刘波/文近日中国向着确立个人信息保护的“最小必要”原则又迈出了一步。3月22日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合印发《常见类型移动互联网应用程序必要个人信息范围规定》,规定移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。
所谓“最小必要”原则,是指企业收集个人信息的类型应与实现产品或服务的业务功能有直接关联。该原则的确立已是大势所趋。去年11月26日工信部已发布《APP收集使用个人信息最小必要评估规范总则》。工信部也正在起草《移动互联网应用程序个人信息保护管理暂行规定》,拟规定知情同意和最小必要两项个人信息保护基本原则。
在互联网经济时代,包括个人信息在内的数据已经被视为新的“石油”,坐拥大量数据的企业无疑会在竞争中占得先机。虽然每个人在透露非必要个人信息时所承担的成本很低,但通过收集掌握海量信息的企业却会赢得巨大的经济收益,这显然构成利益不对等。当遇到这种被薅一点“羊毛”的局面时,绝大多数用户都会无动于衷,这就会导致集体行动困境,即由于潜在收益微小,几乎没有任何个体愿意采取维权行动。此外还存在信息不对称问题,即由于用户知识与经验欠缺,或者企业通过操作系统等隐秘方式收集信息,用户对非必要信息泄露完全不知情。收集信息的企业或者将数据用于自身经营谋利,或者将信息出售获利,还有可能将信息泄露给犯罪分子,这就构成了新时代下个人信息保护的难题。
解决这一难题的一个途径是对个人信息进行产权界定,即规定用户对自身信息拥有产权,这样企业就必须通过等价交易才能获取用户信息,这显然更为公平,也将确保用户充分分享信息经济发展的成果。但从中国现实来看,这一理想状态略显超前。因经济发展水平所限,大多数人最关心的其实依然是生活中的柴米油盐,维护自身信息权益的意识与动力薄弱,因此即使明确赋予个人数据产权,也可能因作为行为主体的个人不行动而形同虚设,反而损害制度威信。此外,信息收集是一柄双刃剑,亦有其积极一面。例如:为用户量体裁衣,更能实现个体化的信息供求匹配;有利于科技企业充分发掘中国作为人口大国拥有海量信息的这种独特优势,加速科技创新并提高国际竞争力;政府有时可以出于公共利益考虑而利用企业收集信息,这有助于政府更好地应对新冠疫情等特殊事件,改善公共服务质量。
正是这种独特情况,信息收集既有符合市场经济规律的一面又存在市场失灵的一面,决定了当前最好的解决路径不是把信息产权过度赋予企业或用户的任何一方,而是处理好企业与用户信息利益之间的平衡,即政府适度介入,国家通过制定普遍规则的方式来对个人信息实行一定的公法保护,即落实知情同意和最小必要原则。
当然,只有纸面上的规定是不够的,未来还需要用户更多地就权利被侵犯的情况,如非必要信息被收集,企业以不提供服务相胁迫等,提起起诉,要求制止并索赔。这一方面可以激发全社会的信息保护意识,另一方面可以对潜在的非法收集行为起到威慑作用。此外,最小必要原则不止适用于APP,而是适用于所有信息收集,甚至包括政府的信息收集,如此才可以防堵各种无限度收集和不当使用信息的情况。目前已出台的相关法律规定还停留在部门法规层面,最终必须通过正式的《个人信息保护法》来建立全面严肃的保护机制(该法目前正在制定过程中)。
目前国际上的个人信息保护存在欧盟的严格路径与美国的略为宽松路径两种方式,各有利弊,中国应走平衡路径,取长补短。当然这是一个实践性的动态过程,只有在民众权利意识勃兴后,通过丰富的诉讼和执法案例,才能把理想的愿景转化为美好的现实。
(作者系资深媒体人)