中共中央党校(国家行政学院)主管
学习时报社主办
理论视点 学习评论
|
思想理论
|
党的建设
|
民主法治
|
党史国史
|
经济社会
|
领导论苑
|
高端智库 读书治学
|
文化教育
|
生态文明
|
学习文苑
|
当代世界
|
科技前沿
|
文史参阅
|
首页 >> 民主法治 >> 正文
防止互联网应用程序违规收集个人信息
来源:学习时报     作者:钟明亮     2026-07-01 09:01
字体:

  我们有时会遇到这样的情况:在公共停车场扫码缴费,却被强制要求注册、登录,并提供手机号等个人信息;下载修图软件,却被要求获取精确的地理位置;关闭某个应用的定位权限后,界面却反复弹出请求,令人不胜其扰;等等。互联网应用程序在提供便利的同时,也带来违规收集个人信息的问题,亟待进一步规范。今年以来,相关部门在规范应用程序个人信息收集使用方面持续发力,《互联网应用程序个人信息收集使用规定(征求意见稿)》已向社会公开征求意见,中央网信办近日对30款应用程序个人信息收集使用问题进行了通报。互联网应用程序违规收集个人信息及由此带来的信息泄露、滥用等风险,已成为普遍关注的议题。

  互联网应用程序之所以容易成为侵犯个人信息权益的载体,一个重要原因是其运作机制对普通用户不够透明。根据《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)等法律的规定,处理个人信息应当取得个人同意,且该同意应当是在个人充分知情的前提下自愿、明确作出的。但在实际中,这一要求常常难以落实。多数用户面对篇幅冗长、内容晦涩的隐私协议,如不同意,便无法使用该应用,如果同意,则意味着对协议全部条款的一揽子接受,无法就具体条款作出选择或协商。这使用户的知情权与选择权在实质上被大幅压缩。《常见类型移动互联网应用程序必要个人信息范围规定》明确了常见互联网应用程序的必要个人信息范围,要求移动互联网应用程序不得因用户不同意提供非必要个人信息而拒绝其使用基本功能服务。但实际上,有的应用程序在完成主要业务功能的同时,以优化体验、推送资讯等名义,在后台持续采集用户的行为轨迹数据。即便用户没有主动开启应用,某些内嵌的软件开发工具包仍在读取设备上的应用列表、剪切板内容甚至通话状态。这种超范围、高频次的信息采集,实际上已经越过了个人隐私的边界。解决这些问题,需要在法律框架下进一步完善制度设计。

  细化规则,把“告知—同意”落到实处。“告知—同意”是个人信息处理的基本规则。这里所要求的“告知”,不应只是形式上的告知,更应当是实质上的可理解。当前,不少应用程序的隐私协议虽然篇幅很长,但核心条款被淹没在大量法律术语和格式化表述中,用户实际上难以真正了解自己的数据将被如何收集、如何使用、与谁共享。根据《中华人民共和国民法典》关于格式条款的有关规定,提供格式条款的一方应当“采取合理的方式提示对方注意免除或者减轻其责任等与对方有重大利害关系的条款”。对于位置、人脸、通讯录等敏感信息的收集,仅靠隐私协议末尾的一揽子勾选,尚未达到合理提示的标准。下一步,有必要探索分级分类的告知机制。对于敏感个人信息的收集,可采用弹窗、图示等更为直观的方式单独告知,并设置独立于一般服务条款之外的确认选项,确保每一次敏感信息的使用都源于用户在充分知情前提下的明确授权。同时,应当明确告知内容的具体要求,包括收集目的、处理方式、存储期限、可能带来的后果等,使用户能够真正理解并作出判断。

  进一步明确互联网应用程序相关各方的责任。应用程序的功能实现往往依赖多个第三方软件开发工具包(SDK)的共同作用,涉及运营者、SDK提供者、分发平台等多个主体。用户在使用应用程序时,嵌入其中的多个SDK可能同时处于运行状态并收集相关数据。实践中,当违规收集个人信息的行为发生时,用户往往难以分清究竟是哪个环节出了问题。我国法律法规对数据处理者的责任作了规定,但具体到互联网应用程序领域,各参与主体之间的责任边界还不够清晰。《互联网应用程序个人信息收集使用规定(征求意见稿)》提出,互联网应用程序运营者对嵌入的软件开发工具包、分发平台运营者对分发的互联网应用程序、智能终端厂商对预置的互联网应用程序依法履行审核义务。依据这一要求,可进一步推动建立SDK的备案管理和安全认证制度,要求SDK提供者公开数据收集使用规则,接受安全审查,有效压缩灰色地带的存在空间。

  增强处罚的威慑力度。针对违法处理个人信息,或者处理个人信息未履行个人信息保护义务的行为,我国法律规定了最高五千万元或者上一年度营业额百分之五的罚款。这一规定虽然严厉,但从执法司法实践来看,大量违规行为主要以约谈、责令整改等方式处理,违法成本往往远低于违法所得。在行政监管层面,除了依法适用罚款之外,还应综合运用暂停更新、下架处置、列入失信名单等措施,形成梯次递进的监管手段,根据违规行为的性质和严重程度,采取更为匹配的处理措施。在司法层面,对于大规模、持续性的个人信息权益侵害行为,应当通过更加严厉的司法制裁,让违法者为其行为承担应有的法律后果。同时,对于已经查处的违规行为,应当加强后续跟踪,确保整改到位,防止同类问题反复发生。

  畅通用户维权渠道。现行法律赋予了用户查阅、复制、更正、删除等多项权利,以及受到权益侵害时提起诉讼的权利。但在现实中,由于维权成本高、取证困难、损害难以量化,大量侵权行为并未进入法律救济程序。个人信息侵权案件中,用户往往面临信息不对称的情况,要证明应用程序存在违规收集行为、证明该行为与自身损害之间存在因果关系,面临较大的举证困难。最高人民法院在审理个人信息相关民事案件的司法实践中,已对举证责任分配作了探索,要求信息处理者对其行为符合法律规定承担更多的举证责任。在用户完成初步举证后,由信息处理者来证明其处理行为符合法律规定。同时,考虑到个体诉讼往往面临维权成本高、实际获赔数额较低的困境,《个人信息保护法》确立了个人信息保护公益诉讼制度,明确人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法提起诉讼。下一步,应当进一步完善相关主体提起公益诉讼的程序规则,使这一制度在个人信息保护领域发挥更大作用,使用户能够以较低的维权成本获得有效的法律救济。

  (责编:杨洋)

【版权声明】凡来源学习时报网的内容,其版权均属中央党校报刊社所有。任何媒体、网站以及微信公众平台在引用、复制、转载、摘编或以其他任何方式使用上述内容时请注明来源为学习时报网