一、当前存在的主要问题
1. “强制同意”与“知情同意”形式化:大量移动应用(APP)以“不同意则无法使用”的方式胁迫用户授权,使“知情-同意”原则落空。隐私政策冗长复杂,成为用户“阅读负担”,近八成用户在安装APP时“很少或从未”阅读。
2. 过度收集与滥用问题突出:违规收集使用个人信息现象屡禁不止。例如,部分智慧停车场APP强制关注公众号、过度收集行踪轨迹等敏感信息;一些物业企业违规使用人脸识别技术,未采取充分保护措施。
3. 安全防护薄弱与泄露风险高企:部分机构网络安全措施不足,数据接口暴露、内部管理不善,导致数据被“蚂蚁搬家”式窃取或内部泄露。2024年境内政企机构发生个人信息泄露风险事件超百起,涉及数据量巨大。
4. 监管协同与规则衔接有待加强:数据安全与个人信息保护在规则上存在一定交叉,执法中可能面临规则竞合与责任界定不清的挑战。跨部门、跨地区的协同监管机制仍需深化。
二、 原因分析
1. 企业逐利与合规成本悖论:部分企业将用户数据视为核心资产,追逐最大化利用而忽视保护义务。同时,全面的隐私合规涉及技术、管理、审计等多方面,成本较高,导致中小企业合规动力不足。
2. 技术隐蔽性与用户弱势地位:数据收集处理技术性强、具有隐匿性,普通用户难以察觉和举证。在“数据换服务”的模式下,用户议价能力弱。
3. 法律实施与监管威慑需持续强化:虽有“三法”为基,但配套细则、标准仍在完善中。执法虽已加强(如2025年网信办、最高检均发布典型案例),但全链条、穿透式监管能力建设仍需加强。
三、 具体建议
为切实破解“隐私困局”,建议构建“法律明责、监管协同、技术赋能、企业主责、公众参与”的多元共治体系。
(一) 健全法治体系,推动规则精准落地与协同
细化场景化规则:加快推动《互联网应用程序个人信息收集使用规定》等配套规章正式出台,针对APP、人脸识别、智慧停车等高频场景,制定更清晰、可操作的收集“最小必要”清单和合规指引。
强化法律间系统衔接:以新修订的《网络安全法》为契机,进一步明确其与《数据安全法》《个人信息保护法》在具体执法中的适用衔接与责任划分,减少规则模糊地带。
(二) 创新监管机制,提升执法效能与合力
1.深化全链条协同监管:推广检察机关在个人信息保护公益诉讼中“厘清职责、协同整改”的经验,建立网信、工信、公安、市场监管及行业主管部门的常态化信息共享与联合执法机制,实现对数据生命周期各环节的闭环监管。
2.推行“工程化”合规审计:严格落实《个人信息保护合规审计管理办法》,督促企业特别是大型平台,建立并留存可审计、可追溯的合规记录(如处理活动台账、影响评估报告),将合规从“纸面制度”转向“可验证的系统事实”。
3.强化技术监管能力:鼓励监管部门运用大数据、人工智能等技术手段,主动监测发现数据接口暴露、异常数据传输等安全风险。
(三) 压实企业主体责任,引导合规内生动力
1.强制推行“合规官”制度与问责:严格落实处理超百万用户信息的个人信息保护负责人(DPO)备案与履职要求,并将其责任履行情况与企业信用评价、行政处罚关联。
2.规范关键数据处理活动:人脸识别等生物识别信息应用,必须事先进行个人信息保护影响评估,并提供非生物识别方式的替代选项。数据出境活动,必须完成安全评估、标准合同备案等法定程序,并满足告知与单独同意等实质合规要件。
3.优化用户交互与权利保障:强制要求隐私政策“结构化”呈现、提供“一键访问”功能。严格规范账号注销流程,不得设置不合理障碍。
(四) 加强技术赋能与社会共治
1.鼓励隐私增强技术研发与应用:推广数据脱敏、差分隐私、联邦学习等技术在合规数据利用中的使用,从技术上实现“数据可用不可见”。
2.提升公众素养与维权能力:开展全民数字素养与个人信息保护教育,公布典型案例,普及识别违规收集行为的知识,畅通便捷的投诉举报渠道。
3.保护个人数据隐私是关系人民群众切身利益和数字经济健康发展的基础工程。必须秉持“以人民为中心”的发展思想,坚持统筹发展与安全,通过系统性、精准化的治理,真正筑牢个人信息的“安全防火墙”,让人民群众在数字社会发展中有更多获得感、幸福感、安全感。
