怎么让个人信息保护“长出牙齿”？

6月1日《中华人民共和国网络安全法》正式施行。网络安全其实是全方位的概念，既包括国家安全、社会安全，也包括个人信息的安全。这部法律和之前一个公众千呼万唤的《个人信息保护法》其实有交叉性的内容。

中国信息安全研究院副院长左晓栋透露，为落实《网络安全法》中对个人信息保护的原则和要求，国家标准《个人信息安全规范》已经报批，即将出台。同时，个人信息和重要数据出境安全评估办法也已经征求意见，近期就会发布。

面对铺天盖地的所谓“大数据营销”、“数据化驱动”，怎么保护公民正当的信息权利不被滥用、侵犯？怎么保证企业对公民的数据不动歪脑筯？怎么平衡公民权利和企业的数据利益？

据介绍，这次《网络安全法》的相关规定，明确了个人信息保护包括责任原则；目的明确原则；最少够用原则；同意和选择原则；开放透明原则等8个原则。

这让我想到了2012年，工信部直属的中国软件测评联合30多家单位起草过《信息安全技术、公共及商用服务信息系统个人信息保护指南》，当时这部国家“指南”，也明确了个人信息的保护原则包括：目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。比如，一些网站让用户填写家庭住址、手机号等很多信息，这就不符合“最少使用”原则。“指南”还规定“用后即删”机制，即，在收集个人信息阶段告知的“使用目的”达到后，应立即删除个人信息。

客观地说，5年来，这份国家“指南”实际还是没有管住IT企业甚至很多不知所谓企业、事业单位攫取、吞噬公民信息的问题。说到底，它是没有“牙齿”的，作为行业推荐规范，就算电信、银行、网站承诺采纳这套国标，也无法评估体制企业是否做到了“最少使用”、“用后即删”。事实上，这两年“大数据”方兴未艾，一些倒卖公民个人信息的违法行为，却堂而皇之地冠上了“大数据”、“数据驱动营销”、“用户画像”的高科技名头。这是浑水摸鱼，也歪曲了“大数据”的本义。

正规的“大数据分析”，必须以保护用户隐私权为基础，在进行“用户画像”等数据使用之前，必须对原始数据进行“脱敏处理”：水印(对局部信息的掩遮)、泛化(对数据进行更概括、更抽象的描述)、加密(应用密码技术对数据进行封装)、失真(采用添加噪声等方法对原始数据进行扰动处置，但要保持原有的数据统计方面的性质不变)、归并等。从信息的程序保障来说，保证数据从采集开始直至输出，任何数据的访问、使用，都必须经过特定的审批流程。

所以“大数据技术”绝对不是卖原始数据。这次的《网络安全法》也将这种“经过处理无法识别特定个人且不能复原的”信息，排除在了个人信息保护的范围之外。

现在的问题是怎么去用事前监督、事后惩罚，来防范企业违规收集、滥用公民信息。那就应该把一些客观性的程序规则、事后处罚明确的规定出来，不能让企业凭心情、按良心来自己执行。

比如，现在很多A pp的做法是“一次同意，频繁收集”，用户只同意了一次，A pp就可以频繁地收集用户的位置信息，明显就超越了征求用户同意时的“使用目的”，这就会异化成为信息勒索，这又回到了之前大家熟悉的那个“分粥者”的比喻，多少信息才是够用？不能由企业单方面说了算。

《网络安全法》明确的个人信息保护8项原则，看起来很美，但是如何让阳光照入现实，如何避免5年前工信部那个“指南”的教训？说到底，还是要让《网络信息安全法》《个人信息安全规范》长出“牙齿”，更多赋权于公民积极维护自身的信息权利，使用举证责任倒置、惩罚性赔偿倒逼企业不敢在个人信息方面做恶。