刚在一个购物软件上浏览母婴用品,另一个购物软件就推送奶粉广告;用不同账号登录同一个打车软件,相同距离价格却不同……近年来,滥用网络轨迹、大数据杀熟等引发社会对个人信息保护的广泛关注。
如何保护个人信息?2021年8月20日,十三届全国人大常委会第三十次会议审议通过《中华人民共和国个人信息保护法》,这部法将于11月1日正式实施。中国的个人信息保护从此进入了一个全新的阶段。
——编 者
构建个人信息保护的基本制度
“长期以来,保护个人信息的规则制度散见于许多单行法律中。不仅零散,有些规定还有可能相互矛盾。”北京大学法学院教授、知识产权学院常务副院长张平说,“去年,民法典对个人信息保护作出了规定。但还需要一部专门的法律规定个人信息保护的基本原则和制度,增强个人信息保护的系统性、权威性和针对性。”
翻开个人信息保护法,个人信息保护的基本原则和各项制度清晰、全面,个人信息权益的保护架构已经搭建起来。
全国人大常委会法工委经济法室副主任杨合庆介绍:“个人信息保护法确立了个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等,这些原则应当贯穿于个人信息处理的全过程、各环节。”
具体保护规则是否科学、合理,也是个人信息权益能否得到有效保护的重要方面。
此前,某卫浴企业被曝光在其各门店安装了人脸识别功能的摄像头,一旦顾客进入该企业门店,在不知情的情况下,人脸信息就会被捕捉、记录,以后顾客再去旗下哪家店,去了几次,该企业都会知道。
“比如这个人过来了,乙店会提示这个人也逛过甲店,乙店如何去接待、如何去报价,就有心理准备了。”北京大学粤港澳大湾区知识产权发展研究院学术研究与发展合作部主任辜凌云说,“该企业的行为,显然不符合个人信息保护法中的‘告知—同意’原则。”
杨合庆介绍:“‘告知—同意’是个人信息保护法确立的个人信息保护核心规则,是保障个人对其个人信息处理知情权和决定权的重要手段。个人信息保护法要求处理个人信息,应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。”
“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项……”
清华大学法学院副院长程啸对个人信息保护法中这一条款印象深刻。“在实践中,不少个人信息处理者为了满足法律的要求,规避法律风险,往往以‘捆绑’的方式列出内容冗长繁琐的隐私政策条款,给用户带来阅读上的困难。”程啸说,“有鉴于此,个人信息保护法中要求,处理者在履行告知义务时,应当使用清晰易懂的语言和显著的方式进行告知。”
回应个人信息保护的热点问题
法律在理性中体现着温度。翻开个人信息保护法,不难发现,它不仅是一本“个人信息权益的宣言书”,而且用个人信息保护领域基本法的形式来回应社会公众的关切,不断增进人民群众获得感、幸福感和安全感,反映时代应有的价值追求。
郭某为了方便到野生动物园游玩,购买了动物园年卡,当时园方的入园方式为指纹核验入园。于是,郭某留下了个人身份信息并录入指纹。不久,郭某收到了野生动物园发来的短信,提示其园区年卡系统已升级为人脸识别,原指纹识别已取消,未注册人脸识别的用户将无法正常入园。
“人脸信息属于敏感个人信息,我不同意接受人脸识别,要求园方退卡。”郭某与动物园协商未果,遂将其告上法庭。经过两级法院审判,郭某部分诉求得到支持,同时法院还判决动物园删除郭某留下的指纹信息。
“如果法律能对人脸、指纹这些敏感个人信息的收集范围、方式、用途等作出更为清晰具体的规定,类似郭某这样的案件,就能有更为明确的保护依据。”复旦大学法学院副教授姚军说。
面对公众期待,个人信息保护法做出回应:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”“处理敏感个人信息应当取得个人的单独同意。”
“大数据杀熟”是个人信息保护领域另一个热点问题。其具体表现可能是同一个APP上“会员价”高于非会员价,甚至同样的商品,不同手机显示不同价格。复旦大学一项关于网约车的研究发现,某一品牌手机用户更容易被舒适型车辆司机接单,这一比例是其他品牌手机用户的3倍。
“一些企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息,对消费者在交易价格等方面实行歧视性的差别待遇,误导、欺诈消费者。”杨合庆介绍,“对此,个人信息保护法明确规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。”
个人信息保护法以“个人信息处理者的义务”专章规范相关内容,专门规定了提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的相关义务。
“在个人信息处理方面,互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则,是个人信息保护的关键环节。” 中国信息通信研究院互联网法律研究中心高级研究员杨婕说,“个人信息保护法强化对于大型个人信息处理者的监管,配置与其控制力和影响力相适应的个人信息保护特别义务。”
构建个人信息的监管处罚制度
完善的权利设置,体现了保护个人信息的决心;而强有力的监管与处罚措施,则是对违法处理个人信息行为有效的震慑。
要落实监管措施,首先需要一个强有力的执法主体。对此,杨合庆介绍:“根据个人信息保护工作实际,个人信息保护法明确国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。为了加强个人信息保护监管执法的协同配合,个人信息保护法还进一步明确了国家网信部门在个人信息保护监管方面的统筹协调作用,并对其统筹协调职责作出具体规定。”
“个人信息保护法加大了违法处理个人信息行为的惩戒力度。”中国人民大学法学院教授张新宝说,根据个人信息处理的不同情况,对违法处理个人信息的行为设置了不同梯次的行政处罚。对情节严重的违法行为,最高可处五千万元或上一年度营业额百分之五的罚款,并可以对相关责任人员作出相关从业禁止的处罚。
个人信息保护法还对侵害众多个人权益的民事公益诉讼作了规定。对此,8月21日,最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,要求各级检察机关深刻领会个人信息保护法设置公益诉讼条款的重要意义,进一步增强检察履职的责任感和紧迫感,切实加大办案力度,推动公益诉讼条款落地落实。
“在信息处理中,个人面对的不是普通的私人主体,而是强大的、组织化的信息处理机构;加之信息时代下个人信息处理往往是动态化、复杂化的,因此,国家需要以行政执法、公益诉讼等积极行动保护个人信息安全。”北京大学法学院教授王锡锌说。
“个人信息保护法以严密的制度、严格的标准、严厉的责任,构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。”杨合庆说,“应当加强个人信息保护法宣传教育,提升个人信息保护法治意识,推动个人信息保护法落地实施,助力网络强国、数字中国、智慧社会建设。”