规范移动App个人信息采集的路径

　　近期，国家计算机病毒应急处理中心通过互联网监测发现18款移动App，违反网络安全法、个人信息保护法相关规定，涉嫌超范围采集个人隐私信息，有的未向用户明示申请的全部隐私权限，有的在征得用户同意前就开始收集个人信息。

　　近年来，随着移动互联网技术的快速发展，移动App已经成为网络信息服务的主要载体和用户使用移动互联网的重要工具。但有的移动App在为用户提供网络服务的同时，存在强制授权、过度索权、超范围收集个人信息等问题。如何全面规范移动App个人信息采集乱象，需要从互联网行业健康发展的整体出发，在坚持有关职能统筹监管基础上，强化网络平台主体责任，进一步培育网络用户法治意识，多维度探索规范移动App采集个人信息的治理路径。

　　加强职能部门统筹监管

　　严格移动App注册管理。制定具体的移动App上架实施方案，按行业分类比例，加强限制数量准入，严格落实实名制登记制，对移动App运营者收集用户信息设置一定准入资格限制。建立和完善移动App市场进入机制，积极探索推行移动App黑名单制度，将有严重违法行为的移动App产品和经营者纳入黑名单予以惩戒。

　　探索精细化执法机制。首先，强化事前监督，移动App运营者收集用户信息时须向有关部门报备，告知收集目的、方式、范围、数量等情况，执法部门采取抽检及随机检查的形式加强监管，以此堵住违法违规的漏洞；其次，加强事中监管，综合研判App运营者的违法违规行为，严格执法依据和执法程序，协调各部门力量开展综合执法。根据情节轻重依法对有关违法违规行为的App经营者，给予包括责令限期整改、公开曝光、停业整顿、吊销相关业务许可证或营业执照等。最后，强化事后追责。事后采取有效可行的处罚和补救措施，特别是对敏感信息应采取严格保护，对动态信息转化做好筛选与跟踪执法。

　　强化平台主体法律责任

　　强化App应用商店的审核责任。App应用商店为移动App下载提供重要平台，也是用户能否安全使用App的重要关口。应用商店监管责任的落地，将极大推动移动App的规范性建设。《信息安全技术 个人信息安全规范》规定，应用商店对App运营者的真实性、安全性、合法性进行审核，督促App运营者向用户告知App获取使用用户信息的说明。抓住应用商店这一“关键环节”，督促应用商店落实审核责任，是切实保护好个人信息安全的重要举措。同时，探索建立应用商店合规经营监测机制，将违规行为主体纳入到业务经营不良名单，积极组织应用商店开展检测标准培训，推动应用商店形成统一的技术检测体系，可以进一步完善应用商店的平台审核效果。

　　落实移动App平台权限范围。移动App不得超出其服务所需要使用的个人信息范围收集用户的个人信息，根据《中华人民共和国个人信息保护法》第五条的规定：“处理个人信息应当遵守合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。”移动App收集个人信息应当遵循必要性原则，限制在实现处理目的所需要的最小范围内，不得过度收集个人信息。例如，用户的地理位置信息只对地图、导航等App具有“必要性”，对于新闻阅读、金融理财等App而言，地理位置信息与其提供服务并无必要关联。同时，移动App应在用户“明示同意”基础上处理个人信息，取得信息主体同意是个人信息处理行为具有合法性的重要依据，个人信息保护法明确了基于个人同意处理个人信息的要求，即移动App收集个人信息应取得用户的同意。同时，对于“敏感个人信息”的收集，App应作出特殊提示，也应获得用户“明示同意”。

　　明确移动App平台的法律责任。对移动App非法收集用户个人信息的行为，应从三个层面明确其责任承担。民事责任方面，因App不符合服务协议约定收集、使用个人信息，侵害用户人身、财产权益的，用户有权要求App运营商承担违约责任或者侵权责任，具体包括停止侵害、恢复名誉、消除影响、赔礼道歉及赔偿损失等；行政责任方面，监管部门对App平台违法采集个人信息的行为产生威慑效果，则需要完善具体的监管职权与处罚措施，构建安全评估权、定期检查权、临时检查权、行政建议权与行政处罚权全链条衔接的监管体系，对于移动App的违法行为做到管理全覆盖和处罚全覆盖，防止违法行为再次发生。刑事责任方面，依据《中华人民共和国刑法》第二百五十三条之一的规定，窃取或者以其他方法非法获取公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。在判断具体行为情节是否严重时，应当综合考虑行为手段的社会危害性，将非法获取他人信息的数量、获利的多少，以及对受害人造成的经济损失大小，作为刑事责任的定罪和量刑标准。

　　增强App运营者与用户法治意识

　　提升App运营者法治意识。运营者法治观念淡薄是其违反国家关于个人信息收集、保存、使用行为的重要原因之一。因此，加强对App运营者的法治宣传和法治教育，增强App运营者法治理念，使其真正能够尊法、守法，是遏制App收集和使用个人信息乱象的重要前提。因此，相关部门应当严格落实法治宣传责任，加强对App运营者进行相关法律法规的宣传教育和法治培训，做好对法律法规具体条文的专业性解读。同时，运营者也应健全内部法律顾问咨询制度，以企业内部法务部门为主导，协同法律顾问单位一同推进提升法治意识，保障用户合法权益。

　　增强用户风险防范意识。有的用户信息安全知识匮乏，风险防范能力不强，这使得有的App运营者长期违法违规收集使用个人信息。相关职能部门应采用多元形式，开展对大众信息安全风险的教育，加强网络安全宣传活动，形成网络信息安全教育的制度化、常态化。同时，强化广大用户个人信息风险意识和维权意识，不断提高用户的个人信息安全保护能力。

　　规范移动App收集个人信息是一项系统工程，不可能一蹴而就。统筹各方面力量协同，形成政府、企业、用户一体化系统治理格局，开拓多元治理路径，可以有效促进移动App个人信息采集依法、合规进行，从而全面保障个人信息安全。

　　（作者单位：华东政法大学法律学院）