App收集个人信息的法律规制问题研究

　摘要

对于保护个人信息来说，收集个人信息则是第一个重要的环节，如何通过法律规制App便利人们生活的同时非法收集个人信息，是一切保护个人信息环节的开端，对于个人信息安全显得十分重要。本文在个人信息概述部分介绍了个人信息的有关内容的基础上分析了当下App在提供服务过程中收集个人信息时存在的主要问题，如：App应用程序秘密获取个人信息；强制收集用户个人信息；隐私协议设置的不合理等问题。其次，列举了我国目前现有法律制度中有关个人信息保护的规定并指出其间不甚完善的现状，例如：立法分散导致诸多弊端；刑事制裁为主缺乏其他部门法衔接；司法救济不足等。最后综合考虑我国实际国情、结合立法现状，针对现有立法中关于规范个人信息收集存在的问题、现实中非法收集个人信息的具体表现，提出明确收集三大原则；针对App个人信息专门立法；完善各部门法之间的衔接；完善司法救济方式等相应的建议。

　关键词：个人信息；个人信息保护；法律规制；司法救济

　一、引言

手机App一端连接互联网，一端连接用户，将用户所需的信息传输到移动智能终端，不仅方便了人民的生活，也极大地促进了社会经济的发展。可信息带来的经济发展是把双刃剑，越是发展快速越是带给人们许多风险，随之而来对于个人信息的威胁就更严重。

但基于之前我国对手机App数据运营商收集使用个人信息的行为不够重视，加上现有法律法规缺少对手机App数据运营商收集个人信息行为的监管，执法部门职责不清，致使手机App数据运营商肆意地收集个人信息。久而久之，App非法收集个人信息等问题愈演愈烈，用户个人信息被不合理使用等案件频发，引发了推销、诈骗、网络盗窃等社会问题，如某打车软件公司的客户个人信息被泄漏事件，多位明星艺人的航班行程个人信息在网上被曝光、传播和售卖等。2021年3月11日，工信部官方网站发布通告称，工信部之前就已经组织权威检测机构对手机上的App应用软件进行查验，但截至调查期限仍有136款手机App未根据检验结果进行整改，包括全能扫描王、手机万年历、书屋小说、本地头条等应用，其中大部分涉及违法违规收集个人信息、过度索取权限等问题。

尽管国家已经陆续出台多部法律法规对人性信息层面以规范，但目前我国关于规范个人信息收集行为的规定大多缺乏具体实施细节，对侵犯个人信息的行为制裁较轻，对App非法收集个人信息的行为打击力度不足，使我国保护公民个人信息及隐私的法律法规不能完全发挥效用，致使App运营商非法收集个人信息时无所顾忌。因此，对于加快立足于保护、防范个人信息被非法收集的方向立法以及非法收集后收集主体应承担的法律责任等方面的研究依然十分必要。

二、App收集个人信息概述

　　（一）个人信息概述

公民个人信息中的属于私密的信息，适用相关法律以及隐私权的规定；没有相应法律强制规定的，适用于相关个人信息法律保护的规定。个人信息最关键的特点是具有“可识别性”，即通过该信息就能识别判定出信息主体的身份以及相关的特征，勾勒出信息主体的轮廓，这样一来，透过该个人信息便能了解信息主体的爱好、偏向，展现与其有关的社会关系。根据该信息能指向特定个人，或者根据该个人的生活能收集到的相关信息即为个人信息。

（二）App非法收集个人信息行为的具体表现

1、秘密获取个人信息

具体表现为：未经App用户主体同意，或者经用户同意其收集后将有关数据传输至后台与用户不知情的第三方分享。如2020年北京市互联网法院审理的《黄某诉腾讯科技(深圳)有限公司等网络侵权责任纠纷》一案中，手机App“微信”的数据运营商腾讯科技(深圳)有限公司(下文简称腾讯公司)未经信息主体黄某同意将其个人的联系人列表分享给腾讯公司旗下的另一款App应用程序“微信读书”，未经黄某同意自动对黄某的微信列表联系人添加自动关注，未经黄某同意擅自公开黄某的阅读记录、书架、读书的笔记、添加的想法。

2、强制收集个人信息

某些企业为了商业利益将社会责任抛诸脑后，不仅无视国家、XX对社会企业保护公民个人信息安全的法律法规，甚至钻营政策漏洞非法收集个人信息。例如，有的App借助每次更新版本的机会不断扩大对其提供服务本不需要的用户信息的收集，用户若不同意将会被强制退出该应用程序，连基础的服务功能都无法使用；还有一些手机App运营商总要收集与其提供的服务完全无关个人信息，甚至要求用户同意一些超出合理预期的访问权限。例如某录音App要求用户同意访问通讯录、位置信息、相册等含有个人信息的应用；部分手机App运营商在用户使用时，不断地弹出授权访问权限的对话框，十分影响用户体验感；这些手机App运营商的行为均存在非法收集个人信息的嫌疑，在一定程度上十分不利于个人信息的保护。

3、隐私协议设置不合理

《中华人民共和国网络安全法》第四十一条中明确规定，网络数据的运营者在收集公民的个人私有信息时，应按照规定进行公开收集。隐私协议或隐私政策是手机App(信息收集者)向用户(信息主体)释明其如何收集、使用、存储、共享个人信息的一项协议。但在实践中，有时用户根本无法在手机App内找到隐私政策，或者隐私政策打不开、内容无法显示，或者隐私政策中丝毫没有说明该App如何收集个人信息的规定。本应明确提醒其收集的用户个人信息的部分，或模糊不清或只字不提，本应加黑加粗重点提示用户的部分不予突出；隐私协议中充满着晦涩难懂的专业术语，长篇大论的文本更是无法让读者读完、读懂；还有的App将隐私协议的位置设置的十分隐蔽，甚至需要用户多次点击才能看到，可对于公众而言是很少有人去一步步找到隐私政策并耐心地看完一整篇无重要条文提醒的文章的。如，“印象笔记”App曾经有一款版本的隐私协议中就没有体现其收集哪些信息数据。

　　三、我国关于App收集用户个人信息的立法与不足

　　（一）有关App收集个人信息的立法实践

《刑法修正案(五)》中新增设了“窃取、收买、非法提供公民信用卡信息罪”，这是我国目前法律中第一条对于不法分子肆意侵害公民个人私密信息犯罪的法律规定及处罚。于2021年1月1日起施行的《民法典》，在人格权编第一章和第五章中都对个人信息的作出了规定，还在第四编第六章对个人信息进行专章规定，在现行有关法律规定的基础上，进一步强化了对个人信息的保护。从2017年6月1日开始施行的《网络安全法》第四章“网络信息安全”中对个人信息的保护作了更全面的规范。我国目前个人私密信息保护领域最具法律实效的国家标准是于2020年10月1日起正式颁布实施的《信息安全技术个人信息安全规范》。到2021年3月22日，国家互联网信息办公室等四部门联合印发《常见类型移动互联网应用程序必要个人信息范围规定》，明确所有的App运营者不能因为用户不同意收集其在使用该App时非必要的信息而拒绝用户使用App，同时明示列举了最常用的39类应用程序提供服务所必须收集的范围。

　（二）目前App用户个人信息保护的立法不足

1、立法分散导致诸多弊端

虽然近些年来，我国进行了一系列App违法违规收集公民个人私密信息的整治工作，但在过去近20年里，我国的法律法规对公民个人信息权益的保护始终不成体系，在《民法典》、《刑法》《网络安全法》多数法律和司法解释中都涉及到了有关个人信息保护的内容，但大多为原则性规定，甚至对于其中涉及的专业术语、法条的具体适用情形以及违法后信息收集者需承担的法律责任也未作详细说明；相关条款散落分布于各种有关法律法规以及规范性文件中，甚至部分条款之间存在步调不一的情况，造成在判定违法、实行处罚等标准上难以统一，谁来执法、如何执法等问题。例如，国家质监局、国标委2012年联合颁布的关于《个人信息保护指南》中明确规定“公开收集到的公民个人私密信息应在达到使用的目的之后就立即删除”，而国家网信办2016年发布的《移动互联网应用程序个人信息服务管理规定》第7条明确指出“移动互联网应用程序提供者应当记录用户日志信息，并保存六十日”。对于诸多实践中出现的问题依靠现存法律无法解决，也不能满足时代发展对其所提出的要求，且针对保护个人信息的一般性规定在实际中寸步难行，难以付诸实施，并未能达到保护公众个人信息的效果。2016年发布的《电信规章》中明确指出：若网络经营者违反规定，应由其之上的电信管理机构责令其限期改正、警告，且并处罚款。相比于App数据运营商通过非法收集到的用户个人信息所获得的的庞大利益，该行政处罚的力度及威慑力明显不足，再加上监管部门的缺位，导致App数据运营商及时非法收集，也不会产生严重的后果，所以导致不能对用户个人私密信息形成行之有效的保护。

2、刑事制裁先行，缺乏部门法衔接

根据《刑法》(2017)、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017)的相关规定明确指出，企业违反法律的规定、行政法规以及部门规章中关于公民个人私密信息保护法律规定的，应向特定人提供公民个人信息、通过信息网络或者其他途径发布公民个人信息的，或者未经被收集者主动同意的，将合法采集到的公民个人私密信息肆意向他人提供的，可能构成侵害公民个人信息罪。该《最高解释》第五条也对侵犯个人信息罪多种“情节严重”的情形进行了细化，只要符合其中的标准之一就能够予以定罪。根据该规定，几乎所有直接或者间接侵犯公民个人私密信息的行为都有可能需要承担刑事责任，再加上我国目前没有详细的针对个人私密信息违法行为的相关行政处罚、民事责任承担等前置程序，造成我国目前打击侵犯个人信息行为中缺乏其他法律手段。

3、司法救济不足

虽然《民法典》中规定了侵害个人信息时侵害人应当承担民事责任，但正如上文所述，由于缺乏关于侵犯个人信息的规定，仅仅以范围狭窄的隐私权保护为主，在实践中往往造成信息主体无法收集侵权证据，无法预料维权结果，很难通过民事诉讼维权的局面。许多条文仅仅规定了个人信息保护的原则，并没有规定违背该原则的民事补偿等法律后果，甚至将个人信息的保护范围仅缩小为个人隐私信息，侵犯了个人隐私信息则有可能会有法律责任，保护除个人隐私之外的个人信息的法律规定则乏善可陈，保护力度、保护范围有着明显的短板，再加上个人信息收集、使用、存储、共享等多个环节均没有相应的保护制度，远不能实现真正的保护。

根据我国侵权法的一般规定，只有侵权人的侵害行为造成了损害结果，被侵权人才可以请求其承担侵权责任，并且被侵权人还需证明侵权者的侵权行为与损害结果之间存在因果关系。这种情况下，对于App用户来说，除非其个人信息被非法收集后使用不当给用户的既有民事权益造成损害，例如因个人信息泄露导致用户受到诈骗遭受金钱损失等，用户才可以提起侵权诉讼。而当用户的个人信息被非法收集、不当使用等情况，但没有遭受损失或者无法证明遭受到什么损失时，就很难通过侵权诉讼维护自己的合法权益。其次，对于损害赔偿方面，虽规定了侵权主体应承担赔偿损失和精神损害赔偿，但对于个人信息来说，App用户的个人信息权益无法用金钱衡量，且我国对于责任承担的认定较为严格，加上一般的个人用户对网络数据运营技术不了解，不具备分析App数据运营商内部数据的能力，也不具备被侵权后收集证据的能力。例如庞某诉趣拿App和东航公司一案中，庞某就无法证明其个人信息是由被告泄露的，因为不能举证排除其他人也泄露其个人信息的可能，最终一审法院判决驳回庞某的诉讼请求。由此可见，此类案件中举证是如何困难。同时，我们应认识到App数据运营商与用户之间的不对等性，法律规定更要关注个人用户的权益。因此，不能使用一般的“谁主张谁举证”原则，这对于本就地处弱势的个人用户是不公平的，此背景下普通的个人用户更是无力维权，只能不了了之。

四、完善App非法收集个人信息法律规制的建议

　　（一）明确App收集个人信息的基本原则

《中华人民共和国网络安全法》第四十一条规定：“网络运营者如若需要收集以及使用公民的个人相关信息，应当严格遵循合法、正当以及必要的原则及标准，进行公开收集以及明确使用的规则，积极向公众明示收集以及使用个人信息的目的、方式和使用范围，并需要被收集者的主动同意。网络运营者不能够强行收集与其提供的服务、规则无关的个人信息，不得直接或间接的违反法律、行政法规的规定以及与公民双方约定的收集以及使用个人信息，并应当严格依照法律、行政法规的明确规定以及与用户的口头或者书面的约定，处理并保存公民的个人私密信息。”

根据前文提到的App普遍存在非法收集个人信息的情况，中央网信办等四部门从2019年1月至12月，在全国范围组织开展APP违法违规收集使用个人信息专项治理。为切实保障公民信息安全，有必要对App收集个人信息加以限制，使之符合以下原则。

1、合法原则

App用户个人信息的收集主体必须严格遵守法律法规之规定，遵守有关公民个人信息保护的规定，如《网络安全法》、《消费者权益保护法》、《电子商务法》、《民法典》、《刑法》等法律法规。

2、正当原则

法律的制定和完善对于实践操作来说具有一定的滞后性，但不能因此放任App运营商随意收集用户的个人信息，应当同收集主体强调，收集行为应遵守的一些基本法律原则，承担应有的社会责任，遵守公序良俗、道德伦理，加强对自身的监督。但在实践中，却大量存在违反正当性原则的事例。例如，App运营商通过收集用户个人信息本应该是用于为用户提供更精确、更便利、更贴心的服务，但却有的App根据不同手机品牌提供相同的服务收取不同的价格，为经常使用该App的老用户提供服务时收取比普通用户更高的价格。

3、必要原则

App收集个人信息应止于其提供服务所需的界限，与其提供基础服务无关的个人信息应避免收集，但实际上，App运营商为了谋取商业利益、增加更多的广告商合作，经常收集向用户收集一些其提供服务不需要的信息。因此，App运营商在收集个人信息时应该提高自身建设，收集内容公开公示向用户明示其收集的方式、目的，在提供精准广告推送时应征得用户的同意。

　（二）制定专项立法

目前我国关于App收集个人信息方面的立法不完善，各部门立法比较分散，难以适用。针对越来越多的App非法收集个人信息现象，应该制定专门立法，严厉打击App非法收集个人信息的行为，切实用户个人信息安全。建议针对App中的个人信息专门立法，有利于直接有效地解决实践中诸多侵权现象，落实个人信息保护。该专门立法中应当规定哪些App可以收集哪些个人信息、明确非法收集后应承担的法律责任、明确用户遭遇非法收集后可以采取的救济措施以及其他有关App运营商违法使用、泄露个人信息等方面。目前我国《个人信息保护法》即将出台，在此同时建议为App个人信息单独立法并非多此一举，旨在针对目前社会中急需解决的重大困扰为重点，更符合社会实践发展的需要。

（三）完善各部门法之间的衔接

如前文所述，我国目前对个人信息保护方面以刑法规制先行，但基于刑法具有谦抑性，导致一些尚不成立刑事犯罪的违法行为无法得到其他法律的规制，造成只要不触犯到刑法则无法律责任的后果。例如，《刑法》中规定，“非法获取公民信息”的行为构成犯罪，但是目前在用户授权的情形下收集与其提供服务不想关的信息应该不能认定为“非法获取公民信息”，不属于刑法的规制范围。因此要构建各部门法之间相互衔接、层层递进的协同治理机制。我国应加快出台《个人信息保护法》以及App个人信息保护法，同时对其他有关个人信息的法律规范作以删减或改动，形成有序的治理体系。

（四）完善司法救济方式

1、合理分配举证责任

如前文所述，权利人对于其受到的实际损害与侵权人因侵权得到的实际获利等难以举证，可根据民事诉讼中事案解明义务，对于侵权行为、损害等事实的证据，由不负客观证明责任的一方当事人提供该证据，对于此类型的案件中，可由非法收集个人信息一方提供该证据。其次，根据民事证据高度盖然性的标准，在权利人能够证明其个人信息能排除其他泄露渠道，且其个人信息泄露后遭受的损失与该非法收集行为相关的情况下，要求App运营商举证证明其未收集行为合法或包含的其他免责事由进行举证，如若不能，则有理由认定其侵害了个人信息权。

2、增加责任承担方式

首先，应该规定并建立完善的多元侵权责任归责的原则。随着信息时代的发展，信息的种类不断丰富，App数据运营商获取个人信息的途径越来越多，导致侵权类型也不断增加。因此我们因针对不同的侵权类型应适用不同的归责原则，以适应案件的丰繁复杂。具体来说，App数据运营商的侵权模式可分为直接侵权以及间接侵权。直接侵权，也就是App运营商未经个人信息的主体同意实施了侵害个人信息权的行为，直接侵犯了个人信息主体的专有权利。该直接侵权行为不考虑主观过错适用一般的过错责任归责规定，即若App运营商在收集公民个人私密信息过程中存在任何过错，就需要承担相应的法律责任。但如果是经过用户的同意后，因自身操作层面的失误导致自己的个人私密信息被泄露、被侵犯，则App数据运营商不承担责任。而对于间接侵权，指App运营商的行为本身可能并不构成直接侵犯用户的个人信息权，但在实际效果上帮助了他人实施侵权，并且该App运营商在主观上明显存在帮助他人侵犯用户个人信息权的故意，客观上实际为他人侵权提供了必要条件，此种情形应该采用过错推定的归责原则。即App运营商应该对自己的行为承担损害赔偿责任，但是如果能证明App运营商不存在主观故意或不应该对产生损害的结果负责，则可以免责。倘若App运营商在帮助他人侵犯用户个人信息时，不能证明自己没有过错，则要和直接侵犯用户个人信息者共同承担责任。

其次，明确对免责事由的相关规定。除了《侵权责任法》中对网络服务提供者侵权行为规定的由被侵权者通知后删除平台的义务，也应将实践中经常适用的技术中立原则予以立法明确。应在《个人信息保护法》中规定技术中立原则的具体适用情形、认定标准、网络服务提供者在什么情况下承担责任、以及免责事由等内容。做到在保护个人信息不受侵犯的前提下使个人信息充分发挥其具有的经济价值。

最后，制定切实可行的赔偿标准。针对可能发生的以下三种损害，适用不同的赔偿规则。第一，App数据运营商非法收集个人信息后被违法利用，致使信息主体的财产被毁损灭失，法律可以规定由侵权人对信息主体损失的财产进行等价赔偿；第二，App数据运营商非法收集的个人信息具有极大的商业价值，此种情况下，难以具体的金钱数额衡量，法律可以参照App运营商在使用个人信息之前应支付给信息主体的价格，可以双方协商一个价格，合理确定赔偿数额。第三，因App运营商非法收集后不当保存，泄露信息主体的个人隐私，造成难以弥补的心灵创伤，应该考虑给予适当的精神损害赔偿。此类案件中，应根据该App应用程序的使用人数、可能看到的人数、该信息被点击次数、该信息被评论转发次数等决定该用户信息被公众熟知的程度，予以确定合理范围，便于法官行使自由裁量权。

谢辞

紧张、充实而又难忘的大学学习生涯即将结束，在大学生活和撰写论文期间得到了许多人的帮助，使我终身难以忘怀。轻风系不住流云，流云却带走了岁月，打开尘封的记忆，往事如风却又历历在目，大学的学习生活即将结束。在这里我首先要感谢这四年来为我授课的各位老师，真心地说一句：你们辛苦了！

感谢指导老师在我的论文选题、定稿以及中期检查等方面都给了我精心的指导。您提出的宝贵意见使我在论文选题、撰写以及修改的过程中，不再像当初那样茫然无措，而是知道自己论文的不足和修改的方向。您正直、严谨的治学态度对我影响颇深，受益匪浅，无论在今后的学习还是工作当中，我都铭记于心。

　参考文献

[1]郭瑜．个人数据保护法研究[M]．北京：北京大学出版社，2012:107．

[2]韩旭至．个人信息的法律界定及类型化研究[M]．北京：法律出版社，2018：25-38．

[3]洪海林．个人信息的民法保护研究[M]．北京：法律出版社，2010:362-414．

[4]江伟．民事诉讼法[M]．北京：高等教育出版社，2013:225．

[5]齐爱民．大数据时代个人信息保护法国际比较研究[M]．北京：法律出版社，2015:178-179．

[6]申琦．中国网民网络信息隐私认知与隐私保护行为研究[M]．上海：复旦出版社，2015:52-134．

[7]孙远扬．个人信息的私法保护[M]．北京：中国法治出版社，2016：104．

[8]曾奎秀．大数据时代个人信息的法律保护研究[J]．中国信息化，2018(07)：101.

[9]陈晨，李思頔．个人信息的司法救济——以1383份“App越界索权”裁判文书为分析样本[J]．财经法学，2018(6)：102-113．

[10]陈璐.论《网络安全法》对个人信息刑法保护的新启示[J].法制研究，2017(4)：24-26.

[11]丁晓东.个人信息私法保护的困境与出路[J].法学研究，2018(6)：38-40.

[12]范为.大数据时代个人信息保护的路径重构[J].环球法律评论，2016(5)：53-55.

[13]冯术杰．论网络服务者间接侵权责任的过错形态[J]．中国法学，2016(4):179-198.

[14]高富平.论个人信息保护的目的——以个人信息保护法益区分为核心[J].法商研究，2019(1)：32-33.7

[15]高妍蕊．个人信息保护法当如何回应时代关切[J]．中国发展观察，2020(8)：96-98．[16]韩德民，汪子辰.App过度收集与使用个人信息的法律规制问题研究[J].现代交际，2020(13):84-85．

[17]何培育，马雅鑫.社交类App收集用户个人信息的法律规制探析[J].浙江工业大学学报，2020(03)：273-280．

[18]洪海林．个人信息保护立法理念探究——在信息保护与信息流通之间[J]．河北法学，2007(01)：108-113.

[19]孟祥瑞．移动互联网App应用[J]．中小企业管理与科技，2013(19)：268.

[20]蒋淑雅，史艳泓，郑采薇，陈雨杰．APP个人信息法律保护对策研究[J].产业与科技论坛，2020(19):27-30.