法学沦坛2021年第1期
A P P主体的立法I制
□ 陈秀萍,胡天金
(河海大学法学院,江苏南京2/0000)
摘 要:相关主体规范与否直接关乎数据信息安全,关涉公民合法权益和社会公益,:,基于个人信息
保护的不断发展,4PP信息泄露问题逐渐显露出来,本文认为,应结合现有的个人信息保护立法,通过完善
,4PP实名制度,构建/IPP相关主体备案制度,实施教据信息市场主体准入制度和第三方参与数据收集制度,
以加强对个人数据信息的保护,
关键词:个人信息;/1PP主体;数据信息;备案制度
中图分类号:D922J文献标识码:/I文章编号1007-8207{2021]01-0122-08
收稿日期:2020-07-/2
作者简介:陈秀萍,河海大学法学院副教授,法学博士,硕士研究生导师,研究方向为法学理论、宪法与
行政法;胡天金,河海大学法学院宪法学与行政法学硕士研究生,研究方向为宪法与行政法.,
作者简介:本文系中央高校基金项目“中国传统‘法德合治’文化的积极因子和现代模式”的阶段性成果,
项目编号:20/9S允9/4。
近年来,因个人信息泄露所引发的一些社会事件在不同程度上对公民的人格权和财产权造成了侵 害,随处可见的相关媒体报道也说明了网络数据安全面临的严峻形势®。" 21目前,理论上对个人信息的
性质并未达成共识,其部分内容既可归属公民的人格权范畴亦可归属财产权范畴,因而对个人信息保
护存在不同的见解。现实屮,相关的制度标准也难以建构气六??作为不断被普及的互联网衍生产品,对
于个人信息保护处于重要的地位,理所当然地被纳入到立法规制的范围,但就APP本质上是一项应用程
序而言,根据技术中立基本原则,其本身不具有可归责性®,:3:因此,立法规制的立足点在于APP的
相关
①2016年8月19曰,被南京邮电大学录取的徐某玉因个人信息泄露致使被骗,在报案后回家的途中突然畢厥,后经抢救无效死亡。
②工业与信息化部发布的《网络数据安全标准体系建设指南》表明,当前存在数据安全标准体系不强、部分关键标准体系急需制定以及部分相关重点领域数据标准存在空白。
③责任概念以一个有意志力的人格主体为前提。
122
陈秀萍>胡天金-APP主体釣立法规制
主体在APP实际运行过程屮,对于个人数据信息安全的威胁也主要是人为性因素的参与,其屮相关主 体乜括APP的开发者、设汁者和经营者。
一、APP主体立法规制的理论依据和必要性
(一) APP的内涵及其特征
APP主要是指在移动智能终端上被使用的一系列编程的集合,用来执行用户下发的指令,享受商家 提供服务的程序,其本质是编程组合的程序。用户在使用APP过程屮会产生大量的个人数据信息,其中 包括用户注册的信息、用户授权软件获取的手机存储信息、用户浏览信息和用户消费信息等电子数据。一般具有以下儿个特征:一是虚拟性,又称无形性。虚拟性是指APP缺乏实物形态,更多的是以现代智能 设备作为载体而存在从本质上讲.APP仅是由大量程序性语言组合而成的一项程序,程序只是行事先 后的次序/支撑其运作的是一系列的汁算机语言并不占用物理空间,不具备物质形态。二是非人格性:人格在《屮华法学大词典》中的解释为权利主体作为社会关系的参加者所必需具有的为法律所承认和 保护的资格。:5而人格性则是指由人格主体所具有的特征,因而人格性的特征只能存在于权利主体之中 并且能够被法律认可。有学者认为,人格性是指只有在主体不仅仅是具体自己而具有的一般自我意识,也不是对完全抽象的自我、消灭一切具体的局限性和有效性的一种失效了的自我,而是拥有某种自我 意i只的时候,才开始的:6非人格性则是人格性的否定,指的是不具有某种自我意识的物或者是非权利 义务关系的主体,没有被法律所认可的情况=APP并不具备自主意识,就其程序性的本质而言,不具有人 格性的特征。三是复杂性或隐蔽性。APP的隐蔽性正是基于程序语言的专业性和复杂性,APP本身也是 复杂的,其对用户信息权益的损害往往是隐而未现,难以发觉。用户所关注的是APP界面的简洁、大方、美观和运行流畅程度,而这些仅仅是复杂计算机语言的冰上一角,至于其怎么组合,具体怎么运转,普 通的使用者难以了解、7因而在使用者与提供者之间存在信息接受不对等的情况下容易发生信息侵权 行为。
(二) APP立法规制的理论依据
1.APP相关信息中的人格权益“人格标识的完整性与真实性是主体受到他人尊重的基本条件。”8目前,互联网的发展对人格尊严的保护提出了新的要求,即现实生活标签与网络标签的真实性和一致 性,任何层面的断裂都将致使人格尊严受辱,如近几年因个人信息泄露引发的网络事件,对于 个体造成的伤害实质是虚拟世界屮人格标识的完整性、真实性与现实的人格表示不一致而形成的,并通 过互联M的放大,导致一些人成为受害者换言之,只有兼顾个体的电子标签以及现实人格标识的一致 性和完整性,个体才有获得人格尊严的可能。虚拟世界的电子标签主要由各种数据信息组合后展现,各类APP是个人信息数据产生的主要端U.如何保证APP相关主体合理收集用户信息以及保障被收集数据 信息的安全,避免个人信息过度曝光,给个体带来人格尊严损害,是当前面临的现实难题因此,基于技
①2015年6月发布的4.1版本丨,inux内核代码库的代码量已经超过1950万行,流行的Windows系统则超过了5000万行代码,集成了数万个驱动程序。
123
i i i l L-S i t法学论坛2021年第1期
术中立的原则,应加强对APP相关主体的规制,使用户的个人信息安全更有保障,减少类似事件的发生。
2.APP相关信息中的财产权益。数据信息具有财产属性,其背后存有巨大的经济价值是不争的事 实。根据相关研究显示,美国医疗行业每年通过数据获得的潜在价值可超过3〇〇〇亿美元,能够使得美国 医疗卫生支出降低超过8%;充分利用大数据的零售商有可能将其经营利润率提高60%以上。m数据信 息的财产价值还体现在大量数据交易中心的建立上。自2014年以来,我国陆续在各地建立了大数据交 易中心>1,m i数据信息的财产价值属性不言而喻。目前,理论和实务界关于个人数据信息的所有权归属 问题仍存在争论,无论是归属于个人还是归属于APP相关主体,从数据行业发展和公民权益保护的角度 而言,都应当依法对APP相关主体进行规制,一方面可以规范行业发展,使其有法可依;另一方面可以从 宏观角度预先保障数据信息安全,使相关财产权益得到保障。正是基于个人数据信息中体现的财产价 值属性,使得数据信息和利益划上了等号,人们往往极尽所能地挖掘信息数据的潜在价值,作为信息的 主要产生地和主要收集者的APP相关主体自然成为信息数据安全维护的主要参与者,也是规范使用信 息数据、维护个体权益的直接关系人。从维护信息数据的财产价值而言,也应通过立法加强对APP相关 主体的规制,规范整个数据信息行业发展,保障信息数据安全与合理使用。
(三)APP主体立法规制的必要性
1.数据信息价值拓展的负面效应。数据信息价值的延伸以及互联网的复杂性使得数据信息网络安 全维护成为一大难题,衍生出数据信息的负面效应。互联网技术的发展改变了人们对信息的认知,如信 息的形式从语言、文字和动作拓展为抽象的电子数据,信息数据的思维方式也由因果关系拓展为相关 关系。["
正是思维的转变提高了数据信息的商品价值,如根据个人消费记录,有针对性提供产品,增强 用户个人的消费欲望,以增加盈利。基于人的趋利性,原本限于向用户提供服务的APP开始大肆收集用 户个人信息,其中包括提供服务的非必要信息,造成信息泄露事件屡屡发生,如2〇丨6年雅虎10亿信息泄 露、1.17亿Linkedln账户登录信息泄露。[12][13:
2 .APP信息保护的法律真空。随着手机用户的增加,大量的个人信息于手机端APP产生,相关立法 的滞后性,使得APP领域的信息保护成为法律的真空地带。相关数据表明,截至2020年6月,我国网民规 模达9.40亿人,其中手机网民规模达9.32亿。[14:庞大的手机用户体使得通过APP提供服务的模式成为 主流,APP数量也呈现出爆发式的増长。每一个APP通过收集用户个人信息的方式提供差异化的服务,其经营模式既对现有的相关法律规定提出了新的挑战,也对维护信息安全带来了巨大压力。一方面,现 有的相关法律法规不具有针对性,亟待完善。互联网作为新生事物,在一些关键领域存在较大争议,难 以形成理论上的共识。如我国正在着手制定的《中华人民共和国个人信息保护法》,从2〇〇3年国务院委 托相关专家起草《个人信息保护法》开始,历经多个项目草案的更迭,目前仍在制定之中。而涉及A P P个 人信息保护的法律困境是相关高位阶的法律法规缺乏针对性,低位阶的规章缺乏有效性。另一方面,相 关的法律规定滞后,存在规制漏洞,致使出现不规范的APP和APP相关主体利用法律漏洞恶意侵犯用户
①自2014年2月以来,我国已设立了中关村数据大交易平台、贵阳大数据交易所、长江大数据交易所、
武汉东湖大数据交易中心、徐州大数据交易所、河北大数据交易中心、江苏大数据交易中心。
124
陈秀萍,胡天金-APP主体釣立法规制
个人信息的行为。[15APP只是一个执行用户指令的一系列程序的集合,其存续依赖于人的参与,其本身
合理与否取决于相关主体,因为APP相关主体导致的信息权益损害行为的范围借助网络得以无限扩大,
受害者分散,损害行为隐蔽性强,个人往往是后知后觉。基于法律规定的滞后性,相关主体往往会忽视
对用户数据信息的保护,导致A PP成为用户个人信息保护的真空地带。
3.问题APP侵害公民权益。问题APP主要指市场屮对于用户数据权益存在隐患的A P P相关调查显 示,目前市场中的APP数量达百万件之多,涉及到社会生活的方方面面》。16其中基于现阶段APP开发的
自主性、法律规制的缺乏和宽泛意义上的政府监管等因素,市场中的APP仍存在许多W题,如部分APP
存在过度收集用户信息、涉及用户隐私部分存在设i十漏洞及APP内部含有恶意程序等(2018年11月28 H,屮国消费者协会召开的新闻发布会公布了APP个人信息收集与隐私政策测评情况结果:10类APP普
遍存在涉嫌过度收集个人信息的情况,59款APP涉嫌过度收集“位置信息”,28款APP涉嫌过度收集“通小视频app开发
讯录信息”,23款APP涉嫌过度收集“身份信息”,22款APP涉嫌过度收集“手机号码”等。上海市消费者权
益保护委员会也通报了关于规范浏览器、输入法、综合视频等手机APP涉及个人信息权限的测评结果,
部分手机甚至出现了自动等异常现象。17APP存在个人信息安全隐患,根本原因在于APP背后
的人的因素
二、A PP主体立法规制存在的问题
如今看似虚拟的网络把我们都变成了透明人2,18大大小小的传感器和屏幕组建成了现实生活中
的电幕,作为信息数据的主要收集者、使用者和运营者,APP相关主体既可以是个人数据信息的侵犯者,
也可以是构建个人数据信息保护的重要屏障,因而对其进行规制实属必要。
(一)APP相关法律法规缺乏有效性
H前,我国相关个人信息的法律规定,如《屮华人民共和国网络安全法》《全国人民代表大会常务委
员会关于加强网络信息保护的决定》(以下简称《决定》)《移动智能终端应用软件预置和分发管理暂行
规定》(以下简称《暂行规定》)等1均存在内容宽泛、缺乏约束力等一系列问题。具体而言,涉及到APP经
营者的原则性规定较多,如《屮华人民共和国网络安全法》和《暂行规定》中均规定了信息收集的知情同
意原则,即APP经营者在收集用户信息的过程中应当征求用户的间意,但实际操作中这一原则容易被架 空,即名为约定,实为强制,用户为了使用软件的便利性而放弃信息的自主控制权@。[|9又如《决定》屮规
定M络服务提供者收集用户信息应当遵循正当、合理、必要原则,至于何为必要、合理、正当的数据信息
收集行为,标准难以把握,法律不具有可操作性,无法达到保护信息数据安全的目的有学者认为,个人
①截止2018年12月,我国市场上监测到移动应用程序(APP)在架数量为499万款,本土第三方市场移动应用数量超过268万款(在上半年为233万款),苹果中国区移动应用数量超过丨8丨万款。
②美国现代主义学者马克•皮特斯提出“超级圆形监狱”用于形容超越时空的网络将人们陷入无所遁逃的监控中。
③目前,初步统计有近40部法律、:!0多部法规、200多部规章的内容与个人信息保护有关。
④网络购物及网络金融会要求用户提供部分真实注册信息,还有些会读取用户的手机通讯录、通话记录、短信内容和位置信息等。
125
i m-S i t法字论沄2021年第1期
信息保护相关法律法规需要源头治理。20
(二)APP开发设计者立法规制的低位阶性
目前,与APP开发和设汁人员有关的规范性法律文件主要有《暂行规定》《关于开展APP违法违规收
集使用个人信息专项治理的公告》(以下简称《公告》)、《APP违法违规收集用户信息的认定方法》等,部
门规章以及规范性法律文件对于个人信息保护的作用发挥有限,APP信息泄露问题仍旧存在。APP的开
发和设汁人员对A P P自身的影响是基础性的,无论是自行开发设汁还是接受他人委托开发设计,其行为
都关乎个人信息安全保护的实效。假使一个APP在设计初始不存在漏洞,再通过后期程序不断更新,那
么其发生信息泄露的可能性以及后续风险则会被降到最低,相反,如果一个APP在设汁之初就存在漏 洞,其缺陷是先天的,那么出现M题只是时间长短而已,信息安全隐患是必然的。在一些儿童智能联网
设备上,如智能电话手表和智能玩具等,由于对相关开发设汁人员缺乏必要的规制,很多APP屮涉及用
户隐私方面存有漏洞1,21致使传感器收集的数据信息存在被泄漏的可能另外,部分移动设备内置APP
含有恶意程序气致使APP会主动上传用户的个人信息,包括语音、照片、位置甚至是实时视频等,夂个人
人身安全和隐私保护都在遭受问题APP的威胁,肆意的数据信息采集行为必然对个体权益造成损害。但 《暂行规定》的法律位阶较低,在没有针对个人信息保护的上位法作为依据的情况下,很难采取有实质
性的规制措施以约束相关主体的信息收集行为和消灭N题APP。这也解释了在2017年规章实施后个人
数据信息泄露仍然屡禁不止,对APP泄露个人信息的报道连篇累牍的原因。〜25同时,《暂行规定》的条
文数量简短,宣告式条文居多,对相关主体的经营行为缺乏实质性的约束,其中多数条文更倾向于行政
指导的范畴,提供的是理性化的信息收集建议,因而缺乏实效性。《暂行规定》虽要求APP相关主体的实
名制,但并无相应的配套措施,与《消费者权益保护法》中的实名制及其配套制度无法有效衔接。
三、APP主体立法规制:完善信息保护立法
(一)完善APP开发、设丨十主体实名制度
APP实名制是指APP相关主体在开发、设汁或者委托开发APP过程屮应当提供能够证明自身身份的
信息。基于APP已成为数据信息的集散地,APP的开发和设计人员对于个人数据信息保护是基础性的,
因而有必要对其进行规制。针对公民网络信息保护以及维护网络空间的安全,有学者将研究焦点放在
公民个人的实名制认证即研究网络用户信息真实制度上。夂但在实际推行过程屮网络用户实名制有很
大的局限性,普遍实施会带来很多社会N题,如韩H在实施公民个人信息网络实名认证制度之后,人们
开始利用假身份信息进行登记注册以及黑客攻击网络窃取个人真实信息,最终韩国政府废除了网络实
①漏洞包括硬编码后门凭证、特权提升漏洞、认证绕过漏洞、直接漏洞、信息漏洞等,可以收集儿童个人信息包括照片、定位信息等。
②国家互联网应急中心天津分中心,被曝光的220个恶意程序的恶意行为包括运行后隐藏安装图标,诱骗用户点击激活设备管理器功能,导致用户无法正常卸载;私自将用户手机里已存在的所有短信和通讯录上传至指定的邮箱;私自
将用户接收到新的短信转发至指定的手机号;私自接收指定手机号码发来短信控制指令,执行控制指令内容。
126
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论