正式告别“大数据杀熟” 个人信息保护法今起实施
2021-11-01 粤港澳大湾区城市群网YGA.CN
《中华人民共和国个人信息保护法》11月1日起施行,这是一部全面规范个人信息保护、充分回应社会关切的法律。
据《中国互联网络发展状况统计报告》的数据显示,截至今年6月,我国互联网用户已达10.11亿,互联网网站422万个,应用程序数量302万款,个人信息的收集、使用日趋广泛,个人信息保护问题成为社会最为关注的利益问题之一。
个人信息保护法的实施,对网络生活有怎样的影响?对个人信息保护有哪些支持保障?广东人“明仔”现身说法,结合他的经历和境遇,对照相关法条内容,分享了几个重点案例。
任何人不得非法收集使用他人个人信息
今年4月21日,明仔在《羊城晚报》上看到一则报道:从2020年6月起,蒋某、巫某、彭某、王某、刘某在广州市尖彭路某公寓A1115房,由蒋某担任老板,向他人购买58同城网站的账号,由刘某、王某使用上述账号在58同城网站上发布大量虚假招聘信息收集应聘者的公民个人信息,再由蒋某、巫某、彭某将刘某、王某二人所收集的公民个人信息贩卖给他人牟利。经审计,蒋某等人非法获取、销售的公民个人信息(含姓名和电话号码)数量合计42790条。
他发现,广州市白云区人民法院是这样判的:法院认为,被告人蒋某等五人违反国家法律规定,结伙非法获取、出售公民个人信息,情节严重,已构成侵犯公民个人信息罪,其中蒋某是主犯,其余四人系从犯。法院依法判处蒋某有期徒刑二年,并处罚金三万元;其余被告人有期徒刑一年二个月至十个月不等,并处罚金。
■法律规定 个人信息保护法第10条规定:任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
六种情形处理个人信息不需取得个人同意
明仔的朋友开了一家企业,偷偷摸摸进行违法经营。后来,一家媒体曝光该企业的违法行为,在报道中公开了企业名称以及法定代表人(即明仔的朋友)姓名、性别、名下开办企业情况。明仔的朋友认为,媒体的报道侵犯了其个人信息合法权利。那么,依据个人信息保护法,媒体的行为是否违规?
■法律规定 个人信息保护法第13条规定:符合下列情形之一的,个人信息处理者方可处理个人信息——(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
个人信息收集者不得过度收集个人信息
生活中,明仔下载了很多不同类型的APP。但他发现,有的APP在注册页面设置成“不同意其格式条款”就无法进入“下一步”。明仔表示,这些格式条款中有些规定很过分,且与其使用APP的目的无关,比如要求用户授权查看通讯录等,实在不想“同意”。
■法律规定 个人信息保护法第6条规定:处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
第16条规定:个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
不得在交易价格等方面实行不合理的差别待遇
近年来,明仔频频看到“大数据杀熟”的相关新闻。明仔举例说,此前,家住北京的周女士暑假准备带家人到海南旅行。为节省开支,周女士提前一个月开始通过某在线旅游平台关注航班动态和价格信息。令她没想到的是,自己的精心策划竟然被平台大数据“盯”上了。
“机票第一次搜是一个价格,过一段时间再搜价格就涨了。”周女士表示,最后订单票价比初次搜索票价高了近1000元,但朋友在同一天订到的同航班价格却比自己低几百元。即使考虑机票余量导致价格变动等因素,自己“显然也是被大数据狠狠‘宰’了一刀”。
■法律规定 个人信息保护法第24条规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
公共场所“刷脸”收集的个人信息不得另作他用
明仔上班时,需要“刷脸”才能通过公司所在大厦的闸门。平时游览一些景点时,他也被要求“刷脸”识别。他很奇怪:个人信息保护法对这些公共场所个人“人脸”信息的处理有没有规定?
■法律规定 个人信息保护法第26条规定:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
处理敏感个人信息应取得个人单独同意
明仔的孩子在上幼儿园,他经常在幼儿园附近看到一些兴趣培训机构招揽顾客,有的兴趣培训机构让父母登记个人信息以及小孩的身份信息等,只要登记就送礼品。明仔认为,登记小孩信息过于详细,不妥。
■法律规定 个人信息保护法第28条规定:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
该法还规定:处理敏感个人信息应当取得个人的单独同意,法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
第31条规定:个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意;处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
画外音
违反个人信息保护法或被罚一百万元
如果处罚无力度,规定也会“软绵绵”。有关组织和个人如果违反个人信息保护法,将承担哪些责任?明仔对此提出了疑问。
根据个人信息保护法的相关规定,履行个人信息保护职责的部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或主要负责人进行约谈,或要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
该法还规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示;构成违反治安管理行为的,依法给予治安管理处罚,构成犯罪的,依法追究刑事责任。