重庆市江北区王先生在辖区某商场无人收费停车场出口，曾陷入“进退两难”困境：支付停车费需先扫码关注某公众号，填写姓名、手机号等。在“前有杆，后有车”的情况下，本不想填写个人信息的王先生也只能照做。简单付个停车费，为何要提供车主这么多个人信息？日前，中央网信办、工业和信息化部、公安部、市场监管总局四部门部署开展2025年个人信息保护系列专项行动，入场停车强制收集非必要的个人信息成为此次行动重点整治的消费场景之一。4月30日，最高人民检察院公益诉讼检察厅、检察技术信息研究中心联合向全国检察机关推广《移动互联网应用程序（App）收集个人信息功能的检验方法》并下发工作提示，指导各地检察官通过对涉案App的静态和动态检验，确定涉案App是否具有收集个人信息的功能和权限，以及是否存在违法收集个人信息的情形。停车场自助扫码缴费类App是检测重点之一。

在数字技术深度嵌入日常生活的当下，停车场自助扫码缴费系统因便捷性被广泛应用，却滋生出强制收集个人信息的行业乱象。其核心症结在于个人信息收集环节的严重异化：其一，收集目的偏离服务本质，将支付工具异化为用户数据收割工具，违背“收集个人信息应当具有明确、合理的目的”这一基本要求；其二，收集手段具有胁迫性，通过技术壁垒迫使消费者在“提供信息”与“无法离场”之间作出非自愿选择；其三，收集范围突破必要限度，将姓名、手机号等与停车缴费无直接关联的信息强制纳入收集范畴，甚至涉及行踪轨迹等敏感个人信息，显著增加信息泄露风险。

规范检视：基于法律条文的合法性分析

个人信息保护法的核心规则适用。我国个人信息保护法构建了个人信息处理的基本法律框架。其中，个人信息保护法第五条确立的“合法、正当、必要和诚信原则”与第六条规定的“最小必要原则”，成为评判“扫码停车场景信息收集行为”的核心依据。从合法性要件看，停车场运营者将关注公众号、注册会员作为缴费前提，实质是通过技术手段设置交易壁垒，构成对消费者自主选择权的变相剥夺，违背“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关”的正当性要求。从必要性要件考察，完成停车缴费仅需获取车牌号码、停车时长等基础信息，而运营者额外收集的身份信息、联系方式等，显然超出“实现处理目的所需的最小范围”，属于典型的过度收集个人信息行为。

与消费者权益保护法的规范衔接。《中华人民共和国消费者权益保护法》第二十九条明确规定，经营者收集、使用消费者个人信息应当遵循合法、正当、必要原则，不得违反法律、法规的规定和双方约定。停车扫码场景中，运营者利用信息不对称和技术优势，在用户协议中设置不公平格式条款，将非必要信息收集作为服务前提，实质构成对消费者知情权、自主选择权的侵害。这种“强制绑定”行为与《中华人民共和国民法典》合同编中“民事主体从事民事活动应当遵循自愿原则”的规定相抵触，凸显出商业主体在数据利益驱动下对用户权利的漠视。

理论思考：个人信息保护的法治价值阐释

人格权理论视角下的权利本质界定。个人信息权作为具体人格权的新兴类型，承载着公民的人格尊严与自由发展价值。行踪轨迹信息、联系方式等数据，不仅是身份识别的符号，更映射着个人的生活轨迹与社会关系，未经同意收集与滥用这些信息将导致个人隐私边界被侵蚀，人格自主性受到威胁。扫码停车场景中，消费者为获取基本服务被迫让渡于核心个人信息，实质是对“自我决定”这一人格权核心内涵的侵害，可能引发包括隐私泄露、精准骚扰，甚至人身安全威胁等连锁风险。

法经济学视域下的利益平衡原理。从数据资源的经济属性看，个人信息构成数字经济的核心生产要素，但其开发利用必须遵循成本收益均衡原则。停车场运营者强制收集信息的行为，本质是通过转嫁信息收集成本（将技术开发成本转化为用户隐私让渡）获取商业利益（用户数据沉淀与二次开发），却未充分评估社会成本——包括用户信息泄露风险、数字服务信任损耗等。这种私人收益与公共风险的失衡，亟须通过法律规制重构权利义务边界，促使企业在数据利用中承担必要的合规成本，以实现个体权利保护与数字经济发展的动态平衡。

实践困境：多维治理下面临的挑战

监管协同机制的运行存在一定障碍。个人信息保护涉及网信、工信、公安、市场监管等多个部门，但现行体制存在职责分工模糊、协调机制缺失等问题。以扫码停车场景为例，技术开发环节的合规性监管属于工信部门的职责，服务提供中的消费者权益保护由市场监管部门负责，而信息泄露后的刑事侦查则归属公安机关。部门间信息共享机制不完善、执法标准不统一，使得对跨环节侵权行为的监管出现真空地带。部分地方虽开展联合执法（如重庆江北区检察院联合网信办排查问题），但常态化协同机制尚未形成，制约监管效能发挥。

企业规范化能力存在差异。大型停车管理企业通常具备较强的技术能力与合规意识，但数量庞大的中小型停车场运营者则存在法律认知不足、技术投入有限等问题。部分企业误认为“收集信息越多越有利于管理”，未建立基本的个人信息保护制度。有的企业甚至为了降低成本，使用未经安全评估的第三方技术平台收集个人信息，引发用户信息存储无加密、访问无权限控制等基础性安全漏洞等问题。这使得统一执法标准在落地时面临现实阻力，单纯依赖行政监管难以实现全域覆盖。

技术创新带来的规制挑战。随着人工智能、大数据分析等技术的快速发展，个人信息侵权手段呈现隐蔽化、智能化趋势。例如，部分停车平台通过收集的行踪轨迹数据构建用户画像，虽未直接泄露原始信息，但通过数据分析挖掘用户消费习惯、生活规律等衍生信息，这同样构成对个人隐私权益的侵害。而现行法律尚未明确匿名化处理“去标识化技术”的适用标准，这使得司法实践中难以准确界定“合法数据利用”与“侵权分析挖掘”的边界，导致新型侵权行为的认定与追责存在法律适用困境。

破解路径：构建多元共治治理体系

强化检察机关公益诉讼制度效能。检察机关作为公共利益代表，在个人信息保护领域具有独特优势。一方面，通过行政公益诉讼，可以督促监管部门履职，如上海市徐汇区人民检察院针对商场停车场问题制发检察建议，推动建立辖区信息收集合规审查机制；另一方面，对情节严重的刑事犯罪提起附带民事公益诉讼，如广东省东莞市检察机关同时追究侵权者的刑事责任与民事赔偿责任，形成“刑事责任震慑+民事赔偿救济+公开赔礼道歉”的复合追责模式。未来，应进一步完善公益诉讼线索发现机制，建立跨区域办案协作平台，提升对系统性、行业性侵权问题的治理能力。

压实企业信息处理主体责任。企业需建立全流程个人信息收集合规管理体系：在收集环节，要严格遵循“最小必要”原则，通过技术优化实现“扫码即缴费”的无感化服务（如部分停车场已试点的车牌识别直连支付系统）；在存储环节，采用加密技术与访问控制措施，确保敏感信息“可用不可见”；在共享环节，建立第三方合作审查机制，禁止向无关主体传输用户数据。对于违反规定的企业，应构建“行政罚款+信用惩戒+市场准入限制”的递进式责任体系，提高违法成本。

完善数据治理协同机制。监管部门应建立常态化监管协作平台，明确各部门在信息收集备案、技术安全检测、侵权事件处置等环节的具体职责。行业协会需制定针对性自律公约，建立停车行业个人信息收集“负面清单”，引导企业采用合规技术方案（如推行“纯净支付码”标准）。公众应增强权利意识，对强制收集行为及时投诉举报，形成“监管执法+行业自律+社会监督”的立体化治理网络。

探索数据利用与保护的平衡机制。在市政交通管理、文旅服务优化等公共服务领域，可通过数据脱敏、联邦学习等技术实现“数据可用不可见”，在保护个人信息的前提下释放数据价值。例如，市政部门分析停车数据时，应先对车牌号码、车主信息进行去标识化处理，确保数据应用符合目的限定与安全共享原则。立法层面，要加快出台数据分类分级保护细则，明确不同类型个人信息的利用边界，为技术创新与产业发展提供清晰的规则指引。

扫码停车场景中的个人信息收集乱象，本质上是技术应用异化引发的权利义务失衡。短期看，需要通过严格执法与司法裁判遏制违法势头，修复被破坏的权利边界；长远看，必须构建“政府监管、企业自治、社会协同、公众参与”的多元治理格局，在法律框架下明确数据收集的“权力清单”、企业的“责任清单”与公众的“权利清单”。唯有让技术创新始终在法治轨道上运行，才能实现从“强制扫码”到“自愿共享”的范式转换，在保障公民个人信息权益的同时，为数字经济健康发展奠定信任基础。这既是推进国家治理体系现代化的应有之义，也是实现个人信息保护与社会发展共赢的必由之路。

（作者单位：浙江大学光华法学院）