個人信息保護法出爐 企業處理個人信息被劃定紅線
《中華人民共和國個人信息保護法》出爐,對過度收集個人信息、自動化決策差異化定價等問題作出針對性規范——
企業處理個人信息被劃定紅線
閱讀提示
在信息化時代,個人信息保護已成為廣大人民群眾最關心最直接最現實的利益問題之一。8月20日,十三屆全國人大常委會第三十次會議通過了個人信息保護法。個人信息保護法進一步細化、完善個人信息保護應遵循的原則和個人信息處理規則,明確個人信息處理活動中的權利義務邊界,給企業處理個人信息活動劃定紅線。
據統計,截至去年年底,我國互聯網用戶已達9.89億,互聯網網站和應用程序數量分別超過440萬個和340萬個。一些企業、機構甚至個人,隨意收集、違法獲取、過度使用、非法買賣個人信息,利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財產安全等問題突出。
經過三次審議,8月20日,第十三屆全國人大常委會第三十次會議正式通過了個人信息保護法,該法將于2021年11月1日起施行。個人信息保護法進一步細化、完善個人信息保護應遵循的原則和個人信息處理規則,明確個人信息處理活動中的權利義務邊界,給企業處理個人信息活動劃定紅線。
“告知-同意”是核心規則
長期以來,應用程序過度收集個人信息問題是社會關注的一大焦點。在實踐中,互聯網企業推出的App通常以勾選“隱私協議”來獲取用戶一攬子授權,用戶經常面臨著“不同意即不可用”的困境。
個人信息保護法確立了個人信息處理應遵循的原則,強調處理個人信息應當遵循合法、正當、必要和誠信原則,具有明確、合理的目的并與處理目的直接相關,采取對個人權益影響最小的方式,限于實現處理目的的最小范圍,公開處理規則,保證信息質量,采取安全保護措施等。
“這些原則應當貫穿于個人信息處理的全過程、各環節。”8月20日,全國人大常委會法工委經濟法室副主任楊合慶對個人信息保護法進行解讀時說。
個人信息保護法緊緊圍繞規范個人信息處理活動、保障個人信息權益來構建個人信息保護法律制度。“‘告知-同意’是法律確立的個人信息保護核心規則,是保障個人對其個人信息處理知情權和決定權的重要手段。”楊合慶說。
個人信息保護法要求,處理個人信息應當在事先充分告知的前提下取得個人同意,個人信息處理的重要事項發生變更的,應當重新向個人告知并取得同意。
北京大學法學院教授薛軍表示,這種同意是建立在告知基礎上的有效同意,包括“單獨同意”“書面同意”,“同意”后還可“撤回”。這充分體現了立法認可個人信息受到法律保護。
強調禁止“大數據殺熟”
當前,越來越多的企業利用大數據分析、評估消費者的個人特征用于商業營銷。其中有一些企業通過掌握消費者的經濟狀況、消費習慣、對價格的敏感程度等信息,對消費者在交易價格等方面實行歧視性的差別待遇,誤導、欺詐消費者,其中最典型的就是社會反映突出的“大數據殺熟”。
“‘大數據殺熟’行為違反了誠實信用原則,侵犯了消費者權益保護法規定的消費者享有公平交易條件的權利,應當在法律上予以禁止。”楊合慶說。
對此,個人信息保護法明確規定:個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
一方面,經營者應當按照法律規定,遵循公開、公平、公正的原則設定算法模型、制定自動化決策的規則,不得對消費者實行歧視性的不公平的差別待遇;另一方面,個人信息處理者應當保障消費者的知情權和選擇權,向個人進行信息推送、商業營銷時,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。
嚴格保護個人敏感信息
值得關注的是,個人信息保護法將生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息列為敏感個人信息。
“這主要考慮到此類信息一旦泄露或者被非法使用,極易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害,對處理敏感個人信息的活動應當作出更加嚴格的限制。”楊合慶說。
對此,個人信息保護法要求只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,方可處理敏感個人信息,同時應當事前進行影響評估,并向個人告知處理的必要性以及對個人權益的影響。
考慮到少年兒童在生理上和心理上尚不成熟,認知能力和控制自己行為的能力都較弱,容易受到信息推送和商業營銷的誘導,在面對違法處理行為侵害其合法權益時缺乏必要的分辨能力和充分的自我保護能力,為保護未成年人的個人信息權益和身心健康,個人信息保護法特別將不滿十四周歲未成年人的個人信息確定為敏感個人信息予以嚴格保護。同時,與未成年人保護法有關規定相銜接,個人信息保護法要求處理不滿十四周歲未成年人個人信息應當取得未成年人的父母或者其他監護人的同意,并應當對此制定專門的個人信息處理規則。
強化個人信息處理者義務
個人信息處理者是個人信息保護的第一責任人。據此,個人信息保護法強調,個人信息處理者應當對其個人信息處理活動負責,并采取必要措施保障所處理的個人信息的安全,在此基礎上,設專章明確了個人信息處理者的合規管理和保障個人信息安全等義務。
值得注意的是,個人信息保護法對大型網絡平臺設定了特別的個人信息保護義務。
“在個人信息處理方面,互聯網平臺為平臺內經營者處理個人信息提供基礎技術服務、設定基本處理規則,是個人信息保護的關鍵環節。”楊合慶指出,提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者對平臺內的交易和個人信息處理活動具有強大的控制力和支配力,因此在個人信息保護方面應當承擔更多的法律義務。
對外經貿大學數字經濟與法律創新研究中心執行主任許可強調,除了國家機關以外,互聯網平臺是目前最大的個人信息收集者,也是個人信息保護最重要的市場主體。通過互聯網大型平臺去建立健全個人信息保護規范,對平臺經營者進行約束,是未來完善個人信息保護法的重要環節。
“個人信息保護法以嚴密的制度、嚴格的標準、嚴厲的責任,構建了權責明確、保護有效、利用規范的個人信息處理和保護制度規則。社會各方面應當加強個人信息保護宣傳教育,提升個人信息保護法治意識,推動個人信息保護法落地實施,助力網絡強國、數字中國、智慧社會建設。”楊合慶說。
記者:盧越