陳根：個人信息，為什麼會成為數字時代的“唐僧肉”？_風聞

文/陳根

個人信息保護是發展數字經濟的底線，卻在數字經濟的發展中一再淪陷。

在個人信息的淪陷中，移動APP出演了重要角色。移動APP收集使用個人信息的亂象幾乎有目共睹——違規收集個人信息，違規使用個人信息，欺騙誤導用户下載App，App強制、頻繁、過度索取權限，超範圍收集個人信息等，方式百出，這也使APP用户個人信息安全相關投訴量急劇上升。

2019年11、12月12321網絡不良與垃圾信息舉報受理中心共收到用户APP投訴4900餘條，投訴內容涉及個人信息收集使用規則、權限申請、個人信息收集、個人信息使用、個性化服務、賬號註銷等多個方面。

​個人信息，淪為移動APP的“唐僧肉”，而人們除了憤慨和自嘲，似乎並無他法。個人信息和商業利益究竟有無和解的可能？如果有，又是什麼？

移動APP挑戰個人信息保護

在討論個人信息保護之前，首先要區分個人信息與個人隱私的差別。事實上，儘管個人信息與個人隱私有交叉之處，但****兩者並不盡一致。

1890年《哈佛法律評論》的《論隱私權》是現代隱私權的開篇之作，作者路易斯•布蘭代斯（LouisD.Brandeis）和塞繆爾•沃倫（SamuelWarren）將隱私視為“個人有權保持個體私密以防止被呈現於公眾之前，這是隱私權外延中最簡單的情形”。

由此可見，隱私是一種免受外界干擾的獨處的權利，即個人具有不可侵害的人格，對其思想、情緒和感受等自身事務的公開、揭露具有決定的權利。從這個角度來看，保護隱私的目的是為了保護人的尊嚴。

但個人信息卻並非如此**。在我國，個人信息保護的一開始就和互聯網聯繫在一起。**2012年12月28日，第十一屆全國人民代表大會常務委員會第三十次會議通過了《全國人民代表大會常務委員會關於加強網絡信息保護的決定》，**而在此之前****，**我國並沒有關於個人信息保護的法律。

2016年頒佈的《網絡安全法》進一步定義了個人信息定義：以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

2017年全國信息安全標準化技術委員會發布的《信息安全技術個人信息安全規範》延用了《網絡安全法》中對個人信息的定義，並且把“反映特定自然人活動情況的各種信息，如姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯繫方式、通信記錄和內容、賬號密碼、財產信息、徵信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等”納入了個人信息的範疇。

然而，就是如此樸素的個人的基本信息，卻在數字經濟時代受到了巨大沖擊。而首先向個人信息保護髮起挑戰的，就是移動APP。

儘管我國的法律法規已經對網絡運營者（網絡服務提供者）收集、存儲、使用、共享、轉讓個人信息的行為做出了明確規定，但在巨大利益的驅使下，APP違法違規收集使用個人信息的問題依然十分突出。APP收集使用個人信息的亂象更是花樣百出。

**從隱私政策設置來看，大量App存在隱私政策未徵得用户明示同意的情況。**比如，未提示用户閲讀隱私政策，又或者默認勾選同意。

APP隱私政策是保證用户知情權的重要手段和約束APP運營者行為的重要機制。根據中國消費者協會發布的《100款APP個人信息收集與隱私政策測評報告》，被測評的100款APP中有34款沒有隱私政策，47款隱私政策內容不達標，59款未明確告知收集個人信息類型和用途，96款未明確告知用户如何撤回同意等。

**在過度索權方面，個人信息保護的****必要性原則要求網絡運營者（網絡服務提供者）不得收集與其提供的服務無關的個人信息，否則就屬於過度索權。**然而，APP過度索權依舊是一個普遍性的問題，不少APP收集個人信息的種類與其提供的服務並無必要關聯，有的甚至明顯超出了合理範圍。

《100款APP個人信息收集與隱私政策測評報告》顯示，出行導航、金融理財、拍攝美化、社交通信和影音播放等5類APP過度收集使用用户信息的情況較為嚴重。360手機衞士收集個人信息相關權限數達23項，用户拒絕開啓則APP無法運行的權限則高達11項。

此外，默認授權、捆綁授權、申請權限或收集個人敏感信息未同步告知目的、實際收集使用個人信息行為與聲明不一致、信息濫用等層出不窮。侵權現象可見一斑。

讓渡信息****是淪陷的開始

他人或組織收集個人信息，無論是合法還是非法，其目的主要都是為了營利。可以説，個人信息和資本、勞動力一樣是一種生產要素投入，一起構成了今天數字經濟的基礎。而個人信息的濫用和淪陷，則與用户和互聯網企業都脱不了關係。

2018年，百度CEO李彥宏在中國發展論壇上曾表示，“中國的消費者在隱私保護的前提下，很多時候是願意以一定的個人數據授權使用，去換取更加便捷的服務的”。事實上，用户讓渡個人信息來獲得服務便利正是個人信息淪陷的開始。

2009年，《華爾街日報》的科技記者朱莉婭•安格温（JuliaAngwin）在一篇名為“PuttingYourBestFacesForward”的文章中分析了為什麼Facebook能夠在激烈的社交媒體大戰中脱穎而出的重要原因。文章指出，就是因為用户“願意用自己的個人信息換取一個基於信任的溝通平台”，與諸多的匿名平台相比，用真實身份信息註冊的Facebook更獲得用户的青睞。

在我國則表現在從QQ到微信的轉換。很多年長的人不願意使用QQ，更願意用微信。很大程度上，就是因為微信上很多人都是實名的。用户願意用自己的隱私換取基於信任的溝通平台。從互聯網歷史上來看，用户讓渡個人信息來獲得服務便利是個不爭的事實。

從企業來看，對於絕大多數的平台而言，孤立的個人信息本身並無多大價值，**重要的是企業將每個用户個人信息和一定的選擇聯繫在一起的時候產生的****價值，**所以才會有了所謂的用户畫像，那就是通過用户的特定行為來研判用户的商業價值體現。

於是，基於用户畫像的基礎，各大APP能夠提供更實用、更合乎需求的內容，例如更相關的搜索結果；改進其服務，並開發新的服務；根據用户的興趣向用户投放廣告；進行用户行為分析和衡量，以便了解用户更多的使用情況。

然而，受商業偏好的影響，在數字經濟高速發展的今天，企業開始收集越來越多不必要的信息，並且頻繁造成了信息的泄漏、濫用。如今，用户數據泄露的規模與前數字經濟時代相比呈指數級增長，而且規模也大幅度增加。現在，往往是以數千萬甚至上億計算被泄露的信息。

**此外，信息技術的發展讓人們在數字時代都成為“數字人”。**個人信息與數據高度關聯，牽一髮而動全身。這使得立體化的個人數據更容易遭受侵害。

隨着移動設備功能越來越強大，包括能夠記錄包括相冊、個人視頻、網頁瀏覽歷史以及個人通信記錄等在內的眾多信息，存儲了數GB的個人數據的智能手機已成為了生活中普遍且重要的組成部分。這些個人信息一旦泄露，對立體化的個人造成的傷害都將是過去所不及的。

**實際上，**用户之所以重視個人信息保護，原因就在於技術放大了風險。

個人信息和商業利益****有無和解的可能？

數字經濟時代裏，隱私成為以個體為中心的同心圓，越接近圓心是越不願意讓渡的隱私。在同心圓擴大半徑的外圍，個體產生交集，也產生了隱私的交換，並以此獲得友誼、親情、理解，甚至經濟利益。

可以説**，作為隱私的個人信息也是一種資源；而信息主體主要通過交換一定的隱私實現個人利益最大化，這就成為一種資源的再分配過程**。從這個意義上來説，個人信息作為一種資源，也和其他的任何資源一樣——社會福利最大化是其應有之義。個人信息作為一種資源重新分配想要獲得最有效率的結果，即需要把追求社會福利的最大化作為隱私保護的目標和意義。

進一步來説，個人信息的保護本質上是個人數據保護與分享、收益與成本之間的權衡，個人信息的保護核心則成為****一個成本和收益的平衡問題。

討論個人信息保護時，自然也包括通過有效使用個人信息，促進就業、發展金融市場、維護公共安全和保持健康衞生等社會效益。同時，個人信息保護也有成本，包括由於個人信息讓渡導致的個人安全感和尊嚴的心裏損失和因為侵犯個人信息導致個人經濟損失。

**這意味着，**在社會收益最大化的原則下，隱私保護的政策制定就是各類收益和成本的權衡。

不同的權衡會產生不同的結果。歐洲、日本和美國在互聯網領域的不同發展路徑就是不同權衡下的不同結果。《法律如何成就硅谷》一文中，作者就指出，硅谷在互聯網時代的成功，很大程度上要歸因於美國在知識產權和侵權法上採用了適用於互聯網的法律制度。但是，歐洲和亞洲（日本）由於實行嚴格的中介責任制度，不靈活的知識產權規則和強大的隱私限制，阻礙了當地的互聯網企業家的發展。

可以説，在過去20年，中國在互聯網領域取得了的成績，很大程度上也正得益於中國政府和立法者以“摸着石頭過河”的開明姿態，為國內互聯網公司營造了一個寬鬆政策環境，從而產生了像BAT這些數據巨頭。但如今，對於個人信息的野蠻掘金時代已然結束。伴隨着聲浪迭起的隱私危機，對於個人信息的治理勢在必行。

從個人層面來看，雖然個人信息問題頻出，人們也不斷被個人信息泄露的問題困擾，但大部分人卻依舊沒有樹立很好的隱私觀念。互聯網帶來的必然趨勢使得人們會越來越不在乎公共和私人領域的區別，甚至到了一個漠視它的地步。

2018年3月7日北京市消費者協會發布的《APP個人信息安全調查報告》顯示，有41.16%的網民在安裝APP之前不看隱私政策，個人信息被泄露後選擇向有關部門投訴的僅佔35.00%。用户在個人信息安全方面自身存在的問題和麪對APP違法違規收集使用個人信息的高“容忍度”，在一定程度上助長了APP運營者毫無顧忌地長期違法違規收集使用個人信息的行為。

從社會角度來看，資本遵循天生逐利，顯然，在利益面前，如果缺乏有效監管，法律制度即使再完備其規範組織和個人行為的效果也將大打折扣。2020年發佈的《個人信息保護法》是對市場亂象的好的回應。當然，對數據的監管政策也應當以社會福利的提高為目標，保護隱私的同時也要允許合法的個人數據交換。

個人信息和商業利益和解並非無可能，人信息保護的本質上是一種資源的再分配。我們有理由相信，市場作為重要的配置主體，能夠讓數據更好地服務消費者和促進社會福利提高。但這必然是一個長期的動態博弈，如何治理全新的數字世界，還需要人類更多的智慧。