据《人民日报》报道《个人信息保护法》昨日正式实施,这是一部保护公民个人信息的专门法律,与《民法典》《网络安全法》《数据安全法》《电子商务法》《消费者权益保护法》等法律共同编织成一张消费者个人信息“保护网”。
切实落实告知及同意规则
明示处理个人信息的目的、方式和范围。经营者应制定处理消费者个人信息的规则,遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围,并提供便捷的撤回同意方式。
任何组织、个人不得非法收集、使用、加工、传输消费者个人信息,不得非法买卖、提供或者公开消费者个人信息。收集消费者个人信息,应在事先充分告知的前提下,保证消费者知情,并征得消费者本人同意。经营者不得采取一揽子授权、强制同意等方式处理消费者个人信息。未经消费者同意,经营者不得向消费者推送商业信息。
不得过度收集个人信息
经营者收集使用个人信息应具有明确、合理的目的,并限制在对个人权益影响最小的方式和实现处理目的的最小范围,不得过度收集消费者个人信息。
除法律、行政法规另有规定外,个人信息的保存期限应为实现处理目的所必要的最短时间。除了提供产品或者服务所必需的个人信息,经营者不得以消费者不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。手机App等不得因用户不同意提供非必要个人信息,而拒绝用户使用其基本功能的服务。
限制对敏感个人信息的处理
敏感个人信息是一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年的个人信息。
法律对其设置了特殊处理规则,即二十八条第二款中规定“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”
禁止“大数据杀熟”等行为
《个人信息保护法》规定个人信息处理者利用个人信息进行自动化决策,应保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应同时提供不针对其个人特征的选项,或向个人提供便捷的拒绝方式。因此,经营者不能利用自身掌握的消费者经济状况、消费习惯以及对价格的敏感程度等信息,对消费者在交易价格等方面实行歧视性的差别待遇,也不能在未获得消费者授权的情况下,通过用户画像来开展精准营销。
此外,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
提醒消费者最好这么做
养成“非必要不提供”的习惯
消费者在接受服务时,要仔细阅读隐私协议等涉及个人信息的条款,明确经营者处理个人信息的方式、范围、目的和依据等,考量经营者处理个人信息理由的充分性和消费者提供个人信息的必要性,建议只在确属必要的情况下才向经营者提供个人信息或进行授权。
对授权的个人信息持续跟踪
消费者接受个人信息条款或向经营者提供个人信息后,还应随时关注经营者个人信息条款是否进行修改,经营者是否有保障个人信息安全的能力,经营者是否存在非法处理个人信息行为等。当消费者不同意经营者继续处理其个人信息时,要积极行使“撤回同意”权利,要求经营者停止处理或及时删除其个人信息。
注意销毁带有个人信息的资料
消费者要保护好带有个人信息的单据和资料,防止因随意丢弃、使用不当等造成个人信息泄露。如妥善处理未脱敏的快递单据等带有个人信息的单据和资料,使用完后应及时销毁,或是涂抹掉关键信息后再丢弃;在向他人提供身份证等重要证件的复印件时,最好显著标识此复印件的用途;一些带有个人敏感信息的电子数据,如证件照片等,建议用完即删或加密存储。
编辑/孙政洁