手機APP收集用戶個人敏感信息規制分析

孫鐵文

摘 要：近年來，個人信息被手機APP過度收集和不當使用的現象逐漸引起了消費者的重視，而今年一款名為“ZAO”的AI換臉軟件，因為其 “霸道”的用戶協議和隱私政策更是引起了極大的爭議。通過對引發爭議的個人信息收集條款進行分析，結合我國個人敏感信息保護的現狀，認為我國有必要完善信息分類制度，給予個人敏感信息以特殊的保護。

關鍵詞：個人信息保護；個人敏感信息；規制

中圖分類號：D9 文獻標識碼：A doi：10.19311/j.cnki.16723198.2019.32.080

隨著大數據時代的到來，個人信息的分析和利用促進了互聯網行業的發展，極大方便了人們的生活，但是與此同時，頻發的信息泄露事件也使得部分手機APP用戶對收集用戶個人信息的企業產生了信任危機。據調查，54%的網民認為個人信息泄露嚴重，84%的網民曾親身感受到因個人信息泄露帶來的不良影響，如何保護消費者的個人信息權利，避免個人敏感信息的不當使用，成為了亟需解決的難題。強化個人敏感信息的保護，規范個人信息的收集和處理規則刻不容緩。

1 “ZAO” 隱私政策及用戶協議存在的問題

AI換臉軟件“ZAO”因其“換臉”操作簡單、素材豐富、視頻生成時間短等優點，在2019年8月末上線后引發了廣泛的關注。對于許多年輕人來說，只需提供一張照片，便可以通過“ZAO”迅速生成以自己為主角的短視頻，置身于影視劇或者綜藝節目之中，這是一件有趣的事。也正因如此，該APP的下載量飆升，僅僅幾天就登上了APP Store免費APP排行榜的第一位。然而，在“ZAO”爆紅的第二天，有法律工作者指出，其用戶協議和隱私政策疑似存在過度收集用戶信息等問題，而且用戶的個人敏感信息很有可能在沒有被充分告知的情況下，被“ZAO”共享或者出售給第三方，主要問題體現在以下幾方面。

1.1 涉嫌過度收集用戶信息

“ZAO” 8月31日版本（即修改前的版本）的隱私協議提出，為確保用戶身份真實性，提供安全保障，用戶需提供身份證、駕駛證、社保卡、面部特征或者芝麻信用等個人敏感信息。作為一款視頻制作類手機APP，“ZAO”要求用戶提交面部識別信息來完成換臉視頻的制作，這本無可厚非，但是要求用戶提供類似芝麻信用的個人敏感信息，這與其產品的“換臉制作短視頻”的主要功能并無實際聯系，甚至可以說超出了合理的范圍，有過度收集用戶信息的可能。

1.2 未明確告知信息收集、使用的目的和方式

8月31日版本的“ZAO”用戶協議第6條第2款要求用戶將肖像授予“ZAO”及其關聯公司全球范圍內完全免費、不可撤銷、永久、可轉授權和可再許可的權利。但是 “完全免費、不可撤銷、永久可轉授權和再許可” 有“霸王條款”的嫌疑，這樣的措辭并不符合我國《網絡安全法》中關于信息收集正當性原則的要求，而且該條款也未能明確告知用戶其肖像使用的目的和方式，無法切實保障用戶的知情權。

1.3 沒有體現對用戶敏感信息的保護

根據8月31日版本的“ZAO”用戶協議第6條，用戶必須同意“ZAO”及其關聯公司對用戶的肖像和上傳的內容進行部分或者全部的修改。但是用戶的肖像，也就是個人生物識別信息，屬于敏感信息的一種，因此如果需要對用戶肖像進行變動，應有明確的限定和說明，讓用戶充分理解該條款的含義，否則可能會導致權利被濫用，從而導致侵權事件的發生。

1.4 違反公平原則

8月31日版本的“ZAO”用戶協議第6條，要求用戶同意授予“ZAO”及其關聯公司以及“ZAO”用戶全球范圍內完全免費、不可撤銷、永久、可轉授權和可再許可的權利，包括但不限于對用戶內容進行修改與編輯，以及對修改前后的用戶內容進行信息網絡傳播和由著作權人享有的全部著作財產權及鄰接權利。這種格式化的用戶協議，在沒有進行標黑、加粗等明確標識的情況下，要求用戶永久且不可撤銷地將肖像授權給“ZAO”使用和傳播，并且享有全部著作財產權，這實際超出了正常使用的范圍，導致雙方權利義務不對等，違反公平原則。

2 我國個人敏感信息保護存在的不足

2.1 個人敏感信息不規范收集的現象嚴重

用戶同意企業對其個人敏感信息進行收集和處理應是建立在充分理解條款含義的基礎上，按照個人的自由意志做出決定，但是現實中用戶通常沒有足夠的選擇權，手機APP不規范收集個人敏感信息的情況屢屢發生。2018年11月中國消費者協會曾對10類共100款常用APP的隱私政策進行測評，結果顯示：在參與測評的APP中，有91款存在過度收集或使用個人信息的情況；59款未明確告知收集個人信息的類型，且收集敏感信息時未明確告知用戶信息的用途；42款對外提供個人信息時不會單獨告知并征得用戶同意。2019年7月APP專項治理工作組通報了天天酷跑、探探等20款APP要求用戶一次性同意開啟多個收集個人信息權限的情況，如果用戶不同意那么就無法使用該APP的全部功能。

這些測評結果和數據都反映出，目前我國手機APP的隱私政策中，很多是采用默示同意的方法獲得用戶的知情同意，未能給予用戶足夠的選擇權，用戶只能接受APP的隱私政策，否則將無法使用該軟件。此外，過度收集用戶個人信息的情況也比較嚴重，存在“一攬子”授權的情況，不加區分地要求用戶將一般個人信息和個人敏感信息一概授權給信息收集方。

2.2 現行法律制度對個人敏感信息保護存在局限性

目前，在《民法總則》、《消費者權益保護法》、《網絡安全法》、《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱兩高解釋）等法律法規和司法解釋中都涉及了關于個人信息保護的內容，但是法律條文比較分散，缺乏統一的標準，很多只是原則性的規定，比如《民法總則》第111條規定：“自然人的個人信息受法律保護……不得非法收集、使用、加工、傳輸他人個人信息。”兩高解釋則明確了未經被收集者同意進行收集或者提供公民個人信息可能構成侵犯公民個人信息罪。而《網絡安全法》雖然指出了個人信息收集的原則和應當經過被收集者的明示同意，但是對于明示同意的方式并未進一步說明，而且未明確區分個人敏感信息和一般個人信息，可操作性不強。

全國信息安全標準化技術委員會發布的《信息安全技術個人信息安全規范》（以下簡稱《個人信息安全規范》）在個人信息收集、使用、保存等方面進行了較為詳細的規定，但是由于《個人信息安全規范》只是推薦性國家標準，只是可以對企業制定隱私政策起到指引的作用，不屬于正式的法律淵源。一旦發生糾紛，行政機關和消費者并不能直接以《個人信息安全規范》作為依據，因此對于企業來講，約束力不強。

2019年網信辦等4部門開展的APP違法違規收集使用個人信息專項治理工作初見成效，APP專項治理工作組結合工作經驗出臺了《APP違法違規收集使用個人信息行為認定方法（征求意見稿）》（以下簡稱《認定方法》），對不當收集用戶信息的現象進行了歸納和列舉，可以說全面細致地界定了違法違規收集使用個人信息的行為，但是和《個人信息安全規范》一樣，《認定方法》也是能對行政機關認定APP違法違規有一定參考價值，卻不能直接作為行政機關采取強制措施的依據。

2.3 個人敏感信息保護不足的結論

綜上所述，我國現行個人信息保護的法律制度在規范APP信息收集時無法起到預期的作用，對于消費者的保護有所欠缺，這一方面是由于現有的告知同意規則和信息分類制度無法保障用戶的知情權，個人敏感信息被“一攬子”授權給了信息收集者；另一方面是因為缺乏完備的信息保護法律體系和切實有效的懲戒機制，因此無法有效約束違規收集的企業。

3 強化個人敏感信息保護的必要性及措施

3.1 必要性

敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。與一般的個人信息相比，敏感信息往往具有獨特性，和特定個體之間的聯系非常緊密，其中蘊含的風險往往也更大，以面部識別信息為例，由于它是根據人的臉部特征信息進行身份識別，因此掌握該信息的一方往往可以通過面部識別信息，準確定位到與之相對應的某一個具體的人，如果該信息發生泄露，結合AI換臉等技術，可能會誘發新形式的網絡詐騙犯罪，給其他公民造成嚴重的財產損失。因此，對于一般的個人信息和敏感個人信息應有所區分，尤其對于個人敏感信息，需采取更嚴格的保護措施。

3.2 措施

（1）完善個人信息分類制度，對一般個人信息和個人敏感信息劃分不同的保護標準。

首先要建立個人信息分類制度。張新寶教授提出個人信息保護應遵循“兩頭強化，三方平衡”的原則，兩頭強化是指：在個人敏感信息與個人一般信息區分的基礎上，強化個人敏感信息的保護和強化個人一般信息的利用，從而實現利益的平衡。我認為個人敏感信息應以列舉式為基礎，將個人身份信息、生物識別信息、健康信息、基因信息、性信息及種族信息明確規定為個人敏感信息。同時考慮到科技的發展可能會對列舉的信息種類造成挑戰，使其無法靈活應對社會的變化，應設置兜底條款，方便結合未來的實際情況進行變通，給個人敏感信息立法工作留有一定的空間。

此外，對于個人敏感信息的收集和處理規則，可以參考實踐中其他國家的經驗，如歐盟和美國對于個人敏感信息都有特殊的保護規則。歐盟《一般數據保護條例》第9條規定：“對揭示種族或民族出身，政治觀點、宗教或哲學信仰，工會成員的個人數據，以及以唯一識別自然人為目的的基因數據、生物特征數據，健康、自然人的性生活或性取向的數據的處理應當被禁止。”即采取禁止處理原則，在通常的情況下禁止信息收集者對個人敏感信息進行任何形式的處理，除非符合法定例外的情況。而美國則采用三個層次的個人信息收集機制：一是對于可合理預期被收集、處理的個人信息，事先推定企業已獲得消費者的同意授權；二是對于無法合理預期會被收集的一般個人信息，采用擇出式同意（opt-out）的原則，即告知用戶選擇退出的機制；三是對于無法合理預期會被收集的敏感個人信息，采用擇入式同意（opt-in）的原則，即需要獲得用戶明示同意。

結合我國實際情況，我認為完全禁止企業進行個人敏感信息的處理有些過于嚴苛，因此可以根據各類手機APP的實際情況，制定該種類APP收集個人敏感信息的標準范圍，并根據實際情況進行更新。如果企業因為采用了某些新技術或者開發了新功能，確實需要在標準之外收集某些敏感信息，在相關部門進行備案登記之后方可進行收集和處理。

（2）明確應用平臺的隱私政策基本審核義務。

除了從法律層面上規范手機APP的個人敏感信息收集規則之外，手機應用平臺也應該對APP的隱私政策負有最基本的審核義務，如要求進入其平臺的APP必須在商店下載界面展示其用戶隱私政策，并且收集的個人敏感信息不得超出該種類APP法定的范圍（經備案審查合格的除外），這樣可以從源頭減少過度收集用戶個人信息的現象。同時，對于經舉報核實存在問題的手機APP，平臺應迅速將其下架或采取臨時性屏蔽等措施，通知和促使其盡快修改隱私政策，防止更多用戶的信息被不合理地收集。

4 結語

“ZAO”事件僅僅是我國手機APP對用戶個人信息過度收集和不當使用的一個縮影，事情發酵后“ZAO”迅速修改了其用戶協議和隱私政策，然而文本縱然可以輕松更改，用戶失去的信任和信心卻需要企業付出更大的努力才能喚回。所以對于企業來講，與其亡羊補牢，不如一開始就做到信息收集合法合規，既保護了用戶的利益，也可以促進企業的良性發展。當然，對于個人敏感信息的保護更離不開法律的保障，當前分散的個人信息保護規定已經落后于社會的發展速度，因此必須引起重視，完善相關的法律制度以保護消費者的權益。

參考文獻

[1]中國網民權益保護調查報告2016：54%的網民認為個人信息泄露嚴重[EB/OL].[20190821].http：//www.isc.org.cn/zxzx/xhdt/listinfo-33759.html..

[2]中國消費者協會.100款App個人信息收集與隱私政策測評報告[EB/OL].[20190821].http：//www.cca.org.cn/jmxf/detail/28310.html.

[3]APP專項治理工作組.10款APP存在無隱私政策等問題[EB/OL].[20190822].http：//www.cqn.com.cn/pp/content/201907/11/content_7305807.htm.

[4]戴正，邵丹.互聯網企業隱私政策風險下個人信息保護對策研究[J].哈爾濱學院學報，2019，（2）：7983.

[5]國家標準GB/T 35273-2017信息安全技術個人信息安全規范[S].

[6]張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學，2015，（3）：3859.