随着大数据时代的到来，企业掌握的用户数据决定了企业在互联网领域的核心竞争力。于是，用户数据作为重要资源，成为各互联网企业竞相争夺的核心资产。移动互联网应用程序（APP）作为用户接受产品和服务的平台，在数据收集上发挥着至关重要的作用，是互联网企业收集用户数据的重要载体。但同时，部分互联网企业未重视数据收集的合规操作，导致移动互联网应用程序（APP）在用户数据收集中大量存在强制授权、过度索权、超范围收集个人信息的现象，广大网友对此反应激烈。

为保障个人信息安全，维护广大网民合法权益，中央网信办、工业和信息化部、公安部、市场监管总局联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》（以下简称为“APP专项治理公告”），决定在全国范围开展APP专项治理活动。公告一出，引起互联网企业的普遍担忧，多数企业担心自身的不规范操作会招引法律处罚，甚至对于如何开展合规整改无从下手。为缓解企业担忧，本文尝试对APP专项治理公告进行解读，并在解读的基础上，指出APP违规收集个人信息的法律风险，同时有针对性地提出企业在开展APP自我整改中的合规建议。希望本文能对互联网企业的合规整改有所帮助。

一、APP专项治理公告的解读

2019年1月25日，中央网信办、工业和信息化部、公安部、市场监管总局在北京联合发布APP专项治理公告，该公告于2019年1月23日生效，专项治理时间为期1年。公告具体内容如下：

首先，公告第1点开宗明义指出此次专项治理所要达到的目的，即要求APP经营者合法合规收集用户数据，同时鼓励APP经营者自愿进行合规认证。[①]其次，为了贯彻落实专项治理的目的，公告第2点指出主管部门拟委托全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会编制APP合规操作指南，并组织专业机构对APP经营者进行合规评估。[②]最后，公告第3点指出有关主管部门如果发现APP经营者违规收集用户数据，可以责令APP运营者限期整改；逾期不改的，公开曝光；情节严重的，依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。[③]

 从上述公告内容来看，此次专项治理活动看似只是寻常的例行整治，但是，仔细研究会发现，此次发布公告的主体为中央网信办、工业和信息化部、公安部、市场监管总局，然而上述内容的实施主体几乎不涉及公安部的相关职责。例如公告第1点是对APP运营者的要求，不涉及主管机关；公告第2点规定编制APP合规操作指南并进行评估的有关协会，其中全国信息安全标准化技术委员会、中国网络空间安全协会主要受中央网信办委托，[④]中国互联网协会主要受工信部委托，[⑤]中国消费者协会主要受市场监管总局委托，[⑥]内容并不涉及公安部职责；公告第3点对于APP运营者的违规行为，所作的处罚措施，无论是整改、暂停业务、吊销许可证或营业执照，基本上是市场监管总局的职责，同样不涉及公安部职责。    

既然公告的诸多内容都不涉及公安部职责，为何公安部是公告的联合发布主体呢？笔者仔细研究公告后发现，公告第4点开辟专门条款，单独列出公安部的职责，即“公安机关开展打击整治网络侵犯公民个人信息违法犯罪专项工作，依法严厉打击针对和利用个人信息的违法犯罪行为。”请注意条款中“专项工作”“严厉打击”的提法。“专项工作”是否意味着公安部将在四部门专项收集APP运营者违规操作的信息的基础上，再开展“严厉打击”的专项行动呢？属于四部门专项行动之内公安部另有的专项行动？

笔者认为此种设想并非没有道理，须知公安部打击违反收集个人信息的专项活动早已有之，且逐年呈现高压态势。同时按常理推测，公安部完全可以在公告第3点直接携手市场监管总局，和市场监管总局一道对APP运营者的违规行为作出行政或刑事处罚，没必要独设条款。此次公安部将专项活动融入和其他部门的合作当中，同时独设条款，笔者认为一方面有利于使收集互联网企业违规操作的材料更快速便捷，另一方面收集的证据更全面和规范，有利于覆盖更广的打击面，同时打击点更准、更有力度。因此笔者认为互联网企业须提高警惕，正视APP专项治理公告潜在的威力，切莫阴沟里翻船。

二、个人信息保护呈现“刑法先行”态势

为了体现笔者解读APP专项治理公告具有较高的可信度，笔者对近年来个人信息保护的数据材料进行规范梳理，研究发现，近年来个人信息保护确实呈现“刑法先行”的态势。

（一）个人信息刑事保护尤为突出

1.对个人信息保护的刑事立法

《刑法修正案(七)》第7条规定：增订《刑法》第253-1条，新增出售、非法提供公民个人信息罪和非法获取公民个人信息罪，[⑦]而后《刑法修正案(九)》第17条对第253-1条做了修改，将原本两罪名修改为侵犯公民个人信息罪，[⑧]此后侵犯公民个人信息罪一直沿用至今。个人信息保护的罪名演变详见下表：
 
表1：个人信息刑事保护的内容演变情况

《刑法修正案(七)》第7条（2009年）	《刑法修正案(九)》第17条（2015年）
国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。 窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。 单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。	违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。 违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。 窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。 单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

资料来源：笔者自制，2019年3月
 
从上表个人信息刑事保护的演变可以看出，国家在对个人信息保护的力度越来越大。例如，在犯罪主体上，由原来的特定主体（国家机关或者金融、电信、交通、教育、医疗等单位的工作人员），变为一般主体，打击范围得到扩大；在定罪量刑上，由原来“3年以下有期徒刑或拘役”变为“情节特别严重，处以3-7年有期徒刑”；同时加重互联网公司等机构的责任，规定其在履职或提供服务侵犯个人信息，将被从重处罚。对此互联网公司应尤为重视。

2.对个人信息保护的刑事打击

笔者在中国裁判文书网，以“侵犯公民个人信息罪”为关键字，共检索到4522起刑事案件，其中案件数的分布情况为：2015年为23件，2016年为442件，2017年为1513件，2018年为2405件，足见国家对个人信息刑事保护的力度逐年增加。笔者按照各级法院对个人信息保护的审理情况进行划分，得出如下的分布图：

 
图1：2015-2018年各级法院对个人信息保护的审理情况
资料来源：笔者自制，2019年3月
 
从上图可以看出，2015年案件基本在基层法院审理，2016年中级法院开始审理部分案件，2017-2018年高等法院和最高法院开始审理个人信息保护的案件，并且案件量呈现逐年增加的趋势。须知法院审级越高，说明案件的严重性和社会影响力越大。由此可以看出，个人信息保护的案件量不仅逐年攀升，而且社会影响性逐年增强，近两年甚至已经惊动最高院，个人信息保护的刑事保护力度逐年加强的程度可见一斑。

3.对个人信息保护的案件指导

经过整理，笔者发现近年来权力机关发布指导审理个人信息保护案件的指引性文件的频率很高。例如，最高检于2018年11月印发《检察机关办理侵犯公民个人信息案件指引》，最高检与最高法于2017年6月联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。同时公检法部门纷纷发布指导案例，例如2017年5月最高检发布6起侵犯公民个人信息犯罪典型案例，[⑨]2017年5月最高法发布7起侵犯公民个人信息犯罪典型案例，[⑩]2016年公安部发布10起侵犯公民个人信息犯罪的典型案例和8起网络侵犯公民个人信息犯罪典型案例[11]。可见公检法部门对个人信息保护十分重视。

（二）个人信息民、行保护整体上“供应不足”

笔者通过检索，梳理了近年来民事法和行政法对个人信息保护的法律文件，通过研究发现，相比体系较为完善的个人信息刑事保护，个人信息在民事法和行政法上的保护出现内容分散、领域杂乱，整体上呈现“供应不足”的局面。具体检索情况详见下表：

表2：涉及个人信息保护的民事法和行政法等规范性文件检索概观

规范性文件名称	法律规定	效力层级
《中华人民共和国民法总则》（2017.10发布）	第110条、第111条	法律
《中华人民共和国侵权责任法》（2010.07发布）	第2条、第62条	法律
《中华人民共和国消费者权益保护法》（2013.10修改）	第29条、第50条、第56条	法律
《中华人民共和国统计法》（2009.06修改）	第9条、第39条	法律
《中华人民共和国居民身份证法》（2011.10修改）	第6条、第13条、第19条、第20条	法律
《中华人民共和国商业银行法》（2015.08修改）	第29条	法律
《中华人民共和国执业医师法》（2009.08修改）	第22条、第37条	法律
《中华人民共和国网络安全法》（2016.11发布）	第四章“网络信息安全”	法律
《中华人民共和国邮政法》（2015.04修改）	第3条、第36条、第64条	法律
《中华人民共和国未成年人保护法》（2012.10修改）	第39条、第69条	法律
《中华人民共和国母婴保健法》（2017.11修改）	第34条	法律
《中华人民共和国妇女权益保障法》（2018.10修改）	第42条	法律
《中华人民共和国传染病防治法》（2013.06修改）	第12条、第68条	法律
《中华人民共和国律师法》（2017.09修改）	第38条	法律
《中华人民共和国电信条例》（2016.02修改）	第65条	行政法规
《征信业管理条例》（2013.01发布）	第3条	行政法规
《快递暂行条例》（2018.03发布）	第4条	行政法规
《保安服务管理条例》（2009.10发布）	第25条、第30条、第43条	行政法规

资料来源：笔者自制，2019年3月

从上表可以看出，个人信息并没有设置专法进行保障，除了《网络安全法》开辟专章规范网络信息安全外，其余的法律均是零散的条款规定，不成体系。同时，个人信息的保护内容较为分散，保护的领域有金融行业、互联网行业、律师行业、母婴行业、物流行业等行业，领域较为混乱，并且各个领域的保护力度也明显不够。整体而言，个人信息在民事法和行政法上保护不成体系，规范密度不足。

三、对企业开展APP自我整改的合规建议

从上文可以看出，近年来国家对个人信息保护主要以“刑事处罚”为先。笔者认为此次的APP专项治理尤为要注意公告第4条公安机关的专项治理任务，但同时也不能忽视市场监管总局的行政处罚。辨证来看，此次的整改也是促进互联网企业合规经营的契机，互联网企业应认真对待此次APP自我整改的合规工作，趁此机会，一劳永逸地解决掉APP运行中违规收集个人信息的隐患问题。对此，笔者在下文提出APP自我整改的几点合规建议，以供互联网企业参考。

（一）增强底线思维，勿触碰刑事高压线

APP专项治理公告第4点明确指出公安局要开展专项行动，“依法严厉打击针对和利用个人信息的违法犯罪行为”。此处所谓的“依法”主要依据《刑法》第253-1条开展打击活动。其中，《刑法》第253-1条规定了“侵犯公民个人信息罪”的构成要件和违法后果，而对于如何判断“个人信息”，怎么理解“情节严重”“提供”“出售”等词的含义，最高检和最高法联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》都有对应的说明。笔者认为互联网企业应增强底线思维，牢固树立刑法底线不能逾越的理念，熟悉《刑法》第253-1条及对应的司法解释的内容，勿违反刑法的明文规定。

（二）遵循操作指引要求，自我逐项核查

据悉，全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会已经成立了APP专项治理工作组，并且编制了“App违法违规收集使用个人信息自评估指南”“App违法违规收集使用个人信息评估要点和操作规程”和“大众化应用基本业务功能及必要信息规范”等技术规范。互联网企业可依据此类技术规范的指引要求，对APP逐项进行核对查验，发现一起，落实一起，压实合规工作，以自信的姿态迎接潜在的评估工作。

笔者通过研读APP专项治理工作组编制的合规操作指南，归纳以下几点合规事项，可供参考：

1.完善隐私政策。APP运营者应设置隐私政策，并且隐私政策应以单独成文的形式发布。在进入APP主功能界面后，用户通过4次以内的点击就能访问到隐私政策。同时隐私政策应通俗易懂，便于阅读。

2.保障互联网用户的权利。APP运营者应支持互联网用户注销账号，并保障用户访问、更正或删除个人信息的权利。同时APP上应设立用户申诉机制，及时反馈用户申诉。

3.收集个人信息应遵循合法、正当、必要的原则。APP运营者收集的个人信息不应超过隐私政策所述范围，同时不应该收集与业务功能无任何关系的个人信息；如果收集与业务功能无必要关系的个人信息应征得用户同意。

4.收集个人信息应征求用户同意。APP运营者应明确告知用户收集哪些信息，并应经用户自主选择同意，不应存在强制捆绑授权行为。同时APP上应建立年龄认证机制，对于不满14周岁的未成年人，应征得其监护人的明示同意。

（三）完善内部管理章程，加强对员工的培训

互联网企业除了需要增强勿触碰刑法高压线的底线思维，以及根据可操作性的合规指引对APP进行逐项核查外，笔者认为互联网企业还应该完善内部的管理章程，加强对员工的规范培训。例如公司章程中应明确其法定代表人或主要负责人对个人信息安全负全面领导责任；任命个人信息保护负责人和个人信息保护工作机构，个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任；建立、维护和更新所收集、使用的个人信息处理活动记录；定期组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程等。同时企业须妥善保管内部管理章程、培训材料、个人信息处理活动记录，以及按时保留及备份网络日志，以作为企业出现法律风险时的抗辩证据。