隨著大數(shù)據(jù)、人工智能等互聯(lián)網(wǎng)新技術的廣泛使用，數(shù)字化全面進入我們的日常生活，個人信息數(shù)據(jù)焦慮成為普遍現(xiàn)象。大數(shù)據(jù)殺熟、人臉信息過度采集、應用程序(APP)個人信息泄露，個人信息安全究竟誰來守護?

《個人信息保護法》完善了個人信息處理規(guī)則，完善了個人信息相關投訴舉報工作機制及違法處理個人信息涉嫌犯罪案件的移送機制，在完善個人信息處理規(guī)則方面，特別對APP過度收集個人信息、大數(shù)據(jù)殺熟、平臺責任等作出針對性規(guī)范，將使得人們在數(shù)字化社會生活中更有安全感。

明確個人信息處理合法基礎

“《個人信息保護法》并沒有禁止收集個人信息，而是反對過度收集、強制收集和違法收集。”中國社會科學院學部委員、全國人大憲法和法律委員會委員孫憲忠說。

孫憲忠表示，社會上一度曾對個人信息泄露感到恐慌和擔憂，但在防控疫情的過程中，信息化手段提供了很大幫助，這使人們認識到個人信息的收集在社會管理過程中也大有裨益。在立法討論中大家認為，我國已經(jīng)進入信息化社會，要積極利用信息化的利好方面，但也應認識到，在信息收集和后續(xù)的信息加工、管理、應用等環(huán)節(jié)確實出現(xiàn)了一些問題，因此，《個人信息保護法》要著力解決這些問題。“《個人信息保護法》進一步完善了處理個人信息的合法性基礎，補充了個人有權撤回同意的內(nèi)容。”中國信息通信研究院云計算與大數(shù)據(jù)研究所仵姣姣說，“總體而言，《個人信息保護法》采取了優(yōu)先保護個人權利和社會公共利益的路徑。”

仵姣姣表示，《個人信息保護法》列舉了個人信息處理的合法基礎，包括授權同意、為訂立或履行個人作為一方當事人的合同所必需、履職必需、應對突發(fā)公共衛(wèi)生事件、在合理的范圍內(nèi)處理已公開的信息、公益目的等。對信息收集者來說，主要的數(shù)據(jù)處理合規(guī)基礎是被收集對象的授權同意、合同必需和在合理范圍內(nèi)處理已公開的信息。

如果不授權就不能使用互聯(lián)網(wǎng)應用，這一度是很普遍的現(xiàn)象。仵姣姣認為，盡管消費者授權同意，但仍存在能否真正保障個人信息主體的知情權、授權同意是否會流于形式、強勢一手數(shù)據(jù)源為后續(xù)數(shù)據(jù)流轉(zhuǎn)的參與方帶來權利瑕疵等問題，但實踐中已逐漸形成一定程度上的范例。例如采用交互式彈窗的形式在用戶使用特定功能時，逐一獲取該功能必需的數(shù)據(jù);明確列出數(shù)據(jù)共享的目的及合作方名單;在隱私協(xié)議條款前，簡要介紹核心條款等。

過度索權也是一直為消費者詬病的行業(yè)痼疾。仵姣姣認為，合同一定要遵循最小必要原則，商家需要審慎衡量獲取的數(shù)據(jù)類型是不是提供相關產(chǎn)品和服務的必要前提。

信息社會發(fā)展到今天，一般人都有幾十、上百條注冊信息、授權同意信息，其中很多都不再使用，但卻普遍存在不支持注銷賬戶、撤回同意投訴無門等問題。仵姣姣表示，《個人信息保護法》專門賦予個人撤回同意的權利，明確要求商家必須提供便捷的撤回同意方式。此外還明確，撤回同意不影響撤回前基于個人同意已進行的個人信息處理活動的效力。

“由于數(shù)據(jù)存在極強的可復制性，個人信息主體在給出首次授權同意后，對于姓名、身份證號、手機號、地址等相對靜態(tài)的信息很容易失去控制權，即使在撤回同意后，個人及每一環(huán)節(jié)數(shù)據(jù)處理者也很難控制數(shù)據(jù)的后續(xù)流轉(zhuǎn)。”仵姣姣認為，商家要確保在用戶撤回同意后，相關數(shù)據(jù)被終止收集，必要時也需要對其進行刪除或匿名化。

遏制大數(shù)據(jù)殺熟行為

大數(shù)據(jù)殺熟近年來被廣泛討論。在同一網(wǎng)站上，相同的商品或服務不同的人購買價格卻不一樣，這就可能是被“殺熟”了。大數(shù)據(jù)殺熟是指一種個性化定價，商家通過分析消費者個人信息形成畫像，利用算法對每個消費者的支付意愿進行精準評估和預測，預測消費者最高保留價格，并以此就同一商品或服務向不同消費者設置不同價格。中國信息通信研究院互聯(lián)網(wǎng)法律研究中心高級研究員、個人信息保護立法研究團隊負責人楊婕認為，這種歧視性定價策略，其實意味著商家可以過度、無限制、不合理地剝奪消費者，損害消費者權益。

“《個人信息保護法》中的第二十四條，對于大數(shù)據(jù)殺熟問題作出明確的規(guī)定。”楊婕說，《個人信息保護法》明確要求商家保證自動化決策的透明度和結(jié)果的公平、公正，在事前進行個人信息保護影響評估，不得對個人在交易價格等交易條件上實行不合理的差別待遇，并賦予個人包括選擇權、知情權在內(nèi)的更充分的權利。

楊婕表示，考慮到個人信息處理活動的多樣性、算法運行機制的不透明性以及決策結(jié)果的不確定性，《個人信息保護法》規(guī)定無論商家是否具有市場支配地位，只要其利用個人信息進行自動化決策，對個人在交易價格等交易條件上實行不合理的差別待遇，就是法律所禁止的行為。“所涉及的適用對象全面，輻射范圍廣泛，有助于徹底解決大數(shù)據(jù)殺熟問題。”楊婕說。

中國首席數(shù)據(jù)官聯(lián)盟專家組成員、法律顧問，觀韜中茂(上海)律師事務所合伙人王渝偉說，今年2月7日，《國務院反壟斷委員會關于平臺經(jīng)濟領域的反壟斷指南》發(fā)布，遏制平臺經(jīng)營者利用其壟斷地位進行大數(shù)據(jù)殺熟、強迫商家“二選一”等不公平競爭等行為。隨著《個人信息保護法》的實施，數(shù)據(jù)可攜帶權等權益的實現(xiàn)，將有力保障數(shù)據(jù)在不同經(jīng)營者之間的流動，促進經(jīng)營者公平競爭。

APP個人信息保護設專章

“你在家里住得好好的，結(jié)果總有人打電話騷擾你;剛生了孩子從醫(yī)院回來，走在路上就有人向你推銷紙尿褲等，很顯然你的個人信息被泄露了。”孫憲忠說。這種情況不屬于個人信息收集環(huán)節(jié)，而屬于信息收集之后的“占有和加工管理”環(huán)節(jié)。對此，《個人信息保護法》第五十二條明確規(guī)定，個人信息收集者應該對收集來的信息進行妥善的監(jiān)督和保管。

據(jù)工業(yè)和信息化部統(tǒng)計，截至2020年底，國內(nèi)市場上監(jiān)測到的APP數(shù)量為345萬款。海量的APP在帶來生活便利的同時，強制索權、過度收集、濫用和泄漏個人信息等問題也層出不窮。

楊婕表示，小程序、快應用、H5頁面等新應用形態(tài)不斷出現(xiàn)，麥克風被竊聽、通信錄被竊取、相冊非授權被讀寫等問題不斷曝出，亟需從法律層面遏制APP濫用個人信息的現(xiàn)象?！秱€人信息保護法》增加了對于APP個人信息保護的專門性規(guī)定，其中第六十一條將“組織對應用程序等個人信息保護情況進行測評，并公布測評結(jié)果”新設為履行個人信息保護職責的部門的職責;第六十六條將“對違法處理個人信息的應用程序，責令暫?；蛘呓K止提供服務”，增加為履行個人信息保護職責的部門對違法主體可采取的處罰手段。

中國社會科學院法學研究所副所長周漢華說，從適用的對象上來看，《個人信息保護法》把政府機關和市場主體一并納入規(guī)范的對象。

新增了對具有管理公共事務職能的組織的規(guī)范要求。孫憲忠說，《個人信息保護法》影響最大的就是負責收集個人信息的部門，包括政府部門、大型企業(yè)等。第五十七條明確提出，個人信息發(fā)生泄露，個人信息處理者即信息掌管者要立即采取補救措施。具體來說，是指網(wǎng)信部門或者是相關管理機構等，要設法采取補救性措施。

孫憲忠說，就個人而言，如果發(fā)現(xiàn)自己的個人信息已經(jīng)被泄露，可以依據(jù)《個人信息保護法》第六十一條第二項的規(guī)定，積極向網(wǎng)信部門、市場監(jiān)督管理部門等相關管理機構投訴。

“明確個人信息侵權行為的歸責原則為過錯推定，是對用戶權益的有力保護。”仵姣姣說。《個人信息保護法》明確了當個人信息權益因個人信息處理活動受到侵害時，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾嘭熑?。換言之，個人信息處理者如果不能證明自己在數(shù)據(jù)處理、數(shù)據(jù)保護中不存在過錯，將在訴訟中面臨一定程度的敗訴風險。

這在司法實踐中實際上已有先例。如此前消費者龐理鵬訴中國東方航空股份有限公司、北京趣拿信息技術有限公司隱私權糾紛案，被告企業(yè)被要求證明自己不存在過錯、已履行的信息安全保護義務以及個人信息的具體泄露方以及泄露的具體環(huán)節(jié)，并最終由于難以提供相關證據(jù)而敗訴。

人臉識別條款亮點多

“《個人信息保護法》對人臉信息的保護亮點很多。”中國信息通信研究院云計算與大數(shù)據(jù)研究所人工智能部呼娜英說。人臉作為人類社會相互識別和驗證的通用身份標識符，具有直接識別性、獨特性、唯一性、易獲取性等特點。在人工智能賦能深度廣度不斷加強的科技浪潮下，人臉識別技術商業(yè)化進程不斷加速。從此前的《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》到目前的《個信息保護法》，都規(guī)定人臉識別屬于敏感個人信息，需要遵循特殊規(guī)則進行保護、處理。

人臉識別技術應用需滿足“特定目的”及“充分必要”。呼娜英表示，此前的最高人民法院對人臉識別的司法解釋中已經(jīng)明確，物業(yè)、建筑物管理人不得僅以人臉識別作為唯一門禁方式，企業(yè)亦不得以捆綁、強迫形式獲得消費者同意人臉信息處理?！秱€人信息保護法》明確要求，個人信息處理者在處理敏感個人信息前，需存在“特定的目的”及“充分的必要性”。呼娜英認為，該條款對處理敏感個人信息提出了更高的要求。目的正當性和必要性不僅僅是指合法合規(guī)，還蘊含著符合目的限制、誠實信用和公開透明的要求。“這樣一來，零售商要求刷臉進出或支付、小區(qū)要求刷臉進出、樓宇閘機要求刷臉登機等場景，將可能因缺乏目的正當性和必要性而遭受挑戰(zhàn)。”呼娜英說。

單獨同意制度。呼娜英說，《個人信息保護法》在“告知+同意”規(guī)則的基礎上，引入了“單獨同意”的要求，規(guī)定了需要用戶“單獨同意”的一些具體場景，包括：處理敏感個人信息、公開或向他人提供個人信息(包括在公共場所安裝圖像采集和個人身份識別設備收集的個人信息)，以及向境外提供個人信息等。

擴張用戶知情權，確立有限制的解釋權。《個人信息保護法》對包括人臉信息在內(nèi)的敏感個人信息保護提出了更高的要求，即信息處理者應當告知個人處理敏感個人信息的必要性以及對個人的影響。“這就進一步切實地保障了用戶的知情權。”呼娜英說。

加強限制圖像采集、個人身份識信息的使用。“《個人信息保護法》在三次審議中不斷強化針對公共場所安裝圖像采集、個人身份識別設備的要求。”呼娜英說?！秱€人信息保護法》明確規(guī)定，商家所收集的個人圖像、身份識別信息“不得用于其他目的”，進一步限縮了圖像采集、個人身份識別的處理范圍。

孫憲忠說，考慮到現(xiàn)在的人臉識別采集方式，很多情況下都在個體不知情的情況下進行，因此，《個人信息保護法》第二十六條規(guī)定，在公共場所安裝圖像采集個人身份識別設備的時候，其出發(fā)點必須是要維護社會公共安全，而不能用于其他目的;要符合國家法律規(guī)定;安裝時要設置明顯的提示性標識。

平臺“守門人”條款尚有爭議

對于APP的各種個人信息侵權問題，平臺責任是大家關注的焦點?！秱€人信息保護法》第五十八條進一步完善了平臺“守門人”條款。一是將提供基礎性服務的互聯(lián)網(wǎng)平臺修改為提供重要互聯(lián)網(wǎng)平臺服務;二是在第一項中補充了按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系的義務;三是單獨增加了一項“守門人”義務，即遵循公開、公平、公正的原則，制定平臺規(guī)則，明確平臺內(nèi)產(chǎn)品或者服務提供者處理個人信息的規(guī)范和保護個人信息的義務。

楊婕認為，這一規(guī)定被認為是強化基礎性服務平臺的個人信息保護責任、促進其積極展開基于個人信息保護治理的制度設置，并能一定程度上為公權力保護個人信息的實踐提供有益補充，是一個創(chuàng)新性制度設計。

據(jù)楊婕介紹，“數(shù)字守門人”的概念，是2020年12月歐盟委員會公布的《數(shù)字市場法案》中提出的，被認定為“守門人”的平臺應承擔一系列額外的具體義務。

中國人民大學法學院教授張新寶此前接受媒體采訪時表示，對300多萬款APP一對一監(jiān)管難免力不從心，應將部分監(jiān)管職責前移，對實際上控制技術資源、技術環(huán)境和運營環(huán)境的信息處理者，比如應用程序的分發(fā)平臺、操作系統(tǒng)、大型APP平臺等，設置關鍵環(huán)節(jié)“守門人”在個人信息處中的特別義務。他認為，目前國內(nèi)常用的應用平臺分發(fā)系統(tǒng)不超過80個，移動終端操作系統(tǒng)不超過10組，搭載小程序的大型APP平臺不超過5個，將部分監(jiān)管職責前移到關鍵環(huán)節(jié)“守門人”，就不用面對海量的APP一對一進行監(jiān)督管理。

中國社會科學院大學互聯(lián)網(wǎng)法治研究中心執(zhí)行主任劉曉春認為，在個人信息保護領域，設立通過平臺實現(xiàn)治理的規(guī)則，即通常所說的“守門人”制度，一方面是法律對于平臺責任在個人信息保護領域的擴展;另一方面，也會構成法律對于負有此等責任平臺的一種賦權，進一步擴大了大型基礎性平臺制定規(guī)則、展開治理、采取措施方面的實質(zhì)性權力。若沒有相應的制約性配套制度，則有可能會造成平臺地位在個人信息保護領域的強化，并且?guī)頇嗔E用的可能性，這也正是目前國內(nèi)外針對平臺的“守門人”地位及其濫用行為對于競爭環(huán)境產(chǎn)生不良影響的擔憂焦點所在。“如果賦予電商平臺或社交平臺上一些經(jīng)營者個人信息審核義務，有可能會出現(xiàn)權力濫用，或通過審核權來進行自我優(yōu)待、差別待遇等。”劉曉春認為，極有可能出現(xiàn)平臺利用個人信息治理機制，進行反競爭投機行為，從而損害平臺內(nèi)經(jīng)營者，特別是中小經(jīng)營者的利益。

劉曉春認為，針對制度可能帶來的消極影響進行評估和預判，應建構防范風險、降低成本的配套措施，可以將個人信息保護“守門人”制度可能帶來的顧慮和風險盡量降到最低。“以目前的平臺內(nèi)容治理和知識產(chǎn)權治理為類比，這兩項都需要投入大量人力物力，組建專門的管理、技術團隊，建立實體判斷標準、程序流程規(guī)則、爭議解決渠道、糾錯救濟機制等復雜的規(guī)則和執(zhí)行體系。經(jīng)濟成本、專業(yè)能力、技術和管理、組織資源等方面，都會對平臺提出相當高的要求。”劉曉春說，基礎性服務平臺是否具有能力對平臺內(nèi)其他經(jīng)營者的個人信息合規(guī)情況展開審核?而且，平臺內(nèi)經(jīng)營者運作和使用過程中的個人信息收集和處理過程，并不一定能夠由基礎性服務平臺直接監(jiān)測和發(fā)現(xiàn)。這些都有待進一步探索和完善。

周漢華表示，《個人信息保護法》在第一條就明確了“根據(jù)憲法”，這幾個字有非常重大的意義。這表明《個人信息保護法》的立法依據(jù)是我國憲法規(guī)定的“公民的人格尊嚴與自由不受侵犯”，表明《個人信息保護法》也是個人信息保護領域的基本法。也就是說，如果出現(xiàn)和其他個人信息保護相關法律規(guī)定沖突的情況，應該優(yōu)先適用《個人信息保護法》。

孫憲忠認為，《個人信息保護法》實施后，對老百姓而言，最直觀的感受就是數(shù)字化的社會生活會更加可靠、安全?？傊?，《個人信息保護法》對整個社會而言是一個很重要的利好。(記者 武曉莉)