中國消費(fèi)者報報道（記者 武曉莉）隨著大數(shù)據(jù)、人工智能等互聯(lián)網(wǎng)新技術(shù)的廣泛使用，數(shù)字化全面進(jìn)入我們的日常生活，個人信息數(shù)據(jù)焦慮成為普遍現(xiàn)象。大數(shù)據(jù)殺熟、人臉信息過度采集、應(yīng)用程序(APP)個人信息泄露，個人信息安全究竟誰來守護(hù)?

《個人信息保護(hù)法》完善了個人信息處理規(guī)則，完善了個人信息相關(guān)投訴舉報工作機(jī)制及違法處理個人信息涉嫌犯罪案件的移送機(jī)制，在完善個人信息處理規(guī)則方面，特別對APP過度收集個人信息、大數(shù)據(jù)殺熟、平臺責(zé)任等作出針對性規(guī)范，將使得人們在數(shù)字化社會生活中更有安全感。

明確個人信息處理合法基礎(chǔ)

“《個人信息保護(hù)法》并沒有禁止收集個人信息，而是反對過度收集、強(qiáng)制收集和違法收集。”中國社會科學(xué)院學(xué)部委員、全國人大憲法和法律委員會委員孫憲忠說。

孫憲忠表示，社會上一度曾對個人信息泄露感到恐慌和擔(dān)憂，但在防控疫情的過程中，信息化手段提供了很大幫助，這使人們認(rèn)識到個人信息的收集在社會管理過程中也大有裨益。在立法討論中大家認(rèn)為，我國已經(jīng)進(jìn)入信息化社會，要積極利用信息化的利好方面，但也應(yīng)認(rèn)識到，在信息收集和后續(xù)的信息加工、管理、應(yīng)用等環(huán)節(jié)確實(shí)出現(xiàn)了一些問題，因此，《個人信息保護(hù)法》要著力解決這些問題。“《個人信息保護(hù)法》進(jìn)一步完善了處理個人信息的合法性基礎(chǔ)，補(bǔ)充了個人有權(quán)撤回同意的內(nèi)容。”中國信息通信研究院云計(jì)算與大數(shù)據(jù)研究所仵姣姣說，“總體而言，《個人信息保護(hù)法》采取了優(yōu)先保護(hù)個人權(quán)利和社會公共利益的路徑。”

仵姣姣表示，《個人信息保護(hù)法》列舉了個人信息處理的合法基礎(chǔ)，包括授權(quán)同意、為訂立或履行個人作為一方當(dāng)事人的合同所必需、履職必需、應(yīng)對突發(fā)公共衛(wèi)生事件、在合理的范圍內(nèi)處理已公開的信息、公益目的等。對信息收集者來說，主要的數(shù)據(jù)處理合規(guī)基礎(chǔ)是被收集對象的授權(quán)同意、合同必需和在合理范圍內(nèi)處理已公開的信息。

如果不授權(quán)就不能使用互聯(lián)網(wǎng)應(yīng)用，這一度是很普遍的現(xiàn)象。仵姣姣認(rèn)為，盡管消費(fèi)者授權(quán)同意，但仍存在能否真正保障個人信息主體的知情權(quán)、授權(quán)同意是否會流于形式、強(qiáng)勢一手?jǐn)?shù)據(jù)源為后續(xù)數(shù)據(jù)流轉(zhuǎn)的參與方帶來權(quán)利瑕疵等問題，但實(shí)踐中已逐漸形成一定程度上的范例。例如采用交互式彈窗的形式在用戶使用特定功能時，逐一獲取該功能必需的數(shù)據(jù);明確列出數(shù)據(jù)共享的目的及合作方名單;在隱私協(xié)議條款前，簡要介紹核心條款等。

過度索權(quán)也是一直為消費(fèi)者詬病的行業(yè)痼疾。仵姣姣認(rèn)為，合同一定要遵循最小必要原則，商家需要審慎衡量獲取的數(shù)據(jù)類型是不是提供相關(guān)產(chǎn)品和服務(wù)的必要前提。

信息社會發(fā)展到今天，一般人都有幾十、上百條注冊信息、授權(quán)同意信息，其中很多都不再使用，但卻普遍存在不支持注銷賬戶、撤回同意投訴無門等問題。仵姣姣表示，《個人信息保護(hù)法》專門賦予個人撤回同意的權(quán)利，明確要求商家必須提供便捷的撤回同意方式。此外還明確，撤回同意不影響撤回前基于個人同意已進(jìn)行的個人信息處理活動的效力。

“由于數(shù)據(jù)存在極強(qiáng)的可復(fù)制性，個人信息主體在給出首次授權(quán)同意后，對于姓名、身份證號、手機(jī)號、地址等相對靜態(tài)的信息很容易失去控制權(quán)，即使在撤回同意后，個人及每一環(huán)節(jié)數(shù)據(jù)處理者也很難控制數(shù)據(jù)的后續(xù)流轉(zhuǎn)。”仵姣姣認(rèn)為，商家要確保在用戶撤回同意后，相關(guān)數(shù)據(jù)被終止收集，必要時也需要對其進(jìn)行刪除或匿名化。

遏制大數(shù)據(jù)殺熟行為

大數(shù)據(jù)殺熟近年來被廣泛討論。在同一網(wǎng)站上，相同的商品或服務(wù)不同的人購買價格卻不一樣，這就可能是被“殺熟”了。大數(shù)據(jù)殺熟是指一種個性化定價，商家通過分析消費(fèi)者個人信息形成畫像，利用算法對每個消費(fèi)者的支付意愿進(jìn)行精準(zhǔn)評估和預(yù)測，預(yù)測消費(fèi)者最高保留價格，并以此就同一商品或服務(wù)向不同消費(fèi)者設(shè)置不同價格。中國信息通信研究院互聯(lián)網(wǎng)法律研究中心高級研究員、個人信息保護(hù)立法研究團(tuán)隊(duì)負(fù)責(zé)人楊婕認(rèn)為，這種歧視性定價策略，其實(shí)意味著商家可以過度、無限制、不合理地剝奪消費(fèi)者，損害消費(fèi)者權(quán)益。

“《個人信息保護(hù)法》中的第二十四條，對于大數(shù)據(jù)殺熟問題作出明確的規(guī)定。”楊婕說，《個人信息保護(hù)法》明確要求商家保證自動化決策的透明度和結(jié)果的公平、公正，在事前進(jìn)行個人信息保護(hù)影響評估，不得對個人在交易價格等交易條件上實(shí)行不合理的差別待遇，并賦予個人包括選擇權(quán)、知情權(quán)在內(nèi)的更充分的權(quán)利。

楊婕表示，考慮到個人信息處理活動的多樣性、算法運(yùn)行機(jī)制的不透明性以及決策結(jié)果的不確定性，《個人信息保護(hù)法》規(guī)定無論商家是否具有市場支配地位，只要其利用個人信息進(jìn)行自動化決策，對個人在交易價格等交易條件上實(shí)行不合理的差別待遇，就是法律所禁止的行為。“所涉及的適用對象全面，輻射范圍廣泛，有助于徹底解決大數(shù)據(jù)殺熟問題。”楊婕說。

中國首席數(shù)據(jù)官聯(lián)盟專家組成員、法律顧問，觀韜中茂(上海)律師事務(wù)所合伙人王渝偉說，今年2月7日，《國務(wù)院反壟斷委員會關(guān)于平臺經(jīng)濟(jì)領(lǐng)域的反壟斷指南》發(fā)布，遏制平臺經(jīng)營者利用其壟斷地位進(jìn)行大數(shù)據(jù)殺熟、強(qiáng)迫商家“二選一”等不公平競爭等行為。隨著《個人信息保護(hù)法》的實(shí)施，數(shù)據(jù)可攜帶權(quán)等權(quán)益的實(shí)現(xiàn)，將有力保障數(shù)據(jù)在不同經(jīng)營者之間的流動，促進(jìn)經(jīng)營者公平競爭。

APP個人信息保護(hù)設(shè)專章

“你在家里住得好好的，結(jié)果總有人打電話騷擾你;剛生了孩子從醫(yī)院回來，走在路上就有人向你推銷紙尿褲等，很顯然你的個人信息被泄露了。”孫憲忠說。這種情況不屬于個人信息收集環(huán)節(jié)，而屬于信息收集之后的“占有和加工管理”環(huán)節(jié)。對此，《個人信息保護(hù)法》第五十二條明確規(guī)定，個人信息收集者應(yīng)該對收集來的信息進(jìn)行妥善的監(jiān)督和保管。

據(jù)工業(yè)和信息化部統(tǒng)計(jì)，截至2020年底，國內(nèi)市場上監(jiān)測到的APP數(shù)量為345萬款。海量的APP在帶來生活便利的同時，強(qiáng)制索權(quán)、過度收集、濫用和泄漏個人信息等問題也層出不窮。

楊婕表示，小程序、快應(yīng)用、H5頁面等新應(yīng)用形態(tài)不斷出現(xiàn)，麥克風(fēng)被竊聽、通信錄被竊取、相冊非授權(quán)被讀寫等問題不斷曝出，亟需從法律層面遏制APP濫用個人信息的現(xiàn)象?！秱€人信息保護(hù)法》增加了對于APP個人信息保護(hù)的專門性規(guī)定，其中第六十一條將“組織對應(yīng)用程序等個人信息保護(hù)情況進(jìn)行測評，并公布測評結(jié)果”新設(shè)為履行個人信息保護(hù)職責(zé)的部門的職責(zé);第六十六條將“對違法處理個人信息的應(yīng)用程序，責(zé)令暫?；蛘呓K止提供服務(wù)”，增加為履行個人信息保護(hù)職責(zé)的部門對違法主體可采取的處罰手段。

中國社會科學(xué)院法學(xué)研究所副所長周漢華說，從適用的對象上來看，《個人信息保護(hù)法》把政府機(jī)關(guān)和市場主體一并納入規(guī)范的對象。

新增了對具有管理公共事務(wù)職能的組織的規(guī)范要求。孫憲忠說，《個人信息保護(hù)法》影響最大的就是負(fù)責(zé)收集個人信息的部門，包括政府部門、大型企業(yè)等。第五十七條明確提出，個人信息發(fā)生泄露，個人信息處理者即信息掌管者要立即采取補(bǔ)救措施。具體來說，是指網(wǎng)信部門或者是相關(guān)管理機(jī)構(gòu)等，要設(shè)法采取補(bǔ)救性措施。

孫憲忠說，就個人而言，如果發(fā)現(xiàn)自己的個人信息已經(jīng)被泄露，可以依據(jù)《個人信息保護(hù)法》第六十一條第二項(xiàng)的規(guī)定，積極向網(wǎng)信部門、市場監(jiān)督管理部門等相關(guān)管理機(jī)構(gòu)投訴。

“明確個人信息侵權(quán)行為的歸責(zé)原則為過錯推定，是對用戶權(quán)益的有力保護(hù)。”仵姣姣說?！秱€人信息保護(hù)法》明確了當(dāng)個人信息權(quán)益因個人信息處理活動受到侵害時，個人信息處理者不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。換言之，個人信息處理者如果不能證明自己在數(shù)據(jù)處理、數(shù)據(jù)保護(hù)中不存在過錯，將在訴訟中面臨一定程度的敗訴風(fēng)險。

這在司法實(shí)踐中實(shí)際上已有先例。如此前消費(fèi)者龐理鵬訴中國東方航空股份有限公司、北京趣拿信息技術(shù)有限公司隱私權(quán)糾紛案，被告企業(yè)被要求證明自己不存在過錯、已履行的信息安全保護(hù)義務(wù)以及個人信息的具體泄露方以及泄露的具體環(huán)節(jié)，并最終由于難以提供相關(guān)證據(jù)而敗訴。

人臉識別條款亮點(diǎn)多

“《個人信息保護(hù)法》對人臉信息的保護(hù)亮點(diǎn)很多。”中國信息通信研究院云計(jì)算與大數(shù)據(jù)研究所人工智能部呼娜英說。人臉作為人類社會相互識別和驗(yàn)證的通用身份標(biāo)識符，具有直接識別性、獨(dú)特性、唯一性、易獲取性等特點(diǎn)。在人工智能賦能深度廣度不斷加強(qiáng)的科技浪潮下，人臉識別技術(shù)商業(yè)化進(jìn)程不斷加速。從此前的《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》到目前的《個信息保護(hù)法》，都規(guī)定人臉識別屬于敏感個人信息，需要遵循特殊規(guī)則進(jìn)行保護(hù)、處理。

人臉識別技術(shù)應(yīng)用需滿足“特定目的”及“充分必要”。呼娜英表示，此前的最高人民法院對人臉識別的司法解釋中已經(jīng)明確，物業(yè)、建筑物管理人不得僅以人臉識別作為唯一門禁方式，企業(yè)亦不得以捆綁、強(qiáng)迫形式獲得消費(fèi)者同意人臉信息處理。《個人信息保護(hù)法》明確要求，個人信息處理者在處理敏感個人信息前，需存在“特定的目的”及“充分的必要性”。呼娜英認(rèn)為，該條款對處理敏感個人信息提出了更高的要求。目的正當(dāng)性和必要性不僅僅是指合法合規(guī)，還蘊(yùn)含著符合目的限制、誠實(shí)信用和公開透明的要求。“這樣一來，零售商要求刷臉進(jìn)出或支付、小區(qū)要求刷臉進(jìn)出、樓宇閘機(jī)要求刷臉登機(jī)等場景，將可能因缺乏目的正當(dāng)性和必要性而遭受挑戰(zhàn)。”呼娜英說。

單獨(dú)同意制度。呼娜英說，《個人信息保護(hù)法》在“告知+同意”規(guī)則的基礎(chǔ)上，引入了“單獨(dú)同意”的要求，規(guī)定了需要用戶“單獨(dú)同意”的一些具體場景，包括：處理敏感個人信息、公開或向他人提供個人信息(包括在公共場所安裝圖像采集和個人身份識別設(shè)備收集的個人信息)，以及向境外提供個人信息等。

擴(kuò)張用戶知情權(quán)，確立有限制的解釋權(quán)?！秱€人信息保護(hù)法》對包括人臉信息在內(nèi)的敏感個人信息保護(hù)提出了更高的要求，即信息處理者應(yīng)當(dāng)告知個人處理敏感個人信息的必要性以及對個人的影響。“這就進(jìn)一步切實(shí)地保障了用戶的知情權(quán)。”呼娜英說。

加強(qiáng)限制圖像采集、個人身份識信息的使用。“《個人信息保護(hù)法》在三次審議中不斷強(qiáng)化針對公共場所安裝圖像采集、個人身份識別設(shè)備的要求。”呼娜英說?！秱€人信息保護(hù)法》明確規(guī)定，商家所收集的個人圖像、身份識別信息“不得用于其他目的”，進(jìn)一步限縮了圖像采集、個人身份識別的處理范圍。

孫憲忠說，考慮到現(xiàn)在的人臉識別采集方式，很多情況下都在個體不知情的情況下進(jìn)行，因此，《個人信息保護(hù)法》第二十六條規(guī)定，在公共場所安裝圖像采集個人身份識別設(shè)備的時候，其出發(fā)點(diǎn)必須是要維護(hù)社會公共安全，而不能用于其他目的;要符合國家法律規(guī)定;安裝時要設(shè)置明顯的提示性標(biāo)識。

平臺“守門人”條款尚有爭議

對于APP的各種個人信息侵權(quán)問題，平臺責(zé)任是大家關(guān)注的焦點(diǎn)。《個人信息保護(hù)法》第五十八條進(jìn)一步完善了平臺“守門人”條款。一是將提供基礎(chǔ)性服務(wù)的互聯(lián)網(wǎng)平臺修改為提供重要互聯(lián)網(wǎng)平臺服務(wù);二是在第一項(xiàng)中補(bǔ)充了按照國家規(guī)定建立健全個人信息保護(hù)合規(guī)制度體系的義務(wù);三是單獨(dú)增加了一項(xiàng)“守門人”義務(wù)，即遵循公開、公平、公正的原則，制定平臺規(guī)則，明確平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個人信息的規(guī)范和保護(hù)個人信息的義務(wù)。

楊婕認(rèn)為，這一規(guī)定被認(rèn)為是強(qiáng)化基礎(chǔ)性服務(wù)平臺的個人信息保護(hù)責(zé)任、促進(jìn)其積極展開基于個人信息保護(hù)治理的制度設(shè)置，并能一定程度上為公權(quán)力保護(hù)個人信息的實(shí)踐提供有益補(bǔ)充，是一個創(chuàng)新性制度設(shè)計(jì)。

據(jù)楊婕介紹，“數(shù)字守門人”的概念，是2020年12月歐盟委員會公布的《數(shù)字市場法案》中提出的，被認(rèn)定為“守門人”的平臺應(yīng)承擔(dān)一系列額外的具體義務(wù)。

中國人民大學(xué)法學(xué)院教授張新寶此前接受媒體采訪時表示，對300多萬款A(yù)PP一對一監(jiān)管難免力不從心，應(yīng)將部分監(jiān)管職責(zé)前移，對實(shí)際上控制技術(shù)資源、技術(shù)環(huán)境和運(yùn)營環(huán)境的信息處理者，比如應(yīng)用程序的分發(fā)平臺、操作系統(tǒng)、大型APP平臺等，設(shè)置關(guān)鍵環(huán)節(jié)“守門人”在個人信息處中的特別義務(wù)。他認(rèn)為，目前國內(nèi)常用的應(yīng)用平臺分發(fā)系統(tǒng)不超過80個，移動終端操作系統(tǒng)不超過10組，搭載小程序的大型APP平臺不超過5個，將部分監(jiān)管職責(zé)前移到關(guān)鍵環(huán)節(jié)“守門人”，就不用面對海量的APP一對一進(jìn)行監(jiān)督管理。

中國社會科學(xué)院大學(xué)互聯(lián)網(wǎng)法治研究中心執(zhí)行主任劉曉春認(rèn)為，在個人信息保護(hù)領(lǐng)域，設(shè)立通過平臺實(shí)現(xiàn)治理的規(guī)則，即通常所說的“守門人”制度，一方面是法律對于平臺責(zé)任在個人信息保護(hù)領(lǐng)域的擴(kuò)展;另一方面，也會構(gòu)成法律對于負(fù)有此等責(zé)任平臺的一種賦權(quán)，進(jìn)一步擴(kuò)大了大型基礎(chǔ)性平臺制定規(guī)則、展開治理、采取措施方面的實(shí)質(zhì)性權(quán)力。若沒有相應(yīng)的制約性配套制度，則有可能會造成平臺地位在個人信息保護(hù)領(lǐng)域的強(qiáng)化，并且?guī)頇?quán)力濫用的可能性，這也正是目前國內(nèi)外針對平臺的“守門人”地位及其濫用行為對于競爭環(huán)境產(chǎn)生不良影響的擔(dān)憂焦點(diǎn)所在。“如果賦予電商平臺或社交平臺上一些經(jīng)營者個人信息審核義務(wù)，有可能會出現(xiàn)權(quán)力濫用，或通過審核權(quán)來進(jìn)行自我優(yōu)待、差別待遇等。”劉曉春認(rèn)為，極有可能出現(xiàn)平臺利用個人信息治理機(jī)制，進(jìn)行反競爭投機(jī)行為，從而損害平臺內(nèi)經(jīng)營者，特別是中小經(jīng)營者的利益。

劉曉春認(rèn)為，針對制度可能帶來的消極影響進(jìn)行評估和預(yù)判，應(yīng)建構(gòu)防范風(fēng)險、降低成本的配套措施，可以將個人信息保護(hù)“守門人”制度可能帶來的顧慮和風(fēng)險盡量降到最低。“以目前的平臺內(nèi)容治理和知識產(chǎn)權(quán)治理為類比，這兩項(xiàng)都需要投入大量人力物力，組建專門的管理、技術(shù)團(tuán)隊(duì)，建立實(shí)體判斷標(biāo)準(zhǔn)、程序流程規(guī)則、爭議解決渠道、糾錯救濟(jì)機(jī)制等復(fù)雜的規(guī)則和執(zhí)行體系。經(jīng)濟(jì)成本、專業(yè)能力、技術(shù)和管理、組織資源等方面，都會對平臺提出相當(dāng)高的要求。”劉曉春說，基礎(chǔ)性服務(wù)平臺是否具有能力對平臺內(nèi)其他經(jīng)營者的個人信息合規(guī)情況展開審核?而且，平臺內(nèi)經(jīng)營者運(yùn)作和使用過程中的個人信息收集和處理過程，并不一定能夠由基礎(chǔ)性服務(wù)平臺直接監(jiān)測和發(fā)現(xiàn)。這些都有待進(jìn)一步探索和完善。

周漢華表示，《個人信息保護(hù)法》在第一條就明確了“根據(jù)憲法”，這幾個字有非常重大的意義。這表明《個人信息保護(hù)法》的立法依據(jù)是我國憲法規(guī)定的“公民的人格尊嚴(yán)與自由不受侵犯”，表明《個人信息保護(hù)法》也是個人信息保護(hù)領(lǐng)域的基本法。也就是說，如果出現(xiàn)和其他個人信息保護(hù)相關(guān)法律規(guī)定沖突的情況，應(yīng)該優(yōu)先適用《個人信息保護(hù)法》。

孫憲忠認(rèn)為，《個人信息保護(hù)法》實(shí)施后，對老百姓而言，最直觀的感受就是數(shù)字化的社會生活會更加可靠、安全?？傊秱€人信息保護(hù)法》對整個社會而言是一個很重要的利好。