即將施行的《個人信息保護法》禁止大數據“殺熟”、不能過度收集信息、明確互聯網企業責任義務

　　向侵害個人信息安全說不

　　“之前在市里分別打車，相同的起點和終點，因為手機型號不同，我和朋友的車費就不一樣。”湖南長沙的李女士覺得很奇怪，后來才知道這叫大數據“殺熟”。除此之外，不點擊“同意”就無法使用APP，騷擾電話隔三岔五打來也讓她不堪其擾。移動互聯網方便了生活，但個人信息卻暴露無遺。“這些早就該整治了。”李女士說。

　　今年11月1日，《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)將正式施行。這部保護個人信息的專門法律，回應了社會上諸多熱點話題。比如明確禁止大數據“殺熟”行為、加強敏感個人信息保護等，中國個人信息保護將掀開新篇章。那么，這部法律將如何保護我們的個人信息？今后個人信息能否真正由自己做主？

　　一部亮點多多的法律

　　“我和朋友在同一時段購買相同品牌的衣服，由于朋友經常網購比較貴的商品，結果他沒有收到優惠信息，價格比我高出幾十元。”對于大數據“殺熟”，上海的楊先生向記者講述了他的經歷。

　　“前幾天我打算買輛摩托車，先在網站上搜索了相關配件、型號，此后電商平臺就開始給我推薦相關產品，打開視頻APP也能看到類似的推薦。”在健身房工作的徐先生感覺自己被不同的APP給“綁架”了，很想取消這些個性化推薦。

　　大學生小歡喜歡上網，手機通訊錄莫名被一些APP讀取，不斷向她推薦通訊錄好友的社交賬號。“我不太喜歡這種感覺，希望自己的社交賬號私密一些，APP這種行為違背了我的個人意愿。”

　　在采訪中，受訪者有著各種各樣個人信息被泄露的經歷，這也從側面說明個人信息保護刻不容緩。之前，用戶對如何保護個人信息往往束手無策，社會各界也期待有一部專門的法律來約束和規范個人信息的采集和保護。

　　“個人信息是信息時代的‘石油’，誰掌握了信息，誰就掌握了智慧時代的‘按鈕’。個人信息不僅是財產問題，還涉及到國家社會、經濟安全、數字經濟社會發展等重要問題，再加上當前個人信息的收集廣度與深度前所未有地加強，亟須制定專門的信息保護法。與此同時，在國際上，歐盟、美國都出臺了相關的法律，《個人信息保護法》的制定也是適應個人信息跨境流動、個人信息國際合作保護的需要。”中南大學法學院院長許中緣說。

　　針對社會上熱議的許多現象，《個人信息保護法》作出了回應。如第二十四條規定直指大數據“殺熟”：“個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇”。

　　此外，法律還加強了對包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡在內的敏感信息保護，并為不滿14周歲未成年人信息制定專門的個人信息處理規則，相關條款對過去個人信息保護實踐中存在問題的領域進行了重點回應。

　　《個人信息保護法》充分確立了以人民為中心的個人信息保護理念與法治規則，使人民群眾在數字社會中的權利得到了充分尊重、實現與保護。“這是繼《網絡安全法》《民法典》《數據安全法》頒布后，就個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等確立的全面保護規則。”許中緣表示，這樣一部保護個人信息的基礎性法律，完善了我國在網絡安全和數據保護領域的頂層設計。

　　可以說，這部法律亮點多多。

　　“告知-同意”是核心規則

　　被APP強制要求同意條款的事例數不勝數，網絡上對這一行為多有詬病。

　　“家里準備買車，為此我提前下載了購車相關的APP，完成注冊需要收集個人電話、家庭住址、購買意愿等。之后小半年時間里，我不斷收到騷擾電話，對方明確說出了我的家庭住址、是否需要哪一款車等。”過度收集個人信息、信息泄露讓福建泉州的陳女士不堪其擾。

　　有的用戶對用戶協議表示疑惑。“在下載APP時，為了使用功能，直接對彈出的服務協議點擊‘同意’。”小歡抱怨說，“雖然協議表述清楚，但最后往往會加上一句‘需要您的同意’，不同意就會強制退出應用。”

　　此前個人信息被采集之后，往往不知道信息的流向，“單向告知”成為常態。這一現象得到《個人信息保護法》充分重視。

　　“《個人信息保護法》共74個條款，其中有10多個條款單獨或同時出現了‘告知’‘同意’字樣，約占全部條款的20%”。中央黨校(國家行政學院)政法部教授劉銳告訴記者，雖然有不少條款沒有“告知”“同意”字樣，但體現了“告知-同意”規則的精神，“這一規則充分彰顯了《個人信息保護法》‘保護個人信息權益，規范個人信息處理活動’的基本宗旨。”

　　在《個人信息保護法》中，眾多條款都將“同意”作為基本前提。如第十三條列舉的可以處理個人信息的情形中，“取得個人的同意”放在第一位；第十四條規定，“基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出”；第二十九條規定，“處理敏感個人信息應當取得個人的單獨同意；法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定”等。

　　劉銳表示，將“告知-同意”確定為個人信息處理的基本規則，是個人對個人信息處理享有知情權、決定權的必然要求。“也就是說，要保證個人對信息處理‘充分知情’，就應該以顯著的方式、清晰易懂的語言讓個人知道誰在處理他的信息、信息被怎樣處理、可能對他造成何種影響，以及怎么要求更正、查詢、刪除個人信息等。”

　　上海市海華永泰律師事務所付國峰律師表示，《個人信息保護法》確立的“告知-同意”核心規則，規定了侵犯公民信息的法律責任，對個人敏感信息和未成年人信息的保護更加嚴格，這將成為個人信息保護乃至捍衛公民權利的新篇章。

　　共同發力確保法律落到實處

　　當被問到是否打算維權，曾被大數據“殺熟”的李女士有些猶豫，“想過，但打官司、收集證據和材料，一套流程走下來比較耽誤時間。”更現實的是，眾多互聯網用戶對個人信息權益的保護不夠重視，只要沒有涉及財產損失，很少有人會去較真。

　　“以往的大數據‘殺熟’案件中，往往存在定性難、解決難、維權難的問題。而《個人信息保護法》的出臺將會改變這種局面。這部法律是對公民權利保護的升級，使個人信息保護工作真正有法可依。”付國峰說。

　　過去，維權面臨的第一大難題是沒有專門的法律。《個人信息保護法》出臺和實施后，需要鼓勵互聯網用戶學會維權并敢于維權。要讓全社會了解法律的意義和條款，需要加強普法教育。對此，許中緣建議，個人信息保護機構應遵循“誰執法、誰普法”的要求，增強民眾對個人信息權利的認知，開展個人信息保護宣傳教育，指導、監督個人信息處理者開展個人信息保護工作。

　　值得注意的是，《個人信息保護法》明確規定了多種侵害公民個人信息權的行政處罰，包括對應用程序和其負責人的處罰；既包括責令改正、給予警告、沒收違法所得、責令暫停或者終止服務，也包括罰款。其中針對個人的罰款，根據情節處以1萬至100萬元不等；針對企業的罰款，情節嚴重的將處以5000萬元以下或上一年度營業額5%以下的罰款。

　　“法律的生命在于實施。這部法律規定了不少執法細則，有些處罰措施非常嚴厲但自由裁量空間比較大，這就要求執法既要嚴格，也要規范公正文明。”劉銳表示。

　　此外，保護個人信息離不開互聯網企業和平臺的支持與配合。《個人信息保護法》對大型互聯網平臺設定了特別的個人信息保護義務，如定期發布個人信息保護社會責任報告、接受社會監督等。字節跳動相關負責人在接受采訪時表示，旗下相關APP已經進行系統升級，為用戶提供了更明確的個性化推送關閉選擇；后續也會繼續優化產品功能，不斷提高用戶信息保護水平。

　　許中緣表示，履行個人信息保護職責的部門要根據《個人信息保護法》指導互聯網企業建立個人信息采集、傳輸、存儲、共享、出境等各個環節的合規體系。

　　在采訪中，專家學者、受訪者以及網友都表達出對這部法律的期待，希望能從根本上改變目前個人信息過度收集、泄露的亂象。

　　“《個人信息保護法》的出臺是一件大好事，但未來個人信息保護的配套制度建設和法律完善任務依然不輕。”劉銳說。

　　龔文靜