個人信息保護需要重拳出擊（焦點話題）

方興東

2018新年伊始，支付寶年度賬單因為被爆出《芝麻服務協議》默認勾選同意，而遭到口誅筆伐。隨后，芝麻信用管理有限公司很快做出回應，承認錯誤并且取消默認勾選。可以說，回應和道歉的確迅速。但是，還有不少東西值得我們慢慢總結。

雖然世界各國法律對個人信息保護各有不同，但是一些基本原則已經成為最大公約數，得到廣泛認同，形成國際準則。比如“目的明確原則”“最少夠用原則”和“合法必要原則”等。《中華人民共和國網絡安全法》第41和42條也有很好體現：“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意”“網絡運營者不得收集與其提供的服務無關的個人信息”“未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外”。

通過隱蔽手段獲得用戶授權，過度收集用戶數據，數據使用范圍的隨意擴大化，《關于加強網絡信息保護的決定》《中華人民共和國網絡安全法》等相關條款遭到無視……這是當下整個移動互聯網領域普遍存在的問題，完全沒有尊重消費者權益的基本互聯網精神。平臺對消費者數據可以如此使用，最終的結果就是逐漸讓消費者喪失對于平臺的信任基礎。這對任何一家志在成為全球巨頭的企業來說都是致命的。

道歉雖然對挽回用戶的心是必要的，但相比于懲罰的力量恐怕還是弱了些。2017年5月，歐盟給臉書開出1.2億歐元罰款，理由就是臉書在2014年應對WhatsApp的收購審查時，自稱兩個App之間的數據無法被可靠地共享，而2016年卻修改用戶協議對數據進行了共享。歐盟認定臉書對其數據利用能力欺騙了用戶，所以果斷處罰。

很多人認為當下問題的核心在于個人信息保護法沒有出臺。這其實是一種借口，因為除了上述法律，《網絡

交易管理辦法》《消費者權益保護法》《居民身份證法》《統計法》《商業銀行法》等一系列法律法規和部門規章制度，對于個人信息保護均有不同程度的體現。只要這些法律真正發揮作用，對違法行為執法到位，當下泛濫的個人信息問題大多數可以手到病除。

但現實情況卻是一道道關卡的失守。國內用戶個人信息保護意識普遍薄弱，再加上維權門檻和成本較高，因此大多數人只要眼前不遭受直接的重大損失，就甘愿沉默。在執法層面則存在個人信息保護法制還不完備，尤其主管部門職責不清的情況。消費者投訴和輿論監督，屬于雷聲大雨點小。相對于其他案件，個人信息保護的具體個案都屬于小案件，優先級不高。而網絡平臺一方面有著強大的公關能力，同時現有處罰的微薄損失與巨大收益有著極大的對比，因此依然敢于行走在灰色地帶。

由此可見，需要反思的絕不僅僅是一兩家企業，而是我們整個產業界，整個社會各利益相關方。▲

（作者是汕頭大學國際互聯網研究院院長）