孟 翔

廣東尚堯律師事務(wù)所，廣東 佛山 528000

近年來，各類APP 迅速發(fā)展，相比之下，法律規(guī)定和監(jiān)管治理存在滯后現(xiàn)象，導致個人信息通過APP 被大量過度收集和不當使用，例如2020年北京互聯(lián)網(wǎng)法院在個案中認定了某音APP 和某信讀書等軟件均存在侵害個人信息權(quán)益的情況。這表明，APP 個人信息泄露情況十分嚴重，相關(guān)治理刻不容緩。［1］對于APP 個人信息使用情況的治理，既要繼續(xù)保留其合理使用的區(qū)域，又要嚴格約束其不能跨越使用邊界，對此，本文將結(jié)合《民法典》中相關(guān)規(guī)定展開分析和說明。

一、APP 對個人信息使用中存在的問題

（一）核心問題——合理邊界

在APP 等軟件對個人信息的使用上，一直存在的一個核心問題，是如何確定合理使用的邊界。對此，學界和實務(wù)界都存在眾多爭議，尚未確定。個人信息作為自然人人格標識的展現(xiàn)，它和個人隱私權(quán)不同。個人隱私權(quán)屬于一種絕對防御性權(quán)利，不容侵犯；但是個人信息卻允許被合理使用。例如對個人的消費習慣、消費偏好等的收集，有助于APP 等軟件改善自己的用戶體驗，但是對此必須在合理范圍內(nèi)展開。然而，合理范圍在哪里，它本質(zhì)上不是一個理論上可以確定的問題，而需要在現(xiàn)實中不斷摸索，積累經(jīng)驗。

（二）APP 對個人信息獲取要求超越“必要性”范疇

一些調(diào)查表明，雖然法律規(guī)定了必要性原則，要求APP 對于用戶個人信息的獲取必須遵循必要上的最低限度。［2］但是在實際操作中，必要性原則的具體內(nèi)容并不清晰。一些APP 所提供的服務(wù)會和其他領(lǐng)域交叉，或者自身就提供一種多元化服務(wù)，此時其從某一渠道中獲得的個人信息，也會被其運用到其他領(lǐng)域和服務(wù)中。所謂的必要性原則，到底是基于單一領(lǐng)域的必要性原則，還是基于APP 整體功能的，并不清晰。此外，是否允許APP 可以將從某一領(lǐng)域內(nèi)獲得的個人信息運用到其他領(lǐng)域中，也充滿爭議。

（三）APP 如何使用個人信息用戶不知情

APP 軟件如何使用個人信息，對此很大程度上依賴于APP 軟件的自我約束，以及相關(guān)監(jiān)管。對此，作為個人信息的直接提供者——用戶，既不知情，也無能為力，無法介入。用戶只能期待APP軟件使用過程是誠信、善意的，這構(gòu)成了其合理信賴。［3］但是，由于雙方信息獲取差異性過大，以及在行業(yè)地位、技術(shù)上存在巨大的鴻溝，導致了用戶對APP 軟件無法實施監(jiān)控。相關(guān)監(jiān)管畢竟存在監(jiān)管范圍的局限性，這就導致缺乏用戶監(jiān)督構(gòu)成了最大的監(jiān)管漏洞。

（四）用戶對個人信息授權(quán)缺乏選擇性

許多用戶并不樂意對APP 軟件在過大范圍內(nèi)授權(quán)自己的個人信息，但是問題在于，他們對授權(quán)程度無法選擇，并且一旦拒絕整體性授權(quán)，就意味著他們無法繼續(xù)使用某個APP。此種情況下，如果缺乏其他同類替代品，且替代品執(zhí)行不一樣的個人信息搜集規(guī)定，他們往往被迫必須使用某個特定APP，并且接受其個人信息相關(guān)規(guī)定。實際情況中，許多同類型的APP 往往執(zhí)行相同的個人信息搜集規(guī)則，并未給用戶提供多樣性選擇。這就導致了用戶對個人信息的授權(quán)看起來有選擇權(quán)利，實際上并無選擇權(quán)利。

二、APP 對個人信息合理使用的約束困境

APP 對個人信息合理使用的約束主要通過法律規(guī)定、司法訴訟和監(jiān)管治理等實現(xiàn)，但是三者在對其發(fā)揮規(guī)制、約束作用上均還存在一些困難之處。

（一）法律困境

APP 對個人信息合理使用的約束困境突出體現(xiàn)在“知情—同意”規(guī)則運用的局限性上。個人信息收集上應(yīng)當按照法律法規(guī)的規(guī)定和雙方約定，遵循《網(wǎng)絡(luò)安全法》第四十一條的規(guī)定，滿足合法、正當、必要原則，收集信息的類型、目的、方式和內(nèi)容都應(yīng)該提前向用戶公布說明，只有用戶同意，才可以繼續(xù)收集。［4］但這一規(guī)則是否能落入實效，是一個很大的疑問。無論是用戶在其中的知情，還是用戶在其中的同意，都很難被視為是在真正自由和充分了解下做出的選擇。因為例如相關(guān)內(nèi)容非?；逎y懂、非常專業(yè)，用戶對此無法理解，隱私政策訪問路徑個性化設(shè)置比較復(fù)雜，許多用戶為了快速使用APP 往往會勾選通行的規(guī)則，即同意APP 對自己個人信息全面搜集。但如此，用戶實際上放棄了自己真正的知情和同意權(quán)利，這種放棄并非主動，而往往是基于被迫。

APP 對個人信息合理使用的法律約束還體現(xiàn)為必要性內(nèi)容的不清晰?！缎畔踩夹g(shù)—個人信息安全規(guī)范》（GB/T 35273-2020）附錄A 中，對于個人信息進行了具體類型的列舉，規(guī)定APP搜集個人信息必須符合其目的，而且僅在必要的情況下搜集。但是由于目前相關(guān)列舉雖然細致，卻沒有進一步說明不同APP 允許搜集哪些個人信息，以及如何確保其搜集目的、手段和內(nèi)容之間符合必要性原則，也即符合比例原則，這就導致了即便APP 過度搜集個人信息，對其不恰當使用，法律上也很難對此具體界定和懲處。

（二）司法困境

APP 對個人信息是否合理使用，一旦相關(guān)情形進入到司法訴訟中，司法訴訟對其如何判定以及懲處，也存在一些困難。這一難點主要是在于，司法訴訟中并不能簡單否定APP 對個人信息的任何使用，而必須要探索如何貫徹個人信息合理使用制度下公共利益與私人利益之間的平衡。［5］目前，司法訴訟中的相關(guān)困境主要體現(xiàn)為：

1．個人信息合理利用上存在舉證困境。作為用戶的個體，往往缺乏足夠的舉證能力，證明APP對個人信息利用上的不合理。相比之下，APP 卻可以比較輕易地證明自己對個人信息利用上是“合理”的。這里就存在一種由網(wǎng)絡(luò)信息技術(shù)導致的技術(shù)鴻溝，對其進行客觀判斷的主體，只能是具有同樣知識技術(shù)背景的客觀第三方專家或?qū)I(yè)機構(gòu)。即便是法官也很難憑借個人法律素養(yǎng)和經(jīng)驗進行合理判定。

2．即便APP 對個人信息的利用存在不合理，往往侵權(quán)后果上也難以明確。因為APP 不當使用個人信息主要體現(xiàn)為將其給其他機構(gòu)、程序繼續(xù)使用導致信息泄露，或者對其進行商業(yè)使用，從而變現(xiàn)，但是它給個人帶來的侵害后果卻是不明確的，往往只有極端案例下，侵害后果才凸顯出來，大量其他情況下，侵害后果是隱蔽的、長期的和緩慢的。

3．APP 對個人信息的不當利用屬于典型的違法成本低、維權(quán)成本高。這導致大量用戶如果沒有面臨極端侵害情況，往往選擇息事寧人，而不會主動維權(quán)。

（三）監(jiān)管困境

在行政監(jiān)管方面而言，如何能夠?qū)PP 搜集個人信息進行有效監(jiān)管，目前也存在許多困境。監(jiān)管理念的落后、監(jiān)管制度的不成熟以及監(jiān)管效果的不可控性，都是廣泛存在的困境。2017 年6 月1日我國《網(wǎng)絡(luò)安全法》施行以后，對移動APP 進行監(jiān)管已經(jīng)成為相關(guān)部門的工作重點，例如2017年中央網(wǎng)信辦、工信部、公安部和國家標準委等部門都開展了專項工作，打擊APP 過度搜集個人信息和保護個人隱私權(quán)的現(xiàn)象；2019 年，類似專項活動繼續(xù)展開，并且還拓展了不同的舉報渠道，不斷編制新的規(guī)范文件，并讓專業(yè)評估機構(gòu)介入進行評估等。［6］這些活動雖然表明了行政監(jiān)管的力度和決心，但是其問題在于，專項行動具有效果上的不可持續(xù)性。它沒有能夠形成長期、持續(xù)、穩(wěn)定的監(jiān)管效果。這就導致某些整改在整改之初效果良好，但是整改專項行動過去以后，隨著時間的推進，整改效果會不斷下降，最終APP軟件可能又會在個人信息搜集上“故態(tài)復(fù)萌”。

三、確保APP 對個人信息合理使用的法律規(guī)制之建議

針對如上APP 對個人信息搜集中存在的問題，以及其法律規(guī)制的相關(guān)困局，筆者從法律規(guī)定、司法訴訟和行政監(jiān)管三個層面給出如下法律規(guī)制建議。

（一）改進、補充“知情—同意”規(guī)則和必要性規(guī)則

如上所述，“知情—同意”規(guī)則和必要性規(guī)則對于APP 合理使用個人信息的保證和約束效果越來越差，對此有必要通過規(guī)則補強的方式，才能讓兩項原則繼續(xù)發(fā)揮作用，實現(xiàn)較好效果。

就“知情—同意”規(guī)則而言，要保證用戶的“同意”是在擁有充分自主權(quán)的情況下，自主選擇的“同意”，即便用戶不同意APP 的搜集和使用個人信息規(guī)則，也能使用APP 的基本功能。要確保用戶“知情—同意”的自主性，法律需要保證，用戶即便不同意APP 的個人信息搜集和使用規(guī)則，也能夠找到替代功能的APP，或者能夠繼續(xù)使用APP 的部分基本功能。對于前者，已經(jīng)超出了法律的可能，所以法律應(yīng)當保證用戶在不同意APP 的個人信息搜集和使用規(guī)則下，也能夠繼續(xù)使用APP 的部分基本功能。這才是真正的個人信息自決，否則所謂的“同意”會等同于受害人同意“讓盜竊變?yōu)橘浥c”的情況。［7］

要確保用戶能真正知情和同意，還必須要繼續(xù)細化APP 收集個人信息的必要性規(guī)則，即APP對個人信息收集的程度必須再進一步分級。筆者建議，法律應(yīng)當出臺相關(guān)更細的司法解釋，將APP對個人信息收集的程度分為“個人信息的必要搜集”“個人信息的全面搜集”和“個人信息的個性化搜集”三類。APP 應(yīng)當允許用戶選擇“個人信息的搜集”程度，通過最低限度的個人信息搜集措施，從而應(yīng)用APP 的最基本功能。一旦用戶想用更高級功能，則需要用戶進一步重新對某些新的搜集需要進行授權(quán)。如果用戶想一勞永逸，也可以選擇“個人信息的全面搜集”。對于一些有個人偏好的用戶，應(yīng)當允許其對個人信息搜集進行一種個性化設(shè)置。

（二）細化司法訴訟中APP 一方的舉證義務(wù)

在司法訴訟中，為了更好地達成實質(zhì)公平，也即更多激勵用戶維護自己的權(quán)利，對APP 信息搜集和利用的合理性形成外部約束，則要重新分配舉證義務(wù)。用戶如果認為APP 信息搜集和利用不夠合理，只需要負擔最基本的舉證義務(wù)，從普通公眾角度、根據(jù)普通公眾的能力能提出最基本的證據(jù)即可。涉及APP 信息搜集和利用的專業(yè)領(lǐng)域，在普通人無法進入的階段，APP 信息搜集和利用的相關(guān)舉證將轉(zhuǎn)移到APP 一方，或者由法官來依據(jù)職權(quán)搜集證據(jù)。如此，提高了相關(guān)案例的可訴性。

具體而言，APP 一方需要證明的方面包括：對用戶“知情—同意”規(guī)則形成實質(zhì)性運用，即雙方達成真正合意。此外，還須證明自己搜集用戶個人信息的范圍、方式和內(nèi)容是必要的，自己對用戶個人信息的利用目的、方式是合理的，自己沒有給用戶個人信息保護上帶來負面影響以及違反相關(guān)法律規(guī)定。對此，也需要司法實踐中出臺更細的解釋規(guī)則，明確APP 一方證明的內(nèi)容和證明的方式，需要提供何種證據(jù)來表明這一點。司法實踐中還要繼續(xù)細化APP 不當、非法搜集、使用用戶個人信息情況下的法律責任的承擔。從《民法典》角度看，其主要為民事責任，應(yīng)當既包括財產(chǎn)利益的損失，也包括精神利益損失。［8］此外，《民法典》中所規(guī)定的人格權(quán)禁令制度也應(yīng)當進一步運用在這里，形成良好的事前預(yù)防機制。

（三）建立穩(wěn)定、持續(xù)、效果確定的行政監(jiān)管體系

穩(wěn)定、持續(xù)、效果確定的行政監(jiān)管體系的建立，有助于行政機關(guān)對APP 搜集、使用個人信息形成持續(xù)的監(jiān)控和約束，使得其違法成本被有效提高。如此，各類APP 軟件不容易出現(xiàn)在“嚴打”期間謹慎行事，之后就放松的情況。因為APP 開發(fā)時間通常不長，更新較快，更迭周期短，這意味著“嚴打”性、專項式的行政監(jiān)管在APP 監(jiān)管上很容易形成一些漏洞。所以，行政監(jiān)管需要深入到APP 個人信息數(shù)據(jù)的內(nèi)部管理上，由此出發(fā)構(gòu)建一套嚴謹?shù)墓芸伢w系。［9］如此，讓APP 在設(shè)計個人信息數(shù)據(jù)搜集和利用的底層邏輯上就接受監(jiān)管，此后每一個環(huán)節(jié)都符合監(jiān)管要求。如此，APP 個人信息數(shù)據(jù)的搜集和使用才能最大程度上被置于有效的行政監(jiān)管之下，并且形成確定的監(jiān)管效果。

四、結(jié)語

當下我國各類APP 對個人信息搜集和使用上，仍舊呈現(xiàn)出明顯的無序感。這種無序感深刻影響著個人信息數(shù)據(jù)保護與應(yīng)用的相關(guān)市場，也限制了APP 對個人信息真正有必要的合理利用。對此，需要找到合理利用的邊界、方式和內(nèi)容，加強法律規(guī)定、制度建設(shè)、司法實踐和行政監(jiān)管各方面的約束，從而使得APP 對個人數(shù)據(jù)的合理利用真正成為可能。