應(yīng)用程序過度收集個人信息、一攬子授權(quán)、強制同意、大數(shù)據(jù)“殺熟”……這些侵害公民個人信息權(quán)益的行為今后將受到制約。近日,十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護法》(以下簡稱“個人信息保護法”),該法自今年11月1日起施行。作為中國首部針對個人信息保護的專門性立法,個人信息保護法將進一步強化個人信息安全監(jiān)管與治理,把個人信息使用權(quán)關(guān)進法律的籠子里。
限制過度收集用戶信息
“去餐廳吃飯,被要求掃碼點餐,有的還必須填寫姓名、出生年月、手機號碼等與服務(wù)無關(guān)的個人信息。有時候想下載一款A(yù)pp,需要和平臺方達成某種‘交易’,開放一大堆個人隱私,比如允許授權(quán)打開相冊、允許打開通訊錄、允許開啟定位等等?!闭f起商家過度收集個人信息的現(xiàn)象,在北京工作的陳先生頻頻“吐槽”。他擔心自己的信息可能在此過程中遭到泄露,并質(zhì)疑這些收集信息方式的合法性。
全國人大常委會法工委經(jīng)濟法室副主任楊合慶指出,隨著信息化與經(jīng)濟社會持續(xù)深度融合,現(xiàn)實生活中一些企業(yè)、機構(gòu)甚至個人從商業(yè)利益等出發(fā),隨意收集、違法獲取、過度使用、非法買賣個人信息,利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財產(chǎn)安全等問題十分突出。
為保障個人信息處理知情權(quán)和決定權(quán),個人信息保護法將“告知―同意”作為個人信息保護核心規(guī)則。該法規(guī)定,處理個人信息應(yīng)當具有明確、合理的目的,并應(yīng)當與處理目的直接相關(guān),采取對個人權(quán)益影響最小的方式。收集個人信息,應(yīng)當限于實現(xiàn)處理目的的最小范圍。同時規(guī)定,處理個人信息應(yīng)當在事先充分告知的前提下取得個人同意,個人信息處理的重要事項發(fā)生變更的,應(yīng)當重新向個人告知并取得同意。這意味著,該法出臺后,“一攬子授權(quán)”“強制同意”等過度收集用戶個人信息的行為將被限制。
“這種同意必須是建立在告知基礎(chǔ)上的有效同意,包括‘單獨同意’‘書面同意’,‘同意’后還可‘撤回’。這充分體現(xiàn)了法律對個人信息處理知情權(quán)和決定權(quán)的保護?!北本┐髮W(xué)法學(xué)院教授薛軍說。
防止大數(shù)據(jù)“殺熟”
同一家酒店、同艙位的機票、同樣的時段,老用戶比新用戶要多花錢,原因是對新用戶優(yōu)惠力度更大?;ヂ?lián)網(wǎng)平臺利用大數(shù)據(jù)和算法對用戶進行畫像分析,從而收取不同價格等行為,被稱為大數(shù)據(jù)“殺熟”。目前,包括反壟斷法、電子商務(wù)法、價格法等多部法律法規(guī)已經(jīng)約束這種行為。
個人信息保護法對此規(guī)定,個人信息處理者利用個人信息進行自動化決策,應(yīng)當保證決策的透明度和結(jié)果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人進行信息推送、商業(yè)營銷,應(yīng)當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。
中國信息通信研究院互聯(lián)網(wǎng)法律研究中心主任方禹認為,在反壟斷法框架下,大數(shù)據(jù)“殺熟”是一種濫用市場支配地位的行為,反壟斷法已有類似的規(guī)定。個人信息保護法對此作出規(guī)定,既能在反壟斷規(guī)制以外提供新的保護路徑,也能從個人信息收集、使用的邏輯上應(yīng)對大數(shù)據(jù)“殺熟”問題。
加強保護個人敏感信息
生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,對個人而言具有敏感性。一旦泄露或者非法使用,容易導(dǎo)致個人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害。同時,隨著互聯(lián)網(wǎng)的不斷普及,針對青少年的網(wǎng)絡(luò)暴力、網(wǎng)絡(luò)欺詐等屢有發(fā)生,需要對青少年個人信息進行更高等級的保護。
個人信息保護法將以上這些信息都作為敏感個人信息,并要求只有在具有特定的目的和充分的必要性并采取嚴格保護措施的情形下,方可處理這些信息,同時應(yīng)事前進行影響評估,并向個人告知處理的必要性以及對個人權(quán)益的影響。
最高人民法院7月底發(fā)布的《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》,對以“人臉識別”為代表的敏感個人信息案件審理進行全面規(guī)范;根據(jù)國家網(wǎng)信辦此前發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定(征求意見稿)》,駕駛?cè)四軌螂S時終止汽車制造商等收集車輛位置、駕駛?cè)嘶虺塑嚾艘粢曨l等敏感個人信息的行為……隨著相關(guān)法律法規(guī)出臺,國家對個人信息中敏感信息的保護更加嚴格。
個人信息保護法專門規(guī)定,處理不滿14周歲未成年人的個人信息,處理者應(yīng)當取得未成年人的父母或者其他監(jiān)護人的同意,并制定專門的處理規(guī)則。
中國信息安全研究院副院長左曉棟說,該規(guī)定旨在限制某些平臺利用未成年人非法牟利,要求相關(guān)平臺切實履行相應(yīng)社會責任。“現(xiàn)在有的平臺已經(jīng)禁止未成年用戶充值或‘打賞’,這就是專門針對未成年人制定個人信息處理規(guī)則的一種體現(xiàn)?!?
強化監(jiān)管和違法懲戒
個人信息處理活動涉及面廣、情況復(fù)雜、主體多樣、隱蔽性強,一旦發(fā)生侵害個人信息權(quán)益的行為,往往會對社會造成較嚴重后果。個人信息保護法對違法處理個人信息的行為設(shè)置了不同梯次的行政處罰。對未造成嚴重后果的輕微或一般違法行為,可由執(zhí)法部門責令改正、給予警告、沒收違法所得,對拒不改正的最高可處100萬元罰款;對情節(jié)嚴重的違法行為,最高可處5000萬元或上一年度營業(yè)額5%的罰款,并可以對相關(guān)責任人員作出相關(guān)從業(yè)禁止的處罰。楊合慶認為,個人信息保護法以嚴密的制度、嚴格的標準、嚴厲的問責,構(gòu)建了權(quán)責明確、保護有效、利用規(guī)范的個人信息處理和保護制度規(guī)則。
在監(jiān)管體制上,個人信息保護法規(guī)定國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)相關(guān)監(jiān)管工作,國務(wù)院有關(guān)部門依法履行各自監(jiān)管職責。對外經(jīng)濟貿(mào)易大學(xué)數(shù)字經(jīng)濟與法律創(chuàng)新研究中心執(zhí)行主任許可說,該法采取“規(guī)則制定權(quán)相對集中,執(zhí)法權(quán)相對分散”的監(jiān)管架構(gòu),這源于個人信息保護法的執(zhí)法屬多元執(zhí)法、多頭執(zhí)法,需要網(wǎng)信部門發(fā)揮統(tǒng)籌協(xié)調(diào)功能,統(tǒng)一執(zhí)法標準。執(zhí)法機構(gòu)應(yīng)根據(jù)實際情況制訂符合個人信息保護法原則和規(guī)則、更細致的執(zhí)法規(guī)范性文件和部門規(guī)章、司法解釋和具體指導(dǎo)案例,將個人信息保護法落到實處。
對掌握海量用戶數(shù)據(jù)的超大型互聯(lián)網(wǎng)平臺,個人信息保護法要求成立主要由外部成員組成的獨立監(jiān)管機構(gòu)、定期進行合規(guī)審計等。中國人民大學(xué)未來法治研究院副院長丁曉東認為,這些規(guī)定重在建立事前的預(yù)防機制,從源頭阻止個人信息被侵害的情形發(fā)生。而一旦發(fā)生侵害個人信息的行為,將對個人信息處理者實行過錯推定原則,不能證明自己沒有過錯的就應(yīng)當承擔損害賠償?shù)惹謾?quán)責任,這將在很大程度上減輕個人維權(quán)的難度。