近年來，App的迅猛發(fā)展使得個人信息安全問題更為復(fù)雜和多樣化。法律法規(guī)無疑是治理違規(guī)App的根本依靠和有力抓手，本文梳理了國外個人信息保護的相關(guān)法律法規(guī)，為業(yè)界提供參考。

目前，國內(nèi)外沒有專門針對App個人信息保護的法規(guī)，相關(guān)個人信息保護要求包含在對網(wǎng)絡(luò)運營者的數(shù)據(jù)安全保護義務(wù)和責任中。美國關(guān)于個人信息的保護原則集中見于1973年“公平信息實踐法則”（FIPPS），并根據(jù)行業(yè)特點制定各行業(yè)隱私法律，如《金融隱私權(quán)法案》《健康保護隱私及責任法案》《有限通訊隱私權(quán)法案》。關(guān)于聯(lián)邦層面的立法，2012年提出《消費者隱私權(quán)利法案》，一直未予發(fā)布。2018年，加利福尼亞州頒布《加州消費者隱私保護法案》（CCPA），體現(xiàn)了美國關(guān)于個人信息保護的最新理念，被認為是美國國內(nèi)最嚴格的個人信息立法。歐盟2015年發(fā)布的《通用數(shù)據(jù)保護條例》（GDPR），圍繞個人數(shù)據(jù)的收集、使用、保存、分享、轉(zhuǎn)移等，對數(shù)據(jù)控制者和處理者、數(shù)據(jù)主體的權(quán)利義務(wù)進行了全面規(guī)定。隨后，巴西、印度也發(fā)布個人信息保護法案。此外，APEC跨境隱私規(guī)則（CBPR）等國際組織的隱私框架對全球數(shù)據(jù)保護也產(chǎn)生了積極影響。

（一）透明性

“知情—同意”框架是國際通行的關(guān)于收集數(shù)據(jù)主體個人信息的基本要求，也是我國《網(wǎng)絡(luò)安全法》所賦予的收集使用信息的唯一正當理由。知情的前提是透明性，GDPR的核心原則之一就是，數(shù)據(jù)控制者必須以清楚簡單明了的方式向個人說明其個人數(shù)據(jù)是如何被收集處理的。任何與個人數(shù)據(jù)處理有關(guān)的信息都必須以明顯、易獲取、易閱讀的方式展示，而且要使用清晰、簡明的，數(shù)據(jù)主體可理解的語言（特別是在數(shù)據(jù)主體中包括未成年人的情況下）說明。告知的內(nèi)容大致包括數(shù)據(jù)控制者名稱、注冊信息、地址、數(shù)據(jù)安全負責人聯(lián)系方式等基本信息，收集使用個人信息的類型、目的、方式、范圍等，披露、共享第三方的規(guī)則，境外轉(zhuǎn)移的規(guī)則和保障措施，數(shù)據(jù)主體刪除權(quán)、更正權(quán)等基本權(quán)利及其實現(xiàn)方式，投訴舉報渠道等。

同時，原則上個人信息的使用要在聲明的范圍之內(nèi)，對個人數(shù)據(jù)的留存期限不能超過其處理目的，如果個人信息變更適用目的、方式和范圍，需要再次明確告知數(shù)據(jù)主體并征得數(shù)據(jù)主體同意。

除了數(shù)據(jù)主體同意外，還提供了其他合法收集事由。如GDPR除了知情同意原則還規(guī)定合法收集、處理個人信息的5種情形：為了履行數(shù)據(jù)主體與數(shù)據(jù)控制者之間的合同必須處理其個人數(shù)據(jù)，或者為了基于數(shù)據(jù)主體請求而簽訂合同必須處理其個人數(shù)據(jù)；遵守法律義務(wù)所必須；為了保護數(shù)據(jù)主體或者其他自然人的重大利益；為保護公共利益；對于數(shù)據(jù)控制者或者第三方所追求的正當利益目的是必要的，且不低于需要保護其個人數(shù)據(jù)的自然人的利益或者基本權(quán)利和自由?！栋臀魍ㄓ脭?shù)據(jù)保護法》（LGPD）將對個人數(shù)據(jù)的收集、適用、傳輸、刪除等任何操作統(tǒng)一稱為“個人數(shù)據(jù)處理”進行規(guī)范，除了數(shù)據(jù)主體同意外，還規(guī)定了9種個人數(shù)據(jù)處理的合法事由，如遵守法律和監(jiān)管義務(wù)、公共部門需求或?qū)崿F(xiàn)合同目的、履行對數(shù)據(jù)主體的義務(wù)、保護生命財產(chǎn)安全等。

（二）數(shù)據(jù)主體的控制權(quán)

CCPA指明，個人就其個人信息的使用和出售的控制能力對于隱私權(quán)而言具有基礎(chǔ)性意義。GDPR 、CBPR等也都強調(diào)消費者對個人信息的控制權(quán)，賦予數(shù)據(jù)主體對個人信息的一系列控制權(quán)。如訪問權(quán)，數(shù)據(jù)主體有權(quán)要求收集個人信息的數(shù)據(jù)控制者向消費者披露其收集的信息類別和具體內(nèi)容；刪除權(quán)，數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者刪除其所收集的任何個人信息。數(shù)據(jù)控制者需要遵守的義務(wù)包括了需要根據(jù)數(shù)據(jù)主體要求披露收集了哪些消費者的個人信息，根據(jù)數(shù)據(jù)主體的要求刪除相關(guān)數(shù)據(jù)；尊重數(shù)據(jù)主體選擇不出售個人數(shù)據(jù)的權(quán)利，不得通過拒絕給消費者提供商品或服務(wù)，或?qū)ι唐坊蛘叻?wù)收取不同的價格或者費率的方式歧視消費者。

此外，GDPR還賦予數(shù)據(jù)主體對反對權(quán)和限制處理權(quán)，數(shù)據(jù)主體有權(quán)在特定情況下，隨時反對處理其個人數(shù)據(jù)，可隨時反對因商業(yè)目的的直接營銷行為；數(shù)據(jù)主體在對被處理個人數(shù)據(jù)準確性提出質(zhì)疑、不再為處理目的所需時可以要求要求（暫時）限制處理其個人數(shù)據(jù)，在限制處理期間，“標記的”個人數(shù)據(jù)只能由控制者存儲。禁止進行其他與“標記的”數(shù)據(jù)有關(guān)的處理活動。數(shù)據(jù)控制者必須全面記錄其數(shù)據(jù)處理活動，確保所有行動有據(jù)可查，包括數(shù)據(jù)處理目的、數(shù)據(jù)類型、數(shù)據(jù)接收者類別、保存時間、安全保障措施等，并保留有與數(shù)據(jù)處理者的合同附件。

（三）嚴格的處罰措施

CCPA與GDPR都對違規(guī)行為設(shè)定了較重的處罰。GDPR規(guī)定數(shù)據(jù)控制者會面臨最高處以2000萬歐元或上一財年全球營業(yè)額4%的行政處罰（以較高者為準）；而CCPA規(guī)定，由于數(shù)據(jù)控制者違反義務(wù)而未實施和維護合理安全程序以及采取與信息性質(zhì)相符的做法來保護個人信息，從而遭受了未經(jīng)授權(quán)的訪問和泄露、盜竊或披露，則消費者可因以下任何一項而提起民事訴訟,數(shù)據(jù)控制者會面臨支付給每位消費者最高750美元的賠償金以及最高7500美元的損害賠償金或?qū)嶋H損害賠償金，以數(shù)額較大者為準。

各國關(guān)于個人信息保護的差異性，主要體現(xiàn)在個人信息收集使用規(guī)則的嚴格程度上。 

（一）個人信息的范圍

CCPA和GDPR對于個人信息都作了較寬的界定，而CCPA對于個人信息的定義比GDPR更為廣泛，是指能夠直接或間接的識別、描述與特定的消費者或家庭相關(guān)或合理相關(guān)的信息，包括但不限于真實姓名、別名、郵政地址、唯一的個人標識符、在線標識符、互聯(lián)網(wǎng)協(xié)議地址、電子郵件地址、生物信息、商業(yè)信息、地理位置數(shù)據(jù)以及教育信息等。一是CCPA將家庭、身份關(guān)聯(lián)的和設(shè)備的信息納入了個人信息的范疇。例如反映家庭年度用水或能源消耗或者特定員工的工作描述（IP地址、網(wǎng)絡(luò)瀏覽記錄等）也被規(guī)定為個人信息范疇。二是GDPR將構(gòu)建數(shù)據(jù)主體的“概要語言”作為個人信息范疇，而CCPA有關(guān)消費者的推斷也作為個人信息的一部分。個人信息包括“從本細分中確定的任何信息中得出的推論，以創(chuàng)建一個關(guān)于消費者的檔案，反映消費者的偏好、特征、心理趨勢、偏好、傾向、行為、態(tài)度、智力、能力和資質(zhì)?！?nbsp;

（二）選擇進入VS選擇退出

在CCPA中，對于16歲以上的消費者的個人信息處理，采取美國一以貫之的“opt-out”模式（如《格雷姆-里奇-布萊利法案》和《控制未經(jīng)征求的色情和營銷攻擊法案》也包含某些選擇退出要求），即除非數(shù)據(jù)主體拒絕或退出，數(shù)據(jù)控制者可繼續(xù)處理數(shù)據(jù)主體的個人信息。CBPR同樣只審查數(shù)據(jù)控制者是否使數(shù)據(jù)主體在收集個人信息時能夠行使選擇權(quán)，并沒有限定為選擇進入的方式。

在GDPR、LGPD、我國《網(wǎng)絡(luò)安全法》都采取（“opt-in”）模式，數(shù)據(jù)控制者收集、處理數(shù)據(jù)主體個人數(shù)據(jù)之前必須要獲得消費者的同意，即選擇進入；一是同意必須是在充分知情的前提下明確、清晰的、具體的方式自主做出的。數(shù)據(jù)主體同意是也必須明確的。GDPR規(guī)定，同意指“數(shù)據(jù)主體通過書面聲明或經(jīng)由一個明確的肯定性動作，表示同意對其個人數(shù)據(jù)進行處理。該意愿表達應(yīng)是自由給出的（freely given）、特定具體的（specific）、知情的（informed）、清晰明確的（unambiguous）”。同意必須是在知情的情況下作出的，應(yīng)以易于理解且與其他事項顯著區(qū)別的形式呈現(xiàn)，不能對其意愿留有不明確的空間。如果數(shù)據(jù)主體的同意是在一個包含其他事項的書面聲明中作出的，則該書面聲明中的同意請求應(yīng)當具有明顯的辨識度，以便與其他事項進行區(qū)分。根據(jù)歐洲隱私監(jiān)管機構(gòu)組成的獨立咨詢顧問機構(gòu)——第29條工作組（以下簡稱第29條工作組）的意見，不明確的同意不適用于基于不作為或者沉默取得同意的方式。LGPD規(guī)定，如果同意是以書面形式提供的，應(yīng)區(qū)分于其他合同條款，并單獨、重點顯示。APEC跨境隱私規(guī)則（CBPR）要求要有清晰、易訪問的隱私聲明。二是數(shù)據(jù)主體有權(quán)隨時撤回其同意。GDPR規(guī)定，數(shù)據(jù)主體必須在作出同意前被告知其撤回權(quán)，同意的撤回應(yīng)當和同意的作出同樣容易，撤回不影響在撤回前基于同意對其個人數(shù)據(jù)的處理。LGPD規(guī)定，同意可以通過便捷和免費的流程，隨時被數(shù)據(jù)主體明確表示撤回。三是數(shù)據(jù)控制者對數(shù)據(jù)主體的“同意”承擔舉證責任。根據(jù)29號工作組對GDPR的解釋，數(shù)據(jù)控制者應(yīng)當能夠證明數(shù)據(jù)主體已經(jīng)同意處理其個人數(shù)據(jù)，也即舉證責任是數(shù)據(jù)控制者的。LGPD規(guī)定，數(shù)據(jù)控制者有責任證明已依法取得數(shù)據(jù)主體同意。

（三）目的限定VS目的明確

CCPA保持了與歐盟個人數(shù)據(jù)保護法的最大差異,也即對產(chǎn)業(yè)利益的強烈關(guān)注。為了最大限度促進數(shù)據(jù)產(chǎn)業(yè)發(fā)展，美國在個人信息保護理念上更加注重對個人信息的利用，而非收集,對于收集采取目的明確的原則。正如美國的《大數(shù)據(jù)與隱私報告》指出：信息所具有敏感性，以及與一般商業(yè)活動、政府行政或者來自公共場合的收集中的大量數(shù)據(jù)的難以分割性，使得規(guī)制這些信息的使用比規(guī)制收集更合適。CCPA只強調(diào)消費者的知情權(quán)和控制權(quán)，只要消費者明確知道且同意其個人信息使用目的即可，而不將使用目的限定在實現(xiàn)業(yè)務(wù)功能所必須的范圍內(nèi)。此外，CCPA提出“財務(wù)激勵計劃”，賦予個人信息財產(chǎn)屬性。數(shù)據(jù)控制者可以為個人信息的收集、出售或者刪除提供財務(wù)激勵，包括向消費者支付賠償金。如果價格或差異與消費者通過提供其數(shù)據(jù)而產(chǎn)生的價值直接相關(guān)，數(shù)據(jù)控制者還可以以不同的價格、費率、水平或質(zhì)量向消費者提供商品或服務(wù)。

而GDPR明確了目的限定原則和數(shù)據(jù)最小化原則，數(shù)據(jù)控制者收集信息必須基于特定、明確、合法的目的，且對于實現(xiàn)業(yè)務(wù)功能需求來說是最小必要的，除非符合公共利益、科學研究等正當目的，對其使用也要嚴格控制在此目的范圍之內(nèi)。同時，賦予了歐洲公民可以拒絕數(shù)據(jù)控制者利用搜集到的個人信息來進行自動判斷和決策的權(quán)利，這給很多強調(diào)數(shù)據(jù)主體體驗和個性化服務(wù)的大數(shù)據(jù)數(shù)據(jù)控制者和互聯(lián)網(wǎng)數(shù)據(jù)控制者帶來了商業(yè)模式上的沖擊。

（四）行政監(jiān)管VS消費者集體訴訟

不同于隱私權(quán)的私法屬性，個人信息所具有的公共屬性越來越明顯，美歐都沒有將個人數(shù)據(jù)得到保護的權(quán)利泛化為一般性的私法權(quán)利，而是采取公法保護或消費者權(quán)益保護的路徑。GDPR、我國《網(wǎng)絡(luò)安全法》主要以行政監(jiān)管和處罰來規(guī)制數(shù)據(jù)處理者和控制者的個人信息收集使用行為，尤其是GDPR通過高額罰款形成震懾。CCPA采取消費者保護路徑，將損害賠償一事授予了個人，規(guī)定了私人訴訟權(quán)，同時限定為集體訴訟模式，通過賦予州檢察長執(zhí)法的專有權(quán)力和規(guī)定一些必須滿足的條件，如對數(shù)據(jù)控制者進行書面違規(guī)通知，給予其30日解決違規(guī)行為的機會。

我國關(guān)于App收集使用個人信息規(guī)范主要在《網(wǎng)絡(luò)安全法》《消費者權(quán)益保護法》《電子商務(wù)法》等法律法規(guī)中，大多為原則性規(guī)定，存在很多模糊地帶，落地難度較大。

（一）尤其缺乏對應(yīng)用商店和智能終端安全責任的規(guī)定。目前，應(yīng)用商店為了擴充App產(chǎn)品，增強競爭力，對于上架App個人信息安全審核十分薄弱，造成違法違規(guī)App橫行無阻。在某些情況下，智能終端本身系統(tǒng)設(shè)計對于App進行收集使用合規(guī)設(shè)計造成一定技術(shù)限制或較高成本。規(guī)制上述行為缺乏依據(jù)。

（二）必要性收集原則難以落地。App種類繁多、功能各異，并且App為了擴展業(yè)務(wù)范圍不斷擴充自身業(yè)務(wù)功能，其核心業(yè)務(wù)功能和附加業(yè)務(wù)功能的界限日益模糊。以改善數(shù)據(jù)主體體驗、研發(fā)新產(chǎn)品為由不斷擴展收集范圍，每項業(yè)務(wù)功能所必須的個人信息范圍難以統(tǒng)一界定。如何判斷其是否超范圍收集或收集與業(yè)務(wù)功能無關(guān)的個人信息是管理實踐面臨的難題。

（三）目前很多App是以收集數(shù)據(jù)主體信息進行自動化決策為其營利的有效手段，通過大量收集與數(shù)據(jù)主體有關(guān)信息開展廣告推送等業(yè)務(wù)，方法和行為十分隱蔽，違規(guī)行為較難認定，如采取監(jiān)管措施過嚴，將會對現(xiàn)有商業(yè)模式構(gòu)成較大沖擊。

（本文刊登于《中國信息安全》雜志2019年第4期）