个人信息保护是世界性难题。不仅因为个人信息的收集、复制、传播太容易，还因为背后的商业价值被越来越多企业所看到。个人信息具有隐私属性，什么情况下可以获取使用个人信息，全社会需要一个基本共识。

    2017年5月9日，最高人民法院、最高人民检察院公布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，根据当前侵犯公民个人信息犯罪的特点，对相关犯罪行为的认定、定罪量刑标准，给出了更明确的说明，尤其是对网络运营者的责任和权利进行了强调。个人信息保护的难点，正在于信息在整个收集、使用过程中的不确定性所导致的权利与责任的不对称。

    就收集信息而言，作为个人信息侵权事件发生的源头，应尽可能少地收集个人信息。1995年欧盟颁布的《个人数据保护指令》在世界保护个人信息领域很具有代表性和影响力，其中，关于个人数据的处理原则，明确应合法、公正、适当，而不能过度，即收集个人信息要于法于规有据，收集数据的目的，以及收集数据之后对数据的进一步处理，都要经当事人同意，事先予以明确。2016年新修订通过的《欧盟数据保护通用条例》同样有类似的原则，即收集数据的目的是有限的，为此应收集尽可能少的数据。这些规定从源头上给个人信息的收集设置了一道屏蔽门。

    数据是当前互联网经济的重要基础，获取位置信息，才能跟进其他在地化服务，获取网上轨迹，才能有针对性地推荐相应的产品，从而实现“更懂你”的效果。但对这些信息是如何源源不断地被上传到互联网公司服务器的，不少用户除了惊叹自己简直没隐私之外，似乎做不了什么。如果有公司能及时告知用户，重视用户安全感受，相信能有双赢的效果。

    隐私协议也可以管窥其中的玄机。2017年3月，有媒体对国内50家网站和互联网应用的隐私协议拟定质量进行评价，结果超八成不合格，尽管多数网站和应用在声称保护个人信息方面做得还不够完备，但却几乎都注明可以随时更新用户协议和隐私政策。这也就意味着在用户使用某个网络产品时，一旦同意注册协议，之后个人信息收集、传播的各种遭遇自己是很难掌控的，很少有应用会强调使用个人信息的条款，在变更时提醒用户仔细阅读并酌情放弃使用产品。

    更可怕的是，很多用户其实在注册时根本不看协议内容，缺乏个人信息保护意识，“一个愿打一个愿挨”。个人信息领域的犯罪环节较多，隐蔽性较强，即使将来法律相对完备了，但徒法不足以自行，如果公民个人都不重视自己的信息安全，怎么能真正减少相关犯罪行为的空间呢？ 

    《南方周末》2017.6.8  文/王江涛