专家认为个人信息保护法应对未成年人信息给予特殊保护
法治日报 2021-07-20 10:08

是否允许授权打开相册、是否允许授权打开通讯录、是否允许授权开启定位……如今,想要正常使用一款App,人们得先和平台方达成“交易”,多数人似乎已经习惯了默认平台方的授权要求,毕竟如果点击关闭或拒绝,可能面临无法正常使用服务,甚至出现App直接闪退的情况。

现在,有地方立法向这类行为“出手”了。

6月29日,《深圳经济特区数据条例》(以下简称《条例》)经广东省深圳市七届人大常委会第二次会议表决通过,将于2022年1月1日起施行。《条例》对任性收集个人信息、强制个性化推荐等行为说“不”,并给予重罚。

中国市场监管学会理事张韬近日接受《法治日报》记者采访时表示,《条例》作为国内数据领域首部基础性、综合性立法,着力关注个人信息保护问题,尤其强化对未成年人个人信息的保护,其中一些规定可以为正在审议的个人信息保护法草案提供参考借鉴。

“告知-同意”规则遏制App强制捆绑

App的授权权限问题其实是个老生常谈的话题。今年4月公开征求意见的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》中就明确了从事App个人信息处理活动的,应遵循“知情同意”“最小必要”两项重要原则,同时还特别指出,应当采取非默认勾选的方式征得用户同意。

《条例》明确了处理个人数据的五大基本原则,即合法正当、最小必要、知情同意、准确完整和确保安全原则。

对此,深圳市人大常委会法工委副主任林正茂介绍说,在个人数据保护方面,《条例》的规定与个人信息保护法草案二审稿保持了衔接。

针对个人信息收集和使用环节出现的种种乱象,个人信息保护法草案二审稿确立了个人信息处理应遵循的原则,强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,采取必要的安全保障措施等,这些原则应当贯穿于个人信息处理活动的全过程各环节。

对于各大App平台较为关注的“最小必要”原则的具体内涵,个人信息保护法草案二审稿规定,处理个人信息应当限于实现处理目的所必要的最小范围,采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。

张韬注意到,《条例》第十一条对“最小必要”原则进行了列举,比如,包括建立最小授权的访问控制策略,使被授权访问个人数据的人员仅能访问完成职责所需的最少个人数据,且仅具备完成职责所需的最少数据处理权限。同时使用了“包括但不限于”的表述为日后完善留下空间。

“这是非常好的立法创新,在个人信息保护法的制定中也应借鉴。”张韬指出,个人信息保护法草案二审稿并没有对最小必要原则明确具体的情形作要求,建议可进一步细化,就如何判断违反最小必要原则提出较为具体的认定标准,这样更有助于最小必要原则落到实处,为数据处理者、数据提供者、执法监管部门等提供更好的行为指引。

当前App经常会通过“一揽子协议”将收集个人数据与其功能或服务进行捆绑,令很多使用者“敢怒不敢言”,随着个人信息保护法的出台,这种行为将得到规制。

个人信息保护法草案二审稿确立了以“告知-同意”为核心的个人信息处理规则,要求处理个人信息应在事先充分告知的前提下取得个人同意,不得以个人不同意为由拒绝提供产品或者服务。

《条例》也基于这一规则规定,处理个人信息应当在事先充分告知的前提下取得个人同意,数据处理者应当提供撤回同意的途径,不得对撤回同意进行不合理限制或者附加不合理条件。

“‘告知-同意’规则中的告知是要充分保障个人主体的知情权,同意是要保障其对信息的自主决定权,保障这两种权利才能从根本上保障个人信息安全。”网经社电子商务研究中心特约研究员赵占领说。

将未成年人信息视为敏感个人信息

据最新发布的《中国互联网络发展状况统计报告》显示,截至2020年12月,我国小学及以下网民群体占比由2020年3月的17.2%提升至19.3%,未成年人已经是我国网民的重要组成部分。随着“触网年龄”不断降低,如何保护未成年人的个人信息安全一直备受关注。

赵占领注意到,《条例》中有不少专门针对未成年人数据保护的规定。最值得关注的是,《条例》将未满十四岁的未成年人的个人数据视作敏感个人数据,适用处理敏感个人数据的有关规定,这在国内的立法中尚属首次。

在赵占领看来,敏感个人数据的规定借鉴了2020年10月1日起施行的《信息安全技术个人信息安全规范》中关于“十四岁以下儿童的个人信息属于敏感个人信息”的规定。

在个人信息保护法草案二审稿中,也对“敏感个人信息”作出了规定,是指一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。

针对个人信息处理者处理不满十四周岁未成年人个人信息的,草案二审稿要求应当取得未成年人父母或其他监护人的同意。但并未将未成年人个人信息作为个人敏感信息进行保护。

“未成年人是国家发展的未来和希望,其认知能力、辨别能力和自我保护能力相对薄弱,在违法违规收集使用个人信息问题层出不穷的形势下,更需要加强对未成年人个人信息的保护,以切实维护未成年人利益。”张韬认为,有必要借鉴《条例》规定,在个人信息保护法中将未满十四岁的未成年人个人信息视为敏感个人信息。

多层面加强未成年人个人信息保护

据全国人大常委会法制工作委员会发言人臧铁伟介绍,在中国人大网针对个人信息保护法草案二次审议稿公开征求社会公众意见后,有相当一部分人建议进一步加强对未成年人个人信息的保护。

张韬也建议加强对未成年人个人信息保护力度。他说,目前个人信息保护法草案二审稿仅规定处理未成年人个人信息应当在处理前取得未成年人父母或者其他监护人同意,但并未对同意的具体方式进行明确,也未规定其他对未成年人个人信息保护的方式。

亚太网络法律研究中心主任刘德良对此表示认同,他认为个人信息在网络时代越来越具有商业价值,这是导致非法收集、买卖和滥用行为日益泛滥的最主要原因。未成年人个人信息背后的商业价值巨大,但其自身辨别能力较弱,理应受到法律的特殊保护,应加强对信息处理者收集使用未成年人个人信息行为的规范,加大对侵害未成年人个人信息违法行为的打击力度等,多层面加强对未成年人个人信息的保护。

刚搜索过某种商品或打开某条新闻,平台就会推送类似的商品或信息……用户画像和个性化推荐在提供精准服务的同时,也让人感觉隐私被“围观”,特别是对缺乏基本辨识认知能力的未成年人而言,更是难以辨别这种推荐是否符合其自身利益。

为此,《条例》明确,除为了维护未满十四周岁未成年人的合法权益并征得其监护人明示同意外,不得向其进行个性化推荐。

张韬指出,个人信息保护法草案二审稿第二十五条对利用个人信息进行自动化决策的行为进行了规范,但该规定具有普适性,并未根据未成年人个人信息保护的特殊情况作出针对性规定。《条例》原则上禁止向未成年人进行个性化推荐,例外情况下才允许,体现了对未成年人个人信息的倾斜保护。建议在制定个人信息保护法过程中增加相应规定,进行倾斜性保护。

刘德良也表示,个人信息保护立法要注意方向,不是一味地去保密信息,更关键的是要在如何防止滥用上下功夫,尤其针对未成年人的信息,这一点更为重要。

文/赵晨熙

编辑/倪家宁

最新评论