應用程序過度收集個人信息、一攬子授權、強制同意、大數據“殺熟”……這些侵害公民個人信息權益的行為今后將受到制約。近日,十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護法》(以下簡稱“個人信息保護法”),該法自今年11月1日起施行。作為中國首部針對個人信息保護的專門性立法,個人信息保護法將進一步強化個人信息安全監管與治理,把個人信息使用權關進法律的籠子里。
限制過度收集用戶信息
“去餐廳吃飯,被要求掃碼點餐,有的還必須填寫姓名、出生年月、手機號碼等與服務無關的個人信息。有時候想下載一款App,需要和平臺方達成某種‘交易’,開放一大堆個人隱私,比如允許授權打開相冊、允許打開通訊錄、允許開啟定位等等。”說起商家過度收集個人信息的現象,在北京工作的陳先生頻頻“吐槽”。他擔心自己的信息可能在此過程中遭到泄露,并質疑這些收集信息方式的合法性。
全國人大常委會法工委經濟法室副主任楊合慶指出,隨著信息化與經濟社會持續深度融合,現實生活中一些企業、機構甚至個人從商業利益等出發,隨意收集、違法獲取、過度使用、非法買賣個人信息,利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財產安全等問題十分突出。
為保障個人信息處理知情權和決定權,個人信息保護法將“告知―同意”作為個人信息保護核心規則。該法規定,處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。收集個人信息,應當限于實現處理目的的最小范圍。同時規定,處理個人信息應當在事先充分告知的前提下取得個人同意,個人信息處理的重要事項發生變更的,應當重新向個人告知并取得同意。這意味著,該法出臺后,“一攬子授權”“強制同意”等過度收集用戶個人信息的行為將被限制。
“這種同意必須是建立在告知基礎上的有效同意,包括‘單獨同意’‘書面同意’,‘同意’后還可‘撤回’。這充分體現了法律對個人信息處理知情權和決定權的保護。”北京大學法學院教授薛軍說。
防止大數據“殺熟”
同一家酒店、同艙位的機票、同樣的時段,老用戶比新用戶要多花錢,原因是對新用戶優惠力度更大。互聯網平臺利用大數據和算法對用戶進行畫像分析,從而收取不同價格等行為,被稱為大數據“殺熟”。目前,包括反壟斷法、電子商務法、價格法等多部法律法規已經約束這種行為。
個人信息保護法對此規定,個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。
中國信息通信研究院互聯網法律研究中心主任方禹認為,在反壟斷法框架下,大數據“殺熟”是一種濫用市場支配地位的行為,反壟斷法已有類似的規定。個人信息保護法對此作出規定,既能在反壟斷規制以外提供新的保護路徑,也能從個人信息收集、使用的邏輯上應對大數據“殺熟”問題。
加強保護個人敏感信息
生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,對個人而言具有敏感性。一旦泄露或者非法使用,容易導致個人的人格尊嚴受到侵害或者人身、財產安全受到危害。同時,隨著互聯網的不斷普及,針對青少年的網絡暴力、網絡欺詐等屢有發生,需要對青少年個人信息進行更高等級的保護。
個人信息保護法將以上這些信息都作為敏感個人信息,并要求只有在具有特定的目的和充分的必要性并采取嚴格保護措施的情形下,方可處理這些信息,同時應事前進行影響評估,并向個人告知處理的必要性以及對個人權益的影響。
最高人民法院7月底發布的《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》,對以“人臉識別”為代表的敏感個人信息案件審理進行全面規范;根據國家網信辦此前發布的《汽車數據安全管理若干規定(征求意見稿)》,駕駛人能夠隨時終止汽車制造商等收集車輛位置、駕駛人或乘車人音視頻等敏感個人信息的行為……隨著相關法律法規出臺,國家對個人信息中敏感信息的保護更加嚴格。
個人信息保護法專門規定,處理不滿14周歲未成年人的個人信息,處理者應當取得未成年人的父母或者其他監護人的同意,并制定專門的處理規則。
中國信息安全研究院副院長左曉棟說,該規定旨在限制某些平臺利用未成年人非法牟利,要求相關平臺切實履行相應社會責任。“現在有的平臺已經禁止未成年用戶充值或‘打賞’,這就是專門針對未成年人制定個人信息處理規則的一種體現。”
強化監管和違法懲戒
個人信息處理活動涉及面廣、情況復雜、主體多樣、隱蔽性強,一旦發生侵害個人信息權益的行為,往往會對社會造成較嚴重后果。個人信息保護法對違法處理個人信息的行為設置了不同梯次的行政處罰。對未造成嚴重后果的輕微或一般違法行為,可由執法部門責令改正、給予警告、沒收違法所得,對拒不改正的最高可處100萬元罰款;對情節嚴重的違法行為,最高可處5000萬元或上一年度營業額5%的罰款,并可以對相關責任人員作出相關從業禁止的處罰。楊合慶認為,個人信息保護法以嚴密的制度、嚴格的標準、嚴厲的問責,構建了權責明確、保護有效、利用規范的個人信息處理和保護制度規則。
在監管體制上,個人信息保護法規定國家網信部門負責統籌協調相關監管工作,國務院有關部門依法履行各自監管職責。對外經濟貿易大學數字經濟與法律創新研究中心執行主任許可說,該法采取“規則制定權相對集中,執法權相對分散”的監管架構,這源于個人信息保護法的執法屬多元執法、多頭執法,需要網信部門發揮統籌協調功能,統一執法標準。執法機構應根據實際情況制訂符合個人信息保護法原則和規則、更細致的執法規范性文件和部門規章、司法解釋和具體指導案例,將個人信息保護法落到實處。
對掌握海量用戶數據的超大型互聯網平臺,個人信息保護法要求成立主要由外部成員組成的獨立監管機構、定期進行合規審計等。中國人民大學未來法治研究院副院長丁曉東認為,這些規定重在建立事前的預防機制,從源頭阻止個人信息被侵害的情形發生。而一旦發生侵害個人信息的行為,將對個人信息處理者實行過錯推定原則,不能證明自己沒有過錯的就應當承擔損害賠償等侵權責任,這將在很大程度上減輕個人維權的難度。