中國消費者報報道(記者任震宇)近年來,中國消費者協(xié)會在開展消費維權工作中發(fā)現(xiàn),消費者反映比較突出的個人信息問題主要集中在手機APP過度索權、消費者個人信息被泄露、非法推送商業(yè)信息、“大數(shù)據(jù)殺熟”以及敏感個人信息的非法處理等方面。
11月1日,《個人信息保護法》正式實施,這是一部保護公民個人信息的專門法律,與《民法典》《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《電子商務法》《消費者權益保護法》等法律共同編織成一張消費者個人信息“保護網(wǎng)”。中消協(xié)于10月28日發(fā)布消費提示,提醒經(jīng)營者采取切實措施保護消費者個人信息,提醒消費者認真學法、主動用法。
落實“告知—同意”規(guī)則
要切實落實“告知—同意”規(guī)則,明示處理個人信息的目的、方式和范圍。經(jīng)營者應當制定處理消費者個人信息的規(guī)則,遵循公開、透明原則,公開個人信息處理規(guī)則,明示處理的目的、方式和范圍,并提供便捷的撤回同意的方式。任何組織、個人不得非法收集、使用、加工、傳輸消費者個人信息,不得非法買賣、提供或者公開消費者個人信息。收集消費者個人信息,應在事先充分告知的前提下,保證消費者知情,并征得消費者本人同意。經(jīng)營者不得采取一攬子授權、強制同意等方式處理消費者個人信息;未經(jīng)消費者同意,經(jīng)營者不得向消費者推送商業(yè)信息。
不過度收集消費者個人信息
要滿足個人信息處理的兩個“最小”一個“最短”,不得過度收集消費者個人信息。經(jīng)營者收集使用個人信息應當具有明確、合理的目的,并限制在對個人權益影響最小的方式和實現(xiàn)處理目的的最小范圍,不得過度收集消費者個人信息。除法律、行政法規(guī)另有規(guī)定外,個人信息的保存期限應當為實現(xiàn)處理目的所必要的最短時間。除了提供產(chǎn)品或者服務所必需的個人信息,經(jīng)營者不得以消費者不同意處理其個人信息或者撤回同意為由,拒絕提供產(chǎn)品或者服務。手機APP等不得因用戶不同意提供非必要個人信息,而拒絕用戶使用其基本功能的服務。
嚴格限制對敏感個人信息的處理
要嚴格限制對敏感個人信息的處理,小區(qū)、經(jīng)營場所不能強制業(yè)主或者消費者進行人臉識別。敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年的個人信息。法律對其設置了特殊處理規(guī)則,即《個人信息保護法》二十八條第二款中規(guī)定“只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息”。人臉識別作為一種敏感個人信息,一旦泄露容易對個人的人身和財產(chǎn)安全造成極大危害,甚至還可能威脅公共安全。小區(qū)物業(yè)、經(jīng)營場所將人臉識別作為出入的唯一驗證方式缺乏充分的必要性,也很難采取嚴格的保護措施,應當提供其他替代性的驗證方式供業(yè)主或者消費者自主選擇。經(jīng)營者更不能為了商業(yè)目的非法收集消費者的人臉識別信息。
禁止大數(shù)據(jù)殺熟
利用個人信息進行自動化決策要合法,禁止“大數(shù)據(jù)殺熟”等行為?!秱€人信息保護法》規(guī)定個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人進行信息推送、商業(yè)營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。因此,經(jīng)營者不能利用自身掌握的消費者經(jīng)濟狀況、消費習慣以及對價格的敏感程度等信息,對消費者在交易價格等方面實行歧視性的差別待遇,也不能在未獲得消費者授權的情況下通過用戶畫像來開展精準營銷。
互聯(lián)網(wǎng)平臺要保護好用戶個人信息
大型互聯(lián)網(wǎng)平臺還要注意履行特殊義務,需當好個人信息保護“守門人”。提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者還應按照國家規(guī)定,建立健全個人信息保護合規(guī)制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督。遵循公開、公平、公正的原則,制定平臺規(guī)則,明確平臺內產(chǎn)品或者服務提供者處理個人信息的規(guī)范和保護個人信息的義務。對嚴重違反法律、行政法規(guī)處理個人信息的平臺內的產(chǎn)品或者服務提供者,停止提供服務。定期發(fā)布個人信息保護社會責任報告,接受社會監(jiān)督。
相關鏈接:
消費者可從五方面保護個人信息
中消協(xié)提醒廣大消費者,為了讓《個人信息保護法》發(fā)揮更大實效,要認真學法、主動用法:
要積極學習《個人信息保護法》等法律規(guī)定。通過對《個人信息保護法》等個人信息保護相關法律的學習,了解個人信息和敏感個人信息的處理規(guī)則、自身在個人信息處理活動中所享有的權利、個人信息處理者應當承擔的義務以及個人信息權益受到侵害時的救濟方式等,進一步提升個人信息保護的意識和能力,用法律武器來指導消費實踐。
要養(yǎng)成“非必要不提供”的良好習慣。消費者在接受服務時,要仔細閱讀隱私協(xié)議等涉及個人信息的條款,明確經(jīng)營者處理個人信息的方式、范圍、目的和依據(jù)等,考量經(jīng)營者處理個人信息理由的充分性和消費者提供個人信息的必要性,建議只在確屬必要的情況下才向經(jīng)營者提供個人信息或者進行授權。
要對自己授權或者提供的個人信息進行持續(xù)跟蹤。消費者接受個人信息條款或者向經(jīng)營者提供個人信息后,還應隨時關注經(jīng)營者個人信息條款是否進行修改,經(jīng)營者是否有保障個人信息安全的能力,經(jīng)營者是否存在非法處理個人信息行為等。當消費者不同意經(jīng)營者繼續(xù)處理其個人信息時,要積極行使“撤回同意”權利,要求經(jīng)營者停止處理或及時刪除其個人信息。
要注意銷毀帶有個人信息的單據(jù)和資料。消費者要保護好帶有個人信息的單據(jù)和資料,防止因隨意丟棄、使用不當?shù)仍斐蓚€人信息泄露。如妥善處理未脫敏的快遞單據(jù)等帶有個人信息的單據(jù)和資料,使用完后應及時銷毀,或是涂抹掉關鍵信息后再丟棄;在向他人提供身份證等重要證件的復印件時,最好顯著標識此復印件的用途;一些帶有個人敏感信息的電子數(shù)據(jù),如證件照片等,建議用完即刪或者采用加密方式進行存儲。
要主動拿起法律武器維護合法權益。消費者應積極行使對經(jīng)營者進行個人信息處理活動的監(jiān)督權。當自身個人信息權益受到侵害或者發(fā)現(xiàn)經(jīng)營者存在違法處理消費者個人信息行為的,要主動向個人信息保護管理部門或者消費者協(xié)會進行投訴、舉報,提供案件線索和相關憑證,維護自身及其他消費者的合法權益。