当前位置: 首页 > 创新要闻 > 民生资讯

向“大数据杀熟、人脸识别滥用”说不——专家解读《中华人民共和国个人信息保护法》

发布时间:2021-11-05 09:50:16  |  来源:重庆日报  |  作者:周尤
打开购物网站,后台根据用户的搜索记录精准推送商品;登录社交平台,广告投放定向植入;注册电子会员,逢年过节都能收到祝福和问候……大数据时代,人们享受着数据带来的便利,也面临着个人信息被泄露的风险。
 
  《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)11月1日起正式实施。这一立法是我国个人信息保护法治的新篇章。该法总结了我国既有的立法经验和实践经验,强调严格保护个人信息,平衡数据的保护与利用。
 
  那么,新法如何保护个人信息呢?11月3日,重庆日报记者就该法相关热点问题,专访了住渝全国政协委员、重庆静昇律师事务所主任律师彭静。
 
  长期关注个人信息保护问题的彭静,曾参与全国人大立法调研,连续四年提交多个提案建议被立法采纳。在她看来,在个人信息保护法出台之前,我国并没有一部专门规范使用个人信息的法律,关于个人隐私保护的相关条款分散在不同的法律法规之中。随着互联网经济和数字化发展,越来越多的应用场景涉及个人信息处理,因此个人信息保护法出台可谓是“恰逢其时、众望所归”。
 
  告知同意
 
  问:如今网上购物点餐、手机导航已成为生活的一部分,每个App都需要填写个人信息、或获取相关定位,如何让我们明明白白知道并同意?
 
  答:个人信息保护法建立了世界上最全面的以“告知同意”为核心构建的个人信息处理规则。
 
  彭静认为,我国个人信息保护法建立了世界上最全面的以“告知同意”为核心构建的个人信息处理规则。包括:要求机关、企业、事业单位在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知法定事项;个人的同意应当是在充分知情的前提下明确、自愿作出的。
 
  同时,企业收集、使用生物识别、金融账户、医疗健康、行踪轨迹等敏感个人信息,或向其他机构提供个人信息的,应当取得个人单独同意。
 
  个人有权撤回其同意,且企业应当提供便捷的“撤回”方式,个人信息处理者不得以个人不同意为由拒绝提供产品或者服务。
 
  例如,具有导航功能的App曾获得消费者同意使用其位置信息,但也应当提供简明的界面,方便消费者对App的继续追踪喊停。再如,消费者注册一个二手闲置物品交易App时,App强制要求消费者同意调取其行踪轨迹信息,否则拒绝提供服务。此时,消费者可向监管部门进行举报,监管部门有权责令该App整改乃至对其下架处置。
 
  数据垄断
 
  问:“大数据杀熟”“数据垄断”让大家极为痛恨,利用顾客的消费习惯下狠手,以后互联网平台还能这么任性吗?
 
  答:个人信息保护法对自动化决策进行全面规范,也就是说,互联网平台“大数据杀熟”“数据垄断”不能再任性而为了。
 
  “对自动化决策的全面规范是该法的亮点之一。”彭静说,自动化决策通过大数据技术对海量的用户进行持续追踪和信息采集,然后遵循特定的规则(算法)自动处理所收集的个人信息,对用户进行数字画像和相应的决策。部分互联网平台企业利用“生态圈”黏性捆绑消费者、取得大量消费者信息,进而对消费者进行“算法歧视”“大数据杀熟”。
 
  一个真实的案例,胡女士是某旅游平台上可享受8.5折优惠价的钻石贵宾客户。去年她通过该平台订购了某酒店的一间大床房,支付房款2889元。然而,离开酒店时,她发现该房的实际挂牌价仅为1377.63元,胡女士不仅没有享受到星级客户的优惠,反而多支付了一倍的房价。
 
  个人信息保护法强调,企业利用个人信息进行自动化决策时,应当保证算法的透明度和决策结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。平台企业有责任向社会公众解释“个性推荐”的依据,不能把“杀熟”的责任推诿给计算机系统和算法;同时,要保障消费者“退订”“拉黑”“屏蔽”“举报”的权利。
 
  另一方面,个人信息保护法第45条第三款规定了“个人信息可携带权”。彭静认为,可携带权创设了一项个人信息处理者的义务,即根据国家网信部门的细化规定,提供个人信息转移的途径。例如,消费者有权将自己的“好友列表”“收藏歌单”同步移转到另一平台上。平台企业不应以收费或其他方式,阻碍个人行使“可携带权”。
 
  “新增个人信息可携带权的规定将给整个互联网行业带来巨大变化,有利于打破数据领域的垄断以及数据孤岛局面,也对公司的技术能力提出了更高要求。今后,互联网平台企业企图通过挟制公民个人信息,侵害个人公平交易权利、破坏市场竞争环境的行为将受到监管部门严厉惩处。”彭静说。
 
  人脸识别
 
  问:现在“刷脸”进小区、买房子、打考勤越来越多,这合乎法律规定吗?
 
  答:只有在同时满足为了维护公共安全、符合国家有关规定、设置了显著提示标识等三个条件的情形下,机关、企业、事业单位才可以在公共场所安装图像采集、个人身份识别设备,采集人脸信息、行踪轨迹信息等个人信息。
 
  随着大数据和人工智能科技高速发展,通过在公共场所安装图像采集和个人身份识别设备,可以随时对自然人的脸部特征、指纹信息等生物识别信息以及行踪轨迹等其他个人信息进行处理。其中,最典型也最常见的就是人脸识别技术的运用。
 
  人脸信息不仅具备个人识别特征,还包括身体、健康、年龄、种族等信息,也可能涉及个人的心理信息。此外,金融机构身份验证往往也与人脸信息进行绑定。其泄露、非法提供、滥用(如根据身份、年龄、性别、健康制定定价策略,实施价格歧视)对个人权益造成严重损害。同时,不具有公共管理职权或资质的机构(如物业),效仿公共安全部门,利用人脸识别技术,以便利管理方便居民为名,行大规模监控之实,乃至将收集的人脸信息用于商业目的及转让。
 
  彭静表示,近年来,我国人脸识别被滥用的情形时有发生,由此导致社会公众的高度关注。为回应社会关切,个人信息保护法明确规定,必须同时满足为了维护公共安全、符合国家有关规定、设置了显著提示标识等三个条件的情形下,才可以在公共场所安装图像采集、个人身份识别设备,采集人脸信息、行踪轨迹信息等个人信息。并且要严格限制取得的个人信息的用途,即只能用于维护公共安全。
 
  例如,野生动物园规定:持有年卡消费者必须“刷脸”才能入园游玩。这就明显侵害了个人面部特征信息。消费者有权投诉或向人民法院起诉,要求企业停止侵权行为,并删除其非法取得的人脸信息。
 
  买卖个人信息
 
  问:如果我的个人信息被违法使用,被平台或者机构非法出卖或者泄露,怎样维护合法权益?
 
  答:个人可以依法向人民法院提起诉讼,或由有权机关或机构提起公益诉讼。
 
  彭静表示,个人信息保护法既对个人信息处理各环节作了全流程规范,也对企业、机构个人信息处理不合规可能承担的民事、行政和刑事责任作了综合性规定。
 
  个人信息保护法充分考虑个人信息权益主体在维权过程中相对弱势的地位,确立了过错推定责任规则。处理个人信息如果侵害个人信息权益,并造成损害,除非个人信息处理者能够证明自己没有过错,否则就要承担损害赔偿等侵权责任。
 
  如果违法处理个人信息,或未履行个人信息保护义务,履行个人信息保护职责的部门还可以根据情节,对个人信息处理者采取包括巨额罚款在内的行政处罚。罚款金额最高可达5000万元人民币,或者个人信息处理者上一年度营业额的5%。同时对直接负责的主管人员和其他直接责任人员处以罚款,并决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。如果个人信息处理者是国家机关,存在不履行该法规定的个人信息保护义务的,由该国家机关上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员,也依法给予处分。
 
  个人信息处理活动违法程度构成违反治安管理行为,乃至构成犯罪的,应依法追究个人信息处理者及直接责任人的行政、刑事责任。
 
  平台企业义务
 
  问:拥有个人信息的平台企业,如何保护个人信息安全?
 
  答:个人信息保护法严格规范了平台企业的个人信息保护义务。
 
  彭静表示,个人信息保护法对个人信息处理者(企业)的义务作出了严格且详细的规定,包括:采取管理、技术措施确保个人信息处理活动合法、安全,指定个人信息保护负责人,定期进行合规审计,对于高风险个人信息处理活动进行个人信息保护影响评估并对处理情况进行记录,在发生或可能发生个人信息泄露等安全事件时立即采取补救措施并通知监管机构和个人。企业不能一概把责任推卸给员工、外包服务商、“网络黑客”,只要合规工作不到位,就会直接面对个人和监管部门的依法问责。
 
  尤其值得关注的是,个人信息保护法第58条规定了提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者(即所谓超大型平台企业)负有的特殊义务:包括成立主要由外部成员组成的独立机构对个人信息保护情况进行监督,制定公平公正的平台规则,有义务制止平台内产品服务提供者违法行为等。