来源: 九卦金融圈综合整理
编辑: 郑斌
美编: 杨文华
十三届全国人大常委会第三十次会议20日表决通过个人信息保护法,自2021年11月1日起施行。
其中明确:通过自动化决策方式向个人进行信息推送、商业营销,应提供不针对其个人特征的选项或提供便捷的拒绝方式;处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息,应取得个人的单独同意;对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
!
要点速览
1、禁止商家通过自动化决策“大数据杀熟”;
2、不得向用户强制推送个性化广告;
3、处理生物识别、医疗健康、金融账户等敏感个人信息,应取得个人的单独同意;
4、对公共场所安装图像采集、个人身份识别设备作出规范;
5、对违法处理个人信息的应用程序,责令暂停或者终止提供服务;
6、大型互联网平台应建立健全个人信息保护合规制度体系;
7、新增个人信息可携带权,打破数据垄断及数据孤岛局面;
8、个人信息处理者应当提供个人信息转移的途径;
9、为不满十四周岁未成年人制定专门处理规则;
10、明确逝者个人信息保护规则。
不得大数据杀熟等
近年来,过度收集个人信息、大数据杀熟、敏感个人信息处理等问题成为个人信息保护中的热点难点,备受外界关注。个人信息保护法明确了个人信息处理和跨境提供的规则、个人信息处理者的义务等内容。本法规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
针对过度收集信息、大数据杀熟的问题,本法明确,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式;个人信息处理者利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
针对滥用人脸识别技术问题,本法要求,在公共场所安装图像采集、个人身份识别设备,应设置显著的提示标识;所收集的个人图像、身份识别信息只能用于维护公共安全的目的。
对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,本法特别规定了其需要履行的义务,如建立健全个人信息保护合规制度体系,定期发布个人信息保护社会责任报告,接受社会监督等。
个人信息保护法还进一步强化了相关部门的监管职责,从严惩治违法行为。
履行个人信息保护职责的部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
比二审稿多处修改
据人民法院报梳理,与今年4月提交审议的二次审议稿相比,8月17日第三次提交的草案(草案三审稿)作出多处主要修改:
举措
1
不得过度收集个人信息
据中国互联网络信息中心统计数据显示,截至 2020 年底,国内市场App数量高达345万款。其中部分 App 违规收集个人信息、过度索权、侵害用户权益等问题早已成为了互联网行业的顽疾。
草案三审稿规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围。
针对个人信息泄露的隐患,草案三审稿增加规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
针对各类主流 App 背后的运营企业,草案也明确规定称,大型互联网平台应建立健全个人信息保护合规制度体系。
举措
2
不得“自动”差别对待
草案三审稿明晰了自动化决策的概念:通过程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
同时规定,自动化决策应当遵守个人信息处理的一般规则,在充分告知个人信息处理相关事项的前提下取得个人同意,不得以个人不同意为由拒绝提供产品或者服务;利用个人信息进行自动化决策时,不得对个人在交易价格等交易条件上实行不合理的差别待遇,并在事前进行个人信息保护影响评估。
草案三审稿明确,个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求予以说明,并有权拒绝仅通过自动化决策的方式作出决定。
“自动化决策应当遵守个人信息处理的一般规则,包括应遵循合法、正当、必要、诚信原则,目的明确和最小化处理原则以及公开透明原则等。”全国人大常委会法工委发言人臧铁伟表示,用户画像、算法推荐等自动化决策,应当在充分告知个人信息处理相关事项的前提下取得个人同意,不得以个人不同意为由拒绝提供产品或者服务。
草案三审稿还规定,履行个人信息保护职责的部门应当组织对应用程序等个人信息保护情况进行测评、公布测评结果,对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
举措
3
新增个人信息可携带权
何谓数据可携带权?
数据可携带权是指数据主体有权获得其已向数据控制者提供的个人数据,并有权不受限制的将这些数据转移给其他数据控制者。
也就是说,用户把自己的所有个人数据从一个平台转移到另一个平台,通过“一键转移”即能实现,极大方便个人获取、转移其个人信息。
借鉴域外立法有益经验,增加个人信息可携带权的规定,是个人信息法草案三次审议稿的一大亮点。
草案规定,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
有专家认为,个人信息可携带权的规定可能给整个互联网行业带来巨大变化,有利于打破数据领域的垄断以及数据孤岛局面,也对互联网公司的技术能力提出了很高要求。
举措
4
健全投诉举报机制
草案三审稿明确,国家网信部门统筹协调有关部门完善个人信息保护投诉、举报工作机制;履行个人信息保护职责的部门发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理;对有关责任人员可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人等职务。
举措
5
未成年人有专门规定
我国已于今年6月1日实施的未成年人保护法设立了网络保护专章,规定信息处理者处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意。
此次个人信息保护法三次审议稿延续了上述规定,进一步明确,不满十四周岁未成年人的个人信息为敏感个人信息,个人信息处理者处理不满十四周岁未成年人的个人信息的,应制定专门的个人信息处理规则。毫无疑问,这一规定既回应了公众的迫切需求,也强化了对特定弱势群体的保护,有助于解决监管领域中的现实难题。
举措
6
明确逝者个人信息保护规则
草案三审稿明确,自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
世辉律师事务所合伙人王新锐认为,该条款首先意味着近亲属行使死者个人信息的权利不是随意的,同样要遵守合法、正当的原则;其次,条款体现了对死者生前意愿的尊重,鼓励自然人生前认真安排自己的个人信息。
互联网企业积极行动
随着法律体系的完善,龙头企业已经行动起来。
7月6日,阿里巴巴开放平台发布《依法加强消费者订单中敏感信息保护的公告》。7月9日,京东发布《JD用户订单隐私安全方案》。7月20日,抖音电商运营团队发布公告,宣布启动消费者隐私数据加密项目。
一位TMT领域的专家表示,打击信息泄露、保护用户信息安全是当下互联网平台治理的重点方向,App运营商与其坐等政策干预进来被动挨打,还不如主动求变,提前做好准备。
由于App监管问题涉及许多复杂的信息技术,亟需相关企业参与监管。因此,作为国内主流应用分发平台,华为应用市场表示如发现恶意、严重违规的应用,坚决下架处理。