優(yōu)衣庫(kù)再被通報(bào)，過(guò)度索取權(quán)限問(wèn)題的法律解讀
文/葉雨秋

上海市網(wǎng)信辦近期對(duì)優(yōu)衣庫(kù)、滬上阿姨、可口可樂(lè)等13個(gè)知名品牌的通報(bào)，再次把APP、小程序過(guò)度收集個(gè)人信息的問(wèn)題推到了公眾面前。當(dāng)我們點(diǎn)一杯奶茶、買(mǎi)一件衣服、吃一頓快餐，都要被索要手機(jī)號(hào)、位置信息、通訊錄權(quán)限時(shí)，看似平常的操作背后，已經(jīng)埋下了個(gè)人信息泄露的隱患：輕則被推銷電話持續(xù)騷擾，重則信息被轉(zhuǎn)賣(mài)牟利，成為電信詐騙的精準(zhǔn)目標(biāo)，個(gè)人信息保護(hù)的防線，已經(jīng)到了不得不嚴(yán)織密扎的地步。
從法律層面看，這些品牌的操作早已踩在了違法的紅線上。《個(gè)人信息保護(hù)法》明確規(guī)定了個(gè)人信息處理的“最小必要”原則，也就是說(shuō)，商家收集信息必須局限在實(shí)現(xiàn)服務(wù)的最小范圍內(nèi)，買(mǎi)衣服不需要知道你的通訊錄地址，點(diǎn)外賣(mài)不需要獲取你的相冊(cè)權(quán)限，像部分商家那樣強(qiáng)制要求消費(fèi)者同意過(guò)度收集條款才能使用服務(wù)，本質(zhì)上是“霸王條款”，已經(jīng)涉嫌違反法律規(guī)定。
此前不少人覺(jué)得“不過(guò)是要個(gè)信息，沒(méi)什么大不了”，可實(shí)際上，一旦這些信息被泄露或者買(mǎi)賣(mài)，對(duì)應(yīng)的就是《民法典》中的侵權(quán)責(zé)任，情節(jié)嚴(yán)重的還可能觸犯《刑法》中的侵犯公民個(gè)人信息罪，最高可處七年有期徒刑，絕非“小事一樁”。
可現(xiàn)實(shí)中，過(guò)度收集個(gè)人信息的亂象之所以屢禁不止，核心癥結(jié)依然是違法成本太低。對(duì)這些年?duì)I收幾十億甚至上百億的品牌來(lái)說(shuō)，幾萬(wàn)、幾十萬(wàn)的罰款完全達(dá)不到震懾效果，相比通過(guò)用戶畫(huà)像精準(zhǔn)營(yíng)銷獲得的收益，違法成本幾乎可以忽略不計(jì)。更不用說(shuō)很多普通消費(fèi)者遇到信息被過(guò)度收集的情況，往往只能選擇“同意”或者“不用服務(wù)”，連維權(quán)的路徑都不清晰：不知道該向哪個(gè)部門(mén)投訴，不知道怎么舉證自己的信息是被哪個(gè)平臺(tái)泄露的，就算最后維權(quán)成功，獲得的賠償也遠(yuǎn)不及付出的時(shí)間精力成本。這種“商家違法獲益高、用戶維權(quán)成本高”的倒掛現(xiàn)狀，才是個(gè)人信息泄露問(wèn)題層出不窮的根源。
要堵住個(gè)人信息泄露的口子，法律的“牙齒”必須真正咬到痛處，更要明確穿透到APP、小程序背后的實(shí)際運(yùn)營(yíng)主體與責(zé)任人員。按照法律規(guī)定，品牌自營(yíng)的應(yīng)用由其品牌方作為責(zé)任主體，委托第三方開(kāi)發(fā)運(yùn)營(yíng)的，運(yùn)營(yíng)受托方與品牌委托方要承擔(dān)連帶責(zé)任，涉及信息數(shù)據(jù)存儲(chǔ)、處理的第三方服務(wù)商同樣要履行信息安全保護(hù)義務(wù)，一旦出現(xiàn)違規(guī)收集、泄露信息的情況，所有相關(guān)責(zé)任方都要被依法追責(zé)。
首先要加大處罰力度，對(duì)違反“最小必要”原則收集信息、甚至倒賣(mài)個(gè)人信息的商家，不能只罰錢(qián)了事，還要建立“黑名單”制度，情節(jié)嚴(yán)重的直接限制其線上服務(wù)資質(zhì)，對(duì)直接負(fù)責(zé)的主管人員、直接操作的技術(shù)負(fù)責(zé)人也要同步追責(zé)，不僅要處以個(gè)人罰款，情節(jié)嚴(yán)重的還要禁止其在一定期限內(nèi)從事相關(guān)互聯(lián)網(wǎng)運(yùn)營(yíng)、數(shù)據(jù)處理行業(yè)，讓違法的代價(jià)遠(yuǎn)高于獲益。
其次要暢通消費(fèi)者的維權(quán)通道，建立集體訴訟機(jī)制，只要能證明商家存在過(guò)度收集信息的行為，消費(fèi)者不需要單獨(dú)舉證自己受到的損失，就可以向所有相關(guān)責(zé)任方主張賠償，降低維權(quán)門(mén)檻。最后還要把監(jiān)管的關(guān)口前移，不能等泄露事件發(fā)生了再去追責(zé)，要對(duì)高頻使用的APP、小程序進(jìn)行常態(tài)化抽檢，上線前明確核驗(yàn)運(yùn)營(yíng)主體信息，從源頭上把違法的收集功能擋在上線之前。
我們正在進(jìn)入數(shù)字時(shí)代，個(gè)人信息是每個(gè)人最重要的數(shù)字資產(chǎn)，從來(lái)不是商家可以隨意索取、買(mǎi)賣(mài)的商品。法律保護(hù)的從來(lái)不是抽象的“信息”，而是每個(gè)公民的生活安寧和財(cái)產(chǎn)安全。

這次13個(gè)品牌被通報(bào)，只是治理的起點(diǎn)，只有讓每一個(gè)過(guò)度收集、隨意泄露個(gè)人信息的主體都付出應(yīng)有的法律代價(jià)，我們才能真正放心地享受數(shù)字服務(wù)的便利，不用再為“點(diǎn)一杯奶茶會(huì)不會(huì)被詐騙”而擔(dān)驚受怕。