发布者:豫章律师事务所 2021-08-24
2021年8月20日,我国首部《个人信息保护法》经十三届全国人大常委会第三十次会议表决获得通过,将于2021年11月1日起正式施行。《个人信息保护法》的颁布,不仅宣告我们的个人信息安全有了专门性的法律进行保驾护航,而且其还与2017年正式施行的《网络安全法》以及将于9月1日起正式施行的《数据安全法》共同搭建了我国数据保护和网络安全的基本框架,标志着我国对数据、网络安全的法律保护进入了崭新的时代。新颁布的《个人信息保护法》究竟有哪些亮点呢?就让我们一起来看看吧。
一、禁止差别化待遇,大数据“杀熟”无所遁形
生活在大数据时代,相信有过买机票、订外卖、订酒店、叫网约车等经历的很多读者应该对包括外卖app的“会员加价”、打车app老客户页面相同路段显示的车费更高等“大数据杀熟”现象并不陌生。“大数据杀熟”通俗来说就是指同样的商品或服务,老客户看到的价格反而比新客户要贵出许多的现象。以北京市消协针对“大数据杀熟”曾做过的一项调查为例,约56.92%的受访者表示,曾有过被大数据“杀熟”的经历。在对14个App或网站进行的57组模拟消费体验样本中,有23组样本新老账户的价格不完全一致,占比40.35%。
曾经的我们面对大数据“杀熟”由于法律规定非常模糊,没有专门的法律对此进行规制,维权艰难等原因,就算心存怨念,也大都只能憋着。此次颁布的《个人信息保护法》的不仅在第二十四条[1],对大数据“杀熟”作出了明确的规定,要求所有的个人信息处理者都不得利用个人信息,对个人在交易价格等交易条件上实行不合理的差别待遇。而且还在第六十六条对侵犯个人信息的行为规定了较为严苛的惩罚措施。至此,有了法律的专门保护,大数据“杀熟”将无所遁形。
二、明确敏感个人信息的范围及处理规则
根据《个人信息保护法》第二十八条的规定,敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。此条款不仅对敏感个人信息的范围进行了界定,而且还明确了不满十四周岁未成年人的个人信息也属于敏感个人信息。
在此基础上,《个人信息保护法》还对处理敏感个人信息的规则进行了规定,主要包括:需具有特定的目的和充分的必要性,并采取严格保护措施;需要取得个人的单独同意;在告知内容方面,需特别向个人告知处理敏感个人信息的必要性以及对个人权益的影响;处理不满十四周岁未成年人的个人信息应当取得父母或其他监护人的同意并制定专门的个人信息处理规则等内容。
三、明确公共场所采集个人信息的特殊要求
早在2019年,游客郭某因不满杭州野生动物世界将年卡用户入园方式从指纹识别升级到人脸识别,而以侵犯隐私权和服务合同违约为由将杭州野生动物世界告上法庭,该案被称为中国“人脸识别第一案”。而近几年人脸识别在越来越多的场合被广泛应用,尤其是在新冠疫情防控期间,人脸识别除了被广泛运用于商场、超市、火车站、医院等场所,还被很多居民小区用于甄别出入人员。甚至,有的小区还强制要求业主录入人脸,若未进行人脸录入甚至不能进入小区,去年一则“杭州拟立法明确物业不得强制业主人脸识别进小区”的消息也引发了社会的广泛关注,人脸信息采集的界限究竟在哪儿亦引发了人们的思考。
之前因个人信息保护相关法律尚未出台,中国“人脸识别第一案”中法院主要是从升级人脸识别属于单方变更合同的违约行为及采集照片信息超出了法律意义上的必要原则要求因而不具有正当性两个方面进行论证。而今,本次颁布的《个人信息保护法》第二十六条对人脸信息采集做了明确回应,要求在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必须,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;除非取得个人的单独同意。这也就意味着,以后在公共场所采集个人信息只能出于维护公共安全之目的,若想用于其他目的,必须取得个人的单独同意。简言之,对于小区要求人脸录入才能自由进出,我们可以理直气壮地说不。
四、规范平台责任,不得过度收集个人信息
互联网时代,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者如腾讯、阿里巴巴等公司,因其平台对日常生活的影响力较大,其对平台内的交易和人个信息的获取具有更大的控制和支配力,若该等公司未建立完善的个人信息保护机制、未承担起保护个人信息的法律义务,将产生更为严重的个人信息泄露后果。
《个人信息保护法》在第五十八条对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者提出了明确的个人信息保护义务要求,主要包括:①按照国家规定,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;②遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范何保护个人信息的义务;③对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;④要定期发布个人信息保护社会责任报告等内容。
此条款的问世,不仅意味着包括互联网平台等在内的所有平台再也不能像以前那样过度收集用户的个人信息,而且还不能随意的滥用其所收集到的用户的个人信息,否则必将受到法律的严惩。
五、结 语
大数据时代,大家或许都曾感觉个人信息已不再“值钱”,人人都处于“裸奔”状态,如今,《个人信息保护法》作为我国第一部针对个人信息保护的专门性法律,将成为人们维护个人信息权益的坚固盾牌,《个人信息保护法》不仅对个人信息的保护具有里程碑的意义,而且在未来势必也会成为我国建立健全个人信息保护法律体系的重要法律基础。但正所谓“徒善不足以自治,徒法不足以自行”,就目前而言,在《个人信息保护法》颁布以后,如何采取有效措施,在兼顾数据利用的同时促使个人信息处理者在《个人信息保护法》的规范下逐步完善机制、保障《个人信息保护法》所提及的各类措施得以真正施行,应该是我们应该要重点关注和思考的问题。简言之,法的生命在于实施!
作者:李莉律师
左文昭律师
江西豫章律师事务所