app应用程序中的个人信息保护

刘彬

随着信息技术与经济社会的交汇融合，各类移动应用程序的运用，使人们可以足不出户完成生活中衣食住行等各个方面的事项，极大方便了人们的日常生活。截至2019 年12 月，我国国内市场上监测到的App 数量为367 万。移动网民人均安装APP总量增加至60款，用户每天花在各类App 的时间为5、1小时。从应用类型看，App 已实现生活场景全覆盖，形成围绕个人需求的完整消费闭环。移动互联网的发展，极大便利了人们的生活，而人们在享受移动应用程序（APP）带来的便利时，公民个人信息的泄漏问题也屡屡发生。根据CNNIC发布的第44次《中国互联网发展状况统计报告》，个人信息泄漏的网民比例排名，从2018年12月的第二位上升到2019年6月的第一位。尽管国家加大了APP侵害用户权益的专项整治工作，但是信息泄漏问题仍然屡见不鲜，仅2019年7月到2020年1月这4个月期间，至少进行过7次公开点名要求APP进行整改，且每次都有知名APP在列， 目前相关部门对于问题APP主要采取自查、曝光、下架、限期整治等之类措施，但由于此类措施威慑力不大，整改效果往往不如人意。如何在移动互联网高速发展的过程中，加强APP个人信息保护。是目前亟待解决的问题之一。

一、APP应用程序应用环节中个人信息存在的问题

1、APP应用程序中个人信息收集环节存在的问题。根据艾媒咨询机构发布的《2020年中国手机App隐私权限测评报告》，当前多数手机App仍存在强制超范围索要权限的情况。部分APP运营者为了尽可能的收集公民个人信息，通常会超范围的索要用户权限，企业在相关协议中都会尽可能将扩大用户授权收集数据的范围，或者模糊授权条款收集用户个人信息。

2、 APP应用程序中个人信息共享环节存在的问题。数据共享已经成为信息数据利用的一种重要方式。数据共享能实现数据资源的重复利用，降低数据收集成本，实现同类数据社会效益的最大化，与此同时，为了获得用户的授权，互联网企业通常都会用其经营、技术上的优势地位通过格式条款以概括性授权。鉴于个人信息与信息主体人格利益之间的紧密联系，此种委托可能会造成信息主体失去其作为信息主体的控制权。 并且概括性授权主要依赖于格式条款的捆绑同意，在实践中用户在安装使用一些软件和程序时如果不同意互联网企业的格式条款，则无法安装使用。由于APP在数据收集时使用概括性授权，缺少合理的授权机制。对于该类行为，APP运营者对于个人信息共享行为往往会受到合法性的质疑。

3、APP应用程序中个人信息使用环节存在的问题。APP信息收集者在收集到关联信息之后，需要对信息加以处理和分析，掌握数据背后的用户喜好，进而预测未来市场的走向，制定下一步的商业计划，由此才使得信息数据发挥其巨大的价值.通过对于信息的分析，获得相关结论、发展趋势、主体喜好等，在这些结论的基础上制定行动计划，可以实现商业经营者的商业目的和商业利益。在大数据时代，仅仅从外部屏蔽大数据主体挖掘个人信息是很难实现的，收据运作者一般都是通过多种数据掌握他人个人信息。目前，各社交网站一般会不同程度地开放其用户所产生的实时数据，这些信息可能被一些数据提供商收集。另外，还存在一些监测数据的市场分析机构，通过对人们在社交网站中写入的信息、智能手机显示的位置信息等多种数据组合，己经可以以非常高的精度锁定某个人以及挖掘出其个人信息体系，用户的信息安全问题堪忧。因此，在保护个人信息安全的过程中需要考虑如何规范过度分析的行为，从而做到针对性的规制。

二、APP應用程序中个人信息保护的具体建议

1 完善APP应用程序中信息收集的授权规则。

APP个人信息收集作为个人信息事前防范的关键步骤，可以通过区分信息授权等级，禁止个人信息回溯以及设立隐私信息的备案许可这三种规则来进行完善。对信息管理控制者实施的信息收集行为而言，首先可以区分信息授权等级，把个人信息按照敏感程度来进行划分。例如按照一般性、敏感性、公开性来划分信息的授权范围，对于一般性信息，可以一次性授权，对于敏感类信息可以进行二次授权。二次授权的信息应当经过用户的单项同意，并且根据信息等级区分，信息与第三方机构共享根据等级的需要征求用户同意等。例如无法别人具体个人以及不涉及隐私的信息、用户的该类信息可以一次性授权，对能够识别具体个人的以及涉及到用户隐私的信息在与第三方机构共享时需要征求同意等等。 二是禁止个人数据“回溯”。用户注销信息或一部分信息被共享给第三方时，都要求对个人信息进行匿名化处理，但是这些匿名化、去标识化的个人信息，只要有足够的外部数据来源，数据控制着仍然可以通过技术反向追踪用户。因此对于个人信息的保护应当严格禁止数据回溯，匿名化与去标识化以数据的不可追溯为标准。 三是隐私信息的备案与许可。 《信息安全技术 移动互联网应用（App）收集个人信息基本规范（草案）》规定了各类APP的最小化收集类型，对于超范围的信息收集行为，可以根据个人信息保护的不同程度进行备案和许可，对于超过最小化信息收集的一般信息，例如无法识别个人，以及无法追踪的信息，可以向信息管理机构进行备案。对于超过最小范围收集的涉及用户个人隐私的信息或者可以追踪到个人的信息，可以向信息管理机构申请许可，获得信息管理机构同意后再进行收集。

2、完善信息主体的各项权利

在大数据时代，信息处理者对个人信息的处理，其目标应当是信息主体权利的最大化，其行为不应与该宗旨相违背，因此增强信息主体对个人信息的控制至关重要。用户对信息的控制主要体现在信息主体的知情权、查询权、更正权、删除权等权利实现的。第一，保障用户的知情权。个人信息处理者在处理信息主体的个人信息时，应当履行告知义务，满足信息主体的知情权，个人信息处理者在收集个人信息时，将处理个人信息的目的、种类、因共享其次合同需要转让的第三方信息等向信息主体明确告知，以保障信息主体的知情权。在个人信息处理过程中，如改变信息的使用目的，或有因企业内部原因造成个人信息泄漏、损毁和灭失，也应及时履行告知义务;第二，信息主体对于信息处理者处理其信息的行为有查询和更正的权利，信息主体可以查询信息处理者对于其信息的使用范围，以及对于个人信息处理的合法性与合理性;信息主体对于其个人信息同意具有更正权，对于不正确的个人信息，信息主体可以要求信息控制者对其信息进行更正;第三，信息主体具有删除权，当个人信息的存储已经不被允许或不再需要，或其准确性无法确保，或信息主体反对时，信息主体有要求APP对其个人信息采取阻滞或者删除的权利。