第二章  大数据时代个人信息安全保护



             适用于APP隐私政策合规审查的操作指南，实践中APP运营违规违法收集使用用
             户个人信息的情况不断发生。同时，由于APP隐私政策的篇幅比较长、内容比较
             枯燥，会有不少用户并不会对其进行仔细阅读和研究，APP运营者一般会将涉及

             用户个人信息收集及其使用的条款隐藏在其中，并以此获得用户准许收集个人信
             息的授权。此外，部分APP甚至会使用“霸王条款”，即用户要想获得其服务必
             须无条件允许其对自身个人信息进行收集和使用。这些也使得APP隐私政策从保
             护用户个人信息的“安全协议”逐渐沦为了APP运营者谋取自身利益、不断过度

             索取用户个人信息的“卖身契”。而现有的关于APP用户个人信息保护的政策建
             议，大多局限于用户本身或者政府，对APP隐私政策的政策建议尚属少数，尤其
             是对其合规性的研究关注较少。
                 2.违规违法收集行为监督有待加强

                 虽然《APP违法违规收集使用个人信息行为认定方法》中已经对APP收集使
             用用户个人信息行为进行了认定并精细划分为了六种违规违法行为，强化了监督
             执法过程中的可操作性，但是违规违法收集使用用户个人信息的行为并没有因此
             得到减少。究其原因来看，政府对APP收集使用用户个人信息行为的监督管理力

             度不够，还需要来自多方的监督。
                 3.个人信息保护责任意识仍有待加强
                 近年来，关于APP违规违法收集使用用户个人信息的报道此起彼伏，例如
             Facebook信息泄露、数据堂违规违法收集使用百亿条用户个人信息、新三板挂牌

             公司窃取30亿条用户个人信息、华住酒店5亿条用户个人信息被违规违法收集使
             用并在暗网中标价销售等，在2020年新冠肺炎疫情期间，又爆出个别APP利用疫
             情防控二维码违规违法收集使用6，000余用户的个人信息并进行泄露的问题。
             这些报道一方面说明APP违规违法收集使用用户个人信息行为是普遍性问题，另

             外一方面也说明APP运营者责任意识淡薄。即使国家相继发布了一系列的国家
             标准用于进一步明确责任主体和强化个人信息保护意识，例如在国家标准《GB/
             T35273—2017信息安全技术个人信息安全规范》和最新发布即将完全替代前者
             的《GB/T35273—2020信息安全技术个人信息安全规范》中均对责任部门与人员

             进行了明确，而后者也在前者基础之上对多项业务功能的许可选择、用户画像的
             使用规则、第三方接入管理、个人信息安全工程和个人信息处理活动记录等进行
             了再规定并从多方面对企业应当承担的义务和责任进行了解读，但是仍然有许多



                                                                                  ·63·