保护个人信息 法律建设要再加力

木木

日前，国家网信办等四部门联合印发《常见类型移动互联网应用程序必要个人信息范围规定》，《规定》明确了39种常见类型APP的必要个人信息范围，其中13类APP无须个人信息，即可使用基本功能服务。《规定》自5月1日起施行。

截至2019年底，中国移动互联网用户达到13.19亿。毋庸讳言，中国移动互联网用户苦个人信息泄露久矣。能够对如此量级的用户造成困扰的问题，都不是小问题，也不是单纯的技术问题。从这个角度讲，《规定》的出台就具有积极意义，对改善乃至扭转个人信息泄露屡禁不止、日益严重的局面，也能发挥重要作用。

《规定》最大的看点，就是对APP读取用户必要信息的范围，规范得非常细致，规定明确、可操作性强，无论是被监管者还是监管者，在实践中可以自由发挥的空间几乎没有。比如，地图导航类的APP，可调用的用户信息为位置信息、出发地、到达地；网络借贷类APP，可以读取的用户信息为移动电话号码、借款人姓名、证件类型和号码、证件有效期限、银行卡号码。

《规定》5月1日施行之后，除了展业需要的必要信息，用户的其他信息，尤其是一些很私密、需要格外保护的信息——如联系人、相册、对话等，显然就是不可触碰（甚至不可看、不可惦记）的“蛋糕”。像过去那样，用户买个盒饭、借个200元钱，都要被人把手机翻个底儿朝天的事情，在《规定》框架下，显然都不能再发生了——原本也不应该发生。

在“野蛮生长”阶段，APP发行者对用户个人信息一网打尽式的“霸占”，谁都知道，目的尽在一个“利”字；为了最大程度地牟取私利，这些“霸占者”甚至结成了某种联盟。证券时报日前刊发的深度调查，揭出的内幕让人触目惊心。这个问题衍进到今天，已经到了非解决不可的时候，无论是用户的忍耐度，还是新形势的客观约束，都不允许这些APP继续对用户的个人信息予取予夺。

谁都知道，信息越多，价值越大，意义也越重要。巨量的个人信息，对APP发行者、互联网商家而言，就是一座巨大的宝库，从里面几乎可以无穷无尽地发掘财富。站在这个角度看，《规定》堵死某些人财路的味道就非常浓厚，这也决定了保护个人信息是一项长期、艰巨的工作，一个《规定》——哪怕规范得比较细密，肯定解决不了所有问题，必须有足够且针对性强的后续手段。

在彻底解决这个问题的过程中，法律法规的建设无疑发挥着决定性作用，法律法规的“篱笆”，要尽可能致密，尽可能不留下让宵小之辈可钻的空子；而且，“篱笆”要有触发机制，有人触碰，就能预警，“篱笆”的有效性才能得到根本保证。“篱笆”被人扯开并钻进钻出，三年五载之后才被发现，“篱笆”的意义也就不大。

构建法律法规的“防护墙”不但要一直在路上，还要有一定的前瞻性，要跳出“先污染后治理”的窠臼；在治理的过程中，要对可能出现的新问题、新风险有预见、有预案，能有针对性地及时发力。既然牟利者总是在不停地动心思，监管者显然也不能偷懒。当然，在这个过程中，监管者要坚守底线，把握住基本原则，就能大大压缩牟利者可钻营的空间。

除此之外，对违法者的惩罚也要足够有力度，足够及时。虽然2015年11月1日施行的刑法修正案九，对非法获取、出售个人信息者应承担法律责任进行了明确规定，最高7年的有期徒刑和罚金，不可谓不重。但从这些年来个人信息泄露仍很严重的局面看，违法者“记吃不记打”，一方面，是利益诱惑太大，实在控制不住贪欲，这其实反映出责罚匹配可能存在问题，另一方面，处罚的及时性或许也要进一步加强，如果违法者吃得脑满肥肠、都快“撑死”了才被抓住，法律的严肃性肯定受影响。

切实保护个人信息，扭转个人信息泄露普遍且严重的局面，法律法规建设还要继续加把劲，只要认真、科学、有效率地推进这项工作，局面总归有逐渐好起来的希望。