车险即将到期，不少车主反映频繁接到保险公司的陌生推销电话，对方甚至能准确说出个人信息。有媒体调查发现，部分保险中介机构的用户注册协议或隐私协议中存在“授权将联系方式及间接用户画像用于‘合作伙伴产品推荐’”等侵权条款。

保险行业属于“个人信息密集型行业”，涉及数据要素多、保护链条长、风险点分散。相关经营主体掌握着生物识别、金融账户、家庭关系、财产状况、就医健康等敏感个人信息。相关企业不能借“行业惯例”之名倒卖用户信息。铺天盖地的营销信息，不仅会打扰用户正常生活、引起反感、丢失潜在客户，也会引发公众对信息安全的质疑，损害整个行业的公信力。

个人信息保护法规定，收集和处理个人信息都应遵循“最小必要”原则，即限于实现处理目的的最小范围。此外，为确保互联网保险销售行为的可追溯性，防止销售误导，原银保监会于2020年发布《关于规范互联网保险销售行为可回溯管理的通知》，要求保险机构记录“投保人在销售页面上的操作轨迹”。但某些机构却将其扩大为收集浏览历史、点赞记录等无关数据。将满足监管的必要收集与商业目的的信息收集混为一谈，有误导消费者、过度收集信息之嫌。

此类“沉默式”侵权条款往往隐藏在复杂的协议文本之中，较高的阅读成本和理解门槛，很可能让用户在无准确认识的情况下，同意了服务提供者超出“最小必要”原则的信息收集，倘若用户阅读后不同意协议，又得承担包括无法使用在内的潜在后果。

尽管近年来我国形成了由网络安全法、数据安全法、个人信息保护法构成的数据合规顶层法律框架，开展了各类违法违规收集使用个人信息专项治理行动，百姓的个人信息保护意识也在不断提高，但个人信息违规收集现象仍屡禁不止。背后除了利益方对合规成本与违规收益的考量，也有“最小必要”原则相对模糊、数据流转黑箱化、技术滥用隐蔽等因素。因此，要治理个人信息的过度获取和不当使用，单靠用户的“火眼金睛”或企业的“道德自觉”远远不够，还得细化场景规则，做到有效告知，提高违规成本，建立刚性约束。

苏群超