破解手機APP侵犯個人信息公益訴訟監督難題

劉龍軍　楊妍

摘 要：個人信息保護工作是近年來國家治理中的一項重要內容，也是檢察機關公益訴訟工作聚焦的新領域。該案立足于這一國家治理新動向以及最高人民檢察院公益訴訟新部署，創新辦案模式，通過利用“外腦+公證”、采取“聽證+磋商”等方式，借力專業檢測力量，破除行業及專業壁壘以及監督難題，提升公益訴訟監督能力和質效，助推行政機關全面履職，充分發揮檢察公益訴訟在個人信息保護中的制度優勢和實踐價值。

關鍵詞：個人信息 手機APP 第三方檢測

一、基本案情與訴前程序

（一）基本案情

2020年7月，江西省南昌市人民檢察院（以下簡稱南昌市院）發現有關媒體報道手機APP侵犯個人隱私問題，委托專業檢測公司在人民監督員及公證人員的見證下，對“貪玩藍月”“地寶網”“洪城樂騎行”“江教在線”“魔題庫”等6款手機APP進行了詳細檢測，依據《APP違法違規收集使用個人信息行為認定方法》，發現上述APP存在未明示收集使用個人信息的目的、方式和范圍;未經用戶同意收集使用個人信息;違反必要原則，收集與提供服務無關的個人信息;未經同意向他人提供個人信息等違規收集個人信息的問題。

（二）訴前程序

根據《網絡安全法》等法律規定，結合相關部門“三定方案”、權力清單，江西省通信管理局（以下簡稱省“通信管理局”）、南昌市公安局（以下簡稱“市公安局”）、南昌市互聯網信息辦公室（以下簡稱“市網信辦”）具有相應監管、管理職責。南昌市院依據調查收集的相關證據材料，在立案前與上述職能部門進行了積極溝通，于2020年8月20日決定立案。

因手機APP侵犯公民個人信息涉及多個監管部門，存在職能交叉、層級不同等問題，且屬于新領域案件，為穩妥辦理該案并實現良好辦案效果，南昌市院決定于2020年8月21日舉行公開聽證和會談磋商。在與行政機關溝通后，南昌市院邀請了3名聽證員（1名人民監督員、1名高校教授及1名律師）及省通信管理局、市公安局、市網信辦相關處室負責人參加聽證會。與會人員一致認為，手機APP侵犯個人信息的問題不是個例，而且對人們切身合法權益、社會公共利益造成了現實侵害，檢察機關及時開展監督非常有必要。

2020年8月27日，南昌市院分別向市公安局、市網信辦發出檢察建議，要求兩行政機關依法對案涉6款手機APP違法收集使用個人信息行為進行監管及處罰，并加強對本市轄區APP涉嫌違法違規收集使用個人信息等行為的監管，強化網絡執法督查相關工作。2020年10月23日，市公安局、市網信辦回復南昌市院，兩部門根據屬地管理原則，要求案涉5款手機APP運營主體針對檢測發現的25個問題逐一進行對照、整改及優化等工作，市公安局對“地寶網”“洪城樂騎行”“江教在線”“魔題庫”等4款手機APP運營主體進行了警告處罰。

2020年8月28日，根據訴前磋商達成的一致意見，南昌市院向省通信管理局移送了案涉6款手機APP存在具體問題的函及相關證據材料，建議通信管理部門立足職能加強監管。省通信管理局于2020年10月21日回函稱，2020年9月組織開展了全省電信和互聯網行業網絡安全檢查，重點抽查了包括“地寶網”所屬的南昌地寶傳媒有限公司、“魔題庫”所屬的江西軟云科技股份有限公司等在內的10家互聯網企業的數據安全及個人信息保護情況，對APP違規收集個人信息整改進行現場督導。并在2020年10月10日舉辦的江西省電信和互聯網行業網絡安全培訓中，結合《APP違法違規收集用戶個人信息行為認定方法》進行宣傳教育，督促相關企業主體重視公民個人信息保護工作，進一步提升APP安全管理能力和水平。

2020年11月1日，為評估整改效果，南昌市院委托專業檢測公司對6款手機APP整改情況進行復測。經檢測發現，除“貪玩藍月”APP未完全整改到位之外，其他5款手機APP在行政機關的督促下已完成整改。針對仍然存在的問題，南昌市院于12月23日再次將該線索移交省通信管理局。該局立即組織相關專業技術專家對江西貪玩藍月公司整改工作進行業務指導，并于2021年1月6日向南昌市院書面回復，已督促完全整改到位。

二、本案辦理難點

（一）發現、收集、固定證據難

信息時代隨著智能手機的普及，與之相伴大量手機APP應運而生，面對各類形形色色的手機APP，人們在享受其帶來便利的同時，個人信息保護方面受到的威脅隨之而來。辦案過程中，南昌市院隨機從本地資訊類、教育類、游戲類、生活服務、政務服務等類別中共挑選了6款APP進行測試，比照信息保護相關法律法規、工信部關于手機APP收集使用個人信息相關規定，我們發現均存在違規收集個人信息的問題，檢出問題率達100%，結合不斷曝光的個人信息泄露事件，手機APP已然成為網絡手段侵害個人信息的重災區之一。其原因之一就在于通過手機APP等網絡手段侵害個人信息的行為具備技術性、虛擬性和迅速性等特性[1]，普通個體難以發現個人信息被侵害，更無法收集個人信息被侵害的證據。通過檢測發現，一些違規手機APP在用戶使用乃至下載安裝尚未使用時，即已經開始非法“刺探”、收集相關個人信息，這一過程許多用戶甚至毫不知情。

證實個人信息被侵害的證據一般都是以電子數據形式呈現，如何發現并固定這類證據是辦案的難點。一款看似簡單的手機APP，其背后是龐大的數據代碼。一方面由于信息更迭速度的大幅躍升，大數據框架下的信息傳導與增殖速率也大大提升，這種網絡信息增殖使人們必須面對大量冗余數據，這顯然增加了人們找到目標信息和文件的難度。[2]因此，要在互聯網五花八門的數據信息中找尋涉案證據無異于大海撈針。另一方面即使找到了上述證據，如何依據《信息安全技術 個人信息安全規范》《信息安全技術 移動互聯網應用（APP）收集個人信息基本規范》《APP違法違規收集使用個人信息行為認定方法》等專業標準，對數據進行解讀、提取以及固定涉案電子數據內容，即固化為檢察公益訴訟辦案的相關證據材料，確定個人信息是否受侵害、侵害的具體形式乃至在何種程度上以何種方式被侵害，也是辦案中的困難所在。

（二）監督管理職能交叉存“九龍治水”現象

從立法方面看，近年來國家逐步加大了個人信息法律保護力度，個人信息保護相關法律法規漸趨完善。2012年全國人大常委會出臺了《關于加強網絡信息保護的決定》，明確規定收集、使用公民個人電子信息，應當遵循“合法、正當、必要的原則”。2016年出臺的《網絡安全法》，以專章規定了網絡信息安全，更為詳細規定了網絡運營者保護網絡信息安全的法律義務。民法總則第111條規定“自然人的個人信息受法律保護”。民法典在人格權編中，將“隱私權和個人信息保護”做了專章規定。就已有立法來看，我國對個人信息保護的立法雖漸趨完善，但零散分布在不同法律法規中，仍呈現碎片化的特點，個人信息保護行政監管也呈現出明顯的部門性、行業性。由此導致監督管理職能交叉，一定程度上存在“九龍治水”的問題。且從執法實踐來看，我國目前沒有擁有獨立職權的常設監管部門對個人信息收集進行規制，中央層面針對APP收集使用個人信息的監管主要由中央網信辦、工信部、公安部、市場監督總局四部門負責。但具體到市、縣一級，由于機構設置的差異，具體監管職能部門往往不一致，需要準確界定。

三、應對措施

（一）引入專業力量強化證據收集與固定

如上所述，由于電子數據收集和存取難度較傳統數據難度更大，被偽造和毀損的風險也高出不少，為克服這一難題，我們專門請檢測公司提供技術支持。為保證證據提取的合法性，避免出現程序瑕疵，確保符合訴訟中證據資格標準，前期就與該公司確立一套嚴格的技術流程。一是確保檢測范圍全，解決侵害公益代表性問題。該公司依據《網絡安全法》《消費者權益保護法》《信息安全技術 個人信息安全規范》《信息安全技術 移動互聯網應用（APP）收集個人信息基本規范》《APP違法違規收集使用個人信息行為認定方法》，梳理了六大類共31個小類的測評指標，指標涵蓋了當時對APP收集使用個人信息的全部監管項目。二是強化檢測規范，滿足辦案規范性要求。檢測采取情境式提取模式，在測試機中嵌入一部普通手機，以普通用戶身份在手機應用市場平臺或官方網站下載安裝軟件，對評測的31項結果，逐一記載，最后形成一份詳細的認定報告。三是外部見證提高證據收集證明力。雖然檢察機關開展公益訴訟工作可以采取相關調查措施，但由于該類型證據調取需依托第三方，且要將手機APP后臺侵犯個人信息的行為具體化，并要將其作為證明公共利益受損或存在損害公益風險的證據材料，辦案過程中，檢察機關主動邀請了兩位人民監督員全程見證取證過程，并邀請了公證機構對檢測全過程予以公證，進一步增強取證過程的證明力。

（二）廣泛走訪溝通準確界定監管職責

由于上述監管職能部門多、上下不一致等情形，加之剛剛進行的一輪行政機構職能改革，確定監管職能部門是辦案的重要一環。在辦理本案中，檢察機關梳理了相關法律法規，到機構編制部門調取了《南昌市機構改革實施方案》、有關行政機關的“三定方案”，在此基礎上，為確保監督對象精準，檢察機關進行了上門走訪，以準確鎖定行政機關的監管職責。最終，檢察機關依據《網絡安全法》《消費者權益保護法》以及《關于開展APP違法違規收集使用個人信息專項治理的公告》等規定，上門走訪溝通情況，最終確定江西省通信管理局、南昌市網信辦、南昌市公安局對該類問題具有監管職責。

（三）“聽證+磋商”確保形成整改共治合力

公開聽證改變了檢察機關以書面審查為主的傳統辦案模式，主動邀請第三方加入司法活動，是一項制度層面的創新和完善，是保證辦案質量、提升司法公信力的重要舉措，特別適合公眾關注度高、案件疑難復雜的案件。本案公共利益是否受損、行政機關如何形成監管合力等方面的問題，通過公開聽證將更明晰。而行政公益訴訟立案后磋商機制是行政訴前程序一種辦案模式，它強調“雙贏、多贏、共贏”的效果，要求檢察人員審慎、客觀地對待檢察監督權，通過“溝通”和“對話”構筑交流的平臺，促進問題的解決。從本案來看，個人信息保護行政監管明顯的部門區隔，增加了本案中確定監管對象、監管職責的難度，加之本案涉及民生，公眾關注度高，運用“聽證+磋商”的模式，可以更好促進問題解決。

為了確保“聽證+磋商”的效果，一是做好會前充分準備。根據前期的調查走訪情況，通過6款手機APP的公司注冊地是否在本市、是否在本市進行工商登記、是否在電信主管部門備案等情形，確定了省通信管理局、市公安局、市網信辦具有相應監管職責。審慎確定聽證員，考慮本案的專業性、復雜性，邀請了一名法學教授，一名律師及一名人民監督員擔任聽證員。二是引導聚焦重點及難點。聽證會上，辦案組檢察官分別就案件辦理經過、事實認定、證據情況、法律適用情況，重點就手機APP違規行為帶來的危害、行政機關應當如何監管、多家單位如何形成合力、檢察機關如何落實雙贏多贏共贏要求等問題進行闡釋和說明。行政機關對自身的職責進行了介紹及分析，并對檢察機關收集的證據及監督工作，以及后續履職發表了意見。三名聽證員分別就有關問題向承辦檢察官、行政機關進行了提問和了解。聽證員經過評議，一致認為手機APP侵犯個人信息的問題已經對社會公共利益造成現實侵害，檢察機關及時開展監督非常有必要。經過磋商，行政機關均在會上表示將就檢察機關指出的具體問題抓緊整改，并努力做到舉一反三，促進類似問題得到更有效治理。

四、案件辦理的啟示

（一）檢察公益訴訟要善于從國家治理新動向中發現線索

新時代對個人信息保護的要求越來越嚴，人民群眾關注度也越來越高。2019年中央網信辦、工信部、公安部、市場監督總局等四部門針對APP違法違規收集使用個人信息集中開展行動。同年12月，四部門又聯合出臺了《APP違法違規收集用戶個人信息行為認定方法》。自2019年開展APP專項治理工作至2020年3月，四部門多次進行個人信息保護整改行動，累計點名168個違法違規APP，其中包括搜狗瀏覽器、陌陌等知名APP，并對限期內未完成整改的APP下架處理。[3]與此同時，2019年10月，十九屆四中全會提出了關于“拓寬公益訴訟案件范圍”的新要求。同月，高檢院發布了26件典型案例，“浙江諸暨市房地產、裝修行業侵犯消費個人信息公益訴訟”作為個人信息保護案件列入其中。辦案人員敏銳發現中央及高檢院在個人信息保護上持續發力，于是南昌市院開始著手該案的前期調查工作，以期通過檢察公益訴訟具體實踐，積極推動相關問題解決，同時為社會治理貢獻力量。

（二）檢察機關在個人信息保護方面相較個體有突出優勢

檢察機關開展個人信息保護公益訴訟監督，較私力救濟更直接、有效。普通主體即使感覺個人信息被違法收集和利用，但由于網絡技術的復雜性、隱秘性，很難獨自發現、收集、固定相關證據。所獲得的損害賠償與自己付出的精力以及網絡運營者所獲得的巨大經濟利益相比微不足道。因此，實踐中絕大多數人都選擇放棄維權。而行政監管貫穿了事前預防、事中監督和事后處罰全過程。同時監管手段多樣，包括風險管控、調查核實和處罰等多種手段，對發現的問題，行政機關制止侵權行為具備快速、便捷的特點。檢察機關開展行政公益訴訟監督，具有較強的調查取證能力和專業知識水平，其主要通過監督行政機關履職，以國家公權力做后盾，督促問題整改落實，較個體而言能更有效保護個人信息安全。

（三）通過個案監督積極推進類似問題綜合治理

檢察機關開展公益訴訟監督，可以助推行政機關全面履職，著眼長治長效。行政公益訴訟制度設計的目的是維護公共利益，訴訟不是它的終極的目標，它主要是通過訴前程序，高效便捷發揮監督作用，督促行政機關有效履職，保護公共利益。面對行政機關出現履職不及時不全面等情形，檢察機關可以通過行政公益訴訟，特別是通過訴前檢察建議督促行政機關全面履職，彌補行政執法及時性、規范性、能動性不足的問題。本案辦理初期，個別行政機關對個人信息保護重視不夠，對于法定監管職責未全面履行，在本案的訴前程序中，檢察機關與行政機關平等交流，檢察權與行政權良性互動，促進了行政管理的平衡與協調。在磋商以及檢察建議發出后，行政機關結合自身職能，均開展了及時整改，通信管理部門還在全省電信和互聯網行業網絡安全培訓中，結合《APP違法違規收集用戶個人信息行為認定方法》進行宣傳教育，督促相關企業主體重視公民個人信息保護工作，進一步提升APP安全管理能力和水平，達到“辦理一案，影響一片”的良好效果。

*江西省南昌市人民檢察院第六檢察部主任[300013]

**江西省南昌市人民檢察院檢察官[300013]

[1] 參見刁勝先：《個人信息網絡侵權責任形式的分類與構成要件》，《重慶郵電大學學報（社會科學版）》2014年第2期。

[2] 參見劉桐：《大數據時代下的民事電子證據研究——以個人信息權民事訴訟保護為聚焦》，《網絡空間安全》2019年第12期。

[3] 參見《APP個人信息保護頗為依賴行政監管解決之路任重道遠》，原文網址：http：//xinwen.shangdu.com/zhuanti/2020/0304/

030442407.html，最后訪問時間：2021年5月13日。