连越法评 | 从处理违规APP看我国的个人信息保护制度

民商事诉讼与仲裁法律事务部

重大疑难民商事诉讼与仲裁，系本所最具品牌力量和核心竞争力的法律服务业务之一。本所民商事诉讼与仲裁法律事务部主要以具备多年司法实践经验的律师为核心，以从事民商事诉讼与仲裁业务的资深律师为骨干组成。团队成员拥有精湛的法律专业知识，长期专注于诉讼与仲裁法律业务，执业经验异常丰富；他们高度关注司法实践和法学理论的前沿问题，重视对司法实践中的热点及难点问题的研判，诉讼技巧娴熟，对证据运用独具匠心，能精准地抓住焦点突破案件的错综复杂疑难问题，以高质素的专业素养、认真细致的敬业精神为客户提供优质的法律服务。

本所民商事诉讼与仲裁法律事务部特别擅长于股权转让、融资租赁、房地产开发、建设工程、知识产权、公司兼并重组、公司解散与清算、侵权责任等领域的争议解决。主要的客户为上市公司、外资企业、大中型国有企业和知名民营企业等。曾代理过大量具有重大社会影响力的疑难案件，如代理的信宜紫金矿业有限公司9.21事件系列侵权赔偿纠纷案，被评为“中国2012年度人民法院十大典型案件”和央视“2012年度中国十大经济案件”，与代理汕头市海丽花园有限公司申请执行汕头市澄海区国土资源局合同纠纷案并列为广东法院经典百案（1978-2018）。

2021年6月11日，国家互联网信息办公室发布《关于Keep等129款App违法违规收集使用个人信息情况的通报 》，该次通报是自2021年5月1日以来关于App违法违规收集使用个人信息的第四次情况通报，共涉及17类351款App，引起了社会的广泛关注。新华网分别在2021年6月10日发表文章《吃个饭隐私全没了？》、6月13日发表文章《总这样，谁来管管？！》，报道了手机APP通过扫码点餐、开屏广告等方式非法获取个人信息。在移动互联网应用蓬勃发展的今天，手机APP在为我们工作生活提供极大便利的同时，个人信息被非法收集、滥用、泄露、买卖的行为也触目惊心，亟待进行规范。

一直以来，我国相关部门高度重视个人信息保护的立法工作，全国人大常委会在2012年12月28日通过的《关于加强网络信息保护的决定》及2016年11月7日通过的《网络安全法》均规定了网络运营者、网络产品或者服务的提供者保护个人信息的义务，2021年1月1日开始实施的《民法典》在总则编第五章、人格权编第六章对个人信息保护作出了详尽的规定，2021年6月10日通过的《数据安全法》规定了从保障数据安全角度保护个人信息。此外，国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门制定的《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》对APP收集个人信息范围、违规收集使用个人信息行为认定等作出了规定。2021年4月29日，全国人大常委会审议并公布了《个人信息保护法（草稿二审稿）》，《个人信息保护法》有望在今年下半年审议通过并施行。在刑事法律领域，2015年8月29日出台的《刑法修正案（九）》，新增了“侵犯公民个人信息罪”，通过刑罚严厉打击侵犯个人信息犯罪，为个人信息的保护提供了强有力的保障。可见，我国已构建了多层次、全方位的个人信息保护制度，在全球数字经济时代背景下为个人信息保护课题提出了中国方案。

本文试图从我国对违规APP处理的视角浅析我国的个人信息保护制度。

一、什么是个人信息

根据《民法典》第1034条第二款的规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。其中，身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下儿童的个人信息等属个人敏感信息。

在司法实践及域外立法中，经常出现将个人信息与隐私、个人数据等概念混同使用的情形，但个人信息与隐私、个人信息与个人数据之间既有联系，也有区别。

1、个人信息（personal information）与隐私(privacy)

根据《民法典》第1032条第二款的规定，隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。个人信息与隐私权均属于人格权范畴，二者在权利内容方面存在一定的交叉，个人信息中的私密信息本身就属于隐私权的客体。在《民法典》实施前的我国司法实践中，法院经常采取隐私权的保护方法为个人信息的权利人提供救济。

但个人信息与隐私也存在区别，根据王利明老师的观点，隐私权主要是一种精神性的人格权，财产价值并不突出，隐私主要体现的是人格利益，侵害隐私权也主要导致的是精神损害。而个人信息权在性质上属于一种集人格利益与财产利益于一体的综合性权利，既包括了精神价值，也包括了财产价值。此外，隐私权是一种消极的、防御性的权利，而个人信息权是一种主动性的权利，权利人除了被动防御第三人的侵害之外，还可以对其进行积极利用。

2、个人信息（personal information）与个人数据(personal data)

根据《数据安全法》第3条第一款的规定，数据是指任何以电子或者其他方式对信息的记录。根据国际标准化组织的定义，“数据”是“信息”的一种形式化方式的体现，以达到展示、交互或处理的目的。我国《民法典》在第111条、第127条将个人信息、数据进行了区分。根据申卫星老师的观点，信息和数据是一体两面的，信息是知识、内容，是主观价值保护的问题，属于人格权益的范畴；而数据是存储这些信息的载体，需要进行客观状态保护，属于财产权范畴。

二、APP应如何收集个人信息

根据《个人信息安全规范》（GB/T 35273 — 2020）的规定，个人信息控制者（App运营者）在收集个人信息时应遵循合法性、最小必要、多项业务功能的自主选择、授权同意、制定个人信息保护政策等原则。从国家网信办公布的App违法违规收集使用个人信息情况的通报来看，违规行为主要集中在违反必要原则，收集与其提供的服务无关的个人信息；未经用户同意，收集使用个人信息。下文针对上述两个方面的违规行为予以展开：

1、收集个人信息的最小必要原则

最小必要原则要求个人信息控制者：a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联，直接关联是指没有上述个人信息的参与，产品或服务的功能无法实现；b) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率；c) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

2、收集个人信息时的授权同意原则

授权同意原则要求个人信息控制者：a) 收集个人信息前，应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则，并获得个人信息主体的授权同意；b) 收集个人敏感信息前，应征得个人信息主体的明示同意，并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示；c) 收集个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意；d) 收集年满14周岁未成年人的个人信息前，应征得未成年人或其监护人的明示同意；不满14周岁的，应征得其监护人的明示同意；e) 间接获取个人信息时， 应要求个人信息提供方说明个人信息来源，了解个人信息提供方已获得的个人信息处理的授权同意范围，如个人信息处理活动超出已获得的授权同意范围的，应先征得个人信息主体的明示同意。

三、违法违规收集个人信息的法律责任

根据我国相关法律法规的规定，违法违规收集个人信息应根据侵害的后果承担相应的民事、行政、刑事法律责任。

1、民事责任

《民法典》对于包括个人信息权在内的人格权采用了人格权编权利确认与侵权责任编规则条款相结合的保护方式。具体而言，《民法典》总则编第120条规定了侵权请求权，即“民事权益受到侵害的，被侵权人有权请求侵权人承担侵权责任”。《民法典》人格权编第995条规定了人格权请求权，即“人格权受到侵害的，被侵权人有权依照本法和其他法律的规定请求行为人承担民事责任。被侵权人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权，不适用诉讼时效的规定”。

因此，违法违规收集个人信息使被侵权人的人格权受到侵害时，APP运营者应依照《民法典》人格权编第一章的规定，承担停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉等民事责任；造成被侵权人财产损失的，APP运营者还应依照《民法典》侵权责任编第1182条的规定，赔偿被侵权人的损失；造成被侵权人严重精神损害的，APP运营者还应依照《民法典》侵权责任编第1183条的规定，对被侵权人进行精神损害赔偿。

2、行政责任

根据《网络安全法》第64条的规定，网络运营者、网络产品或者服务的提供者违反法律规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
违反《网络安全法》第44条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。

3、刑事责任

根据《刑法》第253条之一的规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。
违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。
单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

四、结语

以区块链、AI、大数据、云计算、物联网等为代表的数字革命正在世界范围内蓬勃兴起，万物互联的时代也将在不远的将来实现，数字时代给个人信息保护带来了前所未有的挑战，正如路易斯·D·布兰代斯在1890年《哈佛法律评论》写下的那样，“无数的机械装置使得橱柜中的窃窃私语将在屋顶被大声宣布”。相信随着个人信息保护的专门法规《个人信息保护法》《移动互联网应用程序个人信息保护管理暂行规定》等的颁布实施，我国的个人信息保护制度将进一步得到完善。

同时，我们也应当看到面对海量的APP，违规收集个人信息仅靠政府部门的监管是远远不够的，还需要大型在线平台企业依照《个人信息保护法（草稿二审稿）》第57条的规定履行“看门人”角色，即大型在线平台企业应当“对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务”。可喜的是，一些提供操作系统的企业近期已经在履行“看门人”角色，如6月7日苹果公司在2021全球开发者大会上发布iOS15新版操作系统，引入“App Privacy Report”功能，用户可以查看哪些App于何时收集自己的位置、麦克风等信息，以及这些App与哪些第三方共享了自己的数据；类似的还有，谷歌公司近期推出的Android 12的Beta 2版本，以及小米手机的“照明弹”功能。因此只要政府监管部门和大型平台企业形成合力，各APP经营者严格遵守法定义务，则我国的移动互联网应用的个人信息保护必将在法治的轨道上顺利解决。

 本文作者 

蒋泽用律师

蒋泽用律师，浙江大学工学学士、武汉大学法律硕士，广东连越律师事务所合伙人。

蒋泽用律师专注于民商事诉讼与仲裁、公司并购重组、数据合规等方面的法律事务；是EXIN DPO&ISO双证律师，并担任多家政府部门、企事业单位的常年法律顾问。受广州市法律援助中心指派，蒋泽用律师曾办理美籍华人胡伟星黑社会性质组织案、日本议员樱木琢磨运输毒品案、广州“毒保姆”何天带故意杀人案（审查起诉阶段）等一批具有社会影响力的案件。

蒋泽用律师还担任广州市律师协会保险法律专业委员会委员、申请律师执业人员管理工作委员会委员，曾获广州市律师协会优秀专业委员。

 - 关于我们 - 

广东连越律师事务所（以下简称“连越”）是由广东省司法厅批准设立的特殊的普通合伙律师事务所，历史溯源于1994年6月28日，目前已设立深圳办公室、新西兰办事处。截至2021年6月，全所同事二百余名，其中专职律师近一百八十名，设有二十个法律业务部门，能够在多个领域为客户提供高质量法律服务，是一家专业化、规范化、规模化、品牌化、国际化发展的大型综合性律师事务所。

连越由广东省人大常委会委员、广东省律师协会副会长、全国优秀律师刘涛律师携同一批志同道合的行业精英共同打造，秉承“心相连，永超越”的宗旨，坚持以“机制科学、民主高效、和谐温暖、共赢发展”为基本理念，以“梦文化、家文化、根文化”为核心文化要素，实行专业化分工、团队化运作，以专业和质量为根本服务客户，以创新务实精神，致力于把连越打造成为中国最优秀的律师事务所之一，为社会各界提供专业优质高效的法律服务。

连越广州办公室面积近2500平方米，深圳办公室面积1800多平方米，可满足律师团队发展需求。连越律师团队成员包括一大批行业资深律师和中青年精英骨干律师，当中大部分具备多年司法实践经验，丰富的职业背景及强大的业务能力，并始终坚持追求精细化分工、高效化协作，不断提升自身的专业服务水准，既要超越别人，更要不断超越自我！