2021年11月1日,個人信息保護法將正式實施。
據中國互聯網絡信息中心統計報告,截至2021年6月,我國網民總體規模超過10億,網站數量和App數量分別超過422萬個和302萬款。在信息化時代,個人信息保護已成為廣大人民群眾最關心最直接最現實的利益問題之一。對個性化推送、大數據殺熟等為人詬病的現實問題作出針對性規定,讓人們對個人信息保護法的施行充滿了期待。對于公民個人而言,如何真正實現“我的信息我做主”成為關注焦點。
個人信息收集、處理:我知情,我同意
“我已閱讀并同意用戶服務協議。”——網上有段子說,這是最大的“謊言”。
動輒萬余字的冗長條款,夾雜著各種專業術語和法律名詞,顏色淺字號小排版密,“讓人一看就讀不下去”……
能選擇不同意嗎?若“不同意”,就會被“一言不合玩閃退”。想要使用這款應用,必須“被迫同意”。
據一項調查發現,77.8%的用戶在安裝App時“很少或從未”閱讀過隱私協議,在被調查的150款App中,近三成App存在制造障礙、刻意隱藏和誘導用戶略過隱私協議的行為,受訪對象對于隱私協議的認可程度處于較低水平。被忽視的用戶服務協議和隱私政策條款,常常會為違規或者過量收集個人信息大開方便之門。
隨著個人信息保護法的實施,這種“產品方在假裝很認真告知,用戶在假裝閱讀并同意”的情況有望迎來重大改變。
“基于個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自愿、明確作出”“個人有權撤回其同意”“個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務”……在規定“告知—同意”核心規則之時,個人信息保護法特別明確,個人信息處理者在處理個人信息前向個人告知相關事項時,“應當以顯著方式、清晰易懂的語言”真實、準確、完整告知,處理包括人臉等在內的敏感個人信息時,必須取得單獨同意。
“個人信息的保護長期以來是個薄弱環節,同時又是一個涉及14億多人民群眾的大工程,靠政府、靠機構保護是不夠的,更多的是讓每個公民舉起法律武器,保護好個人的有關信息。”全國人大常委會委員烏日圖表示,要大力推動法律的宣傳,使大家充分認識到個人在信息保護方面的權利和義務。
“個人要提升個人信息保護素養,不要輕易把自己的個人信息交給那些來路不明的App。”對外經貿大學數字經濟與法律創新研究中心執行主任許可提醒,個人可以積極行使個人信息保護法規定的查閱權、復制權、更正權、刪除權等一系列權利,及時了解、把握自己的個人信息收集和處理情況。
對手機應用過分索權,理直氣壯說“不”
通訊錄、相冊、攝像頭、麥克風……如今下載運行一個App,要多次點擊“同意”“允許”。這些賦權真是必要的嗎?
長期以來,手機App過度索權問題屢禁不止。我國曾相繼出臺《信息安全技術個人信息安全規范》和《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規范》等文件,對App超范圍收集、強制授權、過度索權等個人信息安全問題作了明確規定,國家網信辦、工信部等部門也多次公開過度收集個人信息App名單并責令整改。不過,眾多產品輕視法規、打擦邊球等情況仍廣泛存在。
“說句不好聽的話,現在是既怕賊偷又怕賊惦記。我們很多信息和秘密都存在手機里,這么多應用卻能想看就看,感覺很沒有安全感。”北京石景山的李女士最近剛換了新手機,她的擔憂將隨著個人信息保護法的實施迎來轉機。
處理個人信息應當“遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息”“具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式”;收集個人信息應當“限于實現處理目的的最小范圍,不得過度收集個人信息”“遵循公開、透明原則,公開個人信息處理規則”……在對應用程序收集、處理個人信息行為作出明確規范之外,個人信息保護法還規定了違法行為懲處規則,對違法處理個人信息的應用程序,最高可處5000萬元罰款。
“隨著個人信息保護法的施行,相關執法有了更加明確的法律依據。”北京大學法學院教授薛軍表示。
誰來定義、如何定義“必需”
安裝圖像處理程序,要提供地理位置信息;下載文字編輯App,需獲取通訊錄權限;在公共場所毫不知情時,人臉信息可能被記錄……有人說,對于生活在信息化時代的人們,這是一個最好的時代,也是一個最壞的時代——面對疫情防控形勢,可以“一碼走天下”,犯罪嫌疑人在聯網人臉識別系統下無所遁形;但人們在享受數據帶來便利的同時,也對信息收集處理的尺度、界限有著高度的敏感。
按照相關規定,App收集處理用戶信息應該遵循“收所必需、用所必需”的基本準則,所收集、處理的信息應該處于“必需”,且在合理的時間段、規定的業務范圍內被正當使用。
個人信息保護法第16條規定:個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務;處理個人信息屬于提供產品或者服務所必需的除外。
“這里的‘必需’怎么認定?由誰來確定?這就很關鍵了。”全國人大常委會委員彭勃表示:“現在人民群眾對于個人信息保護反映最大的,就是個人信息處理者過度采集和占有公民個人信息。某種意義上來講,我們制定這個法恰恰就是為了約束這個。要對供應和服務運營商、信息處理者進行嚴格、科學的約束和規范。”
許可表示,這里的“必需”條款,源自個人信息處理的最小必要原則。“提供產品或服務所必需”,必須從用戶和企業兩方來看,不能只看單方面的企業觀點,也不能只看單方面的用戶觀點,而是要通過雙方的合意來判斷。
根據個人信息保護法第26條規定,在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需。全國人大常委會委員李巍觀察到,實踐中一些社區、銀行、商店并不是完全按照這個規定,“或者說是以假借維護公共安全為目的,設置很多人臉識別等生物識別手段”,他建議采取措施防止濫用和擴大圖像采集、人臉識別等手段。
許可表示,“為維護公共安全所必需”應當遵循行政法上的比例原則。“為了維護公共安全而處理個人的敏感信息,特別是人臉信息,應當遵循其必要性。即是為了實現特定的公共目的之必要,不能超出維護公共安全目的”。(記者?劉華東)
(責編:徐剛)