现在随着大数据、物联网、云计算、人工智能、区块链等曾经遥不可及的概念不断从理论变为现实,数据已经成为企业所争夺的核心资产,《促进大数据发展行动纲要》中将数据定义为“国家基础性战略资源”。在这股“数据热”的趋势下,个人信息保护成为全球热点与难题。2005年4月日本制定的《个人信息保护法》已全面施行。2016年欧盟出台GDPR,宣告着4Ge时代各国个人信息立法的开端。2018年美国制定加州消费者隐私法案。我国《民法典》将隐私权与个人信息列为人格权中独立一章,已显示保护公民个人信息权利的重要性。并且我国《个人信息保护法》已经提上立法日程,在此大背景下,立法完善对个人信息的保护已经势在必行。
一、手机APP获取用户信息的途径
手机AAP获取用户信息的常规途径主要有四种。一是用户预留信息模式,这是用户感知度最高的信息收集方式,该方式需要用户主动通过APP填写个人信息,比如可选择微信、手机号绑定,也可单独申请注册。二是设备自动采集模式,一般应用需要采集一些信息,比如通讯录、相册等,该行为是需要用户主动对其授权。三是用户日志,企业收集我们在应用上的交易记录、浏览记录、页面停留时间等,通过预设埋点,整理搜集用户偏好。四是第三方SDK组件搜集,通过用户主动在一个应用授权其他应用权限,该授权动作至少提供了头像、昵称、好友列表等信息。
这四种获取用户信息途径中,第一、三种途径属于用户主动预留的个人信息、痕迹,常出现的侵权行为是泄露、非法出售、盗用与滥用用户个人信息等。第二、四种途径属于手机APP主动收集、获取用户的信息,常出现的侵权行为除了上述常规的侵权行为,比较严重的侵权行为是未经用户许可而侵入用户手机非法收集用户隐私。
二、加强对手机APP用户隐私保护的立法建议
一是个人信息来源要合法。规范手机APP对用户隐私获取途径,保障用户对手机APP获取其个人隐私的知情权和选择权。国家应当立法授权相关行政机关加大对银行、电信企业、互联网企业等可以合法获取大量个人信息的企业监管力度,泄露、倒卖个人信息的企业和个人加大处罚力度。要求上述企业建立专门的互联网维护小组,提升企业互联网信息维护技术,封堵漏洞,减少黑客攻击成功率。
二是规范对手机APP获取用户个人信息后的授权使用。虽然这次苹果手机出台新规,将广告追踪功能做成了一个可开关的隐私选项,任何 App 试图读取用户的设备 ID 时,都会弹窗询问用户是否同意。但是,手机APP在经过上述途径成功获取用户个人信息后,有没有规范使用或者有没有超范围使用,这也是应当关注的。应当对个人信息的授权使用的范围作出详细的约定,并明确授权期限。
三是规范手机APP获取用户个人信息的储存期限。在授权期限届满后,手机APP的经营者应当将用户个人信息永久性删除,不得私自存储。如果没有约定授权期限,应当通过立法,确定当用户注销该手机APP后,在法定期限内,手机APP的经营者应当用户个人信息永久性删除,不得私自存储。
