作者:徐艷紅
2021年8月20日,我國個(gè)人信息保護(hù)法審議通過,于11月1日施行。這一立法是我國個(gè)人信息保護(hù)法治的新篇章。該法總結(jié)了我國既有的立法經(jīng)驗(yàn)和實(shí)踐經(jīng)驗(yàn),借鑒了域外的立法經(jīng)驗(yàn),強(qiáng)調(diào)嚴(yán)格保護(hù)個(gè)人信息,平衡數(shù)據(jù)的保護(hù)與利用。可以說,個(gè)人信息保護(hù)法與網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法一起,形成我國數(shù)字經(jīng)濟(jì)法治的三駕馬車,共同構(gòu)建了數(shù)字經(jīng)濟(jì)的基礎(chǔ)性法律制度。個(gè)人信息保護(hù)法中有哪些亮點(diǎn)與我們生活息息相關(guān)?本報(bào)記者采訪了北京航空航天大學(xué)法學(xué)院黨委書記、教授、博士生導(dǎo)師周友軍。
注重個(gè)人信息保護(hù)與利用的平衡
記者:周教授,請(qǐng)您談?wù)剛€(gè)人信息保護(hù)法的立法目的是什么?
周友軍:個(gè)人信息保護(hù)法第1條開宗明義地強(qiáng)調(diào)了立法目的,包括“保護(hù)個(gè)人信息權(quán)益”和“促進(jìn)個(gè)人信息合理利用”。可見,本法旨在平衡個(gè)人信息的保護(hù)與個(gè)人信息的利用。信息是數(shù)字社會(huì)的“石油”,法律應(yīng)當(dāng)在保護(hù)個(gè)人信息的基礎(chǔ)上推動(dòng)信息的合理利用,以促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展。
該法第4條第1款明確個(gè)人信息不包括匿名化處理后的信息,而依據(jù)本法第73條規(guī)定,“匿名化,是指個(gè)人信息經(jīng)過處理無法識(shí)別特定自然人且不能復(fù)原的過程。”這就將匿名化的信息排除在“個(gè)人信息”的概念之外,其主要意義在于,能有助于數(shù)據(jù)的利用與流通。
確立了個(gè)人信息處理的告知同意規(guī)則
記者:如今,網(wǎng)上購物、點(diǎn)餐、購票已成為我們生活的一部分,但每個(gè)App都需要填寫個(gè)人信息,但平臺(tái)最終如何處理這些信息我們無從知曉。
周友軍:告知同意規(guī)則是個(gè)人信息處理中的核心規(guī)則,是保障個(gè)人對(duì)其個(gè)人信息處理知情權(quán)和決定權(quán)的重要手段。實(shí)踐中,如何實(shí)現(xiàn)告知后同意、如何保證個(gè)人作出了真正的同意等問題,是個(gè)人信息保護(hù)領(lǐng)域的突出問題。
說個(gè)案例,2012年10月,原告羅某在被告一家4S店購買小轎車一輛。2014年8月底,被告某保險(xiǎn)公司的員工不斷向羅某致電推銷車輛保險(xiǎn)。某保險(xiǎn)公司告訴羅某他們是從4S店獲取到他的個(gè)人信息的。羅某起訴到法院,請(qǐng)求判令某保險(xiǎn)公司就其非法獲取原告?zhèn)€人信息用于商業(yè)銷售一事公開賠禮道歉,并判令被告賠償原告人民幣1元的精神損害撫慰金。
個(gè)人信息法中的告知同意規(guī)則要求,個(gè)人信息處理原則上應(yīng)當(dāng)?shù)玫叫畔⒅黧w的同意,而且,必須是在信息主體被充分告知以后的自愿同意。個(gè)人信息保護(hù)法首先就強(qiáng)調(diào)了信息處理者必須要充分告知,確保個(gè)人在充分了解信息處理的情況下作出真正的同意。該法第17條規(guī)定,個(gè)人信息處理者應(yīng)當(dāng)告知的內(nèi)容包括:個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式;個(gè)人信息的處理目的、處理方式,處理的個(gè)人信息種類、保存期限;個(gè)人行使本法規(guī)定權(quán)利的方式和程序;法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)。這些事項(xiàng)若發(fā)生變更,還應(yīng)當(dāng)將變更部分告知個(gè)人。例如,購物平臺(tái)要收集、使用消費(fèi)者的個(gè)人信息,就必須告知消費(fèi)者處理個(gè)人信息的目的、方式,保存多長時(shí)間,消費(fèi)者享有哪些權(quán)利等。
信息主體的同意原則上應(yīng)當(dāng)是自愿的、明確的同意,特殊情況下,法律、行政法規(guī)還可以規(guī)定,要取得個(gè)人信息主體的單獨(dú)同意或書面同意。例如,敏感個(gè)人信息,本法就強(qiáng)調(diào)必須取得信息主體的單獨(dú)同意。還有,基于個(gè)人同意處理個(gè)人信息的,個(gè)人有權(quán)撤回其同意。個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。例如,具有導(dǎo)航功能的App曾獲得消費(fèi)者授權(quán)使用其位置信息,但也應(yīng)當(dāng)提供便捷的允許消費(fèi)者撤回其同意的方式。
該法還規(guī)定了個(gè)人信息處理中告知同意規(guī)則的例外,簡單說,就是個(gè)人信息處理中不用告知個(gè)人同意的情形,包括為履行法定職責(zé)或者法定義務(wù)所必需。如公安機(jī)關(guān)為了抓捕犯罪嫌疑人而處理其個(gè)人信息;為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需。如為了應(yīng)對(duì)突發(fā)的新冠肺炎疫情而處理個(gè)人信息;為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為,在合理的范圍內(nèi)處理個(gè)人信息等。
嚴(yán)格保護(hù)敏感個(gè)人信息
記者:個(gè)人信息保護(hù)法提到了敏感個(gè)人信息,什么是敏感個(gè)人信息?
周友軍:敏感個(gè)人信息是個(gè)人信息中的重要類型,即一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息。因此,敏感個(gè)人信息需要受到特別的保護(hù)。個(gè)人信息保護(hù)法第28條第1款對(duì)“敏感個(gè)人信息”的內(nèi)涵作出界定,同時(shí),列舉了主要的敏感個(gè)人信息類型,即生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等。例如,人臉信息就屬于生物識(shí)別信息,如果企業(yè)安裝了人臉識(shí)別設(shè)備,就要將其作為敏感個(gè)人信息來對(duì)待。
講個(gè)案例,2017年4月,江蘇省蘇州市公安局網(wǎng)警支隊(duì)接蘇州某整形美容醫(yī)院報(bào)警稱,其客戶通過醫(yī)院官網(wǎng)在線聊天軟件咨詢整形美容項(xiàng)目的信息被其他整形美容醫(yī)院盜用。經(jīng)查,犯罪嫌疑人孫某以其經(jīng)營的公司為掩護(hù),從網(wǎng)上購買大量醫(yī)院客戶信息,再通過其設(shè)立的網(wǎng)站販賣給全國各地醫(yī)院牟利。
針對(duì)敏感個(gè)人信息,個(gè)人信息保護(hù)法強(qiáng)調(diào),只有在具有特定的目的和充分的必要性,并采取嚴(yán)格保護(hù)措施的情形下,個(gè)人信息處理者方可處理敏感個(gè)人信息。這就對(duì)敏感個(gè)人信息處理的目的提出了特別的要求,而且,要求處理此類信息要采取較之于一般個(gè)人信息更嚴(yán)格的保護(hù)措施。例如,網(wǎng)約車平臺(tái)處理了消費(fèi)者的行蹤信息,就應(yīng)當(dāng)采取更嚴(yán)格的保護(hù)措施,避免信息泄露等。
為了貫徹憲法和未成年人保護(hù)法等確立的未成年人利益最大化原則,個(gè)人信息保護(hù)法將不滿14周歲的未成年人的信息作為敏感個(gè)人信息對(duì)待。與此相對(duì)應(yīng),處理不滿14周歲未成年人的個(gè)人信息,必須要征得其父母或者其他監(jiān)護(hù)人的同意。
“大數(shù)據(jù)殺熟”不能再任性
記者:“大數(shù)據(jù)殺熟”讓大家極為痛恨,對(duì)老顧客不僅不優(yōu)惠,反而利用顧客的消費(fèi)習(xí)慣下狠手。
周友軍:隨著大數(shù)據(jù)技術(shù)和人工智能技術(shù)等的發(fā)展,自動(dòng)化決策越來越多地被運(yùn)用到商業(yè)實(shí)踐之中。自動(dòng)化決策,是指運(yùn)用大數(shù)據(jù)技術(shù)對(duì)海量的用戶進(jìn)行持續(xù)追蹤和信息采集,然后通過計(jì)算機(jī)程序自動(dòng)分析、評(píng)估個(gè)人的行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況等,并進(jìn)行決策的活動(dòng)。有的企業(yè)在進(jìn)行自動(dòng)化決策中,對(duì)消費(fèi)者在交易價(jià)格等方面實(shí)行歧視性的差別待遇,誤導(dǎo)、欺詐消費(fèi)者,出現(xiàn)了“大數(shù)據(jù)殺熟”的現(xiàn)象。
說個(gè)真實(shí)的案例,胡女士是攜程平臺(tái)上可享受8.5折優(yōu)惠價(jià)的鉆石貴賓客戶。2020年7月,她通過攜程App訂購了某酒店的一間大床房,支付房款2889元。然而,離開酒店時(shí),她偶然發(fā)現(xiàn)該房的實(shí)際掛牌價(jià)僅為1377.63元,胡女士不僅沒有享受到星級(jí)客戶的優(yōu)惠,反而多支付了一倍的房價(jià)。
針對(duì)自動(dòng)化決策引發(fā)的社會(huì)問題,個(gè)人信息保護(hù)法第24條強(qiáng)調(diào),個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正,不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。而且,通過自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營銷,應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng),或者向個(gè)人提供便捷的拒絕方式,也就是說,“大數(shù)據(jù)殺熟”不能再任性了。
嚴(yán)格規(guī)制人臉識(shí)別技術(shù)的運(yùn)用
記者:如今,刷臉進(jìn)小區(qū)、進(jìn)公司、進(jìn)車站、進(jìn)學(xué)校的越來越多,這合乎法律規(guī)定嗎?
周友軍:人臉識(shí)別技術(shù)是借助面部特征進(jìn)行的人的身份識(shí)別的技術(shù)。隨著現(xiàn)代網(wǎng)絡(luò)信息技術(shù)的發(fā)展,尤其是大數(shù)據(jù)和人工智能技術(shù)高速發(fā)展,通過在公共場所安裝圖像采集和個(gè)人身份識(shí)別設(shè)備,可以隨時(shí)進(jìn)行人臉識(shí)別,這是敏感個(gè)人信息處理的活動(dòng)。
近年來,我國人臉識(shí)別被濫用的情形時(shí)有發(fā)生,社會(huì)公眾高度關(guān)注。杭州野生動(dòng)物世界事件就與人臉識(shí)別有關(guān)。2019年4月,郭兵購買了杭州野生動(dòng)物世界雙人年卡,之后園方單方面要求,將原本確認(rèn)的指紋識(shí)別入園方式更改為人臉識(shí)別。郭兵認(rèn)為野生動(dòng)物世界違約且存在欺詐行為,于2019年10月將其告上法庭。
為了規(guī)范人臉識(shí)別技術(shù)的運(yùn)用,個(gè)人信息保護(hù)法規(guī)定,在公共場所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備,應(yīng)當(dāng)為維護(hù)公共安全所必需,遵守國家有關(guān)規(guī)定,并設(shè)置顯著的提示標(biāo)識(shí)。所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的,不得用于其他目的,但取得個(gè)人單獨(dú)同意的除外。
責(zé)任編輯:崔麗
