ＡＰＰ主体的立法规制

陈秀萍 胡天金

摘      要：APP相关主体规范与否直接关乎数据信息安全，关涉公民合法权益和社会公益。基于个人信息保护的不断发展，APP信息泄露问题逐渐显露出来。本文认为，应结合现有的个人信息保护立法，通过完善APP实名制度，构建APP相关主体备案制度，实施数据信息市场主体准入制度和第三方参与数据收集制度，以加强对个人数据信息的保护。

关  键  词：个人信息;APP主体;数据信息;备案制度

中图分类号：D922.1        文献标识码：A        文章编号：1007-8207（2021）01-0122-08

收稿日期：2020-07-12

作者简介：陈秀萍，河海大学法学院副教授，法学博士，硕士研究生导师，研究方向为法学理论、宪法与行政法;胡天金，河海大学法学院宪法学与行政法学硕士研究生，研究方向为宪法与行政法。

作者简介：本文系中央高校基金项目“中国传统‘法德合治文化的积极因子和现代模式”的阶段性成果，项目编号：2019B36914。

近年来，因个人信息泄露所引发的一些社会事件在不同程度上对公民的人格权和财产权造成了侵害，随处可见的相关媒体报道也说明了网络数据安全面临的严峻形势①。[1][2]目前，理论上对个人信息的性质并未达成共识，其部分内容既可归属公民的人格权范畴亦可归属财产权范畴，因而对个人信息保护存在不同的见解。现实中，相关的制度标准也难以建构②。APP作为不断被普及的互联网衍生产品，对于个人信息保护处于重要的地位，理所当然地被纳入到立法规制的范围，但就APP本质上是一项应用程序而言，根据技术中立基本原则，其本身不具有可归责性③，[3]因此，立法规制的立足点在于APP的相关主体。在APP实际运行过程中，对于个人数据信息安全的威胁也主要是人为性因素的参与，其中相关主体包括APP的开发者、设计者和经营者。

一、APP主体立法规制的理论依据和必要性

（一）APP的内涵及其特征

APP主要是指在移动智能终端上被使用的一系列编程的集合，用来执行用户下发的指令，享受商家提供服务的程序，其本质是编程组合的程序。用户在使用APP过程中会产生大量的个人数据信息，其中包括用户注册的信息、用户授权软件获取的手机存储信息、用户浏览信息和用户消费信息等电子数据。一般具有以下几个特征：一是虚拟性，又称无形性。虚拟性是指APP缺乏实物形态，更多的是以现代智能设备作为载体而存在。从本质上讲，APP仅是由大量程序性语言组合而成的一项程序，程序只是行事先后的次序，[4]支撑其运作的是一系列的计算机语言并不占用物理空间，不具备物质形态。二是非人格性。人格在《中华法学大词典》中的解释为权利主体作为社会关系的参加者所必需具有的为法律所承认和保护的资格。[5]而人格性则是指由人格主体所具有的特征，因而人格性的特征只能存在于权利主体之中并且能够被法律认可。有学者认为，人格性是指只有在主体不仅仅是具体自己而具有的一般自我意识，也不是对完全抽象的自我、消灭一切具体的局限性和有效性的一种失效了的自我，而是拥有某种自我意识的时候，才开始的。[6]非人格性則是人格性的否定，指的是不具有某种自我意识的物或者是非权利义务关系的主体，没有被法律所认可的情况。APP并不具备自主意识，就其程序性的本质而言，不具有人格性的特征。三是复杂性或隐蔽性。APP的隐蔽性正是基于程序语言的专业性和复杂性，APP本身也是复杂的，其对用户信息权益的损害往往是隐而未现，难以发觉。用户所关注的是APP界面的简洁、大方、美观和运行流畅程度，而这些仅仅是复杂计算机语言的冰上一角，至于其怎么组合，具体怎么运转，普通的使用者难以了解①。[7]因而在使用者与提供者之间存在信息接受不对等的情况下容易发生信息侵权行为。

（二）APP立法规制的理论依据

⒈APP相关信息中的人格权益。“人格标识的完整性与真实性是主体受到他人尊重的基本条件。”[8]目前，互联网的发展对人格尊严的保护提出了新的要求，即现实生活标签与网络标签的真实性和一致性，任何层面的断裂都将致使人格尊严受辱，如近几年因个人信息泄露引发的网络人肉搜索事件，对于个体造成的伤害实质是虚拟世界中人格标识的完整性、真实性与现实的人格表示不一致而形成的，并通过互联网的放大，导致一些人成为受害者。换言之，只有兼顾个体的电子标签以及现实人格标识的一致性和完整性，个体才有获得人格尊严的可能。虚拟世界的电子标签主要由各种数据信息组合后展现，各类APP是个人信息数据产生的主要端口，如何保证APP相关主体合理收集用户信息以及保障被收集数据信息的安全，避免个人信息过度曝光，给个体带来人格尊严损害，是当前面临的现实难题。因此，基于技术中立的原则，应加强对APP相关主体的规制，使用户的个人信息安全更有保障，减少类似事件的发生。

⒉APP相关信息中的财产权益。数据信息具有财产属性，其背后存有巨大的经济价值是不争的事实。根据相关研究显示，美国医疗行业每年通过数据获得的潜在价值可超过3000亿美元，能够使得美国医疗卫生支出降低超过8%;充分利用大数据的零售商有可能将其经营利润率提高60%以上。[9]数据信息的财产价值还体现在大量数据交易中心的建立上。自2014年以来，我国陆续在各地建立了大数据交易中心①，[10]数据信息的财产价值属性不言而喻。目前，理论和实务界关于个人数据信息的所有权归属问题仍存在争论，无论是归属于个人还是归属于APP相关主体，从数据行业发展和公民权益保护的角度而言，都应当依法对APP相关主体进行规制，一方面可以规范行业发展，使其有法可依;另一方面可以从宏观角度预先保障数据信息安全，使相关财产权益得到保障。正是基于个人数据信息中体现的财产价值属性，使得数据信息和利益划上了等号，人们往往极尽所能地挖掘信息数据的潜在价值，作为信息的主要产生地和主要收集者的APP相关主体自然成为信息数据安全维护的主要参与者，也是规范使用信息数据、维护个体权益的直接关系人。从维护信息数据的财产价值而言，也应通过立法加强对APP相关主体的规制，规范整个数据信息行业发展，保障信息数据安全与合理使用。

三、APP主体立法规制：完善信息保护立法

（一）完善APP开发、设计主体实名制度

APP实名制是指APP相关主体在开发、设计或者委托开发APP过程中应当提供能够证明自身身份的信息。基于APP已成为数据信息的集散地，APP的开发和设计人员对于个人数据信息保护是基础性的，因而有必要对其进行规制。针对公民网络信息保护以及维护网络空间的安全，有学者将研究焦点放在公民个人的实名制认证即研究网络用户信息真实制度上。[26]但在实际推行过程中网络用户实名制有很大的局限性，普遍实施会带来很多社会问题，如韩国在实施公民个人信息网络实名认证制度之后，人们开始利用假身份信息进行登记注册以及黑客攻击网络窃取个人真实信息，最终韩国政府废除了网络实名制①。[27]我国实名制推行的现状也证明了其难度之大，而APP相关主体实名制相比较网络用户实名制而言则更为容易和安全。《暂行规定》已经尝试就APP相关主体的身份进行实名制认证，但该制度单一存在，难以形成监管合力，需要完善并与其他制度配套实施，以实现加强APP监管的目的，减少网络黑客攻击的成功率，降低内部和外部窃取用户信息的可能性。具体建议如下：第一，实行开发和设计人员实名登记制度，主要包括APP开发、设计相关主体，实名信息需要能够识别出具体个体，如企业需要提供的包括名称、住所、法定代表人、注册编号等信息。第二，明确相关主体享有自由自主开发APP的权利，同时也负有正当开发和使用APP的义务。第三，明确规定相关主体在实名制过程中负有信息真实义务，此处相关主体的信息真实义务主要是配合APP相关主体备案制度的实施。第四，APP开发、设计实名制和重点领域网络用户实名制联合实施，强调APP相关主体实名制并非是放弃网络用户实名制，相反需要联合两者共同实施。一个强调完善APP本身，另一个主要防范来自网络的攻击，维护网络空间安全。第五，在《暂行规定》实名制的基础上建立APP开发、设计人员黑名单制度，限期禁止进入软件开发和设计行业或者从事软件开发和设计行为。第六，拓宽用户投诉、举报、处理渠道，针对用户关于问题APP的举报、投诉要认真处理，及时向用户反馈信息。

（二）构建APP相关主体备案制度

APP相关主体备案制度指的是APP的设计者、开发者、所有者相关信息报地方信息主管部门进行备案，使其知晓，必要时备查的制度②。[28]第一，针对相关应用市场经营机构进行资格认定，根据相关法律规定，对一些违法的APP应用市场经营机构予以强制整改或者强制退出。第二，规范APP的下载安装方式，鼓励用户通过正规渠道下载软件，用户基于非正规渠道下载的软件，自行承担损失。第三，施行APP相关主体信息备案制度，即APP开发人员、设计人员和所有者的真实信息在各地的通信主管部门进行备案。第四，建立备案信息公开查询制度，监管机构可以在特定的网站上对备案信息进行公开，以备公众查询，加强公众监督。第五，健全用户投诉反馈机制，由APP应用市场管理者或者各地通信主管部门设置专门的渠道接受用户对问题APP的投诉，对于一些涉嫌违法违规以及存在恶意的强制性条款的APP强制其退出APP应用市场并给用户提供必要的提醒，违反法律法规的APP视情况可以通报相应的研发机构进行整改或者由司法部门追究法律责任。

（三）实施APP经营主体市场准入制度

数据信息收集主体市场准入制度是指进行个人数据信息收集的主体（APP经营者）进入市场的许可。个人数据信息涉及到个人的人格权益和财产权益，有必要加强对数据信息收集主体进行规制，规范数据信息收集行为。同时，实施数据信息收集主体市场准入制度，也可以对数据收集者进行分流，以最大限度地限制个人数据信息收集范围，保护个人数据信息安全。具体建议如下：第一，制定参与数据信息收集主体的市场准入标准。此项标准应包含相关主体APP的日常维护、信息泄露预防以及信息泄露处置办法等，只有达到标准要求才可以参与信息收集。第二，市场准入标准制定后对相关主体进行分流。具体而言，通过对现有的企业进行评估，符合安全标准的可以参与数据信息收集，没有达到安全标准的则不允许擅自收集数据信息。第三，实施数据信息收集内容备案制度。收集企业数据信息的内容应向工商部门或地方信息主管部门备案，达到安全标准的企业可以在规定的范围内收集个人数据信息（涉及国家秘密、商业秘密和个人隐私的除外），没有达到安全标准的企业应当严格限制数据信息收集内容，不允许私自扩大收集范围。第四，建立信息公开制度，所有的企业分区域在特定网络平台将备案信息公开，供公众查询和监督。第五，针对超范围收集个人数据信息的行为或者非法目的使用数据信息的行为，探索实行个人信息保护公益诉讼制度。

（四）实施第三方市场主体参与数据信息收集制度

第三方市场主体参与数据信息收集制度是指在市场信息收集主体和被收集主体之外引入第三方主体，以实现数据信息收集和数据信息保护的目的。这一制度主要针对的是不符合安全标准而无法进行数据信息收集的市场主体，一方面弥补不能收集相关数据给企业发展带来的损失，另一方面也可以保护个人数据信息的安全，如酒店通过去哪儿、美团、飞猪旅行和携程旅行等平台，餐饮通过美团、饿了么、百度外卖和大众点评等软件平台，实现商户和用户的对接，保护个人数据信息安全。但应明确，第三方市场主体参与数据信息收集应当符合市场准入制度的要求;相关不符合安全標准的企业应当和第三方数据信息收集主体签订合作协议，协议内容涉及收集信息内容和使用目的应当在相关部门备案公示，便于公众监督;第三方数据收集主体自身的APP应当符合实名制和备案制度要求。

【参考文献】

[1]徐鹏.“徐玉玉案”黑客一审判决生效[N].法制日报，2017-09-09（08）.

[2]高睿.国外金融信息泄露案件成因对我国的启示[N].科学导报，2019-10-22（B03）.

[3]（法）莱昂·狄骥.公法的变迁·法律与国家[M].郑戈，冷静译.沈阳：辽海出版社，春风文艺出版社，1999.

[4]韩明安.新语词大词典[M].哈尔滨：黑龙江人民出版社，1991.

[5]孙国华.中华法学大辞典·法理学卷[M].北京：中国检察出版社，1997.

[6]邓晓芒.关于Person和Persnlichkei的翻译问题——以康德、黑格尔和马克思为例[J].哲学动态，2015（10）：46.

[7]张吉豫.人工智能良性创新发展的法制构建思考[J].中国法律评论，2018，（2）：115.

[8][美]亚伯拉罕·马斯洛.动机人格[M].许金声译.北京：中国人民大学人民出版社，2007.

[9]谢卫红，樊炳东，董策.国内外大数据产业发展比较分析[J].现代情报，2018，（9）：114.

[10]张敏.交易安全视域下我国大数据交易的法律监管[J].情报杂志，2017，（2）：127-128.

[11]（英）维克托·恩伯格，肯尼思·库克耶.大数据时代[M].盛杨燕，周涛译.杭州：浙江人民出版社，2013.

[12]朱颖.我国移动APP隐私保护政策研究——基于96个移动应用APP的分析[J].暨南学报（哲学社会科学版），2017（12）：107.

[13]魏晓敏.别让信息泄露成“脱缰野马”[N].新华日报，2019-08-08（07）.

[14]中国网民达9.4亿！第46次CNNIC中国互联网报告发布[EB/OL].澎湃新闻网，https：//www.thepaper.cn/newsDetail_forward_9399653.

[15]王树淼.过度采集信息侵犯用户隐私 谁在侵犯网民信息安全？[EB/OL].新浪网，https：//news.sina.com.cn/gov/2019-07-17/doc-ihytcitm2541954.shtml.

[16]第43次中国互联网发展状况统计报告[EB/OL].中国互联网信息中心，http：//www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201902/P020190318523029756345.

[17]APP不应成为泄露个人隐私通道[N].第一财经日报，2018-12-29（A02）.

[18]夏燕.被遗忘权之争——基于欧盟个人数据保护立法改革的考察[J].北京理工大学学报（社会科学版），2015，（2）：131.

[19]张玉洁，胡振吉.我国大数据法律定位的学说论争、司法立场与立法规范[J].政治与法律，2018，（10）：146.

[20]孙宪忠：关于尽快制定我国《个人信息保护法》的建议[EB/OL].中国社会科学网，http：//ex.cssn.cn/fx/201710/t20171016_3668348.shtml.

[21]付新华.大数据时代儿童数据法律保护的困境及其应对——兼评欧盟《一般数据保护条例》的相关規定[J].暨南学报（哲学社会科学版），2018，（12）：83-84.

[22]220个窃取用户个人信息的恶意程序变种被曝光[EB/OL].新华网，http：//www.xinhuanet.com/politics/2018-11/07/c_1123678221.htm.

[23]韩丹东，张睿青.赚钱类APP是掉馅饼还是挖陷阱[N].法制日报，2018-12-11（05）.

[24]吉蕾蕾.警惕APP成为信息泄露的幕后黑手[N].经济日报，2019-01-11（05）.

[25]韩丹东，罗聪冉.守住大数据应用的法律底线[N].法制日报，2019-05-15（04）.

[26]齐恩平.实名制政策与隐私权保护的博弈论[J].法学杂志，2013，（7）：61-66.

[27]杨晓楠.网络实名制管理与公民个人信息保护[J].情报科学，2012，（11）：1615.

[28]章志远.行政法学总论[M].北京：北京大学出版社，2014.

（责任编辑：苗政军）