《个人信息保护法》正式发布,哪些变化值得关注?
撰文 | 李信马
编辑 | 包校千
题图 | IC Photo
11月1日,和所有人切身利益密切相关的《中华人民共和国个人信息保护法》正式施行了。
该法案在今年8月20日由十三届全国人大常委会第三十次会议表决通过,与之前施行的《网络安全法》和《数据安全法》略有不同,《个人信息保护法》更关注个人而非关键基础设施的信息安全,也填补了我国在该领域长期以来的空白。
我国自2000年前后进入互联网快速发展的阶段,用户的个人信息安全问题也随之而来成为相关部门和行业高度关注的议题,例如个人信息过度收集、“大数据杀熟”等,这其中固然有相应制度缺失的原因,但互联网企业对用户信息的渴望,也是欲壑难填,这一点,巨头们也不能免俗。
2018 年 1 月 3 日,《中国消费者报》曾报道,在支付宝的年度账单下方,以浅色调小字号出现了一行“我同意《芝麻服务协议》”,并已经默认勾选同意,如果用户没有注意到,就会允许支付宝收集和授权使用用户个人和在第三方保存的信息,而此前在芝麻信用上这些信息都可以付费查询到。
不久之后的3月26日,在北京举行的中国高层发展论坛上,百度董事长李彦宏也表示“我想中国人可以更加开放,对隐私问题没有那么敏感,如果他们愿意用隐私交换便捷性,很多情况下他们是愿意的,那我们就可以用数据做一些事情“。令人欣慰的是,李彦宏还是提到了,要保证用户自愿的原则,然后实际上,少有人有耐心在使用APP前一条条细看冗长的用户须知,这也让所谓的用户知情权经常沦为形式主义。
图片来源:网络
对此,加强对个人信息的保护已经成为了世界各国的共识。2018 年 5 月 25 日欧盟正式施行的《通用数据保护条例》(GDPR),就被认为是最严格,也最受到关注的有关信息保护的法律。
我国在 2017 年 6 月 1 日正式实施《网络安全法》,其中有 11 条条款定义个人信息保护的保护规定,并颁布了像《个人信息安全规范》这样的国家标准。2018年,全国人大法工委、国家网信办开始对《个人信息保护法》立法进行文本起草工作,就部分参考了欧盟《通用数据保护条例》(GDPR)、美国加州消费者隐私保护法案(CCPA)、《德国联邦数据保护法》等国外法律,最终共计8章74条,在既有的法律基础上,进一步细化和完善了对个人信息的保护。
具体来看,今日起施行的《个人信息保护法》,有以下几点值得我们注意,除了保障了用户的合法权益外,也一定程度上调整和改变了我国互联网商业的规则:
第一章 总则
第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
换而言之,用户无需提供超出服务所需之外的信息,而企业收集用户信息也不应超过这个范畴——现实中,超出的现象屡见不鲜,许多APP频繁要求访问和所提供服务无关的通讯录、相册、地理位置等信息,这也是用户个人信息受到侵犯的重要来源。
第二章 个人信息处理规则
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
这一条重点强调了要保障用户的知情权,不能用“一揽子授权”、强制同意的方式来糊弄用户。
第十九条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。
这一条其实可以看做是对第六条的补充——个人信息不能多拿,达到处理目的后,也不得继续保存,不过具体监管如何实现还有待观察。
第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
这一条就是大家很熟悉也诟病已久的“大数据杀熟”,在法律层面上算是明令禁止了。
第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
这一条具体将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息界定为敏感个人信息,一般这些信息也是用户价值最大,也是互联网公司和黑产最乐于获取的个人信息。
第三章 个人信息跨境提供的规则
第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
仔细看这一章,大家应该就会联想到7月10日国家互联网信息办公室发布的《网络安全审查办法(修订草案征求意见稿)》。征求意见稿中有写到,掌握超过100万用户个人信息的运营者赴国外上市时,必须向网络安全审查办公室申报网络安全审查,之后滴滴、运满满、货车帮、BOSS直聘等已经和即将在美上市的企业停止新用户注册,配合网络安全审查工作,可以猜测,滴滴可能就是预感于此才选择突击美股上市,最终也吃到了自己种的苦果。
第四章 个人在个人信息处理活动中的权利
第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。
个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。
个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
这里重点讲一下“将个人信息转移至其指定的个人信息处理者”,某种意义上,这可能将瓦解互联网巨头对个人信息的实际垄断。大家可能还记得,“头腾大战”有一回合发生在由抖音衍生出来的多闪上,由于挑战了微信在社交上的地位,2019年1月22日,微信暂停了与抖音的授权登录接口,同年3月19日下午,多闪发送弹窗消息,称腾讯认为用户在微信/QQ上的账户信息属于腾讯公司,因此需要在多闪上修改。次日,天津市滨海新区人民法院裁定抖音立即停止将微信/QQ开放平台授权登录服务提供给多闪使用的行为。不过按照目前《个人信息保护法》的规定来看,用户有权携带个人信息离开到别的平台上,这对打破互联网垄断无疑是有积极意义的。
图片来源:网络
第五章 个人信息处理者的义务
第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。
这一章针对的就是个人信息处理者(个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人),这里列出的第五十八条,针对的对象基本就是我们所熟悉的互联网巨头,新法也向他们提出了更细致规范的要求。
第七章 法律责任
第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
这里重点的就是上一年度营业额百分之五以下的罚款,从惩罚力度来说,可以说是空前的。之前阿里巴巴被罚款182.28亿人民币,就是按照《反垄断法》相关规定的“并处上一年度销售额百分之一以上百分之十以下的罚款”,处以2019年阿里巴巴营收(4557.12亿)4%的罚款,而营收的5%,对不少巨头来说,也是一整年的利润,甚至可能还不止,无疑这也能让巨头们更加收敛。此外,违法情节严重构成犯罪的,也将被依法追究刑事责任。
互联网企业对《个人信息保护法》的施行也早有准备,不久前的10月22日,由中共深圳市委网信办联合深圳市公安局、市市场监管局、市通管局主办的深圳市APP个人信息共护大会上,腾讯、华为等20余家重点APP运营企业就一同签署了《深圳市APP个人信息保护自律承诺书》,公开作出“不超范围采集信息,不强制索要用户授权,不利用大数据杀熟、不滥用人脸识别数据,不监听个人隐私”等承诺。相信随着新法的施行,互联网商业也会朝着更加法制化,更加保护用户权益的方向去发展。