2026年2月15日，某高铁站候车厅内使用手机的民众。IC photo丨图

　　“用户既难以真正知情，也难以自由同意。”十四届全国人大代表、中国科学院大学知识产权学院院长马一德概括了他过去一年调研的核心发现。2026年两会前夕，马一德告诉南方周末记者，他曾带着团队跑互联网企业、跑法院、跑市场监管部门，也跟普通用户聊了很久，得出的结论并不乐观：骚扰电话依然精准地打进来，App索取权限的弹窗依旧任性，用户在点击“我已阅读并同意”时面对两难处境——不勾选无法使用，勾选了又担心信息泄露，这些都成为数字生活里挥之不去的烦心事。

　　恰逢个人信息保护法颁布五周年，这部法律曾被寄予厚望，系统构建了以“知情同意”为核心的精密权利体系，被视为数字时代公民隐私的“权利宣言”。但在马一德看来，立法的高标准与实施的低成效之间，正在形成一道明显的落差。

　　马一德建议开展全国范围的个人信息保护执法检查，进而根据执法检查结果，尽快筹备和推动个人信息保护法开展首次全面修订。

　　在马一德看来，这并非一次运动式治理，而是一场针对数字生活痛点的系统性“体检”。既要梳理出那些困扰人们的具体问题，如隐私被过度收集、信息反复推送、精准营销等，更要挖掘法律实施在体制机制上的堵点，为下一步的制度完善和立法修订打下基础。

　　“将个人信息保护的负担完全置于个体身上，既不公平也不现实。”马一德说，面对“大规模、微损害、跨平台”的侵权特点，必须由国家承担起公民权益守护者的角色。而这场执法检查，正是迈向真正有效保护的关键一步。

　　南方周末：你在建议中提到“高水平立法、低水平实施”这个判断。对很多普通用户来说，直观的感受可能就是，有了个人信息保护法，骚扰电话、大数据杀熟好像并没少。调研中你发现了什么问题？

　　马一德：我认为当前最突出的问题在于立法标准与实际实施效果之间存在明显落差。在立法层面，个人信息保护法借鉴了欧盟《通用数据保护条例》（GDPR），确立了较高的保护标准，系统构建了包括知情同意、查阅复制、删除、更正、携带等权利在内的体系。然而，从普通用户的生活体验来看，骚扰电话、精准营销等现象依然频繁发生。用户很难判断App索取的各类权限是否必要，也无法清晰了解自身浏览记录、文化偏好和消费习惯被如何收集、分析和再利用，这些权利在实践中的行使率仍然偏低。

　　最典型的情形是，当前个人信息保护遵循“知情—同意”原则，即用户在了解相关信息后自主决定是否授权。但在数字消费场景中，这一原则往往形同虚设，这也正是制度失灵在文化场景中的具体体现。

　　实际上用户既难以真正知情，也难以自由同意。一方面，数据处理者与用户之间存在技术能力和信息的不对称，普通用户难以全面理解和评估信息收集与使用的风险。研究显示，一个人如果要真正理解自己访问的所有网站的隐私政策，需要花费数百小时，这根本不现实。另一方面，数字市场高度集中，缺乏充分竞争，“同意”常被形式化操作，用户无法真正自主决定是否授权。这种制度在文化消费、数字服务等日常场景中失效，体现了“高水平立法、低水平实施”困境。

　　马一德：用户很难判断App索取的各类权限是否必要，也无法清晰了解自身浏览记录、文化偏好和消费习惯被如何收集、分析和再利用。比如你搜索过某本书，之后所有平台都给你推同类内容，这种“精准”有时让人感到不安。这恰恰是我们说的“大规模、微损害”的特点。单次行为看似影响不大，但累积起来，平台通过算法和推荐机制，实际上在塑造和调整用户的行为和认知。这个过程是在用户难以感知的“黑箱”中进行的，个人很难判断自己的信息被如何使用，是否被过度加工。这种集中化、系统化的操作，即便单次影响微小，其累计效应也可能显著改变用户决策和行为，甚至引发人身、财产安全风险，比如电信诈骗、身份盗用。

　　仅仅依靠政府行政执法工作，难以建立起全面的个人信息保护体系。在实践中，行政执法同样面临明显局限：其一，信息不对称结构难以根本改变，个人信息处理活动高度嵌入平台内部技术系统和商业流程，具有较强专业性和隐蔽性，行政机关作为外部监管者，往往难以及时、全面掌握真实数据处理情况，监管更多呈现为事后介入和结果性纠偏；其二，监管资源和技术能力存在客观约束，在海量市场主体和复杂应用场景下，难以实现持续、动态、精细化监督，容易形成重点抽查式和选择性执法格局。

　　马一德：对。正是因为个人信息侵权具有“大规模、微损害”的特点，个体维权面临举证困难与成本收益失衡问题，许多侵害行为难以及时被感知和追究，形成所谓“隐私悖论”。我们不能期望每个人都去打官司，这不现实。在此情形之下，必须由国家承担公民权益守护者的责任，通过组织全国性执法检查，才能系统梳理数据收集与处理中的痛点和风险，形成更加系统有效的治理方案，确保普通用户在日常数字生活中获得实实在在的保护。

　　不过，我认为开展全国性的个人信息执法检查，其核心目的并非一举解决所有问题，而在于发现问题、梳理痛点，深入了解普通用户在数字生活中面临的实际困扰，如隐私被过度收集、信息反复推送或用于精准营销等。通过系统调研，可以为现行立法实施提供精准的反馈，为未来制度完善和立法修订奠定基础。

　　在提出这一建议前，我们已开展多方面调研，初步掌握当前立法实施存在的问题：一是实践调研，面向互联网企业、法院、市场监管部门及用户群体，了解个人信息收集、使用和保护的真实情况；二是理论研究，通过横向比较美国、日本、欧盟等国家和地区个人信息保护立法的发展经验，分析不同制度模式的优势与不足，为我们提供参考。

　　马一德：从全球个人信息保护的不同范式来看，欧盟以基本权利为出发点，将数据保护确立为一项基本权利，强调“数据主体”的个人权利，而美国则偏向市场导向，把个人视为“隐私消费者”，以风险防范为主。欧盟的做法深受历史文化影响，二战之后尤其注重人权保障，但在实践中也带来高合规成本和制度约束。其产业背景在于欧洲平台经济相对滞后，面对全球竞争压力，通过限制技术权力来保护数据主体和公平竞争。然而，这种高标准立法在文化产业和数字经济创新中也产生副作用：企业创新受到抑制，新兴业务模式和技术落地速度减缓，德国企业的实践评估印证了这一点。

　　相比之下，中国数字经济、平台经济和数据密集型产业发展迅速，数据基础设施完善，企业创新活跃，市场竞争格局与欧盟截然不同。因此，对于我国而言，欧盟经验的警示在于：不能简单照搬高约束模式，而应结合本国产业发展实际，更注重灵活保护与发展平衡，既要明确底线和权利保障，防止数据滥用，也要为技术创新、数据合理使用和产业发展留出空间，实现保护与创新的协调发展。

　　马一德：当前我国数字经济正处于高速发展阶段，平台经济、人工智能、大数据等新技术高度集成，个人信息已经成为重要生产要素。在这样的背景下，个人信息保护必须更加贴合我国国情、经济发展阶段和数字生态特点。

　　首先，个人信息保护不是对技术发展的束缚，而是与技术发展共融。保护制度应当引导技术在合法、可控范围内发挥最大价值，而不是一味防范风险。通过技术与治理的有机结合，可以在提升效率的同时保障个人权利。

　　其次，要充分发挥平台内部治理和现代技术手段的作用，提升制度可操作性。例如，通过平台自律、算法透明、数据加密等措施，实现对个人信息的有效保护，使保护机制在大规模、复杂的数据环境中真正落地。

　　最后，要注重发展与个人信息保护的平衡。制度设计既要保障公民基本权利，又要为产业创新和技术发展预留合理空间。在人工智能训练、数据共享、跨平台服务等场景中，可以设定明确的有限例外和合规要求，使数据在合理范围内流动，同时不损害个人自主权和选择权。

　　南方周末：在数据隐私保护模式上，美日的“选择退出”机制与我国坚持的“选择进入”原则是很不一样的？

　　马一德：是的，“选择进入（Opt-in）”和“选择退出（Opt-out）”是两种不同的数据隐私保护模式。“选择退出”机制允许企业在收集和处理个人数据时无需事先获得用户同意，但必须保留用户随时撤回的权利；也就是说，企业可以默认收集数据，但一旦用户要求停止处理，企业必须立即执行。而“选择进入”机制则要求企业在收集和处理个人数据前必须征得用户明确同意，这种方式更能保障个人信息安全与用户自主权，也是我国现行个人信息保护制度的核心原则。

　　我认为，我们国家可以在坚持“选择进入”的基础上借鉴“选择退出”，形成一种灵活的融合模式，用于解决特定情形下的数据合理流动问题。举一个典型例子，反垄断或数据市场竞争中，某些支配性平台掌握了大量关键数据，而其他市场主体无法通过常规途径获得这些数据。如果严格执行“选择进入”，其他企业可能因无法获取数据而失去创新和竞争机会，形成制度悖论。此时，可在法律允许的前提下，引入有限的“选择退出”作为例外，在实施中应当同步引入用户权利的保障机制，一是要求平台在用户同意前承担善意保管义务，不得进行数据处理利用；二是必须确保未经用户明确同意，数据不能被处理，且用户拒绝后数据必须立即销毁或停止使用。在此前提下，可以兼顾个人信息保护与数据合理流动，使数据在促进产业创新、技术发展和市场公平竞争的同时，不损害用户自主权和信息安全。

　　当地时间2026年2月6日，韩国首尔，Coupang公司被曝新增16.5万余起个人信息泄露事件。此前，该公司曾于2025年11月确认发生个人信息泄露事件。图为2026年2月6日韩国首尔一家物流中心堆放的印有该公司商标的包裹。视觉中国丨图

　　南方周末：个人信息是数字经济的生产要素，也是数字文化产业发展的重要基础，比如人工智能生成文化内容需要大规模数据训练，您提出为人工智能训练数据设“有限例外”，这一例外该如何划定边界，避免成为数据滥用的借口？

　　马一德：“有限例外”的核心不在于放松保护，而在于明确边界、强化条件。首先，应坚持目的限定原则，仅在公共利益显著、创新必要性明确的前提下，允许对部分个人信息进行去标识化、匿名化处理后用于训练。其次，应严格限定数据类型，原则上排除敏感个人信息，将可用范围控制在对个体权益影响较小的数据集合内。再次，引入程序性约束，要求开展人工智能训练前进行隐私影响评估，并接受主管部门或第三方的合规审查。最后，强化责任追溯，一旦数据被用于超出训练目的的商业开发或重新识别个人，应承担更高标准的法律责任。通过“条件—程序—责任”三重约束，使例外成为受控通道，而非规避法律的灰色空间。

　　马一德：对文化类平台而言，个人信息既是创新资源，也是合规风险来源，关键在于制度如何引导其形成“保护即竞争力”的认知，我觉得可以从以下方面入手：一是合规激励，将高水平个人信息保护纳入平台评级、行业评优和政策扶持条件，对主动开展隐私影响评估、信息最小化设计的平台给予正向激励。二是治理激励，鼓励平台建立独立的数据伦理委员会或首席隐私官制度，对文化内容推荐、用户画像构建等核心环节进行内部审查，使合规内嵌于产品设计，而非事后补救。三是创新激励，通过明确“合规安全区”，让企业清楚哪些数据利用行为是被法律认可的，从而敢于在合法边界内进行内容创新。只有当企业看到“守法不吃亏、保护有回报”，自我治理才能从被动成本转化为长期竞争优势。

　　马一德：我建议采用多委员会、多领域人大代表共同参与的执法检查架构，同时面向监管部门、企业、普通用户多方调研，这主要基于两个标准：全面性和深入性。

　　首先是全面性。个人信息保护问题已经广泛嵌入经济运行、公共治理和日常生活的各个领域，仅依靠单一部门或单一视角，很难全面反映制度运行的真实状况。通过吸纳来自不同专门委员会、不同专业背景的人大代表，可以覆盖数字经济、文化产业、公共服务、金融、医疗、教育等多种场景，同时结合法律、技术、产业和社会治理等多重视角，避免执法检查流于碎片化或仅停留在个别行业的问题呈现，从整体上把握个人信息保护法的实施成效和共性短板。

　　其次是深入性。数字产业和数字消费场景高度专业化、技术化，很多问题并不体现在制度文本层面，而隐藏在具体业务流程、算法设计和商业模式之中。因此，在调研中引入产业代表和一线从业者的声音，能够帮助检查组深入理解不同细分领域的特殊风险和合规难点，挖掘那些“法律上看不见、实践中很突出”的问题。同时，通过直接面向普通用户开展调研，可以真实反映个人在数字消费中的体验感受，避免制度评估与公众感受脱节。

　　在具体调研过程中，应当重点关注高频、高依赖、高黏性的数字消费场景，如内容平台、社交媒体、在线教育、智能终端和算法推荐服务，围绕数据收集边界、同意机制设计、个性化推荐强度以及未成年人和老年人等重点群体的保护情况展开，确保执法检查既“看得全”，又“挖得深”，为后续制度完善和立法修订提供扎实、可信的实践基础。

　　马一德：从五年实施情况看，个人信息保护法在基本框架和价值取向上是成熟的，但在应对复杂多变的数字场景时，仍然存在规范密度不足、可操作性不强的问题。我认为应该尽快筹备和推动个人信息保护法开展首次全面修订，修订中至少有两个方面需要特别重视：

　　一方面，要花大力气解决实施体制和救济机制的问题。当前个人信息侵权具有“大规模、微损害、跨平台”的显著特征，单个个体往往难以举证、维权成本过高，导致法律权利在实践中“看得见、用不上”。因此，有必要在法律层面进一步完善公益诉讼、代表人诉讼与行政执法等法律实施和衔接机制，明确不同路径的启动条件和功能分工，形成多元救济体系。通过制度设计，让普通个人在维权成本可控、程序路径清晰的前提下，真正有渠道、有动力维护自身合法权益。

　　另一方面，需要对第13条关于“无需取得个人同意”的例外情形进行系统性扩展和精细化重构。在现行以“知情—同意”为核心的一般制度架构下，第13条虽已列举若干法定例外，但受限于当时的立法背景，相关情形仍相对有限，主要集中于应急处置、履行法定职责、舆论监督等传统场景。随着个人信息保护全面嵌入数字经济、公共治理、文化产业和人工智能发展等领域，单一的同意规则已难以有效协调多元公共利益与创新需求。未来修订中，有必要在严格条件和程序约束下，更加科学、审慎地扩充例外条款的适用范围，通过明确目的限定、最小必要、风险评估和责任追溯等规则，构建既能防止滥用，又能回应现实需求的制度安排，使个人信息保护体系更加成熟、理性和可持续。

　　2026年3月4日，江苏常州一家书店里的个人信息保护法规汇编普法图书。视觉中国丨图

　　南方周末：数字时代的传播强调个性化、精准化，而个人信息保护强调信息安全，该如何找到二者的平衡点？

　　马一德：个性化传播与个人信息保护并非天然对立，二者的关键分野不在于“要不要个性化”，而在于是否坚持“以人为中心”的制度和技术设计逻辑。真正的问题不是技术能力过强，而是约束和引导是否到位。

　　平衡的基础在于严格落实数据最小化原则，通过技术和制度手段实现“有效个性化”，而不是“无限采集”。个性化推荐并不必然要求全面、长期、跨场景地收集个人信息，应当围绕特定目的、特定场景所必需的数据进行处理，避免将“提升体验”异化为扩大数据占有的正当化理由。

　　应当强化用户的可感知、可控制权利，避免个性化沦为“不可见的技术支配”。这不仅包括对算法推荐基本逻辑的必要透明，也包括赋予用户对推荐强度、推荐频率以及所使用数据类型的真实选择权。只有当用户能够“看得懂、选得了、关得掉”，个性化服务才具有正当性基础。

　　最后，在监管层面，应当逐步从单纯的结果导向，转向对数据处理全过程的合规性监管，将重点放在目的设定、规则设计和风险预防上，由政府发挥兜底保障作用，同时引导行业自律，形成“个人自主选择—平台审慎设计—政府有效监督”的良性结构。

　　真正的平衡，不是牺牲个人尊严和安全换取便利，而是让个性化服务在尊重人的前提下提升数字生活质量。

　　马一德：对于普通民众而言，应当主动关注自身权利，合理行使个人信息保护法赋予的同意撤回、查询、更正、删除等权利，对不规范软件保持谨慎态度；同时，可以通过选择可信平台、减少不必要的授权以及关注推荐算法透明度等方式，维护自身文化偏好类信息权益，使个性化服务在尊重个人信息安全的前提下得以实现。

　　马一德：我期待的数字生活，并不是技术被全面约束、创新被人为压低的状态，而是在技术高速发展的同时，每个人都能感到安心、被尊重、有选择权。数字生活在很大程度上取决于技术进步的方向，但个人信息保护的意义，并不在于与技术对抗，而在于守住底线价值，确保公共安全和人的主体地位不被削弱。

　　当个人信息保护规则更加成熟后，并不是让技术变慢，而是让技术变得谦逊、可控。技术可以更懂人，但不应“看穿人”；平台可以提供个性化服务，但不能通过数据积累形成对个体的隐性支配。个人不必再为了便利而被迫让渡过多隐私，也不必在不知情、不理解的情况下被持续画像、被精准操控。当规则能够有效约束技术权力时，数字社会才能真正成为一个尊重个体尊严、保障自由选择、让人愿意长期参与和信任的社会。