国外关于App收集使用个人信息的立法状况

文│ 中国电子信息产业发展研究院 魏书音

近年来，App的迅猛发展使得个人信息安全问题更为复杂和多样化。法律法规无疑是治理违规App的根本依靠和有力抓手，本文梳理了国外个人信息保护的相关法律法规，为业界提供参考。

一、国外立法基本情况

目前，国内外没有专门针对App个人信息保护的法规，相关个人信息保护要求包含在对网络运营者的数据安全保护义务和责任中。美国关于个人信息的保护原则集中见于1973年“公平信息实践法则”（FIPPS），并根据行业特点制定各行业隐私法律，如《金融隐私权法案》《健康保护隐私及责任法案》《有限通讯隐私权法案》。关于联邦层面的立法，2012年提出《消费者隐私权利法案》，一直未予发布。2018年，加利福尼亚州颁布《加州消费者隐私保护法案》（CCPA），体现了美国关于个人信息保护的最新理念，被认为是美国国内最严格的个人信息立法。欧盟2015年发布的《通用数据保护条例》（GDPR），围绕个人数据的收集、使用、保存、分享、转移等，对数据控制者和处理者、数据主体的权利义务进行了全面规定。随后，巴西、印度也发布个人信息保护法案。此外，APEC跨境隐私规则（CBPR）等国际组织的隐私框架对全球数据保护也产生了积极影响。

二、收集使用个人信息的基本要求

（一）透明性

“知情—同意”框架是国际通行的关于收集数据主体个人信息的基本要求，也是我国《网络安全法》所赋予的收集使用信息的唯一正当理由。知情的前提是透明性，GDPR的核心原则之一就是，数据控制者必须以清楚简单明了的方式向个人说明其个人数据是如何被收集处理的。任何与个人数据处理有关的信息都必须以明显、易获取、易阅读的方式展示，而且要使用清晰、简明的，数据主体可理解的语言（特别是在数据主体中包括未成年人的情况下）说明。告知的内容大致包括数据控制者名称、注册信息、地址、数据安全负责人联系方式等基本信息，收集使用个人信息的类型、目的、方式、范围等，披露、共享第三方的规则，境外转移的规则和保障措施，数据主体删除权、更正权等基本权利及其实现方式，投诉举报渠道等。

同时，原则上个人信息的使用要在声明的范围之内，对个人数据的留存期限不能超过其处理目的，如果个人信息变更适用目的、方式和范围，需要再次明确告知数据主体并征得数据主体同意。

除了数据主体同意外，还提供了其他合法收集事由。如GDPR除了知情同意原则还规定合法收集、处理个人信息的5种情形：为了履行数据主体与数据控制者之间的合同必须处理其个人数据，或者为了基于数据主体请求而签订合同必须处理其个人数据；遵守法律义务所必须；为了保护数据主体或者其他自然人的重大利益；为保护公共利益；对于数据控制者或者第三方所追求的正当利益目的是必要的，且不低于需要保护其个人数据的自然人的利益或者基本权利和自由。《巴西通用数据保护法》（LGPD）将对个人数据的收集、适用、传输、删除等任何操作统一称为“个人数据处理”进行规范，除了数据主体同意外，还规定了9种个人数据处理的合法事由，如遵守法律和监管义务、公共部门需求或实现合同目的、履行对数据主体的义务、保护生命财产安全等。

（二）数据主体的控制权

CCPA指明，个人就其个人信息的使用和出售的控制能力对于隐私权而言具有基础性意义。GDPR 、CBPR等也都强调消费者对个人信息的控制权，赋予数据主体对个人信息的一系列控制权。如访问权，数据主体有权要求收集个人信息的数据控制者向消费者披露其收集的信息类别和具体内容；删除权，数据主体有权要求数据控制者删除其所收集的任何个人信息。数据控制者需要遵守的义务包括了需要根据数据主体要求披露收集了哪些消费者的个人信息，根据数据主体的要求删除相关数据；尊重数据主体选择不出售个人数据的权利，不得通过拒绝给消费者提供商品或服务，或对商品或者服务收取不同的价格或者费率的方式歧视消费者。

此外，GDPR还赋予数据主体对反对权和限制处理权，数据主体有权在特定情况下，随时反对处理其个人数据，可随时反对因商业目的的直接营销行为；数据主体在对被处理个人数据准确性提出质疑、不再为处理目的所需时可以要求要求（暂时）限制处理其个人数据，在限制处理期间，“标记的”个人数据只能由控制者存储。禁止进行其他与“标记的”数据有关的处理活动。数据控制者必须全面记录其数据处理活动，确保所有行动有据可查，包括数据处理目的、数据类型、数据接收者类别、保存时间、安全保障措施等，并保留有与数据处理者的合同附件。

（三）严格的处罚措施

CCPA与GDPR都对违规行为设定了较重的处罚。GDPR规定数据控制者会面临最高处以2000万欧元或上一财年全球营业额4%的行政处罚（以较高者为准）；而CCPA规定，由于数据控制者违反义务而未实施和维护合理安全程序以及采取与信息性质相符的做法来保护个人信息，从而遭受了未经授权的访问和泄露、盗窃或披露，则消费者可因以下任何一项而提起民事诉讼,数据控制者会面临支付给每位消费者最高750美元的赔偿金以及最高7500美元的损害赔偿金或实际损害赔偿金，以数额较大者为准。

三、主要区别

各国关于个人信息保护的差异性，主要体现在个人信息收集使用规则的严格程度上。

（一）个人信息的范围

CCPA和GDPR对于个人信息都作了较宽的界定，而CCPA对于个人信息的定义比GDPR更为广泛，是指能够直接或间接的识别、描述与特定的消费者或家庭相关或合理相关的信息，包括但不限于真实姓名、别名、邮政地址、唯一的个人标识符、在线标识符、互联网协议地址、电子邮件地址、生物信息、商业信息、地理位置数据以及教育信息等。一是CCPA将家庭、身份关联的和设备的信息纳入了个人信息的范畴。例如反映家庭年度用水或能源消耗或者特定员工的工作描述（IP地址、网络浏览记录等）也被规定为个人信息范畴。二是GDPR将构建数据主体的“概要语言”作为个人信息范畴，而CCPA有关消费者的推断也作为个人信息的一部分。个人信息包括“从本细分中确定的任何信息中得出的推论，以创建一个关于消费者的档案，反映消费者的偏好、特征、心理趋势、偏好、倾向、行为、态度、智力、能力和资质。”

（二）选择进入VS选择退出

在CCPA中，对于16岁以上的消费者的个人信息处理，采取美国一以贯之的“opt-out”模式（如《格雷姆-里奇-布莱利法案》和《控制未经征求的色情和营销攻击法案》也包含某些选择退出要求），即除非数据主体拒绝或退出，数据控制者可继续处理数据主体的个人信息。CBPR同样只审查数据控制者是否使数据主体在收集个人信息时能够行使选择权，并没有限定为选择进入的方式。

在GDPR、LGPD、我国《网络安全法》都采取（“opt-in”）模式，数据控制者收集、处理数据主体个人数据之前必须要获得消费者的同意，即选择进入；一是同意必须是在充分知情的前提下明确、清晰的、具体的方式自主做出的。数据主体同意是也必须明确的。GDPR规定，同意指“数据主体通过书面声明或经由一个明确的肯定性动作，表示同意对其个人数据进行处理。该意愿表达应是自由给出的（freely given）、特定具体的（specific）、知情的（informed）、清晰明确的（unambiguous）”。同意必须是在知情的情况下作出的，应以易于理解且与其他事项显著区别的形式呈现，不能对其意愿留有不明确的空间。如果数据主体的同意是在一个包含其他事项的书面声明中作出的，则该书面声明中的同意请求应当具有明显的辨识度，以便与其他事项进行区分。根据欧洲隐私监管机构组成的独立咨询顾问机构——第29条工作组（以下简称第29条工作组）的意见，不明确的同意不适用于基于不作为或者沉默取得同意的方式。LGPD规定，如果同意是以书面形式提供的，应区分于其他合同条款，并单独、重点显示。APEC跨境隐私规则（CBPR）要求要有清晰、易访问的隐私声明。二是数据主体有权随时撤回其同意。GDPR规定，数据主体必须在作出同意前被告知其撤回权，同意的撤回应当和同意的作出同样容易，撤回不影响在撤回前基于同意对其个人数据的处理。LGPD规定，同意可以通过便捷和免费的流程，随时被数据主体明确表示撤回。三是数据控制者对数据主体的“同意”承担举证责任。根据29号工作组对GDPR的解释，数据控制者应当能够证明数据主体已经同意处理其个人数据，也即举证责任是数据控制者的。LGPD规定，数据控制者有责任证明已依法取得数据主体同意。

（三）目的限定VS目的明确

CCPA保持了与欧盟个人数据保护法的最大差异,也即对产业利益的强烈关注。为了最大限度促进数据产业发展，美国在个人信息保护理念上更加注重对个人信息的利用，而非收集,对于收集采取目的明确的原则。正如美国的《大数据与隐私报告》指出：信息所具有敏感性，以及与一般商业活动、政府行政或者来自公共场合的收集中的大量数据的难以分割性，使得规制这些信息的使用比规制收集更合适。CCPA只强调消费者的知情权和控制权，只要消费者明确知道且同意其个人信息使用目的即可，而不将使用目的限定在实现业务功能所必须的范围内。此外，CCPA提出“财务激励计划”，赋予个人信息财产属性。数据控制者可以为个人信息的收集、出售或者删除提供财务激励，包括向消费者支付赔偿金。如果价格或差异与消费者通过提供其数据而产生的价值直接相关，数据控制者还可以以不同的价格、费率、水平或质量向消费者提供商品或服务。

而GDPR明确了目的限定原则和数据最小化原则，数据控制者收集信息必须基于特定、明确、合法的目的，且对于实现业务功能需求来说是最小必要的，除非符合公共利益、科学研究等正当目的，对其使用也要严格控制在此目的范围之内。同时，赋予了欧洲公民可以拒绝数据控制者利用搜集到的个人信息来进行自动判断和决策的权利，这给很多强调数据主体体验和个性化服务的大数据数据控制者和互联网数据控制者带来了商业模式上的冲击。

（四）行政监管VS消费者集体诉讼

不同于隐私权的私法属性，个人信息所具有的公共属性越来越明显，美欧都没有将个人数据得到保护的权利泛化为一般性的私法权利，而是采取公法保护或消费者权益保护的路径。GDPR、我国《网络安全法》主要以行政监管和处罚来规制数据处理者和控制者的个人信息收集使用行为，尤其是GDPR通过高额罚款形成震慑。CCPA采取消费者保护路径，将损害赔偿一事授予了个人，规定了私人诉讼权，同时限定为集体诉讼模式，通过赋予州检察长执法的专有权力和规定一些必须满足的条件，如对数据控制者进行书面违规通知，给予其30日解决违规行为的机会。

四、我国目前存在的几点问题

我国关于App收集使用个人信息规范主要在《网络安全法》《消费者权益保护法》《电子商务法》等法律法规中，大多为原则性规定，存在很多模糊地带，落地难度较大。

（一）尤其缺乏对应用商店和智能终端安全责任的规定。目前，应用商店为了扩充App产品，增强竞争力，对于上架App个人信息安全审核十分薄弱，造成违法违规App横行无阻。在某些情况下，智能终端本身系统设计对于App进行收集使用合规设计造成一定技术限制或较高成本。规制上述行为缺乏依据。

（二）必要性收集原则难以落地。App种类繁多、功能各异，并且App为了扩展业务范围不断扩充自身业务功能，其核心业务功能和附加业务功能的界限日益模糊。以改善数据主体体验、研发新产品为由不断扩展收集范围，每项业务功能所必须的个人信息范围难以统一界定。如何判断其是否超范围收集或收集与业务功能无关的个人信息是管理实践面临的难题。

（三）目前很多App是以收集数据主体信息进行自动化决策为其营利的有效手段，通过大量收集与数据主体有关信息开展广告推送等业务，方法和行为十分隐蔽，违规行为较难认定，如采取监管措施过严，将会对现有商业模式构成较大冲击。

（本文刊登于《中国信息安全》杂志2019年第4期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。