数字经济时代的到来，让我们获取和传递信息更加便捷，各种移动App成为人们生活不可或缺的一部分。与此同时，用户在App上所留下的海量个人信息也成为了各个数据公司及商业机构的“宝藏”。数据公司为了追求商业利益而漠视用户合法权益的动机使得强制授权、过度索权、超范围收集个人信息的现象非常普遍。

　　为整治App运营者违法违规收集个人信息的现象，App专项治理工作组于2019年3月发布《App违法违规收集使用个人信息自评估指南》，以便App运营者进行自查自纠。App专项治理工作组相继发布了一份督促存在收集使用个人信息问题的App运营者尽快整改的通知及三个App存在个人信息收集使用问题的通告，要求相关App运营者对存在的问题进行整改。2020年3月6日，修订后的《信息安全技术个人信息安全规范》（2020）发布，对个人信息控制者收集、存储、使用、处理个人信息进行了详细规定。本文根据相关法律规定、政策标准，分析整理移动App违法违规收集个人信息可能面临的法律风险以及在收集个人信息时有哪些合规建议。

一、移动App违法收集用户个人信息的法律风险

　　由于移动App在收集用户个人信息时存在诸多不规范的情形，很容易侵犯用户合法权益。目前，为全面保护移动App用户个人信息，我国在民事、行政及刑事法律三个层面建立了较为完善的法律规制体系。

　　（一）App运营者收集用户个人信息的民事法律风险

　　2021年1月1日起施行的《民法典》将个人信息权利写入民法典，提升了我国对于个人信息保护的保障力度。《民法典》第111条明确规定，“自然人的个人信息受法律保护。任何组织或个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。

　　因App运营者违法违规收集用户个人信息产生的民事责任主要是违约责任和侵权责任。一方面，如果App运营者未经用户同意而收集、使用、处理个人信息，用户可以依据《民法典》主张侵权责任。另一方面，用户注册App时会签署用户协议、隐私政策，与App运营者成立网络服务合同关系。如果App运营者违反用户协议或隐私政策规定收集用户个人信息，用户有权向App运营者主张违约责任。

　　（二）App运营者收集用户个人信息的行政法律风险

　　行政监管是督促移动App合法合规收集用户个人信息的重要手段，正是由于行政监管部门的有力打击使得App运营者收集个人信息越来越规范。2019年1月起，App专项治理工作组开展了一系列的App违法违规收集使用个人信息专项治理活动，加强对违法违规收集使用个人信息行为的监管和处罚。

　　有关主管部门之所以能够对App运营者进行监督和处罚，其法律依据来源于《网络安全法》。《网络安全法》第64条规定，网络运营者违反法律、行政法规的规定或者双方的约定收集个人信息，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

　　（三）App运营者收集用户个人信息的刑事法律风险

　　2015年，《刑法修正案（九）》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”一罪，扩大了犯罪主体和侵犯个人信息行为的范围。[1]2017年5月，两高出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，进一步细化了侵犯公民个人信息的定罪量刑标准。根据刑法及司法解释规定，违反国家规定，通过窃取、购买、收受、交换等方式非法获取公民个人信息，情节严重的，构成侵犯公民个人信息罪，需要承担相应的刑事责任。

二、移动App收集用户个人信息的合规建议

　　《个人信息安全规范》（2020）第5条规定了个人信息收集的具体内容。就移动App收集个人信息来说，必须遵守收集个人信息的合法性、最小必要、多项业务功能的自主选择、授权同意要求，并制定合规的个人信息保护政策。

　　（一）收集个人信息的合法性

　　合法性是收集个人信息的重要要求甚至是首要要求。如果App运营者不合法收集个人信息，不仅可能涉嫌行政违法，甚至构成刑事犯罪。合法性要求App运营者收集个人信息时不应以欺诈、诱骗、误导的方式收集个人信息，不应隐瞒产品或服务所具有的收集个人信息的功能，不应从非法渠道获取个人信息。反观现有的App，依然存在以不正当方式误导用户同意收集个人信息，将targetSDKversion值设置小于23，要求用户一次性同意打开多个可收集个人信息的权限等问题，如App专项治理工作组2020年11月13日公布的通告显示，新浪微博V10.9.2版本在隐私政策中以“在你发送微博、使用微博提供的位置定位服务时，我们会收集你的位置信息、设备信息”为由收集用户设备信息，建议其进行整改。因此，移动App在收集个人信息时必须严格遵守合法性原则。

　　（二）收集个人信息的最小必要

　　最小必要原则，是指处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时删除个人信息。[2]移动App在收集个人信息时，只收集与所提供的服务有关的、必要的信息，不得收取与所提供的服务无关的信息。目前移动App收集个人信息时依然存在如下问题：收集个人信息的频率超出业务功能实际需要；手机用户的个人敏感信息、权限与现有业务功能无关；因用户不同意收集非必要的个人信息或权限，拒绝提供其他或所有业务功能；收集个人信息的频度、频率等超出业务功能实际需要；未经用户同意更改其设置的可收集个人信息权限状态等。

　　根据《个人信息安全技术规范》（2020）规定，为遵守最小必要原则，App运营者在收集个人信息时必须做到以下几点：1.收集的个人信息的类型应与实现产品或服务的业务功能有直接关联[3]；2.自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率；3.间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

　　（三）多项业务功能的自主选择[4]

　　当产品或服务提供多项需收集个人信息的业务功能时，个人信息控制者不应违背个人信息主体的自主意愿，强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。但是在实务中，移动App违背用户自主选择多项业务功能的情形并不少见，主要表现为用户明确表示不同意打开位置权限后，仍频繁征求用户同意，干扰用户正常使用；因用户不同意收集非必要的位置权限，拒绝提供其他或所有业务功能等。

　　遵守多项业务功能的自主选择要求，App运营者在收集用户个人信息时要做到：1.不应通过捆绑产品或服务各项业务功能的方式，要求用户一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求；2.应把用户自主作出的肯定性动作作为产品或服务的特定业务功能的开启条件，App运营者应仅在用户开启该业务功能后，开始收集个人信息；3.关闭或退出业务功能的途径或方式应与用户选择使用业务功能的途径或方式同样方便，用户撤销同意后，App运营者应停止该业务功能的个人信息收集活动；4.用户不授权同意，使用、关闭或推出特定业务功能的，不应频繁征求用户的授权同意；5.用户不同意使用、关闭或退出特定业务功能的，不应暂停用户自主选择使用的其他业务功能，或降低其他业务功能的服务质量；6.不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由，强制要求用户同意收集个人信息。

　　（四）收集个人信息的授权同意

　　《网络安全法》第41条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。《个人信息安全规范》也规定，个人信息控制者向个人信息主体明示个人信息处理目的、方式、范围等规则，征求其授权同意。可见，用户的知情同意是App运营者收集个人信息的前提。

　　隐私政策的有无是证明App运营者是否获取用户知情同意的重要证据。自App专项治理工作组展开专项整治活动后，大部分App运营者都会将隐私政策独立成文。[5]为了能够让用户更好地行使个人信息自决权，App运营者在让获得用户的授权前，必须做到：1.收集个人信息，应向用户告知收集、使用个人信息的目的、方式和范围等规则，并获得用户的授权同意；2.收集个人敏感信息前，应征得用户的明示同意，并应确保用户的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示；3.收集个人生物识别信息[6]前，应单独向用户告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得用户的明示同意；4.收集年满14周岁未成年人的个人信息前，应征得未成年人或其监护人的明示同意，不满14周岁的，应征得其监护人的明示同意；5.间接获取个人信息时，应要求个人信息提供方说明个人信息来源，并对其个人信息来源的合法性进行确定，也应了解个人信息提供方已获得的个人信息处理的授权同意范围，包括使用目的，用户是否授权同意转让、共享、公开披露、删除等，如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的，应在获取个人信息后的合理期限内或处理个人信息前，征得用户的明示同意，或通过个人信息提供方征得个人信息主体的明示同意。

　　（五）制定个人信息保护政策

　　民法典区分了隐私与个人信息，为了体现与上位法的衔接，《个人信息安全规范》（2020）将“隐私政策”名称修改为“个人信息保护政策”。[7]App运营者虽会使用“隐私政策”或其他名称指代个人信息保护政策，但内容应与个人信息保护政策内容一致。目前大部分App已经存在隐私政策，但隐私政策不合规现象依然存在。根据App专项治理工作组发布的通知通告显示，隐私政策主要存在如下问题：1.App内无法找到隐私政策或未以显著方式展示隐私政策；2.首次运行及注册登录界面均未通过明显方式（弹窗等）提示用户阅读隐私政策等收集使用规则；3.收集的设备IMEI号等个人信息未在隐私政策中说明；4.以默认选择同意隐私政策的非明示方式征求用户同意；5.使用通讯录权限等实际收集使用个人信息行为与隐私政策声明不一致；6.在隐私政策中未说明收集的个人信息的目的、方式和范围；7.隐私政策等收集使用规则难以访问、阅读。

　　根据《个人信息安全规范》（2020）规定，在收集用户个人信息时要求App运营者：1.制定个人信息保护政策；2.个人信息保护政策所告知的信息应真实、准确、完整；3.个人信息保护政策的内容应清晰易懂，符合通用的语言习惯，使用标准化的数字、图示等，避免使用有歧义的语言；4.个人信息保护政策应公开发布且易于访问；5.个人信息保护政策应逐一送达用户。当成本过高或有显著困难时，可以公告的形式发布；6.当个人信息保护政策条款发生变化时，应及时更新个人信息保护政策并重新告知用户。

三、结  语

　　随着大数据的广泛运用，保护移动App用户个人信息的安全越来越重要。遏制移动App违法违规收集使用用户个人信息的现象，不能仅仅依靠App运营者自身做到合法合规，更需要外部有力的约束。首先，立法者需要不断完善对个人信息保护的法律法规，出台相应的政策标准，细化法律规定，增强法律的可操作性；其次，政府监管部门也要不断加强监督执法力度，规范App运营者的行为；最后，用户也要增强自身维权意识，通过“App个人信息举报”微信公众号以及其他举报平台对违法行为进行举报。

（来源：微信公号“辩护人视角”）