《个人信息保护法》出台，我国迎来了个人信息保护新时代。相比世界许多国家，我国《个人信息保护法》似乎有些姗姗来迟，但是晚到有晚到的好处，可以广收并蓄、后来居上、更加成熟。一个重要体现，就是它对于数字化网络信息活动的基本规律，把握可谓更加深刻而精准，特别是对于业界对于个人信息的合理需求和正当处理的方式，具有比较妥当清晰的理解，同时也对个人信息的各种公开、隐蔽乃至变态的加害、危害，有着更加完整而实际的认识，进而在精准施策治理上能够切中要害，一针见血。

　　其中一个鲜活例子，就是《个人信息保护法》对于APP（智能手机第三方应程序）戕害个人信息乱象的治理施策。近年来，随着智能手机的普及和移动数字化，APP应用越来越活跃，极大方便了以提供必要个人信息为条件的数字化产品和服务的开发和运营，进而带来了数字经济和社会的更加繁荣，但是滥用APP对于个人信息做出加害或危害的情况也是不胜枚举，出现了许多不必要的强制或者过度收集、处理个人信息的现象。例如，使用打车APP必须绑定社交账号，下载导航APP需要获取通讯录，安装视频需要对话记录授权等等，否则，相关产品或者服务的提供就会出现障碍，甚至拒绝。这些实际上就是强制索取或者过度索取个人信息，不仅使得个人丧失了对于个人信息的决定权，也容易导致基于个人信息的不公平实践，而且还可能给个人人身、财产权利带来危害。

　　显然，这些APP滥用是明显违法的个人信息处理活动，遗憾的是过去立法并没有明确做出定性规定。法律模糊的情况下，受害个人自己诉求救助，在数字业者赢者通吃的时代，明显乏力；相关管理部门多年来虽然不时地采取行动，但苦于没有明确的关于APP滥用的违法定性和行动授权，收效有限。这就使得APP滥用难免持续泛滥，甚至在一些习惯恶性竞争的环境中进一步恶化，甚至滋生了很多难以名状的后果。

　　《个人信息保护法》很好地直面回应社会呼声，对于APP涉及到的个人信息保护问题给予了特别关注，充分认识到对APP的合理化规范治理之于个人信息保护的实际意义，为此，在深入研究的基础上形成了一套绵密而合乎实际的法律解决方案。总体上，体现为“设定个人信息处理者的行为规则+赋予保护部门的管理职责+确立相关特殊法律责任”的三重治理体系。

　　一是，明确设定个人信息处理者的相关行为规则，体现为明确个人信息处理者进行处理行为时的特殊义务。第二十六条规定，“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。”这就对包括利用APP在内的处理个人信息活动，明确提出了非基于提供产品或服务本身的必要，不得强制个人交出多余的个人信息的基本要求。这也是个人信息处理者的一项基本义务。这一规定，显然为现实中评价用包括利用APP在内的各种形式的强制收集或非必要的过度收集，提供了明确法律依据，即，这些处理活动无论是强制还是过度的情形，都明显具有违法性，属于违反了禁止规范的行为。

　　二是，明确赋予履行个人信息保护职责部门以相应职权。第六章从管理赋权角度出发，明确对于相关保护部门赋予一项组织测试应用程序的特殊职权，以便发现和治理通过APP的应用程序强制或过度收集个人信息的情形。第六十一条规定履行个人信息保护职责的部门的一般职责，计五项。从三草开始，立法对保护部门便在开展宣传教育、指导监督，接受处理投诉举报，调查处理违法活动等基本职责之外，回应社会呼声，增设了一项“组织对应用程序等个人信息保护情况进行测试，并公布测评结果”的职责。这是一项极具现实性的管理职责，对愈演愈烈的APP强制收集或过度收集现象，提供了通过引入测评管理而加以治理的一种积极方案。过去几年，网信办、工信部、公安部、市场监管总局等在内的有关部门多次组织对APP侵害用户权益的专项行动，对于保护个人信息起到明显效果，但总是感觉力度不够、底气不足。现在，有了这项明确的管理授权，相信今后管理执法会大不一样，可以依据此项权力做到更加科学、有效的积极监管。做好了组织测评，不担心滥权，没有做好，则可能是不作为。

　　三是，明确从对构成违法的强制或过度收集个人信息的处理行为做出了特殊法律责任规定。这使得对包括APP滥用行为在内的相关处理行为的治理，有了实实在在的法律责任保障。有关的行为要求和管理职责不是一种简单的法律上的期望或职责，而是有牙齿的受到特殊法律责任保障的硬性要求和职责。第七章“法律责任”的若干规定都可以适用于利用App应用程序强制或过度处理个人信息的违法活动。

　　第六十六条规定可以全面加以适用。该条对个人信息处理行为违法，规定了相当重的处罚责任，是体现国际发展趋势的一种新型法律责任。该条规定，违反本法规定处理个人信息，或者处理个人信息未按照规定采取必要安全措施的，可以产生特殊行政责任。区分一般情况和严重情况。首先，一般情况：由履行保护责任部门责令改正，给予警告，没收违法所得，从三草开始针对性的增加了“对违法处理个人信息的应用程序，责令暂停或者提供服务”的处罚；拒不改正的，并处一百万以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。其次，严重情况：前款违法行为，情节严重的，由省级以上履行保护职责的部门责令改正、没收违法所得，丙处五千万以下或上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万以上一百万以下罚款，并可以决定禁止在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。可以看到，这一法律责任规定有三个特别值得注意的新特点，一是出现许多新的行政处罚形式，二是罚款数额之高前所未有，当然比较起来我们其实还没有欧美罚得高。三是对违法信息处理中的有关负责的个人也施加了相应责任。

　　此外，第六十七条关于建立违法信用档案记录的规定，第六十八条关于国家机关不履行本法规定的个人信息保护义务的特殊行政责任的规定，第六十九条规定个人信息处理者对个人信息加害承担侵权责任的特殊归责和损害赔偿责任确定的规定，第七十条关于与治安管理责任和刑事责任的衔接的规定等，也都在不同角度对该问题具有可适用性。