個(gè)人信息保護(hù)有了“安全鎖”

　　應(yīng)用程序過度收集個(gè)人信息、一攬子授權(quán)、強(qiáng)制同意、大數(shù)據(jù)“殺熟”……這些侵害公民個(gè)人信息權(quán)益的行為今后將受到制約。近日，十三屆全國人大常委會(huì)第三十次會(huì)議表決通過了《中華人民共和國個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱“個(gè)人信息保護(hù)法”），該法自今年11月1日起施行。作為中國首部針對(duì)個(gè)人信息保護(hù)的專門性立法，個(gè)人信息保護(hù)法將進(jìn)一步強(qiáng)化個(gè)人信息安全監(jiān)管與治理，把個(gè)人信息使用權(quán)關(guān)進(jìn)法律的籠子里。

　　 限制過度收集用戶信息

　　“去餐廳吃飯，被要求掃碼點(diǎn)餐，有的還必須填寫姓名、出生年月、手機(jī)號(hào)碼等與服務(wù)無關(guān)的個(gè)人信息。有時(shí)候想下載一款A(yù)pp，需要和平臺(tái)方達(dá)成某種‘交易’，開放一大堆個(gè)人隱私，比如允許授權(quán)打開相冊(cè)、允許打開通訊錄、允許開啟定位等等?！闭f起商家過度收集個(gè)人信息的現(xiàn)象，在北京工作的陳先生頻頻“吐槽”。他擔(dān)心自己的信息可能在此過程中遭到泄露，并質(zhì)疑這些收集信息方式的合法性。

　　全國人大常委會(huì)法工委經(jīng)濟(jì)法室副主任楊合慶指出，隨著信息化與經(jīng)濟(jì)社會(huì)持續(xù)深度融合，現(xiàn)實(shí)生活中一些企業(yè)、機(jī)構(gòu)甚至個(gè)人從商業(yè)利益等出發(fā)，隨意收集、違法獲取、過度使用、非法買賣個(gè)人信息，利用個(gè)人信息侵?jǐn)_人民群眾生活安寧、危害人民群眾生命健康和財(cái)產(chǎn)安全等問題十分突出。

　　為保障個(gè)人信息處理知情權(quán)和決定權(quán)，個(gè)人信息保護(hù)法將“告知―同意”作為個(gè)人信息保護(hù)核心規(guī)則。該法規(guī)定，處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式。收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍。同時(shí)規(guī)定，處理個(gè)人信息應(yīng)當(dāng)在事先充分告知的前提下取得個(gè)人同意，個(gè)人信息處理的重要事項(xiàng)發(fā)生變更的，應(yīng)當(dāng)重新向個(gè)人告知并取得同意。這意味著，該法出臺(tái)后，“一攬子授權(quán)”“強(qiáng)制同意”等過度收集用戶個(gè)人信息的行為將被限制。

　　“這種同意必須是建立在告知基礎(chǔ)上的有效同意，包括‘單獨(dú)同意’‘書面同意’，‘同意’后還可‘撤回’。這充分體現(xiàn)了法律對(duì)個(gè)人信息處理知情權(quán)和決定權(quán)的保護(hù)?！北本┐髮W(xué)法學(xué)院教授薛軍說。

　　 防止大數(shù)據(jù)“殺熟”

　　同一家酒店、同艙位的機(jī)票、同樣的時(shí)段，老用戶比新用戶要多花錢，原因是對(duì)新用戶優(yōu)惠力度更大?；ヂ?lián)網(wǎng)平臺(tái)利用大數(shù)據(jù)和算法對(duì)用戶進(jìn)行畫像分析，從而收取不同價(jià)格等行為，被稱為大數(shù)據(jù)“殺熟”。目前，包括反壟斷法、電子商務(wù)法、價(jià)格法等多部法律法規(guī)已經(jīng)約束這種行為。

　　個(gè)人信息保護(hù)法對(duì)此規(guī)定，個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。通過自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式。

　　中國信息通信研究院互聯(lián)網(wǎng)法律研究中心主任方禹認(rèn)為，在反壟斷法框架下，大數(shù)據(jù)“殺熟”是一種濫用市場(chǎng)支配地位的行為，反壟斷法已有類似的規(guī)定。個(gè)人信息保護(hù)法對(duì)此作出規(guī)定，既能在反壟斷規(guī)制以外提供新的保護(hù)路徑，也能從個(gè)人信息收集、使用的邏輯上應(yīng)對(duì)大數(shù)據(jù)“殺熟”問題。

　　 加強(qiáng)保護(hù)個(gè)人敏感信息

　　 生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，對(duì)個(gè)人而言具有敏感性。一旦泄露或者非法使用，容易導(dǎo)致個(gè)人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害。同時(shí)，隨著互聯(lián)網(wǎng)的不斷普及，針對(duì)青少年的網(wǎng)絡(luò)暴力、網(wǎng)絡(luò)欺詐等屢有發(fā)生，需要對(duì)青少年個(gè)人信息進(jìn)行更高等級(jí)的保護(hù)。

　　個(gè)人信息保護(hù)法將以上這些信息都作為敏感個(gè)人信息，并要求只有在具有特定的目的和充分的必要性并采取嚴(yán)格保護(hù)措施的情形下，方可處理這些信息，同時(shí)應(yīng)事前進(jìn)行影響評(píng)估，并向個(gè)人告知處理的必要性以及對(duì)個(gè)人權(quán)益的影響。

　　最高人民法院7月底發(fā)布的《關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問題的規(guī)定》，對(duì)以“人臉識(shí)別”為代表的敏感個(gè)人信息案件審理進(jìn)行全面規(guī)范；根據(jù)國家網(wǎng)信辦此前發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》，駕駛?cè)四軌螂S時(shí)終止汽車制造商等收集車輛位置、駕駛?cè)嘶虺塑嚾艘粢曨l等敏感個(gè)人信息的行為……隨著相關(guān)法律法規(guī)出臺(tái)，國家對(duì)個(gè)人信息中敏感信息的保護(hù)更加嚴(yán)格。

　　個(gè)人信息保護(hù)法專門規(guī)定，處理不滿14周歲未成年人的個(gè)人信息，處理者應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意，并制定專門的處理規(guī)則。

　　中國信息安全研究院副院長(zhǎng)左曉棟說，該規(guī)定旨在限制某些平臺(tái)利用未成年人非法牟利，要求相關(guān)平臺(tái)切實(shí)履行相應(yīng)社會(huì)責(zé)任?！艾F(xiàn)在有的平臺(tái)已經(jīng)禁止未成年用戶充值或‘打賞’，這就是專門針對(duì)未成年人制定個(gè)人信息處理規(guī)則的一種體現(xiàn)?！?

　　 強(qiáng)化監(jiān)管和違法懲戒

　　個(gè)人信息處理活動(dòng)涉及面廣、情況復(fù)雜、主體多樣、隱蔽性強(qiáng)，一旦發(fā)生侵害個(gè)人信息權(quán)益的行為，往往會(huì)對(duì)社會(huì)造成較嚴(yán)重后果。個(gè)人信息保護(hù)法對(duì)違法處理個(gè)人信息的行為設(shè)置了不同梯次的行政處罰。對(duì)未造成嚴(yán)重后果的輕微或一般違法行為，可由執(zhí)法部門責(zé)令改正、給予警告、沒收違法所得，對(duì)拒不改正的最高可處100萬元罰款；對(duì)情節(jié)嚴(yán)重的違法行為，最高可處5000萬元或上一年度營(yíng)業(yè)額5%的罰款，并可以對(duì)相關(guān)責(zé)任人員作出相關(guān)從業(yè)禁止的處罰。楊合慶認(rèn)為，個(gè)人信息保護(hù)法以嚴(yán)密的制度、嚴(yán)格的標(biāo)準(zhǔn)、嚴(yán)厲的問責(zé)，構(gòu)建了權(quán)責(zé)明確、保護(hù)有效、利用規(guī)范的個(gè)人信息處理和保護(hù)制度規(guī)則。

　　在監(jiān)管體制上，個(gè)人信息保護(hù)法規(guī)定國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)相關(guān)監(jiān)管工作，國務(wù)院有關(guān)部門依法履行各自監(jiān)管職責(zé)。對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心執(zhí)行主任許可說，該法采取“規(guī)則制定權(quán)相對(duì)集中，執(zhí)法權(quán)相對(duì)分散”的監(jiān)管架構(gòu)，這源于個(gè)人信息保護(hù)法的執(zhí)法屬多元執(zhí)法、多頭執(zhí)法，需要網(wǎng)信部門發(fā)揮統(tǒng)籌協(xié)調(diào)功能，統(tǒng)一執(zhí)法標(biāo)準(zhǔn)。執(zhí)法機(jī)構(gòu)應(yīng)根據(jù)實(shí)際情況制訂符合個(gè)人信息保護(hù)法原則和規(guī)則、更細(xì)致的執(zhí)法規(guī)范性文件和部門規(guī)章、司法解釋和具體指導(dǎo)案例，將個(gè)人信息保護(hù)法落到實(shí)處。

　　對(duì)掌握海量用戶數(shù)據(jù)的超大型互聯(lián)網(wǎng)平臺(tái)，個(gè)人信息保護(hù)法要求成立主要由外部成員組成的獨(dú)立監(jiān)管機(jī)構(gòu)、定期進(jìn)行合規(guī)審計(jì)等。中國人民大學(xué)未來法治研究院副院長(zhǎng)丁曉東認(rèn)為，這些規(guī)定重在建立事前的預(yù)防機(jī)制，從源頭阻止個(gè)人信息被侵害的情形發(fā)生。而一旦發(fā)生侵害個(gè)人信息的行為，將對(duì)個(gè)人信息處理者實(shí)行過錯(cuò)推定原則，不能證明自己沒有過錯(cuò)的就應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任，這將在很大程度上減輕個(gè)人維權(quán)的難度。