光明日報：App專項治理草案是有益的立法嘗試

　　據報道，近日，由中央網信辦、工信部、公安部和國家市場監督管理總局指導下的App專項治理工作組在個人信息安全評估基礎上，起草了《App違法違規搜集使用個人信息行為認定方法（征求意見稿）》（以下簡稱草案），開始向社會公開征求意見。草案將App違法違規搜集使用個人信息的行為歸納成七大類別等30多種具體表現形式，這在世界范圍內都是首次將App個人信息保護違法違規行為類型化的立法嘗試。

　　移動互聯網時代已經到來，以數據為基礎的大數據經濟演化出算法科學、人工智能技術、雲計算應用、人臉識別等新形態，開始不斷沖擊老舊法律保護體系。互聯網發展到下半場，某些負面效果早已顯現，包括精准詐騙、數據霸權、數據掠奪、網絡攻擊、數據安全等問題已經出現。在互聯網下半場中，個人信息的側重性保護成為維護網絡安全和網民合法權益的重要抓手。

　　上述草案用列舉的方式歸納的30多種App違法違規搜集使用個人信息的類型，基本涵蓋了目前App個人信息保護的各個角度。草案規定的七大違法違規類別，有兩大部分回應了大眾關切的現實問題，是此次草案的亮點所在。

　　一是區分了大數據與個人信息的本質差別。目前學界普遍認為，大數據是知識產權范疇，個人信息是隱私法保護范疇，二者性質不同，稍有混淆，就可能導致產業發展與個人隱私保護的南轅北轍。

　　數據信息不能作為知識產權的客體，數據信息概念太大，既包括大數據，也包括個人信息，前者性質是知識產權無疑，但后者屬於隱私法律體系。從網絡平台採集的數據看，直接或間接不能識別到個人身份的信息屬於大數據，所有權性質應為數據處理者——即網絡平台。對於那些直接或間接可以識別到個人身份的信息屬於個人信息，所有權人隻能是用戶。

　　目前我國法律並沒有對大數據范圍作出具體描述，但《網絡安全法》對個人信息的界定已經非常明確，就此引申，除了個人信息之外的不能識別到自然人身份的數據，其中很大部分應屬於大數據，即知識產權性質，這部分數據的所有權歸屬應納入到另一個法律框架。

　　草案的第五大部分，以是否進行數據“匿名化”處理，即所謂“脫敏”處理作為判斷數據處分合規的重要標准之一，這樣的規定是符合大數據時代發展方向的。當然，數據脫敏的相關標准國家也有具體文件，這塊行業行規落實情況標准情況也不盡相同，實踐中存在數據匿名化的“可逆性”技術，這就需要立法進一步進行規范。

　　第二個亮點就是確立了用戶對個人信息的絕對控制權。用戶對自己個人信息的絕對控制權體現在幾個方面。一是確立被遺忘權。草案進一步明確了全國人大常委會對“一法一決定”的考察調研結論，要求網絡經營者必須尊重用戶注銷賬號的權利，尊重用戶更改、刪除個人信息的權利。關於“沉睡的賬號”個人信息泄露問題屢見報端，賦予用戶注銷權無疑是治理個人信息的重中之重。二是明確了開放平台模式中用戶對自我個人信息的控制權。草案中再次加以明確，未經用戶再次同意，平台不能用一攬子等協議蒙混過關。三是凸顯了用戶對個人信息的自我決定權。包括充分告知的倫理責任、處分權限、二次同意模式、賬號注銷、信息更正等權限在內，草案通篇都在構建用戶對自己信息的自我決定的權利。從這個角度講，未來民法典人格權法編中的個人信息權確立，其范圍至少在App領域已經得到充分的擴張，法律基礎與技術發展都融合到草案之中。

　　 （作者：朱巍，系中國政法大學傳播法研究中心副主任、中國消費者協會專家委員會委員）