在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”),将于2021年11月1日起施行。出台个人信息保护法有何意义?如何规范大数据应用平台合理合规应用用户信息?怎样确保个人信息安全?对此,人民网《良法善治大家谈》栏目推出系列报道,邀请法律专家解读个人信息保护法。
近年来,随着平台经济快速发展,越来越多的企业利用大数据分析评估消费者的个人特征用于商业营销。有些企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息,对消费者在交易价格等方面实行歧视性的差别待遇,误导、欺诈消费者。其中,较为典型的就是“大数据杀熟”。与此同时,应用程序(APP)强制索取用户个人信息授权,也逐渐成为热点问题。8月20日通过的个人信息保护法,对上述问题做出了回应,为个人信息加上一道安全锁。
禁止“大数据杀熟”为公平交易提供法律依据
今年上半年,多家互联网平台被用户投诉“杀熟”,对“熟客”的报价比新用户更高,此类问题一直困扰着用户。
个人信息保护法第二十四条第一款规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果的公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
对此,清华大学法学院副院长程啸在接受人民网记者采访时表示,个人信息处理者根据算法做决策,但是算法由人来设计生成,在这一过程中,设计者仍然有可能会将不合理且带有歧视性的内容写进算法,所以本款要求保障决策的透明度和结果的公平公正。
同时,程啸认为,市场上存在价格的差别待遇不一定就是“大数据杀熟”,不合理的差别待遇是商家完全通过获得个人隐私信息,掌握消费者消费能力和消费习惯,发现用户对交易价格的敏感程度不一,从而对其实行差异性定价,例如给对价格敏感度低的用户定高价,给价格敏感度高的用户定价相对较低。
可以看出,个人信息保护法增加了禁止“大数据杀熟”的有关条款,进一步丰富了对歧视性定价问题的规制路径,也为实现市场公平交易提供了法律依据。
禁止APP强制索权为霸王条款标明“红线”
近年来,一些移动互联网应用程序(APP)通过“一揽子协议”将收集个人数据与其功能或服务进行捆绑,用户不同意全面授权,就无法使用该APP。这样的做法令用户深恶痛绝,又无可奈何。
个人信息保护法第十六条规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。
北京航空航天大学法学院院长龙卫球认为,个人信息处理者过度收集、使用用户个人信息的,严重侵害了自然人对于其个人信息的权利,特别是知情权或决定权等,也严重违反了以知情同意为基础的处理个人信息的基本要求。该法关注到了此乱象,以极其务实的方式做出立法解决。该法第十六条规定的内容为应对包括APP在内的各种形式的强制收集或非必要的过度收集提供了明确法律依据。
同时,根据该法第十七条的规定,个人信息处理者必须以显著方式、清晰易懂的语言真实、准确、完整向个人告知本条列举的必要事项。条文中“真实、准确、完整”六个字,更加明确保护个人的立场,尤其防止不充分知情的滥用。
可见,个人信息保护法不仅禁止APP过度索取用户信息,同时,对APP企图通过冗长的用户协议让用户达成妥协的行为也进行了明文规定,必须明确告知用户APP对个人信息的使用目的和方式等问题。
谈及对个人信息处理者违法行为的处罚,龙卫球表示,本法第七章法律责任的若干规定都可能适用于包括利用应用程序等在内的过度收集或处理个人信息的违法活动。例如,该法第六十六条就规定了相应的处罚责任。这一法律责任规定有三个特别值得注意的新特点,一是出现许多新的行政处罚形式;二是罚款数额之高前所未有;三是对违法信息处理中的有关个人也规定了相应的责任。
保护与监管并行为个人信息提供法律保护
根据该法第六十一条规定,履行个人信息保护职责部门的一般职责,除了开展宣传教育、指导监督,接受处理投诉举报,调查处理违法活动,还强调“组织对应用程序等个人信息保护情况进行测试,并公布测评结果”。
龙卫球直言,这是对管理职责的现实回应,对愈演愈烈的APP强制收集或过度收集现象,提供了主动的管理治理方案。近年来,中央网信办、工信部、公安部、市场监管总局等有关部门多次开展对APP侵害用户权益专项治理行动,对于保护个人信息起到了明显的作用,但一直以来立法授权却不够清晰。“这次立法明确了,将来可以依据此项权力积极地监管好APP。”龙卫球说。
除此之外,该法第六十六条有针对性地规定“对违法处理个人信息的应用程序,责令暂停或者提供服务”。程啸认为,这规定了对应用程序监管的原则性内容,但是具体如何判定应用程序的违法行为及其处罚条款还需要监管部门在未来进行细化,以此来保障个人的信息安全。
个人信息保护法是极其重要的一部立法。龙卫球认为,这部法律为数字化时代的数字人格建立基本保障线,为有关企业、组织和他人的个人信息处理活动设定底线和基本规范,从而可以从根本上解决个人信息保护危机。