本文首发于2018年1月5日《环球时报》国际论坛版,题为《方兴东:个人信息保护需要重拳出击》。
2018新年伊始,支付宝年度账单因为被爆出《芝麻服务协议》默认勾选同意,而遭到口诛笔伐。随后,芝麻信用管理有限公司很快做出回应,承认错误并且取消默认勾选。可以说,回应和道歉的确迅速。但是,还有不少东西值得我们慢慢总结。
虽然世界各国法律对个人信息保护各有不同,但是一些基本原则已经成为最大公约数,得到广泛认同,形成国际准则。比如“目的明确原则”“最少够用原则”和“合法必要原则”等。《中华人民共和国网络安全法》第41和42条也有很好体现:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”“网络运营者不得收集与其提供的服务无关的个人信息”“未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”。
通过隐蔽手段获得用户授权,过度收集用户数据,数据使用范围的随意扩大化,《关于加强网络信息保护的决定》《中华人民共和国网络安全法》等相关条款遭到无视……这是当下整个移动互联网领域普遍存在的问题,完全没有尊重消费者权益的基本互联网精神。平台对消费者数据可以如此使用,最终的结果就是逐渐让消费者丧失对于平台的信任基础。这对任何一家志在成为全球巨头的企业来说都是致命的。
道歉虽然对挽回用户的心是必要的,但相比于惩罚的力量恐怕还是弱了些。2017年5月,欧盟给脸书开出1.2亿欧元罚款,理由就是脸书在2014年应对WhatsApp的收购审查时,自称两个App之间的数据无法被可靠地共享,而2016年却修改用户协议对数据进行了共享。欧盟认定脸书对其数据利用能力欺骗了用户,所以果断处罚。
很多人认为当下问题的核心在于个人信息保护法没有出台。这其实是一种借口,因为除了上述法律,《网络交易管理办法》《消费者权益保护法》《居民身份证法》《统计法》《商业银行法》等一系列法律法规和部门规章制度,对于个人信息保护均有不同程度的体现。只要这些法律真正发挥作用,对违法行为执法到位,当下泛滥的个人信息问题大多数可以手到病除。
但现实情况却是一道道关卡的失守。国内用户个人信息保护意识普遍薄弱,再加上维权门槛和成本较高,因此大多数人只要眼前不遭受直接的重大损失,就甘愿沉默。在执法层面则存在个人信息保护法制还不完备,尤其主管部门职责不清的情况。消费者投诉和舆论监督,属于雷声大雨点小。相对于其他案件,个人信息保护的具体个案都属于小案件,优先级不高。而网络平台一方面有着强大的公关能力,同时现有处罚的微薄损失与巨大收益有着极大的对比,因此依然敢于行走在灰色地带。
由此可见,需要反思的绝不仅仅是一两家企业,而是我们整个产业界,整个社会各利益相关方。(作者是汕头大学国际互联网研究院院长)