app應用程序中的個人信息保護

劉彬

隨著信息技術與經濟社會的交匯融合，各類移動應用程序的運用，使人們可以足不出戶完成生活中衣食住行等各個方面的事項，極大方便了人們的日常生活。截至2019 年12 月，我國國內市場上監測到的App 數量為367 萬。移動網民人均安裝APP總量增加至60款，用戶每天花在各類App 的時間為5、1小時。從應用類型看，App 已實現生活場景全覆蓋，形成圍繞個人需求的完整消費閉環。移動互聯網的發展，極大便利了人們的生活，而人們在享受移動應用程序（APP）帶來的便利時，公民個人信息的泄漏問題也屢屢發生。根據CNNIC發布的第44次《中國互聯網發展狀況統計報告》，個人信息泄漏的網民比例排名，從2018年12月的第二位上升到2019年6月的第一位。盡管國家加大了APP侵害用戶權益的專項整治工作，但是信息泄漏問題仍然屢見不鮮，僅2019年7月到2020年1月這4個月期間，至少進行過7次公開點名要求APP進行整改，且每次都有知名APP在列， 目前相關部門對于問題APP主要采取自查、曝光、下架、限期整治等之類措施，但由于此類措施威懾力不大，整改效果往往不如人意。如何在移動互聯網高速發展的過程中，加強APP個人信息保護。是目前亟待解決的問題之一。

一、APP應用程序應用環節中個人信息存在的問題

1、APP應用程序中個人信息收集環節存在的問題。根據艾媒咨詢機構發布的《2020年中國手機App隱私權限測評報告》，當前多數手機App仍存在強制超范圍索要權限的情況。部分APP運營者為了盡可能的收集公民個人信息，通常會超范圍的索要用戶權限，企業在相關協議中都會盡可能將擴大用戶授權收集數據的范圍，或者模糊授權條款收集用戶個人信息。

2、 APP應用程序中個人信息共享環節存在的問題。數據共享已經成為信息數據利用的一種重要方式。數據共享能實現數據資源的重復利用，降低數據收集成本，實現同類數據社會效益的最大化，與此同時，為了獲得用戶的授權，互聯網企業通常都會用其經營、技術上的優勢地位通過格式條款以概括性授權。鑒于個人信息與信息主體人格利益之間的緊密聯系，此種委托可能會造成信息主體失去其作為信息主體的控制權。 并且概括性授權主要依賴于格式條款的捆綁同意，在實踐中用戶在安裝使用一些軟件和程序時如果不同意互聯網企業的格式條款，則無法安裝使用。由于APP在數據收集時使用概括性授權，缺少合理的授權機制。對于該類行為，APP運營者對于個人信息共享行為往往會受到合法性的質疑。

3、APP應用程序中個人信息使用環節存在的問題。APP信息收集者在收集到關聯信息之后，需要對信息加以處理和分析，掌握數據背后的用戶喜好，進而預測未來市場的走向，制定下一步的商業計劃，由此才使得信息數據發揮其巨大的價值.通過對于信息的分析，獲得相關結論、發展趨勢、主體喜好等，在這些結論的基礎上制定行動計劃，可以實現商業經營者的商業目的和商業利益。在大數據時代，僅僅從外部屏蔽大數據主體挖掘個人信息是很難實現的，收據運作者一般都是通過多種數據掌握他人個人信息。目前，各社交網站一般會不同程度地開放其用戶所產生的實時數據，這些信息可能被一些數據提供商收集。另外，還存在一些監測數據的市場分析機構，通過對人們在社交網站中寫入的信息、智能手機顯示的位置信息等多種數據組合，己經可以以非常高的精度鎖定某個人以及挖掘出其個人信息體系，用戶的信息安全問題堪憂。因此，在保護個人信息安全的過程中需要考慮如何規范過度分析的行為，從而做到針對性的規制。

二、APP應用程序中個人信息保護的具體建議

1 完善APP應用程序中信息收集的授權規則。

APP個人信息收集作為個人信息事前防范的關鍵步驟，可以通過區分信息授權等級，禁止個人信息回溯以及設立隱私信息的備案許可這三種規則來進行完善。對信息管理控制者實施的信息收集行為而言，首先可以區分信息授權等級，把個人信息按照敏感程度來進行劃分。例如按照一般性、敏感性、公開性來劃分信息的授權范圍，對于一般性信息，可以一次性授權，對于敏感類信息可以進行二次授權。二次授權的信息應當經過用戶的單項同意，并且根據信息等級區分，信息與第三方機構共享根據等級的需要征求用戶同意等。例如無法別人具體個人以及不涉及隱私的信息、用戶的該類信息可以一次性授權，對能夠識別具體個人的以及涉及到用戶隱私的信息在與第三方機構共享時需要征求同意等等。 二是禁止個人數據“回溯”。用戶注銷信息或一部分信息被共享給第三方時，都要求對個人信息進行匿名化處理，但是這些匿名化、去標識化的個人信息，只要有足夠的外部數據來源，數據控制著仍然可以通過技術反向追蹤用戶。因此對于個人信息的保護應當嚴格禁止數據回溯，匿名化與去標識化以數據的不可追溯為標準。 三是隱私信息的備案與許可。 《信息安全技術 移動互聯網應用（App）收集個人信息基本規范（草案）》規定了各類APP的最小化收集類型，對于超范圍的信息收集行為，可以根據個人信息保護的不同程度進行備案和許可，對于超過最小化信息收集的一般信息，例如無法識別個人，以及無法追蹤的信息，可以向信息管理機構進行備案。對于超過最小范圍收集的涉及用戶個人隱私的信息或者可以追蹤到個人的信息，可以向信息管理機構申請許可，獲得信息管理機構同意后再進行收集。

2、完善信息主體的各項權利

在大數據時代，信息處理者對個人信息的處理，其目標應當是信息主體權利的最大化，其行為不應與該宗旨相違背，因此增強信息主體對個人信息的控制至關重要。用戶對信息的控制主要體現在信息主體的知情權、查詢權、更正權、刪除權等權利實現的。第一，保障用戶的知情權。個人信息處理者在處理信息主體的個人信息時，應當履行告知義務，滿足信息主體的知情權，個人信息處理者在收集個人信息時，將處理個人信息的目的、種類、因共享其次合同需要轉讓的第三方信息等向信息主體明確告知，以保障信息主體的知情權。在個人信息處理過程中，如改變信息的使用目的，或有因企業內部原因造成個人信息泄漏、損毀和滅失，也應及時履行告知義務;第二，信息主體對于信息處理者處理其信息的行為有查詢和更正的權利，信息主體可以查詢信息處理者對于其信息的使用范圍，以及對于個人信息處理的合法性與合理性;信息主體對于其個人信息同意具有更正權，對于不正確的個人信息，信息主體可以要求信息控制者對其信息進行更正;第三，信息主體具有刪除權，當個人信息的存儲已經不被允許或不再需要，或其準確性無法確保，或信息主體反對時，信息主體有要求APP對其個人信息采取阻滯或者刪除的權利。