全国人大代表马一德：个人信息保护不能只靠“勾选同意”

2026年2月15日，某高铁站候车厅内使用手机的民众。IC photo丨图

“用户既难以真正知情，也难以自由同意。”十四届全国人大代表、中国科学院大学知识产权学院院长马一德概括了他过去一年调研的核心发现。2026年两会前夕，马一德告诉南方周末记者，他曾带着团队跑互联网企业、跑法院、跑市场监管部门，也跟普通用户聊了很久，得出的结论并不乐观：骚扰电话依然精准地打进来，App索取权限的弹窗依旧任性，用户在点击“我已阅读并同意”时面对两难处境——不勾选无法使用，勾选了又担心信息泄露，这些都成为数字生活里挥之不去的烦心事。

恰逢个人信息保护法颁布五周年，这部法律曾被寄予厚望，系统构建了以“知情同意”为核心的精密权利体系，被视为数字时代公民隐私的“权利宣言”。但在马一德看来，立法的高标准与实施的低成效之间，正在形成一道明显的落差。

马一德建议开展全国范围的个人信息保护执法检查，进而根据执法检查结果，尽快筹备和推动个人信息保护法开展首次全面修订。

在马一德看来，这并非一次运动式治理，而是一场针对数字生活痛点的系统性“体检”。既要梳理出那些困扰人们的具体问题，如隐私被过度收集、信息反复推送、精准营销等，更要挖掘法律实施在体制机制上的堵点，为下一步的制度完善和立法修订打下基础。

“将个人信息保护的负担完全置于个体身上，既不公平也不现实。”马一德说，面对“大规模、微损害、跨平台”的侵权特点，必须由国家承担起公民权益守护者的角色。而这场执法检查，正是迈向真正有效保护的关键一步。

失灵的“知情同意”

南方周末：你在建议中提到“高水平立法、低水平实施”这个判断。对很多普通用户来说，直观的感受可能就是，有了个人信息保护法，骚扰电话、大数据杀熟好像并没少。调研中你发现了什么问题？

马一德：我认为当前最突出的问题在于立法标准与实际实施效果之间存在明显落差。在立法层面，个人信息保护法借鉴了欧盟《通用数据保护条例》（GDPR），确立了较高的保护标准，系统构建了包括知情同意、查阅复制、删除、更正、携带等权利在内的体系。然而，从普通用户的生活体验来看，骚扰电话、精准营销等现象依然频繁发生。用户很难判断App索取的各类权限是否必要，也无法清晰了解自身浏览记录、文化偏好和消费习惯被如何收集、分析和再利用，这些权利在实践中的行使率仍然偏低。

最典型的情形是，当前个人信息保护遵循“知情—同意”原则，即用户在了解相关信息后自主决定是否授权。但在数字消费场景中，这一原则往往形同虚设，这也正是制度失灵在文化场景中的具体体现。

实际上用户既难以真正知情，也难以自由同意。一方面，数据处理者与用户之间存在技术能力和信息的不对称，普通用户难以全面理解和评估信息收集与使用的风险。研究显示，一个人如果要真正理解自己访问的所有网站的隐私政策，需要花费数百小时，这根本不现实。另一方面，数字市场高度集中，缺乏充分竞争，“同意”常被形式化操作，用户无法真正自主决定是否授权。这种制度在文化消费、数字服务等日常场景中失效，体现了“高水平立法、低水平实施”困境。

南方周末：用户在数字生活中具体会遇到哪些“烦心事”？

马一德：用户很难判断App索取的各类权限是否必要，也无法清晰了解自身浏览记录、文化偏好和消费习惯被如何收集、分析和再利用。比如你搜索过某本书，之后所有平台都给你推同类内容，这种“精准”有时让人感到不安。这恰恰是我们说的“大规模、微损害”的特点。单次行为看似影响不大，但累积起来，平台通过算法和推荐机制，实