论文部分内容阅读
摘 要:APP相关主体规范与否直接关乎数据信息安全,关涉公民合法权益和社会公益。基于个人信息保护的不断发展,APP信息泄露问题逐渐显露出来。本文认为,应结合现有的个人信息保护立法,通过完善APP实名制度,构建APP相关主体备案制度,实施数据信息市场主体准入制度和第三方参与数据收集制度,以加强对个人数据信息的保护。
关 键 词:个人信息;APP主体;数据信息;备案制度
中图分类号:D922.1 文献标识码:A 文章编号:1007-8207(2021)01-0122-08
收稿日期:2020-07-12
作者简介:陈秀萍,河海大学法学院副教授,法学博士,硕士研究生导师,研究方向为法学理论、宪法与行政法;胡天金,河海大学法学院宪法学与行政法学硕士研究生,研究方向为宪法与行政法。
作者简介:本文系中央高校基金项目“中国传统‘法德合治’文化的积极因子和现代模式”的阶段性成果,项目编号:2019B36914。
近年来,因个人信息泄露所引发的一些社会事件在不同程度上对公民的人格权和财产权造成了侵害,随处可见的相关媒体报道也说明了网络数据安全面临的严峻形势①。[1][2]目前,理论上对个人信息的性质并未达成共识,其部分内容既可归属公民的人格权范畴亦可归属财产权范畴,因而对个人信息保护存在不同的见解。现实中,相关的制度标准也难以建构②。APP作为不断被普及的互联网衍生产品,对于个人信息保护处于重要的地位,理所当然地被纳入到立法规制的范围,但就APP本质上是一项应用程序而言,根据技术中立基本原则,其本身不具有可归责性③,[3]因此,立法规制的立足点在于APP的相关主体。在APP实际运行过程中,对于个人数据信息安全的威胁也主要是人为性因素的参与,其中相关主体包括APP的开发者、设计者和经营者。
一、APP主体立法规制的理论依据和必要性
(一)APP的内涵及其特征
APP主要是指在移动智能终端上被使用的一系列编程的集合,用来执行用户下发的指令,享受商家提供服务的程序,其本质是编程组合的程序。用户在使用APP过程中会产生大量的个人数据信息,其中包括用户注册的信息、用户授权软件获取的手机存储信息、用户浏览信息和用户消费信息等电子数据。一般具有以下几个特征:一是虚拟性,又称无形性。虚拟性是指APP缺乏实物形态,更多的是以现代智能设备作为载体而存在。从本质上讲,APP仅是由大量程序性语言组合而成的一项程序,程序只是行事先后的次序,[4]支撑其运作的是一系列的计算机语言并不占用物理空间,不具备物质形态。二是非人格性。人格在《中华法学大词典》中的解释为权利主体作为社会关系的参加者所必需具有的为法律所承认和保护的资格。[5]而人格性则是指由人格主体所具有的特征,因而人格性的特征只能存在于权利主体之中并且能够被法律认可。有学者认为,人格性是指只有在主体不仅仅是具体自己而具有的一般自我意识,也不是对完全抽象的自我、消灭一切具体的局限性和有效性的一种失效了的自我,而是拥有某种自我意识的时候,才开始的。[6]非人格性則是人格性的否定,指的是不具有某种自我意识的物或者是非权利义务关系的主体,没有被法律所认可的情况。APP并不具备自主意识,就其程序性的本质而言,不具有人格性的特征。三是复杂性或隐蔽性。APP的隐蔽性正是基于程序语言的专业性和复杂性,APP本身也是复杂的,其对用户信息权益的损害往往是隐而未现,难以发觉。用户所关注的是APP界面的简洁、大方、美观和运行流畅程度,而这些仅仅是复杂计算机语言的冰上一角,至于其怎么组合,具体怎么运转,普通的使用者难以了解①。[7]因而在使用者与提供者之间存在信息接受不对等的情况下容易发生信息侵权行为。
(二)APP立法规制的理论依据
⒈APP相关信息中的人格权益。“人格标识的完整性与真实性是主体受到他人尊重的基本条件。”[8]目前,互联网的发展对人格尊严的保护提出了新的要求,即现实生活标签与网络标签的真实性和一致性,任何层面的断裂都将致使人格尊严受辱,如近几年因个人信息泄露引发的网络人肉搜索事件,对于个体造成的伤害实质是虚拟世界中人格标识的完整性、真实性与现实的人格表示不一致而形成的,并通过互联网的放大,导致一些人成为受害者。换言之,只有兼顾个体的电子标签以及现实人格标识的一致性和完整性,个体才有获得人格尊严的可能。虚拟世界的电子标签主要由各种数据信息组合后展现,各类APP是个人信息数据产生的主要端口,如何保证APP相关主体合理收集用户信息以及保障被收集数据信息的安全,避免个人信息过度曝光,给个体带来人格尊严损害,是当前面临的现实难题。因此,基于技术中立的原则,应加强对APP相关主体的规制,使用户的个人信息安全更有保障,减少类似事件的发生。
⒉APP相关信息中的财产权益。数据信息具有财产属性,其背后存有巨大的经济价值是不争的事实。根据相关研究显示,美国医疗行业每年通过数据获得的潜在价值可超过3000亿美元,能够使得美国医疗卫生支出降低超过8%;充分利用大数据的零售商有可能将其经营利润率提高60%以上。[9]数据信息的财产价值还体现在大量数据交易中心的建立上。自2014年以来,我国陆续在各地建立了大数据交易中心①,[10]数据信息的财产价值属性不言而喻。目前,理论和实务界关于个人数据信息的所有权归属问题仍存在争论,无论是归属于个人还是归属于APP相关主体,从数据行业发展和公民权益保护的角度而言,都应当依法对APP相关主体进行规制,一方面可以规范行业发展,使其有法可依;另一方面可以从宏观角度预先保障数据信息安全,使相关财产权益得到保障。正是基于个人数据信息中体现的财产价值属性,使得数据信息和利益划上了等号,人们往往极尽所能地挖掘信息数据的潜在价值,作为信息的主要产生地和主要收集者的APP相关主体自然成为信息数据安全维护的主要参与者,也是规范使用信息数据、维护个体权益的直接关系人。从维护信息数据的财产价值而言,也应通过立法加强对APP相关主体的规制,规范整个数据信息行业发展,保障信息数据安全与合理使用。 (三)APP主体立法规制的必要性
⒈数据信息价值拓展的负面效应。数据信息价值的延伸以及互联网的复杂性使得数据信息网络安全维护成为一大难题,衍生出数据信息的负面效应。互联网技术的发展改变了人们对信息的认知,如信息的形式从语言、文字和动作拓展为抽象的电子数据,信息数据的思维方式也由因果关系拓展为相关关系。[11]正是思维的转变提高了数据信息的商品价值,如根据个人消费记录,有针对性提供产品,增强用户个人的消费欲望,以增加盈利。基于人的趋利性,原本限于向用户提供服务的APP开始大肆收集用户个人信息,其中包括提供服务的非必要信息,造成信息泄露事件屡屡发生,如2016年雅虎10亿信息泄露、1.17亿LinkedIn账户登录信息泄露。[12][13]
⒉APP信息保护的法律真空。随着手机用户的增加,大量的个人信息于手机端APP产生,相关立法的滞后性,使得APP领域的信息保护成为法律的真空地带。相关数据表明,截至2020年6月,我国网民规模达9.40亿人,其中手机网民规模达9.32亿。[14]庞大的手机用户群体使得通过APP提供服务的模式成为主流,APP数量也呈现出爆发式的增长。每一个APP通过收集用户个人信息的方式提供差异化的服务,其经营模式既对现有的相关法律规定提出了新的挑战,也对维护信息安全带来了巨大压力。一方面,现有的相关法律法规不具有针对性,亟待完善。互联网作为新生事物,在一些关键领域存在较大争议,难以形成理论上的共识。如我国正在着手制定的《中华人民共和国个人信息保护法》,从2003年国务院委托相关专家起草《个人信息保护法》开始,历经多个项目草案的更迭,目前仍在制定之中。而涉及APP个人信息保护的法律困境是相关高位阶的法律法规缺乏针对性,低位阶的规章缺乏有效性。另一方面,相关的法律规定滞后,存在规制漏洞,致使出现不规范的APP和APP相关主体利用法律漏洞恶意侵犯用户个人信息的行为。[15]APP只是一个执行用户指令的一系列程序的集合,其存续依赖于人的参与,其本身合理与否取决于相关主体,因为APP相关主体导致的信息权益损害行为的范围借助网络得以无限扩大,受害者分散,损害行为隐蔽性强,个人往往是后知后觉。基于法律规定的滞后性,相关主体往往会忽视对用户数据信息的保护,导致APP成为用户个人信息保护的真空地带。
⒊问题APP侵害公民权益。问题APP主要指市场中对于用户数据权益存在隐患的APP。相关调查显示,目前市场中的APP数量达百万件之多,涉及到社会生活的方方面面①。[16]其中基于现阶段APP开发的自主性、法律规制的缺乏和宽泛意义上的政府监管等因素,市场中的APP仍存在许多问题,如部分APP存在过度收集用户信息、涉及用户隐私部分存在设计漏洞及APP内部含有恶意程序等。2018年11月28日,中国消费者协会召开的新闻发布会公布了APP个人信息收集与隐私政策测评情况结果:10类APP普遍存在涉嫌过度收集个人信息的情况,59款APP涉嫌过度收集“位置信息”,28款APP涉嫌过度收集“通讯录信息”,23款APP涉嫌过度收集“身份信息”,22款APP涉嫌过度收集“手机号码”等。上海市消费者权益保护委员会也通报了关于规范浏览器、输入法、综合视频等手机APP涉及个人信息权限的测评结果,部分手机甚至出现了自动发送短信等异常现象。[17]APP存在个人信息安全隐患,根本原因在于APP背后的人的因素。
二、APP主体立法规制存在的问题
如今看似虚拟的网络把我们都变成了透明人②,[18]大大小小的传感器和屏幕组建成了现实生活中的电幕,作为信息数据的主要收集者、使用者和运营者,APP相关主体既可以是个人数据信息的侵犯者,也可以是构建个人数据信息保护的重要屏障,因而对其进行规制实属必要。
(一)APP相关法律法规缺乏有效性
目前,我国相关个人信息的法律规定,如《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《决定》)《移动智能终端应用软件预置和分发管理暂行规定》(以下简称《暂行规定》)等③均存在内容宽泛、缺乏约束力等一系列问题。具体而言,涉及到APP经营者的原则性规定较多,如《中华人民共和国网络安全法》和《暂行规定》中均规定了信息收集的知情同意原则,即APP经营者在收集用户信息的过程中应当征求用户的同意,但实际操作中这一原则容易被架空,即名为约定,实为强制,用户为了使用软件的便利性而放弃信息的自主控制权④。[19]又如《决定》中规定网络服务提供者收集用户信息应当遵循正当、合理、必要原则,至于何为必要、合理、正当的数据信息收集行为,标准难以把握,法律不具有可操作性,无法达到保护信息数据安全的目的。有学者认为,个人信息保护相关法律法规需要源头治理。[20]
(二)APP开发设计者立法规制的低位阶性
目前,与APP开发和设计人员有关的规范性法律文件主要有《暂行规定》《关于开展APP违法违规收集使用个人信息专项治理的公告》(以下简称《公告》)、《APP违法违规收集用户信息的认定方法》等,部门规章以及规范性法律文件对于个人信息保护的作用发挥有限,APP信息泄露问题仍旧存在。APP的开发和设计人员对APP自身的影响是基础性的,无论是自行开发设计还是接受他人委托开发设计,其行为都关乎个人信息安全保护的实效。假使一个APP在设计初始不存在漏洞,再通过后期程序不断更新,那么其发生信息泄露的可能性以及后续风险则会被降到最低。相反,如果一个APP在设计之初就存在漏洞,其缺陷是先天的,那么出现问题只是时间长短而已,信息安全隐患是必然的。在一些儿童智能联网设备上,如智能电话手表和智能玩具等,由于对相关开发设计人员缺乏必要的规制,很多APP中涉及用户隐私方面存有漏洞①,[21]致使传感器收集的数据信息存在被泄漏的可能。另外,部分移动设备内置APP含有恶意程序②,致使APP会主动上传用户的个人信息,包括语音、照片、位置甚至是实时视频等,[22]个人人身安全和隐私保護都在遭受问题APP的威胁,肆意的数据信息采集行为必然对个体权益造成损害。但《暂行规定》的法律位阶较低,在没有针对个人信息保护的上位法作为依据的情况下,很难采取有实质性的规制措施以约束相关主体的信息收集行为和消灭问题APP。这也解释了在2017年规章实施后个人数据信息泄露仍然屡禁不止,对APP泄露个人信息的报道连篇累牍的原因。[23-25]同时,《暂行规定》的条文数量简短,宣告式条文居多,对相关主体的经营行为缺乏实质性的约束,其中多数条文更倾向于行政指导的范畴,提供的是理性化的信息收集建议,因而缺乏实效性。《暂行规定》虽要求APP相关主体的实名制,但并无相应的配套措施,与《消费者权益保护法》中的实名制及其配套制度无法有效衔接。 三、APP主体立法规制:完善信息保护立法
(一)完善APP开发、设计主体实名制度
APP实名制是指APP相关主体在开发、设计或者委托开发APP过程中应当提供能够证明自身身份的信息。基于APP已成为数据信息的集散地,APP的开发和设计人员对于个人数据信息保护是基础性的,因而有必要对其进行规制。针对公民网络信息保护以及维护网络空间的安全,有学者将研究焦点放在公民个人的实名制认证即研究网络用户信息真实制度上。[26]但在实际推行过程中网络用户实名制有很大的局限性,普遍实施会带来很多社会问题,如韩国在实施公民个人信息网络实名认证制度之后,人们开始利用假身份信息进行登记注册以及黑客攻击网络窃取个人真实信息,最终韩国政府废除了网络实名制①。[27]我国实名制推行的现状也证明了其难度之大,而APP相关主体实名制相比较网络用户实名制而言则更为容易和安全。《暂行规定》已经尝试就APP相关主体的身份进行实名制认证,但该制度单一存在,难以形成监管合力,需要完善并与其他制度配套实施,以实现加强APP监管的目的,减少网络黑客攻击的成功率,降低内部和外部窃取用户信息的可能性。具体建议如下:第一,实行开发和设计人员实名登记制度,主要包括APP开发、设计相关主体,实名信息需要能够识别出具体个体,如企业需要提供的包括名称、住所、法定代表人、注册编号等信息。第二,明确相关主体享有自由自主开发APP的权利,同时也负有正当开发和使用APP的义务。第三,明确规定相关主体在实名制过程中负有信息真实义务,此处相关主体的信息真实义务主要是配合APP相关主体备案制度的实施。第四,APP开发、设计实名制和重点领域网络用户实名制联合实施,强调APP相关主体实名制并非是放弃网络用户实名制,相反需要联合两者共同实施。一个强调完善APP本身,另一个主要防范来自网络的攻击,维护网络空间安全。第五,在《暂行规定》实名制的基础上建立APP开发、设计人员黑名单制度,限期禁止进入软件开发和设计行业或者从事软件开发和设计行为。第六,拓宽用户投诉、举报、处理渠道,针对用户关于问题APP的举报、投诉要认真处理,及时向用户反馈信息。
(二)构建APP相关主体备案制度
APP相关主体备案制度指的是APP的设计者、开发者、所有者相关信息报地方信息主管部门进行备案,使其知晓,必要时备查的制度②。[28]第一,针对相关应用市场经营机构进行资格认定,根据相关法律规定,对一些违法的APP应用市场经营机构予以强制整改或者强制退出。第二,规范APP的下载安装方式,鼓励用户通过正规渠道下载软件,用户基于非正规渠道下载的软件,自行承担损失。第三,施行APP相关主体信息备案制度,即APP开发人员、设计人员和所有者的真实信息在各地的通信主管部门进行备案。第四,建立备案信息公开查询制度,监管机构可以在特定的网站上对备案信息进行公开,以备公众查询,加强公众监督。第五,健全用户投诉反馈机制,由APP应用市场管理者或者各地通信主管部门设置专门的渠道接受用户对问题APP的投诉,对于一些涉嫌违法违规以及存在恶意的强制性条款的APP强制其退出APP应用市场并给用户提供必要的提醒,违反法律法规的APP视情况可以通报相应的研发机构进行整改或者由司法部门追究法律责任。
(三)实施APP经营主体市场准入制度
数据信息收集主体市场准入制度是指进行个人数据信息收集的主体(APP经营者)进入市场的许可。个人数据信息涉及到个人的人格权益和财产权益,有必要加强对数据信息收集主体进行规制,规范数据信息收集行为。同时,实施数据信息收集主体市场准入制度,也可以对数据收集者进行分流,以最大限度地限制个人数据信息收集范围,保护个人数据信息安全。具体建议如下:第一,制定参与数据信息收集主体的市场准入标准。此项标准应包含相关主体APP的日常维护、信息泄露预防以及信息泄露处置办法等,只有达到标准要求才可以参与信息收集。第二,市场准入标准制定后对相关主体进行分流。具体而言,通过对现有的企业进行评估,符合安全标准的可以参与数据信息收集,没有达到安全标准的则不允许擅自收集数据信息。第三,实施数据信息收集内容备案制度。收集企业数据信息的内容应向工商部门或地方信息主管部门备案,达到安全标准的企业可以在规定的范围内收集个人数据信息(涉及国家秘密、商业秘密和个人隐私的除外),没有达到安全标准的企业应当严格限制数据信息收集内容,不允许私自扩大收集范围。第四,建立信息公开制度,所有的企业分区域在特定网络平台将备案信息公开,供公众查询和监督。第五,针对超范围收集个人数据信息的行为或者非法目的使用数据信息的行为,探索实行个人信息保护公益诉讼制度。
(四)实施第三方市场主体参与数据信息收集制度
第三方市场主体参与数据信息收集制度是指在市场信息收集主体和被收集主体之外引入第三方主体,以实现数据信息收集和数据信息保护的目的。这一制度主要针对的是不符合安全标准而无法进行数据信息收集的市场主体,一方面弥补不能收集相关数据给企业发展带来的损失,另一方面也可以保护个人数据信息的安全,如酒店通过去哪儿、美团、飞猪旅行和携程旅行等平台,餐饮通过美团、饿了么、百度外卖和大众点评等软件平台,实现商户和用户的对接,保护个人数据信息安全。但应明确,第三方市场主体参与数据信息收集应当符合市场准入制度的要求;相关不符合安全標准的企业应当和第三方数据信息收集主体签订合作协议,协议内容涉及收集信息内容和使用目的应当在相关部门备案公示,便于公众监督;第三方数据收集主体自身的APP应当符合实名制和备案制度要求。
【参考文献】
[1]徐鹏.“徐玉玉案”黑客一审判决生效[N].法制日报,2017-09-09(08).
[2]高睿.国外金融信息泄露案件成因对我国的启示[N].科学导报,2019-10-22(B03).
[3](法)莱昂·狄骥.公法的变迁·法律与国家[M].郑戈,冷静译.沈阳:辽海出版社,春风文艺出版社,1999. [4]韩明安.新语词大词典[M].哈尔滨:黑龙江人民出版社,1991.
[5]孙国华.中华法学大辞典·法理学卷[M].北京:中国检察出版社,1997.
[6]邓晓芒.关于Person和Persnlichkei的翻译问题——以康德、黑格尔和马克思为例[J].哲学动态,2015(10):46.
[7]张吉豫.人工智能良性创新发展的法制构建思考[J].中国法律评论,2018,(2):115.
[8][美]亚伯拉罕·马斯洛.动机人格[M].许金声译.北京:中国人民大学人民出版社,2007.
[9]谢卫红,樊炳东,董策.国内外大数据产业发展比较分析[J].现代情报,2018,(9):114.
[10]张敏.交易安全视域下我国大数据交易的法律监管[J].情报杂志,2017,(2):127-128.
[11](英)维克托·恩伯格,肯尼思·库克耶.大数据时代[M].盛杨燕,周涛译.杭州:浙江人民出版社,2013.
[12]朱颖.我国移动APP隐私保护政策研究——基于96个移动应用APP的分析[J].暨南学报(哲学社会科学版),2017(12):107.
[13]魏晓敏.别让信息泄露成“脱缰野马”[N].新华日报,2019-08-08(07).
[14]中国网民达9.4亿!第46次CNNIC中国互联网报告发布[EB/OL].澎湃新闻网,https://www.thepaper.cn/newsDetail_forward_9399653.
[15]王树淼.过度采集信息侵犯用户隐私 谁在侵犯网民信息安全?[EB/OL].新浪网,https://news.sina.com.cn/gov/2019-07-17/doc-ihytcitm2541954.shtml.
[16]第43次中国互联网发展状况统计报告[EB/OL].中国互联网信息中心,http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201902/P020190318523029756345.
[17]APP不应成为泄露个人隐私通道[N].第一财经日报,2018-12-29(A02).
[18]夏燕.被遗忘权之争——基于欧盟个人数据保护立法改革的考察[J].北京理工大学学报(社会科学版),2015,(2):131.
[19]张玉洁,胡振吉.我国大数据法律定位的学说论争、司法立场与立法规范[J].政治与法律,2018,(10):146.
[20]孙宪忠:关于尽快制定我国《个人信息保护法》的建议[EB/OL].中国社会科学网,http://ex.cssn.cn/fx/201710/t20171016_3668348.shtml.
[21]付新华.大数据时代儿童数据法律保护的困境及其应对——兼评欧盟《一般数据保护条例》的相关規定[J].暨南学报(哲学社会科学版),2018,(12):83-84.
[22]220个窃取用户个人信息的恶意程序变种被曝光[EB/OL].新华网,http://www.xinhuanet.com/politics/2018-11/07/c_1123678221.htm.
[23]韩丹东,张睿青.赚钱类APP是掉馅饼还是挖陷阱[N].法制日报,2018-12-11(05).
[24]吉蕾蕾.警惕APP成为信息泄露的幕后黑手[N].经济日报,2019-01-11(05).
[25]韩丹东,罗聪冉.守住大数据应用的法律底线[N].法制日报,2019-05-15(04).
[26]齐恩平.实名制政策与隐私权保护的博弈论[J].法学杂志,2013,(7):61-66.
[27]杨晓楠.网络实名制管理与公民个人信息保护[J].情报科学,2012,(11):1615.
[28]章志远.行政法学总论[M].北京:北京大学出版社,2014.
(责任编辑:苗政军)
关 键 词:个人信息;APP主体;数据信息;备案制度
中图分类号:D922.1 文献标识码:A 文章编号:1007-8207(2021)01-0122-08
收稿日期:2020-07-12
作者简介:陈秀萍,河海大学法学院副教授,法学博士,硕士研究生导师,研究方向为法学理论、宪法与行政法;胡天金,河海大学法学院宪法学与行政法学硕士研究生,研究方向为宪法与行政法。
作者简介:本文系中央高校基金项目“中国传统‘法德合治’文化的积极因子和现代模式”的阶段性成果,项目编号:2019B36914。
近年来,因个人信息泄露所引发的一些社会事件在不同程度上对公民的人格权和财产权造成了侵害,随处可见的相关媒体报道也说明了网络数据安全面临的严峻形势①。[1][2]目前,理论上对个人信息的性质并未达成共识,其部分内容既可归属公民的人格权范畴亦可归属财产权范畴,因而对个人信息保护存在不同的见解。现实中,相关的制度标准也难以建构②。APP作为不断被普及的互联网衍生产品,对于个人信息保护处于重要的地位,理所当然地被纳入到立法规制的范围,但就APP本质上是一项应用程序而言,根据技术中立基本原则,其本身不具有可归责性③,[3]因此,立法规制的立足点在于APP的相关主体。在APP实际运行过程中,对于个人数据信息安全的威胁也主要是人为性因素的参与,其中相关主体包括APP的开发者、设计者和经营者。
一、APP主体立法规制的理论依据和必要性
(一)APP的内涵及其特征
APP主要是指在移动智能终端上被使用的一系列编程的集合,用来执行用户下发的指令,享受商家提供服务的程序,其本质是编程组合的程序。用户在使用APP过程中会产生大量的个人数据信息,其中包括用户注册的信息、用户授权软件获取的手机存储信息、用户浏览信息和用户消费信息等电子数据。一般具有以下几个特征:一是虚拟性,又称无形性。虚拟性是指APP缺乏实物形态,更多的是以现代智能设备作为载体而存在。从本质上讲,APP仅是由大量程序性语言组合而成的一项程序,程序只是行事先后的次序,[4]支撑其运作的是一系列的计算机语言并不占用物理空间,不具备物质形态。二是非人格性。人格在《中华法学大词典》中的解释为权利主体作为社会关系的参加者所必需具有的为法律所承认和保护的资格。[5]而人格性则是指由人格主体所具有的特征,因而人格性的特征只能存在于权利主体之中并且能够被法律认可。有学者认为,人格性是指只有在主体不仅仅是具体自己而具有的一般自我意识,也不是对完全抽象的自我、消灭一切具体的局限性和有效性的一种失效了的自我,而是拥有某种自我意识的时候,才开始的。[6]非人格性則是人格性的否定,指的是不具有某种自我意识的物或者是非权利义务关系的主体,没有被法律所认可的情况。APP并不具备自主意识,就其程序性的本质而言,不具有人格性的特征。三是复杂性或隐蔽性。APP的隐蔽性正是基于程序语言的专业性和复杂性,APP本身也是复杂的,其对用户信息权益的损害往往是隐而未现,难以发觉。用户所关注的是APP界面的简洁、大方、美观和运行流畅程度,而这些仅仅是复杂计算机语言的冰上一角,至于其怎么组合,具体怎么运转,普通的使用者难以了解①。[7]因而在使用者与提供者之间存在信息接受不对等的情况下容易发生信息侵权行为。
(二)APP立法规制的理论依据
⒈APP相关信息中的人格权益。“人格标识的完整性与真实性是主体受到他人尊重的基本条件。”[8]目前,互联网的发展对人格尊严的保护提出了新的要求,即现实生活标签与网络标签的真实性和一致性,任何层面的断裂都将致使人格尊严受辱,如近几年因个人信息泄露引发的网络人肉搜索事件,对于个体造成的伤害实质是虚拟世界中人格标识的完整性、真实性与现实的人格表示不一致而形成的,并通过互联网的放大,导致一些人成为受害者。换言之,只有兼顾个体的电子标签以及现实人格标识的一致性和完整性,个体才有获得人格尊严的可能。虚拟世界的电子标签主要由各种数据信息组合后展现,各类APP是个人信息数据产生的主要端口,如何保证APP相关主体合理收集用户信息以及保障被收集数据信息的安全,避免个人信息过度曝光,给个体带来人格尊严损害,是当前面临的现实难题。因此,基于技术中立的原则,应加强对APP相关主体的规制,使用户的个人信息安全更有保障,减少类似事件的发生。
⒉APP相关信息中的财产权益。数据信息具有财产属性,其背后存有巨大的经济价值是不争的事实。根据相关研究显示,美国医疗行业每年通过数据获得的潜在价值可超过3000亿美元,能够使得美国医疗卫生支出降低超过8%;充分利用大数据的零售商有可能将其经营利润率提高60%以上。[9]数据信息的财产价值还体现在大量数据交易中心的建立上。自2014年以来,我国陆续在各地建立了大数据交易中心①,[10]数据信息的财产价值属性不言而喻。目前,理论和实务界关于个人数据信息的所有权归属问题仍存在争论,无论是归属于个人还是归属于APP相关主体,从数据行业发展和公民权益保护的角度而言,都应当依法对APP相关主体进行规制,一方面可以规范行业发展,使其有法可依;另一方面可以从宏观角度预先保障数据信息安全,使相关财产权益得到保障。正是基于个人数据信息中体现的财产价值属性,使得数据信息和利益划上了等号,人们往往极尽所能地挖掘信息数据的潜在价值,作为信息的主要产生地和主要收集者的APP相关主体自然成为信息数据安全维护的主要参与者,也是规范使用信息数据、维护个体权益的直接关系人。从维护信息数据的财产价值而言,也应通过立法加强对APP相关主体的规制,规范整个数据信息行业发展,保障信息数据安全与合理使用。 (三)APP主体立法规制的必要性
⒈数据信息价值拓展的负面效应。数据信息价值的延伸以及互联网的复杂性使得数据信息网络安全维护成为一大难题,衍生出数据信息的负面效应。互联网技术的发展改变了人们对信息的认知,如信息的形式从语言、文字和动作拓展为抽象的电子数据,信息数据的思维方式也由因果关系拓展为相关关系。[11]正是思维的转变提高了数据信息的商品价值,如根据个人消费记录,有针对性提供产品,增强用户个人的消费欲望,以增加盈利。基于人的趋利性,原本限于向用户提供服务的APP开始大肆收集用户个人信息,其中包括提供服务的非必要信息,造成信息泄露事件屡屡发生,如2016年雅虎10亿信息泄露、1.17亿LinkedIn账户登录信息泄露。[12][13]
⒉APP信息保护的法律真空。随着手机用户的增加,大量的个人信息于手机端APP产生,相关立法的滞后性,使得APP领域的信息保护成为法律的真空地带。相关数据表明,截至2020年6月,我国网民规模达9.40亿人,其中手机网民规模达9.32亿。[14]庞大的手机用户群体使得通过APP提供服务的模式成为主流,APP数量也呈现出爆发式的增长。每一个APP通过收集用户个人信息的方式提供差异化的服务,其经营模式既对现有的相关法律规定提出了新的挑战,也对维护信息安全带来了巨大压力。一方面,现有的相关法律法规不具有针对性,亟待完善。互联网作为新生事物,在一些关键领域存在较大争议,难以形成理论上的共识。如我国正在着手制定的《中华人民共和国个人信息保护法》,从2003年国务院委托相关专家起草《个人信息保护法》开始,历经多个项目草案的更迭,目前仍在制定之中。而涉及APP个人信息保护的法律困境是相关高位阶的法律法规缺乏针对性,低位阶的规章缺乏有效性。另一方面,相关的法律规定滞后,存在规制漏洞,致使出现不规范的APP和APP相关主体利用法律漏洞恶意侵犯用户个人信息的行为。[15]APP只是一个执行用户指令的一系列程序的集合,其存续依赖于人的参与,其本身合理与否取决于相关主体,因为APP相关主体导致的信息权益损害行为的范围借助网络得以无限扩大,受害者分散,损害行为隐蔽性强,个人往往是后知后觉。基于法律规定的滞后性,相关主体往往会忽视对用户数据信息的保护,导致APP成为用户个人信息保护的真空地带。
⒊问题APP侵害公民权益。问题APP主要指市场中对于用户数据权益存在隐患的APP。相关调查显示,目前市场中的APP数量达百万件之多,涉及到社会生活的方方面面①。[16]其中基于现阶段APP开发的自主性、法律规制的缺乏和宽泛意义上的政府监管等因素,市场中的APP仍存在许多问题,如部分APP存在过度收集用户信息、涉及用户隐私部分存在设计漏洞及APP内部含有恶意程序等。2018年11月28日,中国消费者协会召开的新闻发布会公布了APP个人信息收集与隐私政策测评情况结果:10类APP普遍存在涉嫌过度收集个人信息的情况,59款APP涉嫌过度收集“位置信息”,28款APP涉嫌过度收集“通讯录信息”,23款APP涉嫌过度收集“身份信息”,22款APP涉嫌过度收集“手机号码”等。上海市消费者权益保护委员会也通报了关于规范浏览器、输入法、综合视频等手机APP涉及个人信息权限的测评结果,部分手机甚至出现了自动发送短信等异常现象。[17]APP存在个人信息安全隐患,根本原因在于APP背后的人的因素。
二、APP主体立法规制存在的问题
如今看似虚拟的网络把我们都变成了透明人②,[18]大大小小的传感器和屏幕组建成了现实生活中的电幕,作为信息数据的主要收集者、使用者和运营者,APP相关主体既可以是个人数据信息的侵犯者,也可以是构建个人数据信息保护的重要屏障,因而对其进行规制实属必要。
(一)APP相关法律法规缺乏有效性
目前,我国相关个人信息的法律规定,如《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《决定》)《移动智能终端应用软件预置和分发管理暂行规定》(以下简称《暂行规定》)等③均存在内容宽泛、缺乏约束力等一系列问题。具体而言,涉及到APP经营者的原则性规定较多,如《中华人民共和国网络安全法》和《暂行规定》中均规定了信息收集的知情同意原则,即APP经营者在收集用户信息的过程中应当征求用户的同意,但实际操作中这一原则容易被架空,即名为约定,实为强制,用户为了使用软件的便利性而放弃信息的自主控制权④。[19]又如《决定》中规定网络服务提供者收集用户信息应当遵循正当、合理、必要原则,至于何为必要、合理、正当的数据信息收集行为,标准难以把握,法律不具有可操作性,无法达到保护信息数据安全的目的。有学者认为,个人信息保护相关法律法规需要源头治理。[20]
(二)APP开发设计者立法规制的低位阶性
目前,与APP开发和设计人员有关的规范性法律文件主要有《暂行规定》《关于开展APP违法违规收集使用个人信息专项治理的公告》(以下简称《公告》)、《APP违法违规收集用户信息的认定方法》等,部门规章以及规范性法律文件对于个人信息保护的作用发挥有限,APP信息泄露问题仍旧存在。APP的开发和设计人员对APP自身的影响是基础性的,无论是自行开发设计还是接受他人委托开发设计,其行为都关乎个人信息安全保护的实效。假使一个APP在设计初始不存在漏洞,再通过后期程序不断更新,那么其发生信息泄露的可能性以及后续风险则会被降到最低。相反,如果一个APP在设计之初就存在漏洞,其缺陷是先天的,那么出现问题只是时间长短而已,信息安全隐患是必然的。在一些儿童智能联网设备上,如智能电话手表和智能玩具等,由于对相关开发设计人员缺乏必要的规制,很多APP中涉及用户隐私方面存有漏洞①,[21]致使传感器收集的数据信息存在被泄漏的可能。另外,部分移动设备内置APP含有恶意程序②,致使APP会主动上传用户的个人信息,包括语音、照片、位置甚至是实时视频等,[22]个人人身安全和隐私保護都在遭受问题APP的威胁,肆意的数据信息采集行为必然对个体权益造成损害。但《暂行规定》的法律位阶较低,在没有针对个人信息保护的上位法作为依据的情况下,很难采取有实质性的规制措施以约束相关主体的信息收集行为和消灭问题APP。这也解释了在2017年规章实施后个人数据信息泄露仍然屡禁不止,对APP泄露个人信息的报道连篇累牍的原因。[23-25]同时,《暂行规定》的条文数量简短,宣告式条文居多,对相关主体的经营行为缺乏实质性的约束,其中多数条文更倾向于行政指导的范畴,提供的是理性化的信息收集建议,因而缺乏实效性。《暂行规定》虽要求APP相关主体的实名制,但并无相应的配套措施,与《消费者权益保护法》中的实名制及其配套制度无法有效衔接。 三、APP主体立法规制:完善信息保护立法
(一)完善APP开发、设计主体实名制度
APP实名制是指APP相关主体在开发、设计或者委托开发APP过程中应当提供能够证明自身身份的信息。基于APP已成为数据信息的集散地,APP的开发和设计人员对于个人数据信息保护是基础性的,因而有必要对其进行规制。针对公民网络信息保护以及维护网络空间的安全,有学者将研究焦点放在公民个人的实名制认证即研究网络用户信息真实制度上。[26]但在实际推行过程中网络用户实名制有很大的局限性,普遍实施会带来很多社会问题,如韩国在实施公民个人信息网络实名认证制度之后,人们开始利用假身份信息进行登记注册以及黑客攻击网络窃取个人真实信息,最终韩国政府废除了网络实名制①。[27]我国实名制推行的现状也证明了其难度之大,而APP相关主体实名制相比较网络用户实名制而言则更为容易和安全。《暂行规定》已经尝试就APP相关主体的身份进行实名制认证,但该制度单一存在,难以形成监管合力,需要完善并与其他制度配套实施,以实现加强APP监管的目的,减少网络黑客攻击的成功率,降低内部和外部窃取用户信息的可能性。具体建议如下:第一,实行开发和设计人员实名登记制度,主要包括APP开发、设计相关主体,实名信息需要能够识别出具体个体,如企业需要提供的包括名称、住所、法定代表人、注册编号等信息。第二,明确相关主体享有自由自主开发APP的权利,同时也负有正当开发和使用APP的义务。第三,明确规定相关主体在实名制过程中负有信息真实义务,此处相关主体的信息真实义务主要是配合APP相关主体备案制度的实施。第四,APP开发、设计实名制和重点领域网络用户实名制联合实施,强调APP相关主体实名制并非是放弃网络用户实名制,相反需要联合两者共同实施。一个强调完善APP本身,另一个主要防范来自网络的攻击,维护网络空间安全。第五,在《暂行规定》实名制的基础上建立APP开发、设计人员黑名单制度,限期禁止进入软件开发和设计行业或者从事软件开发和设计行为。第六,拓宽用户投诉、举报、处理渠道,针对用户关于问题APP的举报、投诉要认真处理,及时向用户反馈信息。
(二)构建APP相关主体备案制度
APP相关主体备案制度指的是APP的设计者、开发者、所有者相关信息报地方信息主管部门进行备案,使其知晓,必要时备查的制度②。[28]第一,针对相关应用市场经营机构进行资格认定,根据相关法律规定,对一些违法的APP应用市场经营机构予以强制整改或者强制退出。第二,规范APP的下载安装方式,鼓励用户通过正规渠道下载软件,用户基于非正规渠道下载的软件,自行承担损失。第三,施行APP相关主体信息备案制度,即APP开发人员、设计人员和所有者的真实信息在各地的通信主管部门进行备案。第四,建立备案信息公开查询制度,监管机构可以在特定的网站上对备案信息进行公开,以备公众查询,加强公众监督。第五,健全用户投诉反馈机制,由APP应用市场管理者或者各地通信主管部门设置专门的渠道接受用户对问题APP的投诉,对于一些涉嫌违法违规以及存在恶意的强制性条款的APP强制其退出APP应用市场并给用户提供必要的提醒,违反法律法规的APP视情况可以通报相应的研发机构进行整改或者由司法部门追究法律责任。
(三)实施APP经营主体市场准入制度
数据信息收集主体市场准入制度是指进行个人数据信息收集的主体(APP经营者)进入市场的许可。个人数据信息涉及到个人的人格权益和财产权益,有必要加强对数据信息收集主体进行规制,规范数据信息收集行为。同时,实施数据信息收集主体市场准入制度,也可以对数据收集者进行分流,以最大限度地限制个人数据信息收集范围,保护个人数据信息安全。具体建议如下:第一,制定参与数据信息收集主体的市场准入标准。此项标准应包含相关主体APP的日常维护、信息泄露预防以及信息泄露处置办法等,只有达到标准要求才可以参与信息收集。第二,市场准入标准制定后对相关主体进行分流。具体而言,通过对现有的企业进行评估,符合安全标准的可以参与数据信息收集,没有达到安全标准的则不允许擅自收集数据信息。第三,实施数据信息收集内容备案制度。收集企业数据信息的内容应向工商部门或地方信息主管部门备案,达到安全标准的企业可以在规定的范围内收集个人数据信息(涉及国家秘密、商业秘密和个人隐私的除外),没有达到安全标准的企业应当严格限制数据信息收集内容,不允许私自扩大收集范围。第四,建立信息公开制度,所有的企业分区域在特定网络平台将备案信息公开,供公众查询和监督。第五,针对超范围收集个人数据信息的行为或者非法目的使用数据信息的行为,探索实行个人信息保护公益诉讼制度。
(四)实施第三方市场主体参与数据信息收集制度
第三方市场主体参与数据信息收集制度是指在市场信息收集主体和被收集主体之外引入第三方主体,以实现数据信息收集和数据信息保护的目的。这一制度主要针对的是不符合安全标准而无法进行数据信息收集的市场主体,一方面弥补不能收集相关数据给企业发展带来的损失,另一方面也可以保护个人数据信息的安全,如酒店通过去哪儿、美团、飞猪旅行和携程旅行等平台,餐饮通过美团、饿了么、百度外卖和大众点评等软件平台,实现商户和用户的对接,保护个人数据信息安全。但应明确,第三方市场主体参与数据信息收集应当符合市场准入制度的要求;相关不符合安全標准的企业应当和第三方数据信息收集主体签订合作协议,协议内容涉及收集信息内容和使用目的应当在相关部门备案公示,便于公众监督;第三方数据收集主体自身的APP应当符合实名制和备案制度要求。
【参考文献】
[1]徐鹏.“徐玉玉案”黑客一审判决生效[N].法制日报,2017-09-09(08).
[2]高睿.国外金融信息泄露案件成因对我国的启示[N].科学导报,2019-10-22(B03).
[3](法)莱昂·狄骥.公法的变迁·法律与国家[M].郑戈,冷静译.沈阳:辽海出版社,春风文艺出版社,1999. [4]韩明安.新语词大词典[M].哈尔滨:黑龙江人民出版社,1991.
[5]孙国华.中华法学大辞典·法理学卷[M].北京:中国检察出版社,1997.
[6]邓晓芒.关于Person和Persnlichkei的翻译问题——以康德、黑格尔和马克思为例[J].哲学动态,2015(10):46.
[7]张吉豫.人工智能良性创新发展的法制构建思考[J].中国法律评论,2018,(2):115.
[8][美]亚伯拉罕·马斯洛.动机人格[M].许金声译.北京:中国人民大学人民出版社,2007.
[9]谢卫红,樊炳东,董策.国内外大数据产业发展比较分析[J].现代情报,2018,(9):114.
[10]张敏.交易安全视域下我国大数据交易的法律监管[J].情报杂志,2017,(2):127-128.
[11](英)维克托·恩伯格,肯尼思·库克耶.大数据时代[M].盛杨燕,周涛译.杭州:浙江人民出版社,2013.
[12]朱颖.我国移动APP隐私保护政策研究——基于96个移动应用APP的分析[J].暨南学报(哲学社会科学版),2017(12):107.
[13]魏晓敏.别让信息泄露成“脱缰野马”[N].新华日报,2019-08-08(07).
[14]中国网民达9.4亿!第46次CNNIC中国互联网报告发布[EB/OL].澎湃新闻网,https://www.thepaper.cn/newsDetail_forward_9399653.
[15]王树淼.过度采集信息侵犯用户隐私 谁在侵犯网民信息安全?[EB/OL].新浪网,https://news.sina.com.cn/gov/2019-07-17/doc-ihytcitm2541954.shtml.
[16]第43次中国互联网发展状况统计报告[EB/OL].中国互联网信息中心,http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201902/P020190318523029756345.
[17]APP不应成为泄露个人隐私通道[N].第一财经日报,2018-12-29(A02).
[18]夏燕.被遗忘权之争——基于欧盟个人数据保护立法改革的考察[J].北京理工大学学报(社会科学版),2015,(2):131.
[19]张玉洁,胡振吉.我国大数据法律定位的学说论争、司法立场与立法规范[J].政治与法律,2018,(10):146.
[20]孙宪忠:关于尽快制定我国《个人信息保护法》的建议[EB/OL].中国社会科学网,http://ex.cssn.cn/fx/201710/t20171016_3668348.shtml.
[21]付新华.大数据时代儿童数据法律保护的困境及其应对——兼评欧盟《一般数据保护条例》的相关規定[J].暨南学报(哲学社会科学版),2018,(12):83-84.
[22]220个窃取用户个人信息的恶意程序变种被曝光[EB/OL].新华网,http://www.xinhuanet.com/politics/2018-11/07/c_1123678221.htm.
[23]韩丹东,张睿青.赚钱类APP是掉馅饼还是挖陷阱[N].法制日报,2018-12-11(05).
[24]吉蕾蕾.警惕APP成为信息泄露的幕后黑手[N].经济日报,2019-01-11(05).
[25]韩丹东,罗聪冉.守住大数据应用的法律底线[N].法制日报,2019-05-15(04).
[26]齐恩平.实名制政策与隐私权保护的博弈论[J].法学杂志,2013,(7):61-66.
[27]杨晓楠.网络实名制管理与公民个人信息保护[J].情报科学,2012,(11):1615.
[28]章志远.行政法学总论[M].北京:北京大学出版社,2014.
(责任编辑:苗政军)