从顶层设计看,我国网络个人信息安全主要是由法律、行政法规以及行政规章三个层级规范织就的公民个人信息保护法网给予保障。以《网络安全法》、《全国人民代表大会常务委员会关于维护互联网安全的决定》《电信和互联网用户个人信息保护规定》等为主干的网络安全法制体系,规范层级全,覆盖面广,可问题也不少:专门立法整体层次低,碎片化立法现状,缺乏统一执法专责主体,个人信息保护法缺位。较低的立法层级削弱了权威性,较窄的立法内容不适应监管需求。这种以部门规章为主的立法格局,导致我国网络安全立法部门化倾向明显,相关制度之间缺乏协调沟通,甚至各自为政、多头管理。[ 参见赵志云、崔海默:《美国网络安全新近立法及对我国的启示》,载《学术交流》2017年第6期,第137页。]而此种立法格局下,APP立法规范目前仅有国家互联网信息办公室出台的《移动互联网应用程序信息服务管理规定》和北京出台有专门规范APP地方性规范。个人信息保护顶层设计问题尚且如此突出,更遑论APP个人信息安全有效保障。
从主体关系看,按照《移动互联网应用程序信息服务管理规定》,APP开发商和经营者统称为提供者。不过,APP本质上为应用商店中的网络服务产品,用户使用APP仍是一种消费者为生活消费需要购买、使用商品或者接受服务的消费行为,我国《消费者权益保护法》应予适用。通常情况下,APP开发商、运营者、用户,即分别为生产者、经营者、消费者。APP开发商作为产品生产者,APP应用商店和其他经营者作为产品经营者,当用户下载使用APP时其生产者、经营者就应承担相应产品责任。移动终端制造商与APP开发商预置APP,且很多无法卸载;有些APP没有关于应用权限服务协议,直接要求用户授权获取个人信息;更多的APP是没有应用权限详细说明,或者是捆绑式获取权限。这些行为本身就是借助技术手段强制交易和附加条件剥夺用户合法权益的非法行为,严重侵犯了《消费者权益保护法》规定的消费者享有自主选择、公平交易的权利。[ 参见《中华人民共和国消费者权益保护法》第9条、第10条、第16条、第26条。]从这个角度看,《消费者权益保护法》与《网络安全法》对用户或消费者个人信息的保护达致高度默契和统一。[ 参见《中华人民共和国消费者权益保护法》第29条、《中华人民共和国网络安全法》第22条及第41条。]只是,《消费者权益保护法》这些规定并未在APP执法实践中引起重视,权责不清以及各自为政问题再次显现,致使用户或消费者个人信息保护立法资源显得多余又浪费。[ 2018年6月13日,工信部发布2018年第2号电信服务质量通告,对于46款涉及强行捆绑推广软件、非法收集、使用用户个人信息等问题的APP,仅仅采取上“黑名单”和下架措施,没有进一步追究其法律责任。]
从具体内容看,APP作为第三方应用程序属于网络服务提供者,这一特殊网络服务提供者在获取个人信息权限方面有何合法权利,有何义务限制,需要逐一明确。一方面,我国现行《宪法》没有公民个人信息权受保护的母条款,只有与此相关的人格尊严、住宅安全、通信自由秘密受保护的规定。[ 参见《中华人民共和国宪法》第38条、第39条及第40条。]且,我国民法立法对个人信息权的权利明文化不彻底,权利内涵不完整,列举式立法技术有碍个人信息周延保护,在个人信息保护的基本原则和个人信息处理方式上均采用列举式规定,而对于个人信息保护立法广为通行的目的限制原则以及“互联”“对比”限制等未有涉及。[ 参见杨翱宇:《我国个人信息保护的立法实践与路径走向》,载《重庆邮电大学学报》(社会科学版)2017年第6期,第46页。]另一方面,《民法总则》第111条、《网络安全法》第41条、《消费者权益保护法》第29条以及《移动互联网应用程序信息服务管理规定》第7条第(二)项个人信息保护条款,仅仅具有宣示性,此条不完全法条,在构成要件和法律效果上尚待补充解释以及和其他法律条款通力合作,始能在具体的法律适用中完成“保护个人信息”之目的,从而不流于宣示性条款之空洞。[ 参见杨芳:《个人信息保护法保护客体之辨——兼论个人信息保护法和民法适用上之关系》,载《比较法研究》2017年第5期,第77页。]这表明,我国个人信息保护陷入重复宣示性恶性循环,APP应用权限更无法有明确边界,个人信息安全管理义务内容残缺不全,因而其应用权限溢出效应明显也绝非偶然。这种宣示性义务规范,缺乏具体有效的可操作规则,难以进行违规惩罚与制裁,立法和司法无力进一步回应,使个人信息安全保护义务实际上仍处于完整有效规则缺失状态。