作者:徐艷紅
2021年8月20日,我國個人信息保護(hù)法審議通過,于11月1日施行。這一立法是我國個人信息保護(hù)法治的新篇章。該法總結(jié)了我國既有的立法經(jīng)驗和實踐經(jīng)驗,借鑒了域外的立法經(jīng)驗,強調(diào)嚴(yán)格保護(hù)個人信息,平衡數(shù)據(jù)的保護(hù)與利用。可以說,個人信息保護(hù)法與網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法一起,形成我國數(shù)字經(jīng)濟(jì)法治的三駕馬車,共同構(gòu)建了數(shù)字經(jīng)濟(jì)的基礎(chǔ)性法律制度。個人信息保護(hù)法中有哪些亮點與我們生活息息相關(guān)?本報記者采訪了北京航空航天大學(xué)法學(xué)院黨委書記、教授、博士生導(dǎo)師周友軍。
注重個人信息保護(hù)與利用的平衡
記者:周教授,請您談?wù)剛€人信息保護(hù)法的立法目的是什么?
周友軍:個人信息保護(hù)法第1條開宗明義地強調(diào)了立法目的,包括“保護(hù)個人信息權(quán)益”和“促進(jìn)個人信息合理利用”。可見,本法旨在平衡個人信息的保護(hù)與個人信息的利用。信息是數(shù)字社會的“石油”,法律應(yīng)當(dāng)在保護(hù)個人信息的基礎(chǔ)上推動信息的合理利用,以促進(jìn)經(jīng)濟(jì)社會發(fā)展。
該法第4條第1款明確個人信息不包括匿名化處理后的信息,而依據(jù)本法第73條規(guī)定,“匿名化,是指個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程。”這就將匿名化的信息排除在“個人信息”的概念之外,其主要意義在于,能有助于數(shù)據(jù)的利用與流通。
確立了個人信息處理的告知同意規(guī)則
記者:如今,網(wǎng)上購物、點餐、購票已成為我們生活的一部分,但每個App都需要填寫個人信息,但平臺最終如何處理這些信息我們無從知曉。
周友軍:告知同意規(guī)則是個人信息處理中的核心規(guī)則,是保障個人對其個人信息處理知情權(quán)和決定權(quán)的重要手段。實踐中,如何實現(xiàn)告知后同意、如何保證個人作出了真正的同意等問題,是個人信息保護(hù)領(lǐng)域的突出問題。
說個案例,2012年10月,原告羅某在被告一家4S店購買小轎車一輛。2014年8月底,被告某保險公司的員工不斷向羅某致電推銷車輛保險。某保險公司告訴羅某他們是從4S店獲取到他的個人信息的。羅某起訴到法院,請求判令某保險公司就其非法獲取原告?zhèn)€人信息用于商業(yè)銷售一事公開賠禮道歉,并判令被告賠償原告人民幣1元的精神損害撫慰金。
個人信息法中的告知同意規(guī)則要求,個人信息處理原則上應(yīng)當(dāng)?shù)玫叫畔⒅黧w的同意,而且,必須是在信息主體被充分告知以后的自愿同意。個人信息保護(hù)法首先就強調(diào)了信息處理者必須要充分告知,確保個人在充分了解信息處理的情況下作出真正的同意。該法第17條規(guī)定,個人信息處理者應(yīng)當(dāng)告知的內(nèi)容包括:個人信息處理者的名稱或者姓名和聯(lián)系方式;個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;個人行使本法規(guī)定權(quán)利的方式和程序;法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項。這些事項若發(fā)生變更,還應(yīng)當(dāng)將變更部分告知個人。例如,購物平臺要收集、使用消費者的個人信息,就必須告知消費者處理個人信息的目的、方式,保存多長時間,消費者享有哪些權(quán)利等。
信息主體的同意原則上應(yīng)當(dāng)是自愿的、明確的同意,特殊情況下,法律、行政法規(guī)還可以規(guī)定,要取得個人信息主體的單獨同意或書面同意。例如,敏感個人信息,本法就強調(diào)必須取得信息主體的單獨同意。還有,基于個人同意處理個人信息的,個人有權(quán)撤回其同意。個人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。例如,具有導(dǎo)航功能的App曾獲得消費者授權(quán)使用其位置信息,但也應(yīng)當(dāng)提供便捷的允許消費者撤回其同意的方式。
該法還規(guī)定了個人信息處理中告知同意規(guī)則的例外,簡單說,就是個人信息處理中不用告知個人同意的情形,包括為履行法定職責(zé)或者法定義務(wù)所必需。如公安機(jī)關(guān)為了抓捕犯罪嫌疑人而處理其個人信息;為應(yīng)對突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全所必需。如為了應(yīng)對突發(fā)的新冠肺炎疫情而處理個人信息;為公共利益實施新聞報道、輿論監(jiān)督等行為,在合理的范圍內(nèi)處理個人信息等。
嚴(yán)格保護(hù)敏感個人信息
記者:個人信息保護(hù)法提到了敏感個人信息,什么是敏感個人信息?
周友軍:敏感個人信息是個人信息中的重要類型,即一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息。因此,敏感個人信息需要受到特別的保護(hù)。個人信息保護(hù)法第28條第1款對“敏感個人信息”的內(nèi)涵作出界定,同時,列舉了主要的敏感個人信息類型,即生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等。例如,人臉信息就屬于生物識別信息,如果企業(yè)安裝了人臉識別設(shè)備,就要將其作為敏感個人信息來對待。
講個案例,2017年4月,江蘇省蘇州市公安局網(wǎng)警支隊接蘇州某整形美容醫(yī)院報警稱,其客戶通過醫(yī)院官網(wǎng)在線聊天軟件咨詢整形美容項目的信息被其他整形美容醫(yī)院盜用。經(jīng)查,犯罪嫌疑人孫某以其經(jīng)營的公司為掩護(hù),從網(wǎng)上購買大量醫(yī)院客戶信息,再通過其設(shè)立的網(wǎng)站販賣給全國各地醫(yī)院牟利。
針對敏感個人信息,個人信息保護(hù)法強調(diào),只有在具有特定的目的和充分的必要性,并采取嚴(yán)格保護(hù)措施的情形下,個人信息處理者方可處理敏感個人信息。這就對敏感個人信息處理的目的提出了特別的要求,而且,要求處理此類信息要采取較之于一般個人信息更嚴(yán)格的保護(hù)措施。例如,網(wǎng)約車平臺處理了消費者的行蹤信息,就應(yīng)當(dāng)采取更嚴(yán)格的保護(hù)措施,避免信息泄露等。
為了貫徹憲法和未成年人保護(hù)法等確立的未成年人利益最大化原則,個人信息保護(hù)法將不滿14周歲的未成年人的信息作為敏感個人信息對待。與此相對應(yīng),處理不滿14周歲未成年人的個人信息,必須要征得其父母或者其他監(jiān)護(hù)人的同意。
“大數(shù)據(jù)殺熟”不能再任性
記者:“大數(shù)據(jù)殺熟”讓大家極為痛恨,對老顧客不僅不優(yōu)惠,反而利用顧客的消費習(xí)慣下狠手。
周友軍:隨著大數(shù)據(jù)技術(shù)和人工智能技術(shù)等的發(fā)展,自動化決策越來越多地被運用到商業(yè)實踐之中。自動化決策,是指運用大數(shù)據(jù)技術(shù)對海量的用戶進(jìn)行持續(xù)追蹤和信息采集,然后通過計算機(jī)程序自動分析、評估個人的行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況等,并進(jìn)行決策的活動。有的企業(yè)在進(jìn)行自動化決策中,對消費者在交易價格等方面實行歧視性的差別待遇,誤導(dǎo)、欺詐消費者,出現(xiàn)了“大數(shù)據(jù)殺熟”的現(xiàn)象。
說個真實的案例,胡女士是攜程平臺上可享受8.5折優(yōu)惠價的鉆石貴賓客戶。2020年7月,她通過攜程App訂購了某酒店的一間大床房,支付房款2889元。然而,離開酒店時,她偶然發(fā)現(xiàn)該房的實際掛牌價僅為1377.63元,胡女士不僅沒有享受到星級客戶的優(yōu)惠,反而多支付了一倍的房價。
針對自動化決策引發(fā)的社會問題,個人信息保護(hù)法第24條強調(diào),個人信息處理者利用個人信息進(jìn)行自動化決策,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。而且,通過自動化決策方式向個人進(jìn)行信息推送、商業(yè)營銷,應(yīng)當(dāng)同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式,也就是說,“大數(shù)據(jù)殺熟”不能再任性了。
嚴(yán)格規(guī)制人臉識別技術(shù)的運用
記者:如今,刷臉進(jìn)小區(qū)、進(jìn)公司、進(jìn)車站、進(jìn)學(xué)校的越來越多,這合乎法律規(guī)定嗎?
周友軍:人臉識別技術(shù)是借助面部特征進(jìn)行的人的身份識別的技術(shù)。隨著現(xiàn)代網(wǎng)絡(luò)信息技術(shù)的發(fā)展,尤其是大數(shù)據(jù)和人工智能技術(shù)高速發(fā)展,通過在公共場所安裝圖像采集和個人身份識別設(shè)備,可以隨時進(jìn)行人臉識別,這是敏感個人信息處理的活動。
近年來,我國人臉識別被濫用的情形時有發(fā)生,社會公眾高度關(guān)注。杭州野生動物世界事件就與人臉識別有關(guān)。2019年4月,郭兵購買了杭州野生動物世界雙人年卡,之后園方單方面要求,將原本確認(rèn)的指紋識別入園方式更改為人臉識別。郭兵認(rèn)為野生動物世界違約且存在欺詐行為,于2019年10月將其告上法庭。
為了規(guī)范人臉識別技術(shù)的運用,個人信息保護(hù)法規(guī)定,在公共場所安裝圖像采集、個人身份識別設(shè)備,應(yīng)當(dāng)為維護(hù)公共安全所必需,遵守國家有關(guān)規(guī)定,并設(shè)置顯著的提示標(biāo)識。所收集的個人圖像、身份識別信息只能用于維護(hù)公共安全的目的,不得用于其他目的,但取得個人單獨同意的除外。
責(zé)任編輯:崔麗
