應(yīng)用程序過(guò)度收集個(gè)人信息、一攬子授權(quán)、強(qiáng)制同意、大數(shù)據(jù)“殺熟”……這些侵害公民個(gè)人信息權(quán)益的行為今后將受到制約。2021年,十三屆全國(guó)人大常委會(huì)第三十次會(huì)議表決通過(guò)了《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱“個(gè)人信息保護(hù)法”),該法自2021年11月1日起施行。作為中國(guó)首部針對(duì)個(gè)人信息保護(hù)的專門(mén)性立法,個(gè)人信息保護(hù)法將進(jìn)一步強(qiáng)化個(gè)人信息安全監(jiān)管與治理,把個(gè)人信息使用權(quán)關(guān)進(jìn)法律的籠子里。
限制過(guò)度收集用戶信息
“去餐廳吃飯,被要求掃碼點(diǎn)餐,有的還必須填寫(xiě)姓名、出生年月、手機(jī)號(hào)碼等與服務(wù)無(wú)關(guān)的個(gè)人信息。有時(shí)候想下載一款A(yù)pp,需要和平臺(tái)方達(dá)成某種‘交易’,開(kāi)放一大堆個(gè)人隱私,比如允許授權(quán)打開(kāi)相冊(cè)、允許打開(kāi)通訊錄、允許開(kāi)啟定位等等。”說(shuō)起商家過(guò)度收集個(gè)人信息的現(xiàn)象,在北京工作的陳先生頻頻“吐槽”。他擔(dān)心自己的信息可能在此過(guò)程中遭到泄露,并質(zhì)疑這些收集信息方式的合法性。
全國(guó)人大常委會(huì)法工委經(jīng)濟(jì)法室副主任楊合慶指出,隨著信息化與經(jīng)濟(jì)社會(huì)持續(xù)深度融合,現(xiàn)實(shí)生活中一些企業(yè)、機(jī)構(gòu)甚至個(gè)人從商業(yè)利益等出發(fā),隨意收集、違法獲取、過(guò)度使用、非法買(mǎi)賣(mài)個(gè)人信息,利用個(gè)人信息侵?jǐn)_人民群眾生活安寧、危害人民群眾生命健康和財(cái)產(chǎn)安全等問(wèn)題十分突出。
為保障個(gè)人信息處理知情權(quán)和決定權(quán),個(gè)人信息保護(hù)法將“告知—同意”作為個(gè)人信息保護(hù)核心規(guī)則。該法規(guī)定,處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的,并應(yīng)當(dāng)與處理目的直接相關(guān),采取對(duì)個(gè)人權(quán)益影響最小的方式。收集個(gè)人信息,應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍。同時(shí)規(guī)定,處理個(gè)人信息應(yīng)當(dāng)在事先充分告知的前提下取得個(gè)人同意,個(gè)人信息處理的重要事項(xiàng)發(fā)生變更的,應(yīng)當(dāng)重新向個(gè)人告知并取得同意。這意味著,該法出臺(tái)后,“一攬子授權(quán)”“強(qiáng)制同意”等過(guò)度收集用戶個(gè)人信息的行為將被限制。
“這種同意必須是建立在告知基礎(chǔ)上的有效同意,包括‘單獨(dú)同意’‘書(shū)面同意’,‘同意’后還可‘撤回’。這充分體現(xiàn)了法律對(duì)個(gè)人信息處理知情權(quán)和決定權(quán)的保護(hù)。”北京大學(xué)法學(xué)院教授薛軍說(shuō)。
防止大數(shù)據(jù)“殺熟”
同一家酒店、同艙位的機(jī)票、同樣的時(shí)段,老用戶比新用戶要多花錢(qián),原因是對(duì)新用戶優(yōu)惠力度更大?;ヂ?lián)網(wǎng)平臺(tái)利用大數(shù)據(jù)和算法對(duì)用戶進(jìn)行畫(huà)像分析,從而收取不同價(jià)格等行為,被稱為大數(shù)據(jù)“殺熟”。目前,包括反壟斷法、電子商務(wù)法、價(jià)格法等多部法律法規(guī)已經(jīng)約束這種行為。
個(gè)人信息保護(hù)法對(duì)此規(guī)定,個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正,不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷,應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng),或者向個(gè)人提供便捷的拒絕方式。
中國(guó)信息通信研究院互聯(lián)網(wǎng)法律研究中心主任方禹認(rèn)為,在反壟斷法框架下,大數(shù)據(jù)“殺熟”是一種濫用市場(chǎng)支配地位的行為,反壟斷法已有類似的規(guī)定。個(gè)人信息保護(hù)法對(duì)此作出規(guī)定,既能在反壟斷規(guī)制以外提供新的保護(hù)路徑,也能從個(gè)人信息收集、使用的邏輯上應(yīng)對(duì)大數(shù)據(jù)“殺熟”問(wèn)題。
加強(qiáng)保護(hù)個(gè)人敏感信息
生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,對(duì)個(gè)人而言具有敏感性。一旦泄露或者非法使用,容易導(dǎo)致個(gè)人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害。同時(shí),隨著互聯(lián)網(wǎng)的不斷普及,針對(duì)青少年的網(wǎng)絡(luò)暴力、網(wǎng)絡(luò)欺詐等屢有發(fā)生,需要對(duì)青少年個(gè)人信息進(jìn)行更高等級(jí)的保護(hù)。
個(gè)人信息保護(hù)法將以上這些信息都作為敏感個(gè)人信息,并要求只有在具有特定的目的和充分的必要性并采取嚴(yán)格保護(hù)措施的情形下,方可處理這些信息,同時(shí)應(yīng)事前進(jìn)行影響評(píng)估,并向個(gè)人告知處理的必要性以及對(duì)個(gè)人權(quán)益的影響。
最高人民法院7月底發(fā)布的《關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規(guī)定》,對(duì)以“人臉識(shí)別”為代表的敏感個(gè)人信息案件審理進(jìn)行全面規(guī)范;根據(jù)國(guó)家網(wǎng)信辦此前發(fā)布的《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定(征求意見(jiàn)稿)》,駕駛?cè)四軌螂S時(shí)終止汽車(chē)制造商等收集車(chē)輛位置、駕駛?cè)嘶虺塑?chē)人音視頻等敏感個(gè)人信息的行為……隨著相關(guān)法律法規(guī)出臺(tái),國(guó)家對(duì)個(gè)人信息中敏感信息的保護(hù)更加嚴(yán)格。
個(gè)人信息保護(hù)法專門(mén)規(guī)定,處理不滿14周歲未成年人的個(gè)人信息,處理者應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意,并制定專門(mén)的處理規(guī)則。
中國(guó)信息安全研究院副院長(zhǎng)左曉棟說(shuō),該規(guī)定旨在限制某些平臺(tái)利用未成年人非法牟利,要求相關(guān)平臺(tái)切實(shí)履行相應(yīng)社會(huì)責(zé)任。“現(xiàn)在有的平臺(tái)已經(jīng)禁止未成年用戶充值或‘打賞’,這就是專門(mén)針對(duì)未成年人制定個(gè)人信息處理規(guī)則的一種體現(xiàn)。”
強(qiáng)化監(jiān)管和違法懲戒
個(gè)人信息處理活動(dòng)涉及面廣、情況復(fù)雜、主體多樣、隱蔽性強(qiáng),一旦發(fā)生侵害個(gè)人信息權(quán)益的行為,往往會(huì)對(duì)社會(huì)造成較嚴(yán)重后果。個(gè)人信息保護(hù)法對(duì)違法處理個(gè)人信息的行為設(shè)置了不同梯次的行政處罰。對(duì)未造成嚴(yán)重后果的輕微或一般違法行為,可由執(zhí)法部門(mén)責(zé)令改正、給予警告、沒(méi)收違法所得,對(duì)拒不改正的最高可處100萬(wàn)元罰款;對(duì)情節(jié)嚴(yán)重的違法行為,最高可處5000萬(wàn)元或上一年度營(yíng)業(yè)額5%的罰款,并可以對(duì)相關(guān)責(zé)任人員作出相關(guān)從業(yè)禁止的處罰。楊合慶認(rèn)為,個(gè)人信息保護(hù)法以嚴(yán)密的制度、嚴(yán)格的標(biāo)準(zhǔn)、嚴(yán)厲的問(wèn)責(zé),構(gòu)建了權(quán)責(zé)明確、保護(hù)有效、利用規(guī)范的個(gè)人信息處理和保護(hù)制度規(guī)則。
在監(jiān)管體制上,個(gè)人信息保護(hù)法規(guī)定國(guó)家網(wǎng)信部門(mén)負(fù)責(zé)統(tǒng)籌協(xié)調(diào)相關(guān)監(jiān)管工作,國(guó)務(wù)院有關(guān)部門(mén)依法履行各自監(jiān)管職責(zé)。對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心執(zhí)行主任許可說(shuō),該法采取“規(guī)則制定權(quán)相對(duì)集中,執(zhí)法權(quán)相對(duì)分散”的監(jiān)管架構(gòu),這源于個(gè)人信息保護(hù)法的執(zhí)法屬多元執(zhí)法、多頭執(zhí)法,需要網(wǎng)信部門(mén)發(fā)揮統(tǒng)籌協(xié)調(diào)功能,統(tǒng)一執(zhí)法標(biāo)準(zhǔn)。執(zhí)法機(jī)構(gòu)應(yīng)根據(jù)實(shí)際情況制訂符合個(gè)人信息保護(hù)法原則和規(guī)則、更細(xì)致的執(zhí)法規(guī)范性文件和部門(mén)規(guī)章、司法解釋和具體指導(dǎo)案例,將個(gè)人信息保護(hù)法落到實(shí)處。
對(duì)掌握海量用戶數(shù)據(jù)的超大型互聯(lián)網(wǎng)平臺(tái),個(gè)人信息保護(hù)法要求成立主要由外部成員組成的獨(dú)立監(jiān)管機(jī)構(gòu)、定期進(jìn)行合規(guī)審計(jì)等。中國(guó)人民大學(xué)未來(lái)法治研究院副院長(zhǎng)丁曉東認(rèn)為,這些規(guī)定重在建立事前的預(yù)防機(jī)制,從源頭阻止個(gè)人信息被侵害的情形發(fā)生。而一旦發(fā)生侵害個(gè)人信息的行為,將對(duì)個(gè)人信息處理者實(shí)行過(guò)錯(cuò)推定原則,不能證明自己沒(méi)有過(guò)錯(cuò)的就應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任,這將在很大程度上減輕個(gè)人維權(quán)的難度。
文章轉(zhuǎn)載自澎湃新聞·澎湃號(hào)·政務(wù)