《中華人民共和國個人資訊保護法》出爐，對過度收集個人資訊、自動化決策差異化定價等問題作出針對性規(guī)範——

　　企業(yè)處理個人資訊被劃定紅線

　　閱讀提示

　　在資訊化時代，個人資訊保護已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實的利益問題之一。8月20日，十三屆全國人大常委會第三十次會議通過了個人資訊保護法。個人資訊保護法進一步細化、完善個人資訊保護應(yīng)遵循的原則和個人資訊處理規(guī)則，明確個人資訊處理活動中的權(quán)利義務(wù)邊界，給企業(yè)處理個人資訊活動劃定紅線。

　　據(jù)統(tǒng)計，截至去年年底，我國網(wǎng)際網(wǎng)路用戶已達9.89億，網(wǎng)際網(wǎng)路網(wǎng)站和應(yīng)用程式數(shù)量分別超過440萬個和340萬個。一些企業(yè)、機構(gòu)甚至個人，隨意收集、違法獲取、過度使用、非法買賣個人資訊，利用個人資訊侵擾人民群眾生活安寧、危害人民群眾生命健康和財産安全等問題突出。

　　經(jīng)過三次審議，8月20日，第十三屆全國人大常委會第三十次會議正式通過了個人資訊保護法，該法將於2021年11月1日起施行。個人資訊保護法進一步細化、完善個人資訊保護應(yīng)遵循的原則和個人資訊處理規(guī)則，明確個人資訊處理活動中的權(quán)利義務(wù)邊界，給企業(yè)處理個人資訊活動劃定紅線。

　　“告知-同意”是核心規(guī)則

　　長期以來，應(yīng)用程式過度收集個人資訊問題是社會關(guān)注的一大焦點。在實踐中，網(wǎng)際網(wǎng)路企業(yè)推出的App通常以勾選“隱私協(xié)議”來獲取用戶所有授權(quán)，用戶經(jīng)常面臨著“不同意即不可用”的困境。

　　個人資訊保護法確立了個人資訊處理應(yīng)遵循的原則，強調(diào)處理個人資訊應(yīng)當遵循合法、正當、必要和誠信原則，具有明確、合理的目的並與處理目的直接相關(guān)，採取對個人權(quán)益影響最小的方式，限于實現(xiàn)處理目的的最小範圍，公開處理規(guī)則，保證資訊品質(zhì)，採取安全保護措施等。

　　“這些原則應(yīng)當貫穿于個人資訊處理的全過程、各環(huán)節(jié)。”8月20日，全國人大常委會法工委經(jīng)濟法室副主任楊合慶對個人資訊保護法進行解讀時説。

　　個人資訊保護法緊緊圍繞規(guī)範個人資訊處理活動、保障個人資訊權(quán)益來構(gòu)建個人資訊保護法律制度。“‘告知-同意’是法律確立的個人資訊保護核心規(guī)則，是保障個人對其個人資訊處理知情權(quán)和決定權(quán)的重要手段。”楊合慶説。

　　個人資訊保護法要求，處理個人資訊應(yīng)當在事先充分告知的前提下取得個人同意，個人資訊處理的重要事項發(fā)生變更的，應(yīng)當重新向個人告知並取得同意。

　　北京大學(xué)法學(xué)院教授薛軍表示，這種同意是建立在告知基礎(chǔ)上的有效同意，包括“單獨同意”“書面同意”，“同意”後還可“撤回”。這充分體現(xiàn)了立法認可個人資訊受到法律保護。

　　強調(diào)禁止“大數(shù)據(jù)殺熟”

　　當前，越來越多的企業(yè)利用大數(shù)據(jù)分析、評估消費者的個人特徵用於商業(yè)行銷。其中有一些企業(yè)通過掌握消費者的經(jīng)濟狀況、消費習(xí)慣、對價格的敏感程度等資訊，對消費者在交易價格等方面實行歧視性的差別待遇，誤導(dǎo)、欺詐消費者，其中最典型的就是社會反映突出的“大數(shù)據(jù)殺熟”。

　　“‘大數(shù)據(jù)殺熟’行為違反了誠實信用原則，侵犯了消費者權(quán)益保護法規(guī)定的消費者享有公平交易條件的權(quán)利，應(yīng)當在法律上予以禁止。”楊合慶説。

　　對此，個人資訊保護法明確規(guī)定：個人資訊處理者利用個人資訊進行自動化決策，應(yīng)當保證決策的透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

　　一方面，經(jīng)營者應(yīng)當按照法律規(guī)定，遵循公開、公平、公正的原則設(shè)定演算法模型、制定自動化決策的規(guī)則，不得對消費者實行歧視性的不公平的差別待遇；另一方面，個人資訊處理者應(yīng)當保障消費者的知情權(quán)和選擇權(quán)，向個人進行資訊推送、商業(yè)行銷時，應(yīng)當同時提供不針對其個人特徵的選項，或者向個人提供便捷的拒絕方式。

　　嚴格保護個人敏感資訊

　　值得關(guān)注的是，個人資訊保護法將生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等資訊，以及不滿十四週歲未成年人的個人資訊列為敏感個人資訊。

　　“這主要考慮到此類資訊一旦洩露或者被非法使用，極易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財産安全受到危害，對處理敏感個人資訊的活動應(yīng)當作出更加嚴格的限制。”楊合慶説。

　　對此，個人資訊保護法要求只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，方可處理敏感個人資訊，同時應(yīng)當事前進行影響評估，並向個人告知處理的必要性以及對個人權(quán)益的影響。

　　考慮到少年兒童在生理上和心理上尚不成熟，認知能力和控制自己行為的能力都較弱，容易受到資訊推送和商業(yè)行銷的誘導(dǎo)，在面對違法處理行為侵害其合法權(quán)益時缺乏必要的分辨能力和充分的自我保護能力，為保護未成年人的個人資訊權(quán)益和身心健康，個人資訊保護法特別將不滿十四週歲未成年人的個人資訊確定為敏感個人資訊予以嚴格保護。同時，與未成年人保護法有關(guān)規(guī)定相銜接，個人資訊保護法要求處理不滿十四週歲未成年人個人資訊應(yīng)當取得未成年人的父母或者其他監(jiān)護人的同意，並應(yīng)當對此制定專門的個人資訊處理規(guī)則。

　　強化個人資訊處理者義務(wù)

　　個人資訊處理者是個人資訊保護的第一責任人。據(jù)此，個人資訊保護法強調(diào)，個人資訊處理者應(yīng)當對其個人資訊處理活動負責，並採取必要措施保障所處理的個人資訊的安全，在此基礎(chǔ)上，設(shè)專章明確了個人資訊處理者的合規(guī)管理和保障個人資訊安全等義務(wù)。

　　值得注意的是，個人資訊保護法對大型網(wǎng)路平臺設(shè)定了特別的個人資訊保護義務(wù)。

　　“在個人資訊處理方面，網(wǎng)際網(wǎng)路平臺為平臺內(nèi)經(jīng)營者處理個人資訊提供基礎(chǔ)技術(shù)服務(wù)、設(shè)定基本處理規(guī)則，是個人資訊保護的關(guān)鍵環(huán)節(jié)。”楊合慶指出，提供重要網(wǎng)際網(wǎng)路平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型複雜的個人資訊處理者對平臺內(nèi)的交易和個人資訊處理活動具有強大的控制力和支配力，因此在個人資訊保護方面應(yīng)當承擔更多的法律義務(wù)。

　　對外經(jīng)貿(mào)大學(xué)數(shù)字經(jīng)濟與法律創(chuàng)新研究中心執(zhí)行主任許可強調(diào)，除了國家機關(guān)以外，網(wǎng)際網(wǎng)路平臺是目前最大的個人資訊收集者，也是個人資訊保護最重要的市場主體。通過網(wǎng)際網(wǎng)路大型平臺去建立健全個人資訊保護規(guī)範，對平臺經(jīng)營者進行約束，是未來完善個人資訊保護法的重要環(huán)節(jié)。

　　“個人資訊保護法以嚴密的制度、嚴格的標準、嚴厲的責任，構(gòu)建了權(quán)責明確、保護有效、利用規(guī)範的個人資訊處理和保護制度規(guī)則。社會各方面應(yīng)當加強個人資訊保護宣傳教育，提升個人資訊保護法治意識，推動個人資訊保護法落地實施，助力網(wǎng)路強國、數(shù)字中國、智慧社會建設(shè)。”楊合慶説。

　　記者：盧越