手機(jī)APP收集用戶個(gè)人敏感信息規(guī)制分析

孫鐵文

摘 要：近年來，個(gè)人信息被手機(jī)APP過度收集和不當(dāng)使用的現(xiàn)象逐漸引起了消費(fèi)者的重視，而今年一款名為“ZAO”的AI換臉軟件，因?yàn)槠?“霸道”的用戶協(xié)議和隱私政策更是引起了極大的爭議。通過對(duì)引發(fā)爭議的個(gè)人信息收集條款進(jìn)行分析，結(jié)合我國個(gè)人敏感信息保護(hù)的現(xiàn)狀，認(rèn)為我國有必要完善信息分類制度，給予個(gè)人敏感信息以特殊的保護(hù)。

關(guān)鍵詞：個(gè)人信息保護(hù)；個(gè)人敏感信息；規(guī)制

中圖分類號(hào)：D9 文獻(xiàn)標(biāo)識(shí)碼：A doi：10.19311/j.cnki.16723198.2019.32.080

隨著大數(shù)據(jù)時(shí)代的到來，個(gè)人信息的分析和利用促進(jìn)了互聯(lián)網(wǎng)行業(yè)的發(fā)展，極大方便了人們的生活，但是與此同時(shí)，頻發(fā)的信息泄露事件也使得部分手機(jī)APP用戶對(duì)收集用戶個(gè)人信息的企業(yè)產(chǎn)生了信任危機(jī)。據(jù)調(diào)查，54%的網(wǎng)民認(rèn)為個(gè)人信息泄露嚴(yán)重，84%的網(wǎng)民曾親身感受到因個(gè)人信息泄露帶來的不良影響，如何保護(hù)消費(fèi)者的個(gè)人信息權(quán)利，避免個(gè)人敏感信息的不當(dāng)使用，成為了亟需解決的難題。強(qiáng)化個(gè)人敏感信息的保護(hù)，規(guī)范個(gè)人信息的收集和處理規(guī)則刻不容緩。

1 “ZAO” 隱私政策及用戶協(xié)議存在的問題

AI換臉軟件“ZAO”因其“換臉”操作簡單、素材豐富、視頻生成時(shí)間短等優(yōu)點(diǎn)，在2019年8月末上線后引發(fā)了廣泛的關(guān)注。對(duì)于許多年輕人來說，只需提供一張照片，便可以通過“ZAO”迅速生成以自己為主角的短視頻，置身于影視劇或者綜藝節(jié)目之中，這是一件有趣的事。也正因如此，該APP的下載量飆升，僅僅幾天就登上了APP Store免費(fèi)APP排行榜的第一位。然而，在“ZAO”爆紅的第二天，有法律工作者指出，其用戶協(xié)議和隱私政策疑似存在過度收集用戶信息等問題，而且用戶的個(gè)人敏感信息很有可能在沒有被充分告知的情況下，被“ZAO”共享或者出售給第三方，主要問題體現(xiàn)在以下幾方面。

1.1 涉嫌過度收集用戶信息

“ZAO” 8月31日版本（即修改前的版本）的隱私協(xié)議提出，為確保用戶身份真實(shí)性，提供安全保障，用戶需提供身份證、駕駛證、社保卡、面部特征或者芝麻信用等個(gè)人敏感信息。作為一款視頻制作類手機(jī)APP，“ZAO”要求用戶提交面部識(shí)別信息來完成換臉視頻的制作，這本無可厚非，但是要求用戶提供類似芝麻信用的個(gè)人敏感信息，這與其產(chǎn)品的“換臉制作短視頻”的主要功能并無實(shí)際聯(lián)系，甚至可以說超出了合理的范圍，有過度收集用戶信息的可能。

1.2 未明確告知信息收集、使用的目的和方式

8月31日版本的“ZAO”用戶協(xié)議第6條第2款要求用戶將肖像授予“ZAO”及其關(guān)聯(lián)公司全球范圍內(nèi)完全免費(fèi)、不可撤銷、永久、可轉(zhuǎn)授權(quán)和可再許可的權(quán)利。但是 “完全免費(fèi)、不可撤銷、永久可轉(zhuǎn)授權(quán)和再許可” 有“霸王條款”的嫌疑，這樣的措辭并不符合我國《網(wǎng)絡(luò)安全法》中關(guān)于信息收集正當(dāng)性原則的要求，而且該條款也未能明確告知用戶其肖像使用的目的和方式，無法切實(shí)保障用戶的知情權(quán)。

1.3 沒有體現(xiàn)對(duì)用戶敏感信息的保護(hù)

根據(jù)8月31日版本的“ZAO”用戶協(xié)議第6條，用戶必須同意“ZAO”及其關(guān)聯(lián)公司對(duì)用戶的肖像和上傳的內(nèi)容進(jìn)行部分或者全部的修改。但是用戶的肖像，也就是個(gè)人生物識(shí)別信息，屬于敏感信息的一種，因此如果需要對(duì)用戶肖像進(jìn)行變動(dòng)，應(yīng)有明確的限定和說明，讓用戶充分理解該條款的含義，否則可能會(huì)導(dǎo)致權(quán)利被濫用，從而導(dǎo)致侵權(quán)事件的發(fā)生。

1.4 違反公平原則

8月31日版本的“ZAO”用戶協(xié)議第6條，要求用戶同意授予“ZAO”及其關(guān)聯(lián)公司以及“ZAO”用戶全球范圍內(nèi)完全免費(fèi)、不可撤銷、永久、可轉(zhuǎn)授權(quán)和可再許可的權(quán)利，包括但不限于對(duì)用戶內(nèi)容進(jìn)行修改與編輯，以及對(duì)修改前后的用戶內(nèi)容進(jìn)行信息網(wǎng)絡(luò)傳播和由著作權(quán)人享有的全部著作財(cái)產(chǎn)權(quán)及鄰接權(quán)利。這種格式化的用戶協(xié)議，在沒有進(jìn)行標(biāo)黑、加粗等明確標(biāo)識(shí)的情況下，要求用戶永久且不可撤銷地將肖像授權(quán)給“ZAO”使用和傳播，并且享有全部著作財(cái)產(chǎn)權(quán)，這實(shí)際超出了正常使用的范圍，導(dǎo)致雙方權(quán)利義務(wù)不對(duì)等，違反公平原則。

2 我國個(gè)人敏感信息保護(hù)存在的不足

2.1 個(gè)人敏感信息不規(guī)范收集的現(xiàn)象嚴(yán)重

用戶同意企業(yè)對(duì)其個(gè)人敏感信息進(jìn)行收集和處理應(yīng)是建立在充分理解條款含義的基礎(chǔ)上，按照個(gè)人的自由意志做出決定，但是現(xiàn)實(shí)中用戶通常沒有足夠的選擇權(quán)，手機(jī)APP不規(guī)范收集個(gè)人敏感信息的情況屢屢發(fā)生。2018年11月中國消費(fèi)者協(xié)會(huì)曾對(duì)10類共100款常用APP的隱私政策進(jìn)行測評(píng)，結(jié)果顯示：在參與測評(píng)的APP中，有91款存在過度收集或使用個(gè)人信息的情況；59款未明確告知收集個(gè)人信息的類型，且收集敏感信息時(shí)未明確告知用戶信息的用途；42款對(duì)外提供個(gè)人信息時(shí)不會(huì)單獨(dú)告知并征得用戶同意。2019年7月APP專項(xiàng)治理工作組通報(bào)了天天酷跑、探探等20款A(yù)PP要求用戶一次性同意開啟多個(gè)收集個(gè)人信息權(quán)限的情況，如果用戶不同意那么就無法使用該APP的全部功能。

這些測評(píng)結(jié)果和數(shù)據(jù)都反映出，目前我國手機(jī)APP的隱私政策中，很多是采用默示同意的方法獲得用戶的知情同意，未能給予用戶足夠的選擇權(quán)，用戶只能接受APP的隱私政策，否則將無法使用該軟件。此外，過度收集用戶個(gè)人信息的情況也比較嚴(yán)重，存在“一攬子”授權(quán)的情況，不加區(qū)分地要求用戶將一般個(gè)人信息和個(gè)人敏感信息一概授權(quán)給信息收集方。

2.2 現(xiàn)行法律制度對(duì)個(gè)人敏感信息保護(hù)存在局限性

目前，在《民法總則》、《消費(fèi)者權(quán)益保護(hù)法》、《網(wǎng)絡(luò)安全法》、《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》（以下簡稱兩高解釋）等法律法規(guī)和司法解釋中都涉及了關(guān)于個(gè)人信息保護(hù)的內(nèi)容，但是法律條文比較分散，缺乏統(tǒng)一的標(biāo)準(zhǔn)，很多只是原則性的規(guī)定，比如《民法總則》第111條規(guī)定：“自然人的個(gè)人信息受法律保護(hù)……不得非法收集、使用、加工、傳輸他人個(gè)人信息。”兩高解釋則明確了未經(jīng)被收集者同意進(jìn)行收集或者提供公民個(gè)人信息可能構(gòu)成侵犯公民個(gè)人信息罪。而《網(wǎng)絡(luò)安全法》雖然指出了個(gè)人信息收集的原則和應(yīng)當(dāng)經(jīng)過被收集者的明示同意，但是對(duì)于明示同意的方式并未進(jìn)一步說明，而且未明確區(qū)分個(gè)人敏感信息和一般個(gè)人信息，可操作性不強(qiáng)。

全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡稱《個(gè)人信息安全規(guī)范》）在個(gè)人信息收集、使用、保存等方面進(jìn)行了較為詳細(xì)的規(guī)定，但是由于《個(gè)人信息安全規(guī)范》只是推薦性國家標(biāo)準(zhǔn)，只是可以對(duì)企業(yè)制定隱私政策起到指引的作用，不屬于正式的法律淵源。一旦發(fā)生糾紛，行政機(jī)關(guān)和消費(fèi)者并不能直接以《個(gè)人信息安全規(guī)范》作為依據(jù)，因此對(duì)于企業(yè)來講，約束力不強(qiáng)。

2019年網(wǎng)信辦等4部門開展的APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理工作初見成效，APP專項(xiàng)治理工作組結(jié)合工作經(jīng)驗(yàn)出臺(tái)了《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法（征求意見稿）》（以下簡稱《認(rèn)定方法》），對(duì)不當(dāng)收集用戶信息的現(xiàn)象進(jìn)行了歸納和列舉，可以說全面細(xì)致地界定了違法違規(guī)收集使用個(gè)人信息的行為，但是和《個(gè)人信息安全規(guī)范》一樣，《認(rèn)定方法》也是能對(duì)行政機(jī)關(guān)認(rèn)定APP違法違規(guī)有一定參考價(jià)值，卻不能直接作為行政機(jī)關(guān)采取強(qiáng)制措施的依據(jù)。

2.3 個(gè)人敏感信息保護(hù)不足的結(jié)論

綜上所述，我國現(xiàn)行個(gè)人信息保護(hù)的法律制度在規(guī)范APP信息收集時(shí)無法起到預(yù)期的作用，對(duì)于消費(fèi)者的保護(hù)有所欠缺，這一方面是由于現(xiàn)有的告知同意規(guī)則和信息分類制度無法保障用戶的知情權(quán)，個(gè)人敏感信息被“一攬子”授權(quán)給了信息收集者；另一方面是因?yàn)槿狈ν陚涞男畔⒈Ｗo(hù)法律體系和切實(shí)有效的懲戒機(jī)制，因此無法有效約束違規(guī)收集的企業(yè)。

3 強(qiáng)化個(gè)人敏感信息保護(hù)的必要性及措施

3.1 必要性

敏感信息是指一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息。與一般的個(gè)人信息相比，敏感信息往往具有獨(dú)特性，和特定個(gè)體之間的聯(lián)系非常緊密，其中蘊(yùn)含的風(fēng)險(xiǎn)往往也更大，以面部識(shí)別信息為例，由于它是根據(jù)人的臉部特征信息進(jìn)行身份識(shí)別，因此掌握該信息的一方往往可以通過面部識(shí)別信息，準(zhǔn)確定位到與之相對(duì)應(yīng)的某一個(gè)具體的人，如果該信息發(fā)生泄露，結(jié)合AI換臉等技術(shù)，可能會(huì)誘發(fā)新形式的網(wǎng)絡(luò)詐騙犯罪，給其他公民造成嚴(yán)重的財(cái)產(chǎn)損失。因此，對(duì)于一般的個(gè)人信息和敏感個(gè)人信息應(yīng)有所區(qū)分，尤其對(duì)于個(gè)人敏感信息，需采取更嚴(yán)格的保護(hù)措施。

3.2 措施

（1）完善個(gè)人信息分類制度，對(duì)一般個(gè)人信息和個(gè)人敏感信息劃分不同的保護(hù)標(biāo)準(zhǔn)。

首先要建立個(gè)人信息分類制度。張新寶教授提出個(gè)人信息保護(hù)應(yīng)遵循“兩頭強(qiáng)化，三方平衡”的原則，兩頭強(qiáng)化是指：在個(gè)人敏感信息與個(gè)人一般信息區(qū)分的基礎(chǔ)上，強(qiáng)化個(gè)人敏感信息的保護(hù)和強(qiáng)化個(gè)人一般信息的利用，從而實(shí)現(xiàn)利益的平衡。我認(rèn)為個(gè)人敏感信息應(yīng)以列舉式為基礎(chǔ)，將個(gè)人身份信息、生物識(shí)別信息、健康信息、基因信息、性信息及種族信息明確規(guī)定為個(gè)人敏感信息。同時(shí)考慮到科技的發(fā)展可能會(huì)對(duì)列舉的信息種類造成挑戰(zhàn)，使其無法靈活應(yīng)對(duì)社會(huì)的變化，應(yīng)設(shè)置兜底條款，方便結(jié)合未來的實(shí)際情況進(jìn)行變通，給個(gè)人敏感信息立法工作留有一定的空間。

此外，對(duì)于個(gè)人敏感信息的收集和處理規(guī)則，可以參考實(shí)踐中其他國家的經(jīng)驗(yàn)，如歐盟和美國對(duì)于個(gè)人敏感信息都有特殊的保護(hù)規(guī)則。歐盟《一般數(shù)據(jù)保護(hù)條例》第9條規(guī)定：“對(duì)揭示種族或民族出身，政治觀點(diǎn)、宗教或哲學(xué)信仰，工會(huì)成員的個(gè)人數(shù)據(jù)，以及以唯一識(shí)別自然人為目的的基因數(shù)據(jù)、生物特征數(shù)據(jù)，健康、自然人的性生活或性取向的數(shù)據(jù)的處理應(yīng)當(dāng)被禁止?！奔床扇〗固幚碓瓌t，在通常的情況下禁止信息收集者對(duì)個(gè)人敏感信息進(jìn)行任何形式的處理，除非符合法定例外的情況。而美國則采用三個(gè)層次的個(gè)人信息收集機(jī)制：一是對(duì)于可合理預(yù)期被收集、處理的個(gè)人信息，事先推定企業(yè)已獲得消費(fèi)者的同意授權(quán)；二是對(duì)于無法合理預(yù)期會(huì)被收集的一般個(gè)人信息，采用擇出式同意（opt-out）的原則，即告知用戶選擇退出的機(jī)制；三是對(duì)于無法合理預(yù)期會(huì)被收集的敏感個(gè)人信息，采用擇入式同意（opt-in）的原則，即需要獲得用戶明示同意。

結(jié)合我國實(shí)際情況，我認(rèn)為完全禁止企業(yè)進(jìn)行個(gè)人敏感信息的處理有些過于嚴(yán)苛，因此可以根據(jù)各類手機(jī)APP的實(shí)際情況，制定該種類APP收集個(gè)人敏感信息的標(biāo)準(zhǔn)范圍，并根據(jù)實(shí)際情況進(jìn)行更新。如果企業(yè)因?yàn)椴捎昧四承┬录夹g(shù)或者開發(fā)了新功能，確實(shí)需要在標(biāo)準(zhǔn)之外收集某些敏感信息，在相關(guān)部門進(jìn)行備案登記之后方可進(jìn)行收集和處理。

（2）明確應(yīng)用平臺(tái)的隱私政策基本審核義務(wù)。

除了從法律層面上規(guī)范手機(jī)APP的個(gè)人敏感信息收集規(guī)則之外，手機(jī)應(yīng)用平臺(tái)也應(yīng)該對(duì)APP的隱私政策負(fù)有最基本的審核義務(wù)，如要求進(jìn)入其平臺(tái)的APP必須在商店下載界面展示其用戶隱私政策，并且收集的個(gè)人敏感信息不得超出該種類APP法定的范圍（經(jīng)備案審查合格的除外），這樣可以從源頭減少過度收集用戶個(gè)人信息的現(xiàn)象。同時(shí)，對(duì)于經(jīng)舉報(bào)核實(shí)存在問題的手機(jī)APP，平臺(tái)應(yīng)迅速將其下架或采取臨時(shí)性屏蔽等措施，通知和促使其盡快修改隱私政策，防止更多用戶的信息被不合理地收集。

4 結(jié)語

“ZAO”事件僅僅是我國手機(jī)APP對(duì)用戶個(gè)人信息過度收集和不當(dāng)使用的一個(gè)縮影，事情發(fā)酵后“ZAO”迅速修改了其用戶協(xié)議和隱私政策，然而文本縱然可以輕松更改，用戶失去的信任和信心卻需要企業(yè)付出更大的努力才能喚回。所以對(duì)于企業(yè)來講，與其亡羊補(bǔ)牢，不如一開始就做到信息收集合法合規(guī)，既保護(hù)了用戶的利益，也可以促進(jìn)企業(yè)的良性發(fā)展。當(dāng)然，對(duì)于個(gè)人敏感信息的保護(hù)更離不開法律的保障，當(dāng)前分散的個(gè)人信息保護(hù)規(guī)定已經(jīng)落后于社會(huì)的發(fā)展速度，因此必須引起重視，完善相關(guān)的法律制度以保護(hù)消費(fèi)者的權(quán)益。

參考文獻(xiàn)

[1]中國網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告2016：54%的網(wǎng)民認(rèn)為個(gè)人信息泄露嚴(yán)重[EB/OL].[20190821].http：//www.isc.org.cn/zxzx/xhdt/listinfo-33759.html..

[2]中國消費(fèi)者協(xié)會(huì).100款A(yù)pp個(gè)人信息收集與隱私政策測評(píng)報(bào)告[EB/OL].[20190821].http：//www.cca.org.cn/jmxf/detail/28310.html.

[3]APP專項(xiàng)治理工作組.10款A(yù)PP存在無隱私政策等問題[EB/OL].[20190822].http：//www.cqn.com.cn/pp/content/201907/11/content_7305807.htm.

[4]戴正，邵丹.互聯(lián)網(wǎng)企業(yè)隱私政策風(fēng)險(xiǎn)下個(gè)人信息保護(hù)對(duì)策研究[J].哈爾濱學(xué)院學(xué)報(bào)，2019，（2）：7983.

[5]國家標(biāo)準(zhǔn)GB/T 35273-2017信息安全技術(shù)個(gè)人信息安全規(guī)范[S].

[6]張新寶.從隱私到個(gè)人信息：利益再衡量的理論與制度安排[J].中國法學(xué)，2015，（3）：3859.