用法律给个人信息上一把“安全锁”

□ 胡立彪

因存在“违规收集个人信息”等问题，且并未按时限要求完成整改，近日，包括驴妈妈旅游、凡客诚品VANCL、黑猫小说等在内的96款App，被工业和信息化部责令下架并通报。

近两年，工业和信息化部等部门加大对侵害用户权益App监管力度，开展专项整治行动，清理存在问题的App，反映了我国政府打击网络信息领域违法行为，保护个人信息安全的决心。不过，我们也看到，现实中仍有一些App存在欺骗误导强迫用户、超范围收集个人信息、过度索取权限等问题，民众对使用App时的个人信息安全仍存疑虑，因个人信息被不法分子利用而遭受财产损失的案例也时有发生。

在数字化时代，互联网相关企业依托数据生存，它们尤其需要可实现价值转换的个人信息数据。企业可以根据用户的薪酬水平、兴趣爱好、消费习惯等个人信息对其进行“画像”，然后据此展开精准营销。然而，企业“精准”营销往往让用户感觉不胜其扰，而在隐私受到侵犯的同时，一旦用户信息遭泄露，流入不法分子手中，就成为他们实施电信网络诈骗、人肉搜索等互联网犯罪的工具。

虽然存在诸多风险，但并不能对互联网企业收集使用个人信息一禁了之。互联网企业依托数据生存，它们开发App必须要用到用户信息数据，没有这些数据根本无法推出适合市场和用户需要的App应用。显然，互联网企业收集用户信息与保护用户个人信息权益，两者是具有互生关系的矛盾统一体，而要让两者和谐存在、并行不悖，则需要双方均做出一定的利益让渡。

如何让渡？这就需要把握一个“度”。对于企业而言，“度”的标准，就是“最小必要”原则。2020年12月，工信部曾发布《App收集使用个人信息最小必要评估规范》8项系列标准，就App收集使用用户人脸、通讯录、短信、位置等信息作出“最小必要”评估规范。2021年4月，工信部、公安部、市场监管总局共同起草《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》（以下简称《暂行规定》），规定从事App个人信息处理活动的，应当具有明确、合理的目的，并遵循最小必要原则，不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。同时，列出“6个不得”。

《暂行规定》不仅确立了“最小必要”原则，给App索权圈定了边界，还对“越界”行为进行严管。其中明确，针对App个人信息处理活动的违规行为，监管部门可对其作出责令整改、下架处置、断开接入等必要措施；对相应违规主体，监管部门还可将其纳入信用管理实施联合惩戒；构成犯罪的，由公安机关对其依法追究刑事责任。

事实上，除上述部门规章外，为了保护个人信息，规制各种信息“越界”行为，我国已经出台了诸多法律法规，如《网络安全法》《电子商务法》《数据安全法》等。此外，《消费者权益保护》《刑法修正案》《民法总则》《民法典》等法律在制修订过程中，也都补充了关于个人信息保护方面的条款。令人欣喜的是，专门针对个人信息保护的《个人信息保护法》将于11月1日起施行。该法不仅明确了不得过度收集个人信息等条款，还完善了信息保护投诉、举报工作机制，为破解个人信息保护中的难点问题提供了强有力的法律保障。

以上述法律法规和部门规章为主要架构的个人信息保护法律体系的建立，如同给个人信息上了一把“安全锁”。不过，徒法不足以自行，完善立法只是第一步，公民个人信息要得到真正有效的保护，还要看法律的执行。这就要求与个人信息保护相关的职能部门在划清职责范围，统一执法标准的同时，根据不断发展变化的事实和具体场景，制定出具有可操作性的执法规范性文件和部门规章、司法解释，并通过执法实践形成具体指导案例，让法律法规的相关原则落到实处。

《中国质量报》【观象台】