优衣库再被通报，过度索取权限问题的法律解读|优衣库|泄露|法律解读|违法

优衣库再被通报，过度索取权限问题的法律解读
文/叶雨秋

上海市网信办近期对优衣库、沪上阿姨、可口可乐等13个知名品牌的通报，再次把APP、小程序过度收集个人信息的问题推到了公众面前。当我们点一杯奶茶、买一件衣服、吃一顿快餐，都要被索要手机号、位置信息、通讯录权限时，看似平常的操作背后，已经埋下了个人信息泄露的隐患：轻则被推销电话持续骚扰，重则信息被转卖牟利，成为电信诈骗的精准目标，个人信息保护的防线，已经到了不得不严织密扎的地步。
从法律层面看，这些品牌的操作早已踩在了违法的红线上。《个人信息保护法》明确规定了个人信息处理的“最小必要”原则，也就是说，商家收集信息必须局限在实现服务的最小范围内，买衣服不需要知道你的通讯录地址，点外卖不需要获取你的相册权限，像部分商家那样强制要求消费者同意过度收集条款才能使用服务，本质上是“霸王条款”，已经涉嫌违反法律规定。
此前不少人觉得“不过是要个信息，没什么大不了”，可实际上，一旦这些信息被泄露或者买卖，对应的就是《民法典》中的侵权责任，情节严重的还可能触犯《刑法》中的侵犯公民个人信息罪，最高可处七年有期徒刑，绝非“小事一桩”。
可现实中，过度收集个人信息的乱象之所以屡禁不止，核心症结依然是违法成本太低。对这些年营收几十亿甚至上百亿的品牌来说，几万、几十万的罚款完全达不到震慑效果，相比通过用户画像精准营销获得的收益，违法成本几乎可以忽略不计。更不用说很多普通消费者遇到信息被过度收集的情况，往往只能选择“同意”或者“不用服务”，连维权的路径都不清晰：不知道该向哪个部门投诉，不知道怎么举证自己的信息是被哪个平台泄露的，就算最后维权成功，获得的赔偿也远不及付出的时间精力成本。这种“商家违法获益高、用户维权成本高”的倒挂现状，才是个人信息泄露问题层出不穷的根源。
要堵住个人信息泄露的口子，法律的“牙齿”必须真正咬到痛处，更要明确穿透到APP、小程序背后的实际运营主体与责任人员。按照法律规定，品牌自营的应用由其品牌方作为责任主体，委托第三方开发运营的，运营受托方与品牌委托方要承担连带责任，涉及信息数据存储、处理的第三方服务商同样要履行信息安全保护义务，一旦出现违规收集、泄露信息的情况，所有相关责任方都要被依法追责。
首先要加大处罚力度，对违反“最小必要”原则收集信息、甚至倒卖个人信息的商家，不能只罚钱了事，还要建立“黑名单”制度，情节严重的直接限制其线上服务资质，对直接负责的主管人员、直接操作的技术负责人也要同步追责，不仅要处以个人罚款，情节严重的还要禁止其在一定期限内从事相关互联网运营、数据处理行业，让违法的代价远高于获益。
其次要畅通消费者的维权通道，建立集体诉讼机制，只要能证明商家存在过度收集信息的行为，消费者不需要单独举证自己受到的损失，就可以向所有相关责任方主张赔偿，降低维权门槛。最后还要把监管的关口前移，不能等泄露事件发生了再去追责，要对高频使用的APP、小程序进行常态化抽检，上线前明确核验运营主体信息，从源头上把违法的收集功能挡在上线之前。
我们正在进入数字时代，个人信息是每个人最重要的数字资产，从来不是商家可以随意索取、买卖的商品。法律保护的从来不是抽象的“信息”，而是每个公民的生活安宁和财产安全。