网络APP收集用户个人信息的法律规制

高鑫钰，邵道萍

(安徽财经大学 法学院,安徽 蚌埠 233000)

在互联网经济和信息技术快速发展的背景下，2021年网络应用程序(网络APP)使用量直线上升，全球移动设备使用时长达3.8万亿小时，全球移动市场用户支出累计达1700亿美元，与2020年相比增长了19%，网络APP下载量达到2300亿次，[1]网络APP已经介入到了我们生活的方方面面。网络APP的井喷式发展已经使信息的传播发生了质的转变，但行业在享受其发展红利的同时也会给社会带来接连不断的个人信息保护难题。2021年以来(截止至11月4日)，工信部共计发布11批关于APP侵害用户权益的通报，最高的通报数量甚至高达210个，网络APP违法违规收集用户个人信息的事件频发，对当前我国针对该问题的法律规制提出了一个巨大挑战。目前国内对网络APP用户个人信息保护的法律规制研究仍不够充分，因当时规制此问题的专门立法即《个人信息保护法》亟待出台，国内学者们的观点大都局限于《个人信息保护法》的立法过程及个人信息保护法律规制框架的构建。本文在新出台的《个人信息保护法》基础上探究我国网络APP收集用户个人信息的法律规制现状，并结合具体法律规定分析当前法律规制的不足，进而提出具体的完善建议。

一、网络APP收集用户个人信息的法律规制现状

我国《个人信息保护法》于2021年11月正式实施，标志着我国个人信息保护法律规制体系的初步形成。《个人信息保护法》进一步明确了个人信息的定义及性质，规定了个人信息处理的基本原则和一般原则，并对一般个人信息和敏感个人信息进行了区分，在国家立法层面健全了个人信息保护制度。

如下表所示，除刚出台的《个人信息保护法》外，我国在网络APP收集用户个人信息领域的相关法律规定还可见于《民法典》《刑法》《网络安全法》以及《消费者权益保护法》(以下简称《消法》)中。

由表1可以看出，在民事立法方面，《民法典》主要规定了个人信息的概念并对其种类进行了界定。就法律责任而言，按照合同编和侵权编的规定，网络APP对用户个人信息的违法违规收集行为可能需承担相应的违约责任或侵权责任。网络APP运营商以提供用户服务协议的形式与用户构成合同关系，[2]当用户同意其隐私政策条款时，就相当于间接订立了网络服务合同，若网络APP运营商违反隐私条款规定收集用户个人信息就需承担违约责任。网络APP运营商需承担的侵权责任主要是其违法违规对用户个人信息的收集可能会侵犯用户的隐私权等民事权益。

表1 个人信息保护的具体法律规定

在刑事立法方面，2009年出台的《刑法修正案(七)》中首次将侵害公民个人信息的罪名纳入到刑法规制体系，相关罪名包括“出售、非法提供公民个人信息罪”以及“非法获取公民信息罪”。2015年出台的《刑法修正案(九)》又在此基础上对罪名进行了更改(即表一中所述《刑法》253条)，将上述两个罪名改为了“侵犯公民个人信息罪”，将犯罪主体扩大为“任何单位及个人”并加重了该罪的法定刑，对侵犯公民个人信息的行为进行了更为严格的规制。[3]

在行政立法方面，最具代表性的即为表1中列举的《网络安全法》，它在已有相关规则的基础上结合新形势、新背景就个人信息保护问题作出了专章规定。此外，国家网信办、工信部等四部门于2019年联合印发了《APP违法违规收集使用个人信息行为认定方法》，为认定网络APP违法违规收集用户个人信息行为提供了参考依据。

在经济立法方面，《消法》赋予了用户一个消费者的角色，为规制网络APP违法违规收集用户个人信息的行为提供了一条新路径。《消法》对个人信息保护的相关规定主要集中在第29条，具体包括以下三方面：一是经营者只能在合法、正当且必要的情形下收集消费者个人信息；二是经营者应在经过消费者同意的前提下，公开收集及使用消费者的个人信息，且；三是经营者应严格保密其收集到的消费者个人信息。[4]

二、网络APP收集用户个人信息的法律规制困境

尽管我国目前已经基本确立个人信息保护的法律框架，但与成熟和完善的个人信息保护法律体系还存在一定距离，我国当前的网络APP收集用户个人信息法律规制仍有许多不容忽视的问题亟待解决。

(一)“告知-同意”规则不够细化

《网络安全法》第22条第3款规定了我国针对个人信息保护问题的“告知-同意”规则，该规则旨在保护用户的个人信息控制权。但在大数据时代背景下，“告知-同意”规则即显示出了它的局限性。

第一，在“告知”方面，网络APP告知用户一般是通过APP内部制定的隐私政策或告知文件的方式，这种告知方式往往会流于形式，它们都只是机械化地将早就拟定好的“告知”文件呈现在网络APP用户面前，并未将其内心真正的意思真实、准确、完整地告知用户群体，目的就在于规避法律风险。在此情况下，“告知-同意”规则在“告知”这一步就已经失去其本身应有的意义。

第二，在“同意”方面，用户也很难达到真正的“知情同意”的标准。在大部分情况下，用户对隐私政策或告知文件不会逐字逐句地细读，同意也只是网络APP所设置的默认同意或一键式同意，很多用户都是在不知情的情况下同意了APP的告知文件。另外，对于某些网络APP，如果用户不同意其告知文件就无法继续使用该APP，在此事实情况下，用户作出的同意也只是一种被动同意，并不是用户本身真实的意思表示。

(二)侵权认定规则不明确

在网络APP收集用户个人信息侵权的问题上，我国《民法典》并未明确规定用户的个人信息权，而认定相关侵权行为的条文更是少之又少，大多是泛泛概括，并未有明确规定。新出台的《个人信息保护法》也只是规定了行为人的过错推定责任，并未提及对侵权行为的认定。因此在实践中只有在网络APP运营商违法违规收集用户的敏感个人信息时才会按照侵犯用户隐私权的规定处理，对于用户一般个人信息就很难认定网络APP运营商的侵权行为。

根据侵权行为的构成要件来看，认定网络APP运营商的侵权责任主要存在以下困难：首先，在数据流通环节中，用户很难判断是哪个网络APP收集并泄露了自己的个人信息，这就会导致侵权主体很难认定；其次，网络APP收集用户个人信息的侵权方式和造成的损害事实也更为隐秘，用户一般难以意识到自己的信息已被不法收集利用，只有真正遭到实质性财产损害(如因信息泄露导致的诈骗行为等)或精神损害(如接连收到骚扰短信或骚扰电话等)时才会意识到自己的信息已被收集或不法利用；最后，违法行为与损害事实之间的因果关系也很难举证，因为用户本身也很难意识到违法行为的发生，他们也不知道自己的行为于何时何地被何类APP所泄露，在这种情况下就更难证明违法行为与损害事实之间的因果关系。

(三)《消费者权益保护法》对个人信息保护的力度不够

随着时代的发展，越来越多的人开始在各类网络APP平台上消费，尤其是视频类、游戏类APP，这在某种程度上赋予了广大网络APP用户“消费者”的身份。但《消法》当前在个人信息保护方面的条文较少，且其规制内容过于浮于表面，原则性不强，在网络APP违法违规收集用户个人信息时，很难真正保护具有“消费者”身份的用户的个人信息安全。例如，《消法》第14条规定了消费者享有个人信息依法得到保护的权利；《消法》第29条规定了经营者收集消费者个人信息时应尽的告知义务、保密义务和消费者拥有的信息自决权、知情同意权。这两个条文都只是抽象地在字面上规定了经营者义务以及消费者的权利，并没有具体明确的条文去保障消费者权利的实现。因此，在网络APP违法违规收集用户个人信息的问题上，《消法》只是一个没有可操作性规定的空框架，对用户个人信息的保护难以发挥实质性的作用。

在全行业都在思考如何转型的今天，金丰公社以自己切实的行动指明了转型的方向，也受到越来越多的厂家和经销商的关注。

(四)行政立法可操作性不强

通过梳理我国个人信息保护的行政法律法规不难发现，我国在此方面的行政立法过于分散及零碎，且可操作性不强。我国现行有效的含有“个人信息保护”字眼的行政法规有74部，除《网络安全法》之外，其余的行政法规在个人信息保护方面几乎都是以笼统性及原则性的规定为主。其次，我国目前在网络APP收集用户个人信息领域的行政监管机关也尚未明确与统一，如《网络安全法》里规定的互联网领域个人信息保护的行政监管机关为国家网信部门及有关部门，《电信和互联网用户个人信息保护规定》中规定互联网领域个人信息保护的行政监管机关为电信管理机构，而《移动互联网应用程序信息服务管理规定》中则规定了在应用程序的领域内的行政监管机关为互联网信息办公室。[5]行政监管机关的不统一就会导致在司法实践中各个行政机关相互的推诿扯皮，呈现出“九龙治水”的局面，无法有效保障网络APP用户的个人信息安全。

(五)刑事立法与相关立法协调性不足

考虑到刑法的谦抑性原则，笔者认为刑法对侵犯他人信息安全罪的规定应更为严格和细致，以协调刑事立法与其他部门法对个人信息保护的规定，防止在个人信息保护的具体司法实践中产生冲突。但我国现行《刑法》对侵犯公民个人信息罪的规定十分宽泛，进而导致刑法与其他部门法律脱节。

以《刑法》和《个人信息保护法》为例，《刑法》第253条将侵犯公民个人信息罪的行为要件规定为“违反国家有关规定向他人出售或者提供公民个人信息以及非法获取他人信息”，其中，“违反国家有关规定”被解释为“违反法律、行政法规、部门规章有关公民个人信息保护的规定”；而《个人信息保护法》中则把违法违规处理个人信息的行为解释为“以误导欺诈胁迫等方式处理个人信息”。[6]由此可见，在《刑法》中只要违反了法律、行政法规、部门规章有关公民个人信息保护的规定去获取、出售、提供公民个人信息就需要承担侵犯公民个人信息罪的刑事责任，该规定甚至比《个人信息保护法》中规定的“以误导欺诈胁迫等方式处理个人信息”更为宽泛，这也就意味着针对任何网络APP违法违规收集用户个人信息的行为都可以直接适用刑事制裁，造成实践中刑法先行的局面。

三、网络APP收集用户个人信息的法律规制完善设想

(一)细化“告知-同意”规则

“告知-同意”规则以用户知情且同意为前提，但如今各类网络APP都是通过其不规范的隐私政策或是以用户一键同意的形式通知用户其收集个人信息的方式、范围及用途，很难真正达到知情同意的条件，而《个人信息保护法》针对“知情同意”的表述又过于模糊、难以实践，因此需要细化和补足网络APP收集用户个人信息前须遵循的“告知-同意”规则。

细化“告知-同意”规则首先应整改各类网络APP的隐私规范。比如，可以出台相关文件对隐私规范的格式、内容进行具体规定，在使用法律专业术语的同时应对其作出明确的、容易理解的解释；同时，对于隐私政策中的格式条款，也应限制其具体的字体格式，如加粗、放大、下划线等以充分做到提示和告知义务。另外，还可以对网络APP的告知义务以及用户知情同意的认定标准作出具体规定，如规定用户以不作为的方式(默认或预选等)做出的同意无效等。因此，在我国网络APP的设置中，对于需要收集的重要个人信息或私密信息，应当取消不必要的默认同意及预勾选开启的功能，而是由用户在初次使用该APP时手动同意，以保障用户的知情同意权及信息自决权。

(二)明确侵权认定规则

我国针对网络APP违法违规收集用户个人信息侵权行为的认定规则存在的主要问题在于侵权主体难以认定、损害事实难以认定以及因果关系难以认定三方面，因此明确侵权行为认定规则也应从此三方面着手。

第一，明确侵权主体的认定标准。在网络APP违法违规收集用户个人信息导致用户合法权益遭受侵害的行为中，侵权主体应为网络服务的提供者，即网络APP运营商。但鉴于目前网络APP数量较多，用户举证时也很难明确认定是哪个APP运营商实施的侵权行为，因此，在认定侵权主体时即可采用举证责任倒置的原则，即由网络APP运营商承担举证责任，证明其在收集用户个人信息的过程中未侵犯用户的合法权益，不是相应的侵权主体。若运营商无法证明，则认定所有无法举证的运营商为共同侵权主体，共同承担侵权责任。

第二，明确损害事实的认定标准。在大数据时代，用户的个人信息不仅关联着其财产利益也关系到其精神利益，因此在认定损害事实时应当考虑到精神和财产两个方面。在网络APP用户精神利益的损害方面，需考虑到用户的人格尊严是否遭受损害；在财产利益的损害方面，需考虑到用户为恢复其权利的圆满而产生的必要支出及其相应的个人信息可带来的预期财产价值。

第三，明确因果关系的认定标准。判断网络APP收集用户个人信息的行为与损害事实之间是否具有因果关系可从以下两方面考虑：一是判断网络APP的侵权行为与损害事实间是否具有条件性，若没有网络APP的侵权行为则必然不会出现该损害事实，在该情况下就可认定网络APP的侵权行为与损害事实间具有条件性；[7]二是判断网络APP的侵权行为与损害事实之间是否具有相当性，即判断网络APP的侵权行为在通常情况下是否足以导致损害事实的发生，如果依照一般社会理念认为网络APP的侵权行为足以导致损害事实的发生，则两者间具有相当性。[8]

(三)强化《消费者权益保护法》对个人信息的保护力度

首先，强化《消法》对个人信息保护的力度应完善相关法律条款以明确消费者个人信息权的内容。如前文所述，《消法》当前并未明确规定消费者的个人信息权，因此应在《民法典》第1034条以及《消法》第29条的基础之上对消费者的个人信息权加以规定，并进一步明确消费者个人信息的概念及分类，准确界定与区分消费者个人信息权与民事立法中的隐私权，对不应归于消费者个人信息权内容的部分予以排除。[9]

其次，强化《消法》对个人信息保护的力度应重视消费者公益诉讼机制。在我国当前的司法实践中对用户的救济措施一般都采用传统的侵权救济，很少有人意识到用户的“消费者”身份去采用消费者的公益诉讼机制解决此方面的纠纷。而网络APP违法违规收集和泄露个人信息的案件一般都具有损害较为轻微、受害者广泛、社会影响力较大的特点，也更为适合进行公益诉讼。另外，消费者公益诉讼机制的诉讼主体也更具有优势。根据《民事诉讼法》第55条，“法律规定的机关和有关组织”均具有作为公益诉讼的原告主体的资格，因此，消费者权益保护协会(消协)可以代替权益受侵害的用户向法院提起诉讼。而消协作为一个专门组织，具有资金来源与专业人士，诉讼能力相对于普通用户自然更强，也更容易与作为经营者的网络APP运营商抗衡，更有助于维护用户合法权益、提高诉讼效率。

(四)增强行政立法的可操作性

在个人信息保护的行政监管方面，由于具体配套的行政监管规则尚未出台，实践中常会出现行政立法中的具体监管规则难以落实或落实不到位的情形，因此，需出台与《个人信息保护法》相匹配的细化性行政监管规则，以增强行政立法的可操作性。[10]

一方面，执法体制和职权分配需要尽快明确，规定独立并统一的行政监管主体。《个人信息保护法》中明确规定了在履行个人信息保护职责的行政主体为网信办及国务院相关部门，那么，配套的细化性行政监管规则就应进一步明确网信办与其他部门的职权分配或强化网信办的统筹协调能力，建立多层次的监管体系，确保行政规则统一(见图1)。

图1 网络APP收集用户个人信息的多层次监管体系

另一方面，相关行政执法程序也亟待完善。由于网络APP中的个人信息保护需要专业的互联网技术，因此执法程序中不能仅靠《行政处罚法》或《行政强制法》中的一般规定，在细化的行政监管规则中，应当注重针对网络APP中个人信息保护的行政执法与一般执法的差异性。例如，《个人信息保护法》第63条规定了查阅、复制、查封、扣押等执法措施，此时，就需要行政执法部门与网络APP运营商的保密义务进行有效对接，同时，由于涉及了用户的个人信息，也应增加获取当事人同意或听取当事人意见的程序。

(五)完善刑事立法与相关立法之间的衔接

如前所述，由于我国刑法对“侵犯个人信息罪”的规定过于宽泛而导致实践中的法律适用形成了“刑法先行”的局面，既违反了刑法的谦抑性，也使得各部门法之间的衔接失调。

完善各部门法之间的协调，在法律适用时应先从民法部门、行政法部门及《个人信息保护法》的具体规定入手，去着重限制网络APP运营商的违法违规行为，以保护用户的个人信息安全，而不是跳过其他部门法直接适用刑法的规定。对于一些泄露风险较低或者对用户侵害较小的个人信息，由其他法律部门规制就已经足够，仅让信息收集者如网络APP运营商承担相应的民事或行政责任就已经可以达到相应的惩戒效果，此刻便不需要刑法部门的介入。刑法作为最后一道防线，其惩戒的应是针对个人信息的重大犯罪，如造成用户财产权益或人身权益遭受严重损害的行为，而不应是任何“违反法律、行政法规、部门规章有关公民个人信息保护的规定获取、出售、提供公民个人信息”的行为。在此基础上，应当根据网络APP运营商侵犯个人信息给用户造成损害的不同程度对其进行法律惩戒，《个人信息保护法》中也应按照具体收集行为危害程度的不同去明确责任人所应承担的相应的民事责任、行政责任及刑事责任，以完善刑事立法与相关立法之间的衔接。

总之，5G时代，万物皆媒。习近平总书记多次强调，要坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益。在网络APP行业急速发展的新时代，个人信息被过度收集和滥用的现象已屡见不鲜，它不仅损害了公民的权益，也扰乱了社会的安定，给法治社会的建设带来了巨大的挑战。如今，传统的规定已经难以解决互联网经济时代下网络APP对用户个人信息的过度收集和滥用问题，也难以维持数据资源共享与个人信息安全间的平衡关系。故此，整治网络APP平台的不良风气首先应保证法治先行，完善网络APP收集用户个人信息的法律规制，保证《个人信息保护法》在司法实践中的落实，以严密的法律规制体系还用户群体们一个安全自由的网络环境。