深观察｜互联网隐私“被同意”：不止是个案，全行业要立规矩

我们似乎进入了互联网隐私焦虑的集中爆发期，2018年伊始就连续发生了消费者起诉百度“偷听”、李书福指责马化腾“偷看微信”以及支付宝“隐私权被默认”的账单门。中国互联网三大巨头无一幸免。之后，国家工信部就加强用户个人信息保护约谈百度、支付宝、今日头条。

事实上，涉及互联网隐私问题的，并不止于这三家，是一个普遍性的行业问题。

南都个人信息保护研究中心发布《关于收集个人信息“明示同意”的测评报告与建议》，他们测评了100款常用APP，发现在用户注册前，“默认勾选”同意企业用户协议和隐私政策的情况并不少见：包括QQ、网易公开课在内的47%的APP“点击注册即表示同意”；仅有11%的APP做到了合乎法规及规范的“明示同意”。

这意味着很多时候，我们向互联网巨头开出了隐私的“空白授权”，甚至可以说是“人为刀俎，我为鱼肉”。

在之前李书福引出的“马化腾看你微信”争论中，人们发现之前腾讯副总裁丁珂曾表态：微信不会读取、分析聊天记录，“虽然腾讯有能力做，但从来没有做过”。互联网巨头有能力查你的隐私，但他还没有这么做。所以，你是应该感恩，还是害怕呢？

实事求是地说，之前的确有一些以讹传讹的地方。但是，公众的隐私权就应该建立在于互联网巨头“节操不错”之上吗？隐私权的开关还是应该掌握在自己手里。

从另一方面看，互联网应用离不开大数据的分析、对用户的精准刻画以及互联网信用评级。使用互联网，就是一个用户的个人信息留痕，并被提供精准服务的过程。有了信息的分享，网络音乐平台才知道要向你推荐什么音乐；有了地理位置的授权，滴滴打车才能够为你安排司机；通过芝麻信用，才能让你免押金享受共享单车服务；因为APP能读取你的手机联系人，你才能在社交平台和各种游戏排行榜上“惊喜”地找到你的朋友……智能手机是需要“吃数据”的，用户只有分享一定个人信息，包括地理位置、运动轨迹等，才能获得手机终端提供的“智能服务”。

多年前，智能手机刚兴起时，我曾听过某中央金融机构征信部门一位负责人的演讲。这位负责人当时就明言：自己对于APP要求信息授权非常的反感，索性就不装了。多年之后，当国人的吃喝玩乐都依赖于各种APP时，这种绝然不愿分享个人信息的态度显然是不现实的。

所以，关键是划定APP正常取得用户信息和保护隐私权的边界，用户必须牢牢掌握信息分享的自主权。那么，红线应该划在哪里呢？

去年6月施行的《网络安全法》规定了网络运营者收集个人信息的大原则：应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，并不得收集与其提供的服务无关的个人信息。

但客观地说，原则还是偏“粗”，什么算“公开收集”，怎么才算“明示收集信息的目的”？

事实上，在 《网络安全法》实施之后的去年9月，中央网信办等四部门就公布过京东商城、新浪微博、微信等10款移动互联网产品和服务隐私条款的评审结果，当时就点名了隐私条款笼统“霸道”问题：不主动展示隐私条款，展示的内容晦涩冗长，隐私条款笼统不清晰，部分网络运营者采取默认勾选、“一揽子”打包授权等形式……

所谓“魔鬼出在细节里”，要捍卫公民的隐私权，还得将规矩做细、做实。其实就在2018年辞旧迎新之际，中国的个人信息保护就出了一个大动作。

2017年年底，全国信息安全标准化技术委员会归口的《信息安全技术：个人信息安全规范》正式发布，并作为国家推荐标准将于2018年5月1日正式实施。其中明确了权责一致；选择同意；最少够用等关键性技术原则。

比如，“最少够用”原则，要求个人信息的收集类型、频率和数量应在必要性的最小要求之内，在能达到所需目的条件下，只处理最少的个人信息类型和数量。这意味着互联网运营者不能对用户进行“信息榨取”，不能搞“政审”、“查三代”，索要与使用功能无关的信息，收集的信息“最少够用”就可以。

《个人信息安全规范》中，对“明示同意”的要求更为明晰。在用户首次安装APP时应弹出一款APP“核心功能需要的敏感个人信息”、“附加功能需要的敏感个人信息”等页面，保证用户明确了解并主动作出选择。

美国政治讽刺动画片《南方公园》，曾专门讽刺苹果公司要求用户签订“卖身契”，授权苹果可以对用户为所欲为，甚至有权利把用户做成“人体蜈蚣”。动画片看似荒诞，但背后的问题并不荒诞。

互联网企业通过APP，掌握了我们太多的个人信息，从起床时间到今日是否加班，从一天走了多少步路到早餐一般去哪家吃。我们分享这些个人信息，首先必须是出于自愿，目的是希望得到更好的智能服务，前提是这些信息不能被滥用。

但是怎么才能防止互联网巨头“作恶”？当然不能靠他们的“操守”，还得在法律、技术规范层面立下规矩。信息收集“最少够用”，不能搞信息勒索；信息的用途必须是“明示同意”；隐私条款不能默认勾选，必须是“选择同意”……这些红线必须得到执行。目前的《个人信息安全规范》还只是推荐国标，下一步就是“个人信息保护法”的正式立法，以法律定分止争，为整个行业立下规矩，这才能摆脱目前公众对网络隐私的恐慌。