企业处理个人信息被划定红线

《中华人民共和国个人信息保护法》出炉,对过度收集个人信息、自动化决策差异化定价等问题作出针对性规范——

  企业处理个人信息被划定红线

  阅读提示

  在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。8月20日,十三届全国人大常委会第三十次会议通过了个人信息保护法。个人信息保护法进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,给企业处理个人信息活动划定红线。

据统计,截至去年年底,我国互联网用户已达9.89亿,互联网网站和应用程序数量分别超过440万个和340万个。一些企业、机构甚至个人,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题突出。

经过三次审议,8月20日,第十三届全国人大常委会第三十次会议正式通过了个人信息保护法,该法将于2021年11月1日起施行。个人信息保护法进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,给企业处理个人信息活动划定红线。

  “告知-同意”是核心规则

长期以来,应用程序过度收集个人信息问题是社会关注的一大焦点。在实践中,互联网企业推出的App通常以勾选“隐私协议”来获取用户一揽子授权,用户经常面临着“不同意即不可用”的困境。

个人信息保护法确立了个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等。

“这些原则应当贯穿于个人信息处理的全过程、各环节。”8月20日,全国人大常委会法工委经济法室副主任杨合庆对个人信息保护法进行解读时说。

个人信息保护法紧紧围绕规范个人信息处理活动、保障个人信息权益来构建个人信息保护法律制度。“‘告知-同意’是法律确立的个人信息保护核心规则,是保障个人对其个人信息处理知情权和决定权的重要手段。”杨合庆说。

个人信息保护法要求,处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的,应当重新向个人告知并取得同意。

北京大学法学院教授薛军表示,这种同意是建立在告知基础上的有效同意,包括“单独同意”“书面同意”,“同意”后还可“撤回”。这充分体现了立法认可个人信息受到法律保护。

  强调禁止“大数据杀熟”

当前,越来越多的企业利用大数据分析、评估消费者的个人特征用于商业营销。其中有一些企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息,对消费者在交易价格等方面实行歧视性的差别待遇,误导、欺诈消费者,其中最典型的就是社会反映突出的“大数据杀熟”。

“‘大数据杀熟’行为违反了诚实信用原则,侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利,应当在法律上予以禁止。”杨合庆说。

对此,个人信息保护法明确规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

一方面,经营者应当按照法律规定,遵循公开、公平、公正的原则设定算法模型、制定自动化决策的规则,不得对消费者实行歧视性的不公平的差别待遇;另一方面,个人信息处理者应当保障消费者的知情权和选择权,向个人进行信息推送、商业营销时,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。

  严格保护个人敏感信息

值得关注的是,个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息列为敏感个人信息。

“这主要考虑到此类信息一旦泄露或者被非法使用,极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,对处理敏感个人信息的活动应当作出更加严格的限制。”杨合庆说。

对此,个人信息保护法要求只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,同时应当事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。

考虑到少年儿童在生理上和心理上尚不成熟,认知能力和控制自己行为的能力都较弱,容易受到信息推送和商业营销的诱导,在面对违法处理行为侵害其合法权益时缺乏必要的分辨能力和充分的自我保护能力,为保护未成年人的个人信息权益和身心健康,个人信息保护法特别将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护。同时,与未成年人保护法有关规定相衔接,个人信息保护法要求处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意,并应当对此制定专门的个人信息处理规则。

  强化个人信息处理者义务

个人信息处理者是个人信息保护的第一责任人。据此,个人信息保护法强调,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全,在此基础上,设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务。

值得注意的是,个人信息保护法对大型网络平台设定了特别的个人信息保护义务。

“在个人信息处理方面,互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则,是个人信息保护的关键环节。”杨合庆指出,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者对平台内的交易和个人信息处理活动具有强大的控制力和支配力,因此在个人信息保护方面应当承担更多的法律义务。

对外经贸大学数字经济与法律创新研究中心执行主任许可强调,除了国家机关以外,互联网平台是目前最大的个人信息收集者,也是个人信息保护最重要的市场主体。通过互联网大型平台去建立健全个人信息保护规范,对平台经营者进行约束,是未来完善个人信息保护法的重要环节。

“个人信息保护法以严密的制度、严格的标准、严厉的责任,构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。社会各方面应当加强个人信息保护宣传教育,提升个人信息保护法治意识,推动个人信息保护法落地实施,助力网络强国、数字中国、智慧社会建设。”杨合庆说。(记者 卢越)