□ 胡立彪
四川省保护消费者权益委员会日前发布的《消费者个人信息保护情况调查报告》显示,72.24%的受访者表示个人信息曾被泄露。QQ、邮箱、微信等个人社交账号是受访者最担心被泄露的信息,占比达55.71%,其次是人脸指纹等生物信息、身份证号、姓名及手机号等。此外,在用户使用App时拒绝非必要授权后,高达90.62%的App不能使用或仅能使用部分功能。
《个人信息保护法》明确,自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理。依据该法,有关部门对App个人信息处理活动应当遵循的原则、要求等进行了细化,划定了底线和红线。近年来,网信、工信、公安、市场监管等部门不断加大App违法违规收集使用个人信息治理工作力度,依法查处了大量问题App。
然而,尽管我国已建立起关于个人信息保护的法律法规体系,相关部门也一直加强监管,但App过度索权等侵害消费者权益的问题依然存在。前述调查报告结果在全国具有代表性。业内人士指出,数字时代,数据对于企业尤其是互联网企业而言极为重要,从某种程度上说,掌握数据的多寡直接关系到互联网企业的资本估值。正是基于对数据价值的重视,很多互联网企业将数据作为企业的核心资本。这些数据既包括消费者的姓名、住址、联系方式等隐私信息,也包括上网痕迹、消费偏好、活动轨迹等行为信息。企业利用黏性设计,把众多消费人群吸引住,然后再萃取更多数据。但是掌握大量数据的企业,受利益驱动往往很难兼顾消费者权益保护,在利用数据为消费者画像并实施精准营销推送,给消费者造成困扰的同时,还有意无意泄露用户个人信息,导致其隐私被侵犯,甚至财产受损失。
当然,出于权益保护考虑,消费者完全拒绝互联网企业收集使用个人信息,也不可行。毕竟,缺少用户信息支撑,互联网企业就无法开发出适合用户使用的App及其他程序。有人说,互联网的便利建立在个人适度让渡部分隐私信息基础之上,如果人们在个人信息方面都不肯作出牺牲,那就无法享受互联网的便利。显然,从市场逻辑上讲,企业的大数据需求应与消费者的权益保护并行不悖,消费者个人信息权保护是源,而企业的大数据需求是流。
基于上述市场逻辑,就要强调一个关键词——度。消费者个人信息让渡要适度,互联网企业收集使用信息更要有度。根据《个人信息保护法》的规定,个人信息处理应遵从合法正当、目的明确、公开透明、知情同意、最小必要、确保安全、个体同意等原则。这些原则均可作为“度”的依据,其中“最小必要”原则非常重要。这一原则是国际社会普遍采纳的原则,要求从事App个人信息处理活动,应当具有明确合理的控制,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。2020年12月,工信部发布《App收集使用个人信息最小必要评估规范》8项系列标准,就App收集使用用户人脸、通讯录、短信、位置等信息作出最小必要评估规范。2021年2月,工信部出台《移动互联网应用程序(App)个人信息保护管理暂行规定》,将“最小必要”原则从契约原则上升为法定原则。2022年6月,市场监管总局、国家标准委发布《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》,对“最小必要”原则作出细化要求。
关于个人信息保护的法律法规日益完善,个人信息处理的相关原则也已经确立,关键在于落实执行。一方面,要尽快出台个人信息保护法律配套规定、司法解释等,建立统筹规范的执法机制,推动个人信息保护司法实践;另一方面,要加强普法,增强消费者自主保护意识和能力,同时畅通维权渠道、降低维权成本,让消费者维权有动力、有效率、有收益。
《中国质量报》【观象台】