方兴东：个人信息保护需要重拳出击

2018新年伊始，支付宝年度账单因为被爆出《芝麻服务协议》默认勾选同意，而遭到口诛笔伐。随后，芝麻信用管理有限公司很快做出回应，承认错误并且取消默认勾选。可以说，回应和道歉的确迅速。但是，还有不少东西值得我们慢慢总结。

虽然世界各国法律对个人信息保护各有不同，但是一些基本原则已经成为最大公约数，得到广泛认同，形成国际准则。比如“目的明确原则”“最少够用原则”和“合法必要原则”等。《中华人民共和国网络安全法》第41和42条也有很好体现：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意”“网络运营者不得收集与其提供的服务无关的个人信息”“未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外”。

通过隐蔽手段获得用户授权，过度收集用户数据，数据使用范围的随意扩大化，《关于加强网络信息保护的决定》《中华人民共和国网络安全法》等相关条款遭到无视……这是当下整个移动互联网领域普遍存在的问题，完全没有尊重消费者权益的基本互联网精神。平台对消费者数据可以如此使用，最终的结果就是逐渐让消费者丧失对于平台的信任基础。这对任何一家志在成为全球巨头的企业来说都是致命的。

道歉虽然对挽回用户的心是必要的，但相比于惩罚的力量恐怕还是弱了些。2017年5月，欧盟给脸书开出1.2亿欧元罚款，理由就是脸书在2014年应对WhatsApp的收购审查时，自称两个App之间的数据无法被可靠地共享，而2016年却修改用户协议对数据进行了共享。欧盟认定脸书对其数据利用能力欺骗了用户，所以果断处罚。

很多人认为当下问题的核心在于个人信息保护法没有出台。这其实是一种借口，因为除了上述法律，《网络交易管理办法》《消费者权益保护法》《居民身份证法》《统计法》《商业银行法》等一系列法律法规和部门规章制度，对于个人信息保护均有不同程度的体现。只要这些法律真正发挥作用，对违法行为执法到位，当下泛滥的个人信息问题大多数可以手到病除。

但现实情况却是一道道关卡的失守。国内用户个人信息保护意识普遍薄弱，再加上维权门槛和成本较高，因此大多数人只要眼前不遭受直接的重大损失，就甘愿沉默。在执法层面则存在个人信息保护法制还不完备，尤其主管部门职责不清的情况。消费者投诉和舆论监督，属于雷声大雨点小。相对于其他案件，个人信息保护的具体个案都属于小案件，优先级不高。而网络平台一方面有着强大的公关能力，同时现有处罚的微薄损失与巨大收益有着极大的对比，因此依然敢于行走在灰色地带。

由此可见，需要反思的绝不仅仅是一两家企业，而是我们整个产业界，整个社会各利益相关方。(作者是汕头大学国际互联网研究院院长)