【社论】警惕个人信息被“勒索”

据媒体报道，有消费者打算激活手头的一张“京东e卡”网购，可在支付时，京东商城要求她进行实名认证，还要绑定电话、提供姓名、身份证号以及银行账号……经过三番五次沟通，京东的客服人员还是反复强调：实名认证是为保护客户资产安全，不给个人信息，预付卡就不能用。

她遭到了“信息勒索”，而在如今的网络时代，这并不是个案。

我们使用手机应用软件、办商业卡，是与商业机构的一种契约行为，在合理范围内提供必要的个人信息，本属正常。但是，这条“边界”在越来越往后倒退，让我们忍无可忍。像这次的“京东e卡”事件，国家商务部的《单用途商业预付卡管理办法(试行)》明确规定1000元以下的单用途预付卡不用实名，但京东仍以不绑定个人银行、信息，就不能使用预付卡来要挟消费者交出个人信息，形同勒索。

而我们一旦被逼着绑定个人信息，各种精准的“推送”广告轰炸就开始了：从短信到电子邮件，从APP的推送到不胜其烦的电话广告，甚至商家海量掌握了用户的身份证、银行卡等信息之后，本身就形成了个人信息安全的“堰塞湖”，一旦发生泄露，后果非常可怕。

是到了必须明确“个人信息权”的时候，个人信息的本位应该是权利，不是“数据”，没有公民明确、自愿授权以及法律规定，商业机构无权索要公民信息。欧盟《个人数据保护指令》对此已经有详细的规定，包括：收集信息要征得用户同意；只能收集“能够达到已告知目的的最少信息”；对个人信息实施“用后即删”原则，在收集个人信息阶段告知的使用目的达到后，应立即删除个人信息。

事实上，中国在这方面制度本不是空白。2013年2月，我国首部个人信息保护国家标准——《信息安全技术：公共及商用服务信息系统个人信息保护指南》（GBZ 28828-2012）就正式实施了。该《指南》借鉴了欧盟的规定，也明确了个人信息的“自愿提供”“最少够用”“用后即删”的原则。而且该《指南》不仅适用于IT企业对于用户个人信息的处理，也适用于电信、金融、医疗等服务机构，本身有着个人信息保护“小立法”的格局。

但是，遗憾的是，这几年来，前述的《指南》几乎成为一纸空白，公民个人信息被商业机构贪婪攫取甚至是明目张胆地勒索。行政机关要积极监督落实《指南》中保护个人信息的规定；面对京东这样的互联网巨头的“信息勒索”，消费者往往难有话语权，如果行政部门又没有严格监督的话，不啻“人为刀俎，我为鱼肉”了。

在“大数据时代”，公民个人信息权的地位日益突显，旧有的私法保护往往无能为力，所以政府的公法保护必须跟上。