作者:徐艷紅
2021年8月20日,我國個人信息保護法審議通過,于11月1日施行。這一立法是我國個人信息保護法治的新篇章。該法總結了我國既有的立法經驗和實踐經驗,借鑒了域外的立法經驗,強調嚴格保護個人信息,平衡數據的保護與利用。可以說,個人信息保護法與網絡安全法、數據安全法一起,形成我國數字經濟法治的三駕馬車,共同構建了數字經濟的基礎性法律制度。個人信息保護法中有哪些亮點與我們生活息息相關?本報記者采訪了北京航空航天大學法學院黨委書記、教授、博士生導師周友軍。
注重個人信息保護與利用的平衡
記者:周教授,請您談談個人信息保護法的立法目的是什么?
周友軍:個人信息保護法第1條開宗明義地強調了立法目的,包括“保護個人信息權益”和“促進個人信息合理利用”。可見,本法旨在平衡個人信息的保護與個人信息的利用。信息是數字社會的“石油”,法律應當在保護個人信息的基礎上推動信息的合理利用,以促進經濟社會發展。
該法第4條第1款明確個人信息不包括匿名化處理后的信息,而依據本法第73條規定,“匿名化,是指個人信息經過處理無法識別特定自然人且不能復原的過程。”這就將匿名化的信息排除在“個人信息”的概念之外,其主要意義在于,能有助于數據的利用與流通。
確立了個人信息處理的告知同意規則
記者:如今,網上購物、點餐、購票已成為我們生活的一部分,但每個App都需要填寫個人信息,但平臺最終如何處理這些信息我們無從知曉。
周友軍:告知同意規則是個人信息處理中的核心規則,是保障個人對其個人信息處理知情權和決定權的重要手段。實踐中,如何實現告知后同意、如何保證個人作出了真正的同意等問題,是個人信息保護領域的突出問題。
說個案例,2012年10月,原告羅某在被告一家4S店購買小轎車一輛。2014年8月底,被告某保險公司的員工不斷向羅某致電推銷車輛保險。某保險公司告訴羅某他們是從4S店獲取到他的個人信息的。羅某起訴到法院,請求判令某保險公司就其非法獲取原告個人信息用于商業銷售一事公開賠禮道歉,并判令被告賠償原告人民幣1元的精神損害撫慰金。
個人信息法中的告知同意規則要求,個人信息處理原則上應當得到信息主體的同意,而且,必須是在信息主體被充分告知以后的自愿同意。個人信息保護法首先就強調了信息處理者必須要充分告知,確保個人在充分了解信息處理的情況下作出真正的同意。該法第17條規定,個人信息處理者應當告知的內容包括:個人信息處理者的名稱或者姓名和聯系方式;個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;個人行使本法規定權利的方式和程序;法律、行政法規規定應當告知的其他事項。這些事項若發生變更,還應當將變更部分告知個人。例如,購物平臺要收集、使用消費者的個人信息,就必須告知消費者處理個人信息的目的、方式,保存多長時間,消費者享有哪些權利等。
信息主體的同意原則上應當是自愿的、明確的同意,特殊情況下,法律、行政法規還可以規定,要取得個人信息主體的單獨同意或書面同意。例如,敏感個人信息,本法就強調必須取得信息主體的單獨同意。還有,基于個人同意處理個人信息的,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。例如,具有導航功能的App曾獲得消費者授權使用其位置信息,但也應當提供便捷的允許消費者撤回其同意的方式。
該法還規定了個人信息處理中告知同意規則的例外,簡單說,就是個人信息處理中不用告知個人同意的情形,包括為履行法定職責或者法定義務所必需。如公安機關為了抓捕犯罪嫌疑人而處理其個人信息;為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需。如為了應對突發的新冠肺炎疫情而處理個人信息;為公共利益實施新聞報道、輿論監督等行為,在合理的范圍內處理個人信息等。
嚴格保護敏感個人信息
記者:個人信息保護法提到了敏感個人信息,什么是敏感個人信息?
周友軍:敏感個人信息是個人信息中的重要類型,即一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息。因此,敏感個人信息需要受到特別的保護。個人信息保護法第28條第1款對“敏感個人信息”的內涵作出界定,同時,列舉了主要的敏感個人信息類型,即生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等。例如,人臉信息就屬于生物識別信息,如果企業安裝了人臉識別設備,就要將其作為敏感個人信息來對待。
講個案例,2017年4月,江蘇省蘇州市公安局網警支隊接蘇州某整形美容醫院報警稱,其客戶通過醫院官網在線聊天軟件咨詢整形美容項目的信息被其他整形美容醫院盜用。經查,犯罪嫌疑人孫某以其經營的公司為掩護,從網上購買大量醫院客戶信息,再通過其設立的網站販賣給全國各地醫院牟利。
針對敏感個人信息,個人信息保護法強調,只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。這就對敏感個人信息處理的目的提出了特別的要求,而且,要求處理此類信息要采取較之于一般個人信息更嚴格的保護措施。例如,網約車平臺處理了消費者的行蹤信息,就應當采取更嚴格的保護措施,避免信息泄露等。
為了貫徹憲法和未成年人保護法等確立的未成年人利益最大化原則,個人信息保護法將不滿14周歲的未成年人的信息作為敏感個人信息對待。與此相對應,處理不滿14周歲未成年人的個人信息,必須要征得其父母或者其他監護人的同意。
“大數據殺熟”不能再任性
記者:“大數據殺熟”讓大家極為痛恨,對老顧客不僅不優惠,反而利用顧客的消費習慣下狠手。
周友軍:隨著大數據技術和人工智能技術等的發展,自動化決策越來越多地被運用到商業實踐之中。自動化決策,是指運用大數據技術對海量的用戶進行持續追蹤和信息采集,然后通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,并進行決策的活動。有的企業在進行自動化決策中,對消費者在交易價格等方面實行歧視性的差別待遇,誤導、欺詐消費者,出現了“大數據殺熟”的現象。
說個真實的案例,胡女士是攜程平臺上可享受8.5折優惠價的鉆石貴賓客戶。2020年7月,她通過攜程App訂購了某酒店的一間大床房,支付房款2889元。然而,離開酒店時,她偶然發現該房的實際掛牌價僅為1377.63元,胡女士不僅沒有享受到星級客戶的優惠,反而多支付了一倍的房價。
針對自動化決策引發的社會問題,個人信息保護法第24條強調,個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。而且,通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式,也就是說,“大數據殺熟”不能再任性了。
嚴格規制人臉識別技術的運用
記者:如今,刷臉進小區、進公司、進車站、進學校的越來越多,這合乎法律規定嗎?
周友軍:人臉識別技術是借助面部特征進行的人的身份識別的技術。隨著現代網絡信息技術的發展,尤其是大數據和人工智能技術高速發展,通過在公共場所安裝圖像采集和個人身份識別設備,可以隨時進行人臉識別,這是敏感個人信息處理的活動。
近年來,我國人臉識別被濫用的情形時有發生,社會公眾高度關注。杭州野生動物世界事件就與人臉識別有關。2019年4月,郭兵購買了杭州野生動物世界雙人年卡,之后園方單方面要求,將原本確認的指紋識別入園方式更改為人臉識別。郭兵認為野生動物世界違約且存在欺詐行為,于2019年10月將其告上法庭。
為了規范人臉識別技術的運用,個人信息保護法規定,在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的,但取得個人單獨同意的除外。
責任編輯:崔麗
