搜索。雖然以任甲玉敗訴告終，但從側面說明“被遺忘權”引入我國的必要性。我國引入“被遺忘權”機制需要包括刪除和限制兩個方面：如果手機APP服務提供者收集信息超出了其收集的目的與范圍、信息主體撤回作出的同意和信息的不恰當、過時、無關，信息主體有權要求信息控制者（服務提供者）采取手段刪除相關信息；但是如果涉及國家機密等情形，信息控制者可以不刪除相關信息。被遺忘權的有效行使，還需要有關行政主管部門的支持與協助，對于侵犯公民被遺忘權的，有關機關應采取行政處罰等措施。

[參考文獻]

[1] 張鴻霞，鄭寧.網絡環境下隱私權的法律保護研究[M].北京：中國政法大學出版社，2013.

[2] 李迎寒.侵犯公民個人信息罪中“公民個人信息”的界定—以手機APP收集并使用公民個人信息為切入點[J].湖南警察學院學報，2019，31（3）：71-78.

[3] 高盛文.謹防手機APP過度采集個人信息[N].解放軍報，2019-05-18（6）.

[4] 盧曉慶.大數據時代個人信息的行政法保護[D].杭州：浙江工商大學，2018.

[5] 朱穎.我國移動APP隱私保護政策研究—基于96個移動應用APP的分析[J].暨南學報（哲學社會科學版），2017（12）：107-114.

[6] 代蘭.從商標法的角度論手機App的保護[J].重慶廣播電視大學學報，2017（3）：68-73.

[7] 楊立新，韓煦.被遺忘權的中國本土化及法律適用[J].法律適用，2015（2）：24-34.