劉波/文近日中國向著確立個人信息保護的“最小必要”原則又邁出了一步。3月22日,國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局聯合印發《常見類型移動互聯網應用程序必要個人信息范圍規定》,規定移動互聯網應用程序(App)運營者不得因用戶不同意收集非必要個人信息,而拒絕用戶使用App基本功能服務。
所謂“最小必要”原則,是指企業收集個人信息的類型應與實現產品或服務的業務功能有直接關聯。該原則的確立已是大勢所趨。去年11月26日工信部已發布《APP收集使用個人信息最小必要評估規范總則》。工信部也正在起草《移動互聯網應用程序個人信息保護管理暫行規定》,擬規定知情同意和最小必要兩項個人信息保護基本原則。
在互聯網經濟時代,包括個人信息在內的數據已經被視為新的“石油”,坐擁大量數據的企業無疑會在競爭中占得先機。雖然每個人在透露非必要個人信息時所承擔的成本很低,但通過收集掌握海量信息的企業卻會贏得巨大的經濟收益,這顯然構成利益不對等。當遇到這種被薅一點“羊毛”的局面時,絕大多數用戶都會無動于衷,這就會導致集體行動困境,即由于潛在收益微小,幾乎沒有任何個體愿意采取維權行動。此外還存在信息不對稱問題,即由于用戶知識與經驗欠缺,或者企業通過操作系統等隱秘方式收集信息,用戶對非必要信息泄露完全不知情。收集信息的企業或者將數據用于自身經營謀利,或者將信息出售獲利,還有可能將信息泄露給犯罪分子,這就構成了新時代下個人信息保護的難題。
解決這一難題的一個途徑是對個人信息進行產權界定,即規定用戶對自身信息擁有產權,這樣企業就必須通過等價交易才能獲取用戶信息,這顯然更為公平,也將確保用戶充分分享信息經濟發展的成果。但從中國現實來看,這一理想狀態略顯超前。因經濟發展水平所限,大多數人最關心的其實依然是生活中的柴米油鹽,維護自身信息權益的意識與動力薄弱,因此即使明確賦予個人數據產權,也可能因作為行為主體的個人不行動而形同虛設,反而損害制度威信。此外,信息收集是一柄雙刃劍,亦有其積極一面。例如:為用戶量體裁衣,更能實現個體化的信息供求匹配;有利于科技企業充分發掘中國作為人口大國擁有海量信息的這種獨特優勢,加速科技創新并提高國際競爭力;政府有時可以出于公共利益考慮而利用企業收集信息,這有助于政府更好地應對新冠疫情等特殊事件,改善公共服務質量。
正是這種獨特情況,信息收集既有符合市場經濟規律的一面又存在市場失靈的一面,決定了當前最好的解決路徑不是把信息產權過度賦予企業或用戶的任何一方,而是處理好企業與用戶信息利益之間的平衡,即政府適度介入,國家通過制定普遍規則的方式來對個人信息實行一定的公法保護,即落實知情同意和最小必要原則。
當然,只有紙面上的規定是不夠的,未來還需要用戶更多地就權利被侵犯的情況,如非必要信息被收集,企業以不提供服務相脅迫等,提起起訴,要求制止并索賠。這一方面可以激發全社會的信息保護意識,另一方面可以對潛在的非法收集行為起到威懾作用。此外,最小必要原則不止適用于APP,而是適用于所有信息收集,甚至包括政府的信息收集,如此才可以防堵各種無限度收集和不當使用信息的情況。目前已出臺的相關法律規定還停留在部門法規層面,最終必須通過正式的《個人信息保護法》來建立全面嚴肅的保護機制(該法目前正在制定過程中)。
目前國際上的個人信息保護存在歐盟的嚴格路徑與美國的略為寬松路徑兩種方式,各有利弊,中國應走平衡路徑,取長補短。當然這是一個實踐性的動態過程,只有在民眾權利意識勃興后,通過豐富的訴訟和執法案例,才能把理想的愿景轉化為美好的現實。
(作者系資深媒體人)
