《個人信息保護法》正式實施
發布時間 2021-11-012021年11月1日《中華人民共和國個人信息保護法》正式實施,與《民法典》、《網絡安全法》、《數據安全法》等法律共同編織成一張個人信息的“保護網”。
個人信息保護法的實施,對網絡生活有怎樣的影響?對個人信息保護有哪些支持保障?廣東人“明仔”現身說法,結合他的經歷和境遇,對照相關法條內容,分享了幾個重點案例。
任何人不得非法收集使用他人個人信息
今年4月21日,明仔在《羊城晚報》上看到一則報道:從2020年6月起,蔣某、巫某、彭某、王某、劉某在廣州市尖彭路某公寓A1115房,由蔣某擔任老板,向他人購買58同城網站的賬號,由劉某、王某使用上述賬號在58同城網站上發布大量虛假招聘信息收集應聘者的公民個人信息,再由蔣某、巫某、彭某將劉某、王某二人所收集的公民個人信息販賣給他人牟利。經審計,蔣某等人非法獲取、銷售的公民個人信息(含姓名和電話號碼)數量合計42790條。
他發現,廣州市白云區人民法院是這樣判的:法院認為,被告人蔣某等五人違反國家法律規定,結伙非法獲取、出售公民個人信息,情節嚴重,已構成侵犯公民個人信息罪,其中蔣某是主犯,其余四人系從犯。法院依法判處蔣某有期徒刑二年,并處罰金三萬元;其余被告人有期徒刑一年二個月至十個月不等,并處罰金。
■法律規定 個人信息保護法第10條規定:任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。
六種情形處理個人信息不需取得個人同意
明仔的朋友開了一家企業,偷偷摸摸進行違法經營。后來,一家媒體曝光該企業的違法行為,在報道中公開了企業名稱以及法定代表人(即明仔的朋友)姓名、性別、名下開辦企業情況。明仔的朋友認為,媒體的報道侵犯了其個人信息合法權利。那么,依據個人信息保護法,媒體的行為是否違規?
■法律規定 個人信息保護法第13條規定:符合下列情形之一的,個人信息處理者方可處理個人信息——
(一)取得個人的同意;
(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;
(三)為履行法定職責或者法定義務所必需;
(四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;
(五)為公共利益實施新聞報道、輿論監督等行為,在合理的范圍內處理個人信息;
(六)依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息;
(七)法律、行政法規規定的其他情形。依照本法其他有關規定,處理個人信息應當取得個人同意,但是有前款第二項至第七項規定情形的,不需取得個人同意。
個人信息收集者不得過度收集個人信息
生活中,明仔下載了很多不同類型的APP。但他發現,有的APP在注冊頁面設置成“不同意其格式條款”就無法進入“下一步”。明仔表示,這些格式條款中有些規定很過分,且與其使用APP的目的無關,比如要求用戶授權查看通訊錄等,實在不想“同意”。
■法律規定 個人信息保護法第6條規定:處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息。
第16條規定:個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務;處理個人信息屬于提供產品或者服務所必需的除外。
不得在交易價格等方面實行不合理的差別待遇
近年來,明仔頻頻看到“大數據殺熟”的相關新聞。明仔舉例說,此前,家住北京的周女士暑假準備帶家人到海南旅行。為節省開支,周女士提前一個月開始通過某在線旅游平臺關注航班動態和價格信息。令她沒想到的是,自己的精心策劃竟然被平臺大數據“盯”上了。
“機票第一次搜是一個價格,過一段時間再搜價格就漲了。”周女士表示,最后訂單票價比初次搜索票價高了近1000元,但朋友在同一天訂到的同航班價格卻比自己低幾百元。即使考慮機票余量導致價格變動等因素,自己“顯然也是被大數據狠狠‘宰’了一刀”。
■法律規定 個人信息保護法第24條規定:個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。
公共場所“刷臉”收集的個人信息不得另作他用
明仔上班時,需要“刷臉”才能通過公司所在大廈的閘門。平時游覽一些景點時,他也被要求“刷臉”識別。他很奇怪:個人信息保護法對這些公共場所個人“人臉”信息的處理有沒有規定?
■法律規定 個人信息保護法第26條規定:在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的;取得個人單獨同意的除外。
處理敏感個人信息應取得個人單獨同意
明仔的孩子在上幼兒園,他經常在幼兒園附近看到一些興趣培訓機構招攬顧客,有的興趣培訓機構讓父母登記個人信息以及小孩的身份信息等,只要登記就送禮品。明仔認為,登記小孩信息過于詳細,不妥。
■法律規定 個人信息保護法第28條規定:敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。
該法還規定:處理敏感個人信息應當取得個人的單獨同意,法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。
第31條規定:個人信息處理者處理不滿十四周歲未成年人個人信息的,應當取得未成年人的父母或者其他監護人的同意;處理不滿十四周歲未成年人個人信息的,應當制定專門的個人信息處理規則。
中國電子信息產業發展研究院網絡安全所所長劉權表示,個人信息保護法為個人權益的保護構建了基本法律框架,也為相關個人信息處理者提供了具體的合規指引,標志著我國個人信息保護邁出了具有里程碑意義的一步,進一步完善了我國在數據領域的立法體系。
中南財經政法大學數字經濟研究院執行院長盤和林表示,個人信息保護法明確了個人信息的權屬權益,未來互聯網平臺利用個人信息需要從用戶獲取授權,也將在使用、存儲過程中承擔更多信息保護的責任。
從靜態來說,《個人信息保護法》是在保護個人信息,但是從動態和實際看,它已經不再是單單的一個保護性法律,而將演變成平臺監管的一個工具,實際上將促使平臺更加合規,對平臺的無序發展進行規制,從而保護數字經濟整體的健康發展。
信息保護與合理利用并不沖突,兩者之間存在著互相促進的關系。信息保護是合理利用的前提條件,合理利用是信息保護的最終目的。
