■本报记者 武晓莉
　　记者：违法采集是用户个人信息泄露的前提。请问目前我国对网络服务提供商、网络应用提供商采集用户个人信息有什么要求？
　　薛峰：用户对个人信息有权予以控制。随着自媒体和大数据时代的到来，信息数据纷繁复杂，采集主体可能呈现出多样化。某些主体通过自媒体形式提供的有关他人的信息，不仅包括信息自身的法律问题，还会引发姓名权、肖像权等其他法律问题。目前，《中华人民共和国消费者权益保护法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等法律法规和部门规章，都对网络服务提供商、网络应用提供商采集用户个人信息进行了规定。
　　记者：用户信息采集的原则是什么？什么是过度采集？违法采集如何界定？法律对用户信息的使用有何规定？
　　薛峰：《全国人民代表大会常务委员会关于加强网络信息保护的决定》明确规定，用户信息采集的原则包括：一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息，应当公开其收集、使用规则。三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。四、网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。
　　过度采集也是没有依法向用户个人采集个人信息的情况。广义的过度采集包括没有采集权的主体收集个人信息和采集程序不合法。狭义的过度采集仅指采集的个人信息超过了与其提供的服务、工作范围的情况。
　　对于过度采集，可以从主体、内容和程序等方面进行判断。主体的判断，就是根据主体是国家机构、公共服务性机构和营利性机构等的不同性质，兼顾该主体的采集目的，如商业目的、政府执法目的、科学研究等的不同，判断其所拥有的采集权限，予以区别对待。超出其主体权限的采集和使用属于过度采集。内容的判断，就是判断收集的个人信息是否超过了采集者提供的服务、工作需要。超出范围的，属于过度采集。程序的判断，是判断采集者在采集过程中是否依法履行了告知、公开等法定程序。违反程序的采集属于过度采集。
　　记者：相关法律执行情况如何？问题在哪里？
　　薛峰：徒法不足以自行。现实社会中，很多涉及电信、银行、保险、医疗等的个人信息，被不断地强行收集、利用，甚至已经形成了产业链。
　　问题主要表现在：一是法律法规的有关规定不成体系，有的规定位阶较低，难以发挥效果；二是多头执法，监管不力；三是执法办案中发挥法律的个案预防和社会预防的效果不理想。
　　究其原因，一方面，高科技的迅速发展和运用，社会进步很快，对各种信息需求量很大，用户个人信息被各种渠道收集着；另一方面，社会诚信存在问题，影响着法律的执行效果；为了利益，有些人使出浑身解数钻法律的空子，甚至不惜以身试法；第三，法律的滞后，尤其是有关高科技方面的立法、司法相对滞后，使人们难以判断相关行为的性质，影响了对相关违法行为的防范和惩罚。
　　记者：应该如何完善？
　　薛峰：一是重新审视有关个人信息的理念。互联网时代，随着信息二次利用价值增大，对信息需求量激增，个人管理信息的传统方式难以适应形势的需要，个人绝对管理信息的方式不利于信息的流动和利用。因此，为了适应形势需要，有必要对个人绝对管理信息的传统方式予以松动，同时加大信息使用者的法律责任。这样既能兼顾社会对信息的需求，又能避免个人承担过重的审查义务，更好地保护个人。
　　二是根据大数据时代和网络运行的特点，结合保护用户个人信息的需要，从主体、内容、采集、处理、使用和披露以及法律责任连带等方面完善个人信息保护的法律，尤其是对于一些非常敏感的个人信息明确规定特别制度。
　　记者：用户个人信息保护如何维权？
　　薛峰：用户可以要求行政主管部门查明违法者的违法行为，予以行政处罚。构成犯罪的，追究刑事责任。也可以自己提起民事诉讼，维护民事权益。
　　相比较而言，由国家主导的、追究违法行为者的刑事、行政法律责任难度小一些。由于高科技、专业化和网络化等原因，用户个人维护信息的维权行为难度很大，主要是难以取证。