应用程序过度收集个人信息、一揽子授权、强制同意、大数据“杀熟”……这些侵害公民个人信息权益的行为今后将受到制约。近日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”),该法自今年11月1日起施行。作为中国首部针对个人信息保护的专门性立法,个人信息保护法将进一步强化个人信息安全监管与治理,把个人信息使用权关进法律的笼子里。
限制过度收集用户信息
“去餐厅吃饭,被要求扫码点餐,有的还必须填写姓名、出生年月、手机号码等与服务无关的个人信息。有时候想下载一款App,需要和平台方达成某种‘交易’,开放一大堆个人隐私,比如允许授权打开相册、允许打开通讯录、允许开启定位等等。”说起商家过度收集个人信息的现象,在北京工作的陈先生频频“吐槽”。他担心自己的信息可能在此过程中遭到泄露,并质疑这些收集信息方式的合法性。
全国人大常委会法工委经济法室副主任杨合庆指出,随着信息化与经济社会持续深度融合,现实生活中一些企业、机构甚至个人从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题十分突出。
为保障个人信息处理知情权和决定权,个人信息保护法将“告知—同意”作为个人信息保护核心规则。该法规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围。同时规定,处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的,应当重新向个人告知并取得同意。这意味着,该法出台后,“一揽子授权”“强制同意”等过度收集用户个人信息的行为将被限制。
“这种同意必须是建立在告知基础上的有效同意,包括‘单独同意’‘书面同意’,‘同意’后还可‘撤回’。这充分体现了法律对个人信息处理知情权和决定权的保护。”北京大学法学院教授薛军说。
防止大数据“杀熟”
同一家酒店、同舱位的机票、同样的时段,老用户比新用户要多花钱,原因是对新用户优惠力度更大。互联网平台利用大数据和算法对用户进行画像分析,从而收取不同价格等行为,被称为大数据“杀熟”。目前,包括反垄断法、电子商务法、价格法等多部法律法规已经约束这种行为。
个人信息保护法对此规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
中国信息通信研究院互联网法律研究中心主任方禹认为,在反垄断法框架下,大数据“杀熟”是一种滥用市场支配地位的行为,反垄断法已有类似的规定。个人信息保护法对此作出规定,既能在反垄断规制以外提供新的保护路径,也能从个人信息收集、使用的逻辑上应对大数据“杀熟”问题。
加强保护个人敏感信息
生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,对个人而言具有敏感性。一旦泄露或者非法使用,容易导致个人的人格尊严受到侵害或者人身、财产安全受到危害。同时,随着互联网的不断普及,针对青少年的网络暴力、网络欺诈等屡有发生,需要对青少年个人信息进行更高等级的保护。
个人信息保护法将以上这些信息都作为敏感个人信息,并要求只有在具有特定的目的和充分的必要性并采取严格保护措施的情形下,方可处理这些信息,同时应事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。
最高人民法院7月底发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,对以“人脸识别”为代表的敏感个人信息案件审理进行全面规范;根据国家网信办此前发布的《汽车数据安全管理若干规定(征求意见稿)》,驾驶人能够随时终止汽车制造商等收集车辆位置、驾驶人或乘车人音视频等敏感个人信息的行为……随着相关法律法规出台,国家对个人信息中敏感信息的保护更加严格。
个人信息保护法专门规定,处理不满14周岁未成年人的个人信息,处理者应当取得未成年人的父母或者其他监护人的同意,并制定专门的处理规则。
中国信息安全研究院副院长左晓栋说,该规定旨在限制某些平台利用未成年人非法牟利,要求相关平台切实履行相应社会责任。“现在有的平台已经禁止未成年用户充值或‘打赏’,这就是专门针对未成年人制定个人信息处理规则的一种体现。”
强化监管和违法惩戒
个人信息处理活动涉及面广、情况复杂、主体多样、隐蔽性强,一旦发生侵害个人信息权益的行为,往往会对社会造成较严重后果。个人信息保护法对违法处理个人信息的行为设置了不同梯次的行政处罚。对未造成严重后果的轻微或一般违法行为,可由执法部门责令改正、给予警告、没收违法所得,对拒不改正的最高可处100万元罚款;对情节严重的违法行为,最高可处5000万元或上一年度营业额5%的罚款,并可以对相关责任人员作出相关从业禁止的处罚。杨合庆认为,个人信息保护法以严密的制度、严格的标准、严厉的问责,构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。
在监管体制上,个人信息保护法规定国家网信部门负责统筹协调相关监管工作,国务院有关部门依法履行各自监管职责。对外经济贸易大学数字经济与法律创新研究中心执行主任许可说,该法采取“规则制定权相对集中,执法权相对分散”的监管架构,这源于个人信息保护法的执法属多元执法、多头执法,需要网信部门发挥统筹协调功能,统一执法标准。执法机构应根据实际情况制订符合个人信息保护法原则和规则、更细致的执法规范性文件和部门规章、司法解释和具体指导案例,将个人信息保护法落到实处。
对掌握海量用户数据的超大型互联网平台,个人信息保护法要求成立主要由外部成员组成的独立监管机构、定期进行合规审计等。中国人民大学未来法治研究院副院长丁晓东认为,这些规定重在建立事前的预防机制,从源头阻止个人信息被侵害的情形发生。而一旦发生侵害个人信息的行为,将对个人信息处理者实行过错推定原则,不能证明自己没有过错的就应当承担损害赔偿等侵权责任,这将在很大程度上减轻个人维权的难度。
文/彭训文
编辑/倪家宁