前不久,中央网信办、工信部、公安部、国家标准委等4部门联合实施“个人信息保护提升行动”,特别是启动了隐私条款专项工作,首批将对微信、淘宝等10款网络产品和服务的隐私条款进行评审。
“隐私条款”对于许多普通人还比较陌生,然而在此之前一则相关的新闻牵动了人们敏感的神经:今年6月1日《网络安全法》正式实施之后,对网络运营者明确提出了明示所收集个人信息范围的要求。国内有互联网企业为做到合规,在其一款金融产品发布的新版用户服务合同中列出了其要搜集的个人信息,连户籍信息、社保参保状态、公积金缴费情况、通话记录等等敏感内容都被囊括其中。
这一事件,一方面暴露了过去许多互联网公司在搜集个人信息上不为人知的“行业惯例”,另一方面也让普通人猛然意识到自己在互联网时代所深陷的“透明人”处境。
我们不得不承认,互联网行业搜集个人信息的行为是不可能避免的。在大数据时代,个人信息作为“数据”被视为像石油一般的战略资源,大量互联网公司之所以能够提供免费优质的服务,其商业逻辑也正是瞄准了这一资源。比方说,一家互联网金融企业越了解它的用户,它的风险控制能力就越强;一个互联网平台掌握越多运动轨迹、社交网络、消费习惯等个人信息,就越能精准推送广告、服务。因此,当用户已经离不开现代生活各种便利的智能应用时,也意味着让渡部分自己的个人信息成为必然的代价。
然而,当下最为紧要的问题在于,究竟什么个人信息可以被收集,哪些又是不能侵犯的禁地?根据《网络安全法》规定,网络运营者收集个人信息必须经被收集者的同意。使用过APP的人都知道,如果在其启动页面弹出的用户服务协议及隐私政策上不点击同意的话,就不可能使用其服务。但该举动的背后却有个“公开的秘密”:这些条款往往篇幅很长,表述很专业,用户几乎不可能在充分了解其含义的情况下做出选择,因而这种“同意”本身也就沦为了一种形式。个人信息安全程度不能全凭企业的良心,企业搜集的如果是一般个人信息或许不会造成严重后果,可是一旦涉及敏感个人信息,用户的利益如何得到保障?
面对明确的立法要求,其中无法单一依靠市场自我调节的制度缝隙,就需要监管者及时“打补丁”。此次启动的隐私条款评审也是监管者发出的一个信号,通过对照法律要求评审隐私条款是否合规,监管者在用户接触相关网络产品和服务之前,就先为其个人信息保护把一道关,这表明法律落实所需的配套措施正在快步跟上。当前,个人信息保护还是一项在保护与利用之间反复寻找平衡点的监管探索。尽管法律为个人信息的搜集确立了个人同意原则、目的明确原则、“最少够用”原则等,但这些规定本身比较抽象、宽泛,在实践中还期待更为细致、更具操作性的标准。
个人信息保护作为公共领域越来越热门的话题,只有更清晰的规则、更阳光的监督、更有力的监管,才能让处于信息弱势的普通人得到最大程度的保护。