中国小康网 独家专稿
文|《小康》·中国小康网记者 简宏妮
《个人信息保护法》将进一步强化个人信息安全监管与治理,把个人信息使用权关进法律的笼子里。应用程序过度收集个人信息、一揽子授权、强制同意、大数据杀熟……这些侵害公民个人信息权益的行为都将受到制约。
立法保护刻不容缓 在信息化时代,个人信息价值日益凸显,个人信息安全风险与日俱增,给个人隐私和国家安全带来了严重的安全隐患。 图片/TUCHONG
今年的国庆长假,罗雨欣出去游玩前在某旅行App预订酒店,发现同一时间、同一家酒店,她看到的价格要比同事看到的高出不少,打电话给客服,得到的答复是,平台给新用户的优惠力度大。很多人不知道,这就是所谓的“大数据杀熟”,它违反了诚信原则,侵犯了《消费者权益保护法》规定的消费者享有公平交易条件的权利。
11月1日起,《个人信息保护法》正式施行,将终止平台的类似漏洞,保护用户的合法权益。应用程序过度收集个人信息、一揽子授权、强制同意、大数据杀熟……这些侵害公民个人信息权益的行为将受到制约。
把个人信息使用权关进法律的笼子
随着信息化与经济社会持续深度融合,网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。截至2020年12月,我国互联网用户已达9.89亿,互联网网站超过443万个,应用程序超过345万个,个人信息的收集、使用更为广泛。
现实生活中,一些企业、机构和个人基于各种各样的目的,违法获取、过度使用、非法买卖个人信息,甚至把隐私作为非法获利的“摇钱树”,滋生出黑色产业链条,导致群众人身和财产安全等问题日益突出。
西南政法大学总体国家安全观研究院研究员、法学博士谢波在接受《小康》杂志、中国小康网记者采访时说:“在信息化时代,个人信息价值日益凸显,个人信息安全风险与日俱增,给个人隐私和国家安全带来了严重的安全隐患。”为此,近年来,我国积极建立健全个人信息保护法律体系,相继出台《网络安全法》《数据安全法》等法律,并在《刑法修正案》《民法典》中做出相关规定,但由于针对个人信息保护的专门性法律长期缺位,个人信息保护制度并不完善,个人信息安全事件屡有发生。
正是在这样的背景下,加强个人信息保护专项立法成为社会各界普遍共识,经过十多年酝酿论证、十三届全国人大常委会三次审议,8月20日,十三届全国人大常委会第三十次会议表决通过的《个人信息保护法》正式出台。
“去餐厅吃饭,被要求扫码点餐,有的还必须填写姓名、出生年月、手机号码等与服务无关的个人信息。有时候想下载一款App,需要按照平台要求,开放一大堆个人隐私,比如允许打开相册、允许打开通讯录、允许开启定位等等。”说起商家过度收集个人信息的现象,罗雨欣感受颇深。作为资深网民,她不仅对平台利用大数据提供差别服务感到愤怒,也担心自己的信息在不知不觉间被泄露。
作为中国首部针对个人信息保护的专门性立法,《个人信息保护法》将进一步强化个人信息安全监管与治理,把个人信息使用权关进法律的笼子里。
谢波解读说,《个人信息保护法》对个人信息处理者设置了个人信息的处理规则,其中就包括一些明确的禁止性规定,如“不得对个人在交易价格等交易条件上实行不合理的差别待遇”“所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的” 等,一旦个人信息处理者违反了这些规定,我们就可以向履行个人信息保护职责的部门进行投诉、举报,甚至根据具体情况向法院提起诉讼。
此外,根据《个人信息保护法》规定,对个人信息处理者实行过错推定原则,一旦发生侵害个人信息的行为,不能证明自己没有过错的就应当承担侵权责任,这也将大大降低个人维权的难度。
面对大数据杀熟、滥用人脸识别等侵害公民权益的行为,我们应当如何识别?谢波介绍,所谓大数据杀熟,是指同样的商品或服务,老客户的价格反而高于新客户的现象。简单来说,就是商家给不同人设置了不同价格。大数据杀熟往往具有较强的隐蔽性。网民可以看商家的宣传、展示页面是否做出特别说明,如明确标注新客、新号、满额减、首次消费可以领取优惠券等信息,规则是明确的,且无论用新号还是老号登录页面,展示的信息是一样的,则为正常营销手段,反之则可能存在大数据杀熟。对于滥用人脸识别,可以从是否在公共场所提供了识别设备的显著提示标识、说明了识别信息的使用目的等方面,来评判人脸识别的合法性。
敏感个人信息将被严格保护
《个人信息保护法》从列入立法规划到正式出台,历经了几次大的审议修改。与《网络安全法》和《数据安全法》有所区别,《个人信息保护法》侧重保护个人信息,监管对象是个人信息的处理者和受托人。
谢波认为,“《个人信息保护法》的亮点之一,就是确立个人信息处理中的合法、正当、必要、诚信等基本原则,同时明确了敏感个人信息并予以严格保护。”
值得注意的是,《个人信息保护法》在国内首次将个人信息分类成敏感和非敏感个人信息。从法律上看,生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人的个人信息属于敏感个人信息,这些信息一旦泄露或者被非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。相对来说,个人姓名、职称等属于非敏感个人信息。
从保护个人的角度,法律首次提出了单独同意和书面同意的要求。谢波表示,《个人信息保护法》以“告知—同意”个人信息处理规则为核心,赋予个人在个人信息处理活动中的充分权利,比如,在个人信息处理中享有知情权、决定权,有权限制或拒绝他人对其个人信息进行处理等。
此外,《个人信息保护法》明确了个人信息处理者的合规管理和保障个人信息安全等义务,对大型互联网平台设定特别的个人信息保护义务,加大对违法处理个人信息行为的惩戒,促进形成全社会协同共治的个人信息保护模式。“《个人信息保护法》强调监管和违法惩戒,就好比一枚硬币的两面,监管主要立足于‘防’,惩戒主要着眼于‘惩’,只有惩防有机结合,才能实现个人信息保护的最佳效果。”谢波说。
在监管方面,个人信息处理活动涉及面广、情况复杂、主体多样、隐蔽性强,一旦发生侵害个人信息权益的行为,往往会对社会造成较严重的后果。因此,通过立法理顺监管体制,并对相关部门的监管职责做出规定,是个人信息保护工作必须重视事前、事中的具体体现,这有利于从源头上防范个人信息被侵害的情形发生。
在违法惩戒方面,《个人信息保护法》对违法处理个人信息的行为设置了不同梯次的行政处罚,对未造成严重后果的轻微或一般违法行为,可由执法部门责令改正、给予警告、没收违法所得,对拒不改正的最高可处100万元罚款;对情节严重的违法行为,最高可处5000万元或上一年度营业额5%的罚款,并可以对相关责任人员做出从业禁止处罚。这些严厉的处罚措施,无疑有利于倒逼相关主体履行好法律的规定。
随着《个人信息保护法》正式实施,网络环境必然会发生相应变化。一方面,法律实施前网络空间普遍存在的一些突出问题势必得到依法治理,从而更好保护个人信息和隐私;另一方面,《个人信息保护法》通过明确个人信息处理者的法定义务、相关部门的个人信息保护职责,以及合规审计、个人信息保护影响评估等激励相容机制设计,推动个人信息保护全社会协同共治,有利于集合力量构建清朗网络空间。谢波表示,“立法只是第一步,还需要在行业内形成具体个人信息保护标准、制定个人信息保护技术标准等细化的制度机制,才能实现网络安全的可持续性。”
(应采访对象要求,文中罗雨欣为化名)
(《小康》·中国小康网 独家专稿)
本文刊登于《小康》2021年12月下旬刊
(董云龙 )