手机APP用户个人信息过度收集行为的刑法保护

张潇恬

辽宁大学，辽宁 沈阳 110000

信息化时代，由于科技的不断进步，移动互联网与电子通信技术快速发展，智能手机不断迭代更新，智能手机用户数量也在日益增长，手机逐渐占据了我们的日常生活和工作。从社交娱乐到移动支付，用户需要下载相应的APP来满足他们的各种需求，越来越多的手机APP为人们的工作和生活提供了更好的体验，APP的商业价值和经济价值也在不断被发掘［1］。但这些APP会记录我们的生活轨迹和日常信息，从网页浏览、新闻阅读等行为习惯，到日常购物消费、支付信息等资金往来，它们是我们个人隐私的一部分，具有独特的个人印记。如果这些信息被泄露、滥用，将严重影响我们的日常生活。

一、手机APP收集用户个人信息概述

（一）个人信息概述

除个人的姓名、身份证号、地址、电话号码、电子邮件等可以明确纳入个人信息范围的信息外，还包括个人信息的位置信息、健康信息等。在当前大数据的背景下，个人信息通常是在网络交互过程中产生的，通常是由APP收集和使用。APP运营商可以通过对用户个人信息的深入分析，解锁新的商机，更新产品和服务技术，最终推动盈利。

（二）手机APP中用户个人信息的特点

相较于传统的个人信息收集方法，在移动互联网时代收集个人信息的方式更加便捷、内容更加丰富、存储更加完整。APP中用户个人信息表现出广泛性、敏感性、便捷性等特点。

第一，广泛性。个人信息往往通过数据存在于移动互联网上，它包含的范围很广，除了用户姓名、出生日期、身份证、籍贯等个人基本信息之外，一些APP还有手机用户的通讯录信息、位置信息、相册、浏览痕迹等与日常生活息息相关的其他信息。

第二，敏感性。手机上的一些APP可以收集和记录用户的资产情况、消费记录等信息，从而得出用户的财务状况；部分APP还有获取通讯录和短信的权限设置，通过收集用户短信中的信息，分析用户短信的内容，从而结合相关数据了解用户的行为，了解用户的人际关系与需求。

第三，便捷性。APP用户信息的收集主要通过与用户签署一份“隐私声明”并获得许可来完成。手机APP运营商只需在APP开发之初设置一个获取个人信息的电子授权协议，在APP投入市场之后可以通过电子授权协议更方便、快捷地收集用户的个人信息。

（三）手机APP过度收集用户个人信息的表现

1.隐秘收集个人信息

《APP违法违规收集使用个人信息行为认定方法》的有关规定指出：同意默认隐私政策以及不明确要求用户同意收集个人信息的类似行为，将被视为未经用户同意收集和使用个人信息，即非法收集和使用个人信息。但在APP乃至互联网行业中，“默认同意”的现象屡见不鲜。APP开发商、运营商、广告商和其他第三方开发商等多个主体，在不同情况下会在APP中秘密嵌入指令或情报收集功能，隐秘地收集用户的个人信息。

2.强制收集个人信息

虽然授权条款中的一些个人信息必须在APP执行基本业务功能时获得和使用，但出于利益考虑，APP运营者仍会对用户进行过度的信息收集，不过APP并未提供这些信息相对应的业务功能。许多手机APP扩展了软件收集个人信息的功能要求，并将必要权限信息与非必要权限信息相结合进行捆绑授权。这些APP在权限设置过程中会要求大量的敏感权限，如通讯录、短信权限、位置权限、相册权限等，但是，手机APP中没有提供与这些权限相关联的实际功能。当用户使用应用程序时，通常会显示“是否同意隐私政策”选项，如果用户点击不同意，部分应用程序无法正常使用；此外，部分APP在登录的权限设置中，用户拒绝相关隐私条款的授权仍可正常使用该APP，但是在使用过程中APP会频繁以弹窗的形式出现授权提醒，这在很大程度上影响了用户的体验感和使用感，因此部分用户不得不被迫选择同意隐私条款。

3.肆意滥用个人信息

在大数据时代，个人信息的经济价值被进一步挖掘，其利益导致许多应用程序过度收集用户个人信息、滥用用户个人信息［2］。在很多情况下，个人信息的泄露与滥用是由于买卖信息造成的，APP通过权限设置收集大量用户个人信息，APP运营商将用户信息出售给需要的群体，获得用户信息的个人或企业通过这些信息来实现精准营销，为自己带来用户流量，从而增加市场知名度。例如，个人信息管理工作组于2020年公布了一份清单，列出了35个过度收集和使用个人信息的应用，其中包括多个知名手机APP。

二、手机APP用户个人信息保护中暴露出的问题

（一）用户同意规则异化

有关个人信息的法律法规规定：收集和使用个人信息必须经过信息主体的授权和同意，并告知信息主体收集信息的范围、方法和目的。互联网背景下，由于用户经济地位、认知能力的不平等，以及对网络服务的强烈依赖，导致隐私权问题频发，“通知-同意”原则逐渐流于形式。当前，APP通常采用的是隐私策略或用户协议，有些APP软件的隐私权条款有20000字以上，少的也有6000～7000个字符，这些隐私权条款冗长、表述方式过于专业，超出了普通用户的理解，所以APP用户常常懒得去阅读而匆忙地同意相关条款，这使得隐私政策和用户协议形同虚设。对于用户来说，经常要求安装和使用APP的用户必须同意隐私政策和用户协议。在个人信息处理过程中，系统还缺乏对个人信息进行检测和采集的能力，无法对个人信息的采集、使用时间、地点和程度进行检测，无法对其进行有效控制和限制。异化后的“通知-同意”个人信息处理规则，从本质上揭示了现有的用户同意规则的缺陷。

（二）侵权行为的惩罚不足

大多数非法收集、使用和不当处理个人信息的应用程序经营者将受到行政处分，造成严重损害的，对单位负责人和有关人员依法追究刑事责任［3］。一般情况下，对于违反法律法规收集个人信息的手机APP大多是采取警告、纠正和公开披露等措施，只有情节严重的才会被罚款，但罚款规模和金额都很小。对非法收集和处理个人信息的经营者处以行政罚款，行政罚款主要分为两种类型：APP通过过度收集个人信息获取了相关利益，在没收违法所得的基础上处以违法所得一倍以上十倍以下的罚款；没有违法所得的，处50万元以下罚款。侵权行为的惩罚不足使得过度收集个人信息的成本与收益不平衡，过度收集个人信息的现象屡禁不止。

（三）法律监管措施不到位

我国的个人信息收集监管呈现多主管、跨部门的监管现象。在互联网应用领域，手机APP收集用户个人信息的监督主要以多方参与的联合行动或特别行动的形式进行［4］。在对侵犯个人信息的APP违法行为的监管中，由哪个行政主体进行监管、在哪个环节进行监管、监管的具体内容等都没有具体规定，因此，手机应用收集和使用个人信息的监管主体分工不明确，容易出现交叉监管和无监管。

我国针对手机APP最常见的监管措施是下架和约谈。但是由于手机APP进入应用商店的系统不完善，缺乏对应用商店的控制，一些APP可能会在下架一段时间后以不同的名称重新进入应用商店。下架措施本身并没有严重的缺陷，但遗憾的是，由于缺乏全面的、支持性的其他规定，手机APP从应用商店中下架大多流于形式。约谈制度是我国特有的制度，是一种准具体的行政行为。关于约谈的法律依据和程序问题，有很多人表达了自己的看法，但目前还没有明确的结论。此外，对约谈控制措施的处罚相对较小。在一些手机APP的监管中，出现了监管机构用约谈代替惩罚的现象，使用这种方法可能会让约谈变得更加复杂。

三、手机APP用户个人信息收集的刑法保护建议

（一）改进用户同意规则

首先，应当赋予信息主体“撤回同意”的权利，即，在某些情况下，信息主体可以撤销对收集和使用个人信息的同意，而撤销后的APP不能使用用户的个人信息。其次，更应注重履行信息控制人的义务和责任，而非征得信息主体的同意，收集和处理自己的个人信息。显然，这并不是说信息收集过程不再需要信息主体的同意，而是说在信息管理者的后续信息存储和处理过程中，信息主体的同意不能成为保存和处理不当行为的免责理由，信息管理控制方应该通过改变风险分配规则，将注意力集中于遵守合规义务。

（二）加强APP侵权惩治力度

由于全球技术的蓬勃发展和我国应用程序用户个人数据被侵犯的严重程度，我国必须在未来立法中改变处罚标准，将违法所得的标准改为营业额标准，增加对APP违反个人信息保护的惩治力度。这不仅可以增加违规的成本，而且还能给予被侵权用户一定的损失补偿，减少信息主体因企业侵权所遭受的损失，平衡侵权人行为自由与信息保护的关系。此外，对于APP违反《个人信息保护法》规定处理个人信息的申请，或因处理个人信息不履行保护个人信息义务的申请，履行个人信息保护义务的部门必须纠正、警告、没收违法所得，并对个人进行违法处理。命令停止或者终止提供服务的申请；拒绝改正的，处100万元以下的罚款；直接负责的人员和直接责任人员，处1万元以上10万元以下的罚款。情节严重的，有关部门没收APP违法所得，处5000万元以下或不超过前一年营业额5%的罚款，并有权暂停或停止操作。对直接责任人员和直接责任人员，处以10万～100万元人民币的罚款，并可以禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

（三）完善法律监管措施

第一，建立政府监管机构。成立专门的监管机构来完善手机APP用户信息的监管问题，在实施监管的过程中要明确划分监管职责，制定相应的监管措施。在移动互联网的信息时代，由于信息和数据量巨大且信息复杂多样，分散监管不利于个人信息的具体保护。为确保个人信息监督机构独立、公正地行使权力，并确保其他公共机构或组织不干涉个人信息监督机构行使权力，个人信息主管部门可以制定适当的义务，如管理个人信息权限的义务、通知信息的义务和保护个人信息的义务等。因此，建议建立政府监管机构，将个人信息监管机构的权利和责任结合起来，更好地保护公民个人信息的安全。

第二，完善APP的审核承诺。立法应规定，手机APP在软件中收集用户信息时负有审查义务，APP运营商必须分析与用户个人信息相关的风险，防止第三方窃取用户个人信息；此外，APP运营商必须明确告知用户在使用APP时会获取哪些个人信息，获取信息时不能通过强制捆绑的方式过度收集个人信息。如果APP运营商在未及时通知用户的情况下，非法或者过度收集个人信息，则应承担法律责任。

第三，完善企业内部监督。用户信息数据是企业的核心资产，加强企业信息安全管理在防止用户信息泄露方面成本最低，效果最好。具体而言，企业应通过以下措施加强对用户信息和数据的管理：1.在企业信息管理中，根据用户个人信息的类别和敏感性对用户进行不同级别的管理，对敏感信息进行访问权限设置；2.加强APP运营企业内部安全管理，设立专门的岗位来管理用户的信息，统一管理企业内部信息数据；3.建立企业用户信息安全部门。安全部门定期对APP相应业务进行数据安全合规评估，及时规避数据安全风险。

四、结语

在大数据时代，数字经济蓬勃发展。手机APP需要收集和使用个人信息，以占领市场和产生利润。然而随之而来，出现了大量APP过度收集公民个人信息的现象，加强对用户个人信息的刑事法律保护已成为迫切需要解决的问题［5］。本文基于手机APP过度收集个人信息的现状以及暴露出的相关问题，提出手机APP用户信息收集刑法保护的相关完善建议，对完善手机APP获取用户个人信息提出建议，具体对策为：改进用户同意规则、加强APP侵权惩治力度、完善法律监管措施，促使APP在信息高效利用与信息保护的兼顾中与用户实现双赢。