大数据时代下应用软件越界索权？处罚应再疼一点

大数据时代，个人隐私信息在万物互联的面前显得格外脆弱，安全威胁如影相随。从互联网信息爆发的那一刻，我们每个人都被数据化，在浩瀚的数据信息互联网中，我们已经不单单是个体，已经成为了数据包。其实从另一个方面来说，数据反而是最了解你的。

在智能手机越来越普遍的今天，各种各样的手机APP很轻易就能采集人们的衣食住行、消费习惯甚至个人隐私等信息。大数据的使用，在给网络精准营销带来极大便利的同时，也给消费者带来安全隐患。

图片来源于网络

在互联网时代，大数据在提供便利的同时也带来了隐私被泄露的潜在危险。身份证号码、手机号码、购买记录、行车路线等个人信息都在数据库里一览无余。“大数据杀熟”“大数据二次贩卖”等现象也层出不穷。

消费记录被购物App分析，出行住宿被旅行App掌握，行车线路也被导航App知道得一清二楚……在互联网大数据面前，普通用户几乎是“裸体”的，而一旦这些数据被泄露，后果不堪设想。更为严重的是，一些手机App从一开始的信息采集就是过度的。

作为移动互联网的主要接口，近年来 App 泄露个人隐私屡禁不止，个人信息频频 " 被裸奔 "。日前从国家计算机病毒应急处理中心获悉，该中心上半年通报下架的违法有害移动 App 达 638 款，其中，涉及隐私违规的有 531 款，占八成以上。

由中央网信办等四部门指导成立的 App 专项治理工作组 5 月发布的《App 违法违规收集使用个人信息专项治理报告（2019）》显示，截至2019年底，微信公众号“APP个人信息举报”共收到网民举报信息12125条，涉及2300余款APP。从举报量来看，前五大典型问题分别为：超范围收集与功能无关个人信息、强制或频繁索要无关权限、存在不合理免责条款、无法注销账号、默认捆绑功能并一揽子同意。对此，多位专家表示，泄露隐私已成为当前 App 的第一大问题。

在目前已经通报过的侵害用户权益行为的APP中，腾讯QQ、QQ阅读、新浪体育、小米金融、光大银行、房天下、微店、考拉海购等多个知名软件在列，人人视频、春雨计步器、微唱-原创音乐等APP还曾因未按要求完成整改被下架过。

值得注意的是，今年以来违法 App 的种类在发生变化。从国家计算机病毒应急处理中心下架的 App 来看，上半年，直播、社交、外卖、医疗、在线教育等 App 涉嫌侵犯个人隐私占到很大比重。

" 网络案件与 App 结合也越来越紧密，通过窃取公民通讯录、短信等隐私信息进行敲诈勒索、网络诈骗等案件高发。" 国家计算机病毒应急处理中心移动安全部部长张鑫说。更为严重的是，信息泄露开始从一般信息向生物识别信息蔓延，有些 App 尝试偷拍用户的人脸照片。

事实上，针对各软件侵犯个人隐私事件，我国各部门也采取了相对措施，发布实施了相关法律法律和处罚手段。如印发了《互联网个人信息安全保护指南》《APP违法违规收集使用个人信息行为认定方法》《信息安全技术个人信息安全规范》等，对App违法收集个人信息行为进行认定和治理。

然而，在专项治理的攻势下，App过度采集个人信息的问题并未得到遏制。在诸多法律法规以及专项治理之下，为何APP 侵害用户权益的行为仍时有发生？

梳理以往报道发现，目前对于此类事件处罚手段还是以行政处罚为主。《App 违法违规收集使用个人信息专项治理报告（2019）》显示，目前相关部门对 App 违法行为采取的惩罚措施主要有整改、通报、下架、罚款、查处、行政约谈等。

对此，中国信息安全研究院副院长左晓栋认为，这样的惩罚力度明显不够。我国相关部门在去年的一次行动中，查处 1400 多起案件的罚没款总额才 1946 万元，处罚手段也比较有限。

上海交通大学数据法律研究中心执行主任何渊等多位专家认为，目前相关部门对于违法违规收集个人信息的处罚手段有限，主要依靠企业自律，或是监管部门采取限期整改、约谈和下架等方式。虽然也有个别案件被立为刑事案件开展侦查，但总体来看，目前下架几乎是最重的处罚了。

与此同时，业内人士指出，用户个人信息带来的精准广告投放、个人信息的地下交易等，可以获得巨大收益，目前的罚款力度相对收益来说起不到太大的惩戒作用。在“数据为王”的时代，很多企业都把数据当做其最重要的战略资源，其中个人信息的价值尤其可贵，因此很多企业不惜触碰红线，“跑马圈地”。

此外，值得注意的是，当前APP个人信息保护相关法律还不健全，比如，刑法还没法对APP个人信息非法收集进行规制，立法层面能作为依据的只有《网络安全法》，但处罚力度又比较小；目前有不少部门规范性文件，但没有罚则，这也就意味着没有锋利的牙齿震慑这一类行为。

《网络安全法》规定：窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得1倍以上10倍以下罚款，没有违法所得的，处100万元以下罚款。

对此，何渊指出，上述条款对APP非法收集问题适用不足，比如违法所得无法判断，即便没有违法所得按照最高100万处罚，收益也远大于违规成本，而且实际上一般罚款只有十几万元，监管机构也不会顶格处罚。

事实上，如果执法不严、违法不究，法律法规只可能是空中楼阁，并不会产生预期的影响力与威慑力。

在业内人士看来，责令整改、罚款等处罚措施往往对一些违规App不能产生触动，“这次错了，下次还敢上榜单”的现象比比皆是。因此，处罚标准也应“就高不就低”，采取零容忍态度，让企业看到监管部门的整治决心。

“违法成本低，监管难度大成为当下监管App违规行为的主要难题。”中国传媒大学文化产业管理学院法律系主任郑宁表示，“工业和信息化部如果仅依据相关部门规章进行处罚，只能予以警告和处以一定数额的罚款(通常是3万元以下)，这种处罚力度对违反者而言成本很低。”

而现实是，某些企业往往从所谓“经济人理性”出发，对盗用、滥用乃至交易用户隐私、数据等权益所获取的利益与所带来的法律后果进行对比，一旦发现违法成本过低，就会将侵犯用户权益异化为本小利大的稳赚生意，从而屡禁不止。

鉴于一些重要 App 与网民生活息息相关，已经成为手机的 " 基础设施 "，下架有一定难度，专家认为，监管部门要针对互联网企业的体量加大经济处罚力度，大幅提高罚款金额，既让企业有痛感，又不会影响网民生活。同时，监管机构要细化裁量基准，做出相应处罚。

面对APP违法违规收集使用个人信息的乱象，一是尽快完善隐私保护的法律体系，可以借鉴欧盟《通用数据保护条例》（GDPR）中对何谓有效的“个人同意”严格要求，明晰过度采集行为的责任范围。

GDPR对数据控制者或数据处理者的行政罚款分为轻重两类。较轻的一类，处罚上限也高达1000万欧元或全球营收的2%之中的高者（针对不需要识别的处理规定，以及一般性义务等）；较重的一类是2000万欧元或全球营收的4%之中的高者（针对违反处理个人信息的原则，数据主体权利等）。

如，去年1月21日，法国政府以违反欧盟网络隐私规范为由，对谷歌公司开罚5000万欧元(约5700万美元)，创下对单一美国科技巨头开出此类罚款的最高纪录。而美国联邦贸易委员会（FTC）此前与Facebook达成了50亿美元的罚款协议，终结FTC对Facebook致8700万用户信息泄露事件的调查等。巨额罚款之后，扎克伯格表示2020年将把隐私问题作为一个工作重点。

二是建立全链条的个人信息保护机制，用户侧提高安全意识、终端侧增强设备信息防护能力、应用分发服务商完善应用审核和上架机制、移动应用产业落实主体责任、执法部门加强对违规APP和新应用的监管。

另外，除了违法成本低的问题外，监管部门还面临企业用户双方需求难以平衡的困境。北京师范大学法学院教授刘德良认为，个人信息和个人隐私要作区分，互联网搜索信息偏向等数据属于正常的个人信息片段，企业收集这类信息后只要不进行电话骚扰，合理推送广告和产品推荐并不属于隐私侵犯。【资料来源：新京报、《财经》新媒体、新华视点、工信部官网等】