随着大数据、人工智能等互联网新技术的广泛使用,数字化全面进入我们的日常生活,个人信息数据焦虑成为普遍现象。大数据杀熟、人脸信息过度采集、应用程序(APP)个人信息泄露,个人信息安全究竟谁来守护?
《个人信息保护法》完善了个人信息处理规则,完善了个人信息相关投诉举报工作机制及违法处理个人信息涉嫌犯罪案件的移送机制,在完善个人信息处理规则方面,特别对APP过度收集个人信息、大数据杀熟、平台责任等作出针对性规范,将使得人们在数字化社会生活中更有安全感。
明确个人信息处理合法基础
“《个人信息保护法》并没有禁止收集个人信息,而是反对过度收集、强制收集和违法收集。”中国社会科学院学部委员、全国人大宪法和法律委员会委员孙宪忠说。
孙宪忠表示,社会上一度曾对个人信息泄露感到恐慌和担忧,但在防控疫情的过程中,信息化手段提供了很大帮助,这使人们认识到个人信息的收集在社会管理过程中也大有裨益。在立法讨论中大家认为,我国已经进入信息化社会,要积极利用信息化的利好方面,但也应认识到,在信息收集和后续的信息加工、管理、应用等环节确实出现了一些问题,因此,《个人信息保护法》要着力解决这些问题。“《个人信息保护法》进一步完善了处理个人信息的合法性基础,补充了个人有权撤回同意的内容。”中国信息通信研究院云计算与大数据研究所仵姣姣说,“总体而言,《个人信息保护法》采取了优先保护个人权利和社会公共利益的路径。”
仵姣姣表示,《个人信息保护法》列举了个人信息处理的合法基础,包括授权同意、为订立或履行个人作为一方当事人的合同所必需、履职必需、应对突发公共卫生事件、在合理的范围内处理已公开的信息、公益目的等。对信息收集者来说,主要的数据处理合规基础是被收集对象的授权同意、合同必需和在合理范围内处理已公开的信息。
如果不授权就不能使用互联网应用,这一度是很普遍的现象。仵姣姣认为,尽管消费者授权同意,但仍存在能否真正保障个人信息主体的知情权、授权同意是否会流于形式、强势一手数据源为后续数据流转的参与方带来权利瑕疵等问题,但实践中已逐渐形成一定程度上的范例。例如采用交互式弹窗的形式在用户使用特定功能时,逐一获取该功能必需的数据;明确列出数据共享的目的及合作方名单;在隐私协议条款前,简要介绍核心条款等。
过度索权也是一直为消费者诟病的行业痼疾。仵姣姣认为,合同一定要遵循最小必要原则,商家需要审慎衡量获取的数据类型是不是提供相关产品和服务的必要前提。
信息社会发展到今天,一般人都有几十、上百条注册信息、授权同意信息,其中很多都不再使用,但却普遍存在不支持注销账户、撤回同意投诉无门等问题。仵姣姣表示,《个人信息保护法》专门赋予个人撤回同意的权利,明确要求商家必须提供便捷的撤回同意方式。此外还明确,撤回同意不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
“由于数据存在极强的可复制性,个人信息主体在给出首次授权同意后,对于姓名、身份证号、手机号、地址等相对静态的信息很容易失去控制权,即使在撤回同意后,个人及每一环节数据处理者也很难控制数据的后续流转。”仵姣姣认为,商家要确保在用户撤回同意后,相关数据被终止收集,必要时也需要对其进行删除或匿名化。
遏制大数据杀熟行为
大数据杀熟近年来被广泛讨论。在同一网站上,相同的商品或服务不同的人购买价格却不一样,这就可能是被“杀熟”了。大数据杀熟是指一种个性化定价,商家通过分析消费者个人信息形成画像,利用算法对每个消费者的支付意愿进行精准评估和预测,预测消费者最高保留价格,并以此就同一商品或服务向不同消费者设置不同价格。中国信息通信研究院互联网法律研究中心高级研究员、个人信息保护立法研究团队负责人杨婕认为,这种歧视性定价策略,其实意味着商家可以过度、无限制、不合理地剥夺消费者,损害消费者权益。
“《个人信息保护法》中的第二十四条,对于大数据杀熟问题作出明确的规定。”杨婕说,《个人信息保护法》明确要求商家保证自动化决策的透明度和结果的公平、公正,在事前进行个人信息保护影响评估,不得对个人在交易价格等交易条件上实行不合理的差别待遇,并赋予个人包括选择权、知情权在内的更充分的权利。
杨婕表示,考虑到个人信息处理活动的多样性、算法运行机制的不透明性以及决策结果的不确定性,《个人信息保护法》规定无论商家是否具有市场支配地位,只要其利用个人信息进行自动化决策,对个人在交易价格等交易条件上实行不合理的差别待遇,就是法律所禁止的行为。“所涉及的适用对象全面,辐射范围广泛,有助于彻底解决大数据杀熟问题。”杨婕说。
中国首席数据官联盟专家组成员、法律顾问,观韬中茂(上海)律师事务所合伙人王渝伟说,今年2月7日,《国务院反垄断委员会关于平台经济领域的反垄断指南》发布,遏制平台经营者利用其垄断地位进行大数据杀熟、强迫商家“二选一”等不公平竞争等行为。随着《个人信息保护法》的实施,数据可携带权等权益的实现,将有力保障数据在不同经营者之间的流动,促进经营者公平竞争。
APP个人信息保护设专章
“你在家里住得好好的,结果总有人打电话骚扰你;刚生了孩子从医院回来,走在路上就有人向你推销纸尿裤等,很显然你的个人信息被泄露了。”孙宪忠说。这种情况不属于个人信息收集环节,而属于信息收集之后的“占有和加工管理”环节。对此,《个人信息保护法》第五十二条明确规定,个人信息收集者应该对收集来的信息进行妥善的监督和保管。
据工业和信息化部统计,截至2020年底,国内市场上监测到的APP数量为345万款。海量的APP在带来生活便利的同时,强制索权、过度收集、滥用和泄漏个人信息等问题也层出不穷。
杨婕表示,小程序、快应用、H5页面等新应用形态不断出现,麦克风被窃听、通信录被窃取、相册非授权被读写等问题不断曝出,亟需从法律层面遏制APP滥用个人信息的现象。《个人信息保护法》增加了对于APP个人信息保护的专门性规定,其中第六十一条将“组织对应用程序等个人信息保护情况进行测评,并公布测评结果”新设为履行个人信息保护职责的部门的职责;第六十六条将“对违法处理个人信息的应用程序,责令暂停或者终止提供服务”,增加为履行个人信息保护职责的部门对违法主体可采取的处罚手段。
中国社会科学院法学研究所副所长周汉华说,从适用的对象上来看,《个人信息保护法》把政府机关和市场主体一并纳入规范的对象。
新增了对具有管理公共事务职能的组织的规范要求。孙宪忠说,《个人信息保护法》影响最大的就是负责收集个人信息的部门,包括政府部门、大型企业等。第五十七条明确提出,个人信息发生泄露,个人信息处理者即信息掌管者要立即采取补救措施。具体来说,是指网信部门或者是相关管理机构等,要设法采取补救性措施。
孙宪忠说,就个人而言,如果发现自己的个人信息已经被泄露,可以依据《个人信息保护法》第六十一条第二项的规定,积极向网信部门、市场监督管理部门等相关管理机构投诉。
“明确个人信息侵权行为的归责原则为过错推定,是对用户权益的有力保护。”仵姣姣说。《个人信息保护法》明确了当个人信息权益因个人信息处理活动受到侵害时,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。换言之,个人信息处理者如果不能证明自己在数据处理、数据保护中不存在过错,将在诉讼中面临一定程度的败诉风险。
这在司法实践中实际上已有先例。如此前消费者庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案,被告企业被要求证明自己不存在过错、已履行的信息安全保护义务以及个人信息的具体泄露方以及泄露的具体环节,并最终由于难以提供相关证据而败诉。
人脸识别条款亮点多
“《个人信息保护法》对人脸信息的保护亮点很多。”中国信息通信研究院云计算与大数据研究所人工智能部呼娜英说。人脸作为人类社会相互识别和验证的通用身份标识符,具有直接识别性、独特性、唯一性、易获取性等特点。在人工智能赋能深度广度不断加强的科技浪潮下,人脸识别技术商业化进程不断加速。从此前的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》到目前的《个信息保护法》,都规定人脸识别属于敏感个人信息,需要遵循特殊规则进行保护、处理。
人脸识别技术应用需满足“特定目的”及“充分必要”。呼娜英表示,此前的最高人民法院对人脸识别的司法解释中已经明确,物业、建筑物管理人不得仅以人脸识别作为唯一门禁方式,企业亦不得以捆绑、强迫形式获得消费者同意人脸信息处理。《个人信息保护法》明确要求,个人信息处理者在处理敏感个人信息前,需存在“特定的目的”及“充分的必要性”。呼娜英认为,该条款对处理敏感个人信息提出了更高的要求。目的正当性和必要性不仅仅是指合法合规,还蕴含着符合目的限制、诚实信用和公开透明的要求。“这样一来,零售商要求刷脸进出或支付、小区要求刷脸进出、楼宇闸机要求刷脸登机等场景,将可能因缺乏目的正当性和必要性而遭受挑战。”呼娜英说。
单独同意制度。呼娜英说,《个人信息保护法》在“告知+同意”规则的基础上,引入了“单独同意”的要求,规定了需要用户“单独同意”的一些具体场景,包括:处理敏感个人信息、公开或向他人提供个人信息(包括在公共场所安装图像采集和个人身份识别设备收集的个人信息),以及向境外提供个人信息等。
扩张用户知情权,确立有限制的解释权。《个人信息保护法》对包括人脸信息在内的敏感个人信息保护提出了更高的要求,即信息处理者应当告知个人处理敏感个人信息的必要性以及对个人的影响。“这就进一步切实地保障了用户的知情权。”呼娜英说。
加强限制图像采集、个人身份识信息的使用。“《个人信息保护法》在三次审议中不断强化针对公共场所安装图像采集、个人身份识别设备的要求。”呼娜英说。《个人信息保护法》明确规定,商家所收集的个人图像、身份识别信息“不得用于其他目的”,进一步限缩了图像采集、个人身份识别的处理范围。
孙宪忠说,考虑到现在的人脸识别采集方式,很多情况下都在个体不知情的情况下进行,因此,《个人信息保护法》第二十六条规定,在公共场所安装图像采集个人身份识别设备的时候,其出发点必须是要维护社会公共安全,而不能用于其他目的;要符合国家法律规定;安装时要设置明显的提示性标识。
平台“守门人”条款尚有争议
对于APP的各种个人信息侵权问题,平台责任是大家关注的焦点。《个人信息保护法》第五十八条进一步完善了平台“守门人”条款。一是将提供基础性服务的互联网平台修改为提供重要互联网平台服务;二是在第一项中补充了按照国家规定建立健全个人信息保护合规制度体系的义务;三是单独增加了一项“守门人”义务,即遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。
杨婕认为,这一规定被认为是强化基础性服务平台的个人信息保护责任、促进其积极展开基于个人信息保护治理的制度设置,并能一定程度上为公权力保护个人信息的实践提供有益补充,是一个创新性制度设计。
据杨婕介绍,“数字守门人”的概念,是2020年12月欧盟委员会公布的《数字市场法案》中提出的,被认定为“守门人”的平台应承担一系列额外的具体义务。
中国人民大学法学院教授张新宝此前接受媒体采访时表示,对300多万款APP一对一监管难免力不从心,应将部分监管职责前移,对实际上控制技术资源、技术环境和运营环境的信息处理者,比如应用程序的分发平台、操作系统、大型APP平台等,设置关键环节“守门人”在个人信息处中的特别义务。他认为,目前国内常用的应用平台分发系统不超过80个,移动终端操作系统不超过10组,搭载小程序的大型APP平台不超过5个,将部分监管职责前移到关键环节“守门人”,就不用面对海量的APP一对一进行监督管理。
中国社会科学院大学互联网法治研究中心执行主任刘晓春认为,在个人信息保护领域,设立通过平台实现治理的规则,即通常所说的“守门人”制度,一方面是法律对于平台责任在个人信息保护领域的扩展;另一方面,也会构成法律对于负有此等责任平台的一种赋权,进一步扩大了大型基础性平台制定规则、展开治理、采取措施方面的实质性权力。若没有相应的制约性配套制度,则有可能会造成平台地位在个人信息保护领域的强化,并且带来权力滥用的可能性,这也正是目前国内外针对平台的“守门人”地位及其滥用行为对于竞争环境产生不良影响的担忧焦点所在。“如果赋予电商平台或社交平台上一些经营者个人信息审核义务,有可能会出现权力滥用,或通过审核权来进行自我优待、差别待遇等。”刘晓春认为,极有可能出现平台利用个人信息治理机制,进行反竞争投机行为,从而损害平台内经营者,特别是中小经营者的利益。
刘晓春认为,针对制度可能带来的消极影响进行评估和预判,应建构防范风险、降低成本的配套措施,可以将个人信息保护“守门人”制度可能带来的顾虑和风险尽量降到最低。“以目前的平台内容治理和知识产权治理为类比,这两项都需要投入大量人力物力,组建专门的管理、技术团队,建立实体判断标准、程序流程规则、争议解决渠道、纠错救济机制等复杂的规则和执行体系。经济成本、专业能力、技术和管理、组织资源等方面,都会对平台提出相当高的要求。”刘晓春说,基础性服务平台是否具有能力对平台内其他经营者的个人信息合规情况展开审核?而且,平台内经营者运作和使用过程中的个人信息收集和处理过程,并不一定能够由基础性服务平台直接监测和发现。这些都有待进一步探索和完善。
周汉华表示,《个人信息保护法》在第一条就明确了“根据宪法”,这几个字有非常重大的意义。这表明《个人信息保护法》的立法依据是我国宪法规定的“公民的人格尊严与自由不受侵犯”,表明《个人信息保护法》也是个人信息保护领域的基本法。也就是说,如果出现和其他个人信息保护相关法律规定冲突的情况,应该优先适用《个人信息保护法》。
孙宪忠认为,《个人信息保护法》实施后,对老百姓而言,最直观的感受就是数字化的社会生活会更加可靠、安全。总之,《个人信息保护法》对整个社会而言是一个很重要的利好。