2018年初的“支付宝年度账单事件”标志着一个新时代的来临。这里的“新”不只意味着这是数字经济勃兴而至盛大的时代，更意味着这是一个主要矛盾发生重大变革的时代，一个从“人民日益增长的个人信息安全需要与落后保护水平的矛盾”，转向“人民日益增长的个人信息权利需求与不平衡不充分保护的矛盾”的时代。尽管这个新时代当下仅仅初露端倪，但它必将给数字化生存的我们带来深远影响。

支付宝、芝麻信用究竟做错了什么？

在约谈支付宝、芝麻信用相关负责人后，网信办网络安全协调局最终认定：“支付宝、芝麻信用收集使用个人信息的方式，不符合刚刚发布的《个人信息安全规范》国家标准的精神，违背了其前不久签署的《个人信息保护倡议》的承诺；应严格按照网络安全法的要求，加强对支付宝平台的全面排查，进行专项整顿，切实采取有效措施，防止类似事件再次发生。”

这段措辞严谨的结论释放出明暗两大信号：在明的一面，支付宝、芝麻信用有悖于《个人信息安全规范》国家标准和《个人信息保护倡议》；但在暗的一面，监管机构并未认定支付宝、芝麻信用违反了《网络安全法》《消费者权益保护法》等法律。这样的区隔并非无因。事实上，不论是《芝麻服务协议》的条款内容，还是其设置方式都没有违法。即便是饱受诟病的默认勾选方式，也很难说侵犯了用户的知情权和选择权，因为其不但标明：“为了供您了解您这一年以来的信用成就，您同意下面的《芝麻服务协议》，并允许支付宝查询您的芝麻分及信用履约记录等信息，为您将其展示在年度账单中。如果您已经是芝麻信用用户，您无需重复签订《芝麻服务协议》”，而且用户仍然可以通过点击操作取消勾选。

但是，不违反拥有国家强制力的“硬法”，并不意味着不会违反具有自我规制性质的“软法”。正如不久前携程捆绑销售引发的风波那样，默示勾选的关键不在于是否披露或如何披露信息，而在于它事先预设了“用户同意”的框架，从而实质上限制了消费者的自由。2017年诺贝尔经济学奖获得者理查德·塞勒和法学家桑斯坦在《助推》一书告诉我们，由于“既来之，则安之”或被戏称为四字魔咒的“来都来了”的态度，人们会不自觉地陷入一种“现状偏见”；所谓“默认选项”有着强大的助推功能，它能够吸引更多的眼球，并成为人们的最终选择结果。所以，“默示勾选”——这一互联网行业为追求便利性和用户体验所采取的一种普遍做法并不正当，因为它不当利用了人的“不理性”。

为了填补法律的漏洞，中央网信办、工信部、公安部、国家标准委在网络产品、服务隐私条款评审中，特别要求必须存在用户的书面声明或主动做出点击“同意”、“下一步”“注册”“发送”“拨打”的肯定性动作，才能对其个人信息进行特定处理，该要求被近日发布的《个人信息安全规范》第3.6条“明示同意”所确认。不过，由于该规范到2018年5月1日才正式生效，中央网信办只是认定违反了《个人信息安全规范》的精神，而非直接违规。同时，蚂蚁金服、腾讯、新浪、京东等10家企业于2017年9月签署的《个人信息保护倡议书》亦声明，不使用“一揽子协议”的方式强迫用户打包授权收集个人信息。显而易见，支付宝年度账单不仅不符“明示同意”的规定，而且将“同意《芝麻服务协议》”“同意支付宝向芝麻信用调取数据”和“同意生成支付宝年度账单”相捆绑，也违反了《个人信息保护倡议书》的承诺。

蚂蚁金服“花呗”服务协议惹风波，信息收集是否越界？

个人信息的“非法泄露”以及由此导致的电信诈骗、侵犯隐私、损害名誉等恶行，一直是公众对个人信息的最大担忧。据不完全统计，国内个人信息泄露数达55.3亿条左右，平均每人就有四条相关的个人信息泄露。中国青年政治学院互联网法研究中心与封面智库于2016年11月发布的《中国个人信息安全和隐私保护报告》充分证实这一点。在 104 万 8575 份调查问卷中，认为个人信息泄露问题“严重”或“非常严重”的比例高达72%。在徐玉玉案件的压力下，个人信息保护的重心始终放在如何治理黑色产业源头上，2017年5月，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》发布，便是对这一关切的有力回应。

世变时移，个人信息泄露与保密之间的矛盾还没有解决，新的矛盾又开始出现。2017年5月1日生效的《网络安全法》在传统侵权责任法的消极安全保障之外，另外赋予用户删除权、更正权的积极权利，并将“用户同意”纳入个人信息收集、使用的前提。对个人信息主动性权利的增长改变了政府的监管方向和公众的期待。2017年7月，中央网信办、工信部、公安部、国家标准委联合启动“个人信息保护提升行动”，对阿里巴巴、腾讯、新浪等国内领先的网络公司展开调查，重点则放在隐私条款的内容、展示形态、征得用户同意等三个方面。媒体亦把握到了这一新动向。在2017年末南方都市报发布的《2017个人信息保护年度报告》，就测评了10多个行业、1550个网站和APP，隐私协议不透明和APP过度获取用户信息成为首当其冲的问题。

如果说之前是“个人信息安全需要与落后保护水平”的矛盾，那么如今已转变为“日益增长的个人信息权利需求与不平衡不充分的保护”的矛盾。

“不平衡”主要体现为不同主体之间对个人信息保护的不平衡。据统计，截至2017年12月20日，全国公安机关2017年累计侦破侵犯公民个人信息案件4911起，涉案公司164家，其中，房地产公司、金融商贸类公司等线下行业达半数以上，线上行业中则以互联网金融企业为多。《2017个人信息保护年度报告》亦显示，隐私政策的透明度分布呈陡峭的金字塔型，即超过总数80%的得分很低，少数透明度高的产品往往为大型互联网企业所运营。此外，党政机关和教育、卫生、人社等事业单位个人信息安全防护缺位，也是公民个人信息泄露的重要原因之一。事实上，随着公众个人信息保护意识的提升，越来越多的网络企业已经越发将个人信息保护作为核心竞争优势，与之相反，游离于激烈的线上市场竞争之外的信息持有者，只追求短期利益、不考虑长远发展的互联网企业以及丝毫不顾及用户的数据黑产，才是个人信息的最大威胁。

“不充分”则表现为个人信息保护未能贯穿其生命周期的始终。所谓“个人信息生命周期”，即个人信息被收集、存储、利用、传输/分发/共享、删除的全周期。在实践中，信息持有者将大部分精力放在收集的合法性、必要性、准确性，存储的安全性以及利用的有效性上，而多少忽视了个人信息在传输/分发/共享和删除方面的正当性。在支付宝年度账单事件中，支付宝和芝麻信用的关联关系以及数据在两者中的共享问题，芝麻信用将其数据向第三方合作机构提供的流动问题，以及芝麻信用在服务终止后仍可继续保留用户信息的问题，都反映出公众对安全以外的新诉求。

从深层次观察，个人信息保护不平衡、不充分的背后，是现行个人信息保护法律的不平衡、不充分。《全国人大常委会关于加强网络信息保护的决定》《民法总则》对个人信息保护的规定过于宽泛，而只具有权利宣示的意义；《网络安全法》固然将个人信息保护单列一章，但受限于立法目，保护范围狭窄；而《个人信息安全规范》则因法律层级过低，难以完全发挥作用。因此，我们亟待汲取既有经验，反思过往教训，重塑我国个人信息保护制度。

（许可）