摘要:在数字经济时代,App的广泛运用使得人们生活、工作更加便捷。但是App在运营过程中也存在很多风险和问题。目前,App在收集用户个人信息时主要存在积极的违法违规行为和消极的违法违规行为两种。治理App违法违规收集使用个人信息的行为,需要民、行政、刑等诸多部门法的合力。做好个人信息保护与促进数字经济企业合规发展间的平衡,不仅需要监管层面的治理,而且也需要企业自身具有合规意识,贯彻于开发运营App之中。
关键词:App运营企业;收集使用;个人信息;合规建议
数字经济的飞速发展,移动App[1]渗透于日常生活的方方面面,人们对于各类移动App的依赖程度越来越高。这虽然使得人们传递和获取信息的途径更加便捷,但也伴随着新风险:App运营企业在处理用户个人信息时的不合法合规行为,使得个人信息泄露的隐患进一步扩大。对于开发、运营App的企业而言,用户收集个人信息是其企业运营必不可少的一环,蕴含了重大的商业利益。以阿里巴巴、京东等互联网公司为例,无论是其背后的广告运营、调货配备,还是未来的高地——“人工智能”,都需要搜集用户个人信息。然而,企业在收集用户个人信息时漠视用户合法权益的现象非常普遍。对于App运营企业来说,用户个人信息收集的合规,不仅有利于保护用户的合法权益,而且也能阻却企业陷入民事、行政乃至刑事法律风险之中。因此,App运营企业在收集用户个人信息时必须高度重视用户个人信息收集的合法合规性。
一、App收集使用用户个人信息的问题
近些年来,因App个人信息泄露对人们的生活造成了很大影响,使得人们在数字经济时代毫无隐私可言,成为了“透明人”。越来越多的用户表示,App注册时强制要求提供储存空间、位置信息和通讯录等,这就使得App运营企业掌握着大量的个人信息,而个人信息不当或故意泄露后,个人用户接到推销电话、短信骚扰、垃圾邮件乃至诈骗电话是常用之事。[2]更为严重的是,部分用户特别是对互联网不熟悉的人,成为网络电信诈骗以及其他犯罪的受害人。从目前出台的相关法律法规、规范性文件及监管部门开展的整治活动来看,App收集使用个人信息的违法违规行为有很多种,但概括起来主要为积极违法违规行为和消极违法违规行为两种。
(一)App运营企业存在的积极违法违规行为
针对用户个人信息的全过程,涉及到用户信息收集、存储、使用、转让以及删除等各个方面。在这之中,App运营企业实施的积极违法违规行为占大多数。积极违法违规行为,是指App运营企业在收集、使用、提供用户个人信息时实施的行为。具体来说,App运营企业存在如下积极违法违规行为:
1.未公开收集使用规则
在用户下载App,注册成为该款App的用户时,必须要签署用户协议和隐私政策等公开文件。用户协议与隐私政策成为了研究APP运营企业对个人信息收集使用是否合法合规最为直接的依据。[3]从目前开展的一系列针对APP的整治活动来看,目前大多数App都已经配备相应的隐私政策及用户协议,但是在公布的隐私政策中存在未以显著方式展示隐私政策、首次运行时未通过“页面弹窗”等明显方式提供用户阅读隐私政策等收集使用规则的情形、隐私政策等收集使用规则难以阅读等情形。
2.未明示收集使用个人信息的目的、方式和范围
根据《中华人民共和国网络安全法》之规定,网络运营者收集、使用个人信息,应当明示收集、使用信息的目的、方式和范围。而2021年8月20日发布的《中华人民共和国个人信息保护法》也再次明确,处理个人信息应当明示处理的方式、目的和范围。但是,在实践中,存在部分App并不逐一列出收集使用个人信息的目的、方式和范围等情形:在收集使用个人信息的目的、方式和范围发生变化时,未以适当方式通知用户的情形;申请收集个人敏感信息或者打开可收集个人信息的权限时,未告知用户目的,或者目的不明确、难以理解等情形。
3.未经用户同意收集使用个人信息
获得用户的知情同意是App运营企业收集用户个人信息的前提。如果没有用户的同意,就不能擅自收集用户个人信息。但是实践中,部分App运营企业为了能够达到收集用户个人信息的目的“不择手段”,在未经用户同意前就开始收集个人信息或者在用户明确表示不同意后依旧收集,以非明示方式、不正当方式征求用户同意,实际收集的个人信息超出用户授权范围等等。例如部分App运营公司会在部分终端(例如“手机”)闲置或者休眠时自动运行或者后台运行扫描和搜集用户的“相册”“短信”“通讯录”等各种信息。
4.违反必要原则,收集与其提供的服务无关的个人信息
按照规定,App运营企业在收集用户个人信息时,只能收集其为用户提供服务所必须的个人信息,不能收集与所提供的服务无关的个人信息。但是,很多情况下,App运营企业超范围收集与其所提供的服务无关的、非必要的个人信息,并且在用户不同意收集非必要个人信息时拒绝提供服务,收集个人信息的频度超出服务实际需要等。例如部分读书软件在首次打开运行时,需要索取用户的通讯录和位置信息,这显然于读书软件的定位不同。
5.未经用户同意向他人提供个人信息
根据法律规定,除非有法律规定的例外情况,个人信息收集者在未经用户同意的情况下,不得擅自向第三方提供该用户的个人信息。如果App运营企业未经用户同意而擅自向第三方提供用户个人信息,直接后果就是用户个人信息的泄露,但是泄露的个人信息很可能成为他人实施违法犯罪行为的工具,例如电信诈骗等。所以App运营企业在向第三方提供用户个人信息时需满足如下两个条件之一:1)获得用户同意;2)匿名化处理。实践中,既未经用户同意,也未做匿名化处理,通过App客户端直接向第三方提供个人信息或者数据传输至后台服务器后向第三方提供以及App接入第三方应用,向第三方应用提供个人信息的,都属于常见的未经用户同意向第三人提供个人信息的情形。
(二)消极违法违规行为
消极违法违规行为,是指App运营企业本应按照规定提供相应的服务但未提供相应服务的行为。主要包括两种行为方式:一是未按照法律规定提供删除或者更正个人信息功能;二是未公布投诉、举报方式等信息。具体到实践中,体现为App中并未为用户提供有效的注销用户账途径,没有建立并公布用户个人信息的投诉和举报渠道,使得用户投诉无门,或者为注销用户账号设置不合理的条件让用户难以注销。
收集用户个人信息涉及的积极违法违规行为和消极违法违规行为对于用户权益都或多或少造成了侵害,其中积极的违法违规行为对用户造成了直接侵害,消极违法违规行为更多是对用户造成了间接侵害。从目前的法律规定以及开展的一系列治理活动来看,积极违法违规行为对于用户个人信息的损害更加严重,也成为打击的重点。
二、App用户个人信息保护的立法趋势
如前所述,各类移动App在收集使用用户个人信息时存在诸多违法违规的行为,为了规范App运营企业对个人信息的收集使用,更好地保护移动App用户的权益,近些年来,我国通过出台相应的法律加大了对此类行为的打击力度,对于个人信息收集使用的规制也越来越完善。目前,我国在民事、行政以及刑事层面对于App收集使用个人信息都建立了较为完善的法律规制体系。
(一) App运营企业收集使用用户个人信息的民事规制
2021年开始实施的《民法典》将个人信息权利规定其中,并且在“人格权编”中专章规定了“隐私权和个人信息保护”,从法律层面强调了对于个人信息的保护力度。《民法典》强调,自然人的个人信息受法律保护,任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。与此同时,最高人民法院发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,加强对于人脸识别技术引发的个人信息保护,也发布了新的《民事案件案由规定》,单独规定了“个人信息保护纠纷”案由[4]且此类案件审理数量正在不断增加。所以,对于App运营企业收集使用个人信息时存在违法违规行为的,则用户可以主张App运营企业承担相应的民事责任。
(二) App运营企业收集使用用户个人信息的行政规制
目前,对于App运营企业违法违规收集用户个人信息的行为,国家也更多是运用行政手段来进行惩处,所以相关监管部门针对移动App的违法违规行为开展了一系列的整治活动。为贯彻依法治国,国家也出台了一系列的法律及规范性文件为相关行政部门规制企业违规收集App个人信息提供了有力的依据。
2016年11月7日,我国出台了《网络安全法》完善了个人信息保护规则;2021年6月10日发布了第一部有关数据安全的专门法律《数据安全法》,并且在2021年8月20日出台了《个人信息保护法》,对于个人信息保护进行了系统性、全面性的规定。这三部法律的相继出台、实施,进一步为维护用户个人信息保驾护航,对于App运营企业注重数据合规提出了更细的要求。
此外,我国还颁布了诸多法律及规范性文件对App用户个人信息进行保护。如2012年发布了《全国人民代表大会常务委员会关于加强网络信息保护的决定》为加强网络信息保护提供了法律依据;2013年出台的《电信和互联网用户个人信息保护规定》明确了电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和安全保障义务等等。2019年国家网信办、工信部、公安部、市监总局(以下简称“四部门”)联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》《App违法违规收集使用个人信息行为认定方法》,明确了App违法违规收集使用个人信息行为的认定规则;2021年,四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,2021年4月26日,工业和信息化部、信息通信管理局发布了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》,进一步规范App个人信息处理活动。
目前,针对App违法违规收集用户个人信息的运营企业,相关监管部门首要采取的是约谈整改的手段,逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,单处或并处警告、没收违法所得或者罚款等行政处罚措施。[5]所以,对于违法违规收集使用个人信息的App运营企业,在行政上可能面临“轻则约谈整改,重则行政处罚”的不利后果。
从目前的实践来看,有关部门对于违法违规收集使用个人信息的App运营企业进行严苛的处罚案例尚未发生,但是可以看出国家层面对个人用户信息的保护是越发严格,从北京字节跳动科技有限公司(以下简称“字节跳动”)赴美上市暂时停止这一事件似乎可以得到相应的印证。同时,国内互联网企业的“出海”进程不断深入,企业不仅仅需要关注国内的法律制度,还需要关注国外的法律制度。2021年7月,亚马逊(AMZN.US)因通过处理用户个人数据[6]违反了欧盟的《一般数据保护条例》(General Data Protection Regulation,简称GDPR),被处以创纪录的7.46亿欧元(合8.65亿美元)罚款。这一处罚案例,让国内App运营企业不得不警惕:未来国内行政部门是否会对此类数据行为处以高额的行政处罚?
(三)App运营企业收集使用用户个人信息的刑事规制
个人信息保护是近些年来国家工作的重点,也一直是社会治理的难点。因此,刑事上也进一步加大了对于App运营企业收集使用个人信息的规制。2015年,《刑法修正案(九)》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”一罪,扩大了犯罪主体和侵犯个人信息行为的范围。[7]随后在2017年5月,两高出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,进一步细化了侵犯公民个人信息的定罪量刑标准。从而在规范App运营企业收集使用个人信息行为时,能够形成刑法与其他部门的合力,从而更好地打击犯罪。
根据《刑法》第二百五三十条之一的规定,侵犯公民个人信息罪是指违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的行为。根据该规定,刑法主要规制的是App运营企业积极的违法违规行为,对于App运营企业消极的违法违规行为目前并未纳入刑法的惩治范围之中,更多是靠行政监管进行惩治。
三、App运营企业收集使用用户个人信息的合规建议
做好数据合规,是企业避免陷入法律风险的最好举措。目前就个人信息收集的文件众多,对于App运营企业的规制也越来越严格。如何寻找到个人信息保护与利用个人信息促进企业平台的发展之间的矛盾平衡点。这不仅仅需要监管部门的监管,也需要管理层要在法律法规框架内运营App,将合规意识贯彻在日常运营过程中。就目前App收集用户个人信息的问题及当前就App个人信息保护的立法趋势,笔者认为,App运营企业应当从以下方面做好App收集使用用户个人信息工作。
(一)在法律规定、政策文件的框架内开发合法合规的App
开发、运行App并获取大量用户使用对于企业来说存在巨大的商业价值,用户在App上留下的海量信息更是成为有待企业进一步深入挖掘的财富。不得不说,虽然App上的用户个人信息能给企业带来很大的价值,但企业依旧得在法律法规框架内开发App,在用户个人信息的收集使用上做到合法合规。正所谓“水可载舟,亦可覆舟”,海量用户的支持得以让企业享受数据的红利,但是若不能善待用户的个人信息,一旦失去用户的信任,那么对于App运营公司来说将是毁灭性打击。对此,企业需要做到以下两个方面:一方面,在拟开发App之前,必须要了解当前对于App运营的所有法律法规、政策文件,根据拟开发的App所属行业、主要功能以及提供的产品或服务等,进一步梳理拟开发的App所必须具备的资质。[8]如金融理财类App在各应用商店上架时可能需要取得相应的金融许可证,视频类APP上架时可能需要提供《信息网络传播视听节目许可证》或《广播电视节目制作经营许可证》,游戏类或者文化活动类App需办理《网络文化经营许可证》,医疗类App上架时需提供《互联网医疗信息服务许可证》等等。[9]另一方面,除了准备好拟开发App上架所需要的一系列资料之外,App运营企业应在个人信息收集、存储、使用、向他人提供、删除等各个环节采取相应的合法合规措施,按照相关政策文件制定相应的隐私政策,明确App收集使用个人信息需遵循的规则,并提供用户注销账号、更正或删除个人信息,提供申诉、投诉渠道,保障用户的合法权益。
(二)及时学习新修订的法律规定、政策文件,开展自评估,不断完善App
目前关于App合法合规收集使用个人信息的法律法规、政策文件很多,相关监管部门也发布了多批App存在个人信息收集使用问题的通告,后续依旧会出台相应的文件,发布最新的通告。App运营企业必须及时学习新修订的法律规定、政策文件,对标自己开发的App,开展自评估,查看是否存在与法律法规、政策性文件规定不一致的地方,及时整改现存的问题,不断完善开发运营的App。
关于App是否存在违法违规收集使用用户个人信息的问题,目前最主要的是规定于《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》《App违法违规收集使用个人信息行为认定方法》,所以App运营企业在开发App时便需要对标已生效的文件运营App,但是对于后续发布的文件也要及时学习,如2021年11月1日开始实施的《个人信息保护法》,2021年4月26日,工信部、信息通信管理局发布的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》,目前还处于向社会公开征求意见阶段,后续发文生效后也需要遵守该规定,发现有不合规的及时整改。
(三)立足国内,放眼国外,以高标准法律规定规范App开发行为
互联网的发展让全世界的人可以在感官上跨越空间,实现“地球村”或者说“元宇宙”这一愿景。那么App的开发和运营很可能会跨越国家的界限,在全世界范围内进行。如前所述,如何面对不同国家对于个人信息保护的不同尺度?不少大型的公司已经开始进行有益的探索。例如[10]字节跳动已经开始招聘数据安全隐私保护(GDPR)相关岗位以开展隐私保护合规风险评估及相关规范制度审查,提供差距分析及合规整改建议;普华永道中天会计师事务所(特殊普通合伙)亦开展了相关招聘,以便给客户提供合理合法的合规建议。虽然我国国内针对部分企业违法违规收集、处理或使用个人信息保护处罚力度并不算严重,但是一旦国内的法律规制进一步提升处罚力度,那么App运营企业很可能会因为自身不合规的行为遭受重罚。因此,国内的App运营企业不仅仅需要立足国内的法律框架内合法使用个人信息,更需要以(国外)高标准法律规定规范App开发行为。
四、结语
个人信息保护是数字经济时代无法绕开的话题,如何平衡个人信息保护与促进数字经济企业合规发展间的矛盾,不仅需要外部监管部门的监督,也需要企业自身能够“守得住底线”,做到自律,能在法律法规框架内收集使用个人信息。开发运营App时不仅要依据现有规定开发App,而且也要了解新出台的法规及时调整App运营规则,做到从始至终合法合规,这不仅有利于预防App被下架的风险,而且也能让企业避免陷入民事、行政乃至刑事法律风险之中。
注释:
[1] App专业术语叫移动互联网应用程序,是指通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件。
[2] 2018年8月29日,中国消费者协会于2018年7月17日至8月13日组织开展“App个人信息泄露情况”问卷调查,并发布了《App个人信息泄露情况调查报告》,报告显示,个人信息泄露后遭遇推销电话活短信骚扰的占比最高,接到诈骗电话的次之,收到垃圾邮件的占比第三。
[3] 马天一:App违法违规收集使用个人信息的刑事责任边界,载网络空间安全,2020年第12期,P3。
[4] 2021年7月28日,最高人民法院召开新闻发布会,发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。最高法副院长杨万明表示,民法典施行以来,截止到6月30日,各级人民法院正式以个人信息保护纠纷案由立案的一审案件192件,审结103件。
[5] 参见《网络安全法》第64条,《电信和互联网用户个人信息保护规定》第23、24条,《关于开展App违法违规收集使用个人信息专项治理的公告》第3条。
[6] 亚马逊近年来因其收集的大量客户和合作伙伴的数据而受到审查,这些客户和合作伙伴包括在其零售平台上销售商品的独立商户、Alexa数字助手的用户、以及浏览其购物网站和有购买历史的购物者。
[7] 陈际红.大数据应用中数据收集的合法性分析[J].汕头大学学报(人文社会科学版)第33卷第5期,P50。
[8] 《移动互联网应用程序信息服务管理规定》第五条:“通过移动互联网应用程序提供信息服务,应当依法取得法律法规规定的相关资质。从事互联网应用商店服务,还应当在业务上线运营三十日内向所在地省、自治区、直辖市互联网信息办公室备案。”
[9] App在不同应用商店上架时要求不同,所以要了解不同应用商店的资质要求。
[10] 笔者以“数据合规”为检索词在BOSS直聘等软件中检索发现。
