即将施行的《个人信息保护法》禁止大数据“杀熟”、不能过度收集信息、明确互联网企业责任义务
向侵害个人信息安全说不
5月31日,在江苏省扬州市汤汪中心小学,社区志愿者给学生们介绍防范电信诈骗、保护个人信息的知识。
“之前在市里分别打车,相同的起点和终点,因为手机型号不同,我和朋友的车费就不一样。”湖南长沙的李女士觉得很奇怪,后来才知道这叫大数据“杀熟”。除此之外,不点击“同意”就无法使用APP,骚扰电话隔三岔五打来也让她不堪其扰。移动互联网方便了生活,但个人信息却暴露无遗。“这些早就该整治了。”李女士说。
今年11月1日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)将正式施行。这部保护个人信息的专门法律,回应了社会上诸多热点话题。比如明确禁止大数据“杀熟”行为、加强敏感个人信息保护等,中国个人信息保护将掀开新篇章。那么,这部法律将如何保护我们的个人信息?今后个人信息能否真正由自己做主?
一部亮点多多的法律
“我和朋友在同一时段购买相同品牌的衣服,由于朋友经常网购比较贵的商品,结果他没有收到优惠信息,价格比我高出几十元。”对于大数据“杀熟”,上海的杨先生向记者讲述了他的经历。
“前几天我打算买辆摩托车,先在网站上搜索了相关配件、型号,此后电商平台就开始给我推荐相关产品,打开视频APP也能看到类似的推荐。”在健身房工作的徐先生感觉自己被不同的APP给“绑架”了,很想取消这些个性化推荐。
大学生小欢喜欢上网,手机通讯录莫名被一些APP读取,不断向她推荐通讯录好友的社交账号。“我不太喜欢这种感觉,希望自己的社交账号私密一些,APP这种行为违背了我的个人意愿。”
在采访中,受访者有着各种各样个人信息被泄露的经历,这也从侧面说明个人信息保护刻不容缓。之前,用户对如何保护个人信息往往束手无策,社会各界也期待有一部专门的法律来约束和规范个人信息的采集和保护。
“个人信息是信息时代的‘石油’,谁掌握了信息,谁就掌握了智慧时代的‘按钮’。个人信息不仅是财产问题,还涉及到国家社会、经济安全、数字经济社会发展等重要问题,再加上当前个人信息的收集广度与深度前所未有地加强,亟须制定专门的信息保护法。与此同时,在国际上,欧盟、美国都出台了相关的法律,《个人信息保护法》的制定也是适应个人信息跨境流动、个人信息国际合作保护的需要。”中南大学法学院院长许中缘说。
针对社会上热议的许多现象,《个人信息保护法》作出了回应。如第二十四条规定直指大数据“杀熟”:“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇”。
此外,法律还加强了对包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹在内的敏感信息保护,并为不满14周岁未成年人信息制定专门的个人信息处理规则,相关条款对过去个人信息保护实践中存在问题的领域进行了重点回应。
《个人信息保护法》充分确立了以人民为中心的个人信息保护理念与法治规则,使人民群众在数字社会中的权利得到了充分尊重、实现与保护。“这是继《网络安全法》《民法典》《数据安全法》颁布后,就个人信息的收集、存储、使用、加工、传输、提供、公开、删除等确立的全面保护规则。”许中缘表示,这样一部保护个人信息的基础性法律,完善了我国在网络安全和数据保护领域的顶层设计。
可以说,这部法律亮点多多。
“告知-同意”是核心规则
被APP强制要求同意条款的事例数不胜数,网络上对这一行为多有诟病。
“家里准备买车,为此我提前下载了购车相关的APP,完成注册需要收集个人电话、家庭住址、购买意愿等。之后小半年时间里,我不断收到骚扰电话,对方明确说出了我的家庭住址、是否需要哪一款车等。”过度收集个人信息、信息泄露让福建泉州的陈女士不堪其扰。
有的用户对用户协议表示疑惑。“在下载APP时,为了使用功能,直接对弹出的服务协议点击‘同意’。”小欢抱怨说,“虽然协议表述清楚,但最后往往会加上一句‘需要您的同意’,不同意就会强制退出应用。”
此前个人信息被采集之后,往往不知道信息的流向,“单向告知”成为常态。这一现象得到《个人信息保护法》充分重视。
“《个人信息保护法》共74个条款,其中有10多个条款单独或同时出现了‘告知’‘同意’字样,约占全部条款的20%”。中央党校(国家行政学院)政法部教授刘锐告诉记者,虽然有不少条款没有“告知”“同意”字样,但体现了“告知-同意”规则的精神,“这一规则充分彰显了《个人信息保护法》‘保护个人信息权益,规范个人信息处理活动’的基本宗旨。”
在《个人信息保护法》中,众多条款都将“同意”作为基本前提。如第十三条列举的可以处理个人信息的情形中,“取得个人的同意”放在第一位;第十四条规定,“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出”;第二十九条规定,“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定”等。
刘锐表示,将“告知-同意”确定为个人信息处理的基本规则,是个人对个人信息处理享有知情权、决定权的必然要求。“也就是说,要保证个人对信息处理‘充分知情’,就应该以显著的方式、清晰易懂的语言让个人知道谁在处理他的信息、信息被怎样处理、可能对他造成何种影响,以及怎么要求更正、查询、删除个人信息等。”
上海市海华永泰律师事务所付国峰律师表示,《个人信息保护法》确立的“告知-同意”核心规则,规定了侵犯公民信息的法律责任,对个人敏感信息和未成年人信息的保护更加严格,这将成为个人信息保护乃至捍卫公民权利的新篇章。
共同发力确保法律落到实处
当被问到是否打算维权,曾被大数据“杀熟”的李女士有些犹豫,“想过,但打官司、收集证据和材料,一套流程走下来比较耽误时间。”更现实的是,众多互联网用户对个人信息权益的保护不够重视,只要没有涉及财产损失,很少有人会去较真。
“以往的大数据‘杀熟’案件中,往往存在定性难、解决难、维权难的问题。而《个人信息保护法》的出台将会改变这种局面。这部法律是对公民权利保护的升级,使个人信息保护工作真正有法可依。”付国峰说。
过去,维权面临的第一大难题是没有专门的法律。《个人信息保护法》出台和实施后,需要鼓励互联网用户学会维权并敢于维权。要让全社会了解法律的意义和条款,需要加强普法教育。对此,许中缘建议,个人信息保护机构应遵循“谁执法、谁普法”的要求,增强民众对个人信息权利的认知,开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作。
值得注意的是,《个人信息保护法》明确规定了多种侵害公民个人信息权的行政处罚,包括对应用程序和其负责人的处罚;既包括责令改正、给予警告、没收违法所得、责令暂停或者终止服务,也包括罚款。其中针对个人的罚款,根据情节处以1万至100万元不等;针对企业的罚款,情节严重的将处以5000万元以下或上一年度营业额5%以下的罚款。
“法律的生命在于实施。这部法律规定了不少执法细则,有些处罚措施非常严厉但自由裁量空间比较大,这就要求执法既要严格,也要规范公正文明。”刘锐表示。
此外,保护个人信息离不开互联网企业和平台的支持与配合。《个人信息保护法》对大型互联网平台设定了特别的个人信息保护义务,如定期发布个人信息保护社会责任报告、接受社会监督等。字节跳动相关负责人在接受采访时表示,旗下相关APP已经进行系统升级,为用户提供了更明确的个性化推送关闭选择;后续也会继续优化产品功能,不断提高用户信息保护水平。
许中缘表示,履行个人信息保护职责的部门要根据《个人信息保护法》指导互联网企业建立个人信息采集、传输、存储、共享、出境等各个环节的合规体系。
在采访中,专家学者、受访者以及网友都表达出对这部法律的期待,希望能从根本上改变目前个人信息过度收集、泄露的乱象。
“《个人信息保护法》的出台是一件大好事,但未来个人信息保护的配套制度建设和法律完善任务依然不轻。”刘锐说。(记者 龚文静)