APP過度收集個人信息的行政法規制

金東升

河南金年華律師事務所，河南 平頂山 467000

2021年11月1日起，《中華人民共和國個人信息保護法》正式施行。法律明確不得過度收集個人信息、大數據殺熟，對人臉信息等敏感個人信息的處理作出規制，完善個人信息保護投訴、舉報工作機制等，充分回應了社會關切，為破解個人信息保護中的熱點難點問題提供了強有力的法律保障。隨著智能手機的普及，APP過度收集個人信息的違法違規問題十分突出，嚴重影響公民的合法權益，通過建立健全法律規制，可有效依法打擊過度收集公民個人信息的違法行為。

一、個人信息的法律界定

個人信息包括個人的社會背景、自然情況、思想觀念、生活經歷和習慣等內容，但并非所有與個人有關的信息都稱為個人信息。法律意義上的個人信息具有兩個基本特征：一是個人信息為本人所有。當事人對自己的信息享有絕對支配權和控制權，個人信息僅指向自己；二是個人信息與特定的人相關聯。如指向不特定個人不能稱為個人信息，個人信息必須是關聯個人身份、活動的信息，具有可識別性，可識別性是個人信息最重要的特征。以能否識別特定個人為標準，個人信息可分為兩類：一類可單獨識別特定個人；一類是不可單獨識別特定個人。根據可識別強弱可分為直接個人信息和間接個人信息；依據敏感高低可分為敏感個人信息和一般個人信息；結合信息主體身份可分為普通人和特殊群體個人信息，特殊群體主要是指未成年人、公眾人物、國家公務員、企業實際控制人和高管等。

二、APP自身優缺點解析

APP（Application，簡稱APP）主要指安裝在智能手機上的第三方應用軟件。它的作用是完善原始系統的不足與個性化，是社會發展到一定階段的產物，具有高科技、信息化的時代特征。手機APP作為實用性操作軟件，是手機智能化的重要體現，其中民營企業如微信、淘寶、京東、美團、支付寶、滴滴打車、抖音短視頻、高德地圖等APP的用戶最多也最頻繁。

（一）APP優點

實用高效、便捷靈活。APP下載比較方便，操作容易，簡單易學，通過APP不但能解決用戶經常往窗口辦理業務的煩惱，而且還能節約大量時間。操作中不受時間和地域的限制，隨時隨地可以用電腦或手機查詢、辦理業務。如開發的銀行APP、政府機關APP、商企APP，以及關系民生的水電氣、通訊、網絡、有線電視等單位APP的廣泛使用，最大程度地滿足了用戶的生產和生活需求，提供了極大的便利條件。使用APP更有利于企業商家推廣宣傳產品和服務，節約廣告成本費用。APP主要圍繞用戶開發軟件，設計針對性強，行業的特色元素能明顯識別，運營者對APP雖設置模塊少但功能強大，能真正服務并滿足不同類型用戶的需求。

（二）APP缺點

APP形式多樣、內容豐富，極具吸引力，其中有一部分涉及游戲領域，由于青少年和兒童自控能力差，長時間看手機會嚴重影響身體健康。有些APP運營者為一己私利故意倒賣個人信息，惡意泄露個人信息等，給用戶帶來了一定傷害，嚴重侵犯了用戶的隱私權[1]。在互聯網技術高速發展、自媒體快速傳播的新時代，個人信息隨時面臨泄露的安全風險。還有一些不法分子或經銷商甚至在待售的智能手機上做文章，惡意安裝帶有木馬病毒的軟件，竊取用戶個人信息和隱私，惡意吸費扣費，給用戶帶來財產安全風險。

三、對APP過度收集個人信息的行政立法與規制對策

（一）對APP運營者加強監管

1.APP注冊實行嚴格審批。當前APP數量龐大，2018年國內APP在架數量高達452萬款，但近兩年呈階梯式下降趨勢，健康的和不健康的良莠不齊。APP中游戲類占比最高25.7%，其次是日常工具類占比14.6%，電子商務和生活服務類分別位居第三、第四位，很顯然游戲類如此高的占比已經給政府的介入監管提出了警示。為此，政府加強和規范對APP的全方位管理，要作統一規定，對APP上架要制定具體的實施方案，嚴格按行業分類比例、限制數量準入，實行實名制登記，審批后再單獨做標識。對手機APP運營者收集用戶信息必須設置一定的準入資格，一般分為準則和許可主義兩種情況。根據我國的實際現狀，可采用以準則主義為主，許可主義為輔的方式。申請準入時要表明收集個人信息的用途和范圍，且須是業務開展而需要的，作為政府主管部門要嚴格把關，嚴格實質審查，對于惡意過度收集個人信息行為及時制止并給予行政處罰。

2.收集個人信息設最高限。針對各行業各領域的APP運營者收集個人信息設置最高限，明確其收集內容不得超過限度要求，收集的用戶數量不得超過必要限度。若不予以管控，缺乏自律的APP運營者很可能會利用過度收集的個人信息作不法運作，非法出售用戶信息給不法分子，由此擾亂經濟秩序和社會穩定，對收集個人信息設最高限是規制APP運營者的必然選擇[2]。

2021年5月1日，由國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局近日聯合印發的《常見類型移動互聯網應用程序必要個人信息范圍規定》正式施行。《規定》明確了39種常見類型APP的必要個人信息范圍，APP運營者不得以信息不全作為拒絕用戶下載APP使用的借口，只要采集達到“必要”的限度，就要滿足用戶下載安裝APP的需求。規定對各行各業APP收集個人信息明確界限和范圍，防范和杜絕強制、過度、超范圍收集個人信息。總之，運營者收集信息要以“最小最少”為“必要”，在采集、處理、利用信息時要合規合情合法，不能逼迫用戶同意，要劃定紅線、制定規則，使法律的原則性規定逐步走向精細化，讓APP收集不斷邁向標準化[3]。

3.健全民刑法對APP規制。針對個人信息保護，在2021年1月1日施行的《民法典》中有重要體現，法典提出“四明確一完善”，即明確隱私定義和侵權行為，明確個人信息定義和范圍，明確個人信息處理范圍、原則要求與免責情形，明確個人信息主體權利，完善對患者的隱私和個人信息保密責任。在刑法上主要體現在第二百五十三條“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”方面，非法使用公民個人信息行為未被納為侵犯公民個人信息罪及其他罪名，暫時無法為泄露個人信息的用戶維權提供有力支持，將非法使用公民個人信息行為入罪更加有利于實現法律秩序的統一，也是完善和健全法律體系的現實需要，對規避和減少運營者泄露用戶信息起到一定的關聯和震懾作用，對封堵運營者非法泄露用戶個人信息行為發揮重要前提作用[4]。

4.簽訂APP使用保密協議。用戶在使用APP時須與運營者簽訂APP使用保密協議，通過界定雙方的權利義務，對涉及有償服務的條款運營者要明確告知，做到內容合法、程序合規，運營者必須要對用戶的個人信息嚴格保密，列入違約責任條款，一旦運營者違規泄露用戶信息加重懲罰，約定較高的違約金，加大運營者違規違法成本，以此促使運營者對APP保密協議的履行。

（二）健全完善相關行政立法

1.加快用戶信息保護立法。行政立法是實現對用戶權利保護的最直接路徑和根本保障[5]。行政法屬于事前和事中保護，能及時采取措施對APP運營者的違法違規行為進行規制，可以彌補民法和刑法的不足，對涉及泄露和非法交易個人信息行為起到積極的保護作用。近年來我國不斷健全和完善有關個人信息保護方面的行政立法，如2021年11月1日正式實施的《中華人民共和國個人信息保護法》，對APP過度收集個人信息等作出了針對性規范，將不滿14周歲未成年人的個人信息定為敏感個人信息，并要求信息處理者要制定專門的處理規則。

2.構建精細化的執法機制。一是建立并拓寬用戶投訴的渠道，設置專門入口或窗口接受用戶投訴和監督檢舉；二是強化事前監督，要求APP運營者收集用戶信息時須向執法部門報備，告知收集目的、方式、范圍、數量等情況，執法部門采取抽檢及隨機檢查的形式加強監管，以此堵住違法違規的漏洞；三是加強信息保護的宣傳教育，普及APP使用防范知識，提高用戶的自我保護意識；四是執法機構對APP運營者收集用戶信息的全部關鍵環節實施全過程、全方位監管，采取嚴格的許可審批制，加強事中監控，事后采取有效可行的追責、懲罰和補救措施，特別是對敏感信息采取嚴格保護，對動態信息轉化做好篩選和跟蹤執法。

3.加重APP違法處罰力度。現實經濟社會中一些APP經營者為達到不可告人的目的，在收集信息時強制授權、過度索權，強制用戶選擇同意接受定位發送、通知接收、允許訪問設備及撥打手機等違法違規行為已經嚴重損害了用戶的切身利益。作為執法部門應加大執法力度，加重對APP經營者的行政處罰，可通過黃牌警告、紅牌警戒、罰款、下架、吊銷營業執照等手段施以處罰，對涉及刑事犯罪移交司法機關處理。

4.納入社會誠信體系管理。對App經營者違法違規的行為實行事后監督管理，除實施行政處罰和刑罰外，還需要輔以其它管理手段和措施，納入社會誠信體系就是比較直接有效的辦法之一，它可以通過限制APP經營者，使之在信貸、上市、資質、榮譽申請等方面處處碰壁，讓其自嘗苦果，達到深刻反省的實際效果，通常會比行政處罰和刑罰更方便、更直接、更有效。讓App經營者能深刻地認識到失信對自己的運營有多重要，帶來的負面影響有多大，從而促使在收集利用用戶個人信息方面做到守法合規。

（三）加強行業協同管理

1.提升APP運營企業管理能力和水平。針對APP運營國內企業應借鑒國外先進的管理經驗，對特殊信息的控制和處理政府部門要形成專員專管制度，數據保護專員要具備一定的任職資格和經驗，嚴格依法履行工作職責，對APP運營設定紅線和底線，強制、索取和超范圍過度收集用戶個人信息該專員將受到嚴厲的處分和處罰。

2.形成政府、企業、用戶一體化機制。過度收集用戶個人信息絕大多數系企業所致，政府作為監管主體，企業系被監管對象，用戶是第三方受害者，三者之間互有權利與義務，必須形成政府、企業、用戶一體化機制，發揮各自所長。政府要有所作為，網信辦牽頭實施打擊制裁APP違法違規運營者，工信、市場監督、公安、信用辦等多部門要緊密協作；企業要嚴格自律，做到業務合法規范，強化責任追究；用戶要提高自我保護意識，降低信息泄露安全風險。

四、結語

行政法在規制APP過度收集用戶個人信息方面與民刑法相比較優勢已凸顯，易操作、見效快，能起到較好的事前預防和事中保護作用。當前規制APP過度收集用戶個人信息的行政法仍不夠健全，未能形成體系，亟待加強，有關APP過度收集用戶個人信息的民刑事方面的法律需要再完善。