大量App過度收集個人信息我的信息我如何做主？

2020-11-03 10:07:21來源：法治日報

安裝個天氣預報App被要求訪問通訊錄，下載個健身軟件被請求訪問手機相冊……這種“客氣”的詢問，很多手機用戶都經(jīng)歷過。表面上看，商家似乎盡到了告知義務，但實際上，使用者只能被動接受。因為如果你不接受，就無法下載或者正常使用這些App。

目前，大量App都存在超范圍收集個人信息的情況。在自身功能不必要的情況下，一些App過度獲取用戶隱私采集個人信息。

前不久，個人信息保護法草案首次提請全國人大常委會會議審議，如何通過立法來有效遏制和打擊過度采集個人信息現(xiàn)象成為關注焦點。

個人對信息處理享有知情權決定權

為了充分實現(xiàn)對自然人的個人信息權益保護，并與民法典人格權編第六章“隱私權與個人信息保護”的規(guī)定相銜接，草案第四章對“個人在個人信息處理活動中的權利”作了詳細規(guī)定，明確了個人信息處理活動中個人的各項權利，包括知情權、決定權、查詢權、更正權、刪除權等，并要求個人信息處理者建立個人行使權利的申請受理和處理機制。

在清華大學法學院副院長、教授程嘯看來，這些規(guī)定十分值得肯定。尤其是草案第四十四條規(guī)定，個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理;法律、行政法規(guī)另有規(guī)定的除外。

“這一內(nèi)容可以說真正為個人信息權益的其他權能奠定了基礎。”程嘯具體指出，正是因為賦予知情權和決定權等權利，個人信息處理者在沒有進行充分告知并取得自然人同意的情況下，就不能處理其個人信息，除非法律、行政法規(guī)另有規(guī)定。與此同時，個人信息處理者也有義務對其個人信息處理規(guī)則向自然人進行解釋說明。而自然人在符合規(guī)定的條件時，則有權要求個人信息處理者刪除其個人信息。

與民法典銜接規(guī)定更加明確

在面對個人信息處理者尤其是那些經(jīng)濟力量雄厚的網(wǎng)絡企業(yè)時，自然人的個人信息權益如何行使是非?，F(xiàn)實的問題。

草案第四十九條規(guī)定：個人信息處理者應當建立個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的，應當說明理由。“這就意味著，個人信息處理者負有建立保障自然人行使個人信息權益的程序機制的義務并且受該程序機制的約束，在拒絕個人行使權利時，也應當說明理由。”程嘯說。

值得一提的是，民法典第一千零三十七條第二款規(guī)定：“自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的，有權請求信息處理者及時刪除。”但該規(guī)定比較原則，具體何種情形下自然人可以請求個人信息處理者及時刪除個人信息，并不明確。

草案對此作出細化，不僅規(guī)定個人可以請求刪除的情形，還明確規(guī)定了個人信息處理者應當主動刪除的情形，具體包括：約定的保存期限已屆滿或者處理目的已實現(xiàn);個人信息處理者停止提供產(chǎn)品或者服務;個人撤回同意;個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息;法律、行政法規(guī)規(guī)定的其他情形。

建議立法明確禁止過度收集行為

記者注意到，個人信息過度收集問題也是全國人大常委會委員們分組審議草案時的熱議點。

“在個人信息收集環(huán)節(jié)應禁止過度收集或霸王式收集。”陳福利委員建議在個人信息處理規(guī)則一章中，針對個人信息處理概念中有關個人信息的收集、儲存、使用、加工、傳輸、提供、公開等活動，考慮分別制定適當?shù)囊?guī)則，特別是要突出個人信息收集和使用這兩個關鍵環(huán)節(jié)。

“相關法律中已有規(guī)定，不得采集與業(yè)務無關的信息，而且不能在與業(yè)務無關的情況下不經(jīng)本人同意使用這些信息。建議本法增加這方面的內(nèi)容，防止濫用采集信息的權力、機會和條件。”傅瑩委員建議增加內(nèi)容限制毫無邊界、隨意提出采集個人信息要求的行為。一是不應該采集和業(yè)務無關的信息;二是應該有雙向承諾，當使用者“同意”之后，服務者亦應承諾不會隨意在無關業(yè)務中使用信息。

全國人大財政經(jīng)濟委員會委員騫芳莉認為，雖然目前草案第六條、第十四條、第十七條的規(guī)定都可以對過度收集個人信息現(xiàn)象進行規(guī)制，但仍然存在規(guī)避法律的可能，例如將處理個人信息的目的模糊表述為“為保證用戶體驗”等，因此建議明確，應當告知要處理的個人信息種類，每一類個人信息的詳細處理目的、處理方式，切實保障個人的充分知情。

“現(xiàn)在草案對個人信息保護主要基于知情同意原則，在互聯(lián)網(wǎng)企業(yè)大量掌握個人信息的情況下，要避免事前告知流于形式。”左中一委員認為除了加強政府部門監(jiān)管外，還應引入有效的行業(yè)治理，發(fā)揮行業(yè)協(xié)會作用，幫助信息主體更好地作出決策。

建議進一步完善細化法律責任

除了顯著提高行政處罰標準之外，草案還規(guī)定了侵害個人信息權益的民事責任，明確侵害個人信息權益的歸責原則為過錯推定責任，確定了侵害個人信息的損害賠償方法。草案還規(guī)定了侵害個人信息權益的公益訴訟。這一規(guī)定將有助于解決大規(guī)模侵害個人信息時單個自然人因經(jīng)濟力量、專業(yè)知識等原因而面臨的維權困境。

“規(guī)定侵害個人信息權益的民事責任尤其是民事賠償責任非常重要。”程嘯說，目前草案將侵害個人信息權益損害賠償責任的歸責原則和賠償方法一起規(guī)定，建議分為兩款分別規(guī)定。同時明確自然人有權要求個人信息處理者停止侵害、排除妨礙、消除危險。此外，建議應當在區(qū)分敏感和非敏感個人信息的基礎上確定不同的歸責原則，即對于侵害敏感個人信息權益的賠償責任，采取危險責任即無過錯責任，而對于侵害非敏感個人信息的賠償責任可以采取過錯推定責任。

“有效遏制扭轉目前個人信息過度收集的局面，既是衡量我國法治文明和法治水平的重要指針，也是保障公民個人信息權益、促進個人信息合理利用的必然舉措。”北京師范大學網(wǎng)絡法治國際中心執(zhí)行主任、中國互聯(lián)網(wǎng)協(xié)會研究中心秘書長吳沈括認為，著眼當下現(xiàn)實的個人信息收集處理的生態(tài)環(huán)境，草案可以進一步完善和細化。在法律責任配置層面，可以考慮就侵害敏感個人信息的行為專門配置更高強度的處罰規(guī)則。在權利救濟途徑層面，鑒于普通民眾在新技術環(huán)境中的在認知和能力層面的相對弱勢地位，可以考慮借鑒域外立法實踐，增設個人信息侵權領域的集團訴訟條款，豐富個人權益保護的司法救濟方式。

標簽：過度收集 App 個人信息