《民法典》下APP 對(duì)個(gè)人信息合理使用的法律規(guī)制

孟 翔

廣東尚堯律師事務(wù)所，廣東 佛山 528000

近年來(lái)，各類APP 迅速發(fā)展，相比之下，法律規(guī)定和監(jiān)管治理存在滯后現(xiàn)象，導(dǎo)致個(gè)人信息通過(guò)APP 被大量過(guò)度收集和不當(dāng)使用，例如2020年北京互聯(lián)網(wǎng)法院在個(gè)案中認(rèn)定了某音APP 和某信讀書(shū)等軟件均存在侵害個(gè)人信息權(quán)益的情況。這表明，APP 個(gè)人信息泄露情況十分嚴(yán)重，相關(guān)治理刻不容緩。［1］對(duì)于APP 個(gè)人信息使用情況的治理，既要繼續(xù)保留其合理使用的區(qū)域，又要嚴(yán)格約束其不能跨越使用邊界，對(duì)此，本文將結(jié)合《民法典》中相關(guān)規(guī)定展開(kāi)分析和說(shuō)明。

一、APP 對(duì)個(gè)人信息使用中存在的問(wèn)題

（一）核心問(wèn)題——合理邊界

在APP 等軟件對(duì)個(gè)人信息的使用上，一直存在的一個(gè)核心問(wèn)題，是如何確定合理使用的邊界。對(duì)此，學(xué)界和實(shí)務(wù)界都存在眾多爭(zhēng)議，尚未確定。個(gè)人信息作為自然人人格標(biāo)識(shí)的展現(xiàn)，它和個(gè)人隱私權(quán)不同。個(gè)人隱私權(quán)屬于一種絕對(duì)防御性權(quán)利，不容侵犯；但是個(gè)人信息卻允許被合理使用。例如對(duì)個(gè)人的消費(fèi)習(xí)慣、消費(fèi)偏好等的收集，有助于APP 等軟件改善自己的用戶體驗(yàn)，但是對(duì)此必須在合理范圍內(nèi)展開(kāi)。然而，合理范圍在哪里，它本質(zhì)上不是一個(gè)理論上可以確定的問(wèn)題，而需要在現(xiàn)實(shí)中不斷摸索，積累經(jīng)驗(yàn)。

（二）APP 對(duì)個(gè)人信息獲取要求超越“必要性”范疇

一些調(diào)查表明，雖然法律規(guī)定了必要性原則，要求APP 對(duì)于用戶個(gè)人信息的獲取必須遵循必要上的最低限度。［2］但是在實(shí)際操作中，必要性原則的具體內(nèi)容并不清晰。一些APP 所提供的服務(wù)會(huì)和其他領(lǐng)域交叉，或者自身就提供一種多元化服務(wù)，此時(shí)其從某一渠道中獲得的個(gè)人信息，也會(huì)被其運(yùn)用到其他領(lǐng)域和服務(wù)中。所謂的必要性原則，到底是基于單一領(lǐng)域的必要性原則，還是基于APP 整體功能的，并不清晰。此外，是否允許APP 可以將從某一領(lǐng)域內(nèi)獲得的個(gè)人信息運(yùn)用到其他領(lǐng)域中，也充滿爭(zhēng)議。

（三）APP 如何使用個(gè)人信息用戶不知情

APP 軟件如何使用個(gè)人信息，對(duì)此很大程度上依賴于APP 軟件的自我約束，以及相關(guān)監(jiān)管。對(duì)此，作為個(gè)人信息的直接提供者——用戶，既不知情，也無(wú)能為力，無(wú)法介入。用戶只能期待APP軟件使用過(guò)程是誠(chéng)信、善意的，這構(gòu)成了其合理信賴。［3］但是，由于雙方信息獲取差異性過(guò)大，以及在行業(yè)地位、技術(shù)上存在巨大的鴻溝，導(dǎo)致了用戶對(duì)APP 軟件無(wú)法實(shí)施監(jiān)控。相關(guān)監(jiān)管畢竟存在監(jiān)管范圍的局限性，這就導(dǎo)致缺乏用戶監(jiān)督構(gòu)成了最大的監(jiān)管漏洞。

（四）用戶對(duì)個(gè)人信息授權(quán)缺乏選擇性

許多用戶并不樂(lè)意對(duì)APP 軟件在過(guò)大范圍內(nèi)授權(quán)自己的個(gè)人信息，但是問(wèn)題在于，他們對(duì)授權(quán)程度無(wú)法選擇，并且一旦拒絕整體性授權(quán)，就意味著他們無(wú)法繼續(xù)使用某個(gè)APP。此種情況下，如果缺乏其他同類替代品，且替代品執(zhí)行不一樣的個(gè)人信息搜集規(guī)定，他們往往被迫必須使用某個(gè)特定APP，并且接受其個(gè)人信息相關(guān)規(guī)定。實(shí)際情況中，許多同類型的APP 往往執(zhí)行相同的個(gè)人信息搜集規(guī)則，并未給用戶提供多樣性選擇。這就導(dǎo)致了用戶對(duì)個(gè)人信息的授權(quán)看起來(lái)有選擇權(quán)利，實(shí)際上并無(wú)選擇權(quán)利。

二、APP 對(duì)個(gè)人信息合理使用的約束困境

APP 對(duì)個(gè)人信息合理使用的約束主要通過(guò)法律規(guī)定、司法訴訟和監(jiān)管治理等實(shí)現(xiàn)，但是三者在對(duì)其發(fā)揮規(guī)制、約束作用上均還存在一些困難之處。

（一）法律困境

APP 對(duì)個(gè)人信息合理使用的約束困境突出體現(xiàn)在“知情—同意”規(guī)則運(yùn)用的局限性上。個(gè)人信息收集上應(yīng)當(dāng)按照法律法規(guī)的規(guī)定和雙方約定，遵循《網(wǎng)絡(luò)安全法》第四十一條的規(guī)定，滿足合法、正當(dāng)、必要原則，收集信息的類型、目的、方式和內(nèi)容都應(yīng)該提前向用戶公布說(shuō)明，只有用戶同意，才可以繼續(xù)收集。［4］但這一規(guī)則是否能落入實(shí)效，是一個(gè)很大的疑問(wèn)。無(wú)論是用戶在其中的知情，還是用戶在其中的同意，都很難被視為是在真正自由和充分了解下做出的選擇。因?yàn)槔缦嚓P(guān)內(nèi)容非常晦澀難懂、非常專業(yè)，用戶對(duì)此無(wú)法理解，隱私政策訪問(wèn)路徑個(gè)性化設(shè)置比較復(fù)雜，許多用戶為了快速使用APP 往往會(huì)勾選通行的規(guī)則，即同意APP 對(duì)自己個(gè)人信息全面搜集。但如此，用戶實(shí)際上放棄了自己真正的知情和同意權(quán)利，這種放棄并非主動(dòng)，而往往是基于被迫。

APP 對(duì)個(gè)人信息合理使用的法律約束還體現(xiàn)為必要性內(nèi)容的不清晰。《信息安全技術(shù)—個(gè)人信息安全規(guī)范》（GB/T 35273-2020）附錄A 中，對(duì)于個(gè)人信息進(jìn)行了具體類型的列舉，規(guī)定APP搜集個(gè)人信息必須符合其目的，而且僅在必要的情況下搜集。但是由于目前相關(guān)列舉雖然細(xì)致，卻沒(méi)有進(jìn)一步說(shuō)明不同APP 允許搜集哪些個(gè)人信息，以及如何確保其搜集目的、手段和內(nèi)容之間符合必要性原則，也即符合比例原則，這就導(dǎo)致了即便APP 過(guò)度搜集個(gè)人信息，對(duì)其不恰當(dāng)使用，法律上也很難對(duì)此具體界定和懲處。

（二）司法困境

APP 對(duì)個(gè)人信息是否合理使用，一旦相關(guān)情形進(jìn)入到司法訴訟中，司法訴訟對(duì)其如何判定以及懲處，也存在一些困難。這一難點(diǎn)主要是在于，司法訴訟中并不能簡(jiǎn)單否定APP 對(duì)個(gè)人信息的任何使用，而必須要探索如何貫徹個(gè)人信息合理使用制度下公共利益與私人利益之間的平衡。［5］目前，司法訴訟中的相關(guān)困境主要體現(xiàn)為：

1．個(gè)人信息合理利用上存在舉證困境。作為用戶的個(gè)體，往往缺乏足夠的舉證能力，證明APP對(duì)個(gè)人信息利用上的不合理。相比之下，APP 卻可以比較輕易地證明自己對(duì)個(gè)人信息利用上是“合理”的。這里就存在一種由網(wǎng)絡(luò)信息技術(shù)導(dǎo)致的技術(shù)鴻溝，對(duì)其進(jìn)行客觀判斷的主體，只能是具有同樣知識(shí)技術(shù)背景的客觀第三方專家或?qū)I(yè)機(jī)構(gòu)。即便是法官也很難憑借個(gè)人法律素養(yǎng)和經(jīng)驗(yàn)進(jìn)行合理判定。

2．即便APP 對(duì)個(gè)人信息的利用存在不合理，往往侵權(quán)后果上也難以明確。因?yàn)锳PP 不當(dāng)使用個(gè)人信息主要體現(xiàn)為將其給其他機(jī)構(gòu)、程序繼續(xù)使用導(dǎo)致信息泄露，或者對(duì)其進(jìn)行商業(yè)使用，從而變現(xiàn)，但是它給個(gè)人帶來(lái)的侵害后果卻是不明確的，往往只有極端案例下，侵害后果才凸顯出來(lái)，大量其他情況下，侵害后果是隱蔽的、長(zhǎng)期的和緩慢的。

3．APP 對(duì)個(gè)人信息的不當(dāng)利用屬于典型的違法成本低、維權(quán)成本高。這導(dǎo)致大量用戶如果沒(méi)有面臨極端侵害情況，往往選擇息事寧人，而不會(huì)主動(dòng)維權(quán)。

（三）監(jiān)管困境

在行政監(jiān)管方面而言，如何能夠?qū)PP 搜集個(gè)人信息進(jìn)行有效監(jiān)管，目前也存在許多困境。監(jiān)管理念的落后、監(jiān)管制度的不成熟以及監(jiān)管效果的不可控性，都是廣泛存在的困境。2017 年6 月1日我國(guó)《網(wǎng)絡(luò)安全法》施行以后，對(duì)移動(dòng)APP 進(jìn)行監(jiān)管已經(jīng)成為相關(guān)部門(mén)的工作重點(diǎn)，例如2017年中央網(wǎng)信辦、工信部、公安部和國(guó)家標(biāo)準(zhǔn)委等部門(mén)都開(kāi)展了專項(xiàng)工作，打擊APP 過(guò)度搜集個(gè)人信息和保護(hù)個(gè)人隱私權(quán)的現(xiàn)象；2019 年，類似專項(xiàng)活動(dòng)繼續(xù)展開(kāi)，并且還拓展了不同的舉報(bào)渠道，不斷編制新的規(guī)范文件，并讓專業(yè)評(píng)估機(jī)構(gòu)介入進(jìn)行評(píng)估等。［6］這些活動(dòng)雖然表明了行政監(jiān)管的力度和決心，但是其問(wèn)題在于，專項(xiàng)行動(dòng)具有效果上的不可持續(xù)性。它沒(méi)有能夠形成長(zhǎng)期、持續(xù)、穩(wěn)定的監(jiān)管效果。這就導(dǎo)致某些整改在整改之初效果良好，但是整改專項(xiàng)行動(dòng)過(guò)去以后，隨著時(shí)間的推進(jìn)，整改效果會(huì)不斷下降，最終APP軟件可能又會(huì)在個(gè)人信息搜集上“故態(tài)復(fù)萌”。

三、確保APP 對(duì)個(gè)人信息合理使用的法律規(guī)制之建議

針對(duì)如上APP 對(duì)個(gè)人信息搜集中存在的問(wèn)題，以及其法律規(guī)制的相關(guān)困局，筆者從法律規(guī)定、司法訴訟和行政監(jiān)管三個(gè)層面給出如下法律規(guī)制建議。

（一）改進(jìn)、補(bǔ)充“知情—同意”規(guī)則和必要性規(guī)則

如上所述，“知情—同意”規(guī)則和必要性規(guī)則對(duì)于APP 合理使用個(gè)人信息的保證和約束效果越來(lái)越差，對(duì)此有必要通過(guò)規(guī)則補(bǔ)強(qiáng)的方式，才能讓兩項(xiàng)原則繼續(xù)發(fā)揮作用，實(shí)現(xiàn)較好效果。

就“知情—同意”規(guī)則而言，要保證用戶的“同意”是在擁有充分自主權(quán)的情況下，自主選擇的“同意”，即便用戶不同意APP 的搜集和使用個(gè)人信息規(guī)則，也能使用APP 的基本功能。要確保用戶“知情—同意”的自主性，法律需要保證，用戶即便不同意APP 的個(gè)人信息搜集和使用規(guī)則，也能夠找到替代功能的APP，或者能夠繼續(xù)使用APP 的部分基本功能。對(duì)于前者，已經(jīng)超出了法律的可能，所以法律應(yīng)當(dāng)保證用戶在不同意APP 的個(gè)人信息搜集和使用規(guī)則下，也能夠繼續(xù)使用APP 的部分基本功能。這才是真正的個(gè)人信息自決，否則所謂的“同意”會(huì)等同于受害人同意“讓盜竊變?yōu)橘?zèng)與”的情況。［7］

要確保用戶能真正知情和同意，還必須要繼續(xù)細(xì)化APP 收集個(gè)人信息的必要性規(guī)則，即APP對(duì)個(gè)人信息收集的程度必須再進(jìn)一步分級(jí)。筆者建議，法律應(yīng)當(dāng)出臺(tái)相關(guān)更細(xì)的司法解釋，將APP對(duì)個(gè)人信息收集的程度分為“個(gè)人信息的必要搜集”“個(gè)人信息的全面搜集”和“個(gè)人信息的個(gè)性化搜集”三類。APP 應(yīng)當(dāng)允許用戶選擇“個(gè)人信息的搜集”程度，通過(guò)最低限度的個(gè)人信息搜集措施，從而應(yīng)用APP 的最基本功能。一旦用戶想用更高級(jí)功能，則需要用戶進(jìn)一步重新對(duì)某些新的搜集需要進(jìn)行授權(quán)。如果用戶想一勞永逸，也可以選擇“個(gè)人信息的全面搜集”。對(duì)于一些有個(gè)人偏好的用戶，應(yīng)當(dāng)允許其對(duì)個(gè)人信息搜集進(jìn)行一種個(gè)性化設(shè)置。

（二）細(xì)化司法訴訟中APP 一方的舉證義務(wù)

在司法訴訟中，為了更好地達(dá)成實(shí)質(zhì)公平，也即更多激勵(lì)用戶維護(hù)自己的權(quán)利，對(duì)APP 信息搜集和利用的合理性形成外部約束，則要重新分配舉證義務(wù)。用戶如果認(rèn)為APP 信息搜集和利用不夠合理，只需要負(fù)擔(dān)最基本的舉證義務(wù)，從普通公眾角度、根據(jù)普通公眾的能力能提出最基本的證據(jù)即可。涉及APP 信息搜集和利用的專業(yè)領(lǐng)域，在普通人無(wú)法進(jìn)入的階段，APP 信息搜集和利用的相關(guān)舉證將轉(zhuǎn)移到APP 一方，或者由法官來(lái)依據(jù)職權(quán)搜集證據(jù)。如此，提高了相關(guān)案例的可訴性。

具體而言，APP 一方需要證明的方面包括：對(duì)用戶“知情—同意”規(guī)則形成實(shí)質(zhì)性運(yùn)用，即雙方達(dá)成真正合意。此外，還須證明自己搜集用戶個(gè)人信息的范圍、方式和內(nèi)容是必要的，自己對(duì)用戶個(gè)人信息的利用目的、方式是合理的，自己沒(méi)有給用戶個(gè)人信息保護(hù)上帶來(lái)負(fù)面影響以及違反相關(guān)法律規(guī)定。對(duì)此，也需要司法實(shí)踐中出臺(tái)更細(xì)的解釋規(guī)則，明確APP 一方證明的內(nèi)容和證明的方式，需要提供何種證據(jù)來(lái)表明這一點(diǎn)。司法實(shí)踐中還要繼續(xù)細(xì)化APP 不當(dāng)、非法搜集、使用用戶個(gè)人信息情況下的法律責(zé)任的承擔(dān)。從《民法典》角度看，其主要為民事責(zé)任，應(yīng)當(dāng)既包括財(cái)產(chǎn)利益的損失，也包括精神利益損失。［8］此外，《民法典》中所規(guī)定的人格權(quán)禁令制度也應(yīng)當(dāng)進(jìn)一步運(yùn)用在這里，形成良好的事前預(yù)防機(jī)制。

（三）建立穩(wěn)定、持續(xù)、效果確定的行政監(jiān)管體系

穩(wěn)定、持續(xù)、效果確定的行政監(jiān)管體系的建立，有助于行政機(jī)關(guān)對(duì)APP 搜集、使用個(gè)人信息形成持續(xù)的監(jiān)控和約束，使得其違法成本被有效提高。如此，各類APP 軟件不容易出現(xiàn)在“嚴(yán)打”期間謹(jǐn)慎行事，之后就放松的情況。因?yàn)锳PP 開(kāi)發(fā)時(shí)間通常不長(zhǎng)，更新較快，更迭周期短，這意味著“嚴(yán)打”性、專項(xiàng)式的行政監(jiān)管在APP 監(jiān)管上很容易形成一些漏洞。所以，行政監(jiān)管需要深入到APP 個(gè)人信息數(shù)據(jù)的內(nèi)部管理上，由此出發(fā)構(gòu)建一套嚴(yán)謹(jǐn)?shù)墓芸伢w系。［9］如此，讓APP 在設(shè)計(jì)個(gè)人信息數(shù)據(jù)搜集和利用的底層邏輯上就接受監(jiān)管，此后每一個(gè)環(huán)節(jié)都符合監(jiān)管要求。如此，APP 個(gè)人信息數(shù)據(jù)的搜集和使用才能最大程度上被置于有效的行政監(jiān)管之下，并且形成確定的監(jiān)管效果。

四、結(jié)語(yǔ)

當(dāng)下我國(guó)各類APP 對(duì)個(gè)人信息搜集和使用上，仍舊呈現(xiàn)出明顯的無(wú)序感。這種無(wú)序感深刻影響著個(gè)人信息數(shù)據(jù)保護(hù)與應(yīng)用的相關(guān)市場(chǎng)，也限制了APP 對(duì)個(gè)人信息真正有必要的合理利用。對(duì)此，需要找到合理利用的邊界、方式和內(nèi)容，加強(qiáng)法律規(guī)定、制度建設(shè)、司法實(shí)踐和行政監(jiān)管各方面的約束，從而使得APP 對(duì)個(gè)人數(shù)據(jù)的合理利用真正成為可能。