移动应用程序强制和过度收集个人信息的行政法规制

　　近日，国家网信办发布数据显示，今年上半年，全国网信系统累计依法约谈网站平台3491家，警告3052家，罚款处罚283家，暂停功能或更新419家，下架移动应用程序177款，针对“农天堂”等存在违法违规收集使用个人信息问题的移动应用程序，依法采取下架处置。这为移动应用程序（App）强制、过度收集个人信息敲响了警钟。

　　App强制授权和过度授权，是指移动应用程序运营商利用消费者对App的需求心理强制性地提出授权要求，且授权要求超出其功能所需的行为。大数据时代，互联网快速发展，App使用变得必要而广泛。有的运营商在用户安装和使用App过程中，用格式条款形式，强制收集用户个人信息，甚至收集一些与其功能使用无关的信息，这与大数据技术发展的初衷相悖。因此，确认App授权的合理边界，对其强制授权和过度授权的现象进行规制，以进一步保护个人信息安全，很有必要。

　　强化监管 审查资质

　　完善部门规章和地方性条例，强化职能部门监管职责。对市场监管等行政部门授权，允许其审查App运营商的资质，对违反法律法规规定的App开发企业予以行政处罚或其他强制措施，追究企业相关负责人的责任，从而在案件进入司法程序之前用较小的成本和时间规范App运营，规制App授权乱象。

　　相关职能部门可根据法律法规制定更详尽的相应规定，进一步规范App授权过度化及强制性问题。职能部门可以根据App实际需要为其设定个人信息索取授权范围，既规范App开发企业索取授权行为，又为企业合法使用个人信息提供授权依据，避免商事活动中因此产生纠纷，进而保护商事活动顺利进行。

　　组织建立个人信息保护工作委员会。工作委员会由职能部门相关人员、高校专家以及企业管理人员构成，主要负责研究制定规范、规定及评价认证的实施办法等规范性文件，培训和管理相关咨询人员，对App强制授权和过度授权的乱象进行中立有效的监督，对于App行业相关工作人员进行培训。App经营者违反规定，过度索权和强制授权，受到行政处罚的，由个人信息保护工作委员会计入信用记录，并依照有关法律、法规规定予以公示。

　　加强对App的动态监管，适当提高App运营准入门槛。监管部门可以根据不同行业、不同服务对App运营设定不同级别的准入门槛，对App运营商进行包括收集个人信息的内容、范围的审查以及收集信息是否符合必要限度原则进行审查，并完善惩治机制。准入门槛标准方面，监管部门可以组织信息安全专家学者、App企业代表和用户代表进行专项研讨协商、广泛听取社会各界意见后确定。

　　此外，可以建立App运营黑名单制度，将违规收集个人信息的App企业列入黑名单，并及时对外公示。这不仅对其他App运营企业起到警示作用，还可以增强用户对信息安全的关注度，提升安全意识。对重大违规收集个人信息的App运营企业，取消相应资质或设置更严格的审查程序。同时，健全投诉举报机制，完善用户投诉、举报路径，鼓励用户积极维权。

　　依法引导运营商强化行业自律

　　建立行业自律组织，完善自律公约。探索建立行业自律组织，制定统一标准规范App运营企业行为，促进App企业之间相互监督和制约。完善行业自律公约，用统一标准规范App行业收集用户个人信息的行为，定期不定期对App运营企业进行监督检查，促进行业自律。依托行业协会与外部进行良性互动，听取社会上消费者对App授权行为的意见和建议，进行自我完善。促进App运营企业对个人信息进行数据化处理的技术发展。行业自律组织，除依法促进App运营企业对个人信息数据化处理技术等开展督促外，还可以对积极进行技术革新的企业给予支持。

　　建立并完善个人信息安全影响评估机制。行业协会及组织定期对企业收集的个人信息进行安全评估、风险评估，并定期在行业内部进行公示。数字经济时代，互联网信息发展迅速，为 App运营带来前所未有的发展机遇的同时，也使得个人信息安全面临诸多挑战，既要保护公民个人信息权益，又要保障App行业运营稳定发展，带动经济社会发展。因此，规范App收集个人信息的关键还在于正确理解合理授权的边界，配套相应法律制度，平衡个人信息保护和信息数据处理者的合理利用利益。

　　（作者单位：西南政法大学公法研究中心）