中國消費者報報道(記者 武曉莉)隨著大數(shù)據(jù)、人工智能等互聯(lián)網(wǎng)新技術(shù)的廣泛使用,,數(shù)字化全面進入我們的日常生活,,個人信息數(shù)據(jù)焦慮成為普遍現(xiàn)象。大數(shù)據(jù)殺熟,、人臉信息過度采集、應(yīng)用程序(APP)個人信息泄露,,個人信息安全究竟誰來守護?
《個人信息保護法》完善了個人信息處理規(guī)則,,完善了個人信息相關(guān)投訴舉報工作機制及違法處理個人信息涉嫌犯罪案件的移送機制,在完善個人信息處理規(guī)則方面,,特別對APP過度收集個人信息,、大數(shù)據(jù)殺熟、平臺責(zé)任等作出針對性規(guī)范,將使得人們在數(shù)字化社會生活中更有安全感,。
明確個人信息處理合法基礎(chǔ)
“《個人信息保護法》并沒有禁止收集個人信息,,而是反對過度收集、強制收集和違法收集,。”中國社會科學(xué)院學(xué)部委員,、全國人大憲法和法律委員會委員孫憲忠說。
孫憲忠表示,,社會上一度曾對個人信息泄露感到恐慌和擔(dān)憂,,但在防控疫情的過程中,信息化手段提供了很大幫助,,這使人們認識到個人信息的收集在社會管理過程中也大有裨益,。在立法討論中大家認為,我國已經(jīng)進入信息化社會,,要積極利用信息化的利好方面,,但也應(yīng)認識到,在信息收集和后續(xù)的信息加工,、管理,、應(yīng)用等環(huán)節(jié)確實出現(xiàn)了一些問題,因此,,《個人信息保護法》要著力解決這些問題,。“《個人信息保護法》進一步完善了處理個人信息的合法性基礎(chǔ),補充了個人有權(quán)撤回同意的內(nèi)容,。”中國信息通信研究院云計算與大數(shù)據(jù)研究所仵姣姣說,,“總體而言,《個人信息保護法》采取了優(yōu)先保護個人權(quán)利和社會公共利益的路徑,。”
仵姣姣表示,,《個人信息保護法》列舉了個人信息處理的合法基礎(chǔ),包括授權(quán)同意,、為訂立或履行個人作為一方當事人的合同所必需,、履職必需、應(yīng)對突發(fā)公共衛(wèi)生事件,、在合理的范圍內(nèi)處理已公開的信息,、公益目的等。對信息收集者來說,,主要的數(shù)據(jù)處理合規(guī)基礎(chǔ)是被收集對象的授權(quán)同意,、合同必需和在合理范圍內(nèi)處理已公開的信息。
如果不授權(quán)就不能使用互聯(lián)網(wǎng)應(yīng)用,,這一度是很普遍的現(xiàn)象,。仵姣姣認為,,盡管消費者授權(quán)同意,但仍存在能否真正保障個人信息主體的知情權(quán),、授權(quán)同意是否會流于形式、強勢一手數(shù)據(jù)源為后續(xù)數(shù)據(jù)流轉(zhuǎn)的參與方帶來權(quán)利瑕疵等問題,,但實踐中已逐漸形成一定程度上的范例,。例如采用交互式彈窗的形式在用戶使用特定功能時,逐一獲取該功能必需的數(shù)據(jù);明確列出數(shù)據(jù)共享的目的及合作方名單;在隱私協(xié)議條款前,,簡要介紹核心條款等,。
過度索權(quán)也是一直為消費者詬病的行業(yè)痼疾。仵姣姣認為,,合同一定要遵循最小必要原則,,商家需要審慎衡量獲取的數(shù)據(jù)類型是不是提供相關(guān)產(chǎn)品和服務(wù)的必要前提。
信息社會發(fā)展到今天,,一般人都有幾十,、上百條注冊信息、授權(quán)同意信息,,其中很多都不再使用,,但卻普遍存在不支持注銷賬戶、撤回同意投訴無門等問題,。仵姣姣表示,,《個人信息保護法》專門賦予個人撤回同意的權(quán)利,明確要求商家必須提供便捷的撤回同意方式,。此外還明確,,撤回同意不影響撤回前基于個人同意已進行的個人信息處理活動的效力。
“由于數(shù)據(jù)存在極強的可復(fù)制性,,個人信息主體在給出首次授權(quán)同意后,,對于姓名、身份證號,、手機號,、地址等相對靜態(tài)的信息很容易失去控制權(quán),即使在撤回同意后,,個人及每一環(huán)節(jié)數(shù)據(jù)處理者也很難控制數(shù)據(jù)的后續(xù)流轉(zhuǎn),。”仵姣姣認為,商家要確保在用戶撤回同意后,,相關(guān)數(shù)據(jù)被終止收集,,必要時也需要對其進行刪除或匿名化。
遏制大數(shù)據(jù)殺熟行為
大數(shù)據(jù)殺熟近年來被廣泛討論,。在同一網(wǎng)站上,,相同的商品或服務(wù)不同的人購買價格卻不一樣,這就可能是被“殺熟”了。大數(shù)據(jù)殺熟是指一種個性化定價,,商家通過分析消費者個人信息形成畫像,,利用算法對每個消費者的支付意愿進行精準評估和預(yù)測,預(yù)測消費者最高保留價格,,并以此就同一商品或服務(wù)向不同消費者設(shè)置不同價格,。中國信息通信研究院互聯(lián)網(wǎng)法律研究中心高級研究員、個人信息保護立法研究團隊負責(zé)人楊婕認為,,這種歧視性定價策略,,其實意味著商家可以過度、無限制,、不合理地剝奪消費者,,損害消費者權(quán)益。
“《個人信息保護法》中的第二十四條,,對于大數(shù)據(jù)殺熟問題作出明確的規(guī)定,。”楊婕說,《個人信息保護法》明確要求商家保證自動化決策的透明度和結(jié)果的公平,、公正,,在事前進行個人信息保護影響評估,不得對個人在交易價格等交易條件上實行不合理的差別待遇,,并賦予個人包括選擇權(quán),、知情權(quán)在內(nèi)的更充分的權(quán)利。
楊婕表示,,考慮到個人信息處理活動的多樣性,、算法運行機制的不透明性以及決策結(jié)果的不確定性,《個人信息保護法》規(guī)定無論商家是否具有市場支配地位,,只要其利用個人信息進行自動化決策,,對個人在交易價格等交易條件上實行不合理的差別待遇,就是法律所禁止的行為,。“所涉及的適用對象全面,,輻射范圍廣泛,有助于徹底解決大數(shù)據(jù)殺熟問題,。”楊婕說,。
中國首席數(shù)據(jù)官聯(lián)盟專家組成員、法律顧問,,觀韜中茂(上海)律師事務(wù)所合伙人王渝偉說,,今年2月7日,《國務(wù)院反壟斷委員會關(guān)于平臺經(jīng)濟領(lǐng)域的反壟斷指南》發(fā)布,,遏制平臺經(jīng)營者利用其壟斷地位進行大數(shù)據(jù)殺熟,、強迫商家“二選一”等不公平競爭等行為,。隨著《個人信息保護法》的實施,數(shù)據(jù)可攜帶權(quán)等權(quán)益的實現(xiàn),,將有力保障數(shù)據(jù)在不同經(jīng)營者之間的流動,,促進經(jīng)營者公平競爭。
APP個人信息保護設(shè)專章
“你在家里住得好好的,,結(jié)果總有人打電話騷擾你;剛生了孩子從醫(yī)院回來,,走在路上就有人向你推銷紙尿褲等,很顯然你的個人信息被泄露了,。”孫憲忠說。這種情況不屬于個人信息收集環(huán)節(jié),,而屬于信息收集之后的“占有和加工管理”環(huán)節(jié),。對此,《個人信息保護法》第五十二條明確規(guī)定,,個人信息收集者應(yīng)該對收集來的信息進行妥善的監(jiān)督和保管,。
據(jù)工業(yè)和信息化部統(tǒng)計,截至2020年底,,國內(nèi)市場上監(jiān)測到的APP數(shù)量為345萬款,。海量的APP在帶來生活便利的同時,強制索權(quán),、過度收集,、濫用和泄漏個人信息等問題也層出不窮。
楊婕表示,,小程序,、快應(yīng)用、H5頁面等新應(yīng)用形態(tài)不斷出現(xiàn),,麥克風(fēng)被竊聽,、通信錄被竊取、相冊非授權(quán)被讀寫等問題不斷曝出,,亟需從法律層面遏制APP濫用個人信息的現(xiàn)象,。《個人信息保護法》增加了對于APP個人信息保護的專門性規(guī)定,,其中第六十一條將“組織對應(yīng)用程序等個人信息保護情況進行測評,,并公布測評結(jié)果”新設(shè)為履行個人信息保護職責(zé)的部門的職責(zé);第六十六條將“對違法處理個人信息的應(yīng)用程序,責(zé)令暫?;蛘呓K止提供服務(wù)”,,增加為履行個人信息保護職責(zé)的部門對違法主體可采取的處罰手段。
中國社會科學(xué)院法學(xué)研究所副所長周漢華說,,從適用的對象上來看,,《個人信息保護法》把政府機關(guān)和市場主體一并納入規(guī)范的對象,。
新增了對具有管理公共事務(wù)職能的組織的規(guī)范要求。孫憲忠說,,《個人信息保護法》影響最大的就是負責(zé)收集個人信息的部門,,包括政府部門、大型企業(yè)等,。第五十七條明確提出,,個人信息發(fā)生泄露,個人信息處理者即信息掌管者要立即采取補救措施,。具體來說,,是指網(wǎng)信部門或者是相關(guān)管理機構(gòu)等,要設(shè)法采取補救性措施,。
孫憲忠說,,就個人而言,如果發(fā)現(xiàn)自己的個人信息已經(jīng)被泄露,,可以依據(jù)《個人信息保護法》第六十一條第二項的規(guī)定,,積極向網(wǎng)信部門、市場監(jiān)督管理部門等相關(guān)管理機構(gòu)投訴,。
“明確個人信息侵權(quán)行為的歸責(zé)原則為過錯推定,,是對用戶權(quán)益的有力保護。”仵姣姣說,?!秱€人信息保護法》明確了當個人信息權(quán)益因個人信息處理活動受到侵害時,個人信息處理者不能證明自己沒有過錯的,,應(yīng)當承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任,。換言之,個人信息處理者如果不能證明自己在數(shù)據(jù)處理,、數(shù)據(jù)保護中不存在過錯,,將在訴訟中面臨一定程度的敗訴風(fēng)險。
這在司法實踐中實際上已有先例,。如此前消費者龐理鵬訴中國東方航空股份有限公司,、北京趣拿信息技術(shù)有限公司隱私權(quán)糾紛案,被告企業(yè)被要求證明自己不存在過錯,、已履行的信息安全保護義務(wù)以及個人信息的具體泄露方以及泄露的具體環(huán)節(jié),,并最終由于難以提供相關(guān)證據(jù)而敗訴。
人臉識別條款亮點多
“《個人信息保護法》對人臉信息的保護亮點很多,。”中國信息通信研究院云計算與大數(shù)據(jù)研究所人工智能部呼娜英說,。人臉作為人類社會相互識別和驗證的通用身份標識符,具有直接識別性,、獨特性,、唯一性,、易獲取性等特點。在人工智能賦能深度廣度不斷加強的科技浪潮下,,人臉識別技術(shù)商業(yè)化進程不斷加速,。從此前的《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》到目前的《個信息保護法》,都規(guī)定人臉識別屬于敏感個人信息,,需要遵循特殊規(guī)則進行保護,、處理。
人臉識別技術(shù)應(yīng)用需滿足“特定目的”及“充分必要”,。呼娜英表示,,此前的最高人民法院對人臉識別的司法解釋中已經(jīng)明確,物業(yè),、建筑物管理人不得僅以人臉識別作為唯一門禁方式,,企業(yè)亦不得以捆綁、強迫形式獲得消費者同意人臉信息處理,。《個人信息保護法》明確要求,,個人信息處理者在處理敏感個人信息前,,需存在“特定的目的”及“充分的必要性”。呼娜英認為,,該條款對處理敏感個人信息提出了更高的要求,。目的正當性和必要性不僅僅是指合法合規(guī),還蘊含著符合目的限制,、誠實信用和公開透明的要求,。“這樣一來,零售商要求刷臉進出或支付,、小區(qū)要求刷臉進出,、樓宇閘機要求刷臉登機等場景,將可能因缺乏目的正當性和必要性而遭受挑戰(zhàn),。”呼娜英說,。
單獨同意制度。呼娜英說,,《個人信息保護法》在“告知+同意”規(guī)則的基礎(chǔ)上,,引入了“單獨同意”的要求,規(guī)定了需要用戶“單獨同意”的一些具體場景,,包括:處理敏感個人信息,、公開或向他人提供個人信息(包括在公共場所安裝圖像采集和個人身份識別設(shè)備收集的個人信息),以及向境外提供個人信息等,。
擴張用戶知情權(quán),,確立有限制的解釋權(quán),。《個人信息保護法》對包括人臉信息在內(nèi)的敏感個人信息保護提出了更高的要求,,即信息處理者應(yīng)當告知個人處理敏感個人信息的必要性以及對個人的影響,。“這就進一步切實地保障了用戶的知情權(quán)。”呼娜英說,。
加強限制圖像采集,、個人身份識信息的使用。“《個人信息保護法》在三次審議中不斷強化針對公共場所安裝圖像采集,、個人身份識別設(shè)備的要求,。”呼娜英說?!秱€人信息保護法》明確規(guī)定,,商家所收集的個人圖像、身份識別信息“不得用于其他目的”,,進一步限縮了圖像采集,、個人身份識別的處理范圍。
孫憲忠說,,考慮到現(xiàn)在的人臉識別采集方式,,很多情況下都在個體不知情的情況下進行,因此,,《個人信息保護法》第二十六條規(guī)定,,在公共場所安裝圖像采集個人身份識別設(shè)備的時候,其出發(fā)點必須是要維護社會公共安全,,而不能用于其他目的;要符合國家法律規(guī)定;安裝時要設(shè)置明顯的提示性標識,。
平臺“守門人”條款尚有爭議
對于APP的各種個人信息侵權(quán)問題,平臺責(zé)任是大家關(guān)注的焦點,?!秱€人信息保護法》第五十八條進一步完善了平臺“守門人”條款。一是將提供基礎(chǔ)性服務(wù)的互聯(lián)網(wǎng)平臺修改為提供重要互聯(lián)網(wǎng)平臺服務(wù);二是在第一項中補充了按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系的義務(wù);三是單獨增加了一項“守門人”義務(wù),,即遵循公開,、公平、公正的原則,,制定平臺規(guī)則,,明確平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個人信息的規(guī)范和保護個人信息的義務(wù)。
楊婕認為,,這一規(guī)定被認為是強化基礎(chǔ)性服務(wù)平臺的個人信息保護責(zé)任,、促進其積極展開基于個人信息保護治理的制度設(shè)置,并能一定程度上為公權(quán)力保護個人信息的實踐提供有益補充,,是一個創(chuàng)新性制度設(shè)計,。
據(jù)楊婕介紹,,“數(shù)字守門人”的概念,是2020年12月歐盟委員會公布的《數(shù)字市場法案》中提出的,,被認定為“守門人”的平臺應(yīng)承擔(dān)一系列額外的具體義務(wù),。
中國人民大學(xué)法學(xué)院教授張新寶此前接受媒體采訪時表示,對300多萬款A(yù)PP一對一監(jiān)管難免力不從心,,應(yīng)將部分監(jiān)管職責(zé)前移,,對實際上控制技術(shù)資源、技術(shù)環(huán)境和運營環(huán)境的信息處理者,,比如應(yīng)用程序的分發(fā)平臺,、操作系統(tǒng)、大型APP平臺等,,設(shè)置關(guān)鍵環(huán)節(jié)“守門人”在個人信息處中的特別義務(wù),。他認為,目前國內(nèi)常用的應(yīng)用平臺分發(fā)系統(tǒng)不超過80個,,移動終端操作系統(tǒng)不超過10組,,搭載小程序的大型APP平臺不超過5個,將部分監(jiān)管職責(zé)前移到關(guān)鍵環(huán)節(jié)“守門人”,,就不用面對海量的APP一對一進行監(jiān)督管理,。
中國社會科學(xué)院大學(xué)互聯(lián)網(wǎng)法治研究中心執(zhí)行主任劉曉春認為,在個人信息保護領(lǐng)域,,設(shè)立通過平臺實現(xiàn)治理的規(guī)則,即通常所說的“守門人”制度,,一方面是法律對于平臺責(zé)任在個人信息保護領(lǐng)域的擴展;另一方面,,也會構(gòu)成法律對于負有此等責(zé)任平臺的一種賦權(quán),進一步擴大了大型基礎(chǔ)性平臺制定規(guī)則,、展開治理,、采取措施方面的實質(zhì)性權(quán)力。若沒有相應(yīng)的制約性配套制度,,則有可能會造成平臺地位在個人信息保護領(lǐng)域的強化,,并且?guī)頇?quán)力濫用的可能性,這也正是目前國內(nèi)外針對平臺的“守門人”地位及其濫用行為對于競爭環(huán)境產(chǎn)生不良影響的擔(dān)憂焦點所在,。“如果賦予電商平臺或社交平臺上一些經(jīng)營者個人信息審核義務(wù),,有可能會出現(xiàn)權(quán)力濫用,或通過審核權(quán)來進行自我優(yōu)待,、差別待遇等,。”劉曉春認為,極有可能出現(xiàn)平臺利用個人信息治理機制,,進行反競爭投機行為,,從而損害平臺內(nèi)經(jīng)營者,,特別是中小經(jīng)營者的利益。
劉曉春認為,,針對制度可能帶來的消極影響進行評估和預(yù)判,,應(yīng)建構(gòu)防范風(fēng)險、降低成本的配套措施,,可以將個人信息保護“守門人”制度可能帶來的顧慮和風(fēng)險盡量降到最低,。“以目前的平臺內(nèi)容治理和知識產(chǎn)權(quán)治理為類比,這兩項都需要投入大量人力物力,,組建專門的管理,、技術(shù)團隊,建立實體判斷標準,、程序流程規(guī)則,、爭議解決渠道、糾錯救濟機制等復(fù)雜的規(guī)則和執(zhí)行體系,。經(jīng)濟成本,、專業(yè)能力、技術(shù)和管理,、組織資源等方面,,都會對平臺提出相當高的要求。”劉曉春說,,基礎(chǔ)性服務(wù)平臺是否具有能力對平臺內(nèi)其他經(jīng)營者的個人信息合規(guī)情況展開審核?而且,,平臺內(nèi)經(jīng)營者運作和使用過程中的個人信息收集和處理過程,并不一定能夠由基礎(chǔ)性服務(wù)平臺直接監(jiān)測和發(fā)現(xiàn),。這些都有待進一步探索和完善,。
周漢華表示,《個人信息保護法》在第一條就明確了“根據(jù)憲法”,,這幾個字有非常重大的意義,。這表明《個人信息保護法》的立法依據(jù)是我國憲法規(guī)定的“公民的人格尊嚴與自由不受侵犯”,表明《個人信息保護法》也是個人信息保護領(lǐng)域的基本法,。也就是說,,如果出現(xiàn)和其他個人信息保護相關(guān)法律規(guī)定沖突的情況,應(yīng)該優(yōu)先適用《個人信息保護法》,。
孫憲忠認為,,《個人信息保護法》實施后,對老百姓而言,,最直觀的感受就是數(shù)字化的社會生活會更加可靠,、安全。總之,,《個人信息保護法》對整個社會而言是一個很重要的利好,。
官方微信公眾號
官方微博
