政府监管APP强制搜集个人信息行为面临的困境与对策

2022.10.29

祁雯　柳青利

关键词 APP 强制搜集个人信息政府监管改进路径

基金项目：本文系2019年度江苏省高等学校大学生创新创业训练计划项目：大数据时代下APP强制搜集用户信息的风险防范和法律规制（项目编号：201910329020Z）的阶段性成果，受江苏高校优势学科建设工程项目（PAPD）资助。

作者简介：祁雯、柳青利，江苏警官学院法律系学生，研究方向：行政法。

中图分类号：D630 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻标识码：A ? ? ? ? ? ?? ? ? ? ? ?DOI：10.19387/j.cnki.1009-0592.2020.03.292

第三次工业革命使人类从电气时代进入信息时代，并且伴随着中国经济的飞速发展和互联网技术的巨大进步，信息搜集和数据共享已成为常态，尤其是网络APP方面。然而，网络APP对信息的过度搜集，使得公民的隐私都袒露在公众视野下，直接影响公民的身心健康。因此，如何保护个人信息安全，成为目前亟需解决的问题之一。一、政府监管APP强制搜集个人信息行为的职责体现

伴随着信息化和网络化的快速发展，云计算、数据共享等高科技手段已经渗透到了各行各业，虽然给我们的生产生活带来了便利，但也给我们带来了一些困惑。其中，网络APP就是一个典型例子，在让我们享受优质服务和便捷生活的同时，也让我们的个人信息在无形之中被强制搜集并被泄露。政府存在目的是为了公共福祉性，就是要保障公民的生命、财产和自由。因此，政府有必要履行监管APP运营商的职能，防止强制搜集和泄露个人信息的现象屡次发生。

（一）政府负有保障公民人身财产安全的职能

目前，网络APP强制授权，超范围的搜集个人信息，甚至还违法违规的进行使用和泄露。信息“裸奔”后，公民的日常生活势必会受到不良影响，他们可能会接到骚扰短信或者骚扰电话。除了电话号码，有些不法分子甚至对公民个人基本信息都了如指掌，如姓名、家庭住址、工作单位、月薪等，更有甚者对家庭成员也调查的十分清楚。这种调查信息来博取信任或强制消费的行为造成了APP使用者内心的恐慌以及个人信息和财产的大量流失，并且在使用支付宝等金融理财类APP时，强制信用卡绑定等也侧面显示出个人财产的不安全性。这些都在一定程度上造成了社会秩序的混乱，公民的正常生活仿佛被“监视”一般。而政府作为国家行政机关，负有维护社会秩序的职能，应当提前对相关APP运营商进行监管，对私自泄露用户个人信息的运营商进行严厉惩治，以保障公民的人身财产安全，维护社会秩序的稳定。

（二）政府负有维护市场经济秩序稳定的职能

部分网络APP开发商、运营商在搜集用户个人信息的过程中发现了一些“商机”，他们发现当个人信息被作为一种商品在市场上进行交易时，会给他们带来可观的经济利益，但是这会给用户的日常生活带来极大的不便。如今我们处于大数据时代，个人信息并不是说绝对禁止交易，但是个人信息的交易应当以不损害他人安定生活为前提。在信息化时代，信息可以产生价值，但是价值必须是合法条件下运行下的价值，不能在没有任何原因的情况下将用户的个人信息出售给他人①。政府作为公权力机关，对于个人信息保护市场失灵现象，可以发挥市场监管职能来对市场进行适度干预，对此类行为进行有效遏制，进而重新稳定市场秩序，保证合理、公平交易。

（三）政府负有促进社会善良风气养成的职能

每个行业都要有一个完整且有序的行业体系，互联网行业也不例外，但现如今的互联网行业，缺乏行业自律、缺少社会责任感，彼此间恶性竞争，形成了强制搜集个人信息等的行业风气。政府的社会化服务和监管职责不到位，使得各行业缺少有关部门的规制，助长了强制搜集个人信息的风气蔓延，公民生活在这样的社会中缺少了享受社会服务的同时，也缺少了个人信息的安全性。因此需要政府运用相关职能来制定相关法律法规来引导行业自律，并且制定相关法律法规扶持行业协会的发展，引导公民自发形成组织来保护个人信息安全。二、政府监管APP强制搜集个人信息行为面临的困境

大数据时代，很多APP在为人们提供便捷的同时也要求获取用户的个人信息，例如像天气预报、手电筒这类生活必需却又功能单一的网络APP，在安装协议中也提出要读取通讯录。事实上，很多时候APP对个人信息的搜集都是不必要的，相反，APP过度搜集个人信息反而会导致个人信息的泄露。政府作为社会秩序的管理者，应当对此类行为加以规制，然而，相关监管制度的不成熟，导致目前政府监管APP强制搜集个人信息行为的效果不佳。

（一）政府监管缺少健全的法律制度

现行法律法规中涉及个人信息保护的条文有200多条，但是却分散在数十部法律、司法解释、行政法规和部门规章中，尚未形成完整的法律体系②，因而对个人信息的保护达不到应有的效果。例如，宪法规定了“国家尊重和保障人权”“公民的人格尊严不受侵犯”“公民享有通信自由和通信秘密的权利”等内容，但宪法的上述原则性规定目前在具体的法律法规中尚未得到落实，以至于现实生活中的个人信息安全的问题并没有得到解决。

对此，我们认为，在我国，对个人信息保护的现有法律框架内进行“修修补补”式的“优化”已经难以应对大数据时代给个人信息保护带来的风险和挑战③，我国迫切需要一部专门的《个人信息保护法》来对此类现象加以规范。就《个人信息保护法》的具体内容而言，应当先解决以下两个问题：

一是个人信息的范围界定问题。简单来说，就是《个人信息保护法》保护的是哪些信息，在大数据时代的背景下，和传统的个人信息的界定又有何不同。个人信息的范围界定是《个人信息保护法》制定的基础。

二是个人信息的财产权和人格权的法律属性划分问题。毋庸置疑，个人信息具有识别特定个人的功能，因此它属于人格权。但是在大数据时代，个人信息作为数据被处理，分析以及贩卖，经营者可以从中获取利益，这又使得个人信息同时具有了财产权属性。因此，当APP强制搜集用户信息致使个人信息受到侵犯时，责任该如何归属，在《个人信息保护法》中应当有明确细致的规定。

（二）政府监管缺乏专门机构和标准

一是缺乏强制性的监管标准。随着网络APP的广泛应用，我国针对网络APP强制搜集个人信息的问题制定了国家监管标准，例如2013年实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》。但是，这些监管标准在个人信息使用监管过程中仅仅发挥着指导性的作用，而不具有必要的强制性，使得该标准执行效力低下，从而导致政府监管也仅仅是流于形式④，无法从根本上解决问题，用户个人信息安全也因此得不到相应的监管与保护。

二是缺乏统一的监管机构。目前，我国个人信息保护工作由多方共同管理，缺乏统一部门的监管。许多行政机关都负有监管职责，如工业和信息化部、国家信用办公室、公安部、国家工商行政管理总局、商务部、中国人民银行、中国银行业监督管理委员会，中国保险监督管理委员会和中国证券监督管理委员会等。个人信息、个人隐私、个人数据等由不同部门进行管理，由于缺少统一的监管部门，并且各个部门管辖范围、政府职能各不相同，就会造成在出现个人信息泄露问题时，造成各部门权责不清、互相推诿，以至于产生监管重叠、监管漏洞乃至无人监管的情况。因此亟需建立权责明确的专门监管机构来对个人信息保护的问题进行统一管理。

（三）政府监管缺乏完备的审查过程

我国对于个人信息保护问题的管理方式比较被动，监管审查存在重视事后审查，忽视事前、事中审查的问题。很多时候，监管部门都是被动地处理个人信息泄露的问题，而不是主动进行审查。在发生个人信息泄露问题时，相关政府部门没有严格执法，惩罚措施相对单一，程度上也不够严厉，主要是通过行政手段来进行监管，例如罚款或者责令整改。但是传统的行政手段不能很好地适应大数据时代，反而会导致个人信息被延迟保护。就事前监管来说，我国尚未建立数据交易的准入制度，一些不法分子就会从中牟利。在事中审查方面，个人信息被APP强制搜集的过程中存在被泄露的风险，但是这种信息被侵犯往往十分隐蔽，现有技术不能很及时地发现。归根结底，我国还没有形成一套完整有效的事前、事中、事后审查体系。

即使是我国相对重视的事后审查也存在些许问题，例如公民个人信息被泄露后的救济渠道不是十分畅通。对于最近兴起的网络APP，政府并没有改变传统的市场经济管理模式，仍采用传统的管理模式，缺乏对网络APP的监督管理。当公民遇到信息泄露、网络欺诈等问题，其合法权益受到损害时，不能通过正确的渠道或平台来表达自身意愿、维护合法权益⑤。即使有相关惩罚措施，但惩罚力度不足只会使违法企业和不法分子不惧怕违法后果，进而愈发猖獗，肆意收集、泄露用户的个人信息，违法行为更难禁止。

（四）政府监管缺乏有效的自律引导

根据我国2013年实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》的规定，在搜集和使用敏感个人信息之前，必须获得其信息主体的明确授权。但是在实践中，我们可以发现，除了一些大型互联网公司制定了相对严格的信息安全准则和个人信息标准外，中小企业管理松懈，缺乏严格的行业规则。在企业的行业自律机制中，大多采用在网站或者客户端发布隐私保护声明的方式。但是由于政府制定标准缺乏强制性，相关声明也有待规范。比如，一些网站提出的“无信息，无服务” 的做法，其实质上属于霸王条款，运营商不应强制要求用户提供过多信息⑥。政府监管力度不足，使得相关企业没有将个人信息保护作为其重要指标加以规范，而行业自律制度也难以形成并发挥作用。三、政府监管网络APP强制搜集用户信息行为的改进路径

（一）健全政府监管的法律规范体系

目前，我国最迫切的就是制定一部专门的《个人信息保护法》对个人信息泄露日益严重的问题加以管制。在这部法律中应当明确个人信息的概念界定问题，个人信息受到侵犯的责任归属，个人信息被泄露后的救济途径等问题，提高对个人信息保护问题的针对性。在立法时，可以借鉴其他国家的相关先进理论来完善该法律，应当充分考虑我国国情和时代背景，制定符合我国国情的法律法规。同时，以《个人信息保护法》为核心，完善相关配套法律法规，形成完整的个人信息保护法律法规体系。既要保证《个人信息保护法》与刑法、民法、行政处罚法等有关个人信息保护的规定相辅相成，相互照应，不能相互抵触，也要由国务院、地方政府制定《个人信息保护法》的实施条例、实施细则，以保障《个人信息保护法》的操作性和针对性，从而形成一个完整有效的个人信息保护的法律规范体系。

（二）构建专门的政府监管部门

构建专门的政府监管部门，明确他们的具体职责，并赋予他们行使相关职责的权力，可以有效防范多部门执法带来的监督不力问题。例如，2015年日本《个人信息保护法》修正案设立了个人信息保护委员会，该委员会由日本内阁总理大臣直接管辖，可以独立行使职权。它主要负责妥善处理个人信息，保护公民相关利益，同时兼顾个人信息在推进经济和市场交易方面发挥作用。个人信息保护委员会成立后，对日本政府保护公民个人信息起到了很好的效果。面對网络时代公民个人信息受到损害的严峻现实，我国有必要构建专门的公民信息保护机构，并赋予这个专门机构监督权，有权对已收集或正在收集个人信息的行政机关或社会组织进行情况了解和检查。对于侵犯公民个人信息行为可能涉及构成犯罪的，专门的公民信息保护机构应当移送司法机关追究刑事责任。

（三）改善政府监管的审查过程

健全监管审查过程最主要的就是建立完善的“事前—事中—事后”审查过程。首先，事前应制定严格规范的数据交易的准入制度，提高市场准入门槛，防止不法分子进入相关市场;其次，事中重视对个人信息利用的调控与监管，有效管制网络APP强制搜集用户信息过程中对用户个人信息的泄露;最后，事后加强调查与处罚力度，从而多层次、全方位地保障用户个人信息安全⑦。同时，政府应当加强相关方面的教育，告知公民可以向政府寻求帮助。政府还应加强内部管理，政府信息主管部门收到投诉后，应当依法进行调查，要求经营者告知搜集信息的目的，在经营者违法的前提下，给予警告、罚款、吊销营业执照、责令停产停业等行政处罚，并且要求赔偿公民的人身或财产损失，切实保障公民的个人信息安全。

（四）强化政府引导行业自律

从整个社会的发展趋势来讲，一味依靠政府的监管会造成行政资源的浪费，因此需要行业内部形成保护组织来分担监管的职责。首先，政府需要制定相关法律法规来引导行业自律。政府应当重视行业协会的建立与发展，制定相关法律法规来扶持行业协会的发展，例如给予一定的税收优惠政策，并且推动行业协会建立专门的个人信息保护机构。行业协会需要制定自律公约来对自身进行约束，在公约推出前，行业协会应积极与政府进行探讨，让政府进行宏观调控。其次，政府应该赋予行业协会一定的权力来提升他们的自律能力，但同时也不能忘记对行业协会行使职权的监管。例如政府可以赋予行业协会一定的权限制定奖惩措施，对于侵犯个人信息的企业，可以实施批评教育、公开曝光等惩罚，以更好地保护个人信息。

注释：

①魏园园.从行政法角度分析个人信息保护[J].现代农业研究，2018（9）.

②杨晓辉.大数据时代个人信息保护的多中心治理路径探析[J].中共乌鲁木齐市委党校学报，2019（1）.

③胡元聪，张馨予.政府干预视域下人工智能时代的个人信息保护[J].征信，2019（11）.

④姚芝.大数据时代个人隐私安全保护问题研究[J].创新科技，2018（5）.

⑤王海容，张冰斌.我国个人网络信息保护法治化进程中的政府责任[J].法制与社会，2017（28）.

⑥周庆山.完善我国个人信息保护管理制度的思考[J].社會治理，2018（1）.

⑦丁西泠.大数据时代个人信息的法律保护路径[J].征信，2019（11）.