□ 胡立彪

　　前不久，AI换脸软件ZAO因其用户协议和隐私协议被指“霸王条款”而备受舆论关注。尽管ZAO所属北京陌陌科技有限公司相关负责人已被监管部门约谈，该公司也很快作出回应，向公众致歉，并修改了涉及用户隐私、肖像权使用等方面的条款，但民众对由ZAO及类似App在用户信息索取及私隐权益保障上暴露出的网络信息安全问题，仍不放心，疑虑难消。

　　法律人士表示，从ZAO犯众怒的规定看，其对用户上传内容“有权在全球范围内完全免费、不可撤销、永久、可转授权和可再许可地使用、修改、编辑”，明显存在过度攫取用户授权的嫌疑，这会让用户无形中将自己的肖像权拱手让人。其可能的严重后果之一，是在人脸识别技术日益普及的当下，传统运用人脸识别或生物识别技术的应用面临被突破的风险。此前曾有报道称，有研究团队将照片变成了可眨眼、可动嘴的动态照片，成功实现刷脸登录，并多次攻破活体检测这一人脸识别中的重要环节。

　　当然，App过度索取用户信息并不一定就是用来进行侵入用户账户等直接损害用户利益的恶意活动，它们多是希望通过更多地获取用户信息掌握足够丰富的数据，以实现信息溢价。某种意义上说，数据的多寡直接关系到互联网企业的资本估值。正是基于对数据价值的重视，现在很多互联网企业将萃取汇集大数据作为企业的核心资本。这些数据包括消费者的隐私信息或个人信息集成，比如财产收入状况、居住地址、年龄、消费偏好、每日活动轨迹等。企业利用黏性设计，把众多的消费人群吸引住，然后再萃取更多数据。借助这些数据，企业可以给用户精准“画像”，并向其推送广告等获取收益。

　　不过，正如有学者指出，上述做法虽然可为企业提供可观的回报，却形成了对用户信息乃至个人隐私的侵入。有互联网企业曾打出“比你的父母更了解你”的对外宣传口号，以彰显公司拥有的大数据能力，但这种深入全面的“了解”让人害怕。用户担心，自己的隐私成为互联网企业海量数据的组成单元，被无节制地转让给其他企业，随意应用于商业化变现，最终形成用户信息的“流通黑洞”。实际上，不少互联网企业已经在做着违背用户意愿，同时侵犯其权益的事。这些事并不止于擅自使用用户信息来帮助实现企业自身的推广、经营，有的企业将用户信息打包出售，这种情况也时有发生。而随着追踪功能的日益强大，数字用户个人信息遭泄露、隐私被侵犯的事件也越来越多。

　　面对用户网络信息安全日益受到威胁的现状，不少人建议应尽快完善相关法律，对互联网企业索取及利用用户信息行为严加监管。但法律红线怎么划，需要慎重考虑。首先要理清用户个人信息权、隐私权与企业获取大数据资源之间的关系。若片面强调用户个人信息权和隐私权而过多限制，甚至不允许企业获得用户信息，企业就无法开发适合用户使用的App及其他程序，压抑企业开发大数据的积极性和创造性。而企业也不能因为追求大数据这一核心资产，而忽视用户个人隐私权和信息权。企业的大数据与用户的隐私权应并行不悖，关键是要找到中间的契合点。

　　全国信息安全标准化技术委员会不久前发布《互联网应用收集个人信息基本规范(草案)》，明确了App收集个人信息应满足的管理要求和技术要求，这实质上就是通过标准手段寻找契合点。《规范》还要求，对外共享、转让个人信息前，App应事先征得用户明示同意，这其实也是在试图划一条保障信息安全的边界。

　　除了完善法规标准，并通过全方位监管打击侵犯用户隐私行为，还可以考虑引入“三方制衡原则”，即将涉隐私的个人数据所有者、运营者和管理者相分离，避免一个主体既是裁判又是运动员。要把这种制衡的能力商业化，鼓励一种能够制衡企业利用用户数据的产业快速发展，从而形成长期持续的市场化监管。